Contratar personal bueno es una tarea difícil para muchos gerentes. Si se tiene un equipo y se está creciendo, identificar buen talento puede ser más fácil: pues se tienen personas quienes pueden evaluar las capacidades y personalidad del postulante. Adicionalmente, un precedente ha sido establecido, y se está ya familiarizado con los roles requeridos, además de tener en mente los candidatos ideales para cada uno. Si se encuentra en una situación demasiado común; de un profesional en seguridad de la información a quien se le ha recomendado la tarea de crear un pequeño equipo para respuesta de incidentes, ¿Por donde iniciar?. Se sugiere un proceso de dos etapas: encontrar candidatos, para luego evaluarlos para calificarlos y encajarlos dentro de la organización.

Encontrar candidatos: Reclutar individuos de otros equipos para respuesta de incidentes es la opción obvia. Publicar posiciones abiertas en sitios como LinkedIn es bueno, pero una forma pasiva de llegar hacia los candidatos potenciales. Sin embargo, la orientación proactiva de los grupos técnicos, sitios de redes sociales relacionados, y tablones de mensajes, podría conducir a resultados más rápidos. Muchos profesionales forenses y para respuesta de incidentes de todos los niveles de habilidad, asechan en los tablones de anuncios.

Si se tienen los recursos para contactarse con las oficinas de carreras de las universidades locales, los analistas de nivel de entrada y miembros del equipo, pueden ser reclutados desde estos programas de ciencias de computación, ingeniería o forense de computadoras. Las habilidades fundamentales proporcionan el mayor beneficio para este campo, pues son las mismas a la mayoría de ciencias; observación, comunicación, clasificación, medición, inferencia y predicción. Los individuos quienes poseen estas habilidades típicamente suelen ser los mejores miembros del equipo para respuesta de incidentes. Si se puede encontrar una universidad local enfocada primero en ciencias básicas o habilidades de ingeniería, además de proporcionar seminarios, o tópicos electivos relacionados al forense, se estará en buena forma.

Evaluar lo adecuado. Capacidades y Cualidades: ¿Cuales capacidades se requieren en el equipo para respuesta de incidentes?. Generalmente se requiere un equipo completo de personas multitarea, personas con conocimiento y habilidades para moverse entre las diferentes fases de una investigación. Buscando a través del grupo propio de consultoría, se puede encontrar un número de conjuntos con habilidades relevantes sugeridas. Si se está contratando candidatos experimentados, se debe considerar a personas con las siguientes calificaciones:

• Experiencia en realizar investigaciones involucrando tecnología: Esta es una habilidad de amplio espectro, la cual abarca información y gestión, la habilidad de enlace con otras unidades de la empresa, gestión de evidencia y datos, y experiencia técnica básica.
• Experiencia en realizar exámenes forenses de computadoras: Esto incluye familiaridad con los fundamentos de los sistemas operativos, conocimiento del sistema operativo y artefactos de las aplicaciones, análisis de logs, y la habilidad de escribir una documentación coherente.
• Experiencia en el análisis del tráfico de red. Esto incluye experiencia con exámenes del tráfico de red y análisis de protocolos, además de la tecnología para utilizar la información en un sistema para la detección.
• Conocimiento de las aplicaciones relevantes de la industria para la organización: La mayoría de compañías tienen sistemas de información especializados, los cuales procesan datos sobre plataformas específicas de la industria (por ejemplo transacciones financieras alojadas en un main-frame).
• Conocimiento de TI empresarial: En la ausencia de una plataforma empresarial para respuesta de incidentes, nada supera a un administrador quien puede crear un script de dos líneas para buscar cada servidor bajo su control.
• Conocer de análisis de código malicioso: El análisis de malware es una habilidad importante a tener en el equipo; sin embargo, muchos equipos para respuesta de incidentes, puede realizar un análisis básico automático utilizando una sandbox. Si se tienen tres puestos disponibles, contratar uno multitarea, el cual tenga habilidades básicas de triaje.

¿Cuales cualidades se buscan en un miembro de un equipo para respuesta de incidentes?. Durante las entrevistas se intenta descubrir si el potencial candidato tiene las siguientes características:

• Altamente analítico
• Buen comunicador
• Atención a los detalles
• Una perspectiva estructurada y organizada para resolver problemas
• Éxito demostrable para resolver problemas

Frecuentemente se consulta sobre la aplicación o relevancia de las diversas certificaciones dominando los campos de la respuesta de incidentes y el forense de computadoras. Generalmente las certificaciones requieren una prueba periódica, y demostración de una educación continúa como un buen indicador, de la persona está activamente interesada en el campo. Cuando el currículum del postulante incluye poca experiencia, esto puede ayudar a determinar cuales áreas en sus antecedentes se discuten en detalle durante las entrevistas. Además esto da un indicador de las habilidades de comunicación y estilo de escritura del postulante. Sin embargo, no parece ser un indicador consistente de las verdaderas habilidades del postulante. De hecho, se pueden encontrar relaciones inversas entre la profundidad en el conocimiento del postulante, y el número de certificaciones poseídas, cuando su historial de empleo es sólido. Los proveedores de certificaciones son generalmente irrelevantes para el proceso de contratación, porque demuestran habilidades en herramientas específicas, opuesto a una teoría sólida y habilidades en procedimientos.

Fuentes:

https://blog.demisto.com/5-tips-on-hiring-and-retaining-the-right-cybers...
https://www.csoonline.com/article/3237732/how-to-hire-top-cybersecurity-...