Como
cualquier otra área corporativa, la de seguridad informática no es ajena a contar
con una estrategia de crecimiento y capacitación para el personal que la
integra. Hasta aquí suena “obvio” que debe de contar con dicha estrategia, el
problema es por dónde empezar.
Lo
primero es desarrollar algún tipo de lista de requerimientos técnicos y no
técnicos que debe de ir acumulando el personal a lo largo de su carrera de
seguridad informática. También la estrategia debe de ser lo suficientemente
flexible para poder ubicar a un nuevo empleado que acaba de salir de la carrera
universitaria, a uno que tiene una Maestría o a otro que ya tiene años de
experiencia en el ramo y sus posibles combinaciones.
Claro está, no puedes
"tratar" igual a todas las personas que ingresan y debemos acomodarla
en la ubicación correcta en el “plan de formación” que le permita seguir
superándose profesionalmente. Hay que evitar que se aburra yendo por ejemplo a
un curso “porque ya se sabe el tema”; no le conviene ni a la persona ni a la
empresa.
El
plan de formación debe de partir de un tronco común, donde la idea es que todos
los integrantes tengan bases sólidas primero, para luego poder ir aspirando a
alcanzar diferentes “ramas” de especialización dependiendo de sus intereses y
de los del área (por ejemplo, los próximos proyectos en los que estará envuelto
en el corto-mediano plazo).
Algunos
ejemplos de requisitos en un tronco común pueden ser: un diplomado, una
certificación como la reconocida CISSP (Certified
Information Systems Security Professional), algunos cursos básicos del
instituto SANS o la certificación de hackeo ético CEH (Certified Ethical Hacker). No pretendo hacer un listado exhaustivo
de lo que debe de contener el tronco común, sino dar algunos ejemplos para dar
la idea de lo que tengo en mente.
Una
vez armado el tronco común, vamos a las “ramas” de especialización. Las ramas
especializadas deben estar orientadas a ser retadoras y que guarde relación con
las labores del empleado en el área.
Por
ejemplo, una persona que haya cumplido con el tronco común (o que no lo
requiera por su perfil avanzado al ingresar al área) y que el interés es que
conozca de desarrollo seguro, tendrá que transitar por la rama especializada de
desarrollo seguro que debe marcar los cursos y certificaciones a buscar.
De
igual manera esta rama si bien será especializada, iniciará con cursos
“básicos” de la rama, en este caso de desarrollo seguro, y posteriormente irá
cumpliendo con capacitación de programación segura cada vez más avanzada.
Ahora,
no todo en seguridad informática debe forzosamente ser técnico. También el plan
de formación debería de considerar tener cursos no técnicos, como por ejemplo
de habilidades gerenciales o equivalentes. Si bien es muy útil un recurso con
capacidades técnicas fuertes, nos hará pasar malos momentos si no sabe exponer
un tema a la alta gerencia, o a los altos jefes de otras áreas no técnicas que
no dominan ni la TI y menos la seguridad informática.
Este otro tipo de cursos
también están orientados a preparar a la gente para cumplir con puestos superiores
en la jerarquía donde deberán también conocer temas por ejemplo presupuestales,
de redacción (¡que tanta falta hace!) y exposición de temas de manera ejecutiva
y una adecuada articulación de ideas, junto con la administración de personal a
su cargo, entre otros.
El
cumplimiento de estos requerimientos del plan de formación en materia de cursos
y certificaciones podría volverse inclusive un tema tan relevante como para
tomarlo en cuenta para ascensos o bonos.
¿Existe
una posición abierta de nivel gerencial? Tomemos en cuenta también los cursos y
certificaciones obtenidas tanto de la parte técnica como la gerencial, la
cantidad que haya logrado acumular por año, la suma de certificaciones no
obtenidas y demás datos para incluirlo como una parte importante del proceso de
elección.
¿Existe
la posibilidad de un bono? No solo observemos el desempeño mostrado, sino
cursos y certificaciones exitosamente logradas en el periodo para incorporarlo
como un paso del proceso de selección de asignación del premio.
En
conclusión, un plan de formación tiene varias ventajas. Una es que los
integrantes tengan claro “el camino” a seguir en su vida profesional y que no
estén cada año pensando qué cursos tomar y que al final los seleccionen porque
“se escuchan interesantes”. Otra es que el plan orienta a que la gente se
capacite en lo que es de interés del área y evitar que el responsable de la
gestión de antimalware vaya a cursos de administración de la seguridad tipo
27001.
Lo anterior beneficia a la corporación para tener gente especializada en
sus labores del día a día. Y seguir el plan de formación dará motivación a la
gente a seguirlo porque sabe que sus logros serán tomados en cuenta para bonos,
ascensos, etc. dentro de la empresa.
Sin mencionar que los alentará a seguir en
el corporativo porque saben que su profesionalización continuará y también de
qué forma lo hará. Recordemos que no solo los aumentos salariales motivan a la
gente, sino entre otras cuestiones, la capacitación que reciban porque esa es
suya y se la llevarán por los años que les resta de vida profesional en la
organización donde vayan a estar laborando.