Contratar personal para seguridad de la información no es fácil debido a que es un área tan dispar que se presenta personal con diversas cualificaciones y experiencias o incluso que proviene de otros campos (administración de sistemas, DBAs, etc.).

Yo, después de varios fracasos, me decanté por un cuestionario que me permitiese conocer si el candidato cumplía los requisitos que yo esperaba de una persona que trabaje para seguridad. Parte está inspirado en un cuestionario similar que encontré en inglés y parte es de mi cosecha y de algunos compañeros que me ayudaron a completarlo.

Lo comparto con vosotros por si os sirve de algo y ya de paso a mí me ayuda a pensar cómo actualizarlo para futuras contrataciones.

Las tres primeras preguntas van enfocada a ver cómo enfoca el candidato la gestión de la seguridad. ¿Se trata de protegerse de amenazas? ¿De organizar procesos? ¿De cumplir la Ley? ¿De proteger la información? ¿De proteger los servicios?

  • ¿Cuál es el objetivo de la seguridad de la información en una organización?
  • ¿Cuál consideras que es lo más importante en lo que se debe enfocar una organización en materia de seguridad?
  • ¿Cuál consideras que es el mayor obstáculo a la implantación de una adecuada gestión de seguridad en una organización?

Las siguientes preguntas van enfocadas a ver si el candidato realmente se documenta sobre seguridad. ¿Lee libros? ¿Sigue blogs? ¿Conoce estándares?

  • ¿De dónde obtienes noticias de seguridad?
  • ¿Qué estándar/metodología/referencia documental utilizarías para efectuar una revisión de seguridad?
  • Nombra tres personas que consideres expertos en seguridad de prestigio mundial.

El resto son preguntas de conceptos y conocimientos no muy difíciles, aunque algunas no tienen una respuesta única.

  • ¿Qué diferencias hay entre riesgo y vulnerabilidad? Defínelos.
  • ¿Qué puerto utiliza el ping?
  • ¿Cómo funciona exactamente traceroute / tracert?
  • ¿Cómo identificar qué servicios / puertos se ejecutan en una máquina? Con acceso a la máquina y de forma remota.
  • ¿Dónde colocarías un sistema de detección de intrusiones?
  • ¿Qué reglas configurarías en un cortafuegos? ¿Qué regla no puede faltar?
  • ¿Por qué es importante filtrar el tráfico de salida de una organización?
  • ¿Qué medidas de control de acceso establecerías para una aplicación corporativa?

Y esta última pregunta tiene como objetivo ver si conoce aspectos de seguridad en desarrollo y si está polarizado (ya sea por la prensa, que lo tergiversa todo, o por su trayectoria profesional) hacia alguna de estas opciones.

  • ¿Qué consideras más seguro, el software libre o el software propietario?

La pregunta que más me gusta es la de qué puerto usa el ping. Es muy gracioso ver la cara con la que se quedan los candidatos ante esta pregunta tan aparentemente inocente. Realmente muy pocos la han respondido correctamente :(.

¿Qué os parece el cuestionario? ¿Qué preguntáis vosotros, si es que hacéis selección de personal? ¿Qué os gustaría que os preguntasen en una entrevista?