¿Por qué y Cómo Convertirse en Auditor de Seguridad IT?

¿Por qué y cómo convertirse en auditor de seguridad?

Quick Overview:

La función principal de un auditor de seguridad es asegurarse de que todos los sistemas informáticos dentro de la organización sean seguros y efectivos junto con sus componentes de seguridad. Después de las investigaciones realizadas, debe crear un informe técnico detallado que indique la efectividad de los sistemas, analizar el estado de seguridad actual de estos sistemas y agregar sus sugerencias para cualquier curso de acción recomendado con el fin de mejorar.

What is a Security Auditor responsible for?

Hay un montón de responsabilidades que debe esperar como auditor de seguridad dentro de la organización. La siguiente lista intenta ofrecer una visión general de las responsabilidades más comunes que deben esperarse de un auditor de seguridad.

Es responsable de todas las auditorías de seguridad dentro de la organización en términos de programarlas, ejecutarlas y dirigirlas con su equipo.

Su función es evaluar los sistemas financieros y de información dentro de la organización, los controles de seguridad seguidos y los procedimientos tomados con fines de administración. Siempre debe inspeccionar estos sistemas y sugerir cualquier modificación aplicable.

  • Debe asegurarse de que todos los procesos operativos dentro de la organización sean efectivos, eficientes y, lo más importante, que cumplan con las políticas de seguridad y las regulaciones gubernamentales relacionadas.
  • También debe realizar pruebas para los sistemas de TI en la organización. Dichas pruebas deben centrarse en evaluar los riesgos asociados con tenerlos.
  • Es su responsabilidad como consultor de seguridad revisar al personal y entrevistarlo para determinar los riesgos y las complicaciones de seguridad establecidos para la organización.
  • Siempre debe documentar todos los procesos de auditoría llevados a cabo para cada entorno informático en la organización y cada aplicación de computadora utilizada allí, siempre que se documenten los resultados, lo cual siempre es un aspecto recomendado.
  • Debe evaluar la cantidad de exposición o riesgo que se asocia con cualquier práctica de control que no sea efectiva o que falte.
  • Siempre debe comparar los resultados que obtiene del proceso de auditoría con algunos criterios definidos para los sistemas.
  • Siempre debe evaluar en qué medida las conclusiones de la auditoría son relevantes y precisas con respecto a la evidencia de auditoría.
  • Se le es solicitado que cree un informe técnico escrito para indicar todos los hallazgos de la auditoría y que pueda comunicar verbalmente estos resultados.
  • Siempre debe elaborar sus recomendaciones de acuerdo con las mejores prácticas en el campo para mejorar las situaciones actuales de los sistemas de la organización.
  • En este sentido, cabe destacar que no solo es su responsabilidad proporcionar a la organización la solución más eficiente, sino que constantemente debe hablar con la administración y asegurarse de que exista un cumplimiento entre estas recomendaciones y los procedimientos de la compañía.
  • Debe colaborar constantemente con todos los departamentos de TI para asegurarse de que se mejore el cumplimiento de la seguridad, se gestionen todos los riesgos asociados y se garantice la efectividad en el proceso.
  • Es importante tener en cuenta que lo más probable es que tenga que viajar mucho con fines de trabajo. Esto puede deberse a que podría convertirse en un auditor de seguridad independiente.
  • Sin embargo, aún puede convertirse en un auditor de seguridad trabajando con otros miembros de los equipos de seguridad de TI.

Finalmente, un auditor de seguridad senior como Senior Security Architects puede responder a los ejecutivos de nivel C.

What career paths can lead to this position?

Al comienzo de su carrera en seguridad cibernética, es recomendable que ocupe un puesto de nivel inicial para que pueda obtener los conocimientos y la experiencia necesaria para los próximos años. Algunos de estos trabajos son:

  • Administrador de seguridad
  • Administrador de red
  • Administrador de sistema

Después de obtener suficiente base de conocimientos en uno de estos trabajos, debe avanzar hacia un trabajo más especializado. Algunos de estos trabajos se muestran en la siguiente lista.

  • Especialista en seguridad
  • Analista de seguridad
  • Ingeniero de seguridad
  • Consultor de seguridad

Está bien que un auditor permanezca en la posición técnica durante toda su vida profesional. Sin embargo, algunos pueden considerar la transición a una posición gerencial en diferentes niveles de carrera. Algunas de estas posiciones gerenciales son:

  • Gerente de seguridad
  • Gerente de Proyectos de TI
  • Director de seguridad
  • Director de Seguridad de la Información (CISO)

What jobs are similar to a Security Auditor?

Hay algunas terminologías para el trabajo de un auditor de seguridad. La siguiente lista proporciona algunos ejemplos de tales terminologías para las mismas responsabilidades de trabajo o similares. Sin embargo, una terminología de trabajo como el Auditor de TI, por ejemplo, implica algunas otras tareas de prueba que no tienen ninguna relevancia para la seguridad informática.

  • Auditor de Seguridad de la Información
  • Auditor de Sistemas de Información
  • Auditor de TI

How much should I expect from this job?

En promedio, se espera que un auditor de seguridad gane $ 67,278 por año de acuerdo con PayScale. El pago mínimo que debe esperar obtener de este trabajo es de alrededor de $ 46,027 por año, mientras que el pago máximo a esperar es de $ 102,274 por año. Esto definitivamente incluye su salario base anual, bonos, participación en los beneficios, propinas, comisiones, pago de horas extra y otras formas de ganancias en efectivo, según corresponda.

What degree should I be carrying for this job?

Debe tener una licenciatura y / o una maestría en ciencias de la computación, sistemas de información, seguridad cibernética o un campo técnico relacionado. Además, dado que este trabajo involucra muchos aspectos técnicos, los antecedentes técnicos son muy importantes desde la perspectiva de los empleadores y quieren ver que sus candidatos hayan recibido suficiente capacitación en seguridad y que cuenten con las certificaciones adecuadas para las funciones laborales.

How much experience should I be having for this job?

En la mayoría de los casos, las empresas quieren ver que el candidato para este puesto haya estado de 3 a 6 años en el campo de TI en general. A pesar de ello, no requieren una experiencia de seguridad específica de antemano. Sin embargo, si considera un trabajo como Auditor de Seguridad Senior, debe obtener experiencia de más de 5 años en el campo de la auditoría.

What kind of hard skills are desired for this job?

Adquirir experiencia en las tareas de auditoría de aplicaciones informáticas y sistemas de información de diversa complejidad, se puede lograr en cualquier momento y en cualquier circunstancia. Hay otras habilidades técnicas que a un empleador le encantaría ver en su potencial auditor de seguridad. Tales habilidades se dan en la siguiente lista.

  • Debe tener pleno conocimiento de las normas de seguridad de datos de la industria y las normativas, como FFIEC, HIPAA, PCI, NERC, SOX, NIST, EU / Safe Harbor y GLBA.
  • También debe tener un gran conocimiento sobre marcos como ISO 27001/27002, ITIL y COBIT.
  • Definitivamente es necesario que un administrador de seguridad tenga la comodidad de usar sistemas operativos similares a Windows y Unix.
  • Debería sentirse cómodo al tratar con MSSQL y ORACLE.
  • También debe tener un conocimiento sólido sobre los lenguajes de programación más utilizados en el campo, como C, C ++, C #, Java y PHP.
  • Debe saber cómo usar y beneficiarse de los programas de software utilizados para el análisis de datos como ACL, IDEA, etc.
  • Debe saber cómo usar y beneficiarse de las herramientas de auditoría y defensa de red, como Fidelis, ArcSight, Niksun, Websense, ProofPoint, BlueCoat, etc.
  • Debe estar al día con los protocolos utilizados para la detección de intrusos y los sistemas de prevención y cortafuegos.

What sort of soft skills are desired for a Security Auditor?

Bueno, se podría decir que las habilidades de comunicación son una de las habilidades más importantes que debe tener un auditor de seguridad. Es realmente crucial ser muy claro en todos los informes presentados sobre los resultados de la auditoría y las recomendaciones para los sistemas de la organización. Además, tener la voluntad de viajar entre diferentes sitios donde se realizan auditorías es otro aspecto que un empleador desea ver en su candidato. Esto se debe a que este trabajo implicará una gran cantidad de viajes entre diferentes sitios.

What certifications should one have for this position?

La certificación más importante es CISA porque el trabajo está relacionado con la auditoría. Además, obtener la certificación CISSP es otro aspecto importante. Algunas de las certificaciones recomendadas para este trabajo se mencionan en la siguiente lista.

  • CISA: Certified Information Systems Auditor// Auditor Certificado de Sistemas de Información.
  • CISM: Certified Information Security Manager// Gerente Certificado de Seguridad de la Información.
  • CISSP: Certified Information Systems Security Professional// Profesional Certificado en Seguridad de Sistemas de Información.