Seguridad

¿Cuándo es el momento adecuado para contratar a un especialista en redes?

La ciberseguridad se ha convertido en una preocupación creciente para las organizaciones. Hoy en día, la mayoría de las organizaciones, independientemente del tamaño, la industria, la ubicación o el estado con fines de lucro o sin fines de lucro, se ven afectadas directa o indirectamente por la ciberseguridad.

A pesar de la creciente importancia del tema en sí, sigue siendo una perogrullada que muchas organizaciones pequeñas (y de hecho algunas medianas) no cuentan con personal especializado en seguridad.

Eso no quiere decir que no haya personas en estas organizaciones trabajando en tareas relacionadas con la seguridad. Pueden tener personal para realizar tareas de seguridad, así como otras funciones, o pueden subcontratar aspectos de seguridad a proveedores de servicios externos. Sin embargo, mientras estas organizaciones están implementando todos los aspectos de la ciberseguridad, están ocurriendo sin una persona designada y responsable que supervise la función.

Esto puede volverse problemático a medida que la organización crece. Por ejemplo, esto puede dar lugar a conversaciones incómodas con los clientes. Podría conducir a posibles resultados de auditoría o, en algunos casos, hacer que la organización no cumpla con los requisitos reglamentarios, o muchas otras consecuencias indeseables.

Para estas organizaciones, la pregunta se convierte en la siguiente: ¿Cuál es el momento adecuado para asignar a alguien la responsabilidad de la seguridad a tiempo completo, o cambiar la responsabilidad para que la supervisión recaiga en un solo líder?

¿Es cuando la organización alcanza cierto umbral de tamaño (por ejemplo, cuando alcanza los 100 empleados)? ¿Es cuando la organización alcanza un cierto ingreso? La respuesta resulta ser más complicada que cualquier regla estricta y rápida. Dicho esto, hay varios factores a considerar que pueden determinar directamente cuándo es el momento adecuado para asignar recursos de tiempo completo.

LEER  El código abierto en GSM podría provocar un caos operativo

¿Por qué nombrar a alguien?

Para obtener una mejor comprensión de este tiempo, es útil evaluar primero el valor que proporciona un trabajador designado. Tiene ventajas en múltiples dimensiones.

Primero, cree responsabilidad al poner a alguien a cargo de la ciberseguridad. Cuando las responsabilidades se asignan a varias personas, o cuando las responsabilidades no están claras, se pueden pasar por alto tareas importantes relacionadas con la seguridad. Designar a alguien sin ambigüedades ayuda a controlar esto.

En segundo lugar, ayuda a resolver los conflictos de intereses. A veces, la debida diligencia de seguridad adecuada significa posponer actividades que de otro modo serían valiosas. Cuando el trabajo de una persona incluye seguridad y otros trabajos en igual grado, puede haber situaciones en las que la persona deba elegir un rol sobre otro.

Por ejemplo, considere una situación en la que alguien es responsable de la seguridad y la implementación de una aplicación empresarial. ¿Qué sucede si, por defectos de software u otras razones, poner en producción una aplicación puede poner en riesgo a la organización?

En este caso, las personas con estas responsabilidades combinadas deben decidir si liberar la aplicación (debido a la función de implementación de la aplicación) o posponer la aplicación (debido a la función de seguridad). Mantener las funciones de seguridad separadas y centralizadas ayudará a evitar que esto suceda.


¿Cómo lo sabes?

El punto es que hay un valor obvio en asignarlo exclusivamente a alguien. En la práctica, sin embargo, a pesar de los beneficios, el tamaño de la organización puede hacer que sea imposible. Por ejemplo, una organización con un solo empleado obviamente no puede asignar a su único empleado a un rol de seguridad de tiempo completo. Si lo hace, probablemente no estará en el negocio por mucho tiempo.

Por otro lado, es ridículo imaginar un gran banco multinacional sin alguien dedicado a la seguridad. Pero, ¿cuándo es apropiada esta transición? No siempre está claro.

Dicho esto, hay situaciones en las que una decisión puede ser más fácil, por ejemplo, cuando un mandato regulatorio, legal o contractual requiere que se asigne a alguien. Por ejemplo, HIPAA requiere específicamente que las organizaciones designen a un oficial de seguridad designado.

Asimismo, PCI DSS incluye lenguaje sobre la asignación de responsabilidades de seguridad. Si bien en ninguno de los casos el estatuto establece explícitamente que estas personas solo son responsables de la seguridad y nada más, el hecho de que el estatuto contenga este lenguaje puede ayudar a reducir la ambigüedad.

Sin embargo, más allá de los requisitos reglamentarios, las expectativas de los clientes también ayudan a impulsar la toma de decisiones. Por ejemplo, si es una organización que atiende a clientes preocupados por la seguridad, la asignación de una persona centrada en la seguridad puede ayudar a cumplir con las expectativas del cliente, proporcionar un punto de contacto central para los problemas relacionados con la seguridad del cliente y, de lo contrario, agilizar el proceso de entrega de servicios y ventas.

En última instancia, la decisión de cuándo contratar a un profesional variará según una serie de factores específicos de la organización. Dicho esto, una métrica útil a considerar al evaluar esta decisión es una función de dos factores: el tiempo del empleado y el riesgo organizacional.

Desde la perspectiva de la utilización del tiempo, cuando una organización llega a una tarea de seguridad urgente o muy urgente que los empleados han tenido que posponer debido a otros compromisos o plazos, es un momento útil para considerar la asignación de profesionales. Esto significa que si está posponiendo algo importante para proteger su organización debido a que algo más está pasando con sus empleados, eso debería ser una señal de advertencia de que podría ser hora de cambiar la responsabilidad.

Por supuesto, esto significa que primero sabe qué tareas relacionadas con la seguridad existen. También es una posible señal de advertencia si no lo hace. Puede considerar hacer un ejercicio a corto plazo para evaluar los puntos débiles de seguridad de su organización, ya sea para liberar tiempo para que los empleados existentes realicen la evaluación (si tienen las habilidades), o para trabajar con un asesor de confianza que pueda ayudarlo a descubrir cuántas tareas son el impacto potencial de esto.

De cualquier manera, tenga en cuenta que contratar a un especialista en seguridad cibernética puede ser más difícil que contratar para otros puestos de tecnología avanzada. Encontrar el ajuste adecuado puede llevar mucho tiempo, a veces lleva seis meses o más encontrar el conjunto de habilidades adecuado en el campo adecuado.

Esto significa que, idealmente, comenzará el proceso de búsqueda meses antes de que realmente necesite ese recurso. Es útil tener esto en cuenta para que no se atasque cuando el tiempo para cubrir el puesto se vuelve apretado.


Las opiniones expresadas en este artículo son únicamente del autor y no reflejan necesariamente las de ECT News Network.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba