10 perguntas para usar na entrevista do profissional de Segurança.

1 – Onde você busca informações sobre segurança?

Será aceitável se o candidato informar que lê sites como o rootsecure, secguru, astalavista, whitedust, Internet Storm Center, etc. Na verdade a fonte não é muito relevante, desde que seja do nível das citadas neste exemplo. O importante é que o candidato não responda que lê nos sites tipo CNET, Info Exame, etc. Pois apesar de serem bons sites de notícia não expecialistas em segurança.

2 – Se você precisa criptografar e comprimir dados para a compressão. o que você faz primeiro e porque?

Essa pergunta foi feita em uma entrevista da cisco. A resposta correta é primeiro comprimir para depois criptografar, pois se você criptografar primeiro, terá dados aleatórios (lixo) o que destrói drasticamente os benefícios da compressão.

3 – Que tipos de computador(es) você tem em casa?

Boa resposta para essa questão é qualquer coisa que mostre que o cara é um entusiasta em computadores/tecnologia/segurança, pois a partir daí saberemos se o candidato está na entrevista só pelo salário ou porque gosta mesmo da função. Se ele disser que deixa os computadores no trabalho e em casa não usa muito isso é um péssimo sinal.

4 – O ping trabalha sobre qual porta?

É uma pergunta capciosa, boa para testar ;) . Se o cara começar a pensar, enumerando as portas, mostra que ele sabe alguma coisa, mas precisa se especializar mais. Resposta correta (caso você também não saiba, rsrs): O ping trabalha com protocolo ICMP que atua na camada 3, portanto não usa porta nenhuma. Uma boa variação dessa pergunta é perguntar se o ping trabalha com TCP ou UDP.

5 – Como exatamente o comando tracert/tracroute trabalha?

É uma questão bastante técnica mas é um importante conceito a ser conhecido. Não é na verdade uma questão intrínseca de segurança. Mas mostra que é importante para você que ele saiba como as coisas funcionam, pois isso é fundamental para um profissional de segurança. Muita gente pensa que o tracert/traceroute envia um ping para o primeiro hope, depois para o segundo, e assim sucessivamente até chegar ao destino final. Na verdade esses comando trabalham alterando o TTL do pacote, e cada router por onde o pacote passa decrementa o TTL  e dá um retorno para o remetente, quando o TTL chega a zero o pacote é descartado. Caso não passe em nenhum roteador expira pelo tempo mesmo. Veja mais detalhes sobre esse comando em (http://www.freesoft.org/CIE/Topics/54.htm)

6 – Descreva o último script que você escreveu, que problema ele resolvia?

É outra pergunta capciosa, mais importante que a resposta é a reação do entrevistado, se ele reagir naturalmente e dizer que nunca fez, ou que fez um script bem simples, significa que ele não tem o hábito de programar (ruim mas pode ser resolvido) se ele reagir com certa repulsa ou medo, ai sim é ruim porque mostra que ele detesta programar ou morre de medo (péssimo)!! Conhecimento em programação não é fundamental mas e altamente desejável para o cara que quer ser um profissional de alto nível.Não precisa ser ninja da programação, mas precisa conhecer o suficiente para fazer algum script eventualmente ou analisar códigos de outros para saber o que eles fazem com suas informações.

7 – Quais são os prós e os contras de Windows vs Linux?

Outra capciosa, se ele defender ferrenhamente um sistema em detrimento do outro, chegando até a se negar trabalhar com a ferramenta odiada. Seja qual for o lado preferido dele. cuidado, pois isso é sinal de amadorismo ou fanatismo e ambas as características podem causar-lhe problemas no futuro.

8 – Qual a diferença entre um risco e uma vulnerabilidade?

Perguntinha básica, para descansar das armadilhas que ele acabou de se safar (senão não estaria mais respondendo preguntas ;) ). É importante ter conhecimentos sobre conceitos como risco, vulnerabilidade, ameaça, exposição, etc. E saber diferenciá-as.

9 – Qual o objetivo de se implementar segurança da informação em uma empresa?

Essa é A PERGUNTA. Deve mostrar um dos dois principais tipos de abordagem: A primeira delas seria algo do tipo: “Para controlar o máximo possível o acesso à informação. Senhor!!!” Muito bonita, porém muito imatura. Não é um mau caminho, mas não é o mais desejável. Uma resposta muito melhor seria algo do tipo: “Para ajudar a empresa a obter sucesso.” Isso mostra que o indivíduo sabe que empresa existe para faturar e que é nossa função como empregados ajudar, cada qual com sua parcela, a alcançar esse objetivo. É este tipo de perspectiva que eu acho que representa o mais elevado nível de compreensão da segurança. A compreensão que a segurança da informação serve à empresa e não o contrário.

10 – Um projeto de código aberto é mais ou menos seguro que um de código fechado?

A resposta dessa pergunta diz muito sobre o candidato. Por exemplo: 1) O quanto ele conhece (ou não) sobre desenvolvimento de software; 2) Ela realmente mostra a maturidade do indivíduo (um tema comum a todas essas questões). A resposta ideal depende da dimensão do projeto, da quantidade de pessoas trabalhando nele e – o mais inportante – o controle de qualidade.  Em suma, não há maneira de saber a qualidade de um projeto simplesmente por saber que ele quer de código-fonte aberto ou proprietário. Temos exemplo de aplicações horríveis e inseguras em ambos os tipos de projeto.

O objetivo dessas perguntas é descobrir como os entrevistados pensam e como eles abordam os problemas.

A experiência mostra que os melhores profissionais são os que têm o espírito aberto e adaptável, pois conseguirão entender melhor o problema e resolvê-lo melhor e mais rapidamente que aquele tipo de profissional que vivem em uma pequena “caixa mental”.

Abraço e até a próxima

Post to Twitter Enviar para o Twitter

Publicado por: tecdom em April 5th, 2009 | Categoria Informática, Segurança



DEIXE UM COMENTÁRIO

rss feed