Gua de contratacin

para la profesin de seguridad de la informacin

 INTRODUCCIN
Bienvenido a la Gua de contratacin para la profesin
de seguridad de la informacin de (ISC)2.No es ningn
secreto que no es fcil encontrar expertos calificados
para proteger su organizacin. Como el cuerpo de
profesionales de seguridad de la informacin ms
importante del mundo, con ms de 54.000 miembros
certificados en 135 pases, (ISC)2 desea ayudar a los
profesionales de RR. HH., reclutadores de personal
y gerentes de contratacin a comprender el alcance
de esta profesin en vas de expansin y reducir
las dificultades a la hora de obtener el mejor y ms
brillante personal de seguridad de la informacin.
La profesin de seguridad de la informacin se
est expandiendo rpidamente. Los resultados del
Estudio Global sobre Profesionales de Seguridad
de la Informacin (GISWS, por sus siglas en ingls)
realizado en 2006 por (ISC)/IDC demostraron que
la cantidad de profesionales en el mundo aumentar
a un poco ms de 2 millones para el 2010, lo que
representa una tasa de crecimiento anual compuesta
del 7,8 por ciento de 2005 a 2010.
Esto no fue siempre as. Veinte aos atrs, el
campo de la seguridad de la informacin estaba
en paales y, a menudo, las compaas solan
ignorar las amenazas a las que estaba expuesta su
(1)
infraestructura. En la actualidad, debido al impulso
por cumplir las leyes y normativas, y el deseo de
expandir el comercio global, contratar personal de
seguridad de la informacin de primera lnea es
fundamental para mitigar los riesgos que pueden
perjudicar la reputacin de una compaa, violar la
privacidad, provocar el robo o la destruccin de la
propiedad intelectual y, en algunos casos, hasta poner
en peligro las vidas de los trabajadores.
Esperamos que esta gua de contratacin,
recopilada con importantes contribuciones de Alta
Associates, le sirva para comprender la importancia
de esta profesin relativamente nueva. Adems,
le ofrecemos consejos sobre cmo garantizar
que el personal de seguridad est integrado
por profesionales talentosos y calificados. Puede
encontrar ms herramientas en lnea visitando el
Centro de Contrataciones de (ISC) en www.isc2.
org/HRCenter.
La mejor de las suertes en sus esfuerzos de
seleccin de personal!
W. Hord Tipton, CISSP-ISSEP, CAP, CISA
Director Ejecutivo de
(ISC)2
 TABLA DE CONTENIDOS

TABLA DE CONTENIDOS

Qu es la seguridad de la informacin? ................ 3-4

La evolucin del papel de la profesin de
seguridad de la informacin .......................................... 5-6
Qu tipos de funciones laborales existen? .......... 7-8
Cules son las caractersticas ideales de un
profesional de seguridad de la informacin? ..... 9-10
Cules son las trayectorias profesionales
tpicas? ............................................................................................11
Elaboracin de una descripcin del puesto ......13-14
Requisitos de certificacin ..........................................15-16
Seleccin de personal ....................................................17-18
Evaluacin de aptitud ....................................................19-20
Entrevistas .......................................................................... 21-23
Verificaciones de seguridad/referencias .................... 24
Elaboracin y presentacin de un
ofrecimiento ...................................................................... 25-26
Retencin ................................................................................... 27
Recursos ...............................................................................29-30

(2 )
 QU ES LA SEGURIDAD DE LA INFORMACIN?
QU ES la seguridad de la
informacin?
En la actualidad, los gobiernos, las instituciones
militares y financieras, y las empresas de
servicios de atencin mdica y privadas
manejan importantes volmenes de informacin
confidencial acerca de los empleados, los clientes,
los productos y el estado financiero. La mayor
parte de esta informacin se recopila, se procesa
y se almacena en computadoras y servidores, y se
transmite a travs de sistemas de redes.
Si dicha informacin confidencial cayera en manos
de extraos, una violacin de la seguridad de
este tipo podra provocar la prdida de negocios,
litigios, daos a la reputacin e incluso la quiebra.
La proteccin de la informacin confidencial es
un requisito que apela al sentido comn por estos
das y, en la mayora de los casos, tambin es un
requisito legal.
(3)
La seguridad de la informacin implica proteger la
informacin y los sistemas informticos del acceso,
el uso, la divulgacin, la alteracin, la modificacin
o la destruccin no autorizados. El propsito de la
seguridad de la informacin es garantizar que toda
la informacin de la que dispone una organizacin,
independientemente de si est almacenada en el
disco duro de una computadora o en un fichero,
se mantenga con lo siguiente:
Confidencialidad: garantizar que solamente el
personal autorizado tenga acceso a la informacin.
Integridad: salvaguardar la precisin e integridad de
la informacin y de los mtodos de procesamiento.
Disponibilidad: garantizar que los usuarios autori-
zados tengan acceso a la informacin y los activos
asociados cuando lo necesiten.
 QU ES LA SEGURIDAD DE LA INFORMACIN?

Cumplimiento: garantizar el cumplimiento de las

leyes y los requisitos normativos del sector, como
la Ley de Portabilidad y Responsabilidad del Seguro
Mdico (HIPAA, por sus siglas en ingls) para los
proveedores de atencin mdica y la Ley Sarbanes-
Oxley (SOX, por sus siglas en ingls) para las
compaas que cotizan en bolsa.

El objetivo de las polticas de seguridad de la infor-

macin es minimizar los daos a la organizacin a
travs de la prevencin y el control del impacto de
las violaciones de la seguridad. La seguridad de la
informacin brinda un marco de proteccin esen-
cial en el cual es posible compartir la informacin
y garantizar al mismo tiempo su proteccin contra
usuarios no autorizados.

(4 )
 LA EVOLUCIN DEL PAPEL DE LA PROFESIN DE SEGURIDAD DE LA INFORMACIN

La evolucin del papel de la de software de seguridad y su implementacin, y

profesin de seguridad de la
las prcticas ms eficaces a la hora de desarrollar
informacin
procedimientos e infraestructura de seguridad.
Aos atrs, la mayora de las personas responsables
Una organizacin segura requiere de profesionales
de proteger los activos de informacin ingresaban
experimentados capaces de crear e implementar
a este campo sin formacin o instruccin formal
un programa, obtener respaldo y financiacin para
alguna y adquiran su experiencia en disciplinas ms
dicho programa, y capacitar a cada uno de los
amplias, como tecnologa de la informacin (TI) o
empleados para convertirlos en ciudadanos cons-
ingeniera, para trasladarse al sector de la seguridad
cientes de la seguridad, mientras cumplen con los
de la informacin solo a medida que surga la
estndares regulatorios necesarios. Por otra parte,
necesidad.
requiere de un equipo de profesionales tcnicos
A diferencia de lo que ocurra hace dos dcadas, para implementar las polticas establecidas por el
muchos profesionales jvenes del sofisticado gerente de seguridad.
mundo ciberntico actual, tienen la seguridad de la
Los profesionales de seguridad de la informacin
informacin en mente desde el principio y cursan
de la actualidad trabajan en conjunto con los de-
estudios universitarios en seguridad de la informa-
partamentos de RR. HH., asuntos legales, auditora
cin u otras disciplinas relacionadas, como ciencias
y TI, entre otros, para mitigar los riesgos en toda la
de la computacin. Asimismo, probablemente
extensin de la organizacin. Muchos de ellos son
posean conocimientos prcticos de los sistemas de
ahora esenciales en la toma de decisiones em-
redes, los protocolos de seguridad, los programas
presariales. En vista de estos grandes desafos, el

(5)
LA EVOLUCIN DEL PAPEL DE LA PROFESIN DE SEGURIDAD DE LA INFORMACIN

papel del profesional ha cambiado drsticamente

en el transcurso de los ltimos aos. El profesional
exitoso ahora debe adaptarse al cambio en forma
rpida y segura, ya sea consecuencia de las amena-
zas externas e internas o bien, de la demanda de
nuevos bienes y servicios por parte de los clien-
tes. Por otra parte, el profesional tambin debe
implementar soluciones de seguridad integradas
en todos los niveles en donde las personas, los
procesos y las tecnologas se unen para garantizar
el respaldo de los objetivos de la organizacin.

Si bien contar con profesionales calificados de

seguridad de la informacin es una necesidad para
las organizaciones de cualquier tamao y actividad,
es especialmente importante en el caso de aque-
llas que manejan informacin altamente confiden-
cial, como las entidades financieras, las empresas
de atencin mdica o seguros, o de aquellas que
deben cumplir con resoluciones legales y norma-
tivas estrictas.

(6 )
 QU TIPOS DE FUNCIONES LABORALES EXISTEN?

QU tipos de funciones laborales Director General de Seguridad de la Informacin

EXISTEN?
Gerente de Seguridad de la Informacin
En los comienzos de la seguridad de la informacin,
una organizacin contrataba a un solo ingeniero Gerente de Seguridad de TI
de seguridad, quien se desempeaba como Especialista en Certificacin y Acreditacin
auxiliar del departamento de TI y se ocupaba
de la seguridad de redes y de la administracin Gerente de Riesgos
de la seguridad. Dicho puesto requera de un
Encargado de Cumplimiento Normativo
entendimiento de los protocolos de red, los
cortafuegos y las vulnerabilidades de las redes. El alcance de las funciones de seguridad tradi-
cionales tambin se ha expandido. Las funciones
Hoy por hoy, con la creciente dependencia del
iniciales del ingeniero de seguridad abarcan
mundo virtual por parte de cada rincn de la
ahora numerosas reas de especializacin, como
industria y la sociedad, los requisitos y las funciones
la gestin de identidades y acceso, la gestin de
de la profesin de seguridad de la informacin
vulnerabilidades y la seguridad de las aplicaciones.
se han diversificado. Las funciones especficas de
Dichos puestos requieren de vastos conocimien-
seguridad son, entre otras, las siguientes:
tos tcnicos, adems de un anlisis de riesgos
Especialista en Informtica Forense asociados a las operaciones, para poder desarro-
llar controles de seguridad apropiados para cada
Arquitecto de Seguridad organizacin.

(7)
QU TIPOS DE FUNCIONES LABORALES EXISTEN?

(8 )
 CULES SON LAS CARACTERSTICAS IDEALES DE UN PROFESIONAL DE SEGURIDAD
DE LA INFORMACIN?
CULES SON LAS caractersticas
ideales de un profesional de
seguridad de la informacin?
Mientras que la profesin de seguridad de la
informacin se ha vuelto demasiado compleja
para cualquier conjunto de habilidades especficas,
existen atributos generales que se deben tener en
cuenta a la hora de seleccionar a un profesional.
Algunas de estas caractersticas ideales son las
siguientes:
Habilidades y aptitudes
Capacidad de llevar un registro de seguimiento
de las soluciones de seguridad de la informacin
y gestin de riesgos en desarrollo.
Profundo entendimiento de la tecnologa
y capacidad de sacar provecho de dichos
conocimientos para implementar soluciones de
seguridad eficaces.
Entendimiento del sector, el lugar de la
compaa en el mercado, los requisitos legales
(9)
y normativos relevantes, y las formas en que
dichos requisitos pueden agregar valor.
Habilidades de comunicacin slidas. Estas
incluyen la capacidad de influir en la conducta
y las percepciones de los empleados. Ni las
mejores polticas de seguridad sern eficaces sin
el compromiso de todos los empleados.
Capacidad de articular el valor de los negocios.
Los profesionales deben conocer su audiencia y
hablar en un lenguaje comprensible.
Entendimiento y gestin de los riesgos. Los
profesionales de la seguridad deben adaptar sus
posturas sobre seguridad a las necesidades y
apetitos de riesgo especficos de la organizacin.
Capacidad de entablar relaciones slidas con los
interesados clave de la organizacin, incluidos
los gerentes de asuntos legales, RR. HH.,
auditora, seguridad fsica, RR. PP. y riesgos.
CULES SON LAS CARACTERSTICAS IDEALES DE UN PROFESIONAL DE SEGURIDAD
DE LA INFORMACIN?

Capacidad de detectar las necesidades de seguridad

globales de una organizacin. Incluso para las funciones
de seguridad de redes tradicionales, las organizaciones
necesitan profesionales capaces de interpretar la
tecnologa de una manera que sea til y satisfaga los
objetivos de gestin de los negocios y riesgos.

Atributos personales

Actitud positiva. Si bien los profesionales necesitan

de una dosis saludable de cautela, deben hacer
hincapi en el poder de la defensa, en lugar de en las
consecuencias o los costos de la vulnerabilidad.

Compromiso con la tica. Para ser eficaz, un

profesional debe decir la verdad en todo momento
y evitar exagerar acerca de lo que puede y no
puede hacerse.

Respaldo a la necesidad de permanecer al corriente

de los ltimos conocimientos sobre tecnologa y
seguridad.

(10)
 CULES SON LAS TRAYECTORIAS PROFESIONALES TPICAS?
CULES SON las trayectorias
profesionales tpicas?
Un profesional de seguridad de la informacin puede
provenir de diversas disciplinas no relacionadas con la
seguridad. De hecho, muchos profesionales ejemplares
comenzaron sus carreras en el campo de la tecnologa
para luego comenzar a adquirir conocimientos en
seguridad. Si bien los profesionales suelen tener
conocimientos tecnolgicos, es cada vez ms frecuente
que procedan de reas de evaluacin de riesgos con
vasta experiencia en la gestin de proyectos.
Las dos trayectorias profesionales ms comunes que
se encuentran disponibles en el marco de la seguridad
de la informacin son: tcnico de seguridad y gerente/
estratega de seguridad. Algunos profesionales
disfrutan de los desafos tcnicos cotidianos propios
de las funciones del tcnico de seguridad, por lo que
permanecen en ese puesto a lo largo de sus carreras,
aunque incluso este puesto cada vez demanda
ms habilidades personales como conocimientos
(11)
comerciales, comunicacin y colaboracin. Otros, a su
vez, adquieren las habilidades de gestin necesarias
para cubrir el vaco entre las prioridades tcnicas y
comerciales de una organizacin.
Los atributos deseados de un tcnico de seguridad
pueden ser, entre otros, los siguientes:
Profundo entendimiento de diversas tecnologas
Experiencia de campo en un dominio tcnico
Deseo de continuar formando parte de la
implementacin tcnica y la supervisin de la
seguridad
Los atributos deseados de un gerente de seguridad
pueden ser, entre otros, los siguientes:
Amplio entendimiento de diversas tecnologas
Habilidades de direccin y presentacin ejecutivas
Conocimientos especficos sobre una lnea de
negocios o producto
Deseo de gestionar cuestiones de riesgo ms amplias
 CUALES SON LAS TRAYECTORIAS PROFESIONALES TPICAS?

Trayectoria profesional de (ISC)2 avanzada, evaluaciones rigurosas y concentracio-

nes especializadas. Los miembros de (ISC)2 estn a
(ISC)2 brinda una trayectoria profesional a los
la vanguardia del dinmico sector de seguridad de
profesionales de seguridad de la informacin
la informacin de la actualidad. Busque una de es-
del inicio al final de sus carreras. Ofrecemos una
tas credenciales cuando tome la prxima decisin
combinacin nica de certificaciones, capacitacin
de contratacin.

Para obtener las certificaciones CISSP-ISSAP y CISSP-

ESPECIALIZAR ISSMP, los aspirantes debern tener 2 aos de experiencia

profesional comprobable en el rea de su concentracin. Esto
no se aplica para la certificacin CISSP-ISSEP.

GESTIONAR
Para obtener la certificacin CISSP, los aspirantes debern
poseer 5 aos de experiencia en dos o ms de los dominios
de CISSP CBK.
5 aos de experiencia

ACREDITADO
Para obtener la certificacin CAP, los aspirantes debern poseer
requerido

2 aos de experiencia en la certificacin y acreditacin de

seguridad de sistemas de la informacin.
2 aos de experiencia

IMPLEMENTAR
Para obtener la certificacin SSCP, los aspirantes debern
requerido

poseer 1 ao de experiencia en uno de los dominios de

SSCP CBK.
1 ao de experiencia

Para convertirse en Asociado de (ISC)2, los aspirantes debern

APRENDER aprobar el examen CISSP, CAP o SSCP. Una vez aprobado el

requerido

examen, el aspirante deber reunir los aos de experiencia

requeridos para la credencial correspondiente, y recibir
la certificacin correspondiente despus de cumplir con el
proceso de ratificacin.
Aos de
experiencia 0 1 2 3 4 5 6 7 8 9

(12)
 ELABORACIN DE UNA DESCRIPCIN DEL PUESTO
Elaboracin de una descripcin
del puesto
Un error comn que an suele darse entre muchos
de los departamentos de RR. HH. es pensar que
la seguridad de la informacin forma parte de la
tecnologa de la informacin. De hecho, debido
a que los requisitos empresariales son cada vez
mayores, la profesin de seguridad de la informacin
se ha fraccionado en diversas facetas ms all de la
TI y ofrece especializacin en procesos, auditoras,
polticas y cumplimiento, entre otros temas. Como
ocurre en muchos campos, aun un puesto que
ostente el mismo ttulo en dos departamentos de la
misma compaa puede tener requisitos diferentes.
La clave para formular una descripcin slida
del puesto, en el campo de la seguridad de la
informacin, es garantizar que el gerente de
contratacin mantenga una comunicacin fluida con
el departamento de RR. HH. Independientemente
del rango del puesto, esta conversacin inicial debe
(13)
ayudar al gerente de contratacin a enfocarse
en cules son las caractersticas del organigrama,
dnde se ubica el puesto y cules son sus funciones
y responsabilidades, cul es la relacin del puesto
con la organizacin como un todo, y cules son las
expectativas de xito.
Si est trabajando con un reclutador de personal
externo experimentado que se especialice en
seguridad de la informacin, es momento de
involucrarlo en el proceso. Un reclutador de
personal capacitado puede asesorarlo sobre la
escala de sueldos competitivos para el puesto
y ayudarlo con la creacin de la descripcin de
dicho puesto.
Involucrar al reclutador de personal en esta fase
del proceso sienta las bases para una relacin de
compaerismo exitosa, ya que se llega a un entendi-
miento mutuo de las funciones y responsabilidades,
y se transmite un mensaje coherente a los candida-
tos potenciales.
 ELABORACIN DE UNA DESCRIPCIN DEL PUESTO

La descripcin del puesto de un gerente de seguridad Supervisar el cumplimiento de las polticas y los
de la informacin puede incluir lo siguiente: procedimientos de seguridad de la informacin de
la organizacin entre los empleados, contratistas,
Desarrollar y supervisar la implementacin de las
aliados y terceros.
polticas y los procedimientos de seguridad de la
informacin de la organizacin. Supervisar los sistemas de control internos para
garantizar que se mantengan niveles de acceso
Supervisar la implementacin de las polticas y los
a la informacin y autorizaciones de seguridad
procedimientos de seguridad de la informacin de
apropiados.
la organizacin.
Llevar a cabo evaluaciones de riesgos sobre
Garantizar la prevencin de las intrusiones, el
seguridad de la informacin y garantizar la auditora
acceso y las falsificaciones no autorizados, y
de los procesos de seguridad de la informacin.
detectar y solucionar los incidentes de seguridad
con rapidez. Elaborar los planes de continuidad del negocio y
recuperacin ante desastres de la organizacin
Garantizar la seleccin y correcta implementacin
para los sistemas informticos.
de las herramientas de tecnologa de seguridad
ms eficaces y adecuadas. Supervisar los cambios en los estndares
legislativos y de acreditacin que afecten la
Brindar capacitacin en conciencia de la seguridad
seguridad de la informacin.
de la informacin a los empleados, contratistas,
aliados y terceros.

(14)
 REQUISITOS DE CERTIFICACIN

Requisitos de certificacin realizado en 2006, el 85 por ciento de los gerentes

de contratacin de seguridad del mundo cree en
En el rea de requisitos, adems del grado de
la importancia de las certificaciones en seguridad
formacin y experiencia que est buscando,
de la informacin a la hora de contratar personal.
es importante determinar la certificacin
Las aptitudes del empleado y la calidad del trabajo
profesional que mejor confirme las aptitudes de
siguen siendo las principales razones por las que los
un candidato para el puesto. Si est buscando
empleadores y gerentes de contratacin continan
un tcnico de seguridad, una certificacin de un
haciendo hincapi en las certificaciones en seguridad.
proveedor cuyo entorno coincida con el entorno
A su vez, las polticas y normas de la compaa
tecnolgico especfico de su organizacin, como las
tambin se estn convirtiendo en razones importantes.
certificaciones de Microsoft o Cisco, puede ser til.
Para los puestos de gestin de la seguridad, la
Por otra parte, una certificacin genrica de un
certificacin estndar de oro de la industria es la
proveedor que garantice que el tcnico de seguridad
acreditacin de Profesional de Seguridad Certificado
comprende los principios centrales de la seguridad
en Sistemas de Informacin (CISSP), tambin
eficaz y puede comunicarse sin problemas con
de (ISC)2. Dicha acreditacin fue desarrollada
la gestin de seguridad tambin es til. Algunos
por pioneros de seguridad de la informacin a
ejemplos son: la certificacin de Profesional
comienzos de la dcada de los noventa, y es la
Certificado en Seguridad de Sistemas (SSCP) de
primera y ms respetada credencial de seguridad del
(ISC)2 y la certificacin GIAC del SANS.
mercado. Evala los ms amplios conocimientos de
Segn los resultados del Estudio Global sobre cualquier certificacin en seguridad de la informacin
Profesionales de Seguridad de la Informacin por medio de un examen de seis horas de duracin

(15)
 REQUISITOS DE CERTIFICACIN

sobre su CISSP CBK, una taxonoma de temas

de seguridad de la informacin globales que se
actualiza con regularidad. Tambin exige que el
candidato cuente con cinco aos de experiencia
en al menos dos dominios del CBK, obtenga
el respaldo de un profesional certificado por
(ISC)2, se suscriba al Cdigo de tica de (ISC)2 y
complete los requisitos de formacin profesional
continuos anuales para conservar la certificacin.
Otras certificaciones en seguridad profesionales
incluyen la de Auditor Certificado en Seguridad
de la Informacin (CISA, por sus siglas en ingls)
y la de Gerente Certificado en Seguridad de la
Informacin (CISM, por sus siglas en ingls) de
ISACA, adems de las concentraciones CISSP en
administracin, arquitectura e ingeniera de (ISC)2.

(16)
 SELECCIN DE PERSONAL

Seleccin de personal en contacto con los candidatos pasivos y extender

su marca en forma positiva hacia la comunidad.
Los profesionales de seguridad de la informacin
Asegrese de escoger una compaa que cuente
poseen habilidades altamente especializadas que
con un registro de seguimiento establecido de los
tienen muchsima demanda. Debido a esta demanda,
aciertos en los tipos de funciones que est buscando
los profesionales de gran talento suelen estar
y en el conocimiento del sector. Solicite referencias
disponibles nicamente unas pocas semanas. Es una
y procure sentirse cmodo con el reclutador de
realidad del mercado actual que las organizaciones
personal de modo que no tenga dudas de que ser
deben contratar al candidato deseado rpidamente.
capaz de trabajar en conjunto con usted durante el
Muchos de los candidatos calificados se pierden si el
ciclo completo de seleccin del personal, desde la
proceso de contratacin se extiende demasiado.
deteccin temprana del candidato hasta la posterior
Para ser competitivo y exitoso en la seleccin de negociacin y aceptacin. Desarrollar una relacin de
profesionales de seguridad de la informacin, el confianza con el reclutador de personal especializado
departamento de RR. HH. debe asociarse con el le permitir a usted y al gerente de contratacin
gerente de contratacin y el reclutador de personal tener por seguro que estn tratando con los mejores
especializado para acortar el proceso de contratacin candidatos posibles en el menor tiempo posible.
lo ms posible antes de comenzar con la seleccin
Las asociaciones profesionales tambin pueden ser
del personal. Contar con la colaboracin de un
un excelente recurso para dar con el candidato
reclutador de personal especializado puede ofrecer
adecuado. (ISC)2, por ejemplo, ofrece a los
muchos beneficios; entre ellos, reducir el tiempo que
empleadores acceso a cerca de 60.000 miembros
usted dedica al proceso de contratacin, ponerse

(17)

certificados de todo el mundo a travs de su Centro
de Recursos Profesionales en lnea. Los empleadores
interesados pueden publicar anuncios sobre
puestos de trabajo y buscar currculos por rubro,
certificacin y ubicacin. Solamente los miembros
certificados por (ISC) pueden publicar currculos
en el Centro de Recursos Profesionales de (ISC).
El servicio es gratuito.
Otra alternativa a la hora de seleccionar personal
es unir fuerzas con una asociacin profesional
y con programas de auspicio o bien, realizar
sesiones informativas que sean de inters para sus
miembros. Poner el nombre de la organizacin
a la vista de profesionales de la seguridad con
regularidad es una excelente forma de conectarse
con aquellas personas que no estn buscando
empleo en forma activa, pero que podran estar
interesadas si se presenta una buena oportunidad.
Si el puesto que desea cubrir requiere de un
universitario recientemente graduado, considere
SELECCIN DE PERSONAL
ponerse en contacto con las facultades/institutos de
enseanza superior que hayan sido merecedores
de la distincin de Centro Nacional de Excelencia
Acadmica en Educacin de Seguridad de
Informacin (CAEIAE, por sus siglas en ingls) de
los Estados Unidos o su equivalente regional (www.
nsa.gov/ia/academia/caeiae.cfm). El objetivo del
programa estadounidense es identificar universidades
e institutos de enseanza superior de cuatro aos
que demuestren excelencia acadmica en seguridad
de la informacin. Actualmente, hay 85 Centros
Nacionales de Excelencia Acadmica en Educacin de
Seguridad de Informacin.
Tambin puede tener en cuenta a los estudiantes o
universitarios recientemente graduados distinguidos
como Asociados de (ISC). Esta distincin se confiere
a aquellos que han aprobado el riguroso examen
de CISSP y se han comprometido con el Cdigo
de tica profesional pero an no cuentan con la
experiencia necesaria para la certificacin.
(18)
 EVALUACIN DE APTITUD

Evaluacin de aptitud Opciones/requisitos de formacin:

Una evaluacin de aptitud inicial detallada del
candidato permitir determinar mejor si los
objetivos y las motivaciones del individuo coinciden
con lo que la organizacin est buscando.
La seguridad de la informacin es una disciplina
relativamente nueva, por lo que posee un pro-
grama de estudios y una trayectoria profesional
recientes. Por ejemplo, muchsimas instituciones
acadmicas solamente ofrecen programas de
estudios enfocados en la seguridad desde hace
cinco aos aproximadamente. Fuera del campo
de la TI, muchos ms profesionales de seguridad
de la informacin de nivel alto proceden de cam-
pos como cumplimiento de la ley y auditora, as
como del sector de la milicia.
A continuacin figuran algunos requisitos o
sugerencias generales, divididos segn formacin,
habilidades tcnicas y habilidades generales.
Ttulo de nivel terciario en Administracin de
Sistemas
Licenciatura en Tecnologa de la Informacin u
otro campo relacionado
Licenciatura en Ciencias de la Computacin
o experiencia equivalente en seguridad de la
informacin
Maestra en Ciencias o Maestra en
Administracin para el puesto de director o
puesto superior
Doctorado en Enseanza, Investigacin o
Desarrollo Avanzado
Habilidades tcnicas necesarias:
Conocimiento de los sistemas de redes y de los
protocolos de seguridad

(19)
 EVALUACIN DE APTITUD

Conocimiento de los programas de software de Certificacin profesional genrica o especfica*

seguridad y su implementacin
Excelentes cualidades de liderazgo*
Conocimiento de las mejores prcticas en el
Habilidades interpersonales y de manejo de
desarrollo de procedimientos e infraestructura
conflictos*
de seguridad
Capacidad de relacionar conceptos relativos a
Habilidades y aptitudes generales:
la seguridad con una amplia gama de cuestiones
Excelentes habilidades orales, escritas y de tcnicas y no tcnicas en forma eficaz*
presentacin

Slidas habilidades conceptuales y analticas

Capacidad de operar como integrante eficaz de

un equipo

Capacidad de gestionar varias tareas en

simultneo

Slidas habilidades de gestin de proyectos

(capacidad de gestionar el proyecto general, y
a la vez comprender sus subcomponentes y
cmo se relacionan con este) *
til para avanzar hacia la gestin de seguridad de la informacin.

(20)
 ENTREVISTAS
Entrevistas
Antes de una entrevista, el departamento de
RR. HH. debe coordinar esfuerzos con el gerente
de contratacin y el reclutador de personal
externo especializado a fin de establecer
un conjunto de criterios de evaluacin que
todos deben seguir, y confirmar quin ser el
responsable de tomar la decisin final. Dicha
persona, junto con los entrevistadores, puede
elaborar un formulario de evaluacin de mutuo
acuerdo que enumere los puntos importantes
del perfil del candidato para cada puesto. El
formulario puede incluir requisitos tcnicos
especficos, adaptacin a la cultura de la empresa,
habilidades de comunicacin y presentacin,
potencial de crecimiento y experiencia relevante.
Cada entrevistador deber abordar todos los
temas pero, a su vez, tendr asignados puntos
especficos que deber profundizar. Este enfoque
facilitar un entendimiento integral de los puntos
(21)
fuertes y dbiles del candidato, lo que garantizar
que la decisin del responsable final sea informa-
da a la hora de presentar un ofrecimiento.
Las compaas deben dedicar su atencin a
seleccionar y capacitar a los entrevistadores.
Los entrevistadores seleccionados deben tener
un claro entendimiento de las funciones y
responsabilidades del puesto, y estar al tanto de la
prioridad de las habilidades requeridas. Asimismo,
todos los entrevistadores deben transmitir un
mensaje coherente acerca de los detalles del
puesto, como la estructura jerrquica, el nombre,
la remuneracin y las responsabilidades.
A su vez, todos deben participar a la hora de
cerrar el trato con el candidato. Esto significa que
todos aquellos que formen parte del proceso
de entrevista deben ser positivos e informativos,
y destacar el potencial de crecimiento del
puesto en cuestin. Los entrevistadores
deben comprender que son la cara visible

del departamento y la compaa, y que, en
consecuencia, la imagen que den influir en gran
medida en el candidato.
Si bien es probable que el gerente de
contratacin se centre en las habilidades tcnicas,
los responsables de RR. HH. deben ayudar a los
entrevistadores a apreciar aquellas habilidades
personales que el candidato pueda transmitir
eficazmente y articular de acuerdo con el valor
de los negocios. Si el profesional de seguridad
de la informacin no es capaz de convertirse
en una influencia positiva para los empleados,
especialmente aquellos que no respondan a
l directamente, los procesos y la tecnologa
no servirn de nada. Solicitar al candidato que
explique un problema de seguridad a una persona
sin conocimientos tcnicos puede ser una forma
de evaluar sus habilidades de comunicacin.
El candidato debe ser capaz de transmitir los
mensajes apropiados a diferentes audiencias
ENTREVISTAS
y adaptar su postura sobre seguridad para
adecuarla a las necesidades y apetitos de riesgo
especficos de la organizacin. Solicite al candidato
que proporcione ejemplos de aquellas situaciones
en que haya hecho uso del sentido comn para
adquirir credibilidad y lograr el consenso.
El liderazgo es otro atributo clave deseado, por
lo que puede ser til solicitar al candidato que
describa una situacin en la que haya demostrado
dicha destreza. Tanto la respuesta como la forma
de responder del candidato sern un reflejo de
sus cualidades de lder. Otra pregunta de entrevista
conveniente puede girar en torno a qu diferencia
al candidato de otros profesionales de seguridad
de la informacin. Una cualidad que debe tenerse
en cuenta incluye cun bien articula un candidato
el efecto que sus esfuerzos han tenido en el xito
o en los resultados finales de la organizacin.
Solicite al candidato que describa un problema
de seguridad especfico y que explique cmo
(22)
 ENTREVISTAS

lo resolvi. El tipo de respuestas que obtenga

definir las caractersticas de un profesional de la
seguridad exitoso:

Demostr comprensin de la raz del problema

antes de implementar la solucin?

Tuvo en cuenta y se anticip al impacto de las

diferentes lneas de accin?

Fue capaz de adaptar la solucin para satisfacer

las necesidades y los apetitos de riesgo de las
operaciones? Cun exitoso fue a la hora de
transmitir los resultados?

Asimismo, indague sobre el material de lectura del

candidato y sobre los sitios web que visita. La segu-
ridad de la informacin es un campo que cambia
constantemente, por lo que debe asegurarse de
que el candidato est bien informado y se man-
tenga al corriente de los ltimos foros y grupos de
discusin, as como de otros sitios del sector.

(23)
 VERIFICACIN DE SEGURIDAD/REFERENCIAS
Verificacin de seguridad/
referencias
Verificar las referencias y los antecedentes es vital
al contratar a un profesional de seguridad de la
informacin debido a que dichos profesionales tienen
mayor acceso a los datos de los empleados, clientes y
propietarios que cualquier otro empleado. Por tanto,
una tica y una honestidad slidas son imprescindibles.
Los referencias profesionales no solamente validan
y verifican la capacidad tcnica de un candidato
a la hora de realizar el trabajo, sino tambin sus
habilidades de comunicacin, personalidad y
conviccin moral. Un candidato que desapruebe una
verificacin de los antecedentes, ya sea por errores
de omisin, afirmaciones errneas o problemas
financieros o legales, representa un gran riesgo, por lo
que se debe tener mucha cautela antes de proceder
con el proceso de contratacin.
Evale la credibilidad del candidato por medio
de la verificacin de las credenciales acadmicas
y profesionales, los antecedentes laborales y las
referencias personales. (ISC)2 ofrece una herramienta
de verificacin de las certificaciones en lnea para los
empleadores que solamente demora unos segundos.
Asimismo, diversas organizaciones que ofrecen
certificaciones genricas, incluida (ISC)2, obligan a
los candidatos a suscribirse a un cdigo de tica
profesional y a una cancelacin de la certificacin por
riesgo en caso de cometer una infraccin.
Examine los informes crediticioscomo una seal de
problemas financieros que puedan impulsar malas
conductas. Algunas de las cuestiones que deben con-
siderarse son un registro derecaudaciones mltiples,
juicios civiles, deudas incobrables, prstamos incobra-
bles, gravmenes impositivos o embargos.
Asegrese de informar al postulante que tiene la
posibilidad de objetar el contenido del informe de
antecedentes si lo estima necesario, ya sea porque la
informacin es inexacta o porque est incompleta.
(24)
 ELABORACIN Y PRESENTACIN DE UN OFRECIMIENTO
Elaboracin y presentacin de un
ofrecimiento
Los departamentos de RR. HH. suelen cometer
el error de asumir que las escalas salariales de los
profesionales de seguridad de la informacin son
iguales que las de los profesionales de TI generales
y, en consecuencia, hacen ofrecimientos por debajo
del valor del mercado que no llegan a buen puerto.
La seguridad de la informacin es un campo donde
las condiciones estn sujetas a cambios constantes,
por lo que es difcil estar actualizado en cuanto a los
conjuntos de habilidades, los perfiles y el valor en el
mercado de los profesionales.
No confe a ciegas en las encuestas sobre sueldos del
sector de la seguridad de la informacin llevadas a
cabo por publicaciones y analistas del sector, ya que,
por lo general, no suelen estar al da con las realida-
des del mercado, por lo que sus clculos son muy
inferiores a los reales a la hora de retener a gran-
des talentos. Tampoco tienen en consideracin las
(25)
habilidades especializadas en demanda, las distintas
regiones geogrficas ni las distintas jerarquas organi-
zacionales para que el ofrecimiento sea competitivo.
Una de las encuestas sobre sueldos ms exactas
figura en el Estudio Global sobre Profesionales de
Seguridad de la Informacin, que entrevista a miles
de profesionales de seguridad de la informacin
de todo el mundo. Se puede descargar en forma
gratuita del sitio web de (ISC)2 en www.isc2.org/
workforcestudy.
Antes de tomar una decisin sobre el ofrecimiento,
asegrese de que el equipo de entrevistadores
realice lo siguiente:
Recopile y analice los criterios de evaluacin.
Est al tanto de la remuneracin total actual del
candidato y sus expectativas.
Evale alternativas de remuneracin creativas.
Nuevamente, todo el equipo debe ser consciente
del tiempo que demora el proceso de contratacin.
 ELABORACIN Y PRESENTACIN DE UN OFRECIMIENTO
Cuanto ms tiempo se demore en realizar el ofreci-
miento, ms probabilidades habr de que el candi-
dato firme para otra compaa, evale nuevamente
su puesto actual, reciba un ascenso o simplemente
pierda inters. Existe una correlacin inversa entre la
cantidad de tiempo que lleva realizar un ofrecimiento
y la cantidad de ofrecimientos aceptados.
Si tiene la oportunidad, sea creativo en el ofrecimien-
to laboral, para ello, incluya una bonificacin o una
comisin relacionada con el desempeo adems del
sueldo base. Es una realidad, tambin, que muchos
profesionales de seguridad de la informacin no sola-
mente se interesan en el sueldo y responden a opor-
tunidades de perfeccionarse, participar en proyectos
innovadores, obtener certificaciones profesionales,
asistir a conferencias, escribir y publicar ensayos, unirse
a asociaciones profesionales, etc. Muchos profesio-
nales aprecian la flexibilidad de crear una red de
contactos con sus colegas, adems de cumplir con los
requisitos del puesto. Gran parte de la creacin de
contactos tambin les brinda experiencia profesional.
Tambin es aconsejable analizar los planes de
sucesin. Analice el crecimiento profesional y
proporcione ejemplos de cmo otros empleados
han tenido un papel ms sobresaliente durante su
ejercicio en la organizacin. Tambin considere la
poltica de la organizacin en cuanto al reintegro
de los honorarios por certificaciones y planes de
estudios, formacin continua, etc.
Al final, el gerente de contratacin, el departamento
de RR. HH. y el reclutador de personal deben co-
ordinar esfuerzos para presentar y realizar la oferta.
La presentacin y la comunicacin son sumamente
importantes a la hora de realizar un ofrecimiento
para retener al candidato deseado. Por lo general,
los profesionales de seguridad de la informacin no
son las estrellas principales pero a menudo reci-
ben cierto grado de atencin de los competidores
debido a sus habilidades especializadas y a la gran
demanda del mercado.
(26)
 RETENCIN

Retencin cual necesitan desafos profesionales por parte del per-

sonal de seguridad de la informacin porque la demanda
Debido a la cantidad de competidores que estn detrs
es muy elevada en el mercado laboral.
de los profesionales de seguridad de la informacin, las
compaas deben adoptar un enfoque ms estratgico y Los profesionales de RR. HH. tambin deben alentar a
favorable hacia la retencin si desean conservar la nueva los empleados de seguridad de la informacin a aprove-
camada de talentos. char las oportunidades de capacitacin y formacin. Las
amenazas y ataques que surjan de aqu en adelante obli-
Realice una progresin profesional formal respecto de
garn a los profesionales de la seguridad a adquirir nue-
los mejores y ms brillantes integrantes de su equipo de
vas habilidades y tcnicas. Al cultivar el talento domstico,
seguridad de la informacin actual. Uno de los atributos
el equipo de RR. HH. entregar a los empleados valiosos
ms exclusivos y ventajosos de trabajar en un departa-
las herramientas necesarias para alcanzar el xito, lo que,
mento de seguridad de la informacin es la exposicin a
en ltima instancia, beneficiar a la organizacin. Adems,
las operaciones, los procesos y las tecnologas en todas
la reputacin de contar con un equipo de seguridad
las actividades de la empresa. Esta exposicin propor-
slido puede contribuir a que la organizacin contrate
ciona un escenario de capacitacin muy favorable para
los mejores candidatos del mercado.
construir los equipos de gestin del futuro.
Permita tambin que el profesional de la seguridad cree
Adems, las trayectorias profesionales definidas ayudarn
vnculos con sus colegas a fin de establecer una red
a garantizar el continuo suministro de sucesores capaces
de contactos con personas externas a la compaa a
de ocupar cualquier puesto importante en el equipo de
quienes pueda consultar en forma pblica o privada para
seguridad. Las organizaciones deben trabajar en pos de
recibir respaldo y asesoramiento.
satisfacer los objetivos profesionales a largo plazo, para lo
(27)
 RECURSOS

Recursos Executive Womens Forum

www.infosecuritywomen.com
AFCEA International
www.afcea.org Information Assurance Professionals Association
(IAPA)
Alta Associates
www.iapa-glc.org
www.altaassociates.com
Information Systems Audit and Control
American Council for Technology (ACT) and
Association (ISACA)
Industry Advisory Council
www.isaca.org
www.actgov.org
Information Systems Security Association (ISSA)
American National Standards Institute (ANSI)
www.issa.org
www.ansi.org
Information Technology Association of America
ASIS International
www.asisonline.org (ITAA)
www.itaa.org
Computer Security Institute
www.gocsi.com International Association of Privacy Professionals
www.privacyassociation.org
The Computing Technology Association
International High Technology Crime Investigation
(CompTIA)
www.comptia.org Association (HTCIA)
www.htcia.org

(28)
 RECURSOS

International Information Systems Forensics SANS Institute

Association (ITFSA) www.sans.org
www.iisfa.org
Security Industry Association
International Information Systems Security www.siaonline.org
Certification Consortium, Inc. [(ISC)2]
www.isc2.org

Internet Security Alliance

www.isalliance.org

National Academic Centers of Excellence

www.nsa.gov/ia/academia/caeiae.cfm

(29)
 Agradecimientos

(ISC) desea extender su agradecimiento por

las invaluables contribuciones de Joyce Brocaglia,
Presidente y Director Ejecutivo de Alta Associates,
Inc. en la realizacin de esta gua. Fundada
en 1986, Alta Associates es una compaa
de seleccin de personal de seguridad de la
informacin muy respetada que ha ayudado a
las empresas globales a construir departamentos
de seguridad de la informacin de clase mundial
durante los ltimos 22 aos. Para obtener ms
informacin, visite www.altaassociates.com.
www.isc2.org/Info_ES