Consideraciones para la adquisición de talento de seguridad en tu organización

Si tú trabajas en un banco, una empresa de bio-tecnología o algo intermedio, el panorama actual de la seguridad ha puesto la necesidad de adquirir el talento de seguridad en las organizaciones. Desde la creación de equipos de seguridad para la gestión del riesgo hasta lograr el cumplimiento de las normas de seguridad, está claro que la necesidad de un equipo de seguridad competente nunca ha sido mayor y esta necesidad no va a desaparecer en el corto plazo. Así que en las organizaciones se preguntan ¿cuál es la mejor manera de cubrir esta necesidad?

En esta serie de artículos explorare este tema y proporcionaré cinco consideraciones para evaluar antes de decidir si se debe tratar de contratar a su propio equipo interno de seguridad de la información, externalizar su seguridad interna o aplicar una combinación de estos dos enfoques.

Cada artículo de esta serie exploraremos una de las cinco principales consideraciones para ayudarle a evaluar el mejor enfoque para la adquisición de talento de la seguridad en su organización. En este artículo se ilustra en primer lugar la importancia de medir la capacidad de las organizaciones para encontrar, evaluar y conservar el equipo de seguridad lo mejor posible para su organización.

Consideración # 1: La capacidad para adquirir el talento de seguridad

Uno de los temas clave relacionados con la construcción de un equipo de seguridad es la capacidad de encontrar los recursos en una cantidad razonable de tiempo. En estos días, no es infrecuente que una posición de seguridad se encuentre vacante durante meses. Esta es una noticia preocupante teniendo en cuenta que la mayoría de las organizaciones requieren de las habilidades de seguridad y el impacto del riesgo de no contar con recursos especializados. ¿Por qué es el talento tan difícil de encontrar en estos momentos y cómo afecta esto si contratamos a los recursos internos o externos?

Una de las razones para la falta de recursos es que la demanda de profesionales de la seguridad es increíblemente alta en un mundo se vuelve más conectado a través de Internet. Esta razón también se magnifica cuando se considera que al mismo tiempo el valor monetario de información sensible también ha aumentado. En otras palabras, más gente que quiere robar la información, ya que vale más y se ha hecho más fácil de robar debido a que nuestro mundo se ha vuelto mucho más conectado. Otra consideración interesante que demanda la ecuación es que el papel de la seguridad de la información en la organización común es todavía es muy nuevo e inmaduro. Sáquenlo por aquí, la certificación CISSP sólo ha estado durante alrededor de 20 años, ahora compare esto con el Instituto Americano de Contadores Públicos Certificados (AICPA), que es el órgano de gestión de Contadores Públicos Autorizados (CPA), el cual ha estado con nosotros desde el 1800. Nuestro dominio es aún muy joven y como resultado el conjunto de profesionales de la seguridad con experiencia es más limitada que en otras funciones de las organizaciones comunes.

Entonces, si estoy en una organización que está en la necesidad de un equipo de seguridad, una de mis tareas fundamentales será el de medir mi capacidad para adquirir los profesionales de seguridad en un mercado muy difícil. A continuación se presentan las cosas más importantes a considerar antes de tomar una decisión sobre si se va a tomar un enfoque interno o externo:

A. ¿Tenemos la capacidad de saber lo que está buscando?

  • Si tú está aprovechando los recursos humanos internos para hacer el reclutamiento, ¿se tienen los conocimientos necesarios para medir adecuadamente la capacidad de un candidato de seguridad? Tal vez tu puede incluso tener un equipo de seguridad, pero si ellos no están calificados ¿van a ser capaces de realizar una llamada correcta? Esto es importante, porque el hacer una mala elección para una posición clave de seguridad puede hacer más daño que tener un requerimiento abierto por un poco más de tiempo. A menudo, si tú vas a contratar a tu equipo de seguridad, una empresa subcontratada será mucho mejor para medir la habilidad pura de seguridad de los candidatos, esto puede pagar dividendos. Así que supongamos que tu sólo debe externalizarlo todo… no del todo. Sin embargo, hay otras cosas a tener en cuenta y el más importante de los cuales es la comprensión de la cultura organizacional.
  • Mientras que los reclutadores internos no pueden ser tan eficaces en la medición de la capacidad de un candidato exclusivamente de seguridad, medir su capacidad para encajar en la cultura de la empresa es una historia diferente. Por lo general, será a favor de la empresa que nos está prestando el servicio. Los directores de recursos humanos de esa empresa, probablemente tendrá una visibilidad limitada o poca comprensión de tu cultura organizacional. Lo que es peor, pueden contratar a alguien sobre la base de su propia cultura empresarial y que no se alinean con la suya. Muy bien, así que tengo la habilidad y la cultura hacia abajo, ¿qué otra cosa debo tener en cuenta cuando se trata de la disponibilidad de recursos?

B. ¿Sabes dónde buscar y tienes acceso?

  • La comunidad de la seguridad está muy cercana y conectada. Una vez más, somos un grupo pequeño de personas que están tratando de realizar algunas tareas muy complejas. Esto ha hecho de nosotros un club muy exclusivo. Si tu equipo de contratación interna no está conectado o no tiene acceso a esta comunidad, es posible que pierda algunos de los mejores candidatos. En general, las organizaciones que se especializan en dar servicios de equipos de seguridad están conectados a la comunidad. Tienen que ser para poder sobrevivir y como resultado tienen un mejor acceso a un grupo mucho más amplio de talento. A menudo, esto permitirá a estas organizaciones encontrar talento mucho más rápido. Así que si puedo encontrarlo, ¿qué más debo tener en cuenta?

C. ¿Se puede conseguir que se queden?

  • Desde que los profesionales de la seguridad están en la demanda, a menudo es difícil conseguir que se queden en una organización en un papel a tiempo completo. Incluso si no se van rápidamente, a menudo perciben que se aburren o que sus habilidades se vuelven anticuadas si se quedan en un solo lugar. En estas situaciones, estos recursos a menudo dejan pasar estas oportunidades. Por el contrario, la externalización de sus funciones internas a un equipo externo a menudo pueden reducir este problema. Los profesionales expertos frecuentemente se sienten más cómodos al unirse a un equipo en una organización externa que se especializa en la seguridad por las siguientes razones.
  • En primer lugar, trabajando en tu organización como un trabajador por contrato puede hacer el trabajo exactamente igual a como si se le hubiese contratado como un recurso interno, pero una diferencia clave es que en esta situación, es que estos recursos siguen teniendo acceso a otros profesionales de la seguridad en la nave nodriza, esto hace que sus habilidades estén un poco más frescas o al menos en la percepción de este, lo que hace a estos recursos entrar de manera más cómoda a este tipo de arreglo. En segundo lugar, estos contratos externos son por lo general de 2-5 años, asociación de un plazo de un contrato crea la percepción de que el trabajo llegará a su fin, esto a menudo hace que un recurso se sienta más cómodo y que no se va a quedar atrapado en la misma organización para siempre. Por supuesto, hay otra cara de esta moneda.
  • A veces, cuando traes a un empleado subcontratado este no será considerado parte de la familia de la organización. Esa insignia de contratista les lleva a sentirse como un ciudadano de segunda clase y puede hacer que se sientan un poco desconectado del equipo. Esto puede reducir la lealtad a la organización de los recursos que están sirviendo. Este problema no existe cuando tu traes a un de empleado interno de tiempo completo en la organización, así que de nuevo este tema debe ser considerado en el proceso de decisión de contratación interna/externa.

Como puedes ver, definitivamente hay mucho en que pensar, incluso en esta primera consideración. Mantente en sintonía para el próximo artículo de esta serie: Consideración # 2: Capacidad de escalar tus necesidades de seguridad.

 Este artículo está basado en la publicación de cisohandbook.com  titulado  «Measuring your organizations ability to acquire security talen«

¿Qué otros aspectos se deben tener en cuenta para determina la adquisición de personal en esta área? Deja tus comentarios.

Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.

Gracias por leerme y hasta la próxima.