Cinco preguntas comunes de una entrevista de respuesta a incidentes y cómo responderlas

Unos pocos puntos de preparación para la entrevista

Comience por repasar los marcos de respuesta a incidentes recientes de organizaciones reconocidas de estándares de seguridad de la información como NIST, ISACA y la Organización Internacional de Normalización (ISO).

Antes de adentrarnos en los matices de las preguntas en sí, es útil señalar que existen algunos tipos diferentes de preguntas de entrevista de respuesta a incidentes que podría encontrar. Por supuesto, hay preguntas técnicas diseñadas para solicitar qué tan bien se entiende cómo navegar el panorama tecnológico que es probable que encuentre en el trabajo. Pero hay otros tipos de preguntas más allá de esto. Por ejemplo, hay preguntas basadas en la ética diseñadas para evaluar qué tan bien se alinea su compás ético con lo que la organización espera. Del mismo modo, hay preguntas orientadas a la cultura diseñadas para obtener qué tipo de persona es, es decir, su personalidad. También hay preguntas para pensar, diseñadas para evaluar qué tan bien piensa creativamente, resolver problemas sobre la marcha o cuánto le interesa el mundo que lo rodea.

Siempre es útil pensar qué tipo de pregunta es la que se plantea al formular su respuesta. Responda honestamente, por supuesto, pero esté atento a lo que su respuesta resalta sobre usted en cada uno de estos ejes: ¿Está demostrando una comprensión completa del espacio técnico? ¿Está demostrando el marco ético que la organización espera? ¿Su respuesta se alinea con la cultura que abarca la organización? La clave para esto es hacer un poco de investigación sobre la organización de antemano, por ejemplo, sobre la propia empresa y, cuando pueda, sobre el entrevistador. Un vistazo rápido al sitio web de la compañía o al perfil de LinkedIn del entrevistador puede darle una buena idea de lo que podría ser valioso para ellos, permitiéndole mostrar estas cualidades en sus respuestas.

La segunda cosa a tener en cuenta es que siempre puede solicitar más información. De hecho, para algunas de las preguntas del tipo de enigma, esta es una necesidad casi ineludible. Por ejemplo, en respuesta a una pregunta como: "¿Por qué son redondas las aberturas de pozo?", puede pedir una aclaración adicional; es decir, si lo ven desde una perspectiva de fabricación (minimización de la desviación durante la fabricación), seguridad (minimización de la posibilidad de cubrir para caer a través de la abertura abierta), ingeniería (minimización de la deformación o desalineación en temperaturas frías), o alguna otra cosa.

Por último, sea honesto. Si no sabe la respuesta a una pregunta técnica, dígalo, y luego haga un seguimiento de lo que sabe sobre el tema que le preguntaron. Explique claramente dónde termina el límite de su conocimiento si no lo sabe. Casi lo peor que puedes hacer es tratar de hacer un farol para salirse con la suya. Si lo atrapan haciendo esto (y si lo hace, lo harán), por lo general es un factor decisivo. Sin embargo, afirmar sin ambigüedades y con franqueza que no sabe algo puede incluso beneficiarlo en algunas ocasiones.

Preguntas más frecuentes en entrevistas de respuesta a incidentes

Fuera de consejos genéricos y advertencias, veamos algunas preguntas que podría encontrar. Notará que algunos de estas son de naturaleza genérica, eso es por diseño, ya que es probable que cada entrevistador le dé su propio toque. Además, dado que algunas de las preguntas serán sobre tecnología o productos de seguridad específicos, los conjuntos de herramientas de respuesta a incidentes utilizados en varias organizaciones variarán y es probable que pregunten sobre las herramientas que realmente están usando en su entorno. También hemos intentado ordenarlas de la forma más fácil a la más difícil; sin embargo, notará que donde algo cae en este espectro estará abierto a interpretación. Una pregunta directa y basada en hechos será, por supuesto, difícil de responder si no la conoce... pero una pregunta como esa aparece anteriormente en esta lista por dos razones: tiene una respuesta única y definida y lo que el entrevistador busca no tiene ninguna ambigüedad.

Pregunta 1: ¿Cómo funciona [algún aspecto de] TCP/IP?

Desde un punto de vista de respuesta a incidentes, una de las cosas más importantes que deberá hacer es examinar los componentes del ecosistema tecnológico y cómo interactúan, y observar los patrones de tráfico para monitorear o resolver los potenciales eventos de seguridad potencial. La comprensión de las redes es fundamental para este ejercicio. Si su entrevistador hace preguntas técnicas, es casi seguro que al menos uno de ellos será una pregunta en profundidad sobre el funcionamiento de algún protocolo de red.

La pregunta podría centrarse en un nivel más alto de la pila (por ejemplo, "¿cómo funciona el protocolo de enlace TLS en TLS <1.3?"), podría estar en el medio ("¿cómo funciona el protocolo de enlace de tres vías TCP?") o tal vez más abajo ("¿cuáles son los elementos de un marco Ethernet?"). Desafortunadamente, la única manera de prepararse realmente para esto es saberlo: Así de simple. Si no lo hace, ahora es un buen momento para aprenderlo. Es posible que desee ver algunos datos de captura de paquetes (por ejemplo, usar una herramienta como Wireshark) para ayudarlo a actualizar o hacer una revisión rápida de un libro como TCP/IP First-Step que explica el tema en profundidad. Mientras se prepara, pregúntese y practique cómo explicaría cómo funcionan estos elementos a otra persona.

Pregunta 2: ¿Cómo logra <tarea> usando <herramienta>?

Lo segundo que pueden preguntar es cómo realizar alguna tarea que probablemente deba realizar con frecuencia utilizando un conjunto de herramientas determinado. Por ejemplo, cómo exportaría los datos de syslog a otro sistema, cómo generaría una lista de contenedores Docker en ejecución o cómo vería el inventario de software de un punto final en SpiceWorks. Nuevamente, esto cae en la categoría más fácil porque es binario: o conoce la herramienta (y tiene la respuesta a su alcance) o no. La verdad es que no va a conocer todas las herramientas que existen: Es probable que el conjunto de herramientas que está usando en su trabajo actual sea diferente del que se está usando en el posible empleador. Por lo tanto, una estrategia útil aquí es explicar que usa una herramienta diferente en su función actual para el mismo propósito y ofrecerle la explicación de cómo lograr lo mismo en la herramienta que sí conoce. Los entrevistadores inteligentes saben que aprender los conceptos involucrados es difícil, mientras que aprender qué botón presionar es comparativamente fácil: Usted aprenderá los detalles del producto de seguridad X frente al producto Y en muy poco tiempo, siempre y cuando comprenda los objetivos y el propósito detrás de ellos.

Pregunta 3: Escriba un script [o ejecute comandos] para hacer <tarea> en <plataforma>.

Notará que esto es similar a la última pregunta, excepto que le pide que escriba comandos o escriba un script para realizar alguna tarea en lugar de pedirle un conocimiento detallado de un producto en particular. La diferencia es sutil, pero en realidad hace que la pregunta sea un poco más desafiante porque casi siempre hay múltiples caminos para lograr el objetivo. La tarea aquí generalmente es en una plataforma dada, por ejemplo, PowerShell en Windows o Bash en Linux (aunque otras plataformas son posibles). Las preguntas de este tipo están diseñadas para probar su capacidad para usar herramientas a su disposición (es decir, las herramientas nativas integradas en las plataformas de su entorno) para recopilar datos o efectuar la recuperación. Aproveche sus fortalezas en este caso; por ejemplo, tal vez no sea un genio con Bash, sed o AWK, pero es una mano fría con Python o Perl. Juegue a sus puntos fuertes y no dude en pedir detalles de aclaración y datos adicionales.

Pregunta 4: Escriba una expresión regular para encontrar/hacer <algo>.

Todo el mundo odia ordenar a través de los datos de registro. Es, sin embargo, una parte del trabajo. Esto significa que la capacidad de usar atajos para ayudarlo a encontrar lo que está buscando es una necesidad. Las expresiones regulares se usan con tanta frecuencia para hacer esto que crearlas (a veces leerlas y desempaquetarlas) aparece con frecuencia durante la parte de verificación técnica de las entrevistas de trabajo. Por lo tanto, es útil tener al menos una familiaridad pasajera con la forma en que funcionan y cómo escribir una. Probablemente no se esperará que demuestre dominio de construcciones avanzadas, pero al menos debería poder buscar en la información de registro en busca de patrones específicos (tanto sensibles a mayúsculas como de mayúsculas), rangos de valores posibles, trabajar con posiciones usando los anclajes (por ejemplo, inicio de línea, final de línea), espacio en blanco, caracteres de escape, etc. Sin embargo, no es un hecho que obtendrá esta pregunta, así que no se prepare demasiado si esta no es su área más fuerte (en lugar de eso, tal vez alístese para explicar cómo usaría alguna otra herramienta para lograr el mismo objetivo).

Pregunta 5: ¿Cómo resuelve <dilema ético>?

Contraintuitivamente, una de las preguntas más difíciles tiene una base ética. Podría pensar que "no ser un ladrón" sería suficiente como respuesta, pero las preguntas en este sentido pueden ser matizadas y difíciles. Por ejemplo, el entrevistador de un proveedor de servicios de seguridad administrados (MSSP) podría preguntarle qué haría si descubre que su empresa pone en riesgo a un cliente (por ejemplo, debido a una falla o supervisión relacionada con un servicio o herramienta que el MSSP suministra). ¿Se lo dice al cliente? Si es así, ¿como lo hace? Si no, ¿cómo lo maneja? Una pregunta como esa enfrenta directamente los intereses comerciales de la organización (y la rentabilidad potencial) contra el camino éticamente apropiado. Otro ejemplo podría ser un equipo interno o su gerente que le diga que haga algo que socava la seguridad de un cliente o la organización. ¿Cómo responde?

No hay una manera fácil de prepararse para esto, ya que cada situación y pregunta en una entrevista de respuesta a incidentes será diferente. El truco consiste en completar completamente los parámetros de la pregunta pidiendo datos adicionales sobre el incidente y respondiendo honestamente sobre cómo lo abordaría realmente. Del mismo modo, la cultura de la organización es tan importante como su propia cosmovisión; por ejemplo, cuando trabajé para un MSSP grande (donde hicimos una pregunta similar durante las entrevistas), la respuesta "correcta" a la pregunta de falla del servicio estaba en la línea de "alertar a su gerente e informar al cliente". Estoy seguro de que hay organizaciones donde la falta de información es la respuesta correcta, aunque, francamente, no me gustaría trabajar allí.

Pregunta de bonificación: ¿Es el tipo de persona que <xyz>?

Me gustaría cerrar con un tipo de pregunta que podría recibir, pero es un poco diferente de las anteriores. Este tipo de pregunta está diseñada para solicitar quién es usted como persona, para ver si encaja culturalmente con la organización. Es difícil ser demasiado específico acerca de cómo podrían ser estas por adelantado (por lo que es un bono en lugar de estar entre las cinco primeras), ya que la cultura organizacional varía mucho de una organización a otra.

Sin embargo, quise señalar que, por intimidante que pueda ser este tipo de preguntas, tenga en cuenta que estamos en un mercado de comprador para las posiciones de respuesta a incidentes. Debido a la brecha de habilidades y al desafío que tienen las organizaciones para encontrar personas que respondan a incidentes con talento, esto significa que los candidatos pueden darse el lujo de elegir un poco cuando se trata de las posiciones que aceptan. Como consecuencia, el proceso de la entrevista es tanto la potencial audición del empleador para el candidato como viceversa. Por lo tanto, preste mucha atención a las preguntas culturales que se le hacen, estas le informan sobre la organización y cómo es trabajar allí. Sea crítico, objetivo y recuerde que descubrir de antemano si una organización no es una buena opción es una gran ganancia en comparación con encontrar lo mismo después.