Taki wyczyn - w większości środowisk - byłby rajem dla HR. Powód jest bardzo prosty: wiedziałeś, co robisz, i nie jesteś odpowiedzialny za wykonanie testu.

Jeśli zdarzyło Ci się natknąć na problem w a „Udziały pojawiły się w eksploratorze Windows” w taki sposób, że prawdopodobnie byłoby w porządku. Jednak specjalista ds. Bezpieczeństwa musi wiedzieć, że uruchomienie skanera sieciowego w sieci, w przypadku gdy administrator sieci nie wyraził na to zgody, należy zdecydowanie do kategorii „niemiłe” lub „wrogie”. Może to również powodować realne koszty, np. gdy wywołasz fałszywy alarm. Kiedyś zmarnowałem kilka godzin, próbując znaleźć źródło skanu, który jakiś śmieć z innego działu przeprowadził bez naszej zgody (lub kogokolwiek innego w sieci wewnętrznej).

W zależności od okoliczności można również wyobrazić sobie, że sieć nie jest widoczna, dopóki nie znajdziesz się na terenie firmy. Kiedyś pracowałem w witrynie na tyle dużej, że nie widać sygnału wifi z zewnątrz (bez specjalnych środków). W takim przypadku doszłoby nawet do nadużycia zaufania. (Wiem, że nadal nie jest dobrym pomysłem prowadzenie otwartego Wi-Fi, wiesz, informatycy wiedzą, ale nie wiem, czy kierownictwo i HR wiedzą lub chcą usłyszeć).

Wyobraź sobie, że zaprosiłem cię do mojego domu na bar na podwórku, be que, a ty przyjechałeś i kiedy byliśmy w kuchni, powiedziałem

Wpadłem wczoraj, kiedy byłeś w pracy. To ogrodzenie nikogo nie powstrzymuje. Zauważyłem, że twoja huśtawka nie jest odpowiednio zakotwiczona w ziemi - może to być niebezpieczne, jeśli większe dzieci huśtają się naprawdę mocno. Poza tym odstępy między szynami na pokładzie są zbyt szerokie, w dzisiejszych czasach kod określa X cali i masz Y.

Stałbym tam z otwartymi ustami i wpatrując się w twoją niegrzeczność. Nikt cię nie pytał, nie sprawdzałeś, czy jest ok, po prostu wtrącałeś się i teraz krytykujesz. Jasne, bezpieczeństwo dzieci na huśtawkach i na tylnym pokładzie jest naprawdę ważne. Ale takie są też zasady grzecznego społeczeństwa. Lepszy gość nie wkroczyłby na podwórko bez zgody i nie wyrzuciłby raportu z inspekcji na początku rozmowy. Zamiast tego gość czekał, aż dotarł na podwórko ze szklanką lemoniady, a potem mówił

Oooo, huśtawka. Wiem o tym trochę. Czy jest prawidłowo zakotwiczony? Mogę to sprawdzić?

i

Wiesz, że w dzisiejszych czasach relingi na pokładzie powinny mieć Y cali ... Wygląda na to, że Twoje mogą być starsze .. . Mogę chwycić miarkę i potwierdzić, jeśli chcesz?

Teraz pokazujesz swoją głęboką wiedzę na temat bezpieczeństwa na podwórku i posiadasz narzędzia, ale nikogo nie krzywdzisz.

Teraz celem tej metafory / analogii nie jest perfekcyjne dopasowanie do aktu sprawdzania otwartego Wi-Fi i odkrywania niektórych nazw maszyn. Ma na celu pokazanie reakcji emocjonalnej , jaką to zachowanie może wywołać. Zaprosili cię do swoich biur na rozmowę. Zrobiłeś coś, co wykracza poza normę rozmowy kwalifikacyjnej, bez pozwolenia lub zaproszenia, kiedy nie było ich tam, żeby cię zobaczyć. I skrytykowałeś ich działania w tym samym akapicie, w którym powiedziałeś im, co zrobiłeś. Przynajmniej jeden z nich był zszokowany i zdenerwowany. Powyższy eksperyment myślowy ma doprowadzić cię do zrozumienia uczucia wstrząsu i zdenerwowania.

Aby zostawić metaforę / analogię za sobą, jak mogłeś sobie z tym poradzić lepiej? Zamiast wyrzucać wyniki na początku wywiadu, mógłbyś zaczekać do omówienia aspektu bezpieczeństwa, a następnie powiedzieć „wiele dobrych firm nie ma pojęcia, że ​​ich sieci są podatne na niektóre nowsze ataki. Mogę poświęcić 5 minut zeskanuj Wi-Fi gościa, jeśli chcesz ”. Mógłbyś oczywiście złożyć tę ofertę z pewnością, ponieważ zrobiłeś to już w lobby :-). Teraz pokazujesz swoje umiejętności i narzędzia we właściwym kontekście i za zgodą. Ustawiłeś ich nawet z zachowaniem twarzy, że to nie znaczy, że są idiotami, jeśli coś znajdziesz. Kiedy ją znajdziesz, możesz im powiedzieć, że wiesz, jak to zmienić, aby luka została zamknięta. Teraz chcą cię zatrudnić zamiast czuć się urażeni.

Powiedziałem im, że to poważny problem i nie powinienem czekać, aż ja lub ktokolwiek inny zostanie zatrudniony.

Czy miałem rację, mówiąc im, że to zrobiłem?

Wykłady dla ankieterów rzadko są dobrym sposobem na znalezienie pracy.

Czy zabiłem z nimi swoje szanse?

Nie ma sposób, aby poznać odpowiedź, chyba że skontaktujesz się z nimi bezpośrednio.

Czy powinienem zrobić to ponownie z innymi ofertami pracy (jeśli coś odkryto przypadkowo)?

Poczekaj, aż Twoja ocena zostanie specjalnie zamówiona lub do momentu zatrudnienia.

Przeprowadzenie skanowania ich sieci było bardzo nierozsądne, aw niektórych lokalizacjach mogło Cię zarzucić popełnienie przestępstwa.

Możesz poczytać o przypadku Randalla Schwarza, znanego autora technologii. W latach 90-tych był administratorem systemu kontraktowego w grupie superkomputerów w firmie Intel. Martwił się o bezpieczeństwo w grupie, więc uruchomił narzędzie do łamania haseł na niektórych kontach swojego kolegi. Chociaż był wykonawcą Intela, testy bezpieczeństwa i penetracji nie należały oficjalnie do jego obowiązków i ostatecznie został skazany za dwa przestępstwa za swoją działalność. Wielu uważało wyroki za niesprawiedliwość, aw 2007 r. Zostały one przypieczętowane. Niezależnie od tego, pokazuje rodzaj głębokiej wody, w której możesz się znaleźć, kiedy zdecydujesz się pomóc z lukami w zabezpieczeniach, bez faktycznego poproszenia o to.

W przypadku większości odpowiedzi przyjmuję inny punkt widzenia. Pozostałe odpowiedzi są poprawne, ze ściśle korporacyjnego punktu widzenia jesteś w błędzie. Jednak myślę, że zrobiłeś to, co zrobiłeś, ponieważ jesteś pewny swoich umiejętności i szukasz problemów do naprawienia, które są świetnymi cechami, ale nie pasują do każdej kultury korporacyjnej.

Tam będzie kilka miejsc, w których będzie to w porządku, ale taka passa niezależności jest również świetna dla przedsiębiorczości. Możesz być dobrze przygotowany do założenia własnej firmy.

Więc powiedziałbym, że masz 3 opcje: 1. Staraj się bardziej dostosować do kultury korporacyjnej, 2. Nie dostosowuj się, ale zaryzykuj praca, 3. Idź ścieżką małej firmy.

Krótka odpowiedź:

Nie testuj | dostęp | hakuj niczego bez wyraźnej autoryzacji .

Czy zabiłem moje szanse z nimi?

Z pewnością.

Ps: Głosuj przeciw, ile chcesz, ale OP złamał jedną z pierwszych zasad w IT / Pentesting i to jedyny cel mojej odpowiedzi.

Czekając w holu znalazłem otwartą sieć wifi o nazwie XYZ. Połączyłem się z nim i powitano mnie stroną internetową z prośbą o podanie nazwy użytkownika i hasła. Przeprowadziłem skanowanie podłączonych urządzeń za pomocą Fing (aplikacji na Androida) i stwierdziłem, że są laptopy o nazwach XYZ-HR-1 i XYZ-FN-1.

Myślę, że to co zrobiłeś było w porządku. To była otwarta sieć, do której uzyskałeś dostęp i rozejrzałeś się. O ile to, co zrobiłeś, mieściło się w zakresie, do którego przeznaczona jest sieć. W niektórych miejscach skanowanie w poszukiwaniu urządzeń mogło być nielegalne.

Jako kandydat przygotowujący się do rozmowy kwalifikacyjnej. Do Ciebie należy zbadanie firmy, kultury i pochodzenia. Zbierz wiedzę, której możesz użyć podczas rozmowy kwalifikacyjnej, aby wyjaśnić, dlaczego powinni cię zatrudnić.

Zbierałeś wiedzę, ale nie wykorzystałeś jej mądrze.

Czy miałem rację mówiąc im, że to zrobiłem?

W takich przypadkach. Wykorzystaj zdobytą wiedzę, aby zadawać przekonujące pytania i udzielać przekonujących odpowiedzi, ale nie wytykaj palcami, nie oskarżaj ani nie znajduj błędów w wszystkim związanym z firmą lub ludźmi.

• Możesz mówić o zagrożeniach związanych z otwartą siecią, nie wspominając o ich sieci.
• Możesz mówić o zagrożeniach związanych z posiadaniem urządzeń w tej sieci.
• Możesz podzielić się, jak by to naprawić problem.
• Możesz podzielić się swoim pomysłem na lepszą sieć.

Wykorzystujesz to, co wiesz, ponieważ dzięki temu jesteś odpowiedni dla ich obecnych wyzwań, ale robisz to w miły, przyjazny i profesjonalny sposób.

Teraz zadaj sobie pytanie, czy nadal chcesz mieć pracę w oparciu o to, co odkryłeś. Zadawaj pytania, które ujawniają naturę kultury firmy.

• Zapytaj, jak poradzisz sobie z odkryciem luki w zabezpieczeniach?
• Zapytaj, jakie wolności będę mieć wprowadzić zmiany?
• Zapytaj, kto wdrożył Twój obecny system informatyczny. Czy będę raportować do tej osoby?
• Zapytaj, jak mierzysz sukces moich działań informatycznych?

Odkryłeś, że w firmie są już problemy. Poszukaj głębiej, aby sprawdzić, czy nadal jest dla Ciebie odpowiedni.

Niezależnie od tego, czy dostaniesz pracę, czy nie, i czy pomogło to, czy zmniejszyło Twoje szanse, to, co zrobiłeś, było nieprofesjonalne i prawdopodobnie nielegalne. Gdybyś spojrzał na ich publiczną stronę internetową lub mieli całkowicie otwartą sieć (bez hasła), byłbyś na twardszym gruncie.

Nie byłeś wtedy zatrudniony i byłeś w efekt atakujący ich sieć w poszukiwaniu luk. Jako profesjonalista powinieneś wiedzieć, że nie możesz tego robić bez wcześniejszej zgody i zbadania możliwych konsekwencji.

Jest trochę powiązane pytanie na stosie zabezpieczeń - pytanie, czy firma pentest powinna podpisać umowę, w której nie zobowiązuje się do żadnych negatywnych konsekwencji testu oraz do pokrycia wszelkich poniesionych szkód. Zaakceptowana odpowiedź brzmi: „Przewróciłem systemy podczas skanowania portów”. Nie można wiedzieć, co zrobi czyjś kod, a tym samym jakie mogą być negatywne konsekwencje wtrącania się w niego. Narażasz ich organizację na ryzyko, bez ostrzeżenia, zgody czy uzasadnienia.

Używanie ich systemu zgodnie z przeznaczeniem i obserwowanie, co się stanie, jest uzasadnione, niestandardowe użycie nie. Obejmuje to próbę odgadnięcia nazwy użytkownika / hasła - standardowym użyciem jest MIEĆ nazwę użytkownika i hasło, a nie próbować ich znaleźć.

Istnieje kilka naprawdę dobrych odpowiedzi wyjaśniających, dlaczego było to niewłaściwe z punktu widzenia Infosec, i nieco bardziej uogólnionych na temat etyki wykonywania skanowania bez autoryzacji, ale spróbuję rozwiązać problem „dobrze sposób "podejścia do takich sytuacji, na podstawie tego, jak bym rozważał zajęcie się tym w wywiadzie, gdybym znalazł się w podobnej sytuacji.

Czy miałem rację, mówiąc im, że to zrobiłem? Czy zabiłem z nimi swoje szanse? Czy powinienem zrobić to ponownie z innymi ofertami pracy (jeśli coś zostało odkryte przez przypadek)? Jak mogę uzyskać przewagę w wywiadzie dzięki tego rodzaju informacjom?

Dzieje się tu kilka rzeczy, szczególnie jeśli chodzi o uzyskanie przewagi.

Po pierwsze, czy masz etyczny imperatyw, aby omówić kwestie bezpieczeństwa, które zauważyłeś (i myślę, że etyka została już ogólnie omówiona przez innych).

Po drugie, czy stawiasz czoła wskazując coś nie tak.

Po trzecie, czy prawdopodobnie wystraszasz ludzi.

Wreszcie, czy to zrobi negatywne wrażenie o Tobie jako kandydacie z powodu powiązanej interakcji, nawet jeśli masz rację.

Zmiana powinna zawsze pochodzić z wiedzy, a Ty nie wiesz wszystkiego o otaczającym kontekście w wywiad

Jako przykład, podczas wywiadów z programistami, argumentowałem, że powinniśmy używać języka xyz.

Z technicznego punktu widzenia jest oczywiście miejsce na ulepszenia, a jednym z tych ulepszeń może być zmiana języka. Mógłbym argumentować na temat wartości przeprowadzania się przez cały dzień do niektórych języków. Ale argumentowanie go jako kandydata do pracy sprawia, że ​​kandydat wygląda bardzo naiwnie, jeśli chodzi o otaczające obawy, które mogły doprowadzić do języka, którego używamy, nie wspominając o technicznych przeszkodach w przejściu na inny język teraz, a także pojawia się jako zarozumiały i prawdopodobnie wskazujący na płytkie myślenie .

Nie wiesz, dlaczego sieć WIFI została skonfigurowana w ten sposób, więc nie zakładaj , że jest to bez zamiaru.

Zadawanie pytań jest w porządku. Bardzo cenię pytania podczas wywiadów. Zauważanie rzeczy jest świetne . Możesz użyć tego , jeśli pojawi się powiązane otwarcie:

„Zauważyłem, że masz otwarty identyfikator SSID WIFI, więc pomyślałem, że może to być sieć dla gości i mogłem sprawdzić pocztę na nim i połączyłem się na chwilę. Gdy tylko zobaczyłem stronę z hasłem i zdałem sobie sprawę, że musi to być sieć wewnętrzna, rozłączyłem się, ale nie mogłem nic poradzić, ale zauważyłem, że nie wydaje się to bezpieczne. dużo o bezpieczeństwie informacji, byłem ciekawy, czy wiesz, dlaczego jest skonfigurowany w ten sposób? ”

Poszukiwanie głębszych informacji bez zaproszenia jest bardzo nie świetne. Myślę, że zostało to dostatecznie omówione w innych odpowiedziach, ale aby powtórzyć odpowiedź Kate Gregory, będzie to w najlepszym przypadku uznane za „przerażające”. Ludzie mogą spierać się o jej analogię, ile tylko chcą (pomijając kwestie techniczne, myślę, że uchwyciło to jej sedno), ale jest to wystarczająco bliskie temu, jak większość laików będzie się czuła, zwłaszcza gdy zaczniesz grzechotać widziane maszyny. Ta pierwsza psychologiczna reakcja niechęci cię zatopi, bez względu na to, jak „masz rację”.

Co najwyżej jeśli powiązane otwarcie nastąpi w sposób naturalny (tj. tylko wtedy, gdy rozmowa faktycznie będzie kontynuowana po przywołaniu pierwszej części), możesz zapytać, czy rozważali wykonanie niektórych skanów, aby sprawdzić, czy ktoś jest zagrożony przez tę sieć WIFI i jakie są ich preferowane narzędzia do testowania podatności. Daje to przejrzyste okno (i możliwość zadawania powiązanych pytań na temat twoich własnych preferencji) do twoich powiązanych umiejętności… ale nie popychaj go. Nie jesteś szefem działu IT, jesteś tu na rozmowę kwalifikacyjną i chociaż możesz nie zgadzać się z tym, co robią, nie jest to również twoje miejsce, aby kłócić się o coś innego bez zaproszenia , ponieważ możesz po prostu równie łatwo robiąc z siebie głupka w ich konkretnym kontekście.

Zapytanie „Och, to ciekawe, co byś zrobił”, byłoby początkiem dyskusji na temat skanów, które możesz wykonać, aby pokazać luki w zabezpieczeniach i jak przedstawiłbyś propozycję zmiany WIFI, zakładając, że nie było efektów zewnętrznych, o których nie byłeś świadomy jako osoba spoza firmy związana z daną instalacją, która wymagała skonfigurowania jej w ten sposób: i jeśli więc, jak można je złagodzić za pomocą sieci VLAN, wewnętrznej zapory ogniowej itp., ale naprawdę wymagałoby to większej znajomości szczegółów . Otwartość na to, czego nie znasz w kontekście kontekstu, jest zachęcająca: dzięki szczegółowym informacjom o tym, czego powinieneś się dowiedzieć o środowisku, może pomóc pokazać stopnie Twoich umiejętności i wiedzy oraz dostrzegalną elastyczność w uwzględnianiu różnych sytuacji .

Nie obrażaj ludzi (nawet nieumyślnie lub nieumyślnie)

To idzie w parze z poprzednim, ale naprawdę chcę się na tym przez chwilę skupić: zacząć od założenia inteligencji u innych. To pochlebiające. Przeciwieństwo jest obraźliwe. Jeśli coś nie wydaje się „inteligentne” z zewnętrznej perspektywy, zacznij od założenia, że ​​istnieją inne powody, które są podstawą inteligencji i umiejętności osób zaangażowanych . Nawet jeśli okropnie nie wkładasz stopy do ust, przeoczając coś jako możliwość, ostatecznie to, że masz rację, nie będzie miało znaczenia, gdy właśnie skończysz niszczyć kogoś, kogo prosisz o zatrudnienie.

Nie trać z oczu celu

Jeśli chcesz widzieć zmiany, bądź rzecznikiem siebie i swoich uogólnionych poglądów, poglądów i umiejętności (oraz tego, jak one dopasuj się do swoich ankieterów / firmy, co będzie wymagało od nich rozmowy o tym: więc pytaj!), nie w przypadku konkretnej zmiany, którą chcesz wprowadzić, kiedy to tylko jeden szczegół.

Jeśli widok prawdopodobnego wygaśnięcia zabezpieczeń cię załamuje, świetnie. Ale nie możesz być tak skoncentrowany na tej konkretnej kwestii, aby wykoleić rozmowę kwalifikacyjną w sposób, który sprawi, że będziesz wyglądać słabiej jako kandydat ogólny. To nie rozwiąże problemu. Zatrudnienie może mieć siłę. Skoncentruj więc swoją opiekę i intensywność na popieraniu samego siebie, a nie relatywnie mniej znaczących w przód iw tył na jednym szczególe bezpieczeństwa. Po zatrudnieniu będziesz mieć dużo czasu, aby bronić się w tej konkretnej sprawie.

Zapraszaj ludzi (i miejmy nadzieję, że stworzą naturalne otwarcia)

Nie tylko nie znasz kontekst techniczny i otaczające ograniczenia, które prowadzą do sytuacji takiej jak ta otwarta sieć WIFI, ale co ważniejsze, nie znasz osób , z którymi rozmawiasz, ich osobowości, ich zaangażowania i opinii na ten temat oraz podobne problemy.

Jedną rzeczą jest oferowanie swojej wiedzy i dawanie przykładów, a inna rzecz do popychania. Zaufanie do siebie i swoich umiejętności jest dobre (to świetne), ale z własnego doświadczenia nachalność rzadko jest czymś, czego szuka ankieter.

Więc pamiętaj tylko, że ci ludzie to obcy, z którymi miałeś mało czasu poznać w bardzo wąski, bardzo ograniczony sposób. Nie narzucaj się na nich: dowiedz się, co myślą.

Zamiast rozmyślać na ich temat, jakie są Twoje opinie na dany temat techniczny (który może łatwo wyglądać negatywny dla kogoś mniej technicznego i może łatwo wprowadzić cię do min przeciwpiechotnych z kimś bardziej technicznym), zapytaj go, co robią obecnie w związku z tym tematem, a jeśli to konieczne, zapytaj, jaka jest jego opinia. Pokazuje złożoność wiedzy, aby wiedzieć, o co pytać, bez wypychania swoich opinii i myśli na ich temat, i daje trochę przestrzeni, aby je odgadnąć.

Ostatecznie zapewnia to najlepsze możliwości, ponieważ możesz to zrobić coś na przykład wspomnieć o takich rzeczach, jak sieć WIFI, która jest trudna w środowiskach mieszanych (zakładając, że pojawia się temat), a następnie zapytać, co robią jako firma i jakie są osobiste preferencje ankietera w tym zakresie. To może zapewniać możliwe furtki dla wcześniejszego hipotetycznego stwierdzenia, które zaproponowałem, ale ostrzega cię również, jeśli być może najlepiej byłoby nic nie mówić.

To więcej niż tylko otwarcie, ale także pomaga ujawnić dynamikę między różnymi ankieterami. Kiedy rozmawiasz z wieloma osobami, jesteś w centrum uwagi i trudno jest ocenić, czy wszystko się dobrze dzieje. Zadawanie pytań, a następnie zadawanie opinii pozwala (dyskretnie, ponieważ należy skupić się na tym, kto mówi podczas rozmowy ) obserwowania tego, co się dzieje. Będziesz mieć możliwość przełączenia (lub nawet bezpośredniego) skupienia się na różnych ludziach lub przynajmniej rozejrzenia się, aby ocenić konsensus / itp. Na temat udzielonych Ci odpowiedzi. Stopniowo będzie to zależeć od tego, jak „na torach” będzie format rozmowy kwalifikacyjnej.

Zostaw miejsce na rozmowę.

Tak, jesteś tutaj, aby Cię wspierać, samo krzyczenie, jaki jesteś dobry, niekoniecznie robi to skutecznie . Twoje CV powinno już mówić samo za siebie w kategoriach technicznych i doświadczalnych. Naprawdę tutaj jesteś, aby mówić za siebie jako o kimś do pracy, jako współpracownik i kolega.

A oto klucz do tego : jak mówią na piśmie, „pokaż, nie tylko powiedz”.

Jeśli zapytają o twoją opinię lub stanowisko w jakiejś sprawie, z pewnością to daj. Ale kiedy nie jest o to pytany, ZAPYTAJ ich zamiast tego, jako swoje otwarcie. Niech to w naturalny sposób doprowadzi do tego, że proszą Cię o własną opinię (lub nie). Podczas zadawania pytań wykażesz tyle samo wiedzy pokrewnej, ile chciałbyś porozmawiać o sobie, ale co ważniejsze, podchodzi to mniej pretensjonalnie i daje ci przestrzeń, aby wyglądać bardziej jak ktoś, z kim dobrze byłoby pracować nad pokrewnymi kwestiami niż ktoś, kto po prostu spróbuje przepchnąć wszystkich innych, myśląc, że już wiedzą wszystko, co należy wiedzieć.

Większość wywiadów osobistych obejmuje kwestie techniczne, ale w idealnym przypadku jest to po prostu sprawdzenie, czy spełniasz swoje CV, a tak naprawdę ostatecznym celem rozmowy kwalifikacyjnej na tym etapie jest ustalenie, czy być kimś, z kim chcą pracować. Pominęliśmy osoby posiadające inne kompetencje techniczne ze względu na sposób, w jaki zachowywali się podczas rozmowy kwalifikacyjnej i jak podeszli (a nawet nie) do powiązanej interakcji. Ponieważ praca to coś więcej niż tylko wiedza papierowa i podstawowe kompetencje techniczne. Każdy może uruchomić skaner piórkowy. Nie każdy może określić, kiedy jest odpowiedni moment, aby to zrobić i jak skutecznie wykorzystać wyniki, jeśli to zrobią, i nie nadepnąć wszystkich na palcach w tym procesie tak okropnie, że nikogo to już nie obchodzi i wszyscy po prostu chce, aby projekt został odwołany i coś innego nad czym pracowano.

W niektórych środowiskach umiejętność skutecznego negocjowania poprzez wspieranie projektu i powiązane wewnętrzne cykle życia politycznego jest tak samo ważna, jak posiadanie odpowiedniej wiedzy technicznej. Dlatego pokaż swoje kompetencje w sposobie interakcji z ankieterami, bądź kimś łatwym we współpracy i komunikacji, który jest pewny siebie w najlepszy możliwy sposób , ten, w którym nie muszą tylko ciągle narzekać na siebie. I kogoś roztropnego, kto wie, kiedy coś naciskać, kiedy nie i ile.

Najtrudniejszą rzeczą do odzyskania jest zaufanie.

Masz sytuację podczas rozmowy kwalifikacyjnej: przyznano Ci podstawowy poziom zaufania w zaproszeniu na rozmowę kwalifikacyjną, ale nadal jesteś stosunkowo nieznaną liczbą, więc jest to bardzo prowizoryczne. Wszystko, co podważa już powierzone Ci zaufanie, jest absolutnie szkodliwe dla Twoich szans jako kandydata. Zawsze powinieneś zakładać, że są inni kandydaci (na przykład w moim przypadku robimy takie rzeczy, jak niepowodzenia i wyszukiwania poprawek, które nie dają wystarczającej liczby kandydatów na rozmowę kwalifikacyjną, aby utworzyć odpowiednią pulę porównawczą). Zawsze powinieneś zakładać, że są równie wykwalifikowani pod względem kwalifikacji technicznych.

Nie angażuj się podczas rozmowy kwalifikacyjnej, która mogłaby skłonić obecną osobę do zakwestionowania tego, czy jesteś godny zaufania. Akcje, które normalnie są kojarzone z wyższym poziomem zaufania niż masz wyraźnie - powiedziałbym nawet wprost - zostały przyznane (nie prosisz kogoś, komu nie ufasz, o przeprowadzenie skanowania bezpieczeństwa i domyślnie zaczynasz od nie ufając komuś, kto losowo przeprowadzi przeciwko tobie skanowanie penetracyjne bez twojego wyraźnego zaproszenia i pozwolenia). Nie chodzi o to, że jesteś nieufny , ale o to, że nie przyznano Ci jeszcze poziomu zaufania związanego z działaniami tego rodzaju. Musisz na to zarobić , a podejmowanie działań związanych z wyższym poziomem zaufania, zanim to zrobisz, jest często natychmiast postrzegane jako przekraczanie twoich granic, w sposób, który kwestionuje również twoje umiejętności podejmowania decyzji. sytuacja wrażeń nie możesz sobie na to pozwolić.

Nawet jeśli możesz odzyskać podstawowy poziom zaufania, z którym rozmawiasz, przesłuchanie go może szybko narazić Cię na niebezpieczeństwo w porównaniu z innymi kandydatami. Rzadko mówi się o tym bezpośrednio, ponieważ przeprowadzamy takie rzeczy, jak weryfikacja przeszłości, aby upewnić się, czy mamy rację w zaufaniu komuś, ale poczucie osobistego i bezpośredniego zaufania jest kluczowe, aby nie zdradzić proces rozmowy kwalifikacyjnej, ponieważ z łatwością przejdzie przez wszystkie inne wrażenia dotyczące osobowości i umiejętności, jeśli ktoś w jakimkolwiek momencie poczuje się „zaniepokojony” z powodu działania, które podejmiesz. Ostatecznie ustalenie, czy można Ci zaufać, jest naprawdę kluczowym elementem rozmowy kwalifikacyjnej, kiedy naprawdę o tym myślisz.

Wszystkie odpowiedzi są poprawne IMHO, zarówno te, które zachęcają do zachowania, jak i te, które go zniechęcają, ale pomijają coś ważnego dla mnie: fakt, że wywiad był z różnymi ludźmi, którzy mają różne cele.

Szef działu IT chce, aby ktoś potrafił myśleć nieszablonowo, był zdolny do podejmowania inicjatyw i łatwo identyfikował ewentualne niedociągnięcia. Oczywiście jest zainteresowany takim profilem.

Szef HR chce chronić firmę przed pracownikami. To jest praca. Zidentyfikuj wszelkie szkody, jakie mógłby wyrządzić pracownik, i chroń firmę przed nią. W większości przypadków jest to bardziej na poziomie prawnym lub związanym z relacjami, ale jeśli HR czuje, że istnieje potencjalny pracownik, który mógłby być wystarczająco sprytny, aby ominąć standardowe zabezpieczenia, poza audytem kontrolowanym przez zarząd, zrobi to, któremu zapłacił zrobić: chronić firmę przed (jeszcze) pracownikiem.

Stąd różnorodność odpowiedzi. Gdybyś rozmawiał tylko z szefem IT, to (niezależnie od kwestii prawnych) Twoje zachowanie byłoby sprytne. Tego właśnie potrzebuje. Ale ponieważ dział HR był obecny, powinieneś był wziąć pod uwagę jego rolę: zachować naturalny porządek i hierarchię korporacji.

Pamiętaj, że większość korporacji będzie więcej niż skłonna stracić część wydajności, aby uzyskać większą kontrolę na swoich pracowników. Jeśli szukasz pracy w środowisku korporacyjnym, powinieneś przynajmniej udawać, że przestrzegasz zasad przed tymi, którzy otrzymują wynagrodzenie za ich egzekwowanie. I staraj się ich szanować, o ile w oczywisty sposób nie przeszkadza ci to w wykonywaniu pracy. Pierwsza zasada brzmi: nie wyglądaj na niekontrolowanego. W świecie korporacji menedżerowie trzymają władzę i postrzegają zarządzanie jako naukę o kontroli (czy to dobra, czy dobra jest kolejna debata, której nie otworzę).

Pułapka polega na tym, że trzeba było sformatować przemówienie do dwóch różnych odbiorców o przeciwstawnych potrzebach i oczekiwaniach. Spróbuj pomyśleć o obu następnym razem.

Gdybym miał coś do powiedzenia w procesie rekrutacji, oznaczałoby to dla Ciebie. Nie dlatego, że złamałeś jakąś zasadę, ale dlatego, że mówisz ludziom, że powinni coś zrobić bez zrozumienia ich potrzeb.

Bezpieczeństwo IT to ćwiczenie w zarządzaniu ryzykiem. W większości przypadków praktyki bezpieczeństwa IT nie są regułami bezwzględnymi. Musisz ocenić ryzyko związane z konkretną praktyką w porównaniu z kosztami wydajności biznesowej, a następnie podjąć decyzję.

Nie znam zagrożeń związanych ze znalezioną luką. Może to coś, czego firma nigdy nie powinna robić. Jednak zanim powiesz menedżerowi firmy, że nie powinien czegoś robić, powinieneś zbudować zaufanie do swojej opinii, poznając okoliczności, w których istnieje luka.

Jeśli chodzi o posiadane przez nas informacje lub pomysły, chociaż niektórym może się to wydawać sprzeczne z intuicją, nie jest optymalne, aby powiedzieć wszystkim wszystko. Zajęło mi więcej czasu, niż chciałbym przyznać, że w pełni zinternalizowałem to, że nie mogłem nic powiedzieć i zatrzymać to dla siebie.

HR nigdy nie podejmie czegoś takiego w inny sposób niż to, co opisujesz. Każdy, kto nie rozumie NetSec, prawdopodobnie potraktuje Ciebie i Twój komentarz ze skrajną podejrzliwością. Interakcje zarówno publiczne, jak i ze sceny i ekranu powinny zilustrować prawdę, istnieje cała kategoria trofeów związanych z „dobrymi intencjami specjalista próbuje ostrzegać ludzi, którzy nie rozumieją potencjalnego niebezpieczeństwa”, którzy w końcu zostają ukarani przez nieumytych pogan próbowali pomóc.

Zachowaj to dla siebie.

To powiedziawszy, mógłbyś potencjalnie poruszyć coś stycznie związanego i skierować rozmowę na miejsce, w którym wysoce zredagowana wersja twoich komentarzy mogłaby zostać odebrana jako bardziej organiczna.

Prawdziwa historia: Kiedyś pracowałem w miejscu, w którym facet znalazł lukę w firmowym blogu intranetowym. Będąc w domu, publikował na blogu spoza sieci, wykorzystując lukę. Następnie, gdy przyszedł następnego dnia, przesłał swoje genialne znalezisko i dowód, że jest to możliwe do IT. Od razu otrzymał status bohatera i ogromną premię, podwyżkę i awans. Żartowałem, został natychmiast zwolniony.

Możesz zignorować każde słowo tej odpowiedzi, jeśli chcesz zapamiętać to pięciowyrazowe zdanie: „Racja rzadko cokolwiek zmienia”.

Spróbuję dodać inną perspektywę.

Czy miałem rację, mówiąc im, że to zrobiłem?

Są kraje, w których dołączanie i skanowanie sieci jest nielegalne . Wyobraź sobie, że znalazłeś port LAN na miejscu i użyłeś kabla Ethernet do połączenia się z ich siecią.

Możliwe, że dział HR wie o tym, ponieważ jest bardziej świadomy obowiązujących przepisów.

Do obowiązków HR należy zarządzanie takimi zobowiązaniami prawnymi w imieniu firmy. Możliwe, że dlatego wydawali się mniej niż entuzjastycznie nastawieni do tego.

Z perspektywy osoby zajmującej się bezpieczeństwem informacji: to, co zrobiłeś, nie było sprytne.

Czy chodziło o pokazanie, że jesteś ekspertem w dziedzinie bezpieczeństwa? W takim przypadku, jeśli po prostu pokażesz, że możesz

• połączyć się z otwartym Wi-Fi
• , że niektóre z ich komputerów były w tej sieci

Jeśli oznaczysz to jako kwestię bezpieczeństwa, przepraszam, nie wiesz zbyt wiele o bezpieczeństwie. Ten menedżer IT też nie. To prawdopodobnie kiedyś wybuchnie.

Więc to nie był dobry ruch.

Może chodziło o wykazanie proaktywności? W takim przypadku naprawdę nie powinieneś pracować w ochronie, ponieważ robiąc takie rzeczy, skrzywdzisz swoją firmę. Istnieją zasady dotyczące zaangażowania w bezpieczeństwo i oczekuje się, że pracownik ich przestrzega. Nie jesteś hakerem, nie jesteś łowcą nagród. Nie możesz robić tych rzeczy.

Jakkolwiek na to spojrzysz, to był głupi ruch, jeśli chciałeś zostać zatrudniony.

Zobaczmy. Z mojego punktu widzenia:

1. Odkryłeś otwartą sieć; (OK)
2. Połączono z nim; (OK)
3. Odkryłem, że potrzebował identyfikatora użytkownika / hasła; (OK)
4. Przesłuchałem urządzenia wokół ciebie w pozornej próbie włamania; (NIE OK)
5. Chwalić się tym (GŁUPI!)

A teraz omówmy Twoje pytania indywidualnie:

1. Czy miałem rację, mówiąc im, że to zrobiłem? Nie, gdybyś chciał pracować dla tej firmy. Należy również pamiętać, że większość firm, dla których pracowałem, wyświetla ostrzeżenie po nawiązaniu połączenia lub zalogowaniu, które brzmi: „Nieautoryzowany dostęp jest niedozwolony. Jeśli spróbujesz, skontaktujemy się z władzami i oskarżymy Cię”. Zauważ też, że ignorancja nie jest wymówką.

2. Czy zabiłem z nimi swoją szansę? Gdybym był kierownikiem ds. Rekrutacji, nie dotykałbym cię kijem o długości 10 stóp. Jesteś uznanym hakerem, jesteś z tego dumny i czekasz na incydent związany z bezpieczeństwem.

3. Czy powinienem powtórzyć to z innymi ofertami pracy (jeśli coś zostanie odkryte przez przypadek) ? To zależy. Chcesz dostać pracę, czy chcesz się popisywać? Jeśli to pierwsze, nigdy więcej tego nie rób. Jeśli to drugie - cóż, to twoje życie, kolego ...

4. Jak mogę zyskać przewagę w wywiadzie dzięki tego rodzaju informacjom? Nie możesz. Jedyne, co możesz zrobić, to denerwować ludzi, a ludzie, którzy są zdenerwowani tym, co zrobiłeś, mogą lub mogą zrobić, nie zatrudnią cię. Spójrz na wiadomości - co kilka tygodni inna firma zostaje zhakowana, karty kredytowe i inne dane osobowe zostają skradzione, a oni wyglądają jak idioci, i ich klienci mogą się odwrócić i pozwać ich. Jako osoba pracująca w dziale IT dużego sprzedawcy mogę powiedzieć, że jest to jedna z rzeczy, która niepokoi ludzi takich jak ja. Jeśli uważamy, że możesz stanowić problem, nie zostaniesz zatrudniony. Koniec historii.

Powodzenia.

Twoje szanse w dużym stopniu zależą od uprawnień menedżera IT i menedżera HR. Zależy to również od sposobu, w jaki je przedstawiłeś. Gdyby to brzmiało „Widziałem kilka komputerów z nazwami XYZ - cokolwiek podłączonymi do niezabezpieczonej sieci”, było to bardziej obrazą dla tego, który pozwolił właścicielom połączyć się z siecią. Gdyby to brzmiało: „Widziałem twój komputer, panie Averagejoe, podłączony do niezabezpieczonej sieci”, to była po prostu obraza dla pana. Averagejoe.

Jeśli masz zamiar zostać ochroniarzem, paranoja nie jest obowiązkowa, ale pomaga. Twoje sprawdzenie, kto jest z Tobą (w otwartej sieci) jasno pokazuje Twoje podejście do możliwej pozycji. Dlatego kierownik działu IT był pod wrażeniem.

Z drugiej strony prezentacja wyników była dość niegrzeczna. Dlatego menedżer HR wspiera cię i przeciwdziała.

Może wlałeś olej w otwartą walkę między informatykami, którzy naciskali na kwestie bezpieczeństwa, aby się zatrzymać, a innymi z nastawieniem „Co do cholery mówią ci dziwni? o?" Coś w rodzaju wypowiedzi Mossa na temat wyłączania zapory sieciowej w IT Crowd S2E1.

Następnym razem zrób to sprawdzenie najlepiej, gdy zostaniesz o to poproszony w wywiadzie. Jeśli nie możesz się oprzeć, zatrzymaj ustalenia do momentu, w którym włamywacze są poza zasięgiem głosu i omawiasz tylko personel IT.

Zmniejszy to Twoje szanse, ponieważ wykazałeś niezrozumienie pojęcia obszaru odpowiedzialności. Ty:

• nie udało się aby wyjaśnić, w jaki sposób zostałeś do tego upoważniony (niezależnie od tego, co mówią przepisy: musisz przekonać ich, nie sędziego) i wpływ swoich działań w terminach nietechnicznych
• zaczął im mówić (zamiast tylko sugerować), jak powinni robić rzeczy, nie będąc osobą odpowiedzialną za te rzeczy lub konsultantem na podstawie umowy.

• W ustalonych środowiskach, za każdy obszar i zadanie odpowiada osoba za nie odpowiedzialna (praktycznie zawsze jedna osoba; decyzje grupowe są zwykle uzasadnione tylko w przypadku złożonych, strategicznych spraw, a nie codziennych zadań). Tylko ta osoba może podejmować decyzje w tej dziedzinie. Ma to na celu zapewnienie, że mają pełny obraz i zastosowaną do niego jednolitą wizję.
• Jeśli nie jesteś tą osobą i widzisz problem, Twoim zadaniem jest zgłosić go do nich i pozostaw to im , jeśli trzeba coś z tym zrobić.
  • Dzieje się tak, ponieważ nawet jeśli wiesz, że to problem, nie masz pełnego obrazu być w stanie rozważyć wszystkie za i przeciw i nie będziesz ponosić odpowiedzialności za swoje działania. Jak powiedzieli inni, bezpieczeństwo to ćwiczenie w zarządzaniu ryzykiem: coś warto robić tylko wtedy, gdy jest to mniej kosztowne niż zaniechanie.
  • (Przewidywanie komentarzy ze strony potencjalnych buntowników :) jest możliwe i czasami może być drogą do zrobienia czegokolwiek, ale jest to poważna i ryzykowna sprawa, ponieważ trzeba w jakiś sposób przekonać przełożonych do poniesienia dość wysokich kosztów zakwestionowania kompetencji ważnego podwładnego (przeprowadzenie niezależnej oceny ich umiejętności i pracy to czas, pieniądze i trwałe niezadowolenie tej osoby, niezależnie od metody i wyniku).

• To, co powiedziałeś im o skanie, w zasadzie brzmiało dla osoby bez wiedzy technicznej: „Naruszyłem Twoją sieć i potencjalnie zakłóciłem Twój biznes - wszystko dlatego, że miałem na to ochotę”.
  • To właśnie sprowokowało reakcja obronna. „Nie, nasza firma jest z pewnością wystarczająco dobrze chroniona, jeśli nadal prowadzimy działalność, a na pewno nie możesz jej tak łatwo naruszyć! To, co twierdzisz, nie może być prawdą i jest zwykłym zniesławieniem (ponieważ mogłoby to zaszkodzić reputacji, jeśli inni w to wierzą (niezależnie od tego, czy jest to prawda), więc zdecydowanie nie przyjmujemy tego życzliwie)! ”
  • A osoba o takim nastawieniu z pewnością nie jest kimś, kogo chcieliby widzieć w sobie w promieniu mili od ich krytycznej infrastruktury.
  • To oczywiście nie to, co zrobiłeś. Ale nie udało Ci się tego przekazać w sposób, który mogą zrozumieć.
  • Powinieneś był umieścić to coś w stylu: „Kiedy czekałem w holu, zauważyłem otwartą sieć Wi-Fi z nazwą Twojej firmy. moja praca będzie obejmować bezpieczeństwo informacji. Skorzystałem z okazji, aby zorientować się w twoich obecnych praktykach. Zauważyłem to i to, co jest potencjalnie luką w zabezpieczeniach, chociaż zależy. " ¹ Jeśli nadal wyglądają na przerażonych, dodaj coś w stylu: „Mogę z całą pewnością powiedzieć (a Twoi koledzy potwierdzą), że to absolutnie nie może niczego zakłócić przy stabilnej, np. standardowej instalacji systemu Windows.”
    • To by pokazało, że jest do tego upoważniony, ponieważ od dobrych kandydatów oczekuje się, że będą aktywnie badać firmę; rozważyłeś ryzyko i podjąłeś świadomą decyzję; i po prostu sugerujesz, że może to być problem, zamiast wprost twierdzić, że ponieważ nie jesteś osobą odpowiedzialną, a zatem nie masz pełnych informacji, aby móc składać takie kategoryczne stwierdzenia.

¹ _{na temat zasięgu sieci, jak długo i jak często maszyny w niej pozostają, jakie informacje i / lub funkcje zawierają oraz jak dobrze są zabezpieczone. sub>}