Esta es una muy buena pregunta.
1 – Verifique su experiencia. Una buena penetración tiene mucha experiencia en el dominio.
2 – Asegúrese de que él / ella conoce y comprende las fases principales de una prueba de penetración.
Un probador de penetración debe tener una idea clara de qué hacer, este no es el momento de improvisar.
Para una prueba de penetración de aplicaciones web, las fases principales son las siguientes: 1 – fase de preparación, 2 – recopilación de información, 3 – búsqueda / identificación de vulnerabilidades, 4 – explotación, 5 – redacción de informes.
3 – Pon a prueba sus conocimientos. Debe saber y poder reconocer los principales tipos de vulnerabilidades web. Por ejemplo, podría escribir una pequeña aplicación web vulnerable y pedirle que la pruebe y escriba un informe.
4 – Asegúrese de que él / ella tenga buenas habilidades de escritura y comunicación. Ser técnicamente competente no es nada si no puede expresar claramente sus hallazgos, explicar las cosas claramente y defender su trabajo frente a otras personas.
5 – La ética del candidato. No sé cómo puedes probar eso. Pero la confianza es importante. Un pentester puede obtener información muy sensible. Si de alguna manera él / ella usa la información que él / ella reunió para propósitos maliciosos, usted puede enfrentar algunos cargos criminales muy serios.
5 – Sus certificaciones. Lo pongo al final porque muchos expertos no tienen certificaciones, pero puede estar seguro de que alguien con una certificación de un proveedor de certificación acreditado tiene al menos la mínima cantidad de conocimiento para realizar la tarea.
Iría con certificaciones que prueben el conocimiento práctico.
Cómo evaluar un probador de penetración
Related Content
¿Qué está pasando con Lenovo y el adware Komodia Superfish?
¿Cuál es el costo promedio de los servicios de seguridad cibernética?
Cómo proteger la Infraestructura de clave pública (PKI) de un ataque de suplantación de identidad
¿Cuál es el contenido de la política de seguridad del sistema de información?
Bueno, cuando tomo una entrevista trato de hacer más preguntas básicas. Porque para un probador de software, tener conocimiento de los conceptos básicos del sistema es más importante que tener conocimiento de una herramienta de prueba en particular.
Por ejemplo, si estoy tomando una entrevista para un probador que se supone que debe hacer pruebas de seguridad para un servicio Restful, mis pocas preguntas serían las siguientes:
- ¿Sabes algo sobre la autenticación de Rest API?
- ¿Podría explicar cómo funciona OAuth?
- Escriba algunos escenarios de prueba para probar el sistema de autenticación de API.
- ¿Sabes qué especifica el código de estado en la respuesta HTTP?
Entonces, mi intención final de estas preguntas es saber cuánto sabe el candidato sobre los conceptos básicos de Rest API. En mi opinión, si el candidato tiene un conocimiento sólido de los conceptos básicos, puede aprender cualquier automatización en pocos días. Además, si el candidato ha trabajado en alguna herramienta de automatización como Jmeter, soapUI, etc. para realizar pruebas, no creo que aprender otra herramienta nueva sea difícil para él.
Tan pocos criterios generales que debe evaluar en el candidato para cualquier perfil de prueba:
- Conocimientos arquitectónicos básicos de aplicaciones web / software / internet.
- Capaz de diseñar escenarios de prueba.
- Conocimiento del tema (el perfil para el que lo contrata).
- Conocimiento de scripting.
- Buena capacidad de comunicación.
Solicite a los candidatos un informe de muestra. Si simplemente producen el resultado de una herramienta de prueba de vulnerabilidad de aplicaciones web, entonces probablemente no sean el mejor candidato.
Pídales que incluyan vulnerabilidades en el informe de muestra que no se pueden descubrir a través de herramientas automatizadas.
Si pueden proporcionar un informe de alta calidad con hallazgos manuales, entonces probablemente sean el candidato que está buscando.
Referencias
Luego, compruebe que las referencias provienen de personas reales que realmente están en condiciones de contratar un probador de pluma.
También preguntas tecnológicas. Haga las preguntas que le haría a un webmaster o un desarrollador de aplicaciones.
Y finalmente, contrata a alguien local. Haga que aparezcan, encuéntrelos en persona. Haz una verificación de antecedentes. No contrate delincuentes informáticos condenados.
Contrata una empresa de pruebas de penetración, no un individuo. Dependiendo de en qué país se encuentre, depende de las empresas a las que debe dirigirse. Hay empresas del Reino Unido / EE. UU. Disponibles que pueden satisfacer sus necesidades con personal que cuente con las calificaciones pertinentes, como Crest Testers, Crest Certified Testers, OSCP, etc.
Gotham Digital Science / Pen Test Partners / Nettitude son algunos que cubren tanto el Reino Unido como los EE. UU., Hacen una búsqueda web de otros o algunos que son locales en el lugar donde se encuentra.
More Interesting
¿Qué consejos de ciberseguridad le darías a las personas que viajan?
¿Cuáles son algunas formas de mejorar la seguridad de la red en la industria de la subcontratación?
¿Por qué se supone que los sistemas Linux están libres de virus?
¿Cómo asegura la verificación en dos pasos las cuentas en línea?
¿Por qué hay personas que recomiendan no usar un antivirus?
¿Usar 1Password gratis presenta un riesgo de seguridad?
Cómo asegurar mi computadora personal
¿Qué tan seguras son las aplicaciones de administración de contraseñas?
