Óscar Salgado*
En la búsqueda de personal capacitado para la protección del activo más intangible, pero más valioso de una organización, se puede perder hasta la caballera.
Los jefes de seguridad (CSO o CISO, por sus siglas en inglés) no son fáciles de encontrar en el mercado laboral debido a la particularidad de sus credenciales, además de ser un puesto de reciente creación. Quienes han logrado desarrollarse se vuelven tan valiosos que son incosteables para la mayoría de las organizaciones.
Pero no todo está perdido. Es importante dejar de enfocarse en el perfil ideal para no perderse de las oportunidades que están a nuestro alcance. Mi recomendación es buscar un ingeniero en Sistemas con algo de experiencia operativa y con ganas de seguir estudiando temas de Seguridad de datos.
En este proceso, tanto usted como el futuro candidato, deberán estar conscientes de que el camino es largo, por lo que deberán fijarse pequeñas metas para alcanzar el objetivo, y así poder contar con un CISO hecho y derecho.
¿Por dónde empezar a formar un CISO?
A continuación le dejo lo que, en mi experiencia, son los pasos a seguir:
Seleccione un candidato entre su equipo
Un joven ingeniero en Sistemas que tenga ciertos conocimientos de redes, servidores y de ser posible en programación. Sin embargo, lo más importante es que tenga actitud: ganas de aprender, de trabajar en equipo y crecer con la compañía.
Evalúe su nivel de confianza
Una prueba de honestidad está bien, pero esta posición requiere medidas drásticas, hasta incluso la del uso de polígrafo. Me he topado con personal muy bueno, pero con parientes ligados a la delincuencia.
Diseñe un plan de entrenamiento.
Algo de suma importancia a considerar son las habilidades y el conocimiento, esas que se adquieren en la práctica así como a través de certificaciones de seguridad basados en ISO/IEC 27000, COBIT, NIST, CIS e ITIL.
Además, están los marcos regulatorios LFPDPPP, PCI-DSS y los que pudieran aplicar por cuestiones pertinentes al giro que pertenezca su compañía. Pero, insisto, todo este conocimiento no será útil si nuestro candidato carece de actitud.
Sensibilícelo con el negocio
Es muy importante que nuestro oficial de Seguridad en desarrollo conozca el negocio, conozca a los usuarios, se integre con la compañía y con las necesidades de la operación y sus procesos de atención.
Debe ser una persona centrada en el cliente y no solo enfocado en proteger la información; de lo contrario construirá barreras de protección en lugar de vías seguras de comunicación e interacción.
Dele acompañamiento
Es un hecho que lo anterior toma tiempo, por lo que será necesario buscar el apoyo de alguna empresa que preste seguridad como servicio.
Este acompañamiento permitirá al CISO en desarrollo practicar y generar experiencia, empezando con un GAP Análisis (análisis de brechas) del estado actual de la seguridad de la compañía versus el estado deseable acorde con los marcos o estándares de la industria.
Esta etapa es muy importante para nuestro oficial de Seguridad, quien deberá tener metas claras después del análisis, para visualizar el largo camino de acciones a ejecutar para madurar la gestión de seguridad de la información dentro de la compañía.
De capacitado a capacitador
Nuestro oficial de Seguridad debe tener la capacidad de preparar a los usuarios de toda la compañía en temas relacionados con la identificación del phishing, el SPAM y la ingeniería social. Como sabemos, la mayoría de los ataques se planifican vulnerando a las personas más que a los sistemas.
Por ello una de las prioridades dentro de su desarrollo como CSO será la concientización de la plantilla laboral con respecto a los temas de seguridad. Un curso de cómo hablar en público y de cómo hacer presentaciones le pueden ser de gran utilidad.
Finanzas para no financieros
Puede ser trillado el tema, pero será importante que aprenda cómo elaborar, presentar y controlar el presupuesto relacionado con la Seguridad de la información. Mi recomendación en este punto es asociar las inversiones de seguridad con el impacto al negocio en caso de pérdida o paro de sistemas, que podrá incluir en los planes de continuidad de negocio y de recuperación ante un desastre provocado por un riesgo cibernético.
Desarrollo de habilidades suaves
Desarrollar a un especialista de seguridad conlleva mucho trabajo técnico y práctico. Sin embargo, el objetivo es llegar a un alto nivel: el nivel C.
Es por ello que un Security Officer también deberá capacitarse y practicar habilidades blandas, pues el objetivo es que sea un Chief Security Officer, independiente, capaz de comunicarse de manera clara y coloquial al cuerpo directivo o a la junta de consejo.
Esto requiere de coaching que le ayude a obtener liderazgo y empatía por sus pares, así como con ejecutivos que no manejan el nivel de conocimiento técnico y tecnicismos que ha desarrollado.
La motivación, ante todo
Como lo he comentado, el camino es largo para pasar de ingeniero de Seguridad a director de Seguridad. Hay muchos escalones que subir y eso debe ser el acicate para que nuestro ingeniero se mantenga motivado, un plan de vida y carrera brillantes. Esto le permitirá conocer dónde se encuentra, para dónde va y porqué roles tendrá que pasar para cumplir su objetivo.
No Free Lunch
Nada es gratis en la vida. Si bien el sueldo de un ingeniero en Sistemas no se compara con el de un CISO, deberá considerar que esta persona trabajará para conseguir su objetivo.
De modo que año con año deberá mantener viva la llama del amor por el trabajo y eso se consigue mediante la remuneración de las metas alcanzadas. Esto también implica que el acompañamiento del cual hablamos en el punto cinco se disminuya, pues las funciones empezarán poco a poco a ser tomadas por el futuro líder de seguridad informática.
Uno de cada tres profesionales de ciberseguridad planea cambiar de profesión
Ahora se preguntará: ¿por qué no contratar a un CISO como servicio? Porque un rol tan importante no puede dejarse siempre en manos de un tercero. ¿Acaso invitaría a un desconocido a sentarse a la mesa directiva a escuchar el detalle de sus estrategias de negocio?
Ese rol solo puede ser de alguien interno de la compañía, porque nadie va a entender y a comprometerse más con el negocio que un directivo propio.
