‘Gestión de los pibes de seguridad’ en #SegurInfo2015

Comparto algunas notas tomadas de la charla brindada por  Julio Ardita (CTO, Cybsec)Marcos Jaimovich (Subgerente de Seguridad Informatica Regional de Cencosud) Diego Hernán Layño (Responsable Seguridad de la Información, OSDE ) Fernando Bruzzese (Gerente Seguridad de la Información , Banco Supervielle)

En esta charla se planteo la temática de como abordar el liderazgo y administración de los empleados del área de seguridad informática. Julio Ardita actuo como moredador de la charla, recalcando la importancia del correcto gerenciamiento del sector de seguridad informática, explicando que los lideres de estos equipos son análogos a los DT en el fútbol.

pibessec

Las preguntas mas interesantes:

Cómo están conformados los equipos?

Jaimovich de Cencosud comento que están divididos en los siguientes grupos:

  1. Gestion de Accesos
  2. Embajadores de seguridad en cada  proyecto
  3. Gestión de las Normativas de Financiación

En particular, la gestión de acceso esta tercerizada, ya que debido a que las características del trabajo (poco desafiante, rutinario y básico) la rotación de personas en dichos perfiles es alta y creyeron conveniente delegarlo en otra empresa que tenga una mejor administración de dicha rotación.

Layño de Osde concordó con Jaimovich y comento que también tiene 3 grupos principales los cuales son:

  1. ABM
  2. Especialistas
  3. Operativo, funcional y Arquitectura

De igual manera que en Cencosud, Osde terceriza la gestión de acceso (ABM), por el mismo problema de rotación de los RRHH. Por otra parte Layño recalco que con respecto a los ‘Especialistas’, es decir aquellos perfiles especifícos, tienen una política de ‘dejarlos hacer’, es decir darles libertad para que puedan aportar su punto de vista y desarrollen o implementen según crean necesario.

Bruzzese del Banco Superville coincidió en la división de los grupos:

  1. ABM
  2. Control y Monitoreo
  3. Infraestructura

Pero a diferencia de los anteriores, dijo que no tercerizaban la gestión del acceso, ya que para apalear las condiciones negativas del tipo de trabajo (rutinario principalmente) y viendo que el ABM es ‘la vidriera’ del equipo de seguridad informática, decidieron proponer distintos desafíos a sus empleados con el fin de mantener la motivación.

Como evalúan los perfiles a la hora de la selección?

Jaimovich recalco la necesidad de responsabilidad, ser capaces de ver el ‘mapa del problema’ (generalistas), y capacidad de manejar la frustración, ya que muchas veces tienen que saber decir que no a ciertas cosas para defender la seguridad en la implementación de un projecto. Layño recalco la necesidad del trabajo en equipo en detrimento de los ‘gurues’, y la capacidad de comunicar los problemas con analogías, dada la necesidad de explicar cuestiones técnicas complejas a la cadena de mando que desconoce el tema. Bruzzese por su parte volvió a resaltar la responsabilidad y la confiabilidad necesaria por la criticidad del trabajo, y señalo como estrategia el incorporar mujeres, dado su mejor capacidad a la hora de relacionarse y comunicarse con otros sectores o con el cliente. Además diferenció a los generalistas de los técnicos especializados, ya que ambos son necesarios en determinados lugares, pero hay escasez de técnicos especializados.

Como tratan el paso de técnico a ‘jefe’?

Cencosud, comento Jaimovich, desarrolló la carrera técnica en paralelo con la gerencial, de modo que no existe sólo un camino para el desarrollo laboral (el del management) si no que el técnico puede seguir siendo técnico si así lo desea y aún así progresar laboralmente. De esta forma quienes quieren y se capacitan pueden pasar a ser jefes, pero sólo por gusto y no por necesidad. En esto coincidieron tanto Layño como Bruzzese recalcando que si se hacía se hacía por gusto.

Algunas conclusiones propias:

Me llamo la atención como tanto Cencosud. como Osde delegaron en otras empresas el ABM de sus usuarios, ya que si bien el problema de la rotación por falta de desafío es un problema muy importante, también lo es la criticidad del trabajo. En este caso Superville enfrentó el problema de manera más audaz y creo que tanto empleados como empresa han salido beneficiados.

Por otro lado, quiero recalcar la política de Osde de ‘dejar hacer’, la cual parece haberles dado un buen resultado. De esta manera los empleados se sienten mas útiles y la empresa recibe más productividad de sus empleados.

Finalmente un poroto más para superville que incorporó como estrategia contratar mujeres en un sector tan dominados por hombres.

~have fun

One thought on “‘Gestión de los pibes de seguridad’ en #SegurInfo2015

Leave a Reply