Story Transcript
Guía de contratación para la profesión de seguridad de la información
INTRODUCCIÓN
Bienvenido a la Guía de contratación para la profesión de seguridad de la información de (ISC)2®.No es ningún secreto que no es fácil encontrar expertos calificados para proteger su organización. Como el cuerpo de profesionales de seguridad de la información más importante del mundo, con más de 54.000 miembros certificados en 135 países, (ISC)2 desea ayudar a los profesionales de RR. HH., reclutadores de personal y gerentes de contratación a comprender el alcance de esta profesión en vías de expansión y reducir las dificultades a la hora de obtener el mejor y más brillante personal de seguridad de la información. La profesión de seguridad de la información se está expandiendo rápidamente. Los resultados del Estudio Global sobre Profesionales de Seguridad de la Información (GISWS, por sus siglas en inglés) realizado en 2006 por (ISC)²/IDC demostraron que la cantidad de profesionales en el mundo aumentará a un poco más de 2 millones para el 2010, lo que representa una tasa de crecimiento anual compuesta del 7,8 por ciento de 2005 a 2010. Esto no fue siempre así. Veinte años atrás, el campo de la seguridad de la información estaba en pañales y, a menudo, las compañías solían ignorar las amenazas a las que estaba expuesta su
(1)
infraestructura. En la actualidad, debido al impulso por cumplir las leyes y normativas, y el deseo de expandir el comercio global, contratar personal de seguridad de la información de primera línea es fundamental para mitigar los riesgos que pueden perjudicar la reputación de una compañía, violar la privacidad, provocar el robo o la destrucción de la propiedad intelectual y, en algunos casos, hasta poner en peligro las vidas de los trabajadores. Esperamos que esta guía de contratación, recopilada con importantes contribuciones de Alta Associates, le sirva para comprender la importancia de esta profesión relativamente nueva. Además, le ofrecemos consejos sobre cómo garantizar que el personal de seguridad esté integrado por profesionales talentosos y calificados. Puede encontrar más herramientas en línea visitando el Centro de Contrataciones de (ISC)² en www.isc2. org/HRCenter. ¡La mejor de las suertes en sus esfuerzos de selección de personal! W. Hord Tipton, CISSP-ISSEP, CAP, CISA Director Ejecutivo de (ISC)2
TABLA DE CONTENIDOS
TABLA DE CONTENIDOS
¿Qué es la seguridad de la información? ................ 3-4 La evolución del papel de la profesión de seguridad de la información .......................................... 5-6 ¿Qué tipos de funciones laborales existen? .......... 7-8 ¿Cuáles son las características ideales de un profesional de seguridad de la información? ..... 9-10 ¿Cuáles son las trayectorias profesionales típicas? ............................................................................................11 Elaboración de una descripción del puesto ......13-14 Requisitos de certificación ..........................................15-16 Selección de personal ....................................................17-18 Evaluación de aptitud ....................................................19-20 Entrevistas .......................................................................... 21-23 Verificaciones de seguridad/referencias .................... 24 Elaboración y presentación de un ofrecimiento ...................................................................... 25-26 Retención ................................................................................... 27 Recursos ...............................................................................29-30
(2 )
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
¿QUÉ ES la seguridad de la información?
En la actualidad, los gobiernos, las instituciones militares y financieras, y las empresas de servicios de atención médica y privadas manejan importantes volúmenes de información confidencial acerca de los empleados, los clientes, los productos y el estado financiero. La mayor parte de esta información se recopila, se procesa y se almacena en computadoras y servidores, y se transmite a través de sistemas de redes. Si dicha información confidencial cayera en manos de extraños, una violación de la seguridad de este tipo podría provocar la pérdida de negocios, litigios, daños a la reputación e incluso la quiebra. La protección de la información confidencial es un requisito que apela al sentido común por estos días y, en la mayoría de los casos, también es un requisito legal.
(3)
La seguridad de la información implica proteger la información y los sistemas informáticos del acceso, el uso, la divulgación, la alteración, la modificación o la destrucción no autorizados. El propósito de la seguridad de la información es garantizar que toda la información de la que dispone una organización, independientemente de si está almacenada en el disco duro de una computadora o en un fichero, se mantenga con lo siguiente: Confidencialidad: garantizar que solamente el personal autorizado tenga acceso a la información. Integridad: salvaguardar la precisión e integridad de la información y de los métodos de procesamiento. Disponibilidad: garantizar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando lo necesiten.
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
Cumplimiento: garantizar el cumplimiento de las leyes y los requisitos normativos del sector, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) para los proveedores de atención médica y la Ley SarbanesOxley (SOX, por sus siglas en inglés) para las compañías que cotizan en bolsa. El objetivo de las políticas de seguridad de la información es minimizar los daños a la organización a través de la prevención y el control del impacto de las violaciones de la seguridad. La seguridad de la información brinda un marco de protección esencial en el cual es posible compartir la información y garantizar al mismo tiempo su protección contra usuarios no autorizados.
(4 )
LA EVOLUCIÓN DEL PAPEL DE LA PROFESIÓN DE SEGURIDAD DE LA INFORMACIÓN
La evolución del papel de la profesión de seguridad de la información
Años atrás, la mayoría de las personas responsables de proteger los activos de información ingresaban a este campo sin formación o instrucción formal alguna y adquirían su experiencia en disciplinas más amplias, como tecnología de la información (TI) o ingeniería, para trasladarse al sector de la seguridad de la información solo a medida que surgía la necesidad. A diferencia de lo que ocurría hace dos décadas, muchos profesionales jóvenes del sofisticado mundo cibernético actual, tienen la seguridad de la información en mente desde el principio y cursan estudios universitarios en seguridad de la información u otras disciplinas relacionadas, como ciencias de la computación. Asimismo, probablemente posean conocimientos prácticos de los sistemas de redes, los protocolos de seguridad, los programas
(5)
de software de seguridad y su implementación, y las prácticas más eficaces a la hora de desarrollar procedimientos e infraestructura de seguridad. Una organización segura requiere de profesionales experimentados capaces de crear e implementar un programa, obtener respaldo y financiación para dicho programa, y capacitar a cada uno de los empleados para convertirlos en ciudadanos conscientes de la seguridad, mientras cumplen con los estándares regulatorios necesarios. Por otra parte, requiere de un equipo de profesionales técnicos para implementar las políticas establecidas por el gerente de seguridad. Los profesionales de seguridad de la información de la actualidad trabajan en conjunto con los departamentos de RR. HH., asuntos legales, auditoría y TI, entre otros, para mitigar los riesgos en toda la extensión de la organización. Muchos de ellos son ahora esenciales en la toma de decisiones empresariales. En vista de estos grandes desafíos, el
LA EVOLUCIÓN DEL PAPEL DE LA PROFESIÓN DE SEGURIDAD DE LA INFORMACIÓN
papel del profesional ha cambiado drásticamente en el transcurso de los últimos años. El profesional exitoso ahora debe adaptarse al cambio en forma rápida y segura, ya sea consecuencia de las amenazas externas e internas o bien, de la demanda de nuevos bienes y servicios por parte de los clientes. Por otra parte, el profesional también debe implementar soluciones de seguridad integradas en todos los niveles en donde las personas, los procesos y las tecnologías se unen para garantizar el respaldo de los objetivos de la organización. Si bien contar con profesionales calificados de seguridad de la información es una necesidad para las organizaciones de cualquier tamaño y actividad, es especialmente importante en el caso de aquellas que manejan información altamente confidencial, como las entidades financieras, las empresas de atención médica o seguros, o de aquellas que deben cumplir con resoluciones legales y normativas estrictas.
(6 )
¿QUÉ TIPOS DE FUNCIONES LABORALES EXISTEN?
¿QUÉ tipos de funciones laborales EXISTEN?
En los comienzos de la seguridad de la información, una organización contrataba a un solo “ingeniero de seguridad”, quien se desempeñaba como auxiliar del departamento de TI y se ocupaba de la seguridad de redes y de la administración de la seguridad. Dicho puesto requería de un entendimiento de los protocolos de red, los cortafuegos y las vulnerabilidades de las redes. Hoy por hoy, con la creciente dependencia del mundo virtual por parte de cada rincón de la industria y la sociedad, los requisitos y las funciones de la profesión de seguridad de la información se han diversificado. Las funciones específicas de seguridad son, entre otras, las siguientes: • Especialista en Informática Forense • Arquitecto de Seguridad
(7)
• Director General de Seguridad de la Información • Gerente de Seguridad de la Información • Gerente de Seguridad de TI • Especialista en Certificación y Acreditación • Gerente de Riesgos • Encargado de Cumplimiento Normativo El alcance de las funciones de seguridad tradicionales también se ha expandido. Las funciones iniciales del ingeniero de seguridad abarcan ahora numerosas áreas de especialización, como la gestión de identidades y acceso, la gestión de vulnerabilidades y la seguridad de las aplicaciones. Dichos puestos requieren de vastos conocimientos técnicos, además de un análisis de riesgos asociados a las operaciones, para poder desarrollar controles de seguridad apropiados para cada organización.
¿QUÉ TIPOS DE FUNCIONES LABORALES EXISTEN?
(8 )
¿CUÁLES SON LAS CARACTERÍSTICAS IDEALES DE UN PROFESIONAL DE SEGURIDAD DE LA INFORMACIÓN?
¿CUÁLES SON LAS características ideales de un profesional de seguridad de la información?
Mientras que la profesión de seguridad de la información se ha vuelto demasiado compleja para cualquier conjunto de habilidades específicas, existen atributos generales que se deben tener en cuenta a la hora de seleccionar a un profesional. Algunas de estas características ideales son las siguientes: Habilidades y aptitudes • Capacidad de llevar un registro de seguimiento de las soluciones de seguridad de la información y gestión de riesgos en desarrollo. • Profundo entendimiento de la tecnología y capacidad de sacar provecho de dichos conocimientos para implementar soluciones de seguridad eficaces. • Entendimiento del sector, el lugar de la compañía en el mercado, los requisitos legales
(9)
y normativos relevantes, y las formas en que dichos requisitos pueden agregar valor. • Habilidades de comunicación sólidas. Estas incluyen la capacidad de influir en la conducta y las percepciones de los empleados. Ni las mejores políticas de seguridad serán eficaces sin el compromiso de todos los empleados. • Capacidad de articular el valor de los negocios. Los profesionales deben conocer su audiencia y hablar en un lenguaje comprensible. • Entendimiento y gestión de los riesgos. Los profesionales de la seguridad deben adaptar sus posturas sobre seguridad a las necesidades y apetitos de riesgo específicos de la organización. • Capacidad de entablar relaciones sólidas con los interesados clave de la organización, incluidos los gerentes de asuntos legales, RR. HH., auditoría, seguridad física, RR. PP. y riesgos.
¿CUÁLES SON LAS CARACTERÍSTICAS IDEALES DE UN PROFESIONAL DE SEGURIDAD DE LA INFORMACIÓN?
• Capacidad de detectar las necesidades de seguridad globales de una organización. Incluso para las funciones de seguridad de redes tradicionales, las organizaciones necesitan profesionales capaces de interpretar la tecnología de una manera que sea útil y satisfaga los objetivos de gestión de los negocios y riesgos. Atributos personales • Actitud positiva. Si bien los profesionales necesitan de una dosis saludable de cautela, deben hacer hincapié en el poder de la defensa, en lugar de en las consecuencias o los costos de la vulnerabilidad. • Compromiso con la ética. Para ser eficaz, un profesional debe decir la verdad en todo momento y evitar exagerar acerca de lo que puede y no puede hacerse. • Respaldo a la necesidad de permanecer al corriente de los últimos conocimientos sobre tecnología y seguridad.
(10)
¿CUÁLES SON LAS TRAYECTORIAS PROFESIONALES TÍPICAS?
¿CUÁLES SON las trayectorias profesionales típicas?
Un profesional de seguridad de la información puede provenir de diversas disciplinas no relacionadas con la seguridad. De hecho, muchos profesionales ejemplares comenzaron sus carreras en el campo de la tecnología para luego comenzar a adquirir conocimientos en seguridad. Si bien los profesionales suelen tener conocimientos tecnológicos, es cada vez más frecuente que procedan de áreas de evaluación de riesgos con vasta experiencia en la gestión de proyectos. Las dos trayectorias profesionales más comunes que se encuentran disponibles en el marco de la seguridad de la información son: técnico de seguridad y gerente/ estratega de seguridad. Algunos profesionales disfrutan de los desafíos técnicos cotidianos propios de las funciones del técnico de seguridad, por lo que permanecen en ese puesto a lo largo de sus carreras, aunque incluso este puesto cada vez demanda más “habilidades personales” como conocimientos
(11)
comerciales, comunicación y colaboración. Otros, a su vez, adquieren las habilidades de gestión necesarias para cubrir el vacío entre las prioridades técnicas y comerciales de una organización. Los atributos deseados de un técnico de seguridad pueden ser, entre otros, los siguientes: • Profundo entendimiento de diversas tecnologías • Experiencia de campo en un dominio técnico • Deseo de continuar formando parte de la implementación técnica y la supervisión de la seguridad Los atributos deseados de un gerente de seguridad pueden ser, entre otros, los siguientes: • Amplio entendimiento de diversas tecnologías • Habilidades de dirección y presentación ejecutivas • Conocimientos específicos sobre una línea de negocios o producto • Deseo de gestionar cuestiones de riesgo más amplias
¿CUALES SON LAS TRAYECTORIAS PROFESIONALES TÍPICAS?
Trayectoria profesional de (ISC)2®
(ISC)2 brinda una trayectoria profesional a los profesionales de seguridad de la información del inicio al final de sus carreras. Ofrecemos una combinación única de certificaciones, capacitación
avanzada, evaluaciones rigurosas y concentraciones especializadas. Los miembros de (ISC)2 están a la vanguardia del dinámico sector de seguridad de la información de la actualidad. Busque una de estas credenciales cuando tome la próxima decisión de contratación.
1 año de experiencia requerido
2 años de experiencia requerido
5 años de experiencia requerido
ESPECIALIZAR
Años de experiencia
0
1
2
3
4
5
6
7
8
Para obtener las certificaciones CISSP-ISSAP y CISSPISSMP, los aspirantes deberán tener 2 años de experiencia profesional comprobable en el área de su concentración. Esto no se aplica para la certificación CISSP-ISSEP.
GESTIONAR
Para obtener la certificación CISSP, los aspirantes deberán poseer 5 años de experiencia en dos o más de los dominios de CISSP CBK.
ACREDITADO
Para obtener la certificación CAP, los aspirantes deberán poseer 2 años de experiencia en la certificación y acreditación de seguridad de sistemas de la información.
IMPLEMENTAR
Para obtener la certificación SSCP, los aspirantes deberán poseer 1 año de experiencia en uno de los dominios de SSCP CBK.
APRENDER
Para convertirse en Asociado de (ISC)2, los aspirantes deberán aprobar el examen CISSP, CAP o SSCP. Una vez aprobado el examen, el aspirante deberá reunir los años de experiencia requeridos para la credencial correspondiente, y recibirá la certificación correspondiente después de cumplir con el proceso de ratificación.
9
(12)
ELABORACIÓN DE UNA DESCRIPCIÓN DEL PUESTO
Elaboración de una descripción del puesto
Un error común que aún suele darse entre muchos de los departamentos de RR. HH. es pensar que la seguridad de la información forma parte de la tecnología de la información. De hecho, debido a que los requisitos empresariales son cada vez mayores, la profesión de seguridad de la información se ha fraccionado en diversas facetas más allá de la TI y ofrece especialización en procesos, auditorías, políticas y cumplimiento, entre otros temas. Como ocurre en muchos campos, aun un puesto que ostente el mismo título en dos departamentos de la misma compañía puede tener requisitos diferentes. La clave para formular una descripción sólida del puesto, en el campo de la seguridad de la información, es garantizar que el gerente de contratación mantenga una comunicación fluida con el departamento de RR. HH. Independientemente del rango del puesto, esta conversación inicial debe
(13)
ayudar al gerente de contratación a enfocarse en cuáles son las características del organigrama, dónde se ubica el puesto y cuáles son sus funciones y responsabilidades, cuál es la relación del puesto con la organización como un todo, y cuáles son las expectativas de éxito. Si está trabajando con un reclutador de personal externo experimentado que se especialice en seguridad de la información, es momento de involucrarlo en el proceso. Un reclutador de personal capacitado puede asesorarlo sobre la escala de sueldos competitivos para el puesto y ayudarlo con la creación de la descripción de dicho puesto. Involucrar al reclutador de personal en esta fase del proceso sienta las bases para una relación de compañerismo exitosa, ya que se llega a un entendimiento mutuo de las funciones y responsabilidades, y se transmite un mensaje coherente a los candidatos potenciales.
ELABORACIÓN DE UNA DESCRIPCIÓN DEL PUESTO
La descripción del puesto de un gerente de seguridad de la información puede incluir lo siguiente: • Desarrollar y supervisar la implementación de las políticas y los procedimientos de seguridad de la información de la organización. • Supervisar la implementación de las políticas y los procedimientos de seguridad de la información de la organización. • Garantizar la prevención de las intrusiones, el acceso y las falsificaciones no autorizados, y detectar y solucionar los incidentes de seguridad con rapidez. • Garantizar la selección y correcta implementación de las herramientas de tecnología de seguridad más eficaces y adecuadas. • Brindar capacitación en conciencia de la seguridad de la información a los empleados, contratistas, aliados y terceros.
• Supervisar el cumplimiento de las políticas y los procedimientos de seguridad de la información de la organización entre los empleados, contratistas, aliados y terceros. • Supervisar los sistemas de control internos para garantizar que se mantengan niveles de acceso a la información y autorizaciones de seguridad apropiados. • Llevar a cabo evaluaciones de riesgos sobre seguridad de la información y garantizar la auditoría de los procesos de seguridad de la información. • Elaborar los planes de continuidad del negocio y recuperación ante desastres de la organización para los sistemas informáticos. • Supervisar los cambios en los estándares legislativos y de acreditación que afecten la seguridad de la información.
(14)
REQUISITOS DE CERTIFICACIÓN
Requisitos de certificación
En el área de requisitos, además del grado de formación y experiencia que esté buscando, es importante determinar la certificación profesional que mejor confirme las aptitudes de un candidato para el puesto. Si está buscando un técnico de seguridad, una certificación de un proveedor cuyo entorno coincida con el entorno tecnológico específico de su organización, como las certificaciones de Microsoft o Cisco, puede ser útil. Por otra parte, una certificación genérica de un proveedor que garantice que el técnico de seguridad comprende los principios centrales de la seguridad eficaz y puede comunicarse sin problemas con la gestión de seguridad también es útil. Algunos ejemplos son: la certificación de Profesional Certificado en Seguridad de Sistemas (SSCP®) de (ISC)2® y la certificación GIAC del SANS. Según los resultados del Estudio Global sobre Profesionales de Seguridad de la Información
(15)
realizado en 2006, el 85 por ciento de los gerentes de contratación de seguridad del mundo cree en la importancia de las certificaciones en seguridad de la información a la hora de contratar personal. Las aptitudes del empleado y la calidad del trabajo siguen siendo las principales razones por las que los empleadores y gerentes de contratación continúan haciendo hincapié en las certificaciones en seguridad. A su vez, las políticas y normas de la compañía también se están convirtiendo en razones importantes. Para los puestos de gestión de la seguridad, la certificación estándar de oro de la industria es la acreditación de Profesional de Seguridad Certificado en Sistemas de Información (CISSP®), también de (ISC)2. Dicha acreditación fue desarrollada por pioneros de seguridad de la información a comienzos de la década de los noventa, y es la primera y más respetada credencial de seguridad del mercado. Evalúa los más amplios conocimientos de cualquier certificación en seguridad de la información por medio de un examen de seis horas de duración
REQUISITOS DE CERTIFICACIÓN
sobre su CISSP CBK®, una taxonomía de temas de seguridad de la información globales que se actualiza con regularidad. También exige que el candidato cuente con cinco años de experiencia en al menos dos dominios del CBK®, obtenga el respaldo de un profesional certificado por (ISC)2®, se suscriba al Código de Ética de (ISC)2 y complete los requisitos de formación profesional continuos anuales para conservar la certificación. Otras certificaciones en seguridad profesionales incluyen la de Auditor Certificado en Seguridad de la Información (CISA, por sus siglas en inglés) y la de Gerente Certificado en Seguridad de la Información (CISM, por sus siglas en inglés) de ISACA, además de las concentraciones CISSP® en administración, arquitectura e ingeniería de (ISC)2.
(16)
SELECCIÓN DE PERSONAL
Selección de personal
Los profesionales de seguridad de la información poseen habilidades altamente especializadas que tienen muchísima demanda. Debido a esta demanda, los profesionales de gran talento suelen estar disponibles únicamente unas pocas semanas. Es una realidad del mercado actual que las organizaciones deben contratar al candidato deseado rápidamente. Muchos de los candidatos calificados se pierden si el proceso de contratación se extiende demasiado. Para ser competitivo y exitoso en la selección de profesionales de seguridad de la información, el departamento de RR. HH. debe asociarse con el gerente de contratación y el reclutador de personal especializado para acortar el proceso de contratación lo más posible antes de comenzar con la selección del personal. Contar con la colaboración de un reclutador de personal especializado puede ofrecer muchos beneficios; entre ellos, reducir el tiempo que usted dedica al proceso de contratación, ponerse
(17)
en contacto con los candidatos pasivos y extender su marca en forma positiva hacia la comunidad. Asegúrese de escoger una compañía que cuente con un registro de seguimiento establecido de los aciertos en los tipos de funciones que está buscando y en el conocimiento del sector. Solicite referencias y procure sentirse cómodo con el reclutador de personal de modo que no tenga dudas de que será capaz de trabajar en conjunto con usted durante el ciclo completo de selección del personal, desde la detección temprana del candidato hasta la posterior negociación y aceptación. Desarrollar una relación de confianza con el reclutador de personal especializado le permitirá a usted y al gerente de contratación tener por seguro que están tratando con los mejores candidatos posibles en el menor tiempo posible. Las asociaciones profesionales también pueden ser un excelente recurso para dar con el candidato adecuado. (ISC)2®, por ejemplo, ofrece a los empleadores acceso a cerca de 60.000 miembros
SELECCIÓN DE PERSONAL
certificados de todo el mundo a través de su Centro de Recursos Profesionales en línea. Los empleadores interesados pueden publicar anuncios sobre puestos de trabajo y buscar currículos por rubro, certificación y ubicación. Solamente los miembros certificados por (ISC)² pueden publicar currículos en el Centro de Recursos Profesionales de (ISC)². El servicio es gratuito. Otra alternativa a la hora de seleccionar personal es unir fuerzas con una asociación profesional y con programas de auspicio o bien, realizar sesiones informativas que sean de interés para sus miembros. Poner el nombre de la organización a la vista de profesionales de la seguridad con regularidad es una excelente forma de conectarse con aquellas personas que no están buscando empleo en forma activa, pero que podrían estar interesadas si se presenta una buena oportunidad. Si el puesto que desea cubrir requiere de un universitario recientemente graduado, considere
ponerse en contacto con las facultades/institutos de enseñanza superior que hayan sido merecedores de la distinción de Centro Nacional de Excelencia Académica en Educación de Seguridad de Información (CAEIAE, por sus siglas en inglés) de los Estados Unidos o su equivalente regional (www. nsa.gov/ia/academia/caeiae.cfm). El objetivo del programa estadounidense es identificar universidades e institutos de enseñanza superior de cuatro años que demuestren excelencia académica en seguridad de la información. Actualmente, hay 85 Centros Nacionales de Excelencia Académica en Educación de Seguridad de Información. También puede tener en cuenta a los estudiantes o universitarios recientemente graduados distinguidos como Asociados de (ISC)². Esta distinción se confiere a aquellos que han aprobado el riguroso examen de CISSP® y se han comprometido con el Código de Ética profesional pero aún no cuentan con la experiencia necesaria para la certificación.
(18)
EVALUACIÓN DE APTITUD
Evaluación de aptitud
Opciones/requisitos de formación:
Una evaluación de aptitud inicial detallada del candidato permitirá determinar mejor si los objetivos y las motivaciones del individuo coinciden con lo que la organización está buscando.
• Título de nivel terciario en Administración de Sistemas
La seguridad de la información es una disciplina relativamente nueva, por lo que posee un programa de estudios y una trayectoria profesional recientes. Por ejemplo, muchísimas instituciones académicas solamente ofrecen programas de estudios enfocados en la seguridad desde hace cinco años aproximadamente. Fuera del campo de la TI, muchos más profesionales de seguridad de la información de nivel alto proceden de campos como cumplimiento de la ley y auditoría, así como del sector de la milicia. A continuación figuran algunos requisitos o sugerencias generales, divididos según formación, habilidades técnicas y habilidades generales.
(19)
• Licenciatura en Tecnología de la Información u otro campo relacionado • Licenciatura en Ciencias de la Computación o experiencia equivalente en seguridad de la información • Maestría en Ciencias o Maestría en Administración para el puesto de director o puesto superior • Doctorado en Enseñanza, Investigación o Desarrollo Avanzado Habilidades técnicas necesarias: • Conocimiento de los sistemas de redes y de los protocolos de seguridad
EVALUACIÓN DE APTITUD
• Certificación profesional genérica o específica*
• Conocimiento de los programas de software de seguridad y su implementación
• Excelentes cualidades de liderazgo*
• Conocimiento de las mejores prácticas en el desarrollo de procedimientos e infraestructura de seguridad
• Habilidades interpersonales y de manejo de conflictos* • Capacidad de relacionar conceptos relativos a la seguridad con una amplia gama de cuestiones técnicas y no técnicas en forma eficaz*
Habilidades y aptitudes generales: • Excelentes habilidades orales, escritas y de presentación • Sólidas habilidades conceptuales y analíticas • Capacidad de operar como integrante eficaz de un equipo • Capacidad de gestionar varias tareas en simultáneo • Sólidas habilidades de gestión de proyectos (capacidad de gestionar el proyecto general, y a la vez comprender sus subcomponentes y cómo se relacionan con este)
*
Útil para avanzar hacia la gestión de seguridad de la información.
(20)
ENTREVISTAS
Entrevistas
Antes de una entrevista, el departamento de RR. HH. debe coordinar esfuerzos con el gerente de contratación y el reclutador de personal externo especializado a fin de establecer un conjunto de criterios de evaluación que todos deben seguir, y confirmar quién será el responsable de tomar la decisión final. Dicha persona, junto con los entrevistadores, puede elaborar un formulario de evaluación de mutuo acuerdo que enumere los puntos importantes del perfil del candidato para cada puesto. El formulario puede incluir requisitos técnicos específicos, adaptación a la cultura de la empresa, habilidades de comunicación y presentación, potencial de crecimiento y experiencia relevante. Cada entrevistador deberá abordar todos los temas pero, a su vez, tendrá asignados puntos específicos que deberá profundizar. Este enfoque facilitará un entendimiento integral de los puntos
(21)
fuertes y débiles del candidato, lo que garantizará que la decisión del responsable final sea informada a la hora de presentar un ofrecimiento. Las compañías deben dedicar su atención a seleccionar y capacitar a los entrevistadores. Los entrevistadores seleccionados deben tener un claro entendimiento de las funciones y responsabilidades del puesto, y estar al tanto de la prioridad de las habilidades requeridas. Asimismo, todos los entrevistadores deben transmitir un mensaje coherente acerca de los detalles del puesto, como la estructura jerárquica, el nombre, la remuneración y las responsabilidades. A su vez, todos deben participar a la hora de cerrar el trato con el candidato. Esto significa que todos aquellos que formen parte del proceso de entrevista deben ser positivos e informativos, y destacar el potencial de crecimiento del puesto en cuestión. Los entrevistadores deben comprender que son la cara visible
ENTREVISTAS
del departamento y la compañía, y que, en consecuencia, la imagen que den influirá en gran medida en el candidato. Si bien es probable que el gerente de contratación se centre en las habilidades técnicas, los responsables de RR. HH. deben ayudar a los entrevistadores a apreciar aquellas habilidades “personales” que el candidato pueda transmitir eficazmente y articular de acuerdo con el valor de los negocios. Si el profesional de seguridad de la información no es capaz de convertirse en una influencia positiva para los empleados, especialmente aquellos que no respondan a él directamente, los procesos y la tecnología no servirán de nada. Solicitar al candidato que explique un problema de seguridad a una persona sin conocimientos técnicos puede ser una forma de evaluar sus habilidades de comunicación. El candidato debe ser capaz de transmitir los mensajes apropiados a diferentes audiencias
y adaptar su postura sobre seguridad para adecuarla a las necesidades y apetitos de riesgo específicos de la organización. Solicite al candidato que proporcione ejemplos de aquellas situaciones en que haya hecho uso del sentido común para adquirir credibilidad y lograr el consenso. El liderazgo es otro atributo clave deseado, por lo que puede ser útil solicitar al candidato que describa una situación en la que haya demostrado dicha destreza. Tanto la respuesta como la forma de responder del candidato serán un reflejo de sus cualidades de líder. Otra pregunta de entrevista conveniente puede girar en torno a qué diferencia al candidato de otros profesionales de seguridad de la información. Una cualidad que debe tenerse en cuenta incluye cuán bien articula un candidato el efecto que sus esfuerzos han tenido en el éxito o en los resultados finales de la organización. Solicite al candidato que describa un problema de seguridad específico y que explique cómo
(22)
ENTREVISTAS
lo resolvió. El tipo de respuestas que obtenga definirá las características de un profesional de la seguridad exitoso: • ¿Demostró comprensión de la raíz del problema antes de implementar la solución? • ¿Tuvo en cuenta y se anticipó al impacto de las diferentes líneas de acción? • ¿Fue capaz de adaptar la solución para satisfacer las necesidades y los apetitos de riesgo de las operaciones? ¿Cuán exitoso fue a la hora de transmitir los resultados? Asimismo, indague sobre el material de lectura del candidato y sobre los sitios web que visita. La seguridad de la información es un campo que cambia constantemente, por lo que debe asegurarse de que el candidato esté bien informado y se mantenga al corriente de los últimos foros y grupos de discusión, así como de otros sitios del sector.
(23)
VERIFICACIÓN DE SEGURIDAD/REFERENCIAS
Verificación de seguridad/ referencias
Verificar las referencias y los antecedentes es vital al contratar a un profesional de seguridad de la información debido a que dichos profesionales tienen mayor acceso a los datos de los empleados, clientes y propietarios que cualquier otro empleado. Por tanto, una ética y una honestidad sólidas son imprescindibles. Los referencias profesionales no solamente validan y verifican la capacidad técnica de un candidato a la hora de realizar el trabajo, sino también sus habilidades de comunicación, personalidad y convicción moral. Un candidato que desapruebe una verificación de los antecedentes, ya sea por errores de omisión, afirmaciones erróneas o problemas financieros o legales, representa un gran riesgo, por lo que se debe tener mucha cautela antes de proceder con el proceso de contratación. Evalúe la credibilidad del candidato por medio de la verificación de las credenciales académicas
y profesionales, los antecedentes laborales y las referencias personales. (ISC)2® ofrece una herramienta de verificación de las certificaciones en línea para los empleadores que solamente demora unos segundos. Asimismo, diversas organizaciones que ofrecen certificaciones genéricas, incluida (ISC)2, obligan a los candidatos a suscribirse a un código de ética profesional y a una cancelación de la certificación por riesgo en caso de cometer una infracción. Examine los informes crediticios como una señal de problemas financieros que puedan impulsar malas conductas. Algunas de las cuestiones que deben considerarse son un registro de recaudaciones múltiples, juicios civiles, deudas incobrables, préstamos incobrables, gravámenes impositivos o embargos. Asegúrese de informar al postulante que tiene la posibilidad de objetar el contenido del informe de antecedentes si lo estima necesario, ya sea porque la información es inexacta o porque está incompleta.
(24)
ELABORACIÓN Y PRESENTACIÓN DE UN OFRECIMIENTO
Elaboración y presentación de un ofrecimiento
Los departamentos de RR. HH. suelen cometer el error de asumir que las escalas salariales de los profesionales de seguridad de la información son iguales que las de los profesionales de TI generales y, en consecuencia, hacen ofrecimientos por debajo del valor del mercado que no llegan a buen puerto. La seguridad de la información es un campo donde las condiciones están sujetas a cambios constantes, por lo que es difícil estar actualizado en cuanto a los conjuntos de habilidades, los perfiles y el valor en el mercado de los profesionales. No confíe a ciegas en las encuestas sobre sueldos del sector de la seguridad de la información llevadas a cabo por publicaciones y analistas del sector, ya que, por lo general, no suelen estar al día con las realidades del mercado, por lo que sus cálculos son muy inferiores a los reales a la hora de retener a grandes talentos. Tampoco tienen en consideración las
(25)
habilidades especializadas en demanda, las distintas regiones geográficas ni las distintas jerarquías organizacionales para que el ofrecimiento sea competitivo. Una de las encuestas sobre sueldos más exactas figura en el Estudio Global sobre Profesionales de Seguridad de la Información, que entrevista a miles de profesionales de seguridad de la información de todo el mundo. Se puede descargar en forma gratuita del sitio web de (ISC)2® en www.isc2.org/ workforcestudy. Antes de tomar una decisión sobre el ofrecimiento, asegúrese de que el equipo de entrevistadores realice lo siguiente: • Recopile y analice los criterios de evaluación. • Esté al tanto de la remuneración total actual del candidato y sus expectativas. • Evalúe alternativas de remuneración creativas. Nuevamente, todo el equipo debe ser consciente del tiempo que demora el proceso de contratación.
ELABORACIÓN Y PRESENTACIÓN DE UN OFRECIMIENTO
Cuanto más tiempo se demore en realizar el ofrecimiento, más probabilidades habrá de que el candidato firme para otra compañía, evalúe nuevamente su puesto actual, reciba un ascenso o simplemente pierda interés. Existe una correlación inversa entre la cantidad de tiempo que lleva realizar un ofrecimiento y la cantidad de ofrecimientos aceptados. Si tiene la oportunidad, sea creativo en el ofrecimiento laboral, para ello, incluya una bonificación o una comisión relacionada con el desempeño además del sueldo base. Es una realidad, también, que muchos profesionales de seguridad de la información no solamente se interesan en el sueldo y responden a oportunidades de perfeccionarse, participar en proyectos innovadores, obtener certificaciones profesionales, asistir a conferencias, escribir y publicar ensayos, unirse a asociaciones profesionales, etc. Muchos profesionales aprecian la flexibilidad de crear una red de contactos con sus colegas, además de cumplir con los requisitos del puesto. Gran parte de la creación de contactos también les brinda experiencia profesional.
También es aconsejable analizar los planes de sucesión. Analice el crecimiento profesional y proporcione ejemplos de cómo otros empleados han tenido un papel más sobresaliente durante su ejercicio en la organización. También considere la política de la organización en cuanto al reintegro de los honorarios por certificaciones y planes de estudios, formación continua, etc. Al final, el gerente de contratación, el departamento de RR. HH. y el reclutador de personal deben coordinar esfuerzos para presentar y realizar la oferta. La presentación y la comunicación son sumamente importantes a la hora de realizar un ofrecimiento para retener al candidato deseado. Por lo general, los profesionales de seguridad de la información no son las estrellas principales pero a menudo reciben cierto grado de atención de los competidores debido a sus habilidades especializadas y a la gran demanda del mercado.
(26)
RETENCIÓN
Retención
Debido a la cantidad de competidores que están detrás de los profesionales de seguridad de la información, las compañías deben adoptar un enfoque más estratégico y favorable hacia la retención si desean conservar la nueva camada de talentos. Realice una progresión profesional formal respecto de los mejores y más brillantes integrantes de su equipo de seguridad de la información actual. Uno de los atributos más exclusivos y ventajosos de trabajar en un departamento de seguridad de la información es la exposición a las operaciones, los procesos y las tecnologías en todas las actividades de la empresa. Esta exposición proporciona un escenario de capacitación muy favorable para construir los equipos de gestión del futuro. Además, las trayectorias profesionales definidas ayudarán a garantizar el continuo suministro de sucesores capaces de ocupar cualquier puesto importante en el equipo de seguridad. Las organizaciones deben trabajar en pos de satisfacer los objetivos profesionales a largo plazo, para lo
(27)
cual necesitan desafíos profesionales por parte del personal de seguridad de la información porque la demanda es muy elevada en el mercado laboral. Los profesionales de RR. HH. también deben alentar a los empleados de seguridad de la información a aprovechar las oportunidades de capacitación y formación. Las amenazas y ataques que surjan de aquí en adelante obligarán a los profesionales de la seguridad a adquirir nuevas habilidades y técnicas. Al cultivar el talento doméstico, el equipo de RR. HH. entregará a los empleados valiosos las herramientas necesarias para alcanzar el éxito, lo que, en última instancia, beneficiará a la organización. Además, la reputación de contar con un equipo de seguridad sólido puede contribuir a que la organización contrate los mejores candidatos del mercado. Permita también que el profesional de la seguridad cree vínculos con sus colegas a fin de establecer una red de contactos con personas externas a la compañía a quienes pueda consultar en forma pública o privada para recibir respaldo y asesoramiento.
RECURSOS
Recursos
AFCEA International www.afcea.org Alta Associates www.altaassociates.com American Council for Technology (ACT) and Industry Advisory Council www.actgov.org American National Standards Institute (ANSI) www.ansi.org ASIS International www.asisonline.org Computer Security Institute www.gocsi.com The Computing Technology Association (CompTIA) www.comptia.org
Executive Women’s Forum www.infosecuritywomen.com Information Assurance Professionals Association (IAPA) www.iapa-glc.org Information Systems Audit and Control Association (ISACA) www.isaca.org Information Systems Security Association (ISSA) www.issa.org Information Technology Association of America (ITAA) www.itaa.org International Association of Privacy Professionals www.privacyassociation.org International High Technology Crime Investigation Association (HTCIA) www.htcia.org
(28)
RECURSOS
International Information Systems Forensics Association (ITFSA) www.iisfa.org International Information Systems Security Certification Consortium, Inc. [(ISC)2®] www.isc2.org Internet Security Alliance www.isalliance.org National Academic Centers of Excellence www.nsa.gov/ia/academia/caeiae.cfm
(29)
SANS Institute www.sans.org Security Industry Association www.siaonline.org
Agradecimientos (ISC)²® desea extender su agradecimiento por las invaluables contribuciones de Joyce Brocaglia, Presidente y Director Ejecutivo de Alta Associates, Inc. en la realización de esta guía. Fundada en 1986, Alta Associates es una compañía de selección de personal de seguridad de la información muy respetada que ha ayudado a las empresas globales a construir departamentos de seguridad de la información de clase mundial durante los últimos 22 años. Para obtener más información, visite www.altaassociates.com.
www.isc2.org/Info_ES