Algunas empresas con las que trato están empezando a abrir los ojos respecto a la seguridad, y muchas han empezado a pensar en contratar "alguien de ciberseguridad". Algunas se preocupan en hacerse un planteamiento y preguntan... otras se lanzan prácticamente a ciegas y comienzan un proceso de prueba y error muy perjudicial.
Lo mismo que le suelo decir a los profesionales, las empresas necesitan oírlo aún más. No existe un perfil que realmente pueda denominarse "experto en ciberseguridad". Es imposible saber de todo. Si alguien se presenta como "experto en ciberseguridad", así en general, lo más seguro es que venda humo. Si una empresa dice que quiere contratar un "experto en ciberseguridad", así en general, es que está muy perdida. Tan perdida que cualquier ciberdelincuente pensaría que es una interesante víctima potencial.
Voy a intentar dar algunas pistas para las empresas que tengan ahora en mente dar el paso hacia el camino de la seguridad. Si la empresa ya tiene un CISO, interno o externo, uno de sus primeros trabajos habrá sido un Plan Director de Seguridad. En esa situación ideal, los perfiles que se necesitan estarán más o menos definidos. El problema es que no todas las empresas tienen la misma madurez en este tema, y la mayoría siguen bastante despistadas.
Hay muchos perfiles. Unos son menos técnicos, como el Delegado de Protección de Datos, más cercanos al negocio, como el CISO, de ataque o auditoría técnica como los hackers éticos, especialistas en ingeniería social, en formación y concienciación, en hardening, en respuesta a incidentes, analistas forenses, etc. Algún día hablaremos de cada uno de estos perfiles y de la organización del departamento.
Si se parte de cero, lo ideal es empezar buscando un CISO. Hablando claro, un Director de Seguridad de la Información.
La parte más complicada de la seguridad es alinearla de forma equilibrada con la estrategia de negocio, la legalidad y normativas aplicables al mismo, los procesos de trabajo y los hábitos del personal. Y ese es precisamente el expertise de un buen CISO. La mayoría de los perfiles de seguridad se pueden subcontratar. Incluso el CISO, siendo un puesto más estratégico y delicado, puede externalizarse al principio. No siempre es necesario que todo se desarrolle con personal interno.
¿Y si tenemos claro que queremos contratar personal interno?
Me temo que es un camino difícil. Los profesionales con experiencia ya tienen trabajo, y no es prudente contratar un junior sin un equipo de ciberseguridad ya consolidado. ¿Pero cómo conseguir que un profesional de la seguridad cambie de trabajo? ¿cómo atraerle hacia nuestro proyecto? Por supuesto está la retribución económica. Pero en ciberseguridad no suele ser el motivador principal de esta decisión. No es extraño cambiar de empresa ganando lo mismo, o incluso algo menos, si hay otros incentivos que compensen, aunque algunos sean intangibles.
La mayoría de los profesionales de ciberseguridad con los que hablo habitualmente valoran más o menos las mismas cosas. Primero, la más importante y universal, es que la apuesta por la seguridad sea real y consciente. Si da la sensación de que es una decisión poco meditada o puramente estética, lo más probable es que no nos tomen en serio. Sería como saltar a una piscina vacía desde el trampolín más alto. Sabes que lo que te espera es que no te dejen hacer tu trabajo, que no te den los medios necesarios, que no te hagan caso... vas a durar poco en esa empresa.
Hay muchos indicadores sobre esto que los mejores profesionales conocen, especialmente si tienen experiencia real en auditoría de seguridad. ¿Tiene la empresa un presupuesto planteado para el primer año? ¿Y una idea del camino a recorrer después? ¿Están dispuestos a hacer cambios importantes, o esperan que todo sea seguro haciendo las cosas igual? Y lo más importante: ¿dónde estará ubicado el departamento de seguridad en el organigrama? ¿Reportará a la Dirección General o estará colgando de algún otro departamento, como sistemas, calidad, o incluso administración?
Si hemos aprobado, entraríamos en la "segunda ronda de entrevistas". ¿Es consciente la empresa de las particularidades de este trabajo? Una parte importante del trabajo en ciberseguridad es mantenerse actualizado. En muchos trabajos se puede decir lo mismo, pero en muy pocos la expresión "estar al día" es tan literal. Todos los días hay novedades, y todos los días hay que mantener la atención y aprender cosas nuevas.
Todo esto supone formación muy especializada, que muchas veces implica viajar y que no sale barata. Pero también supone tiempo y recursos para investigar, hacer pruebas y analizar resultados. Además, se trata de un sector en el que casi todo se comparte, y en el que la colaboración es constante. Es muy recomendable asistir a los principales congresos y participar lo más activamente posible en ellos. Y si es como ponente mejor aún. Nuestra red de contactos y su nivel de especialización puede marcar la diferencia en la evolución de nuestros conocimientos y el éxito de nuestros proyectos, especialmente en momentos de crisis.
¿Esperamos que nuestro personal de ciberseguridad haga todo eso en su tiempo libre y pagándolo de su bolsillo? Las mejores empresas no solo consideran estas actividades parte del trabajo, sino que las incentivan porque saben de su valor añadido. Nuestro planteamiento al respecto como empresa decidirá el tipo de profesionales que se interesarán en trabajar con nosotros.
Si queremos ser atractivos debemos ser proactivos y publicitar nuestros encantos.
Los mejores no van a llamar a nuestra puerta. Tenemos que vestir nuestras mejores galas y salir a conquistarlos, incluso personalmente. Y no nos lo van a poner fácil. Están demasiado ocupados para dedicar tiempo a propuestas poco claras.
Además del contacto directo, podemos anunciar "la vacante" en nuestros medios habituales. Nunca se sabe. Pero si lo hacemos, no se trata de explicar los requisitos que buscamos, especialmente si no los tenemos muy bien definidos. Corremos el riesgo de recibir un montón de candidaturas sin experiencia, y que en cambio los mejores no nos tomen en serio.
Tampoco podemos quedarnos en "requisitos". ¿Qué proyecto tenemos? Si lo llamamos "oferta de trabajo" ¿qué le estamos ofreciendo a quien apueste por nosotros? Si no lo explicamos, simplemente pensarán que no tenemos nada interesante que ofrecer.
Algunos anuncios se limitan a aquello tan manido de "salario según valía". Quien escribe esto en un anuncio quizás crea que lo que se entiende es que, si vales mucho, se te valorará mejor. Pero lo que lee alguien con experiencia es que no sólo no hay un proyecto detrás sino que, si sale barato, a la empresa le servirá cualquier aprendiz. Perderá todo el interés en nosotros.
Si tenemos los deberes hechos, cuanto más transparentes seamos, mejor. Quizás por deformación profesional, un especialista en seguridad tiende a desconfiar de lo que se dice, pero también suele pensar mucho en lo que no se dice y por qué no se dice. Y por otro lado, tampoco sirve de nada conseguir su confianza para luego defraudarle. No tendrá ninguna dificultad en irse donde se sienta mejor tratado. Y recuerda. En este sector todo se comparte.
Recapitulando. Primero piensa hasta qué punto quieres apostar por la seguridad y qué necesitas en este momento. Asume que no va a ser fácil. Y si estás decidido, muestra todos tus encantos con total sinceridad y lánzate.
Cualquier otra forma de hacerlo será un fracaso. Gastarás tiempo y dinero en lavar tu conciencia, no en mejorar tu seguridad. O peor aún, achacarás tu fracaso a la famosa "falta de expertos en ciberseguridad" en lugar de a tu falta de atractivo.
Responsable de Ciberseguridad en Seresco
✅ Primer artículo de Modesto Álvarez: "Mamá, quiero ser hacker"