it-swarm-korea.com

예비 보안 컨설턴트에게 무엇을 물어봐야합니까?

합법적인지 여부를 확인하려면 보안 컨설턴트에게 무엇을 요청해야합니까?

평가를 수행 할 사람을 고용하고 싶지만 먼저 평판이 좋은 사람인지 확인하고 싶습니다.

11
SLY

참조 요청은 합리적인 시작입니다.

또 다른 조잡한 지표는 잘 알려진 컨퍼런스에서의 가시성과 실적입니다. 그들이 Blackhat, RSA Security Conference, WOOT 등의 연사라면 그것은 종종 좋은 징조입니다. (그러나 이러한 종류의 가시성이 부족하다고해서 반드시 자격이 없다는 의미는 아닙니다. 이것은 기껏해야 매우 조잡한 지표입니다.)

공개 된 취약성 보고서, 백서 등의 기록을 볼 수도 있습니다.

나는 인증에 너무 많은 관심을 기울이지 않을 것입니다. 기본 또는 유일한 자격이 CISSP 또는 유사한 인증 인 경우 낮은 수준의 사람이 될 가능성이 있습니다. 인증의 가치는 특정 인증과 컨설턴트가 수행 할 작업의 종류에 따라 달라집니다.

인증 및 평판에 대해 읽어야 할 사항에 대한 자세한 내용은 다음 스레드를 참조하십시오. IT 보안을위한 전문 인증 ; 웹 보안 인증 ; 국제 펜 테스터 인증 ; 초보자를위한 기본 인증 과정은 무엇입니까? ; 최근 졸업생에게 CISSP는 얼마나 유용합니까? ; CEH 또는 GIAC-어느 것을 추구해야합니까? ; CCNA를 준비 할 때 침투 테스터로서의 지식에 "상당히"추가 할 수 있습니까? .

5
D.W.

그들이 작업하기를 원하는 시나리오와 유사한 시나리오를 만들어서 그들이 어떻게 대처할 것인지 안내하도록하십시오. 비즈니스의 요구 사항과 기술적 이해를 이해하는 능력을 평가하고 싶을 것입니다. 핵심 요소는 올바른 질문을하고 올바른 답변을 제공하는지 여부입니다.

예를 들어 누군가가 전자 상거래 인프라를 평가하도록 할 수 있으므로 시나리오는 다음 질문으로 시작할 수 있습니다.

  1. "우리는 새 웹 사이트를 만들고 싶습니다. 어떻게 보호해야합니까?"

좋은 후보자는 즉시 관련 데이터와 허용 할 위험 수준에 대해 질문하기 시작합니다. 나쁜 후보는 즉시 규율을 받게됩니다.

그들이 만족스럽게 대답하거나 정보를 끌어 내면 다음과 같이 확장 할 수 있습니다.

  1. 웹 사이트에는 장바구니가 포함됩니다. 어떻게 확보해야합니까?

... 등. 이상적으로,이 시나리오에서는 정책, 절차, 직원 교육, 백업 및 백업 보안이 모두 방화벽과 IPS뿐만 아니라 역할을하는 IT보다 더 광범위한 문제를 살펴 보는 후보가있을 것입니다.

9
John

기술 전문 지식에 도전 할 수있는 사람이 없다면 고객 레퍼런스 경로로 가겠습니다. 추천인을 요청하십시오-가급적이면 유사한 작업을 수행 한 클라이언트로부터.

7
Tate Hansen

참조, 참조 및 기타 참조. 귀하의 규모에 가까운 회사에서. 참조로 전화하여 컨설턴트가 어떻게했는지 물어봐야합니다. 기존 정책 및 절차를 읽고 개선을위한 제안을했는지 물어보십시오. 마치 업계 모범 사례를 제안한 것처럼. 회의에서 발언 역할을하는 컨설턴트는 업무를 수행 할 수 있는지 여부를 전혀 고려하지 않습니다. 회의 나 저서에서 발표 한 적이 있다면 항상 그들의 책이나 슬라이드 또는 강연 녹음을 요청하고 이전 고객을 언급했는지 검토해야합니다. 마지막으로 원하는 것은 다음 회의에서 회사에 대해 (심지어 익명으로도) 이야기하는 것입니다.

4
OhBrian