La demanda de especialistas en Seguridad Informática (SI) crece de manera exponencial, a medida que las organizaciones automatizan procesos, implementan proyectos de transformación digital, realizan comercio electrónico y cumplen con las regulaciones de privacidad y almacenamiento de datos.
Según Diego Taich, director de PwC Argentina, "la escasez de talentos en seguridad informática es mundial". Se agravó hace diez años, cuando los ciberataques pasaron a ser más sofisticados y se multiplicaron tanto las organizaciones delictivas como los blancos de esos ataques, que incluyen desde sistemas industriales, gasoductos y bancos hasta los gobiernos.
En virtud de ello, Taich considera que estos perfiles "deben estar cada vez más especializados y tener una rápida capacidad de incorporar habilidades y conocimientos".
"Los candidatos en el mercado son relativamente pocos. La mayoría trabaja en firmas de consultoría o bien comenzaron su carrera en ese tipo de empresas. A veces es difícil convencerlos de que hagan un cambio laboral, un desafío que varía según el tipo de compañía, el proyecto y el rango salarial", coincide Stefan Maerker, director de la División Retail & IT de Michael Page.
Aunque "lo que más se valora es la trayectoria, en el mercado se pide mucho que conozcan algunas normativas, como la SOX y la ISO 27.000", agrega Maerker.
En cuanto al rango salarial, por un puesto de jefatura de SI con responsabilidad regional el mercado convalida remuneraciones de hasta $160.000 mensuales. En tanto, para una posición similar pero con alcance local esa cifra disminuye a $130.000.
Un encuesta salarial de Adecco, con datos a marzo de 2019, consigna que un analista de seguridad informática de una empresa grande de Buenos Aires percibe $113.000 por mes, mientras que en una firma de similar envergadura pero ubicada en la Patagonia, dicho monto se eleva a $153.000.
Por su parte, un jefe de SI de una empresa grande de Buenos Aires recibe mensualmente cerca de $132.000. En una firma similar, pero emplazada en la región de Cuyo, esa referencia decrece a $108.000.
Mediana y grandes
La demanda de estos perfiles se origina en firmas de tamaño mediano y grande. "Algunas deben cumplir regulaciones del mercado, otras quieren profesionalizar sus prácticas o están por salir a cotizar en Bolsa. Ante estos requerimientos, se proponen incorporar un responsable de la seguridad, que antes tal vez brindaba una consultora como servicio tercerizado", explica Maerker, de Michael Page.
De acuerdo con Daniel Nocella, gerente de Seguridad Informática del Banco de Inversión y Comercio Exterior (BICE), "las industrias reguladas son las que más necesitan expertos en seguridad informática". Destaca al sector financiero (supervisado por el Banco Central) y al mercado de seguros (regulado por la Superintendencia de Seguros de la Nación).
Nocella agrega: "Cuando se sancionó la ley Protección de Datos Personales, que estuvo acompañada con la creación de la Dirección Nacional de Datos Personales, ninguna industria quedó exenta, al menos, de ser auditada por dicho organismo -para la protección de los clientes- a fin de evitar que información sensible sea divulgada".
Una visión similar aporta Nicolás Ramos, director de Cybersecurity, de EY: "La tecnología informática es el motor que hoy dinamiza los servicios de compañías, y todos los procesos están pasando a ser digitales", señala
"Las empresas de consumo masivo que realizan su fabricación en base a digitalizados y automatizados; la transición del comercio tradicional al e-commerce; y entes de Gobierno, que vuelcan a Internet una gran cantidad de trámites y servicios que pueden realizarse online", ejemplifica.
El directivo de EY destaca cuatro tipos de proyectos en los que pueden involucrarse los profesionales de SI:
- Privacidad y protección de los datos personales y de las empresas
- Plan de recuperación de datos y de continuidad de negocios
- Protección ante ciberataques
- Cumplimiento de regulaciones y normativas
Demanda segura
¿Cuáles son los perfiles más buscados en el sector? Nocella destaca que los más solicitados son el de CISO (Chief Information Security Officer o gerente de Seguridad de la Información) y analista de Seguridad.
En el primer caso, se trata de un rol "más ejecutivo que técnico. Sus responsabilidades principales son las de integrar la seguridad de la información con los objetivos estratégicos de las compañías y la supervisión del cumplimiento normativo", apunta.
A su vez, los analistas de Seguridad –plantea Nocella– tienen como misión "administrar, analizar y aplicar las políticas de seguridad informática de las empresas para proteger los activos de información, basándose y dando cumplimiento a las normativas internas y a las comunicaciones de los entes externos de control".
Para Jorge Nunes, presidente del Capítulo Buenos Aires de la Asociación de Auditoría y Control de Sistemas de Información (ISACA), los profesionales más requeridos son los supervisores de SI, especialistas certificados en Ciberseguridad, Pen Testers y expertos en informática forense.Son demandados principalmente por consultoras, firmas de telecomunicaciones, algunos organismos del Estado y las empresas "Unicornio". Nunes que, de forma creciente, "los profesionales de SI se involucran en proyectos de trabajo en ambientes industriales".
Para el ejecutivo de PwC, hoy se requiere una creciente especialización, pues "han surgido perfiles dedicados al análisis de malware (llamados Pen Testers) que hacen ingeniería reversa sobre el código".
"Cada vez más se demandan expertos que den respuesta en caso de incidentes, algo que también está ligado al área forense, ya que se trata de gestionar una crisis, recuperar la información y hacer que todo vuelva a funcionar. Posteriormente debe realizarse un análisis para saber qué sucedió y tomar medidas para que no vuelva a repetirse", explica Taich.
El especialista agrega que es preciso saber aplicar herramientas de analytics e Inteligencia Artificial, "que ayudan a procesar el análisis de grandes volúmenes de información".
En carrera
Quienes trabajan en SI egresan de las carreras de grado vinculadas a informática, como las ingenierías y las licenciaturas en Sistemas."Además, de otras ramas de la ingeniería, auditoría y otras áreas del saber, ya que también se requieren abogados con conocimientos de las normas vinculadas a la Ciberseguridad", apunta Nunes, de ISACA.
Nunes aconseja los programas en Seguridad Informática –que se dictan en universidades públicas y privadas–; certificaciones en Gestión de la Seguridad (CISM), Ciberseguridad (CSX) y forensia, y capacitación en Auditor Líder en la norma ISO 27000 y CISSP.
En el caso de los perfiles junior, que ingresan como alumnos universitarios avanzados pero no tienen experiencia laboral, se valoran las competencias actitudinales, destaca Natalia Scquizzato, HR Senior Manager de EY.
"Estos estudiantes, que se incorporan como asistentes, reciben capacitación tanto presencial como virtual, y también se forman en el puesto trabajando junto con los especialistas de más experiencia", explica.
Scquizzato agrega que estos puestos "deben tener disposición al aprendizaje y capacidad de análisis, de investigación y adaptación, porque la formación en esta especialidad es permanente y cambia mucho".
De acuerdo con Nocella, del BICE, los conocimientos que deben tener estos profesionales son:
- Marcos de referencia de gestión de seguridad (como la norma ISO 27001)
- Administración de identidades y accesos
- Herramientas de exploración y gestión de vulnerabilidades
- Metodologías de desarrollo seguro (incluyendo OWASAP)
- Gestión de riesgos de TI y Planes de Continuidad de Negocios (BCP)
- Recuperación ante Desastres (DRP)
"La especialización se va ganar, principalmente, por la propia experiencia laboral y los proyectos en que los profesionales se involucren. En segundo término, por las certificaciones y cursos", apunta Ramos.
"Las certificaciones las pueden otorgar los proveedores de distintas tecnologías –SAP, Cisco, Oracle– o entidades internacionales, como el NIST (Instituto Nacional de Estándares y Tecnología de Estados Unidos) y la CIS (Centro de Seguridad de Internet)", concluye.