sábado, 1 de junio de 2013

Quiero ser Consultor de Seguridad

He pasado la mayor parte de mi carrera profesional dedicándome a la consultoría de seguridad de la información. La verdad es que llegué a este mundillo más por casualidad que por auténtica vocación, aunque ahora me cueste imaginarme dedicándome a otra cosa!

Y es que es difícil despertarse un día siendo un adolescente y pensar, ¡Quiero ser un consultor de seguridad! Futbolista, abogado, periodista, actor, programador, diseñador, arquitecto o incluso Hacker... quizá. Pero no Consultor de Seguridad. Y es que la mayoría de la gente que no trabaja directamente en este sector (incluso algunos que sí lo hacen) ignora a qué nos dedicamos.

Así pues, quiero empezar este post por explicar, según mi punto de vista...

En qué consiste ser Consultor de Seguridad

Dentro del ámbito de la consultoría de seguridad existen multitud de tipologías de proyectos diferentes que pueden llevarse a cabo. A saber:

  • Proyectos relacionados con la Gestión de la seguridad: Implantaciones o auditorías de ISO27001, de Esquema Nacional de Seguridad en el caso de administraciones públicas, análisis de riesgos, planes directores de seguridad, etc...
  • Proyectos relacionados con la continuidad de negocio: Implantación o auditorías de sistemas de gestión de la continuidad de negocio, definición o auditorías de planes de continuidad de negocio, planes de contingencia y recuperación ante desastres, etc
  • Proyectos relacionados con el cumplimiento normativo: proyectos relacionados con la LOPD, Firma Electrónica, la LSSI, con PCI DSS, con la SOX, las HIPAA,etc
  • Proyectos de desarrollo normativo: Políticas de seguridad, normativas de seguridad, procedimientos de seguridad, procedimientos de gestión de incidentes de seguridad, etc..
  • Otros proyectos: Proyectos de PKI, asesoramiento en materia de seguridad, formaciones, planes de concienciación, etc...

¿Por qué dedicarse a la Consultoría de Seguridad?

Pues podría dar multitud de razones, pero quizá la principal para alguien que ahora esté empezando su carrera profesional sea que este es uno de los pocos sectores que aún siguen creciendo y generando trabajo a buen ritmo. Y esto por si sólo y con la que está cayendo ya es una razón de peso.

Por otro lado, se puede conseguir un nivel salarial aceptable a los pocos años de experiencia. Para ilustrarlo, voy a indicar a continuación una tabla para reflejar salario bruto anual vs años de experiencia. Cójase con pinzas, ya que puede variar tremendamente en función de la ciudad, el empleador, la valía, la capacidad de negociación y la suerte de cada cual. Además, no hay que perder de vista que los sueldos en general y por desgracia están en un proceso de retroceso:
  • de 0 a 2 años de experiencia; 18.000€ a 24.000€
  • 2 a 3 años de experiencia; 24.000€ a 30.000€
  • 4 a 5 años de experiencia; 30.000€ a 40.000€
  • + 5 años de experiencia; 36.000€ a 44.000€ (o incluso más si te contrata una empresa extranjera...)

Pero además, como hemos visto en la sección anterior, es una profesión que te permite adquirir conocimientos multidisciplinares, colaborar con grandes empresas y vivir en carnes propias el vertiginoso avance de las tecnologías relacionadas con la seguridad.


El Perfil del buen Consultor de Seguridad de la Información

La característica principal de un buen consultor ha de ser (en mi opinión) su capacidad para entender una determinada problemática, analizarla y obtener conclusiones óptimas para solucionarla, siendo capaz de exponerlas y defenderlas de una manera inteligible, coherente y justificada.

Por ello, el consultor de seguridad debe disponer de, al menos, las siguientes aptitudes y habilidades:
  • Escucha activa.
  • Capacidad de análisis.
  • Empatía.
  • Capacidad de síntesis.
  • Excelente expresión escrita.
  • Capacidad para negociar con los clientes.
  • Capacidad para realizar presentaciones eficaces.
  • Buen gestor del tiempo.
  • Capacidad e interés en la auto-formación continua.

Se puede llegar a la consultoría de seguridad desde estudios tecnológicos (Informática, Telecos...) o incluso desde otros tipos de estudios (conozco a consultores con formación en Derecho, Económicas, etc.) aunque siempre contando un buen complemento de formación y experiencia tecnológicos.

Por otro lado, en cuanto a las principales certificaciones profesionales que pueden ser de utilidad en esta profesión son las siguientes:
  • Lead Auditor en ISO27001 (Imprescindible).
  • Certificaciones de ISACA como CISA o CISM.
  • Certificación CISSP.
  • Lead Auditor en ISO22301.
  • Certificaciones técnicas de seguridad de SANS.
  • Certificaciones en privacidad de datos.


No hay comentarios: