lunes, 18 de abril de 2016

Cómo seleccionar personal para su área de seguridad informática

Si tiene una vacante o un nuevo puesto de seguridad disponible, estas recomendaciones le ayudarán a seleccionar el candidato que sea el adecuado para su empresa.

Es inevitable que en las organizaciones donde se tiene un área de seguridad informática se deba ejecutar un proceso de selección de personal para ocupar alguna vacante. Cada vez que una persona se retira del área, o bien existe una nueva que hay que ocupar, nos enfrentamos a tener que buscar candidatos para ocuparla.

En general, hay dos maneras para que un empleador empiece a buscar candidatos. Una es dejarle el trabajo al área de recursos humanos (RRHH) y solo revisar perfiles previamente "digeridos"; otra es que directamente el área de seguridad se encargue de buscar candidatos y seleccionarlos desde el punto de vista técnico, para luego enviarlos a RRHH y que ahí continúen haciéndole las evaluaciones necesarias.

En este artículo abordaré la segunda opción. Claro, esto aplica siempre y cuando el empleador sepa lo que quiere; podría haber casos donde ni siquiera supiera mucho de seguridad informática o no se dedicara realmente a eso, en cuyo caso sería difícil que sepa reconocer un buen perfil de seguridad informática o al menos el potencial en un candidato.

Inmediatamente viene el primer problema. ¿Queremos gente con experiencia o sin experiencia? Pensemos que la experiencia viene acompañada de un sueldo bastante mayor que alguien que apenas va iniciando su carrera, así que no hay una sola respuesta. Si los deseamos con experiencia, podemos echar mano de las redes sociales y solicitar gente interesada (obviamente incluyendo LinkedIn), de colegas del medio que sepan de posibles candidatos o de la propia bolsa de trabajo de la empresa, si es que la tiene.

Si no es necesaria la experiencia laboral en seguridad, pero sí al menos tener la noción de la materia, una opción interesante es acercarse a las universidades que tienen maestrías o diplomados en seguridad de la información o informática, y pedir perfiles de posibles candidatos. Otra opción son las universidades que tienen carreras donde los alumnos cursan algunas materias de seguridad. Tampoco hay que descartar los empleados que han cursado sus servicios sociales en la propia empresa: de primera mano podemos averiguar cómo se desempeñaron durante su servicio, o si tienen potencial.

Una vez revisados los perfiles y hecha una selección de aquellos que puedan parecer idóneos en papel (CV), se puede pasar a una entrevista de trabajo y a una evaluación técnica. Para la entrevista se puede tomar en cuenta, por ejemplo, los siguientes factores (tomen en cuenta que varias cuestiones son subjetivas y es más un tema de "feeling"):
  • Actitud. ¿Durante la entrevista muestra buena actitud en general?
  • Puntualidad. ¿Llegó temprano a la cita?
  • Interés por la seguridad informática. ¿Hay un interés especial o le da igual desarrollar o administrar servidores? ¿Tiene un blog de seguridad? ¿Tuitea sobre seguridad? Y sí, hay formas como las que acabo de mencionar para demostrar interés, y no solo decir que "es lo que me apasiona". Si hace lo que le gusta, será de conveniencia para él y la empresa.
  • Conocimientos básicos de seguridad. ¿Si se le hace una pregunta relacionada con seguridad, la contesta? ¿Sabe al menos lo que es el CISSP, CISA o CISM?
  • Planes a futuro. ¿Qué planes tiene para el futuro a corto y mediano plazo en su vida laboral? ¿Tiene la intención de quedarse o es de los que en dos meses estará cambiando de trabajo?
  • Capacidad autodidacta. En seguridad, es especialmente importante que sea autodidacta, pues en la empresa no hay profesores que se pongan al frente a enseñarle. ¿El candidato puede describir alguna situación en la que haya echado mano de su capacidad de autodidacta?
  • Honestidad. Asumimos que el candidato es honesto en sus respuestas; si lo pescamos en alguna mentira, se le debe descartar.
  • Servicio social. ¿Dónde hizo su servicio? ¿Fue retador? ¿Podemos llamar a quien estuvo a su cargo durante su servicio y conocer de primera mano su actitud, desempeño, etc.?
  • Inglés. Sobra decir que, en seguridad informática, al menos hay que saber leer documentos técnicos de la materia en este idioma; en segundo lugar está el escribirlo y hablarlo con razonable fluidez.
  • Conocimiento de la empresa. ¿El candidato tuvo el detalle de entrar al sitio web del corporativo y averiguar, por ejemplo, a qué se dedica, su misión/visión, la ubicación del área de seguridad dentro del organigrama, etc.?
  • Aportación a la empresa y trabajo bajo presión, etc. Yo evitaría hacerle caso a estos clichés. Todos dicen trabajar bajo presión y que van a aportar todos sus conocimientos para el bien de la empresa y demás bla bla bla. Yo, de hecho, ignoro este tipo de información en los CV, pues parece que hay que ponerlos por default.
Después de la entrevista, sugiero hacer una evaluación técnica. Aquí las posibilidades son infinitas y depende de qué desee saber del candidato. ¿Se quiere evaluar su conocimiento en sistemas? ¿En seguridad? ¿En razonamiento y lógica? ¿En problemas matemáticos? ¿En todo lo anterior? No hay una sola respuesta, y será labor del empleador decidir qué tipo de examen técnico aplicará y la definición de la calificación aprobatoria.

Una vez que se hayan llevado a cabo las entrevistas y se tengan los resultados de las evaluaciones, ya es posible ubicar a los candidatos idóneos, o de plano iniciar de nuevo el proceso para encontrar a alguien que sí nos satisfaga. Techtarget