Preguntas de la entrevista del ingeniero de seguridad

Publicado: Última actualización:
ingeniero de seguridad: preguntas de entrevista al ingeniero de software

La seguridad nunca ha sido tan importante como ahora. Como sociedad, nos hemos acomodado a poner mucha más información sensible e importante en áreas que no controlamos. Además, trabajamos de forma colectiva, y muchas de las aplicaciones que solíamos alojar en nuestros propios sistemas ahora se alojan en la nube. Aunque estas nuevas tendencias crean montones de posibilidades, la creciente complejidad de los sistemas, la sensibilidad de los datos y la ampliación del acceso a nuestras redes hacen que el papel del ingeniero de seguridad dedicado se haya vuelto esencial para la mayoría de las empresas.

Los ingenieros de seguridad no son simplemente un ingeniero de software o un desarrollador estándar al que se le ha retirado de otra función para que se ocupe de la seguridad. Los mejores candidatos tienen conjuntos de habilidades y enfoques únicos que los hacen especialmente adecuados para este propósito. Los ingenieros de seguridad requieren una pantalla dedicada y separada de las otras tecnologías que se utilizan. Siga leyendo para saber exactamente qué debe saber su ingeniero de seguridad y cómo averiguar si lo sabe.

En esta guía lo descubrirás:

¿Qué es un ingeniero de seguridad? - preguntas de la entrevista a un ingeniero de seguridad de productos1. ¿Qué es un ingeniero de seguridad?

Antes, los ingenieros y desarrolladores eran responsables de la seguridad de los sistemas en los que trabajaban. Probablemente, a principios de los años ochenta, una o dos empresas empezaron a contratar a personas con el único propósito de centrarse en la seguridad, pero el papel del ingeniero de seguridad no ganó realmente popularidad hasta principios de la década de 2000.

1.1 ¿De qué son responsables los ingenieros de seguridad?

El objetivo principal de un ingeniero de seguridad es preparar a su empresa contra los ciberataques. Entre otras cosas, corregirán los procedimientos inseguros, aplicarán políticas de actualización de software y hardware y diseñarán controles de acceso a diversos sistemas y datos.

Los ingenieros de seguridad siempre están pensando en las amenazas a su sistema. Esto significa que son responsables de definir, enumerar y modelar todas y cada una de las posibles amenazas a la seguridad. También son responsables de reconocer los requisitos de seguridad de sus sistemas informáticos y redes. ¿Y cómo lo hacen?

1.2 ¿Qué tipo de trabajo realizan los ingenieros de seguridad?

Las soluciones de ingeniería son una parte importante del trabajo. Los ingenieros de seguridad también aplican y hacen cumplir las políticas de seguridad. Una vez establecidas las políticas, les corresponde supervisar, mantener y aplicar cualquier mitigación, contramedidas y otras infraestructuras de seguridad. También son responsables de crear y desarrollar acciones y directrices de respuesta a incidentes.

Proteger los sistemas es sin duda una parte del trabajo, pero los ingenieros de seguridad a menudo tienen que pensar un paso más allá en los tipos de activos que esos sistemas almacenan. Además de proteger la red y la infraestructura informática de su empresa, también se centran en asegurar la propiedad intelectual de la empresa que se encuentra en esos lugares. También se ocupan de cierta seguridad física, ya que los ciberataques suelen tener un componente físico.

1.3 ¿Por qué tener un ingeniero de seguridad?

Un ingeniero de seguridad o un equipo de ingenieros de seguridad se encargan de esta área crucial del desarrollo de software. Al desarrollar una competencia especializada en seguridad, los ingenieros de seguridad son capaces de lograr mejores resultados que un equipo de desarrollo normal. Esto se debe principalmente a que son más capaces de mantenerse al día con las nuevas amenazas, incluyendo las vulnerabilidades encontradas en el software popular. Al hacer que su trabajo sea reaccionar ante estas amenazas, pueden proteger a la empresa antes de que éstas se utilicen en su contra. Al mantener un ingeniero de seguridad dedicado o un equipo de seguridad, su empresa puede pasar a la ofensiva contra las amenazas y defenderse en lugar de tener que mitigar los efectos de una violación de la seguridad.

Las ventajas de una mayor seguridad informática implican que cada vez es más frecuente encontrar una persona o un equipo dedicado a la seguridad en empresas medianas y grandes, donde hace unos años no habría habido ninguno. Estos equipos suelen incluir pentesters además de ingenieros de seguridad. Los pentesters son el ying del yang de los ingenieros de seguridad. Un ingeniero de seguridad construye defensas en su sistema, mientras que el pentester trata de encontrar formas de romperlas. Al revelar las vulnerabilidades, el pentester ayuda al ingeniero de seguridad a construir defensas más fuertes.

Los mejores ingenieros de seguridad son especialistas en la materia. Dicho esto, no hay requisitos formales para convertirse en ingeniero de seguridad. Para la mayoría de la gente, es una mezcla de tener un fuerte conocimiento de las ciencias de la computación mezclado con una comprensión de la psicología humana.

¿Qué es importante que un reclutador de TI sepa sobre un ingeniero de seguridad? - preguntas de la entrevista a un ingeniero de seguridad de productos2. ¿Qué es importante que un reclutador de TI sepa sobre seguridad?

Los acontecimientos que cambian el paradigma son bastante raros en la seguridad. Pero este hecho no debe fomentar la complacencia. Basta con prestar atención a la frecuencia de las actualizaciones de su antivirus para darse cuenta de que los nuevos ataques, vulnerabilidades y otros problemas de seguridad son cosa de todos los días.

Con el tiempo, estos ataques tienden a cambiar y evolucionar en ciertas direcciones. Por ejemplo, hoy en día es más común encontrar un ataque XSS que un applet Java malicioso, antes popular. Sin embargo, lo que un reclutador tiene que entender es que la seguridad requiere un conocimiento muy amplio de los temas de TI.

Los ingenieros de seguridad deben comprender la administración de sistemas, las redes informáticas y la programación. También tienen que entender cómo se unen todos estos componentes para crear barreras y solucionar los puntos débiles. Un enfoque holístico del sistema puede tratar eficazmente los problemas de seguridad en toda la red.

3. ¿Qué herramientas y técnicas debe conocer un ingeniero de seguridad?

Al igual que muchas áreas desarrolladas de la tecnología, hay una plétora de herramientas disponibles para los ingenieros de seguridad. Entre ellas se encuentran marcos, bibliotecas y otras herramientas utilizadas para rastrear, defender y determinar las causas probables de las brechas de seguridad.

Además de las herramientas, los ingenieros de seguridad deben comprender más cuestiones específicas del ámbito. Entre ellos se encuentran la ingeniería social, el phishing, los desbordamientos de búfer, el XSS, los días cero y Metasploit. Deben tener un buen conocimiento de las herramientas administrativas y los cortafuegos, soluciones antivirusy el modelado de amenazas. Por último, se requiere una comprensión de los Sistemas de Detección de Intrusos/Sistemas de Prevención de Intrusos o de los sistemas de Gestión de Información y Eventos de Seguridad a diario.

3.1 experiencia útil para los candidatos a la ingeniería de seguridad

Para ayudar a tratar los problemas relacionados con la seguridad, son importantes los conocimientos en administración de servidores, administración de flotas, administración de redes y programación básica de scripts. Un buen indicador de que el candidato se ha ocupado de cuestiones de seguridad es la experiencia comercial en puestos similares. Aparte de la experiencia comercial, ser colaborador de proyectos de código abierto relacionados con la seguridad y participar en eventos relacionados con la seguridad, como los juegos CTF o las conferencias sobre seguridad, son un fuerte indicador de interés en las habilidades de seguridad. También es útil la experiencia en pentesting o investigación de seguridad.

4. Examinar a un ingeniero de seguridad a partir de su currículum vitae

El currículum de tu candidato es un buen punto de partida para saber con qué está familiarizado. Pero su valor real es el de servir de guía para las preguntas durante la etapa de la entrevista. Además de buscar la experiencia que hemos mencionado anteriormente, es importante buscar ciertas tecnologías importantes en el currículum de un candidato. Para ayudarte, hemos recopilado un glosario de términos específicos de seguridad.

Glosario de ingeniería de seguridad para reclutadores técnicos - preguntas de la entrevista para ingenieros de seguridad de productos

4.1 Glosario del ingeniero de seguridad para los reclutadores técnicos

APT (amenaza persistente avanzada) Un ataque a largo plazo, en el que un atacante o un grupo de atacantes permanecen a cubierto durante un largo periodo de tiempo, normalmente utilizando técnicas avanzadas y explotando vulnerabilidades desconocidas conocidas como 0 días.
Ejecución arbitraria de código (ACE) Véase Ejecución remota de código.
Antivirus Software dedicado a ampliar la seguridad, especialmente para los nodos finales. Se utiliza para detectar malware o software no deseado mediante el análisis estático con firmas o el análisis de comportamiento.
Certificación de Seguridad CCNA (Certificación de Seguridad de Asociados de Red Certificados por Cisco) Certificación orientada a la seguridad de Cisco.
Triángulo/Tríada/Principio de la CIA (a veces llamado AIC para no confundirlo con una agencia de inteligencia) CIA son las siglas de Confidencialidad, Integridad y Disponibilidad. Tres aspectos clave de la seguridad que ayudan a modelar las amenazas y a garantizar la seguridad del sistema informático.
CISSP (Profesional certificado en seguridad de sistemas de información) Una certificación de seguridad muy conocida y respetada.
CSRF (Cross Site Request Forgery) Un ataque que explota la confianza que el sitio tiene en el usuario/navegador. El atacante intenta engañar a un usuario autentificado para que ejecute involuntariamente una acción, por ejemplo, enviando un enlace preparado.
CVE (Vulnerabilidades y Exposiciones Comunes) Un sistema mantenido por MITRE Corporation que proporciona identificaciones únicas para las vulnerabilidades conocidas públicamente.
DLP (Prevención de Pérdida de Datos/Fuga de Datos) Tecnologías y conjunto de herramientas utilizadas para garantizar la seguridad de los datos vitales. Los sistemas de DLP utilizan métodos de cifrado/descifrado transparentes para filtrar el tráfico que contiene datos críticos y valiosos, a fin de garantizar que la información no cifrada nunca salga de la red de la organización.
Endurecimiento Medidas que se toman para mejorar la seguridad de una aplicación o un sistema informático aplicando parches, instalando módulos adicionales o eliminando partes innecesarias. El endurecimiento reduce la superficie de ataque y, en algunos casos, impide que el atacante haga algún daño significativo después de un hackeo exitoso.
HSTS (Seguridad de transporte estricta HTTP) Una medida de seguridad que protege contra la disminución del estándar de seguridad de la transmisión a través de HTTPS.
Ingeniería social Hackear a los humanos en lugar de a las máquinas (por ejemplo, convencer a la secretaria de que debe copiar un documento, en lugar de entrar y robarlo).
IDS/IPS NIDS/HIDS (Sistema de detección de intrusos / Sistema de prevención de intrusos Sistema de detección de intrusos en la red/Sistema de detección de intrusos en el host) Sistemas que proporcionan herramientas para detectar, reconocer y reportar comportamientos maliciosos que pueden ser causados por una intrusión. Los IPS también proporcionan la capacidad de mitigar las intrusiones después de detectarlas.
Prueba de penetración Proceso autorizado de pruebas de seguridad de un sistema o una aplicación que simula un ataque en el mundo real. Proporciona conocimientos sobre la seguridad real del objeto probado. Las pruebas de penetración pueden dividirse en función de los conocimientos que tienen los probadores. La caja blanca es un tipo de ataque en el que los atacantes tienen un conocimiento profundo del objetivo. Por el contrario, la caja negra es un escenario en el que los probadores tienen poco o ningún conocimiento sobre el sistema probado.
Malware/ransomware El término malware significa software malicioso y describe programas que son dañinos por su diseño. El término malware es un término amplio que describe múltiples tipos de software malicioso como los virus informáticos, los rootkits y los gusanos. El ransomware es un software malicioso que bloquea los datos de los usuarios, normalmente cifrándolos y exigiendo un rescate para descifrarlos.
Metasploit Software desarrollado y mantenido por Rapid7. Podría llamarse la navaja suiza del pentester. Metasploit proporciona una base de datos de exploits conocidos y software y métodos adicionales (por ejemplo, utilizados para la evasión de antivirus) que ayudan a realizar pruebas de penetración.
Nmap/escaneo de puertos El escaneo de puertos es el proceso de determinar qué puertos de red están abiertos mediante el envío de paquetes TCP o UDP al host investigado y la interpretación de la respuesta obtenida. Nmap es un popular escáner de puertos, una herramienta que se utiliza para llevar a cabo el escaneo de puertos.
OSCE (Experto certificado en seguridad ofensiva) Certificación de pruebas de penetración.
OSCP (Profesional certificado en seguridad ofensiva) Certificación de pruebas de penetración.
PBKDF En criptografía, la KDF (función de derivación de claves) es una función que produce claves secretas basadas en una entrada secreta. PBKDF significa función de derivación de clave basada en la contraseña y se utiliza para derivar una clave secreta a partir de la contraseña de un usuario.
Phishing Un tipo de ataque cuyo objetivo es obtener credenciales de usuario, datos confidenciales. Suele consistir en el envío de correos electrónicos suplantando a alguna autoridad (como la de seguridad, el jefe, el empleador) y redirigiendo a los usuarios a un sitio web que imita una página de acceso de confianza. Esto puede hacerse mediante un dominio de URL que difiere en letras que son similares (como la i mayúscula y la L minúscula) o el typosquatting, por ejemplo. Se trata de un ataque que no sólo aprovecha las vulnerabilidades técnicas, sino que también utiliza la ingeniería social.
Equipo Rojo Un grupo de especialistas en seguridad que pone a prueba los sistemas y procedimientos de seguridad de una organización en escenarios del mundo real. Las evaluaciones de los equipos rojos pueden utilizar no sólo vectores cibernéticos, sino también físicos, como la irrupción en edificios, la colocación de dispositivos en las redes y ordenadores de una organización que pueden ayudar a comprometer sus sistemas. Un posible resultado puede ser la exfiltración de datos confidenciales. Los equipos rojos se contratan para ayudar a entrenar a los equipos azules, especialistas cuyo trabajo consiste en mantener la seguridad de los sistemas de una empresa, vigilar y responder a los incidentes y minimizar los efectos de las violaciones.
RCE/ACE (ejecución remota de código/ejecución arbitraria de código) Describe el impacto de la vulnerabilidad que permite al atacante ejecutar código o comandos arbitrarios en el sistema objetivo. El RCE se produce cuando el atacante es capaz de ejecutar código arbitrario en el host remoto a través de la red.
Caja de arena Término utilizado para describir un tipo de entorno seguro, sin privilegios y aislado en el que se puede ejecutar software no fiable sin causar ningún daño a otros sistemas.
SIEM (Gestión de Información y Eventos de Seguridad) Herramientas complejas utilizadas para la agregación de registros, la supervisión y el análisis de informes en tiempo real de las alertas y los eventos generados por las soluciones de software y hardware en la red de una organización.
SPAM Mensajes no deseados y no solicitados enviados por correo electrónico.
Spear-phishing Ataque de phishing altamente dirigido a una persona/organización, etc. Suele ir precedido de un largo y exhaustivo reconocimiento.
Inyección SQL (SQLi) Uno de los ataques más populares que se dirigen a las consultas de bases de datos en las aplicaciones. Son causados por una incorrecta sanitización, codificación y manejo de los datos proporcionados por el usuario. Los ataques SQLi conducen a la ejecución de sentencias SQL arbitrarias en la base de datos y a la exfiltración o modificación de su contenido.
SSTI (Server Side Template Injection) Una técnica de inyección de código que se produce cuando el servidor utiliza datos enviados por el usuario en la plantilla. Este tipo de ataque puede llevar a una ejecución de código arbitrario del lado del servidor.
Modelización de la amenaza Se trata de un proceso que reconoce, identifica y prioriza las amenazas potenciales. Por ejemplo, podría exponer las vulnerabilidades que podrían ser explotadas por un atacante para comprometer los sistemas informáticos. El modelado de amenazas ayuda a diseñar e implementar procedimientos, políticas y acciones para asegurar los activos valiosos haciendo que los ataques no sean rentables. Para facilitar el modelado de amenazas, se han diseñado metodologías como VAST.
VAST (Modelado visual de amenazas ágiles y sencillas) Una metodología utilizada en el modelado de amenazas.
Evaluación de la vulnerabilidad Proceso de búsqueda de amenazas conocidas en un sistema (vulnerabilidades conocidas) mediante técnicas como el escaneo de puertos y la toma de huellas de servicios. Durante las evaluaciones de vulnerabilidad, se analizan los resultados para determinar los puntos débiles del sistema y se proporcionan mitigaciones para minimizar el riesgo o el impacto de un posible ataque.
WAF (cortafuegos de aplicaciones web) Una herramienta utilizada para endurecer las aplicaciones web. Los WAFs validan la entrada del usuario y monitorean las solicitudes maliciosas, luego las bloquean y reportan.
XSRF Otro acrónimo de CSRF
XSS (Cross-Site Scripting)

Una clase de vulnerabilidades de seguridad informática, generalmente en aplicaciones web, que permite a un atacante inyectar scripts del lado del cliente (generalmente en JavaScript, a veces VBScript). La ejecución de código en el navegador de un usuario puede ayudar a eludir algunos métodos de control de acceso como la SOP (política del mismo origen), exfiltrar datos de autenticación (cookies) para suplantar al usuario registrado o modificar dinámicamente un sitio web.

XXE (entidad externa XML) Un ataque dirigido a las aplicaciones de procesamiento XML que no manejan adecuadamente las referencias a entidades externas. Normalmente, este tipo de vulnerabilidad conduce a la divulgación de datos.

4.2 Los nombres más comunes de la ingeniería de seguridad que se utilizan indistintamente

  • CRSF <-> XSRF (véase el glosario)

4.3 Versiones de temas de seguridad completamente diferentes

  • El SSTI suele ir precedido del XSS, pero lleva a la ejecución de código del lado del servidor. En cambio, el XSS consiste en la ejecución de código del lado del cliente.

4.4 ¿Qué importancia tienen los certificados de ingeniería de seguridad para evaluar las habilidades de codificación de un candidato?

Los certificados ciertamente no lo son todo, pero hay algunos certificados notables que son respetados por los ingenieros de seguridad. Es bueno tenerlos, pero no son esenciales. Los más comunes y respetados son:

  • CISSP
  • OSCP
  • OSCE
  • CCNA [Seguridad]

4.5 Otros aspectos a tener en cuenta en el currículum de un ingeniero de seguridad

  • Es bueno tener una lista de los CVE presentados (véase el glosario)

Preguntas de la entrevista a un ingeniero de seguridad para hacer durante una entrevista técnica por teléfono/vídeo - preguntas de la entrevista a un ingeniero de seguridad de productos5. Preguntas de la entrevista a un ingeniero de seguridad en una entrevista técnica por teléfono/vídeo

Un currículum de ingeniero de seguridad puede dar una pista sobre los conocimientos y la experiencia de un ingeniero de seguridad, pero es importante poder comprobar de qué puede hablar realmente el candidato y cómo ha aplicado sus conocimientos en el pasado.

5.1 Preguntas sobre la experiencia del candidato

Q1: ¿Ha gestionado alguna infracción? ¿Cómo se produjo? ¿Cómo se podría prevenir?

Por qué debe preguntar la Q1: El candidato podrá compartir su experiencia con el sector en cuestión. No se producen grandes infracciones a diario, pero sí accidentes menores, por lo que el candidato deberá tener algunas ideas y conclusiones sobre ese tema. Tenga en cuenta que los casos específicos son información vital y los detalles pueden ser confidenciales, por lo que el entrevistado no podrá hablar de ellos.

Q2: ¿Cuál es su opinión sobre el papel del ingeniero de seguridad en la empresa?

Por qué debería preguntarle a Q2: El candidato debe conocer las responsabilidades de un ingeniero de seguridad en una organización. Tenga en cuenta que determinadas tareas pueden estar fuera o dentro del ámbito de esta función: depende de la estructura de la organización.

Q3: ¿Qué opina de BYOD (bring your own device)?

Por qué debería preguntarle a Q3: Independientemente del lado del aumento que elija el candidato, es clave comprender los riesgos, las debilidades y el manejo adecuado de los dispositivos no confiables y el acceso a los datos de la organización.

5.2 Preguntas sobre los conocimientos y opiniones del candidato

Q1: ¿Qué es una amenaza, una vulnerabilidad, un exploit y una mitigación? (explique)

Por qué debe preguntar la Q1: Esta pregunta permitirá al candidato demostrar su comprensión y conocimiento básico de los términos utilizados en la seguridad informática. El candidato deberá señalar que las mitigaciones son parches/correcciones aplicadas al software (u otros mecanismos utilizados, por ejemplo, en el nivel del núcleo) para evitar la explotación de la vulnerabilidad.

Q2: ¿Qué es una inyección SQL y en qué se diferencia de la XXE? (explique)

Por qué debería preguntarle a Q2: El candidato debe ser capaz de mostrar una comprensión básica de algunas vulnerabilidades comunes encontradas en las aplicaciones modernas.

Q3: ¿Qué lleva a SSTI (server-side template injection) y es más peligroso que XSS? ¿En qué se diferencian?

Por qué debería preguntarle a Q3: Las vulnerabilidades son complejas. A veces, la aparición de un tipo de errores puede insinuar que otra parte de la aplicación también se está comportando mal y que la amenaza real tiene un impacto mucho mayor del que se pensaba inicialmente.

Q4: Qué son: IDS, IPS y EDR. ¿En qué se diferencian?

Por qué debería preguntarle a Q4: El candidato debe ser capaz de diferenciar las clases básicas de herramientas utilizadas para descubrir y evitar que los atacantes causen pérdidas.

Q5: ¿Cómo funciona el cifrado asimétrico? ¿Cuándo se debe utilizar? ¿Cuáles son los pros y los contras en comparación con el cifrado simétrico? Nombra un algoritmo de cifrado simétrico y otro asimétrico.

Por qué debería preguntarle a Q5: La criptografía es omnipresente en la seguridad de las aplicaciones actuales. El candidato debe conocer los inconvenientes del cifrado asimétrico (por ejemplo, la velocidad).

Q6: ¿Cuál es la diferencia entre el cifrado de flujo y el cifrado de bloque?

Por qué debería preguntarle a Q6: El candidato debe ser capaz de mostrar conocimientos básicos sobre las herramientas que ofrece la criptografía moderna y sus casos de uso.

Q7: ¿Qué es el hashing (criptográfico), para qué se utiliza, cuándo y en qué se diferencia del cifrado? Nombra un algoritmo de hashing que no deba usarse y otro "no probado como inseguro".

Por qué debería preguntarle a Q7: El candidato debe saber que, por ejemplo, almacenar las contraseñas de los clientes en texto plano es una práctica reprobable y que es aquí donde deben desplegarse las funciones hash. Por ejemplo, la función no segura es MD5. Todavía no se ha demostrado que SHA256 tenga colisiones y es bastante seguro utilizarla.

Q8: ¿Qué es el PBKDF y cómo funciona? ¿Por qué utilizarlo?

Por qué debería preguntarle al Q8: El candidato debe ser capaz de demostrar que conoce la existencia de estos mecanismos y las formas eficientes/convenientes de aplicar la seguridad en el día a día.

Q9: ¿En qué se diferencia el CSRF del XSS?

Por qué debería preguntarle a Q2: El candidato debe ser capaz de diferenciar clases de vulnerabilidades comunes.

Q10: ¿Qué es una huella digital?

Por qué debería preguntarle a Q10: Este tema permite al candidato hablar de los métodos de identificación de los sistemas encontrados. La técnica suele ser utilizada por el atacante en la fase de reconocimiento. El candidato también puede hablar de los métodos de rastreo basados en huellas dactilares únicas.

Q11: ¿Cómo comprobar si el archivo descargado es correcto?

Por qué debería preguntarle a Q2: Esta pregunta permite al candidato demostrar algunos conocimientos prácticos y básicos sobre sumas de comprobación, algoritmos hash y firmas criptográficas.

Q12: Explique el principio de la CIA.

Por qué debería preguntarle a Q12: El principio o triángulo de la CIA es un modelo básico utilizado para crear políticas de seguridad. El candidato debe ser capaz de utilizarlo para demostrar su profundo conocimiento de las reglas que deben tenerse en cuenta a la hora de elaborar normas y políticas.

Q13: ¿Qué son los golpes de puerto?

Por qué debería preguntarle a Q13: El candidato debe estar familiarizado con las medidas de seguridad básicas. Esta pregunta es un poco complicada porque el golpeo de puertos no debería considerarse a prueba de balas.

Q14: ¿Nombre del protocolo seguro para gestionar servidores remotos?

Por qué debería preguntarle a Q14: El candidato debe ser capaz de hablar de las herramientas básicas que garantizan la seguridad durante las tareas diarias como la gestión de servidores remotos. SSH es una de ellas.

Q15: ¿Qué es rlogin y qué hay que hacer con él? ¿Por qué? ¿Por qué no? Explique

Por qué debería preguntarle a Q15: La seguridad informática es un campo muy dinámico, pero a veces los entornos deben atender a requisitos heredados. Por eso utilizan tecnologías antiguas como rlogin. Al responder a esta pregunta, el candidato puede demostrar que conoce a fondo las herramientas de seguridad y que sabe cuáles de ellas carecen de seguridad y por qué.

Q16: ¿Qué es el endurecimiento?

Por qué debería preguntarle a Q16: Esta pregunta debe dar al candidato la oportunidad de hablar de varios métodos para hacer más seguro el entorno y las aplicaciones.

Q17: ¿Qué son las pruebas de penetración? ¿Qué es la evaluación de la vulnerabilidad? ¿En qué se diferencian? ¿Qué es una auditoría de seguridad?

Por qué debería preguntarle a Q17: Esta pregunta es un poco complicada. A veces estos términos se malinterpretan y se utilizan indistintamente. La dirección puede utilizar mal estos términos, por lo que el candidato debe estar familiarizado con ellos y conocer las diferencias.

Q18: Nombra una guía de pentesting.

Por qué debería preguntarle a Q18: Los informes de pentesting suelen aparecer en el escritorio de un ingeniero de seguridad. El candidato debe ser capaz de conocer algunas pautas de las pruebas de penetración no sólo para manejar adecuadamente los informes, sino también para considerar las características no afectadas por el pentest.

Q19: ¿Qué es la PKI (infraestructura de clave pública)? ¿Cómo funciona?

Por qué debería preguntarle a Q19: Al responder a esta pregunta, el candidato puede demostrar sus conocimientos sobre el manejo de la autenticación proporcionada por las soluciones criptográficas. El candidato debe ser consciente de los supuestos que acompañan a este tipo de mecanismos.

Q20: ¿Qué es Kerberos? ¿Para qué se utiliza? ¿Se puede utilizar en los dominios de Windows?

Por qué debería preguntar en el Q20: Las redes de una gran organización necesitan soluciones especiales para reducir las superficies de ataque en las áreas relacionadas con las restricciones de acceso. El candidato puede mostrar su comprensión de una de las soluciones más populares, sus ventajas y limitaciones.

Q21: ¿Qué es la fijación de certificados? ¿Cómo hacerlo correctamente?

Por qué debería preguntarle al Q21: Esta pregunta trata de garantizar la seguridad a pesar de la comunicación a través de un canal inseguro. Ayudará al candidato a demostrar sus conocimientos sobre las mitigaciones más comunes.

Q22: ¿Qué hacer cuando te roban el certificado privado?

Por qué debería preguntarle al Q22: Se trata de una pregunta práctica que da al candidato la oportunidad de hablar de acciones que son más bien raras pero que tienen un impacto realmente fuerte en la seguridad de la empresa. Puede tratarse de una situación muy estresante y peligrosa, y saber cómo afrontarla es uno de los atributos de la ingeniería de software.

Q23: ¿Nombre una herramienta popular de exploración de vulnerabilidades?

Por qué debería preguntar a Q23: Esta pregunta, aunque no se refiere estrictamente al trabajo de un ingeniero de seguridad, permite al candidato demostrar su conocimiento de las herramientas utilizadas en las evaluaciones de seguridad.

Q24: ¿Qué es un equipo azul, un equipo rojo y un equipo morado? ¿Cuál es el más importante?

Por qué debería preguntar a Q24: En base a esta pregunta, el candidato mostrará si está más interesado en la seguridad ofensiva o en la defensa. Pero sea cual sea la elección, estas preguntas mostrarán una comprensión de los retos y soluciones de seguridad actuales.

Q25: ¿Qué es la DLP y cómo funciona?

Por qué debería preguntar en la P25: Esta pregunta dará al candidato la oportunidad de hablar sobre algunas técnicas que ayudan a prevenir o localizar la fuga de datos.

Q25: ¿Qué es el WAF? Nombra una solución WAF.

Por qué debería preguntar en la P25: Las aplicaciones web son muy populares hoy en día. Por eso se convierten en objetivos muy a menudo. El candidato debe tener algunos conocimientos sobre las posibilidades de protegerlas y los productos habituales que se pueden aplicar.

Q26: ¿Qué es la política de origen?

Por qué debe preguntar Q26: El candidato debe ser capaz de hablar sobre esas mitigaciones tal y como se implementan en los navegadores modernos, sus puntos fuertes y sus debilidades.

Q27: ¿Qué es la CSP (política de seguridad de contenidos) y cuándo debe utilizarse?

Por qué debe preguntar Q27: Dado que el XSS ha permanecido en la cima de la lista de las 10 principales vulnerabilidades de OWASP, esta pregunta permitirá al candidato demostrar que está familiarizado con este problema y que conoce las mitigaciones adecuadas.

Q28: ¿Cómo mitigar la inyección SQL?

Por qué debe preguntar Q28: Esta pregunta permite al candidato hablar de algunas mitigaciones básicas utilizadas en las aplicaciones (por ejemplo, las declaraciones preparadas) para garantizar que los datos proporcionados por el usuario se manejen de forma correcta y permanezcan clasificados como no confiables.

Q29: ¿Qué es el HSTS? ¿Por qué debería utilizarlo?

Por qué debería preguntar a Q29: El hombre en el medio tiene un gran impacto en la seguridad. El candidato que responda a esta pregunta debe ser capaz de mostrar un conocimiento básico de los dispositivos de criptografía y de las soluciones que mitigan este peligroso ataque.

Q30: Explique cómo funciona el TLS (en unas pocas frases).

Por qué debería preguntar a Q30: Esta pregunta ofrece la oportunidad de que el candidato hable de las soluciones criptográficas actuales para asegurar los canales de comunicación inseguros con una tecnología muy popular.

Q31: ¿Cuál es la diferencia entre autorización y autenticación?

Por qué debe preguntar Q31: Esta es una pregunta realmente básica que mostrará que el candidato tiene una comprensión adecuada de los términos y los desafíos que desafiarán cada día en su trabajo como ingeniero de seguridad.

Q32: ¿Qué son las ACL? ¿Cómo se utilizan?

Por qué debería preguntar en la P32: Esta pregunta demostrará que el candidato tiene un conocimiento adecuado de la solución de restricción de acceso en los sistemas actuales.

Q33: Nombrar los niveles de confidencialidad.

Por qué debería preguntar a Q33: Esta pregunta permite al candidato hablar de los términos básicos utilizados para juzgar el nivel de protección de los activos en la organización.

Q34: ¿Qué es RADIUS? ¿Cuándo hay que utilizarlo?

Por qué debería preguntar Q34: Al responder a esta pregunta, el candidato demostrará su profundo conocimiento de las soluciones actuales de autenticación y autorización de usuarios, que es el nivel clave para garantizar la seguridad.

Q35: ¿Qué es una VLAN y cuándo hay que utilizarla? ¿Cómo funciona el salto de VLAN?

Por qué debería preguntar a Q35: Esta pregunta permitirá al candidato decir cómo utilizar las soluciones de red para la separación de redes.

Q36: ¿Cómo asegurar el WiFi en una organización? (separación de redes)

Por qué debe preguntar Q36: Este es un tema amplio. El candidato puede mostrar la comprensión del problema complejo y su comprensión de la modelización de las amenazas.

Q37: Nombra tres maneras de realizar pruebas de seguridad en función del nivel de conocimiento del atacante. ¿Cuál es la más fiable y simula un escenario del mundo real?

Por qué debería preguntar a Q37: Los pentests son una de las formas de desafiar las medidas de seguridad implementadas. El candidato podrá demostrar su nivel de conocimiento del equipo atacante simulado que ayudará a modelar las amenazas y a analizar los informes.

Q38: Nombre cada capa del modelo ISO/OSI.

Por qué debería preguntar a Q38: Esta pregunta dará al candidato la oportunidad de demostrar sus conocimientos básicos sobre redes.

Q39: ¿Qué es el riesgo residual?

Por qué debe preguntar Q39: El candidato será capaz de demostrar su profundo conocimiento de las amenazas y de la modelización de las mismas. Se trata de una capacidad clave utilizada en las evaluaciones de riesgos.

Q40: Imagina que trabajas en una pequeña empresa. Cada mes se contratan varios becarios durante un corto periodo de tiempo. Necesitan acceder a algunos servidores y a una red WiFi. ¿Cómo lo vas a gestionar?

Por qué deberías preguntar a Q40: Se trata de un tema práctico y amplio que permitirá al candidato mostrar sus conocimientos sobre redes y soluciones de seguridad que ayudan a garantizar la seguridad en las empresas de forma conveniente. Deberá señalar los mecanismos utilizados para evitar la necesidad de compartir y cambiar una contraseña entre el equipo.

Q41: ¿Qué es un gestor de contraseñas? ¿Para qué se debe utilizar?

Por qué debería preguntar Q41: Esta pregunta ayuda al candidato a demostrar sus conocimientos sobre la simplificación de los mecanismos de seguridad para los usuarios finales.

Q42: ¿Qué política es mejor, la lista negra o la lista blanca, y por qué?

Por qué debería preguntar en la P42: Esta pregunta permitirá al candidato mostrar un conocimiento básico sobre la posición de los defensores en la ciberguerra. Conocer las desventajas de las listas blancas puede prevenir eventos catastróficos en el futuro.

Q43: Define lo que es un ataque de hombre en el medio.

Por qué debería preguntar a Q43: Esta pregunta ayuda al candidato a demostrar sus conocimientos sobre las amenazas actuales y los ataques populares. También debería dar la oportunidad de hablar sobre las contramedidas.

Q44: ¿Cómo funciona el intercambio de claves Diffie-Hellman (DHKEX)?

Por qué debería preguntar a Q44: Esta pregunta permitirá al candidato hablar de uno de los mecanismos más populares y utilizados.

Q45: ¿Qué es el SIEM y cómo funciona?

Por qué debería preguntar a Q45: El candidato será capaz de demostrar su comprensión de las herramientas desplegadas para ayudar a defender los activos de una organización.

Q46: ¿Qué es el DoS y el DDoS? ¿Cuál es la diferencia?

Por qué debe preguntar Q46: Esta es una pregunta fácil que mostrará una comprensión básica de ataques realmente comunes y antiguos que siguen siendo muy populares hoy en día.

Q47: ¿Cómo se evita la suplantación de DNS y cómo se asegura un DNS?

Por qué debería preguntar a Q47: Esta pregunta permitirá al candidato demostrar sus conocimientos administrativos y su comprensión de las amenazas modernas en las organizaciones. Hablar de la seguridad de un DNS demostrará que el candidato está familiarizado con los mecanismos criptográficos y las soluciones aportadas para luchar contra las amenazas actuales en las redes internas.

5.3 Preguntas sobre el comportamiento debe preguntar para entender cómo ha actuado el candidato en el pasado

Q1: Los dos últimos años han estado ocupados por ataques de ransomware que han causado estragos en organizaciones y empresas que han provocado enormes pérdidas financieras y de reputación. Qué medidas tomarías para evitar que este tipo de accidentes ocurran en tu organización?

Por qué debería preguntarle a Q1: Esta pregunta permitirá al candidato desafiar las amenazas de hoy en día y mostrar su creatividad para resolver problemas no triviales.

Q2: Su IDS ha informado de una brecha. ¿Qué haría usted para eliminar la amenaza?

Por qué debería preguntarle a Q2: Se trata de un tema amplio que permitirá al candidato mostrar su comprensión de las políticas de seguridad, la comprensión de la complejidad de los problemas de seguridad y mostrar su visión amplia sobre el problema.

Examen técnico de los conocimientos de los ingenieros de seguridad mediante una prueba de codificación en línea - preguntas de la entrevista a los ingenieros de seguridad de productos6. Examen técnico de los conocimientos de ingeniería de seguridad mediante una prueba de codificación en línea

La seguridad no debe ser un concepto abstracto en el que se piensa. Debe ser una serie continua de preparaciones y reacciones a las amenazas de seguridad a las que se enfrenta su organización. Como hemos comentado, un componente importante de esto es la capacidad de codificación, utilizando herramientas para probar la seguridad de una aplicación o red. La prueba de codificación que utilices debe reflejar eso.

6.1 ¿Qué prueba de programación de seguridad debe elegir?

A la hora de buscar la prueba de programación en línea de seguridad adecuada, debes asegurarte de que cumple los siguientes criterios.

  • Reflejan el trabajo real que se realiza, con los verdaderos retos de seguridad contemporáneos
  • No requieren demasiado tiempo de los candidatos, una o dos horas como máximo
  • Se pueden enviar automáticamente y se pueden llevar a cualquier parte para que usted y su candidato tengan flexibilidad
  • Van más allá de comprobar si la solución funciona para comprobar también la calidad del código y lo bien que funciona en los casos de borde.
  • Están tan cerca del entorno de programación natural como es posible y dejan que el candidato acceda a los tipos de recursos que normalmente utilizarían en el trabajo.
  • Permiten al candidato utilizar todas las bibliotecas, frameworks y otras herramientas que normalmente utilizaría, incluidas las más importantes para el trabajo
  • Tienen un nivel adecuado a las capacidades del candidato

7. Pruebas de evaluación de la codificación de seguridad en línea DevSkiller listas para usar

La metodología RealLifeTestingTM de Devskiller es ideal para probar las habilidades de los ingenieros de seguridad. La plataforma no hace preguntas académicas. En su lugar, establece situaciones reales de seguridad que un ingeniero de seguridad debe abordar utilizando su experiencia y creatividad. Además, las pruebas se califican automáticamente y se puede ver cómo el ingeniero de seguridad llega a su solución. DevSkiller ofrece pruebas de seguridad tanto de codificación como de sistemas. Aquí hay algunos que puedes probar.

JUNIOR
Habilidades probadas
Duración
70 minutos como máximo.
Evaluación
Automático
Resumen de la prueba

Preguntas de elección

evaluando el conocimiento de Seguridad, DevOps, Docker

Tarea de prueba - Nivel: Fácil

Seguridad | Inyección SQL | Fuga de correo electrónico en el sitio web de comercio electrónico - Encuentra una fuga de Inyección SQL en la aplicación web

JUNIOR
Habilidades probadas
Duración
70 minutos como máximo.
Evaluación
Automático
Resumen de la prueba

Preguntas de elección

evaluando el conocimiento de Seguridad

Tarea de DevOps - Nivel: Fácil

Seguridad | Inyección SQL | Fuga de correo electrónico en el sitio web de comercio electrónico - Encuentra una fuga de Inyección SQL en la aplicación web

Compartir correo

Más información sobre la contratación de tecnología

Suscríbase a nuestro Learning Hub para recibir información útil directamente en su bandeja de entrada.

Verificar y desarrollar las habilidades de codificación sin problemas.

Vea los productos DevSkiller en acción.

Certificaciones de seguridad y cumplimiento. Nos aseguramos de que sus datos estén seguros y protegidos.

El logo de DevSkiller Logotipo de TalentBoost Logotipo de TalentScore