Aunque las vacantes de responsables y asistentes de seguridad de los sistemas de información (CISO) se multiplican, hay que decir que las empresas siguen teniendo las mismas dificultades para contratar al perfil ideal con todas las competencias necesarias en términos de ciberseguridad. Una combinación perfecta que sigue siendo poco frecuente en el mercado.

Ante la presión de una normativa cada vez más estricta y sus próximas aplicaciones, el reto para los recursos humanos parece ser doble.

¿Cómo pueden las organizaciones atraer y retener al personal subalterno en sus equipos SSI? ¿Qué métodos deben adoptarse para integrar eficazmente a estos nuevos reclutas?

Para descubrirlo, aquí tienes 7 consejos sobre cómo asegurar su contratación y sacar el máximo partido de estos nuevos empleados en tu empresa.

 

1. No te limites al perfil SSI

Ciertas competencias técnicas son requisitos previos para el puesto de CISO: modelización y diseño de sistemas de información, conocimiento de normas y reglamentos, gestión de sistemas y redes, etc. Sin embargo, es importante ser indulgente a la hora de evaluar a los candidatos.

Según el ISC2, una organización sin ánimo de lucro especializada en la formación profesional, es necesario contratar a no menos de 4 millones de profesionales en ciberseguridad para satisfacer la demanda de las empresas. El oficio de CISO requiere sin duda conocimientos técnicos, pero también una perfecta gestión de la presión, intuición y capacidad de previsión para tomar decisiones a pesar del carácter crítico de la situación.

Por eso, si conoces a un candidato cuyo perfil no se ajusta exactamente a tus expectativas, evalúa primero su disposición a aprender y su capacidad de adaptación. Un candidato motivado y dispuesto a aprender puede resultar un activo valioso a medio plazo.

 

2. Haz balance de tus necesidades en términos de ciberseguridad

Antes de pensar en contratar personal, conviene evaluar tus necesidades en términos de ciberseguridad. Definiendo las tareas en detalle, puedes dar visibilidad y credibilidad a tu oferta y despertar el interés de los candidatos potenciales, al tiempo que aclaras el alcance de sus futuras responsabilidades. Esta etapa preliminar es necesaria antes de redactar la descripción del puesto.

Los candidatos dedican menos de un minuto a leer un anuncio de empleo antes de decidir si se presentan o no. Al especificar con precisión la función y las expectativas del puesto a cubrir, aumentan las posibilidades de atraer a los perfiles adecuados y se evitan los callejones sin salida. Contratar a un profesional con 5 años de experiencia en una solución tecnológica lanzada hace apenas 2 años es una aberración que, por desgracia, no es infrecuente…

La claridad y precisión de la descripción de tu puesto no son sólo herramientas de contratación, también reflejan tu seriedad y el entorno de trabajo real de tu futuro empleado.

 

3. Convierte a tu nuevo empleado en un relevo del equipo del SSI dentro de tu empresa

La ciberseguridad ya no es patrimonio exclusivo del CISO. Por eso es esencial, a la hora de integrar a un nuevo miembro junior en el equipo de SSI, tomarse el tiempo necesario para conocerlo y presentarlo a los distintos departamentos y al personal clave.

El objetivo de este enfoque es proporcionarle una comprensión global del funcionamiento interno de la empresa, al tiempo que se le identifica dentro de la organización. Para ello, preséntale en las reuniones, explícale su función y los proyectos en los que trabajará, con el fin de facilitar su integración y colaboración con los demás miembros de la empresa. Al igual que tú, tu colega debe ser un relevo para el equipo del SSI a su propio nivel.

 

4. Transmíteles a diario tu visión de futuro de la ciberseguridad

La ciberseguridad no puede reducirse a un único método o enfoque. Por eso es esencial que, desde el primer día, compartas con tu nuevo colega las decisiones que has tomado en el pasado y los puntos a los que debe prestar atención y que debe integrar en su trabajo diario. Al transmitirle tu visión, adoptará el mismo enfoque que tú, evitando así cualquier disonancia.

Así que, para beneficiarte de la inteligencia colectiva de tu equipo, anima a tu personal a desarrollar una cultura del cuestionamiento. En el campo de la ciberseguridad, estar demasiado seguro de uno mismo puede ser peligroso; por eso es beneficioso que tanto el CISO como el recién llegado contrasten sus ideas.

Como personal subalterno, aunque no tenga tu experiencia, puede aportar ideas teóricas adquiridas durante su formación que pueden resultar pertinentes. Por tanto, la comunicación debe ser bidireccional: escucha tanto como compartes. Tu colaborador junior no se contentará con responder a tus preguntas: puede plantear nuevas cuestiones que sin duda enriquecerán tu enfoque y los debates dentro de tu equipo.

 

5. Prioriza las misiones

No hay escasez de tareas para los CISO. En este sentido, es habitual que el recién llegado se pierda en tareas secundarias. Tu papel como CISO es definir claramente sus prioridades dentro de la empresa y orientarlas.

Una situación común se refiere a la gestión de las relaciones con terceros. Considerado un tema importante en los cursos de formación sobre gestión de la seguridad de la información, es posible que este tema no se identifique como prioritario en tu empresa. Esto puede deberse a limitaciones presupuestarias, o a una política de seguridad de la empresa que no lo considera un tema urgente a tratar.

El CISO es responsable de enseñar estas diferencias y gestionar las prioridades. Tener un enfoque y un marco claros permitirá al nuevo empleado concentrarse en las misiones más urgentes y prosperar en tareas que le serán útiles.

 

6. Invierte tiempo en apoyo para ahorrar tiempo después

Con tantas tareas acumuladas, no es raro que un CISO tenga poco tiempo para dedicar al personal subalterno.

Sin embargo, dar demasiada independencia al recién llegado puede llevarle a implicarse en proyectos que no aportan valor añadido.

Ante este dilema, ¿qué solución adoptar?

Una estrategia eficaz es establecer un sistema de informes periódicos. Puede ser semanal al principio, y luego bisemanal a medida que el empleado desarrolle sus competencias y su autonomía. Al mantener estos puntos de contacto, puedes tener una visión general del desarrollo de las habilidades de tu empleado, identificar sus puntos fuertes y débiles y fortalecer tu relación con él, al tiempo que refuerzas la inteligencia colectiva dentro de tu equipo. Tu empleado ya no es un mero asistente: influye y participa en las decisiones de la empresa.

Ten en cuenta que, sin seguimiento, el recién llegado puede sentirse desatendido y considerar otras oportunidades profesionales, incluso durante los primeros 90 días. Esto sería contraproducente, ya que obligaría a la empresa a invertir tiempo y dinero de nuevo en el proceso de contratación.

Como dice el proverbio africano: “Solos vamos más rápido, juntos llegamos más lejos”.

 

7. Fórmale en herramientas y métodos de gestión

Si tu objetivo es convertir a tu asistente en una extensión del CISO, tendrás que formarle en las herramientas y metodologías adecuadas para gestionar la ciberseguridad. Esto puede implicar enseñarles a utilizar marcos de referencia como NIST V1.1, o explicarles el proceso de elaboración de informes.

Herramientas como Tenacy pueden desempeñar un papel clave a la hora de simplificar y automatizar la gestión de la ciberseguridad, permitiendo estandarizar las prácticas. La plataforma facilita la gestión del cumplimiento de normas como ISO 27001, DORA y 3CF, eliminando la necesidad de elaborar informes manuales dispersos en archivos Excel.

Al formar a tu personal en el uso de Tenacy, no sólo les liberas de las tediosas tareas de elaboración manual de informes, sino que les permites concentrarse en misiones más estratégicas y gratificantes, a pesar de su necesidad de actualizar sus conocimientos.

LO ESENCIAL

Ante la escasez de talentos y los salarios cada vez más atractivos, reclutar e integrar un perfil junior en un equipo de SSI puede convertirse rápidamente en un desafío. Por lo tanto, es importante no limitarse a las cualificaciones técnicas, sino considerar a candidatos motivados y deseosos de aprender.

Con una definición clara de las necesidades de la empresa, una integración cuidadosa y formación en las herramientas y metodologías adecuadas, serás capaz de integrar y fidelizar a tu nueva incorporación en la empresa.