El perfil de security advisor o asesor en seguridad ha ido cobrando importancia en el ámbito de la ciberseguridad. Las empresas atesoran una gran cantidad de información. Las vías por las que esta se amplía se han multiplicado y el alojamiento se ubica cada vez más en la nube. Todo ello incrementa los riesgos. ¿Quieres saber cómo ayuda a minimizarlos un security advisor y qué hay que hacer para introducirse en esta profesión?

Dentro de la rama de la ciberseguridad hay otros perfiles igualmente prometedores. A veces resulta un poco complejo entender los cometidos de unos y otros. La persona que se dedica al asesoramiento en seguridad está dando respuesta a una necesidad muy concreta por parte de las empresas.

Tal como dice Elisa Vivancos, security advisor en S2 Group, “la seguridad total no existe”. Las compañías deben invertir en lo que más daño puede producirles y dejar en segundo plano otros frentes. Una empresa puede tener necesidades distintas a la otra. Y aquí es donde entra en juego el papel de security advisor, pues es quien aconseja las prioridades en función de los intereses de una entidad.

Qué hace un security advisor

El día a día y funciones de un security advisor

La primera tarea de un security advisor es conocer la empresa. Por lo general, comenzará elaborando un listado con los activos de información que hay en ella (sistemas, documentos, etc.). Después los evalúa y determina la importancia que tiene cada uno dentro de los intereses de la compañía. Las conclusiones de esta fase serán la guía de hacia donde debe encaminar su actuación.

Entre sus principales funciones se encuentran las siguientes:

  • Gestionan los riesgos que puede sufrir una compañía.
  • Emiten diagnósticos de seguridad. Una se sus misiones consiste en controlar los accesos. Estos se han multiplicado con el desarrollo del e-comerce, internet de las cosas, el cloud, las redes sociales o el uso de dispositivos móviles, entre otras muchas prácticas.
  • Resuelven las incidencias que se van produciendo. Que una empresa pase por un ciberataque que desestabilice por completo su estructura no es lo más habitual. La cotidianidad está en resolver los pequeños conflictos del día a día.
  • Diseñan planes de gestión de emergencias. Por un lado, idean la implantación de soluciones de seguridad. Por otro, elaboran un protocolo a seguir para recuperarse de un ciberataque.
  • Diseñan también planes de seguridad de la información. Se aseguran, además, de que los procedimientos garantizan el cumplimiento legal y normativo.
  • Hacen campaña de concienciación dentro de la empresa para evitar incidentes. Esto minimiza muchas fallas de seguridad.

Condiciones laborales del security advisor

La complejidad de la organización va a determinar que este tipo de experto en seguridad se ubique en un lugar u otro. Muchas veces, se trabaja como personal cedido por el proveedor de servicios de la empresa. En ocasiones, los asesores en seguridad se encuentran dentro de los departamentos de seguridad integrada. Es decir, aquella que combina la seguridad física con la digital.

El rango salarial de un security advisor va en función de su formación y experiencia. Uno de los factores decisivos es la especialización en el sector para el que trabaja. En conjunto, el sueldo podría abarcar desde los 30.000 hasta los 60.000 euros anuales.

Formación y aptitudes para ser security advisor

Por lo general, los profesionales que se dedican al asesoramiento en seguridad de datos poseen titulaciones técnicas, como Ingeniería Informática, Ingeniería Industrial e Ingeniería de Telecomunicaciones.

La especialización a través de máster y cursos de posgrado es un punto a favor muy importante. Las áreas más apropiadas son la de gestión de riesgos corporativos y reputacionales y la de seguridad de la información o continuidad de negocio. Algunas de las certificaciones técnicas que más se demandan en las ofertas de empleo de este perfil profesional son las siguientes: CISP, HE, CISA, CISSP, CISM, o CEH, CRISC.

Es preciso estar al día de las tecnologías que permitan proteger sistemas de información, así como evitar y gestionar incidentes. Para ello conviene adquirir conocimientos en auditorías, pentesting, gestión de accesos, antimalware, contafuegos, IPS, SIEM, entre otros. Por otro lado, se precisa dominar la legislación en materia de seguridad.

Con respecto a las habilidades, Elisa Vivancos hace una puntualización muy instructiva. Hay que ser capaz de “poder observar la organización de una forma global, desde una perspectiva no solo tecnológica, sino también de negocio y humana”. Es esencial tener una visión amplia, no reducida a los aspectos tecnológicos de la seguridad, sino también de la organización, su estructura, su entorno y su modelo de negocio, entre otros aspectos.