Si - Soporte de Infraestructura
Especialista en Seguridad de la Información
Responsabilidad / Principales competencias
Es responsable de diseñar, implementar y mantener una política de seguridad integral con el objetivo de resguardar toda la información de la compañía.
Entre sus competencias está:
Evaluar riesgos y basado en los mismos, diseñar, poner en ejecución y mantener políticas, medidas y sistemas de seguridad informática para la Organización.
Nombres de Cargos Similares
Analista de seguridad, especialista en seguridad informática.
Actividades que realiza
-
Gestionar la seguridad de la información, aplicando las normativas y estándares existentes, guiando a la misma en la implementación de políticas de seguridad y en la implementación de controles de seguridad y el Sistema de Gestión de Seguridad de la Información (ITSM), alineando las actividades programadas en el marco de los estándares existentes y aplicables.
-
Desarrollar e implementar las políticas y procedimientos de seguridad. Monitorear su cumplimiento.
-
Gestionar incidentes y riesgos para garantizar la continuidad del negocio, protegiendo los activos críticos.
-
Aplicar las metodologías, tecnologías y herramientas que existen en las distintas áreas involucradas, como ser criptografía, modelos formales, análisis forense, etc. , así como en las áreas en las que la seguridad informática tiene su aplicación: redes, sistemas operativos, aplicaciones.
-
Desarrollar periódicamente tareas de pentest (penetration testing) y todo tipo de ataque ético (Ethical Hacking) con el fin de identificar y medir vulnerabilidades para luego gestionar soluciones.
-
Establecer un plan de Disaster Recovery (estrategia de recuperación ante desastres)
-
Establecer un plan de contingencia para suministros de energía interrumpidos.
-
Realizar análisis de riesgos en nuevas tecnologías
-
Asistir a los desarrolladores en la solución de vulnerabilidades.
-
Disuadir, Detectar y Responder a incidentes de seguridad física.
-
Realizar actividades de gestión de riesgos (planificación, detección, mitigaciones).
-
Alinear las actividades programadas al marco de los estándares existentes (ISO 27001, COBIT, ISAE3402, SOX, otras)
Estudios
Ingeniería informática; licenciaturas en sistemas o computación, preferiblemente con una especialización o capacitación en seguridad aplicada a sistemas de información (ISO 27001, COBIT, ISAE3402, SOX), como así también de ISO9000.
Conocimientos necesarios
-
Experiencia probada en arquitectura e implementación de proyectos de seguridad de la totalidad de los departamentos de IT.
-
Amplio conocimiento de la solicitud y las vulnerabilidades a nivel de infraestructura. Capacidad de explicar estos riesgos a los desarrolladores.
-
Capacidad para evaluar las especificaciones técnicas y funcionales dentro del proceso de desarrollo de software, identificar las posibles amenazas o áreas de debilidad.
-
Conocimientos de criptología: Encriptación, Cifrado simétrico/asimétrico, Clave pública, Clave privada, etc.
-
Conocimientoseninfraestructurasweb,cloudcomputingyvirtualización
-
Conocimientos de ataques web, SQL injection,XSS, XAS, CSRF, LFI/RFI, etc.
-
Seguridad de Sistemas operativos (windows server/linux/unix).
-
Conocimientos de antivirus, malware, adware, spyware, riskware, etc.
-
Conocimientos de seguridad en Redes, Firewall, proxy, filtrado de conexiones, análisis de paquetes, detección de ataques, etc.
-
Conocimientos de Seguridad Física y aspectos legales.
Conocimientos deseables
-
Project Management
-
Conocimientos de auditoría
Competencias, habilidades o aptitudes deseables
-
Pensamiento analítico, iniciativa y capacidad de resolución de problemas.
-
Capacidad organizativa, ateniéndose a un orden propio que le facilite el acceso a lo que pueda necesitar, así como interés en medir el desempeño de los procesos.
-
Capacidad de trabajar en equipo, con buen manejo de las relaciones interpersonales estando dispuesto a compartir información y conocimientos y a tomar en cuenta a los usuarios.
-
Orientación a la mejora continua con capacidad para influenciar a la organización.
Ámbito ocupacional
En general, forma parte de un staff cross organizacional que brinda soporte a diferentes áreas: desarrollo, infraestructuras, calidad, web master, seguridad e higiene, auditorías, etc. Su principal área de ocupación es en el sector de IT trabajando conjuntamente con administradores de servidores y redes.
Diferencias por nivel
Competencias por nivel
Nivel 3 - Semisenior: Tiene conocimiento de la organización, experiencia en su campo de ocupación e independencia para abordar y descomponer problemas y buscar posibles soluciones. Puede participar en auditorías, colectar evidencias, dar soporte en implementación de controles, asesorar, etc.
Nivel 4 – Senior: Cuenta con gran autonomía y capacidad de brindar coaching a otros; comprende la organización y sus procesos, sabe estimar esfuerzos / costos de proyectos del área. Puede planificar y conducir auditorías. Puede liderar procesos / Proyectos de Mejora tendientes a obtener certificaciones. Debe planificar las políticas de seguridad en el mediano y largo plazo.