ESPECIALISTA EN SEGURIDAD DE LA INFORMACION

Responsabilidad / Principales competencias

Es responsable de diseñar, implementar y mantener una política de seguridad integral con el objetivo de resguardar toda la información de la compañía.
Entre sus competencias está:
Evaluar riesgos y basado en los mismos, diseñar, poner en ejecución y mantener políticas, medidas y sistemas de seguridad informática para la Organización.

Nombres de cargos similares

Analista de seguridad, especialista en seguridad informática.

Misión de la ocupación

Proveer un marco de metodología y estandarización de seguridad de información a la organización y sus proyectos, detectando en forma temprana causas de desvíos, implementando y administrando sistemas, políticas y normatividad de seguridad informática.

Actividades que realiza
  • Gestionar la seguridad de la información, aplicando las normativas y estándares existentes, guiando a la misma en la implementación de políticas de seguridad y en la implementación de controles de seguridad y el Sistema de Gestión de Seguridad de la Información (ITSM), alineando las actividades programadas en el marco de los estándares existentes y aplicables.
  • Desarrollar e implementar las políticas y procedimientos de seguridad. Monitorear su cumplimiento.
  • Gestionar incidentes y riesgos para garantizar la continuidad del negocio, protegiendo los activos críticos.
  • Aplicar las metodologías, tecnologías y herramientas que existen en las distintas áreas involucradas, como ser criptografía, modelos formales, análisis forense, etc. , así como en las áreas en las que la seguridad informática tiene su aplicación: redes, sistemas operativos, aplicaciones.
  • Desarrollar periódicamente tareas de pentest (penetration testing) y todo tipo de ataque ético (Ethical Hacking) con el fin de identificar y medir vulnerabilidades para luego gestionar soluciones.
  • Establecer un plan de Disaster Recovery (estrategia de recuperación ante desastres)
  • Establecer un plan de contingencia para suministros de energía interrumpidos.
  • Realizar análisis de riesgos en nuevas tecnologías
  • Asistir a los desarrolladores en la solución de vulnerabilidades.
  • Disuadir, Detectar y Responder a incidentes de seguridad física.
  • Realizar actividades de gestión de riesgos (planificación, detección, mitigaciones).
  • Alinear las actividades programadas al marco de los estándares existentes (ISO 27001, COBIT, ISAE3402, SOX, otras).
Estudios

Ingeniería informática; licenciaturas en sistemas o computación, preferiblemente con una especialización o capacitación en seguridad aplicada a sistemas de información (ISO 27001, COBIT, ISAE3402, SOX), como así también de ISO9000.

Conocimientos necesarios, según el nivel del puesto
  • Experiencia probada en arquitectura e implementación de proyectos de seguridad de la totalidad de los departamentos de IT.
  • Amplio conocimiento de la solicitud y las vulnerabilidades a nivel de infraestructura. Capacidad de explicar estos riesgos a los desarrolladores.
  • Capacidad para evaluar las especificaciones técnicas y funcionales dentro del proceso de desarrollo de software, identificar las posibles amenazas o áreas de debilidad.
  • Conocimientos de criptología: Encriptación, Cifrado simétrico/asimétrico, Clave pública, Clave privada, etc.
  • Conocimientoseninfraestructurasweb,cloudcomputingyvirtualización
  • Conocimientos de ataques web, SQL injection,XSS, XAS, CSRF, LFI/RFI, etc.
  • Seguridad de Sistemas operativos (windows server/linux/unix).
  • Conocimientos de antivirus, malware, adware, spyware, riskware, etc.
  • Conocimientos de seguridad en Redes, Firewall, proxy, filtrado de conexiones, análisis de paquetes, detección de ataques, etc.
  • Conocimientos de Seguridad Física y aspectos legales.
Conocimientos deseables, según el nivel del puesto
  • Project Management
  • Conocimientosdeauditoría
Competencias, habilidades o aptitudes deseables según el nivel del puesto
  • Pensamiento analítico, iniciativa y capacidad de resolución de problemas.
  • Capacidad organizativa, ateniéndose a un orden propio que le facilite el acceso a lo que pueda necesitar, así como interés en medir el desempeño de los procesos.
  • Capacidad de trabajar en equipo, con buen manejo de las relaciones interpersonales estando dispuesto a compartir información y conocimientos y a tomar en cuenta a los usuarios.
  • Orientación a la mejora continua con capacidad para influenciar a la organización.
Ámbito ocupacional

En general, forma parte de un staff cross organizacional que brinda soporte a diferentes áreas: desarrollo, infraestructuras, calidad, web master, seguridad e higiene, auditorías, etc. Su principal área de ocupación es en el sector de IT trabajando conjuntamente con administradores de servidores y redes.

Diferencias por nivel
NivelCompetencias
Nivel 3 – SemiseniorTiene conocimiento de la organización, experiencia en su campo de ocupación e independencia para abordar y descomponer problemas y buscar posibles soluciones. Puede participar en auditorías, colectar evidencias, dar soporte en implementación de controles, asesorar, etc.
Nivel 4 – SeniorCuenta con gran autonomía y capacidad de brindar coaching a otros; comprende la organización y sus procesos, sabe estimar esfuerzos / costos de proyectos del área. Puede planificar y conducir auditorías. Puede liderar procesos / Proyectos de Mejora tendientes a obtener certificaciones. Debe planificar las políticas de seguridad en el mediano y largo plazo.