En los artículos de esta serie exploramos cada una de las cinco principales consideraciones para ayudarte a evaluar el mejor enfoque para la adquisición de talento de la seguridad en tu organización. En el primer artículo, exploramos cómo medir la capacidad de las organizaciones para encontrar y retener el talento de seguridad. En el artículo #2 tratamos de entender que tan bien tu organización pudiera escalar al equipo de seguridad si este es requerido. El artículo #3 se revisó el impacto de contar con recursos externos en tu equipo que efectivamente tienen dos jefes: tú y su gerente de consultoría. En el artículo # 4 miramos la importancia de entender el «por qué» en deseamos adquirir este personal.
En el último artículo de esta serie, vamos a traer de vuelta a los fundamentos de seguridad de la información: La medición de la madurez de tu programa de seguridad. Esta consideración es probablemente la más crítica para el éxito, porque si la base de tu programa de seguridad es débil, realmente no importa lo que se construye en la parte superior de la misma.
Consideración # 5: Madurez del Programa de Seguridad
Si tu programa de seguridad no está maduro, realmente necesitas pensar en las implicaciones de esta antes de llevar a cabo cualquier tipo de esfuerzo de recurso o equipo de seguridad. Si traes el talento interno de la empresa ¿Ellos van a tener la habilidad y el tiempo que se necesita para crear nuevos procesos mientras que al mismo tiempo realizan las actividades del día a día? Si están subcontratando a una empresa de seguridad ¿van a ser capaces de medir su rendimiento si sus procesos son ad hoc y no está bien diseñado? ¿Es el tercero responsable de la construcción estos procesos como parte de su contrato? Asegúrese de que estas preguntas sean contestadas antes de realizar cualquier tipo de movimiento porque cuando no lo hace el programa va a sufrir mientras buscas la manera de resolverlo. Tómate el tiempo para evaluar cuánto del proceso de desarrollo será necesario para cualquier papel se lleve adelante. Asegúrate de mantener el día a día las actividades o la realización de actividades dentro de un proceso, separadas del desarrollo o la mejora del proceso en sí. Como Ryan Kelley, consultor de seguridad y riesgo con Dell SecureWorks dice, «Si es posible mantén separada a la gente responsable de las tareas operativas de ser directamente responsable de las tareas estratégicas, ya que las tareas operativas siempre tendrá prioridad. O si no es posible, asegúrate de que está acomodando una línea de tiempo para efectuar un proyecto mucho mayor debido a la interferencia operativa inevitable.» Al final, esto te ayudará a asegurarte de que tiene los recursos adecuados para llevar a cabo las dos piezas importantes para el rompecabezas de la madurez.
Por último, asegúrate de que tienes un programa de seguridad válido. Sin esto, no hay reglas acerca de cómo hacer funcionar la máquina de seguridad. Esto llevará a un caos en cualquier situación mientras lo tratas de resolver. Cualquier plan para construir un programa de seguridad es una de las primeras tareas que los equipos deben realizar antes de seguir avanzando a lo largo del proceso de desarrollo del mismo.
Con esto, hemos cubierto las cinco consideraciones para la adquisición de talento de la seguridad en una organización. Al final, el desarrollo y la adquisición de un equipo de seguridad puede tener éxito si el equipo es completamente interno, subcontratado por completo o una combinación de ambos. El elemento crítico es que pienses a través de las consideraciones ilustradas en esta serie y formes a tus equipos para el éxito. Para aquellos que no lo hace, va a frenar la capacidad de implementar un sistema de seguridad sano durante un tiempo cuando la mayoría de las organizaciones requieren de la eficiencia de la seguridad al máximo. Esto no es agradable y no está en los mejores intereses de tus clientes o los profesionales de la seguridad que buscas a emplear.
Este artículo está basado en la publicación de cisohandbook.com titulado «Measuring your organizations ability to acquire security talent«.
¿Qué otros aspectos se deben tener en cuenta para determina la adquisición de personal en esta área? Deja tus comentarios.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
