Quiere lo mejor de su equipo de seguridad. Y una vez que los tiene, quiere mantenerlos felices y dentro de su organización.
Tres expertos en carreras de gestión y seguridad opinan sobre lo que tienen que hacer los administradores de seguridad para retener talento de primera categoría en seguridad.
Averigüe si tiene al equipo adecuado
"No asuma que las personas con las que actualmente cuenta son las adecuadas para su equipo de seguridad", señala Lenny Zeltser, un profesor senior del SANS Institute y director de gestión de producto de NCR.
Zeltser ha contratado a muchas personas a través de los años, y cree que el primer paso para retener el talento es asegurarse de tener miembros muy cualificados y bien elegidos dentro del equipo.
"Es muy difícil de admitir que la gente está en el límite en términos de personalidad -y pueden no ser los mejores para su organización. Como seres humanos, tenemos la tendencia a querer quedarnos con el status quo y decir. "Este es el equipo que tengo aquí. Si tengo limones, voy a hacer limonada". Pero esa no es la estrategia correcta.
Eso puede significar cambiar las descripciones de puestos de trabajo, reestructurar los departamentos o llevar a los empleados hacia posiciones donde sean más adecuados. O bien, en una situación difícil, se van dejando de lado a algunas personas.
"Al igual que le proporciona información y opiniones a los empleados una vez o dos veces al año, como gerente debe comprobar por sí mismo si tiene al equipo adecuado para sus fines. Su equipo de seguridad puede haber tenido diferentes objetivos cuando se creó por primera vez".
Evalúe su estructura salarial
Si ha evaluado dónde está su equipo actual, y qué tipo de habilidades desea ver en su departamento, es el momento de analizar si la estructura de compensación de su organización corresponde a los estándares del mercado.
"El reclutamiento y la retención están casados", señala Lee Kushner, fundador y CEO de LJ Kushner & Associates, una firma de reclutamiento para profesionales de seguridad de la información. "El estado actual de su organización tiene mucho que ver con lo que usted puede traer".
Kushner agrega que una de las batallas a las que se enfrentan las organizaciones cuando se trata de construir su equipo de seguridad, es el concepto de equidad interna. Al contratar para un puesto de seguridad, a menudo resulta que el talento fuera de la empresa está ganando más que las personas dentro de la empresa. Obviamente, esto crea un conflicto entre recursos humanos, el equipo de reclutamiento y el departamento de seguridad.
"Creo que hoy en día es importante que los CSO y CISO comprendan mejor el valor de las habilidades de sus empleados de seguridad, y que sean capaces de pedir que sus jefaturas reexaminen su remuneración, por lo que no se les pone en la posición de tener problemas de retención".
Kushner también dice que la mala situación económica le ha dado a muchas organizaciones la falsa impresión de que pueden conseguir talento con los salarios más bajos.
"Yo no voy a ser tan osado como para decir que no hay desempleo entre los profesionales de la seguridad, pero hay desempleo negativo para profesionales de seguridad altamente calificados. Cuando las personas están empezando a añadir gente a su equipo, tienen este perfil nirvana, Shangri-la, que desean contratar. Es como tener gusto por el champagne y presupuesto para cerveza. Obtiene lo que paga".
En otras palabras, asegúrese de que le está pagando lo que vale a su talento actual, y cualquier talento futuro -o alguien más lo hará.
Proporcione capacitación y educación
"La capacitación y la educación deben ser un proceso continuo para todo el personal de seguridad", según Hord Tipton, director ejecutivo de seguridad de la información y la educación en la firma de certificación ISC2. "La tecnología está cambiando tan rápidamente que nadie puede mantenerse al día con todo lo que está cambiando y evolucionando. Hasta cierto punto, un programa de seguridad bien redondeado debe tener especialización. Aunque las organizaciones necesitan personas que entiendan todo el proceso de seguridad, ellos también necesitan gente? que sean especializados, y que estén totalmente al día en las muchas áreas que deben ser bien entendidas antes de que se pueda implementar la seguridad".
Al ofrecerle a su equipo de seguridad la oportunidad de desarrollo profesional y cursos de educación los mantiene frescos y prestos al desafío. Y obviamente también beneficia a la organización. Los buenos profesionales de la seguridad sienten un gran interés de perfeccionar aún más sus habilidades. Si una organización deja de lado su necesidad de tener frecuentes capacitaciones, van a irse a otro lugar, señala Tipton.
"Por ejemplo, la cantidad de tecnologías que han surgido en el último año alrededor de las aplicaciones basadas en nube, redes sociales, servidores virtuales y dispositivos móviles ha sido abrumadora", agrega Tipton. "Debemos desarrollar continuamente la formación técnica específica de los trabajos realizados y sincronizados para los requisitos de la educación profesional continua [CPE]. La obtención de cursos CPE de calidad es ahora más importante que nunca".
Ofrezca oportunidades para el crecimiento
Claro, todo el mundo quiere un aumento de sueldo y un ascenso después de probarse a sí mismos en el trabajo, pero eso no siempre es fácil, ni siquiera posible, señala Landis. Las limitaciones organizativas y financieras a menudo poner freno a los cambios que desee.
En su lugar, ofrecerle a un miembro del equipo de seguridad la oportunidad de trabajar con las nuevas tecnologías, o estar expuesto a nuevos retos, puede proporcionar otro tipo de crecimiento de la carrera, que también puede ser satisfactorio y gratificante, añade Landis. Realmente depende si la persona decide asumir más responsabilidades sin una promoción real, aunque muchos quieren hacerlo por el desafío que presenta.
"Es posible que tenga a una persona que ingresó como técnico de soporte de escritorio, llegó a ser realmente bueno en solucionar problemas relacionados con el escritorio, comenzó a tratar con malware en secciones, y poco a poco comenzó a interesarse en el análisis de malware y la respuesta a incidentes".
En ese escenario, señala Zeltser, el empleado ha redondeado su conjunto de habilidades y, en consecuencia, obtuvo beneficios de la carrera, aunque ello no vino con un cambio de posición.
Sin embargo, es raro que un empleado siga tomando nuevos roles en algún momento sin esperar recompensas.
"Si alguien sigue agregando responsabilidades, pero sabe que no hay oportunidad para la promoción y sabe que ha alcanzado un techo, a la larga se terminará yendo".
Evite el agotamiento
La seguridad es una carrera muy conocida por ser de alta tensión y probablemente muy agotadora. Esa percepción está respaldada por una encuesta del 2010 realizada por el grupo de expertos de la industria que fundaron SecBurnout.org. Mientras que los investigadores consideraron que las 124 respuestas válidas que obtuvieron no fueron suficientes para que puedan extraer conclusiones estadísticamente significativas, fueron capaces de hacer algunas observaciones interesantes.
Los datos revelaron que casi el 13% de los encuestados estaban en lo que se conoce como una zona de agotamiento de "bandera roja", y sentían claramente la necesidad de algún tipo de intervención. La mayoría de los encuestados señalaron que creían que la seguridad era más estresante que otras industrias.
Una variedad de industrias relacionadas con los factores de estrés contribuyen a este problema. Por un lado, los profesionales de la seguridad se preocupan por el impacto en la organización, si ocurre un evento de seguridad grave. Por otro, están agotados debido a la tarea aburrida de tener que constantemente decirle que "no" a los empleados y directivos.
Zeltser sugiere una manera de abordar esto es educar a los miembros del equipo de seguridad sobre cómo abordar mejor estas situaciones.
Rara vez resulta útil solo decir "no", señala Landis. "Un consejo útil es: ‘No puede hacerlo de esta manera, y aquí están las razones de ello’. Y alentarlos a buscar y también ofrecer alternativas al problema o asunto, por lo que no solo basta decir ‘no’ ".
– CSO