Si bien las vacantes de responsables y asistentes de seguridad de los sistemas de información (ISSM) se multiplican, hay que decir que las empresas siguen teniendo las mismas dificultades para contratar al perfil ideal con todas las competencias necesarias en términos de ciberseguridad. Una combinación perfecta que sigue siendo poco frecuente en el mercado.
Ante la presión de una normativa cada vez más estricta y sus próximas aplicaciones, el reto para los recursos humanos parece ser doble.
¿Cómo pueden las organizaciones atraer y retener al personal subalterno en sus equipos del SSI? ¿Qué métodos deben adoptarse para integrar eficazmente a estos nuevos reclutas?
Para descubrirlo, descubra 7 consejos sobre cómo asegurar su contratación y sacar el máximo partido de estos nuevos empleados en su empresa.
1. No se limite al perfil SSI
Ciertas competencias técnicas son requisitos previos para el puesto de CISO: modelización y diseño de sistemas de información, conocimiento de normas y reglamentos, gestión de sistemas y redes, etc. Sin embargo, es importante ser indulgente a la hora de evaluar a los candidatos.
Según el ISC2, una organización sin ánimo de lucro especializada en la formación profesional, es necesario contratar a no menos de 4 millones de profesionales en ciberseguridad para satisfacer la demanda de las empresas. El oficio de CISO requiere sin duda conocimientos técnicos, pero también una perfecta gestión de la presión, intuición y capacidad de previsión para tomar decisiones a pesar del carácter crítico de la situación.
Por eso, si conoce a un candidato cuyo perfil no se ajusta exactamente a sus expectativas, evalúe primero su disposición a aprender y su capacidad de adaptación. Un candidato motivado y dispuesto a aprender puede resultar un activo valioso a medio plazo.
2. Haga balance de sus necesidades en términos de ciberseguridad
Antes de pensar en contratar personal, conviene evaluar sus necesidades en términos de ciberseguridad. Definiendo las tareas en detalle, puede dar visibilidad y credibilidad a su oferta y despertar el interés de los candidatos potenciales, al tiempo que aclara el alcance de sus futuras responsabilidades. Esta etapa preliminar es necesaria antes de redactar la descripción del puesto.
Los candidatos dedican menos de un minuto a leer un anuncio de empleo antes de decidir si se presentan o no. Al especificar con precisión la función y las expectativas del puesto a cubrir, aumentan las posibilidades de atraer a los perfiles adecuados y se evitan los callejones sin salida. Contratar a un profesional con 5 años de experiencia en una solución tecnológica lanzada hace apenas 2 años es una aberración que, por desgracia, no es infrecuente...
La claridad y precisión de la descripción de su puesto no son sólo herramientas de contratación, también reflejan su seriedad y el entorno de trabajo real de su futuro empleado.
3. Convierta a su nuevo empleado en un relevo del equipo del SSI dentro de su empresa.
ciberseguridad ya no es patrimonio exclusivo del CISO. Por eso es esencial, a la hora de integrar a un nuevo miembro junior en el equipo de SSI, tomarse el tiempo necesario para conocerlo y presentarlo a los distintos departamentos y al personal clave.
El objetivo de este enfoque es proporcionarles una comprensión global del funcionamiento interno de la empresa, al tiempo que se les identifica dentro de la organización. Para ello, preséntele en las reuniones, explíquele su función y los proyectos en los que trabajará, con el fin de facilitar su integración y colaboración con los demás miembros de la empresa. Al igual que usted, su colega debe ser un relevo para el equipo del SSI a su propio nivel.
4. Transmíteles a diario tu visión de futuro. ciberseguridad
ciberseguridad no puede reducirse a un único método o enfoque. Por eso es esencial que, desde el primer día, compartas con tu nuevo colega las decisiones que has tomado en el pasado y los puntos a los que debe prestar atención y que debe integrar en su trabajo diario. Al transmitirle su visión, adoptará el mismo enfoque que usted, evitando así cualquier disonancia.
Así que, para beneficiarse de la inteligencia colectiva de su equipo, anime a su personal a desarrollar una cultura del cuestionamiento. En el campo de ciberseguridad, estar demasiado seguro de uno mismo puede ser peligroso; por eso es beneficioso que tanto el CISO como el recién llegado contrasten sus ideas.
Como personal subalterno, aunque no tenga tu experiencia, puede aportar ideas teóricas adquiridas durante su formación que pueden resultar pertinentes. Por tanto, la comunicación debe ser bidireccional: escuche tanto como comparta. Su colaborador junior no se contentará con responder a sus preguntas: puede plantear nuevas cuestiones que sin duda enriquecerán su enfoque y los debates dentro de su equipo.
5. Priorizar las misiones
No hay escasez de tareas para los CISO. En este sentido, es habitual que el recién llegado se pierda en tareas secundarias. Tu papel como CISO es definir claramente sus prioridades dentro de la empresa y orientarlas.
Una situación común se refiere a la gestión de las relaciones con terceros. Considerado un tema importante en los cursos de formación sobre gestión de la seguridad de la información, es posible que este tema no se identifique como prioritario en su empresa. Esto puede deberse a limitaciones presupuestarias, o a una política de seguridad de la empresa que no lo considera un tema urgente a tratar.
El CISO es responsable de enseñar estas diferencias y gestionar las prioridades. Tener un enfoque y un marco claros permitirá al nuevo empleado concentrarse en las misiones más urgentes y prosperar en tareas que le serán útiles.
6. Invertir tiempo en apoyo para ahorrar tiempo después
Con tantas tareas acumuladas, no es raro que un CISO tenga poco tiempo para dedicar al personal subalterno.
Sin embargo, dar demasiada independencia al recién llegado puede llevarle a implicarse en proyectos que no aportan valor añadido.
Ante este dilema, ¿qué solución adoptar?
Una estrategia eficaz es establecer un sistema de informes periódicos. Puede ser semanal al principio, y luego bisemanal a medida que el empleado desarrolle sus competencias y su autonomía. Al mantener estos puntos de contacto, puede tener una visión general del desarrollo de las habilidades de su empleado, identificar sus puntos fuertes y débiles y fortalecer su relación con él, al tiempo que refuerza la inteligencia colectiva dentro de su equipo. Su empleado ya no es un mero asistente: influye y participa en las decisiones de la empresa.
Tenga en cuenta que, sin seguimiento, el recién llegado puede sentirse desatendido y considerar otras oportunidades profesionales, incluso durante los primeros 90 días. Esto sería contraproducente, ya que obligaría a la empresa a invertir tiempo y dinero de nuevo en el proceso de contratación.
Como dice el proverbio africano: "Solos vamos más rápido, juntos llegamos más lejos".
7. Formarles en herramientas y métodos de gestión
Si su objetivo es convertir a su asistente en una extensión del CISO, tendrá que formarle en las herramientas y metodologías adecuadas para gestionar ciberseguridad. Esto puede implicar enseñarles a utilizar marcos de referencia como NIST V1.1, o explicarles el proceso de elaboración de informes.
Herramientas como Tenacy pueden desempeñar un papel clave a la hora de simplificar y automatizar la gestión de ciberseguridad , permitiendo estandarizar las prácticas. La plataforma facilita la gestión del cumplimiento de normas como ISO 27001, DORA y 3CF, eliminando la necesidad de elaborar informes manuales dispersos en archivos Excel.
Al formar a su personal en el uso de Tenacy, no sólo les libera de las tediosas tareas de elaboración manual de informes, sino que les permite concentrarse en misiones más estratégicas y gratificantes, a pesar de su necesidad de actualizar sus conocimientos.