Gua de contratacin

para la profesin de seguridad de la informacin

INTRODUCCIN

Bienvenido a la Gua de contratacin para la profesin

de seguridad de la informacin de (ISC)2.No es ningn
secreto que no es fcil encontrar expertos calificados
para proteger su organizacin. Como el cuerpo de
profesionales de seguridad de la informacin ms
importante del mundo, con ms de 54.000 miembros
certificados en 135 pases, (ISC)2 desea ayudar a los
profesionales de RR. HH., reclutadores de personal
y gerentes de contratacin a comprender el alcance
de esta profesin en vas de expansin y reducir
las dificultades a la hora de obtener el mejor y ms
brillante personal de seguridad de la informacin.
La profesin de seguridad de la informacin se
est expandiendo rpidamente. Los resultados del
Estudio Global sobre Profesionales de Seguridad
de la Informacin (GISWS, por sus siglas en ingls)
realizado en 2006 por (ISC)/IDC demostraron que
la cantidad de profesionales en el mundo aumentar
a un poco ms de 2 millones para el 2010, lo que
representa una tasa de crecimiento anual compuesta
del 7,8 por ciento de 2005 a 2010.
Esto no fue siempre as. Veinte aos atrs, el
campo de la seguridad de la informacin estaba
en paales y, a menudo, las compaas solan
ignorar las amenazas a las que estaba expuesta su

(1)

infraestructura. En la actualidad, debido al impulso

por cumplir las leyes y normativas, y el deseo de
expandir el comercio global, contratar personal de
seguridad de la informacin de primera lnea es
fundamental para mitigar los riesgos que pueden
perjudicar la reputacin de una compaa, violar la
privacidad, provocar el robo o la destruccin de la
propiedad intelectual y, en algunos casos, hasta poner
en peligro las vidas de los trabajadores.
Esperamos que esta gua de contratacin,
recopilada con importantes contribuciones de Alta
Associates, le sirva para comprender la importancia
de esta profesin relativamente nueva. Adems,
le ofrecemos consejos sobre cmo garantizar
que el personal de seguridad est integrado
por profesionales talentosos y calificados. Puede
encontrar ms herramientas en lnea visitando el
Centro de Contrataciones de (ISC) en www.isc2.
org/HRCenter.
La mejor de las suertes en sus esfuerzos de
seleccin de personal!
W. Hord Tipton, CISSP-ISSEP, CAP, CISA
Director Ejecutivo de
(ISC)2

TABLA DE CONTENIDOS

TABLA DE CONTENIDOS

Qu es la seguridad de la informacin? ................ 3-4

La evolucin del papel de la profesin de
seguridad de la informacin .......................................... 5-6
Qu tipos de funciones laborales existen? .......... 7-8
Cules son las caractersticas ideales de un
profesional de seguridad de la informacin? ..... 9-10
Cules son las trayectorias profesionales
tpicas? ............................................................................................11
Elaboracin de una descripcin del puesto ......13-14
Requisitos de certificacin ..........................................15-16
Seleccin de personal ....................................................17-18
Evaluacin de aptitud ....................................................19-20
Entrevistas .......................................................................... 21-23
Verificaciones de seguridad/referencias .................... 24
Elaboracin y presentacin de un
ofrecimiento ...................................................................... 25-26
Retencin ................................................................................... 27
Recursos ...............................................................................29-30

(2 )

QU ES LA SEGURIDAD DE LA INFORMACIN?

QU ES la seguridad de la
informacin?

En la actualidad, los gobiernos, las instituciones

militares y financieras, y las empresas de
servicios de atencin mdica y privadas
manejan importantes volmenes de informacin
confidencial acerca de los empleados, los clientes,
los productos y el estado financiero. La mayor
parte de esta informacin se recopila, se procesa
y se almacena en computadoras y servidores, y se
transmite a travs de sistemas de redes.
Si dicha informacin confidencial cayera en manos
de extraos, una violacin de la seguridad de
este tipo podra provocar la prdida de negocios,
litigios, daos a la reputacin e incluso la quiebra.
La proteccin de la informacin confidencial es
un requisito que apela al sentido comn por estos
das y, en la mayora de los casos, tambin es un
requisito legal.

(3)

La seguridad de la informacin implica proteger la

informacin y los sistemas informticos del acceso,
el uso, la divulgacin, la alteracin, la modificacin
o la destruccin no autorizados. El propsito de la
seguridad de la informacin es garantizar que toda
la informacin de la que dispone una organizacin,
independientemente de si est almacenada en el
disco duro de una computadora o en un fichero,
se mantenga con lo siguiente:
Confidencialidad: garantizar que solamente el
personal autorizado tenga acceso a la informacin.
Integridad: salvaguardar la precisin e integridad de
la informacin y de los mtodos de procesamiento.
Disponibilidad: garantizar que los usuarios autorizados tengan acceso a la informacin y los activos
asociados cuando lo necesiten.

QU ES LA SEGURIDAD DE LA INFORMACIN?

Cumplimiento: garantizar el cumplimiento de las

leyes y los requisitos normativos del sector, como
la Ley de Portabilidad y Responsabilidad del Seguro
Mdico (HIPAA, por sus siglas en ingls) para los
proveedores de atencin mdica y la Ley SarbanesOxley (SOX, por sus siglas en ingls) para las
compaas que cotizan en bolsa.
El objetivo de las polticas de seguridad de la informacin es minimizar los daos a la organizacin a
travs de la prevencin y el control del impacto de
las violaciones de la seguridad. La seguridad de la
informacin brinda un marco de proteccin esencial en el cual es posible compartir la informacin
y garantizar al mismo tiempo su proteccin contra
usuarios no autorizados.

(4 )

LA EVOLUCIN DEL PAPEL DE LA PROFESIN DE SEGURIDAD DE LA INFORMACIN

La evolucin del papel de la

profesin de seguridad de la
informacin

Aos atrs, la mayora de las personas responsables

de proteger los activos de informacin ingresaban
a este campo sin formacin o instruccin formal
alguna y adquiran su experiencia en disciplinas ms
amplias, como tecnologa de la informacin (TI) o
ingeniera, para trasladarse al sector de la seguridad
de la informacin solo a medida que surga la
necesidad.
A diferencia de lo que ocurra hace dos dcadas,
muchos profesionales jvenes del sofisticado
mundo ciberntico actual, tienen la seguridad de la
informacin en mente desde el principio y cursan
estudios universitarios en seguridad de la informacin u otras disciplinas relacionadas, como ciencias
de la computacin. Asimismo, probablemente
posean conocimientos prcticos de los sistemas de
redes, los protocolos de seguridad, los programas

(5)

de software de seguridad y su implementacin, y

las prcticas ms eficaces a la hora de desarrollar
procedimientos e infraestructura de seguridad.
Una organizacin segura requiere de profesionales
experimentados capaces de crear e implementar
un programa, obtener respaldo y financiacin para
dicho programa, y capacitar a cada uno de los
empleados para convertirlos en ciudadanos conscientes de la seguridad, mientras cumplen con los
estndares regulatorios necesarios. Por otra parte,
requiere de un equipo de profesionales tcnicos
para implementar las polticas establecidas por el
gerente de seguridad.
Los profesionales de seguridad de la informacin
de la actualidad trabajan en conjunto con los departamentos de RR. HH., asuntos legales, auditora
y TI, entre otros, para mitigar los riesgos en toda la
extensin de la organizacin. Muchos de ellos son
ahora esenciales en la toma de decisiones empresariales. En vista de estos grandes desafos, el

LA EVOLUCIN DEL PAPEL DE LA PROFESIN DE SEGURIDAD DE LA INFORMACIN

papel del profesional ha cambiado drsticamente

en el transcurso de los ltimos aos. El profesional
exitoso ahora debe adaptarse al cambio en forma
rpida y segura, ya sea consecuencia de las amenazas externas e internas o bien, de la demanda de
nuevos bienes y servicios por parte de los clientes. Por otra parte, el profesional tambin debe
implementar soluciones de seguridad integradas
en todos los niveles en donde las personas, los
procesos y las tecnologas se unen para garantizar
el respaldo de los objetivos de la organizacin.
Si bien contar con profesionales calificados de
seguridad de la informacin es una necesidad para
las organizaciones de cualquier tamao y actividad,
es especialmente importante en el caso de aquellas que manejan informacin altamente confidencial, como las entidades financieras, las empresas
de atencin mdica o seguros, o de aquellas que
deben cumplir con resoluciones legales y normativas estrictas.

(6 )

QU TIPOS DE FUNCIONES LABORALES EXISTEN?

QU tipos de funciones laborales

EXISTEN?

En los comienzos de la seguridad de la informacin,

una organizacin contrataba a un solo ingeniero
de seguridad, quien se desempeaba como
auxiliar del departamento de TI y se ocupaba
de la seguridad de redes y de la administracin
de la seguridad. Dicho puesto requera de un
entendimiento de los protocolos de red, los
cortafuegos y las vulnerabilidades de las redes.
Hoy por hoy, con la creciente dependencia del
mundo virtual por parte de cada rincn de la
industria y la sociedad, los requisitos y las funciones
de la profesin de seguridad de la informacin
se han diversificado. Las funciones especficas de
seguridad son, entre otras, las siguientes:
Especialista en Informtica Forense
Arquitecto de Seguridad

(7)

Director General de Seguridad de la Informacin

Gerente de Seguridad de la Informacin
Gerente de Seguridad de TI
Especialista en Certificacin y Acreditacin
Gerente de Riesgos
Encargado de Cumplimiento Normativo
El alcance de las funciones de seguridad tradicionales tambin se ha expandido. Las funciones
iniciales del ingeniero de seguridad abarcan
ahora numerosas reas de especializacin, como
la gestin de identidades y acceso, la gestin de
vulnerabilidades y la seguridad de las aplicaciones.
Dichos puestos requieren de vastos conocimientos tcnicos, adems de un anlisis de riesgos
asociados a las operaciones, para poder desarrollar controles de seguridad apropiados para cada
organizacin.

QU TIPOS DE FUNCIONES LABORALES EXISTEN?

(8 )

CULES SON LAS CARACTERSTICAS IDEALES DE UN PROFESIONAL DE SEGURIDAD

DE LA INFORMACIN?

CULES SON LAS caractersticas

ideales de un profesional de
seguridad de la informacin?

Mientras que la profesin de seguridad de la

informacin se ha vuelto demasiado compleja
para cualquier conjunto de habilidades especficas,
existen atributos generales que se deben tener en
cuenta a la hora de seleccionar a un profesional.
Algunas de estas caractersticas ideales son las
siguientes:
Habilidades y aptitudes
Capacidad de llevar un registro de seguimiento
de las soluciones de seguridad de la informacin
y gestin de riesgos en desarrollo.
Profundo entendimiento de la tecnologa
y capacidad de sacar provecho de dichos
conocimientos para implementar soluciones de
seguridad eficaces.
Entendimiento del sector, el lugar de la
compaa en el mercado, los requisitos legales

(9)

y normativos relevantes, y las formas en que

dichos requisitos pueden agregar valor.
Habilidades de comunicacin slidas. Estas
incluyen la capacidad de influir en la conducta
y las percepciones de los empleados. Ni las
mejores polticas de seguridad sern eficaces sin
el compromiso de todos los empleados.
Capacidad de articular el valor de los negocios.
Los profesionales deben conocer su audiencia y
hablar en un lenguaje comprensible.
Entendimiento y gestin de los riesgos. Los
profesionales de la seguridad deben adaptar sus
posturas sobre seguridad a las necesidades y
apetitos de riesgo especficos de la organizacin.
Capacidad de entablar relaciones slidas con los
interesados clave de la organizacin, incluidos
los gerentes de asuntos legales, RR. HH.,
auditora, seguridad fsica, RR. PP. y riesgos.

CULES SON LAS CARACTERSTICAS IDEALES DE UN PROFESIONAL DE SEGURIDAD

DE LA INFORMACIN?

Capacidad de detectar las necesidades de seguridad

globales de una organizacin. Incluso para las funciones
de seguridad de redes tradicionales, las organizaciones
necesitan profesionales capaces de interpretar la
tecnologa de una manera que sea til y satisfaga los
objetivos de gestin de los negocios y riesgos.
Atributos personales
Actitud positiva. Si bien los profesionales necesitan
de una dosis saludable de cautela, deben hacer
hincapi en el poder de la defensa, en lugar de en las
consecuencias o los costos de la vulnerabilidad.
Compromiso con la tica. Para ser eficaz, un
profesional debe decir la verdad en todo momento
y evitar exagerar acerca de lo que puede y no
puede hacerse.
Respaldo a la necesidad de permanecer al corriente
de los ltimos conocimientos sobre tecnologa y
seguridad.

(10)

CULES SON LAS TRAYECTORIAS PROFESIONALES TPICAS?

CULES SON las trayectorias

profesionales tpicas?

Un profesional de seguridad de la informacin puede

provenir de diversas disciplinas no relacionadas con la
seguridad. De hecho, muchos profesionales ejemplares
comenzaron sus carreras en el campo de la tecnologa
para luego comenzar a adquirir conocimientos en
seguridad. Si bien los profesionales suelen tener
conocimientos tecnolgicos, es cada vez ms frecuente
que procedan de reas de evaluacin de riesgos con
vasta experiencia en la gestin de proyectos.
Las dos trayectorias profesionales ms comunes que
se encuentran disponibles en el marco de la seguridad
de la informacin son: tcnico de seguridad y gerente/
estratega de seguridad. Algunos profesionales
disfrutan de los desafos tcnicos cotidianos propios
de las funciones del tcnico de seguridad, por lo que
permanecen en ese puesto a lo largo de sus carreras,
aunque incluso este puesto cada vez demanda
ms habilidades personales como conocimientos

(11)

comerciales, comunicacin y colaboracin. Otros, a su

vez, adquieren las habilidades de gestin necesarias
para cubrir el vaco entre las prioridades tcnicas y
comerciales de una organizacin.
Los atributos deseados de un tcnico de seguridad
pueden ser, entre otros, los siguientes:
Profundo entendimiento de diversas tecnologas
Experiencia de campo en un dominio tcnico
Deseo de continuar formando parte de la
implementacin tcnica y la supervisin de la
seguridad
Los atributos deseados de un gerente de seguridad
pueden ser, entre otros, los siguientes:
Amplio entendimiento de diversas tecnologas
Habilidades de direccin y presentacin ejecutivas
Conocimientos especficos sobre una lnea de
negocios o producto
Deseo de gestionar cuestiones de riesgo ms amplias

CUALES SON LAS TRAYECTORIAS PROFESIONALES TPICAS?

Trayectoria profesional de (ISC)2

(ISC)2 brinda una trayectoria profesional a los

profesionales de seguridad de la informacin
del inicio al final de sus carreras. Ofrecemos una
combinacin nica de certificaciones, capacitacin

avanzada, evaluaciones rigurosas y concentraciones especializadas. Los miembros de (ISC)2 estn a

la vanguardia del dinmico sector de seguridad de
la informacin de la actualidad. Busque una de estas credenciales cuando tome la prxima decisin
de contratacin.

1 ao de experiencia
requerido

2 aos de experiencia
requerido

5 aos de experiencia
requerido

ESPECIALIZAR

Aos de
experiencia

Para obtener las certificaciones CISSP-ISSAP y CISSPISSMP, los aspirantes debern tener 2 aos de experiencia
profesional comprobable en el rea de su concentracin. Esto
no se aplica para la certificacin CISSP-ISSEP.

GESTIONAR

Para obtener la certificacin CISSP, los aspirantes debern

poseer 5 aos de experiencia en dos o ms de los dominios
de CISSP CBK.

ACREDITADO

Para obtener la certificacin CAP, los aspirantes debern poseer

2 aos de experiencia en la certificacin y acreditacin de
seguridad de sistemas de la informacin.

IMPLEMENTAR

Para obtener la certificacin SSCP, los aspirantes debern

poseer 1 ao de experiencia en uno de los dominios de
SSCP CBK.

APRENDER

Para convertirse en Asociado de (ISC)2, los aspirantes debern

aprobar el examen CISSP, CAP o SSCP. Una vez aprobado el
examen, el aspirante deber reunir los aos de experiencia
requeridos para la credencial correspondiente, y recibir
la certificacin correspondiente despus de cumplir con el
proceso de ratificacin.

(12)

ELABORACIN DE UNA DESCRIPCIN DEL PUESTO

Elaboracin de una descripcin

del puesto

Un error comn que an suele darse entre muchos

de los departamentos de RR. HH. es pensar que
la seguridad de la informacin forma parte de la
tecnologa de la informacin. De hecho, debido
a que los requisitos empresariales son cada vez
mayores, la profesin de seguridad de la informacin
se ha fraccionado en diversas facetas ms all de la
TI y ofrece especializacin en procesos, auditoras,
polticas y cumplimiento, entre otros temas. Como
ocurre en muchos campos, aun un puesto que
ostente el mismo ttulo en dos departamentos de la
misma compaa puede tener requisitos diferentes.
La clave para formular una descripcin slida
del puesto, en el campo de la seguridad de la
informacin, es garantizar que el gerente de
contratacin mantenga una comunicacin fluida con
el departamento de RR. HH. Independientemente
del rango del puesto, esta conversacin inicial debe

(13)

ayudar al gerente de contratacin a enfocarse

en cules son las caractersticas del organigrama,
dnde se ubica el puesto y cules son sus funciones
y responsabilidades, cul es la relacin del puesto
con la organizacin como un todo, y cules son las
expectativas de xito.
Si est trabajando con un reclutador de personal
externo experimentado que se especialice en
seguridad de la informacin, es momento de
involucrarlo en el proceso. Un reclutador de
personal capacitado puede asesorarlo sobre la
escala de sueldos competitivos para el puesto
y ayudarlo con la creacin de la descripcin de
dicho puesto.
Involucrar al reclutador de personal en esta fase
del proceso sienta las bases para una relacin de
compaerismo exitosa, ya que se llega a un entendimiento mutuo de las funciones y responsabilidades,
y se transmite un mensaje coherente a los candidatos potenciales.

ELABORACIN DE UNA DESCRIPCIN DEL PUESTO

La descripcin del puesto de un gerente de seguridad

de la informacin puede incluir lo siguiente:
Desarrollar y supervisar la implementacin de las
polticas y los procedimientos de seguridad de la
informacin de la organizacin.
Supervisar la implementacin de las polticas y los
procedimientos de seguridad de la informacin de
la organizacin.
Garantizar la prevencin de las intrusiones, el
acceso y las falsificaciones no autorizados, y
detectar y solucionar los incidentes de seguridad
con rapidez.
Garantizar la seleccin y correcta implementacin
de las herramientas de tecnologa de seguridad
ms eficaces y adecuadas.
Brindar capacitacin en conciencia de la seguridad
de la informacin a los empleados, contratistas,
aliados y terceros.

Supervisar el cumplimiento de las polticas y los

procedimientos de seguridad de la informacin de
la organizacin entre los empleados, contratistas,
aliados y terceros.
Supervisar los sistemas de control internos para
garantizar que se mantengan niveles de acceso
a la informacin y autorizaciones de seguridad
apropiados.
Llevar a cabo evaluaciones de riesgos sobre
seguridad de la informacin y garantizar la auditora
de los procesos de seguridad de la informacin.
Elaborar los planes de continuidad del negocio y
recuperacin ante desastres de la organizacin
para los sistemas informticos.
Supervisar los cambios en los estndares
legislativos y de acreditacin que afecten la
seguridad de la informacin.

(14)

REQUISITOS DE CERTIFICACIN

Requisitos de certificacin

En el rea de requisitos, adems del grado de

formacin y experiencia que est buscando,
es importante determinar la certificacin
profesional que mejor confirme las aptitudes de
un candidato para el puesto. Si est buscando
un tcnico de seguridad, una certificacin de un
proveedor cuyo entorno coincida con el entorno
tecnolgico especfico de su organizacin, como las
certificaciones de Microsoft o Cisco, puede ser til.
Por otra parte, una certificacin genrica de un
proveedor que garantice que el tcnico de seguridad
comprende los principios centrales de la seguridad
eficaz y puede comunicarse sin problemas con
la gestin de seguridad tambin es til. Algunos
ejemplos son: la certificacin de Profesional
Certificado en Seguridad de Sistemas (SSCP) de
(ISC)2 y la certificacin GIAC del SANS.
Segn los resultados del Estudio Global sobre
Profesionales de Seguridad de la Informacin

(15)

realizado en 2006, el 85 por ciento de los gerentes

de contratacin de seguridad del mundo cree en
la importancia de las certificaciones en seguridad
de la informacin a la hora de contratar personal.
Las aptitudes del empleado y la calidad del trabajo
siguen siendo las principales razones por las que los
empleadores y gerentes de contratacin continan
haciendo hincapi en las certificaciones en seguridad.
A su vez, las polticas y normas de la compaa
tambin se estn convirtiendo en razones importantes.
Para los puestos de gestin de la seguridad, la
certificacin estndar de oro de la industria es la
acreditacin de Profesional de Seguridad Certificado
en Sistemas de Informacin (CISSP), tambin
de (ISC)2. Dicha acreditacin fue desarrollada
por pioneros de seguridad de la informacin a
comienzos de la dcada de los noventa, y es la
primera y ms respetada credencial de seguridad del
mercado. Evala los ms amplios conocimientos de
cualquier certificacin en seguridad de la informacin
por medio de un examen de seis horas de duracin

REQUISITOS DE CERTIFICACIN

sobre su CISSP CBK, una taxonoma de temas

de seguridad de la informacin globales que se
actualiza con regularidad. Tambin exige que el
candidato cuente con cinco aos de experiencia
en al menos dos dominios del CBK, obtenga
el respaldo de un profesional certificado por
(ISC)2, se suscriba al Cdigo de tica de (ISC)2 y
complete los requisitos de formacin profesional
continuos anuales para conservar la certificacin.
Otras certificaciones en seguridad profesionales
incluyen la de Auditor Certificado en Seguridad
de la Informacin (CISA, por sus siglas en ingls)
y la de Gerente Certificado en Seguridad de la
Informacin (CISM, por sus siglas en ingls) de
ISACA, adems de las concentraciones CISSP en
administracin, arquitectura e ingeniera de (ISC)2.

(16)

SELECCIN DE PERSONAL

Seleccin de personal

Los profesionales de seguridad de la informacin

poseen habilidades altamente especializadas que
tienen muchsima demanda. Debido a esta demanda,
los profesionales de gran talento suelen estar
disponibles nicamente unas pocas semanas. Es una
realidad del mercado actual que las organizaciones
deben contratar al candidato deseado rpidamente.
Muchos de los candidatos calificados se pierden si el
proceso de contratacin se extiende demasiado.
Para ser competitivo y exitoso en la seleccin de
profesionales de seguridad de la informacin, el
departamento de RR. HH. debe asociarse con el
gerente de contratacin y el reclutador de personal
especializado para acortar el proceso de contratacin
lo ms posible antes de comenzar con la seleccin
del personal. Contar con la colaboracin de un
reclutador de personal especializado puede ofrecer
muchos beneficios; entre ellos, reducir el tiempo que
usted dedica al proceso de contratacin, ponerse

(17)

en contacto con los candidatos pasivos y extender

su marca en forma positiva hacia la comunidad.
Asegrese de escoger una compaa que cuente
con un registro de seguimiento establecido de los
aciertos en los tipos de funciones que est buscando
y en el conocimiento del sector. Solicite referencias
y procure sentirse cmodo con el reclutador de
personal de modo que no tenga dudas de que ser
capaz de trabajar en conjunto con usted durante el
ciclo completo de seleccin del personal, desde la
deteccin temprana del candidato hasta la posterior
negociacin y aceptacin. Desarrollar una relacin de
confianza con el reclutador de personal especializado
le permitir a usted y al gerente de contratacin
tener por seguro que estn tratando con los mejores
candidatos posibles en el menor tiempo posible.
Las asociaciones profesionales tambin pueden ser
un excelente recurso para dar con el candidato
adecuado. (ISC)2, por ejemplo, ofrece a los
empleadores acceso a cerca de 60.000 miembros

SELECCIN DE PERSONAL

certificados de todo el mundo a travs de su Centro

de Recursos Profesionales en lnea. Los empleadores
interesados pueden publicar anuncios sobre
puestos de trabajo y buscar currculos por rubro,
certificacin y ubicacin. Solamente los miembros
certificados por (ISC) pueden publicar currculos
en el Centro de Recursos Profesionales de (ISC).
El servicio es gratuito.
Otra alternativa a la hora de seleccionar personal
es unir fuerzas con una asociacin profesional
y con programas de auspicio o bien, realizar
sesiones informativas que sean de inters para sus
miembros. Poner el nombre de la organizacin
a la vista de profesionales de la seguridad con
regularidad es una excelente forma de conectarse
con aquellas personas que no estn buscando
empleo en forma activa, pero que podran estar
interesadas si se presenta una buena oportunidad.
Si el puesto que desea cubrir requiere de un
universitario recientemente graduado, considere

ponerse en contacto con las facultades/institutos de

enseanza superior que hayan sido merecedores
de la distincin de Centro Nacional de Excelencia
Acadmica en Educacin de Seguridad de
Informacin (CAEIAE, por sus siglas en ingls) de
los Estados Unidos o su equivalente regional (www.
nsa.gov/ia/academia/caeiae.cfm). El objetivo del
programa estadounidense es identificar universidades
e institutos de enseanza superior de cuatro aos
que demuestren excelencia acadmica en seguridad
de la informacin. Actualmente, hay 85 Centros
Nacionales de Excelencia Acadmica en Educacin de
Seguridad de Informacin.
Tambin puede tener en cuenta a los estudiantes o
universitarios recientemente graduados distinguidos
como Asociados de (ISC). Esta distincin se confiere
a aquellos que han aprobado el riguroso examen
de CISSP y se han comprometido con el Cdigo
de tica profesional pero an no cuentan con la
experiencia necesaria para la certificacin.

(18)

EVALUACIN DE APTITUD

Evaluacin de aptitud

Opciones/requisitos de formacin:

Una evaluacin de aptitud inicial detallada del

candidato permitir determinar mejor si los
objetivos y las motivaciones del individuo coinciden
con lo que la organizacin est buscando.

Ttulo de nivel terciario en Administracin de

Sistemas

La seguridad de la informacin es una disciplina

relativamente nueva, por lo que posee un programa de estudios y una trayectoria profesional
recientes. Por ejemplo, muchsimas instituciones
acadmicas solamente ofrecen programas de
estudios enfocados en la seguridad desde hace
cinco aos aproximadamente. Fuera del campo
de la TI, muchos ms profesionales de seguridad
de la informacin de nivel alto proceden de campos como cumplimiento de la ley y auditora, as
como del sector de la milicia.
A continuacin figuran algunos requisitos o
sugerencias generales, divididos segn formacin,
habilidades tcnicas y habilidades generales.

(19)

Licenciatura en Tecnologa de la Informacin u

otro campo relacionado
Licenciatura en Ciencias de la Computacin
o experiencia equivalente en seguridad de la
informacin
Maestra en Ciencias o Maestra en
Administracin para el puesto de director o
puesto superior
Doctorado en Enseanza, Investigacin o
Desarrollo Avanzado
Habilidades tcnicas necesarias:
Conocimiento de los sistemas de redes y de los
protocolos de seguridad

EVALUACIN DE APTITUD

Certificacin profesional genrica o especfica*

Conocimiento de los programas de software de

seguridad y su implementacin

Excelentes cualidades de liderazgo*

Conocimiento de las mejores prcticas en el

desarrollo de procedimientos e infraestructura
de seguridad

Habilidades interpersonales y de manejo de

conflictos*
Capacidad de relacionar conceptos relativos a
la seguridad con una amplia gama de cuestiones
tcnicas y no tcnicas en forma eficaz*

Habilidades y aptitudes generales:

Excelentes habilidades orales, escritas y de
presentacin
Slidas habilidades conceptuales y analticas
Capacidad de operar como integrante eficaz de
un equipo
Capacidad de gestionar varias tareas en
simultneo
Slidas habilidades de gestin de proyectos
(capacidad de gestionar el proyecto general, y
a la vez comprender sus subcomponentes y
cmo se relacionan con este)

til para avanzar hacia la gestin de seguridad de la informacin.

(20)

ENTREVISTAS

Entrevistas

Antes de una entrevista, el departamento de

RR. HH. debe coordinar esfuerzos con el gerente
de contratacin y el reclutador de personal
externo especializado a fin de establecer
un conjunto de criterios de evaluacin que
todos deben seguir, y confirmar quin ser el
responsable de tomar la decisin final. Dicha
persona, junto con los entrevistadores, puede
elaborar un formulario de evaluacin de mutuo
acuerdo que enumere los puntos importantes
del perfil del candidato para cada puesto. El
formulario puede incluir requisitos tcnicos
especficos, adaptacin a la cultura de la empresa,
habilidades de comunicacin y presentacin,
potencial de crecimiento y experiencia relevante.
Cada entrevistador deber abordar todos los
temas pero, a su vez, tendr asignados puntos
especficos que deber profundizar. Este enfoque
facilitar un entendimiento integral de los puntos

(21)

fuertes y dbiles del candidato, lo que garantizar

que la decisin del responsable final sea informada a la hora de presentar un ofrecimiento.
Las compaas deben dedicar su atencin a
seleccionar y capacitar a los entrevistadores.
Los entrevistadores seleccionados deben tener
un claro entendimiento de las funciones y
responsabilidades del puesto, y estar al tanto de la
prioridad de las habilidades requeridas. Asimismo,
todos los entrevistadores deben transmitir un
mensaje coherente acerca de los detalles del
puesto, como la estructura jerrquica, el nombre,
la remuneracin y las responsabilidades.
A su vez, todos deben participar a la hora de
cerrar el trato con el candidato. Esto significa que
todos aquellos que formen parte del proceso
de entrevista deben ser positivos e informativos,
y destacar el potencial de crecimiento del
puesto en cuestin. Los entrevistadores
deben comprender que son la cara visible

ENTREVISTAS

del departamento y la compaa, y que, en

consecuencia, la imagen que den influir en gran
medida en el candidato.
Si bien es probable que el gerente de
contratacin se centre en las habilidades tcnicas,
los responsables de RR. HH. deben ayudar a los
entrevistadores a apreciar aquellas habilidades
personales que el candidato pueda transmitir
eficazmente y articular de acuerdo con el valor
de los negocios. Si el profesional de seguridad
de la informacin no es capaz de convertirse
en una influencia positiva para los empleados,
especialmente aquellos que no respondan a
l directamente, los procesos y la tecnologa
no servirn de nada. Solicitar al candidato que
explique un problema de seguridad a una persona
sin conocimientos tcnicos puede ser una forma
de evaluar sus habilidades de comunicacin.
El candidato debe ser capaz de transmitir los
mensajes apropiados a diferentes audiencias

y adaptar su postura sobre seguridad para

adecuarla a las necesidades y apetitos de riesgo
especficos de la organizacin. Solicite al candidato
que proporcione ejemplos de aquellas situaciones
en que haya hecho uso del sentido comn para
adquirir credibilidad y lograr el consenso.
El liderazgo es otro atributo clave deseado, por
lo que puede ser til solicitar al candidato que
describa una situacin en la que haya demostrado
dicha destreza. Tanto la respuesta como la forma
de responder del candidato sern un reflejo de
sus cualidades de lder. Otra pregunta de entrevista
conveniente puede girar en torno a qu diferencia
al candidato de otros profesionales de seguridad
de la informacin. Una cualidad que debe tenerse
en cuenta incluye cun bien articula un candidato
el efecto que sus esfuerzos han tenido en el xito
o en los resultados finales de la organizacin.
Solicite al candidato que describa un problema
de seguridad especfico y que explique cmo

(22)

ENTREVISTAS

lo resolvi. El tipo de respuestas que obtenga

definir las caractersticas de un profesional de la
seguridad exitoso:
Demostr comprensin de la raz del problema
antes de implementar la solucin?
Tuvo en cuenta y se anticip al impacto de las
diferentes lneas de accin?
Fue capaz de adaptar la solucin para satisfacer
las necesidades y los apetitos de riesgo de las
operaciones? Cun exitoso fue a la hora de
transmitir los resultados?
Asimismo, indague sobre el material de lectura del
candidato y sobre los sitios web que visita. La seguridad de la informacin es un campo que cambia
constantemente, por lo que debe asegurarse de
que el candidato est bien informado y se mantenga al corriente de los ltimos foros y grupos de
discusin, as como de otros sitios del sector.

(23)

VERIFICACIN DE SEGURIDAD/REFERENCIAS

Verificacin de seguridad/
referencias

Verificar las referencias y los antecedentes es vital

al contratar a un profesional de seguridad de la
informacin debido a que dichos profesionales tienen
mayor acceso a los datos de los empleados, clientes y
propietarios que cualquier otro empleado. Por tanto,
una tica y una honestidad slidas son imprescindibles.
Los referencias profesionales no solamente validan
y verifican la capacidad tcnica de un candidato
a la hora de realizar el trabajo, sino tambin sus
habilidades de comunicacin, personalidad y
conviccin moral. Un candidato que desapruebe una
verificacin de los antecedentes, ya sea por errores
de omisin, afirmaciones errneas o problemas
financieros o legales, representa un gran riesgo, por lo
que se debe tener mucha cautela antes de proceder
con el proceso de contratacin.
Evale la credibilidad del candidato por medio
de la verificacin de las credenciales acadmicas

y profesionales, los antecedentes laborales y las

referencias personales. (ISC)2 ofrece una herramienta
de verificacin de las certificaciones en lnea para los
empleadores que solamente demora unos segundos.
Asimismo, diversas organizaciones que ofrecen
certificaciones genricas, incluida (ISC)2, obligan a
los candidatos a suscribirse a un cdigo de tica
profesional y a una cancelacin de la certificacin por
riesgo en caso de cometer una infraccin.
Examine los informes crediticioscomo una seal de
problemas financieros que puedan impulsar malas
conductas. Algunas de las cuestiones que deben considerarse son un registro derecaudaciones mltiples,
juicios civiles, deudas incobrables, prstamos incobrables, gravmenes impositivos o embargos.
Asegrese de informar al postulante que tiene la
posibilidad de objetar el contenido del informe de
antecedentes si lo estima necesario, ya sea porque la
informacin es inexacta o porque est incompleta.

(24)

ELABORACIN Y PRESENTACIN DE UN OFRECIMIENTO

Elaboracin y presentacin de un
ofrecimiento

Los departamentos de RR. HH. suelen cometer

el error de asumir que las escalas salariales de los
profesionales de seguridad de la informacin son
iguales que las de los profesionales de TI generales
y, en consecuencia, hacen ofrecimientos por debajo
del valor del mercado que no llegan a buen puerto.
La seguridad de la informacin es un campo donde
las condiciones estn sujetas a cambios constantes,
por lo que es difcil estar actualizado en cuanto a los
conjuntos de habilidades, los perfiles y el valor en el
mercado de los profesionales.
No confe a ciegas en las encuestas sobre sueldos del
sector de la seguridad de la informacin llevadas a
cabo por publicaciones y analistas del sector, ya que,
por lo general, no suelen estar al da con las realidades del mercado, por lo que sus clculos son muy
inferiores a los reales a la hora de retener a grandes talentos. Tampoco tienen en consideracin las

(25)

habilidades especializadas en demanda, las distintas

regiones geogrficas ni las distintas jerarquas organizacionales para que el ofrecimiento sea competitivo.
Una de las encuestas sobre sueldos ms exactas
figura en el Estudio Global sobre Profesionales de
Seguridad de la Informacin, que entrevista a miles
de profesionales de seguridad de la informacin
de todo el mundo. Se puede descargar en forma
gratuita del sitio web de (ISC)2 en www.isc2.org/
workforcestudy.
Antes de tomar una decisin sobre el ofrecimiento,
asegrese de que el equipo de entrevistadores
realice lo siguiente:
Recopile y analice los criterios de evaluacin.
Est al tanto de la remuneracin total actual del
candidato y sus expectativas.
Evale alternativas de remuneracin creativas.
Nuevamente, todo el equipo debe ser consciente
del tiempo que demora el proceso de contratacin.

ELABORACIN Y PRESENTACIN DE UN OFRECIMIENTO

Cuanto ms tiempo se demore en realizar el ofrecimiento, ms probabilidades habr de que el candidato firme para otra compaa, evale nuevamente
su puesto actual, reciba un ascenso o simplemente
pierda inters. Existe una correlacin inversa entre la
cantidad de tiempo que lleva realizar un ofrecimiento
y la cantidad de ofrecimientos aceptados.
Si tiene la oportunidad, sea creativo en el ofrecimiento laboral, para ello, incluya una bonificacin o una
comisin relacionada con el desempeo adems del
sueldo base. Es una realidad, tambin, que muchos
profesionales de seguridad de la informacin no solamente se interesan en el sueldo y responden a oportunidades de perfeccionarse, participar en proyectos
innovadores, obtener certificaciones profesionales,
asistir a conferencias, escribir y publicar ensayos, unirse
a asociaciones profesionales, etc. Muchos profesionales aprecian la flexibilidad de crear una red de
contactos con sus colegas, adems de cumplir con los
requisitos del puesto. Gran parte de la creacin de
contactos tambin les brinda experiencia profesional.

Tambin es aconsejable analizar los planes de

sucesin. Analice el crecimiento profesional y
proporcione ejemplos de cmo otros empleados
han tenido un papel ms sobresaliente durante su
ejercicio en la organizacin. Tambin considere la
poltica de la organizacin en cuanto al reintegro
de los honorarios por certificaciones y planes de
estudios, formacin continua, etc.
Al final, el gerente de contratacin, el departamento
de RR. HH. y el reclutador de personal deben coordinar esfuerzos para presentar y realizar la oferta.
La presentacin y la comunicacin son sumamente
importantes a la hora de realizar un ofrecimiento
para retener al candidato deseado. Por lo general,
los profesionales de seguridad de la informacin no
son las estrellas principales pero a menudo reciben cierto grado de atencin de los competidores
debido a sus habilidades especializadas y a la gran
demanda del mercado.

(26)

RETENCIN

Retencin

Debido a la cantidad de competidores que estn detrs

de los profesionales de seguridad de la informacin, las
compaas deben adoptar un enfoque ms estratgico y
favorable hacia la retencin si desean conservar la nueva
camada de talentos.
Realice una progresin profesional formal respecto de
los mejores y ms brillantes integrantes de su equipo de
seguridad de la informacin actual. Uno de los atributos
ms exclusivos y ventajosos de trabajar en un departamento de seguridad de la informacin es la exposicin a
las operaciones, los procesos y las tecnologas en todas
las actividades de la empresa. Esta exposicin proporciona un escenario de capacitacin muy favorable para
construir los equipos de gestin del futuro.
Adems, las trayectorias profesionales definidas ayudarn
a garantizar el continuo suministro de sucesores capaces
de ocupar cualquier puesto importante en el equipo de
seguridad. Las organizaciones deben trabajar en pos de
satisfacer los objetivos profesionales a largo plazo, para lo

(27)

cual necesitan desafos profesionales por parte del personal de seguridad de la informacin porque la demanda
es muy elevada en el mercado laboral.
Los profesionales de RR. HH. tambin deben alentar a
los empleados de seguridad de la informacin a aprovechar las oportunidades de capacitacin y formacin. Las
amenazas y ataques que surjan de aqu en adelante obligarn a los profesionales de la seguridad a adquirir nuevas habilidades y tcnicas. Al cultivar el talento domstico,
el equipo de RR. HH. entregar a los empleados valiosos
las herramientas necesarias para alcanzar el xito, lo que,
en ltima instancia, beneficiar a la organizacin. Adems,
la reputacin de contar con un equipo de seguridad
slido puede contribuir a que la organizacin contrate
los mejores candidatos del mercado.
Permita tambin que el profesional de la seguridad cree
vnculos con sus colegas a fin de establecer una red
de contactos con personas externas a la compaa a
quienes pueda consultar en forma pblica o privada para
recibir respaldo y asesoramiento.

RECURSOS

Recursos

AFCEA International
www.afcea.org
Alta Associates
www.altaassociates.com
American Council for Technology (ACT) and
Industry Advisory Council
www.actgov.org
American National Standards Institute (ANSI)
www.ansi.org
ASIS International
www.asisonline.org
Computer Security Institute
www.gocsi.com
The Computing Technology Association
(CompTIA)
www.comptia.org

Executive Womens Forum

www.infosecuritywomen.com
Information Assurance Professionals Association
(IAPA)
www.iapa-glc.org
Information Systems Audit and Control
Association (ISACA)
www.isaca.org
Information Systems Security Association (ISSA)
www.issa.org
Information Technology Association of America
(ITAA)
www.itaa.org
International Association of Privacy Professionals
www.privacyassociation.org
International High Technology Crime Investigation
Association (HTCIA)
www.htcia.org

(28)

RECURSOS

International Information Systems Forensics

Association (ITFSA)
www.iisfa.org
International Information Systems Security
Certification Consortium, Inc. [(ISC)2]
www.isc2.org
Internet Security Alliance
www.isalliance.org
National Academic Centers of Excellence
www.nsa.gov/ia/academia/caeiae.cfm

(29)

SANS Institute
www.sans.org
Security Industry Association
www.siaonline.org

Agradecimientos
(ISC) desea extender su agradecimiento por
las invaluables contribuciones de Joyce Brocaglia,
Presidente y Director Ejecutivo de Alta Associates,
Inc. en la realizacin de esta gua. Fundada
en 1986, Alta Associates es una compaa
de seleccin de personal de seguridad de la
informacin muy respetada que ha ayudado a
las empresas globales a construir departamentos
de seguridad de la informacin de clase mundial
durante los ltimos 22 aos. Para obtener ms
informacin, visite www.altaassociates.com.

www.isc2.org/Info_ES