Seguridad de la Información: Una profesión multidisciplinar y con futuro

Dentro del campo profesional de la Seguridad de la Información se distinguen diferentes perfiles como el de Auditor, Consultor, Perito informático, CISO o DPO, entre otros. Todos ellos son muy valorados por las empresas en la actualidad.

Pero las grandes ventajas de la digitalización son también uno de sus mayores riesgos, especialmente en lo relativo a la accesibilidad y densidad de la información.

Antes, cuando perdías un papel, lo más probable es que acabase en el basurero en poco tiempo. Ahora, si pierdes un fichero en Internet, este puede contener una cantidad inmensa de información que estará accesible para miles de millones de personas y de sistemas automatizados, pudiendo ser visualizada, leída, replicada, modificada y compartida en cuestión de segundos o minutos, de forma irreversible y sin limitaciones temporales ni geográficas.

Además, los sistemas encargados de proteger la confidencialidad, integridad y disponibilidad de la información, en general, son vulnerables. Tanto, que se hizo famosa la cita del Profesor Spaf:

“El único sistema realmente seguro es el que está apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada de alambradas y guardias armados… e incluso así tengo mis dudas”.

Conscientes de este problema, administraciones de todo el mundo cada día exigen más seguridad a empresas y otras entidades que manejan información sensible, por ejemplo a través de normativas de protección de datos, normativas de seguridad específica o sectorial, o estándares internacionales de seguridad.

Por lo tanto, no debe pensarse que la seguridad de la información sólo es una profesión para informáticos. Es una profesión que abarca un gran abanico de perfiles y cuya demanda está en constante crecimiento.

A continuación, se analizarán cuáles son las titulaciones académicas más adecuadas para trabajar en Seguridad de la Información y en qué consisten los principales perfiles profesionales que han surgido en este ámbito. A continuación, se enumerarán los cursos de especialización y certificaciones más valoradas y por último el apartado sobre demanda de empleo y salarios pondrá el broche final a este artículo.

Perfiles idóneos para profesiones relacionadas con seguridad de la información

Ingeniería de telecomunicaciones

• Ingenieros y técnicos informáticos o telecomunicaciones

  Las tecnologías que se emplean en las compañías están en constante cambio, por ello son necesarios este tipo de perfiles expertos en cada uno de las mismas para poder gestionar la seguridad de la información de la parte técnica. Casi a diario en todas las tecnologías con las que trabaja una empresa (tanto en lo referente a sistemas, como a aplicaciones, redes, etc) se descubren nuevas vulnerabilidades, por lo que se necesitan profesionales que entren dentro del proceso de securización de las mismas en cada ámbito. Este tipo de perfiles son de vital importancia tanto en el descubrimiento, como en la explotación o como en la mitigación de las vulnerabilidades y los posibles riesgos asociados a las mismas, siendo figuras fundamentales en todas las empresas.

• Abogados

  El marco regulatorio de la protección de la información está en constante cambio.Una parte importante de esta regulación es la Protección de Datos Personales que, además de velar por la seguridad de los datos personales, protege un derecho fundamental de los ciudadanos. Pero no todo es protección de datos. También existen normativas específicas que deben tenerse en cuenta en sectores regulados como la Banca, las Telecomunicaciones o las Administraciones Públicas. Las empresas necesitan juristas con conocimientos tecnológicos capaces de traducir las normas y hacerlas inteligibles para los técnicos que deben implementar las medidas exigidas.

Otros perfiles clave

Hay personas que, independientemente de su formación o carrera profesional, pueden llegar a desempeñar una importante labor en el mundo de la seguridad de la información. Por ejemplo, hay personas muy sistemáticas y muy organizadas que resultan adecuadas para la elaboración y verificación de procedimientos y normas en las empresas, un aspecto vital en lo relativo a la gestión de la seguridad de la información.

• Auditores de seguridad

  Son profesionales encargados de verificar la seguridad de los sistemas, aplicaciones, redes o todo tipo de tecnologías que usen las empresas. Para ello se utilizan distintas técnicas englobadas bajo el término “Hacking ético”, mediante las cuales se simulan posibles ataques a los diferentes sistemas informáticos de las empresas con el fin de poder informar a la dirección de la compañía del nivel de seguridad en cuanto a la tecnología se refiere. La manera en la que se explotan estos ataques se conoce como vulnerabilidad, por lo que el auditor de seguridad se dedica a descubrir las mismas y reportarlas para que se puedan solventar de la mejor manera posible.

• Perito informático forense

  Es un perfil encargado de extraer toda la información posible de los diferentes sistemas tecnológicos con el fin de usarla como evidencia para resolver algún tipo de conflicto. Las evidencias que manejan este tipo de perfiles pueden ser usados como pruebas para juicios o para mantener la seguridad de una empresa (evitando espionajes, fraudes, robos de información, manipulación de datos y programas, etc.,) que pueden ocasionar grandes pérdidas en las mismas. En definitiva un experto en seguridad informática.

• Consultores de seguridad

  Este tipo de perfil es quizá el menos especializado individualmente y el que previsiblemente tenga más conocimientos globales, si se compara con los anteriores, ya que los consultores de seguridad son los encargados de definir la estrategia de seguridad de las compañías en diferentes ámbitos. Su principal cometido es asesorar sobre cuál es la forma más segura de realizar una acción en una compañía bien sea desde el punto de vista técnico, de gestión o ambos.

Alguno de los perfiles que se pueden incluir en esta categoría pueden ser perfiles mixtos con cualquiera de los puntos de la presente clasificación. Por ejemplo, un perfil mixto Auditor/Consultor, podría llevar a cabo las labores de auditoria y además aconsejar e implantar las medidas oportunas para poder resolver las vulnerabilidades detectadas.

• Consultor legal

  Ya sea interno o externo, el consultor legal hará de enlace entre los requisitos de la norma y los departamentos de la empresa afectados por la misma (TI, RRHH, Marketing, Negocio, etc.). Su función principal es la de explicar los requisitos legales en un lenguaje comprensible para los departamentos a los que se dirige y valorar si las propuestas de dichos departamentos encajan dentro de las exigencias de la norma. En caso de que las propuestas de los departamentos afectados no cumplan con los requisitos de la norma, el consultor legal puede tener como función informar de ello a los responsables de la toma de decisiones, especificando el riesgo legal al que se enfrenta la empresa y ofreciendo opciones para minimizarlo. Por todo lo anterior, no basta con que sea una persona con profundo conocimiento de las leyes que afectan a empresa en materia de seguridad, sino que debe tener aptitudes y conocimientos tecnológicos para saber procesar y traducir la información que recibe de las normas por un lado y de los departamentos de la empresa por otro.

• Docentes y formadores

  Auditores y consultores (legales o de seguridad) pueden ser también estupendos docentes y transmisores de conocimiento, ya que la experiencia diaria confiere a estos profesionales una base de conocimiento que no puede adquirirse de ninguna otra forma. A medida que desarrollen capacidades comunicativas serán capaces de transmitir una parte de su conocimiento que podrá servir de base a futuros profesionales o para sensibilizar a los usuarios de los sistemas de información para concienciarles en la importancia de la seguridad de la información. De hecho, la labor de concienciación es fundamental en todo proyecto de seguridad de la información, ya que, como suele decirse, el usuario es el eslabón más débil de la cadena de seguridad.

Responsables

• CISO

  El CISO (Chief Information Security Officer) es el responsable de seguridad de la información de una empresa.Su perfil debe ser tecnológico, por ejemplo, Ingeniero de Informática o Telecomunicaciones y su función principal será la de garantizar la seguridad de los sistemas de información, el cumplimiento de las normativas internas de seguridad y la continuidad del negocio.

• DPO

  La figura del Delegado de Protección de Datos (DPO por sus siglas en inglés: Data Protection Officer) ha sido introducida en España por el Reglamento General de Protección de Datos. Se trata de una figura con responsabilidades y funciones específicas dirigidas a garantizar el cumplimiento de la protección de datos en la empresa, haciendo de nexo con los ciudadanos y con la Agencia Española de Protección de Datos. Su posición en la empresa es elevada, ya que sólo debe responder ante el nivel jerárquico más alto de la compañía y debe tener autoridad ejecutiva dentro de la empresa. Para ejercer como DPO no se requiere ninguna titulación específica, pero debe ser designado de acuerdo a sus cualidades profesionales y tener conocimientos especializados en Derecho y Protección de Datos. Es una profesión con gran proyección de futuro y que además está protegida por la propia norma, ya que el DPO no puede ser despedido por cumplir con sus funciones.

Cursos de especialización y certificaciones

Máster en Seguridad de la Información

Aunque son especialidades muy concretas, las profesiones relacionadas con la Seguridad de la Información, no responden a una formación estanca.

Un master o curso general de Seguridad de la Información requerirá profundizar posteriormente en la materia en la que se va a trabajar.

Por su parte, los cursos de especialización tratan materias muy concretas, por lo que suelen ser necesarios varios cursos que toquen diversas materias para tener una buena capacitación profesional para trabajar en este sector. Por ejemplo:

• Cursos de Hacking Ético

• Cursos de ITIL ®

• Cursos de Informática Forense

• Cursos de Seguridad en Entornos Cloud

• Cursos de Desarrollo y Programación Segura

• Cursos de Implantación y/o Auditoría de Normativas (ISO 27001, ISO 22301, ISO 20000, ENS, PCI-DSS, SOX, Experto en Protección de Datos, etc.)

• Curso de Análisis y Gestión de Riesgos

• Etc.

Además, es un sector en el que se valoran mucho las titulaciones emitidas por entidades de certificación que implican un reconocimiento internacional de las competencias del alumno. Existen multitud de certificaciones en materia de seguridad, como por ejemplo:

• Lead Auditor (Auditor Jefe) de distintas normas ISO

• CISA (Certificación para auditores de sistemas de información)

• CISM (Certificación para gestores de seguridad de la información)

• CGEIT (Certificación para gestores de la gobernanza empresarial de TI)

• CISSP (Certificado de Sistemas de Información de Seguridad Profesional)

• Etc.

Para obtener estas certificaciones, previamente es conveniente haber realizado algún curso de especialización dirigido a obtener dicha certificación.

Demanda de empleo y salarios

La demanda de empleo en el sector es constante y a medida que avance la conciencia de la necesidad de estos profesionales, mayor será su demanda y menos vulnerables serán ante las crisis económicas. Sin ir más lejos, empresas especializadas, como Áudea (www.audea.com) con 15 años de experiencia en el sector, han tenido que crear un departamento especializado en gestionar la demanda de perfiles por parte de grandes compañías.

En cuanto a los salarios, dependerán de diversas variables, como por ejemplo la titulación, las certificaciones, la experiencia profesional, si se trabaja para una consultora o un cliente final y, por supuesto, del nivel del profesional.

Para perfiles “bajos”, es poco frecuente encontrar ofertas inferiores a 18.000 euros brutos al año y los salarios más habituales para profesionales con varios años de experiencia pueden estabilizarse entorno a los 30.000 – 60.000 euros.

Por su parte, los perfiles altos pueden aproximarse o superar los 100.000 euros brutos al año.

En conclusión, los especialistas en Seguridad de la Información tienen garantizado un futuro profesional cuyos límites aún no se conocen.

• Acerca de
• Últimas entradas

Javier Lorente Murillo

CEO en Ribanet Consultores SL

Técnico Superior en Administración de Sistemas Informáticos. Ganador de la olimpiada matemática del IES ETI de Tudela (Navarra). Especializado en SEO desde finales de los 90. Embajador de herramientas SEO como Sistrix u OnCrawl. Curso Superior en Big Data por la Cámara de Comercio de Madrid. Profesor en The Valley Digital Business School. Miembro del comité de inversión en startups de Civeta Investments. Ex Grupo PRISA. Ex HMG (Mío Group). Ahora freelance.

Últimas entradas de Javier Lorente Murillo (ver todo)

• Código promocional Wible - 21/03/2023
• Código amigo HolaLuz: Y2I7CG – 50€ de descuento - 20/02/2023
• Mi opinión sobre Wible - 24/01/2023