RRHH y Seguridad de la Informacion

Problemática con las búsquedas de perfiles relacionados
a la seguridad informática
.

 

“Hola Diego me contacto con vos porque tengo varias posiciones de seguridad para la empresa zaraza, pero lo que me piden es que los candidatos tengan un nivel bilingüe en ingles y estén recibidos, por lo cual te pido me confirmes a la mayor brevedad tu nivel de estudios.

Te pido que por favor también me digas cuanto ganas y cuanto pedirías por un cambio de trabajo”

 

Este pintoresco correo lo recibí hace muy pocos días, un sábado por la tarde para ser más precisos, a través de linkedin, por parte una de las tantas personas que se autodenominan human resource recruiter.

Hasta acá no pareciera ser nada grave, después de todo, a quién no le gusta ser contactado para que le ofrezcan oportunidades de trabajo no?

Pero había algo de este mensaje que me molesto realmente y que,  por supuesto, me disparó otros recuerdos de experiencias muy parecidas que tuve en los últimos dos años al menos, en dónde me han contactado varias veces por este tipo de canal, y en dónde, sin mediar demasiado, me preguntan cuánto quiero ganar y que disponibilidad inmediata tendría.

Quizás, seguramente, algún lector podría decir que esta problemática está dada por el abaratamiento de costos que muchas empresas realmente hacen usando o contratando el servicio de estos recruiters en vez de usar una consultora más especializada, ya que los mismos, solamente cobran una comisión cuando la empresa “Toma al candidato”, pero se evitan muchos otros costos.

Yo creo, en mi humilde opinión, que el problema es netamente del lado de las empresas, quienes realmente en la mayoría de los casos, o no saben bien que es lo que necesitan de un profesional de seguridad, o en todo caso, no valoran a la seguridad para la real protección de los activos del negocio.

Si la empresa  realmente necesita contratar a una persona o profesional para un puesto de seguridad informática, no debería contratar al menos, los servicios de una consultora especializada?, o, al menos, tomar los requerimientos adecuados, por parte propia, para tomar y cubrir un puesto relacionado a la seguridad informática?

Esto, por supuesto, me induce a pensar en un montón de cosas, que, lamentablemente no son del todo optimistas, cómo ser:

La empresa en cuestión, y cómo dije antes, no se toma demasiado en serio la seguridad si maneja de manera tan trivial la búsqueda de un profesional que debe velar por sus activos informáticos.

Más importante aún, la empresa, tiene una cultura relacionada a la seguridad informática?, digo, más allá del rubro a la que la misma se dedique, cómo para delegar la búsqueda de personal especializado en la material en un simple recruiter?

Porque por ejemplo muchas de estas empresas cuando tienen que realizar algún trabajo específico en seguridad, cómo ser un penetration test, buscan a un profesional de renombre o mínimamente reconocido por sus pares dentro de la comunidad, pero a la hora de contratar a una  persona para su área de seguridad no toman los mismos recaudos?

He visto, escuchado y participado, de hecho, en los últimos años, de un montón de avisos y entrevistas en dónde me han preguntado si estaba en condiciones de realizar un penetration test a nivel de aplicación, para acto seguido, decirme además que, la posición requiere de conocimientos en Cisco, administración de firewalls Fortinet, cómo también, saber algo de programación en Perl, visual basic script y SQL, además de por supuesto, mantener y velar por las políticas de seguridad de la compañía, cómo así también la atención a los auditores cuando se lo requiera.

Algún lector se siente identificado? Esta problemática obviamente no es nueva, lo cual, a esta altura es grave, y demuestra que la misma está vinculada inmediatamente a las empresas en sí.

Las empresas tienen “realmente” claro lo que implica tener un área de seguridad informática que realmente asegure y proteja los activos de la misma? Tienen en claro la diferencia entre un perfil funcional, de uno operativo o inclusive de uno técnico especializado?

Tienen en cuenta cuando chequean el background del candidato como se relaciona el mismo con la comunidad de infosec? O si por ejemplo esta persona cuenta con alguna certificación internacional en seguridad cómo ser CISSP, CISM, CISA, CEH, Security + o cualquier otra asociada?, y más aún, de contar con alguna de ellas, la empresa se lo reconoce al candidato en la propuesta económica que le realice al candidato?

Los que trabajamos en este campo, sabemos muy bien que a la seguridad se la ve siempre como un gasto, y no cómo a algo que genere ganancia o riqueza, y por esa razón, muchas veces observamos diferencias o disparidades altas entre un puesto que para la empresa genera riqueza y uno que no, cómo ser un analista senior de marketing o la gente del departamento de publicidad (En caso de contar con uno) ya que son los que posicionarían un producto de la empresa en el mercado.

Pero, la pregunta del millón, quien cuida a la riqueza? Quien vela por la custodia de la riqueza de la compañía?

No debería entonces, una empresa, cuando evalúa la incorporación de un profesional de seguridad, realmente preocuparse y tomar las medidas necesarias para poder tomar al mejor candidato posible? Después de todo, no sería esta persona una de las encargadas de proteger la confidencialidad e integridad de todos nuestros activos? No es esta, en sí misma, “TODA” una responsabilidad?

Qué responsabilidad tiene más peso? La del encargado de la seguridad, el cual vela por absolutamente TODA la compañía en cuanto a sus activos electrónicos o la de, por ejemplo, un empleado contable? O la de un líder de equipo de call center? Por solo citar algunos ejemplos de puestos.

Si por ejemplo un empleado contable se equivoca, cómo cualquier ser humano, en un determinado informe de balance o se equivoca en una determinda ecuación que pasaría? Cuál sería el impacto? Existiría un impacto en sí? Seguramente que si, pero habría que analizar si el impacto de tener que corregir un balance o un informe financiero es proporcional a que un analista de seguridad se equivoque y tome una mala decisión que le provoque a la empresa un expuesto de seguridad, y que un atacante pueda aprovecharla para tomar control de toda su infraestructura, por lo cual, en este escenario, cuál sería entonces la calificación del riesgo?

De hecho, y para ir cerrando el debate, porque inclusive, las empresas suelen ser, en un muy alto porcentaje, reticentes a la hora de pagar una certificación de seguridad? En muchos casos la empresa paga el curso pero no la certificación, porque en teoría, lo que se suele alegar es que no se requiere que la persona esté certificada pero que si tenga el conocimiento que ese “determinado curso” brinda.

Cómo sabe la empresa cuando paga estos cursos, si la persona realmente aprendió algo? Se toma el trabajo de tomarle algún tipo de examen al empleado?, quien se toma la molestia siquiera de medir esto? No sería realmente muchísimo más provechoso si realmente se incentivara al empleado a pagarle el curso pero teniendo que rendir la certificación? Es sabido que la preparación para el poder rendir correctamente muchas de estas certificaciones requiere muchísimas horas de estudio, que el curso en sí mismo no brinda. No sería, el obtener la certificación, un excelente indicador en sí mismo, de que el dinero invertido por parte de la compañía en el pago de un curso fue bien aprovechado el empleado, y que además el mismo va a estar mejor parado antes los desafíos que el trabajo implique?

Muchos profesionales me han dicho que, en muchos casos, las empresas no quieren pagar certificaciones, ya que al empleado certificado, se le debería pagar más, o que el empleado, al alcanzar algunas de estas certificaciones, automáticamente se iría, pero esto realmente es así? Si muchas empresas estimulan en otros puestos la especialización, cómo ser que el empleado se reciba y automáticamente se pague un plus por tener el título o que incluso también se pague un porcentaje extra a las personas que realizan un posgrado, porqué la empresa no tomaría las mismas acciones para con un empleado de seguridad informática, si este hace el esfuerzo por estudiar y aprobar una o más certificaciones especializadas en seguridad? Quien dice que el empleado no lo apreciaría o que no lo va a retribuir con su trabajo?

 

Conclusión:

Este tema por supuesto siempre va a levantar un debate (Es lo que se espera por supuesto para que el mismo se enriquezca mucho más) pero a mi entender y, en mi humilde opinión, hay todavía en nuestro mercado un largo camino por recorrer. La seguridad informática desde hace rato que está bastante profesionalizada en muchos aspectos, más allá de ser por naturaleza, de un cambio constante, lo cual la convierte en una rama apasionante, pero todavía sigue habiendo mucha niebla por parte de las empresas en cuanto a su relación directa con los profesionales del área.

Esta más que claro que las empresas buscan siempre candidatos que sepan de todo, por un beneficio económico que, en el 80% de los casos no se condice con las responsabilidades de dicho profesional ni en cuanto a la cantidad de horas y dinero invertidos en su carrera.

Las empresas deberían, realmente, tomarse mucho más en serio tanto el sistema de selección de su personal o staff de seguridad informática, cómo así también el desarrollo de carrera de la misma a su staff de profesionales, valorándolos como tal, y entendiendo, más en profundidad, lo que realmente significa tener a una persona con los conocimientos adecuados y sabiendo de antemano que roles y funciones cumplirán estas personas dentro del área de seguridad, ya sea funcional o técnico, haciendo el mejor esfuerzo por contratar realmente a un candidato idóneo, y apoyándose, si es necesario, en la ayuda de consultoras especializadas en la materia.

Creo por otro lado que, honestamente, hay una deuda pendiente también por nuestro lado, los profesionales de seguridad, en relación a toda la problemática expuesta, ya que así como invertimos tiempo en la comunidad de infosec dando charlas, conferencias o inclusive cursos, quizás, en algún momento deberíamos tomarnos también el tiempo necesario para analizar y ver cómo esto se podría mejorar de alguna manera, ya fuera a través de talleres de concientización a las mismas, cómo así también a través de charlas programadas a través de organizaciones sin fines de lucro que aúnen a profesionales de seguridad, que ayuden a que las empresas tomen realmente conciencia de lo que implica contratar a la persona que “literalmente” va a segurizar todos los activos de la compañía.

Creo que estas mejoras no sólo ayudaría a las empresas a tener mejores profesionales de seguridad, con todos los beneficios que eso conlleva sino que ese proceso de mejora en sí, sería mucho más beneficioso para los profesionales del rubro, quienes sin duda verán a futuro, que sus perfiles serán mucho más valorados en todo sentido dentro de los procesos de las compañías.

 

 

Diego G. Bruno

Senior Information Security Professional

CCNA – MCSE – CEH – AS|PT

Tagged