Che cosa dovrei chiedere a un consulente di sicurezza per vedere se sono legittimi o no?
Sto cercando di assumere qualcuno per eseguire una valutazione, ma mi piacerebbe assicurarmi che qualcuno sia prima rispettabile.
Chiedere referenze è un inizio ragionevole.
Un altro indicatore grezzo è la loro visibilità e il track record in conferenze ben considerate. Se sono relatori a Blackhat, alla conferenza RSA Security, WOOT, ecc., Questo è spesso un buon segno. (Ma la mancanza di questo tipo di visibilità non significa necessariamente che non siano qualificati. Questo è un indicatore molto grezzo, nel migliore dei casi.)
Potresti anche consultare i loro precedenti di rapporti di vulnerabilità divulgati, libri bianchi, ecc.
Non presterei troppa attenzione alle certificazioni. Se la loro principale o unica credenziale è un CISSP o una certificazione simile, le probabilità sono che si ottenga una persona di basso livello. Il valore di una certificazione dipenderà dalla particolare certificazione e dal tipo di lavoro che stai cercando da fare per il consulente.
Per ulteriori dettagli su cosa leggere nelle certificazioni e sulla loro reputazione, vedere le seguenti discussioni: Certificazioni professionali per la sicurezza IT ; Certificazioni di sicurezza Web ; Certificazione internazionale del pentestore ; Quali sono i corsi di certificazione di base per principianti? ; Quanto è utile CISSP a un neolaureato? ; CEH o GIAC - Quale dovrei perseguire? ; preparerebbe per CCNA aggiungere "significativamente" alle mie conoscenze come tester di penetrazione? .
Inventa uno scenario simile a quello su cui vuoi che funzioni e fagli guidare a descriverti come lo affrontano. Vorresti valutare la loro capacità di comprendere le esigenze della tua azienda e la loro comprensione tecnica. Il fattore chiave sarebbe se fanno le domande giuste e ti danno le risposte giuste.
Ad esempio, potresti chiedere a qualcuno di valutare la tua infrastruttura di e-commerce, quindi il tuo scenario potrebbe iniziare con la domanda:
Un buon candidato inizierebbe immediatamente a chiedere informazioni sui dati coinvolti e sul livello di rischio che sei disposto a tollerare. Un cattivo candidato sarebbe immediatamente prowittivo.
Se rispondono in modo soddisfacente o estrapolano le informazioni da te, puoi estenderle a:
... ecc. Idealmente, in questo scenario, avresti un candidato che guarda a problemi più ampi di solo IT: politiche, procedure, formazione del personale, backup e sicurezza di backup svolgono tutti un ruolo così come i firewall e IPS .
Se non hai nessuno disponibile a sfidare la sua competenza tecnica, allora direi di andare sulla rotta dei riferimenti del cliente. Chiedere referenze, preferibilmente da clienti in cui hanno svolto un lavoro simile.
Riferimenti, riferimenti e altri riferimenti. Da aziende vicine alla tua taglia. Dovresti chiamare il riferimento e chiedere come ha fatto il consulente. Chiedi se leggono le tue politiche e procedure esistenti e hanno avanzato suggerimenti per miglioramenti. Come se suggerissero le migliori pratiche del settore. Il consulente che ha un ruolo di relatore in una conferenza non tiene conto del fatto che possano svolgere il lavoro. Se hanno presentato conferenze o libri scritti, dovresti sempre chiedere il loro libro o diapositive o una registrazione del discorso e rivederlo per vedere se fanno riferimento ai clienti precedenti. L'ultima cosa che vuoi è che parlino della tua azienda (anche anonimamente) alla prossima conferenza.
Leggi altre domande sui tag outsourcing people-management