InfoSecMan Blog

Hace tiempo ya que vengo recogiendo información de distintos amigos y conocidos que se dedican a este campo de la seguridad de la información con el fin de comparar los tiempos dedicados a distintos temas por cada uno de ellos. Cómo organizan (o les organizan) su tiempo.

Mi objetivo era comprobar lo importante que es la formación (externa y la autoformación) en un profesional de este tipo. Desde pequeño ya oía decir a mi madre lo complicado que tenía que ser la profesión de médico ya que tenían que estar estudiando siempre porque surgen “nuevas enfermedades”, “nuevos medicamentos”, etc. Quién me iba a decir a mí que, sin ser médico, me encontraría en una profesión con ese mismo “problema”.

Creo que todos estamos de acuerdo en lo importante de permanecer “actualizado” en esta profesión. De descubrir cosas nuevas, de tener inquietudes y afan de saber y, sobre todo, de ser consciente de lo poco que sabe uno de casi todo, y de cuánto nos queda por aprender (esto, aunque suene a broma, puede convertirse en una auténtica obsesión que, por nuestro bien, debemos saber ponerle límite 🙂 ).

Bien. Pues tras varias “encuestas” y recogida de datos entre profesionales de los servicios de seguridad como consultores, empleados de integradores, técnicos, etc. (no he elegido aquí a ningún responsable de seguridad porque ese caso creo que es particular y posiblemente lo aborde más adelante), he obtenido los resultados que podéis ver resumidos en el siguiente gráfico:

Evidentemente, los resultados varían mucho de uno a otro perfil, pero en general, el factor común en todos ellos es el tiempo dedicado a formación, que oscila entre un 15 y 25% dependiendo del perfil.

Casi 1/4 de nuestro tiempo lo dedicamos a formarnos, a descubrir nuevas soluciones, a investigar. Comparando estos resultados con mi propia experiencia, puedo asegurar que coinciden casi totalmente. A priori para un “empleador” podría parecer un porcentaje demasiado alto (eso supone que en el mejor de los casos sólo 3/4 de un recurso podría ser utilizable para “uso productivo”), sin embargo el disminuir este valor supondría que en un medio/largo plazo nuestros recursos dejarían de ser competitivos y por tanto no aportarían tanto valor a la organización y a los servicios que ofrece.

¿Son conscientes los directivos, áreas de recursos humanos, etc. de esto? ¿Valoran y dimensionan adecuadamente los recursos? Debemos ser conscientes de que si no se tiene esto en cuenta habrá desviaciones importantes en la producción. ¿Quizás por eso muchas organizaciones rara vez cumplen los planes de proyecto propuestos? (¿o los cumplen a costa del empleo de más recursos internamente?).

Para aquellos que gestionéis equipos de trabajo, tened en cuenta estos valores para realizar vuestros planes de formación (y de producción). ¿Cuál es vuestra experiencia en este sentido?

Otro valor que en este caso varía mucho de un perfil a otro es el tiempo dedicado a “Proyectos” (típicamente externos). En este caso, cuando más cerca de nivel técnico esté el recurso, más tiempo dedicará a “proyectos” mientras que cuanto más cercano sea al nivel de gestión, su tiempo de dedicación a proyectos externos será menor (habitualmente).

De cara a aquellas organizaciones oferentes de servicios, como es lógico, el objetivo será maximizar este valor siempre que sea posible, ya que supondrá “rentabilizar” al máximo nuestros recursos (y el coste asociado a los mismos).

En cuanto al apartado “Acciones Comerciales” tiene un comportamiento inverso al anterior “Proyectos”. Esto eso, habitualmente aquellos puestos más cercanos a la gestión tienen una mayor implicación en las acciones comerciales (preventas, ponencias, presentaciones, marketing, etc.) que los de nivel más puramente técnico.

Igualmente, a similares resultados, convendría minimizar el tiempo dedicado a este apartado (ya que se trata de una tarea no productiva), si bien es algo utópico, ya que  en el mundo real, raramente se conseguirán proyectos productivos sin inversión en acciones comerciales de algún tipo.

Finalmente también he comprobado que, salvo en organizaciones de una dimensión muy importante en la que cuentan con equipos totalmente independientes para servicios internos y externos, los mismos profesionales que ofrecen servicios externos y emplean su tiempo en proyectos productivos, habitualmente están implicados, en mayor o menor medida, en procesos de seguridad interna a la organización (administración u operación de sus dispositivos de seguridad,  participación en su SGSI, etc.). Una vez más, a mayor tamaño de la organización, menor participación en este tipo de tarea. En este caso el perfil más técnico o de gestión no he comprobado que influya tan determinantemente en su participación en la “seguridad interna”.

¿Qué opinión os merecen estos resultados? ¿Son comparables a los que vosotros manejáis? ¿Os habéis parado siquiera a realizar un estudio de este tipo en vuestra organización, equipo o en vuestro propio trabajo? ¿Conocéis algún estudio “más serio” en este sentido?

Ya tenéis algo para pensar en este puente (aquellos que os vayáis de puente, claro). Buen “macro-fin-de-semana”!! 🙂