将来のセキュリティコンサルタントに何を尋ねればよいですか?
セキュリティコンサルタントに、正当かどうかを確認するように依頼する必要がありますか?
評価を実行するために誰かを雇うことを探していますが、誰かが最初に評判が良いことを確認したいのですが。
参照を求めることは合理的なスタートです。
別の粗い指標は、よく知られている会議での可視性と実績です。彼らがブラックハット、RSAセキュリティ会議、WOOTなどで講演者である場合、それはしばしば良い兆候です。 (しかし、この種の可視性の欠如は、必ずしもそれらが無資格であることを意味するわけではありません。これは、せいぜい非常に大まかな指標です。)
また、公開された脆弱性レポート、ホワイトペーパーなどの実績も確認できます。
認定にはあまり注意を払いません。彼らの主要なまたは唯一の資格がCISSPまたは同様の資格である場合、低レベルの人を取得している可能性があります。認定の価値は、特定の認定と、コンサルタントに求めている仕事の種類によって異なります。
認定の内容とその評判の詳細については、次のスレッドを参照してください。 ITセキュリティのプロフェッショナル認定 ; Webセキュリティ認定 ; 国際ペンテスター認証 ; 初心者向けの基本的な認定コースは何ですか? ; CISSPは最近の卒業生にとってどの程度役に立ちますか? ; CEHまたはGIAC-どちらを実行する必要がありますか? ; CCNAの準備により、侵入テスターとしての私の知識が「大幅に」向上しますか? 。
あなたが彼らに取り組んでもらいたいシナリオに似たシナリオを考案し、彼らにどのように取り組むかについてあなたに説明してもらいます。あなたは、ビジネスのニーズを理解する彼らの能力と彼らの技術的な理解を評価したいと思うでしょう。重要な要素は、彼らが正しい質問をし、あなたに正しい答えを与えるかどうかです。
たとえば、eコマースインフラストラクチャを誰かに評価してもらいたい場合、シナリオは次の質問から始まる場合があります。
- 「新しいウェブサイトを立ち上げたいのですが、どのように保護すればよいですか?」
適切な候補者は、関係するデータと、許容できるリスクのレベルについてすぐに尋ね始めます。悪い候補者はすぐに非難されます。
彼らがあなたの満足にそれを答えるか、あなたから情報を引き出したら、あなたはそれを次のように拡張できます:
- ウェブサイトにはショッピングカートが含まれます。それをどのように確保すべきですか?
...など。理想的には、このシナリオでは、ITだけでなく、ポリシー、手順、スタッフのトレーニング、バックアップ、バックアップのセキュリティなど、ファイアウォールやIPSの役割をすべて担う候補者がいるはずです。
彼または彼女の技術的専門知識に挑戦できる人がいない場合は、クライアント紹介ルートを利用すると思います。参考資料を求めます-できれば、同様の作業を行ったクライアントから。
参照、参照、およびその他の参照。あなたのサイズに近い会社から。あなたはリファレンスを呼び出し、コンサルタントがどのようにしたか尋ねる必要があります。既存のポリシーと手順を読んで、改善のための提案を行ったかどうかを尋ねます。彼らが業界のベストプラクティスを提案しているかのように。会議でスピーキングの役割を持つコンサルタントは、仕事ができるかどうかをまったく考慮していません。彼らが会議または書面で発表した場合は、常に彼らの本またはスライドまたは講演の記録を求め、それをレビューして、以前の顧客を参照しているかどうかを確認する必要があります。あなたが望む最後のことは、彼らが次の会議であなたの会社について(匿名でさえ)話し合うことです。