Cómo contratar profesionales en ciberseguridad

La ciberseguridad es parte integral del desarrollo de su empresa. La tasa de crecimiento de su equipo y negocio depende de la contratación de expertos en ciberseguridad.

Sepa a quién está buscando: roles de ciberseguridad
Antes de contratar expertos en ciberseguridad, debe saber exactamente lo que desea. Al igual que con todos los roles de software, no existe una descripción o título único para el experto en ciberseguridad; solo hay habilidades relevantes. Sin embargo, veamos algunos de los roles generales de los profesionales y las habilidades requeridas.

1. Ingeniero de seguridad de aplicaciones
Este rol incluye escribir, implementar y probar aplicaciones de software. Cada línea de código que ejecuta su empresa debe ser segura. Esto significa que necesitan conocer varios lenguajes de programación, incluidos C, C #, Java, Python, Ruby y JavaScript.

Los ingenieros de seguridad de aplicaciones deben estar interesados ​​en escribir software y codificar todos los días. Esto es lo que harán en el trabajo. El indicador es que forman parte de proyectos de código abierto o tienen experiencia en la creación de sus propias herramientas. Un título en Ciencias de la Computación o Ingeniería en Computación es definitivamente una ventaja.

2.
Ingeniero de seguridad Los ingenieros de seguridad crean e implementan procesos para garantizar la seguridad de los sistemas de la empresa. Supervisan las infracciones de seguridad cibernética. Necesitan comprender la industria y la organización, ya que necesitan conocer el flujo de trabajo, evaluar los problemas de seguridad e incluso anticipar problemas potenciales a medida que la organización cambia o crece.

Los ingenieros de seguridad deben poder pensar rápidamente porque serán los primeros en reaccionar en caso de un incidente, y un buen conocimiento de la informática forense ayudará a diagnosticar y rastrear el problema. Es muy importante que tengan una licenciatura en ingeniería, informática o algo similar. Este es un rol relativamente senior, por lo que se requiere experiencia previa en seguridad de TI.

3. Ingeniero de seguridad de redes
Son responsables del hardware y software de red de su empresa. Un ingeniero de seguridad de redes debe poder establecer y administrar la seguridad de la red.

Esto incluye mantener el firewall en funcionamiento, configurar VPN (redes privadas virtuales), proteger el correo electrónico y mantener los servidores de la empresa. La gestión de la red significa que tendrán que evaluar los riesgos de seguridad para encontrar vulnerabilidades.

Los ingenieros de seguridad de redes generalmente requieren una calificación de CISSP (Especialista certificado en seguridad de sistemas de información).

4.
Analista de seguridad de la información Los analistas de seguridad de la información están directamente interesados ​​en encontrar soluciones a los problemas de seguridad. Deben ser capaces de detectar amenazas a la seguridad y desarrollar estrategias para proteger los datos y las redes de la empresa de las infracciones. En las grandes empresas, los analistas trabajarán con profesionales de redes y TI para personalizar los protocolos de seguridad.

Necesitarán una licenciatura en TI o seguridad de redes, así como algo de experiencia en el mundo real. También existen calificaciones adicionales, como las relacionadas con la certificación ISO 27001.

5.
Especialista en seguridad de la información Los profesionales en seguridad de TI son expertos en las medidas de seguridad cibernética de una organización. Esto puede ir desde configurar un software de seguridad avanzado hasta instruir a los empleados sobre la seguridad de los datos. También analizan vulnerabilidades pasadas para prevenir futuras infracciones.

Sin embargo, la ciberseguridad en una organización significa una variedad de cosas, razón por la cual las empresas suelen tener un especialista para cada área específica, desde aplicaciones web hasta redes.

Los profesionales de la seguridad de TI requieren un título en ciencias de la computación o un campo relacionado. Los exámenes y certificados correspondientes son una gran ventaja.

6. Consultor de seguridad
Una prueba de penetración es un ataque simulado para comprender qué tan vulnerable es un sistema a la pérdida de datos. Esta es una forma de piratería ética, que luego conduce a decisiones sobre cómo prevenir violaciones. Los probadores de penetración son expertos en identificar debilidades en sistemas y redes digitales.

Idealmente, un probador de penetración debe tener una licenciatura en ciencias de la computación o ingeniería, ciberseguridad o tecnología de la información. Por lo general, desarrollan sus habilidades en roles de redes antes de pasar a trabajos de tiempo completo. Las certificaciones en pruebas de penetración, piratería ética y otros campos relacionados hacen que la experiencia sea más conveniente.

7.
Consultores de seguridad Los consultores de seguridad deben ser capaces de analizar todas las medidas de seguridad aplicadas en la empresa. Deben conocer los mejores sistemas y prácticas de seguridad, investigar violaciones y gestionar la implementación de soluciones. Además de los conocimientos técnicos, también deben conocer las necesidades normativas y las leyes de protección de datos.

Los consultores de seguridad deben tener títulos en informática, seguridad de la información, ciberseguridad y campos relacionados. A este rol se suma algo de experiencia en negocios de TI y leyes de ciberseguridad.

8. Arquitecto de seguridad
El papel principal de este especialista será desarrollar sistemas que sean resistentes a las amenazas de ciberseguridad. Un arquitecto de seguridad debe tener conocimientos tanto de hardware como de software, habilidades de programación y la capacidad de crear políticas de ciberseguridad. Este es un puesto de alto nivel que requiere experiencia en la planificación y gestión de la seguridad informática y de redes. También es un rol de liderazgo que requiere fuertes habilidades de comunicación y organización.

Ejemplo de descripción de trabajo para un ingeniero de seguridad de aplicaciones
«No existe un ‘sistema seguro’, solo sistemas más seguros». Esto es de la descripción del trabajo de un ingeniero de seguridad en Google. Este es el entendimiento que debe buscar en su experto, más allá de todos los requisitos técnicos.

Aquí hay una descripción de trabajo típica para un ingeniero de seguridad de aplicaciones. Este es ahora solo un conjunto básico de requisitos y cada industria tiene un conjunto adicional de necesidades.

a quien estamos buscando
Buscamos un ingeniero de seguridad calificado para trabajar en productos de software internos y externos con un enfoque en la seguridad. En un día normal, revisará el diseño y la implementación del software de evaluación de riesgos. Trabajará en el desarrollo de estándares, la resolución de problemas de seguridad y la configuración de la protección en cada etapa del ciclo de desarrollo de software.

tus responsabilidades

  • Diseñar e impulsar la infraestructura de seguridad
  • Implementar y probar las mejores prácticas de seguridad del software
  • Realice pruebas de seguridad continuas y revisiones de código para mejorar la seguridad del software.
  • Problemas de resolución de problemas y depuración
  • Desarrollo de nuevas soluciones de software para reducir las vulnerabilidades de seguridad.
  • Mantener la documentación técnica
  • Consulte las nuevas herramientas y las mejores prácticas.

Tu experiencia

  • Experiencia en ciberseguridad
  • Experiencia en evaluar un código de seguridad
  • Experiencia en pruebas de penetración
  • Experiencia en desarrollo de software en uno de los siguientes lenguajes principales: Ruby on Rails, Java, Javascript y .NET.
  • Experiencia con varios lenguajes de programación como C #, Python, Go, Rust.
  • Conocimiento adecuado de tecnologías web y protocolos de red.
  • Interés en la investigación y el desarrollo de la seguridad
  • Licenciatura en Ciencias de la Computación o campo relacionado

Una vez que haya encontrado un candidato que se ajuste a la descripción del trabajo, aún debe asegurarse de que realmente tenga la experiencia y la personalidad para hacer lo que necesita hacer.

Preguntas de la entrevista para hacerle a un experto en ciberseguridad
¿No sería genial si hubiera una lista de verificación para contratar expertos en ciberseguridad? Desafortunadamente, no es tan fácil. Sin embargo, aquí hay una lista de preguntas generales para hacerle a un experto en ciberseguridad.

Evaluación de habilidades técnicas
Hay muchas preguntas que hacer al contratar a un profesional de ciberseguridad, y al menos algunas de ellas se basarán en la experiencia y la industria. Sin embargo, las siguientes preguntas son las más comunes.

  • ¿Cómo define riesgo, vulnerabilidad y amenaza en la red?
  • Describa las diferencias entre los sistemas de detección de intrusos y los sistemas de prevención de intrusos.
  • Explica la tríada de la CIA.
  • Describe las diferencias entre el cifrado simétrico y asimétrico.
  • ¿Cuál es la diferencia entre cifrado y hash?
  • ¿Cómo configuro un firewall?
  • ¿Cuál es la diferencia entre la evaluación de vulnerabilidades y las pruebas de penetración?
  • ¿Qué es traceroute y cómo funciona?
  • ¿Qué es una VPN?
  • ¿Cómo evitaría un ataque XSS?

Evaluación de las habilidades interpersonales La
personalidad y la curiosidad son habilidades que no se pueden enseñar. Esta es una parte esencial y, a menudo, es tan importante como las habilidades técnicas.

  • ¿Cómo crees que será un día típico en este rol?
  • ¿Cómo evaluaría los riesgos?
  • ¿Cuál fue la última herramienta de software que desarrolló y por qué la desarrolló?
  • ¿Qué logró en su último trabajo y de qué está más orgulloso?
  • ¿Qué blogs de tecnología lee para mantenerse al día con la ciberseguridad?
  • ¿Cómo interactúa con la comunidad global de ciberseguridad?

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *