ardians’ blog

Beberapa waktu yang lalu saya membaca sebuah topik dari blog Daniel Miessler mengenai pertanyaan-pertanyaan yang biasanya diajukan untuk kandidat IT Security staff dalam proses interview. Demi kebaikan kita bersama (baca: pelamar posisi IT Security), saya mencoba menerjemahkannya secara bebas. Jawabannya sangat subyektif, tapi sangat inspiratif. Keberatan terhadap jawaban dari setiap pertanyaan jangan ditujukan kepada saya

Ada yang punya pertanyaan favorit untuk ditanyakan ke pelamar kerja? Pertanyaan apa yang paling anda takuti untuk posisi IT Security?

1. Darimana anda mengupdate pengetahuan anda mengenai dunia IT Security?
   Tujuan dari pertanyaan ini untuk menguji seberapa besar ketertarikan kandidat terhadap dunia security. Contoh jawaban yang diharapkan adalah “Saya menggunakan RSS untuk mengetahui update terbaru dari beberapa site seperti Security Focus, Rootsecure, Internet Storm Center dsb”. Jawaban yang tidak diharapkan adalah “Dari friendster”.
2. Jika kita diharuskan untuk melakukan kompresi dan enkripsi, mana yang akan anda lakukan lebih dulu? Jelaskan alasan anda!
   Jika kandidat tidak langsung menjawab, tidak masalah. Tujuan dari pertanyaan ini adalah untuk mengetahui reaksi mereka. Apakah mereka menjadi panik? Atau mereka menikmati tantangan ini dengan meminta waktu untuk berpikir? Beberapa orang menjawab, “Kompresi dulu, baru Enkripsi. Alasannya, jika dienkripsi dulu, tidak ada gunanya kita melakukan Kompresi. Tidak ada keuntungan yang kita peroleh dengan Kompresi setelah Enkripsi”. Ada yang punya pendapat lain?
3. OS apa yang anda install di komputer di rumah anda?
   Jawaban yang tepat dari pertanyaan ini menunjukkan bahwa kandidat adalah orang yang memiliki antusiasme yang cukup tinggi dengan komputer/teknologi/security dan bukan hanya sekedar tertarik dengan slip gaji. Bagus jika kandidat menjawab ada beberapa OS dalam komputernya atau memiliki lab jaringan sederhana di rumah. Jawaban yang tidak bagus adalah, saya tidak suka menggunakan komputer di rumah.
4. Protokol apa (TCP/UDP) dan port berapa yang digunakan oleh perintah ping?
   Pertanyaan jebakan. Ini untuk menguji seberapa jauh pemahaman kandidat terhadap konsep networking atau security. Bagi yang belum tahu, ICMP bekerja di layer 3 (Network) dan tidak mengenal port. Sementara TCP/UDP ada di layer 4 (Transport).
5. Jelaskan bagaimana perintah traceroute atau tracert bekerja?
   Sekali lagi tentang menguji konsep. Cukup bagus untuk mengetahui apakah kandidat termasuk orang yang menyukai konsep atau tidak. Jika kandidat bisa menjawab dengan baik, anda bisa melanjutkan dengan pertanyaan: Apa perbedaan antara proses traceroute di Linux dan Windows
6. Sebutkan program atau script terakhir yang anda buat?
   Jika kandidat terlihat pucat dan panik, bisa kita simpulkan dia bukan programmer atau tidak menyukai programming. Memang betul kita tidak perlu menjadi Dewa dalam programming di Security, tetapi paling tidak kita tahu konsep dan bisa “dipaksa” untuk melakukan scripting.
7. Apa kelebihan dan kekurangan Linux dibandingkan dengan Windows?
   Jika kandidat menunjukkan “kebencian” yang tinggi terhadap windows, ini pertanda bahwa kandidat adalah seorang immature hobbyist yang berpotensial menimbulkan masalah di masa yang akan datang. Jika kandidat merupakan penganut fans berat windows yang memiliki resistansi yang tinggi terhadap Linux, ucapkan terima kasih dan tunjukkan jalan keluar kepadanya. Linux is everywhere di dunia security
8. Apa perbedaan antara Risk dan Vulnerability?
   Sekali lagi tentang konsep. CISSP mengajarkan konsep yang sangat bagus.
   Risk = Threat x Vulnerability
9. Apa tujuan information security dalam sebuah perusahaan?
   Jawaban yang diharapkan adalah “untuk mendukung dan memastikan perusahaan mencapai tujuannya”. Jawaban yang kurang diharapkan adalah “untuk mengamankan informasi”. Pertanyaan ini untuk menguji sudut pandang dan kedewasaan dari kandidat mengenai information security.
10. Menurut anda, lebih aman open source atau proprietary projects?
    Kita tidak bisa menilai keamanan dari sebuah project berdasarkan metode pembuatannya saja, open source atau proprietary. Keamanan sebuah aplikasi ditentukan oleh beberapa hal seperti ukuran project, jumlah developer dan (yang paling penting) quality control. Ada yang bisa menyebutkan yang lain?
11. Berapa banyak kamera CCTV dari pintu masuk kantor sampai di ruangan interview?
    Pertanyaan bonus. Anda bisa mempertimbangkan seorang kandidat yang salah menjawab mayoritas pertanyaan-pertanyaan di atas tetapi menjawab dengan benar pertanyaan terakhir ini.