Preguntas imprescindibles en una entrevista a un analista de seguridad 

0
19

Está entrevistando a candidatos para un puesto de analista de seguridad. Uno de ellos es licenciado en historia y no tiene experiencia técnica formal. El otro tiene un título superior en informática, con especialización en ciberseguridad, y 10 años de experiencia en entornos de pentesting y centros de operaciones de seguridad. 

¿A qué candidato contrata? 

Si eres Keatron Evans, investigador principal de seguridad del proveedor de formación en seguridad InfoSec, el que tiene estudios de historia se queda con el puesto. Haciendo las preguntas adecuadas, Evans pudo ver a través del currículum y las credenciales del candidato, los rasgos más valorados de los analistas de seguridad: capacidad de resolución de problemas, curiosidad, deseo de aprender y una pasión innata por la ciberseguridad. 

La demanda de este papel es más alta que nunca, una tendencia que probablemente continuará, ya que la Oficina de Estadísticas Laborales de los Estados Unidos proyecta que el empleo para los analistas de seguridad crecerá un 31% entre el 2019 y el 2029. Las siguientes preguntas de la entrevista te ayudarán a adelantarte a esa curva, asegurando que hagas una contratación exitosa de analistas de seguridad. 

¿Qué es el TCP?
La forma en que alguien habla de temas como el apretón de manos de tres vías o el estándar de comunicaciones TCP puede revelar mucho sobre su comprensión de los fundamentos de la seguridad. 

En el caso de Evans, la candidata sin experiencia hablaba de TCP como si lo hubiera estudiado no solo en un libro de texto, sino también en un entorno informático. «A pesar de ser la candidata con menos experiencia de todas, respondió como si hubiera sido la autora de los protocolos en cuestión, como el TCP», señala. 

Otros aspectos básicos son distinguir entre encriptación simétrica y asimétrica, y describir dónde sería mejor utilizar cada una, las anomalías que indican un sistema comprometido o cómo hacer frente a un ataque de hombre en el medio, señala Travis Lindemoen, director general en la práctica de ciberseguridad de Nexus IT Group. «Se trata de escuchar los procesos en los que han sido formados para remediar ese tipo de ataque», afirma. 

La familiaridad con el marco de trabajo también es un detalle revelador, añade Chuck Brooks, presidente de Brooks Consulting International y profesor adjunto de la Universidad de Georgetown, ya sea del NIST, del SANS o del MITRE. «Hay muchos elementos en estos marcos que le dan un mapa a seguir para las defensas básicas y la gestión de riesgos», anota. 

¿Cómo se gestionaría esta filtración de datos?
Sin embargo, lo que realmente impresionó a Evans fue la forma en que el candidato sin experiencia que entrevistó (y finalmente contrató) resolvió un escenario técnico que requería responder a 10 preguntas sobre la gestión de una violación de datos. En el ejercicio se utilizaron dos computadoras, una conectada al entorno de laboratorio basado en la nube para realizar la tarea, y una segunda conectada a Internet para buscar la información necesaria, como los detalles actualizados de un exploit reciente. 

«Ella utilizó la computadora de investigación con maestría, mientras que los más experimentados ni siquiera se molestaron en tocarla», sostuvo Evans. «Por esa razón, la mayoría de ellos falló en las dos preguntas finales que había que responder revisando los paquetes y los volcados de memoria». 

Evans también exigió intencionadamente a los candidatos que dieran a la máquina virtual una dirección IP estática para operar en la red, que solo conocerían leyendo las instrucciones. «Un candidato tardó 15 minutos en dejar de quejarse de que no se podía acceder a nada, y darse cuenta de que tenía que seguir las instrucciones», comenta. «Gran parte del trabajo del SOC consiste en prestar atención a los detalles, así como en leer notas y procesar la información recopilada por otros analistas». 

¿Cómo se triangulan estas alertas?
Como alternativa, se puede explorar un escenario de infracción de forma conversacional. Este enfoque más interactivo puede poner de manifiesto cómo piensa, se comunica y colabora el candidato. Los entrevistadores también pueden adaptar las preguntas a medida que avanzan (completando la información, profundizando, etc.) para que coincidan con el nivel de experiencia del candidato. 

Sin embargo, en primer lugar, es importante establecer una atmósfera cómoda, ya que una persona nerviosa puede ser difícil de leer, sostiene Dom Glavach, director de seguridad y estratega jefe de CyberSN, una empresa de carreras y contratación de personal centrada en la ciberseguridad. 

Por eso, Glavach empieza preguntando sobre una brecha bien publicitada como el ataque a SolarWinds en términos de indicadores de compromiso (IOC), lecciones aprendidas o la metodología de ataque utilizada. «Incluso si no están familiarizados con ello, pueden tomarse unos segundos para hacer una búsqueda sobre IOC y SolarWinds», señala. Esto refleja la realidad en el trabajo de que los analistas de seguridad no deben ser juzgados por sus conocimientos inmediatos, sino por su capacidad para evaluar rápidamente el riesgo y hablar de las soluciones. 

A partir de ahí, Glavach pasa a la conversación de escenarios, como por ejemplo Hoy es lunes. Viene de un gran fin de semana y ve dos extrañas alertas de inicio de sesión la noche anterior, desde Nueva York y San Francisco, con cinco minutos de diferencia, una de las cuales tuvo éxito. También detecta un Cobalt Strike y balizas en la oficina del sur. ¿Qué hay que hacer para triar esto? 

El resto de la conversación simula lo que ocurriría en el centro de operaciones de seguridad (SOC) entre colegas, anota Glavach, en términos de colaboración de ideas, intercambio de conocimientos, evaluación de lo grave de la situación y lo que debe hacerse para remediarla. «He escuchado respuestas que revelan que el candidato no tiene tanta experiencia como su currículum me hizo creer», anota. «Los currículos cuentan la historia, pero la persona cuenta la novela». 

¿Cuál es su primer movimiento tras recibir nueva información sobre amenazas?
Otro enfoque basado en escenarios se centra en el primer movimiento que haría el candidato o la primera pregunta que haría cuando, por ejemplo, recibiera una nueva pieza de inteligencia sobre amenazas, o un aviso sobre una vulnerabilidad recién descubierta en un sistema o dispositivo. 

Para Peter Gregory, director senior de ciberseguridad de GCI Communication Corp. en Anchorage (Alaska) y antiguo asesor de ciberseguridad, la respuesta debe centrarse en saber si la amenaza es relevante para la organización, «lo que apunta enseguida a la necesidad de una gestión eficaz de los activos para que los analistas de seguridad puedan obtener rápidamente la respuesta», afirma. Incluso si el candidato no está familiarizado con la gestión de activos -que, basándose en las experiencias anteriores de consultoría de Gregory, dice que muchas empresas hacen un mal trabajo- debería indicar una comprensión de lo valiosa que es la gestión de activos para la resolución de problemas. 

La pregunta de Evans sobre el «primer movimiento» gira en torno a qué hacer cuando una filtración de datos ha comprometido una máquina específica. Un candidato con menos experiencia podría sugerir que se apague la máquina y se tome una imagen del disco duro. Alguien con más experiencia se centraría en realizar un diagnóstico adecuado de la memoria -porque la mayoría de los atacantes avanzados no escriben en el disco duro-, así como en el análisis de paquetes de red para determinar el origen de la filtración. «Apagar la máquina es una técnica forense básica, pero no está enfocada a la respuesta a incidentes», señala Evans. 

Otras buenas respuestas se centrarían en la importancia de alinearse con las políticas de respuesta a incidentes que están en vigor, o en tener un diagrama de red preciso que represente dónde están los sistemas y dispositivos clave. «Una gran parte de la respuesta a incidentes es contener el incidente, y no se puede contener si no se conocen los límites del entorno», añade Evans. 

¿La ciberseguridad es su trabajo o su estilo de vida?
Para los que destacan en ciberseguridad, su interés por el tema no es una cosa de 9 a 5; es una pasión que impregna su vida cotidiana. Para averiguar si ese es el caso, a Lindemoen le gusta preguntar sobre la configuración de la red doméstica de los candidatos. «Me fijo en si utilizan WPA2 frente a WPA y WEP y si configuran una red separada para cuando los invitados utilizan su red inalámbrica doméstica», señala. «Son cosas sencillas, pero proporcionan una idea de cómo piensan en la seguridad en su vida personal». 

Lindemoen también pregunta a qué conferencias de ciberseguridad les gustaría más asistir si pudieran, y por qué. En lugar de nombrar una conferencia conocida, «podrían mencionar una que esté en un nicho en el que se centren o que les apasione de verdad». 

La participación en la captura de la bandera (CTF) y otros eventos y actividades de cibercalistenia es otro buen barómetro, indica Glavach. Dado que estos programas son gratuitos, pueden ser incluso mejores para revelar la pasión que las costosas certificaciones. «Si hay un candidato sin certificaciones pero que ha participado en CTFs similares a un DEFCON CTF o un SANS Holiday Hack, eso me demuestra que está muy comprometido», sostiene. «Demuestra un alto nivel de curiosidad y compromiso con su oficio». 

Glavach también hace preguntas sobre el lado ofensivo de la ciberseguridad y cómo funciona un ataque, incluyendo la necesidad de colaboración entre los atacantes. «Me gusta preguntar cuál es su ataque favorito como defensor, o el ataque más fascinante sobre el que han leído», señala. «Todo el mundo tiene algo que le resulta súper curioso». 

¿Puede completar una frase sin usar una palabra de moda?
Los analistas de seguridad que tienen éxito son también personas que Gregory llama «bilingües», es decir, capaces de hablar tanto desde una perspectiva tecnológica como empresarial. «Tienen que ser capaces de mantener una conversación con un ejecutivo de negocios, sin utilizar un solo acrónimo o palabra de moda de TI o seguridad y expresarse fácilmente en términos de negocios», sostiene. 

Para explicar la importancia de la gestión de activos a un director financiero, por ejemplo, un analista de seguridad bilingüe podría decir: «Si supiéramos lo que tenemos, podríamos dedicar menos tiempo a averiguarlo cuando aparezca una nueva amenaza y más a proteger este negocio», afirma Gregory. 

Glavach evalúa las habilidades de comunicación pidiendo a los candidatos que describan primero un ataque bien publicitado como si hablaran con un compañero durante una reunión diaria del SOC, centrándose en la comprensión de lo que se necesita para defenderse de él. A continuación, pregunta al candidato cómo convertiría esa misma información en una campaña de concienciación para personas no técnicas de la empresa. La conversación se convierte rápidamente en hacerlo sin utilizar palabras como «relleno de credenciales» o «reconocimiento».  

Otra táctica es preguntarse qué hacer si un alto ejecutivo solicita que su dispositivo doméstico se instale en la red corporativa, aunque vaya en contra de la política de la empresa, indica Lindemoen. «Busco una respuesta diplomática que intente llegar a la raíz de lo que necesita el ejecutivo, y que busque una solución beneficiosa para todos que no viole la política ni exponga a la empresa a riesgos externos», agrega. 

¿Qué puede decirme sobre la IA en la seguridad?
Ante un panorama de amenazas dinámico y tecnologías continuamente emergentes, tanto en el lado defensivo como en el ofensivo, los analistas de seguridad tienen que ser curiosos por naturaleza y estar siempre dispuestos a aprender más. 

«La gente tiene la impresión de que se necesita un codificador experto o alguien inmerso en la informática», señala Brooks. «Pero ese no es necesariamente el enfoque de la ciberseguridad, que es realmente multifacética. Implica conseguir personas que puedan aprender porque las amenazas no dejan de cambiar y transformarse». 

Brooks recomienda preguntar a los candidatos qué saben sobre inteligencia artificial y cómo se utiliza tanto en la web oscura como para automatizar la detección de amenazas. «Yo buscaría al menos una comprensión elemental de lo que significa para una postura cibernética, para fortificar las defensas y entender cuáles son las amenazas», sostiene. «En la época actual, la IA desempeña un papel muy importante. y tiene que tener una comprensión de ella porque la va a utilizar usted mismo». 

¿Cómo habría gestionado usted el ataque a Colonial Pipeline?
La ciberseguridad es tanto un arte como una ciencia, por lo que los mejores contratados son pensadores creativos que no se estancan en el statu quo. Una buena forma de evaluar su nivel de innovación es preguntar qué habría hecho el candidato de forma diferente cuando se enfrentara a la misma situación de un ataque bien publicitado, aunque sea con el beneficio de la retrospectiva 20:20. «Me da una idea de lo disruptivas que son sus ideas, en el buen sentido», finaliza Glavach. 

Mary Brandel CSOonline.com 

 

Artículo anteriorCómo encontrar la herramienta de prueba adecuada para las soluciones SSO 
Artículo siguientePrincipales obstáculos que impiden la innovación en TI