Saltar al contenido principal
Passwork LogoPasswork LogoSecurity champion course

Rol, responsabilidades y expectativas

Tres meses después de convertirse en Security Champion, un desarrollador estaba desbordado. Había asumido el escaneo de secretos, las revisiones de acceso, el parcheo de vulnerabilidades, la redacción de políticas y la respuesta a incidentes. Trabajaba semanas largas — y la mayor parte ni siquiera era su trabajo real.

El equipo asumía que él se encargaba de la seguridad. Él asumía que tenía que encargarse de todo. La dirección asumía que alguien se estaba ocupando finalmente de estas cosas. Todos estaban equivocados.

Se agotó. Las mejoras de seguridad se estancaron. La empresa volvió al punto de partida, excepto que ahora todos tenían miedo de tocar el rol.

Este capítulo trata sobre cómo no convertirse en esa persona.

El problema central: alcance indefinido

Cuando una empresa dice "necesitamos un Security Champion", generalmente quieren decir "necesitamos a alguien que haga que la seguridad ocurra". Eso no es un rol. Es un deseo.

Sin límites claros, absorberá cada tarea relacionada con la seguridad que nadie más quiera. ¿Alguien encuentra una vulnerabilidad? Es su problema. ¿Un cliente pregunta sobre nuestra política de copias de seguridad? Pregúntele al Champion. ¿Un correo sospechoso? El Champion sabrá.

Y dado que la seguridad toca todo, "todo" se convierte en su trabajo.

La solución no es trabajar más duro. Es definir — por escrito — lo que hace y no hace, y luego conseguir que la dirección esté de acuerdo.

Cómo es realmente una semana de un Security Champion

Olvide la descripción del trabajo. Esto es en lo que los Champions suelen invertir su tiempo:

Lunes: Revisar los PRs de la semana pasada, señalar cualquier cosa que almacene credenciales de forma incorrecta o abra puertos innecesarios. Toma 30 minutos. Enviar un mensaje de Slack sobre una actualización de dependencia que lleva dos semanas pendiente.

Martes: Día de auditoría trimestral de acceso. Obtener la lista de quién tiene acceso a producción, AWS y el admin de GitHub. Comparar con los empleados actuales. Encontrar tres personas que se fueron hace meses y todavía tienen acceso. Crear tickets para eliminarlos.

Miércoles: Unirse a la discusión de arquitectura para una nueva funcionalidad. Hacer dos preguntas sobre cómo se almacenarán los tokens de autenticación. Nadie lo había pensado. Bien — ahora lo harán.

Jueves: Alguien pregunta sobre un correo de phishing. Es phishing real. Ayudarles a reportarlo, restablecer su contraseña, verificar si hicieron clic en algo. Escribir un post de 3 líneas en Slack advirtiendo a los demás.

Viernes: Actualizar el inventario de SaaS con dos herramientas que alguien empezó a usar. Verificar si la prueba de recuperación de backup ocurrió este mes (no ocurrió). Avisar a la persona responsable.

Tiempo total dedicado a seguridad: tal vez 4-5 horas. El resto de la semana, está haciendo su trabajo real. Eso es sostenible. Ese es el objetivo.

Las dos cosas que realmente hace

Elimine las descripciones de trabajo y los marcos, y los Champions hacen dos cosas:

1. Notar lo que otros pasan por alto.

Está mirando los mismos PRs, la misma infraestructura, los mismos canales de Slack que todos los demás. Pero está haciendo preguntas diferentes. "¿De dónde vienen estas credenciales?" "¿Quién puede acceder a esto?" "¿Qué pasa si este servicio cae?"

Eso no es trabajo extra. Es una perspectiva que aplica al trabajo que ya está haciendo.

2. Asegurarse de que las tareas de seguridad no se olviden.

¿La revisión de acceso que lleva seis meses en el backlog? Usted es quien sigue mencionándola. ¿El despliegue de MFA que se estancó? Usted está preguntando qué lo está bloqueando. ¿El backup que no ha sido probado? Usted está programando la prueba.

No tiene que hacer todas estas tareas usted mismo. Tiene que asegurarse de que se hagan.

Establecer límites que se mantengan

Aquí hay una plantilla que puede usar. Complétela y compártala con su responsable o CTO:

Haré:

  • Revisar los PRs en busca de problemas de seguridad obvios (secretos, problemas de autenticación, datos expuestos)
  • Mantener una lista de quién tiene acceso a qué
  • Ejecutar una limpieza de acceso trimestral
  • Mantener actualizado el inventario de SaaS
  • Asegurarme de que nuestros escáneres de seguridad estén en funcionamiento y que alguien revise los resultados
  • Responder preguntas de seguridad del equipo
  • Impartir una formación de 15 minutos al mes
  • Escribir políticas simples cuando las necesitemos

No haré:

  • Ser responsable de toda la seguridad de la empresa
  • Corregir cada vulnerabilidad yo mismo (me aseguraré de que se corrijan)
  • Escribir documentación de cumplimiento para ISO/SOC2 (necesitamos un consultor para eso)
  • Manejar preguntas legales sobre privacidad de datos
  • Gestionar incidentes solo (coordinaré, no ejecutaré)

Necesito:

  • 4 horas por semana dedicadas a las tareas de Champion
  • Autoridad para crear tickets relacionados con la seguridad
  • Acceso a las consolas de administración para fines de auditoría
  • Apoyo de la dirección cuando señale riesgos

Revisaremos esto trimestralmente.

Consiga que esto quede acordado por escrito. Cuando empiece el desvío de alcance — y ocurrirá — tiene algo a lo que señalar.

Cómo decir no sin quemar puentes

Los Champions que no pueden decir no no duran. Pero decir no de manera incorrecta crea enemigos.

Cuando alguien le pide que corrija algo usted mismo:

No diga: "Ese no es mi trabajo."

Diga: "Puedo ayudar a definir el enfoque correcto, pero alguien del equipo debería implementarlo. ¿Quiere que documente lo que hay que hacer?"

Cuando la dirección acumula tareas:

No diga: "No tengo tiempo para esto."

Diga: "Puedo asumir esto, pero algo más tiene que salir de mi lista. ¿Cuál de estas tareas actuales debería pausar?"

Cuando un problema de seguridad parece urgente pero no lo es:

No diga: "Esto no es una prioridad real."

Diga: "Esto es real, pero así es como se compara con lo demás que estamos siguiendo. ¿Quiere repriorizar?"

El patrón: reconocer, redirigir, ofrecer una alternativa. No está bloqueando — está ayudando a las personas a pensar en lo que están pidiendo.

El Champion no es el equipo de seguridad

Vale la pena repetirlo porque es el modo de fallo más común.

Un Security Champion es un multiplicador de fuerza. Hace que el equipo sea más consciente, ayuda a detectar problemas antes y evita que las tareas de seguridad se pierdan entre las grietas.

No es un equipo de seguridad de una persona. Si la empresa necesita:

  • Una prueba de penetración → contrate a un consultor
  • Certificación SOC 2 → contrate una firma de cumplimiento
  • Respuesta a incidentes 24/7 → eso es un rol a tiempo completo (o varios)
  • Modelado de amenazas complejo → incorpore experiencia externa

Su trabajo es manejar el 80% del trabajo de seguridad que no requiere experiencia profunda. El otro 20% necesita especialistas. Saber cuál es cuál es parte del rol.

Una semana que salió mal (y cómo arreglarla)

Así es como se ve una semana de un Champion sobrecargado:

Lunes: Se despierta con tres mensajes de Slack sobre diferentes preocupaciones de seguridad. Pasa la mañana triando en lugar de hacer el trabajo planificado.

Martes: Descubre un CVE crítico en una librería que usa. Deja todo para parchearlo en cuatro repositorios.

Miércoles: La dirección pide una evaluación de seguridad para una reunión con un cliente mañana. Se queda hasta tarde escribiendo algo.

Jueves: Se suponía que debía ocurrir la revisión de acceso. Pospuesta porque todavía está lidiando con las consecuencias del CVE.

Viernes: Alguien reporta una posible brecha. Pasa el día investigando. Se pierde la cena con amigos.

¿Qué salió mal? Todo se trató como urgente y todo cayó sobre una persona.

La solución:

  • Triar sin piedad. No todos los problemas de seguridad son urgentes. La mayoría puede esperar uno o dos días.
  • Delegar la implementación. Encontró el CVE — bien. El equipo lo parchea. Ese es su trabajo.
  • Rechazar los plazos sorpresa. ¿Una evaluación de seguridad para la reunión de mañana? Eso necesitaba una semana de aviso.
  • Programar lo importante. La revisión de acceso va al calendario. Ocurre incluso cuando hay fuegos que apagar.

Construir el perfil del rol con su equipo

No cree su definición de rol solo. Necesita el compromiso de las personas que trabajarán con usted.

Aquí hay un proceso simple que funciona:

Paso 1: Listar lo que está roto (15 minutos)

Con su team lead o CTO, responda:

  • ¿Dónde tenemos brechas de seguridad obvias?
  • ¿Qué tareas de seguridad siguen siendo pospuestas?
  • ¿Qué preguntas nadie sabe cómo responder?

Escriba todo. No filtre todavía.

Paso 2: Dividir en tres categorías (10 minutos)

CategoríaSignificado
Champion se encargaSencillo, recurrente, no requiere experiencia profunda
Champion coordinaInvolucra a varias personas, Champion lo mantiene en movimiento
Necesita ayuda externaDemasiado complejo, demasiado especializado o demasiada responsabilidad

Sea honesto. La mayoría de los Champions intenta poner demasiado en las categorías uno y dos.

Paso 3: Elegir las tareas del primer trimestre (10 minutos)

Elija 5-7 cosas de las dos primeras categorías. Estas son sus responsabilidades de Champion para los próximos tres meses.

¿Todo lo demás? Explícitamente fuera del alcance. Escríbalo.

Paso 4: Obtener aprobación

Envíe la lista a su responsable o CTO. Obtenga un "sí, este es el alcance" por escrito.

Ahora tiene algo a lo que señalar cuando lleguen solicitudes que no encajan.

Artefacto: su documento de definición de rol

Aquí hay una plantilla para completar:

Definición del rol de Security Champion

Nombre: [Su nombre]

Equipo: [Su equipo]

Compromiso de tiempo: [X] horas por semana

Reporta a: [Responsable/CTO]

Responsabilidades principales (este trimestre):

  1. [Tarea específica]
  2. [Tarea específica]
  3. [Tarea específica]
  4. [Tarea específica]
  5. [Tarea específica]

Responsabilidades de coordinación:

  • [Lo que rastreará pero no hará usted mismo]
  • [Lo que recordará a otros]

Explícitamente fuera del alcance:

  • [Lo que no hará]
  • [Lo que necesita ayuda externa]

Apoyo necesario:

  • [Acceso/herramientas/tiempo/autoridad que necesita]

Fecha de revisión: [Fecha para la próxima revisión del alcance]

Cómo se ve el éxito

Después de tres meses con límites de rol claros, debería ver:

  • Las tareas de seguridad realizándose sin modo de crisis
  • El equipo manejando más trabajo de seguridad por sí mismo (porque usted los formó)
  • Menos solicitudes de "Champion, ¿puede encargarse de esto?" para cosas fuera de su alcance
  • La dirección entendiendo lo que hace y no hace
  • Usted todavía teniendo energía para su trabajo real

El objetivo no es la seguridad perfecta. El objetivo es el progreso sostenible. Eso requiere límites.

Conclusión

El rol de Security Champion falla cuando se convierte en "hacer toda la seguridad". Funciona cuando se convierte en "ayudar al equipo a hacer la seguridad juntos".

Su trabajo es definir límites claros, obtener el acuerdo de la dirección y defender esos límites cuando comience el desvío de alcance. El documento de perfil de rol es su herramienta. Úselo.

Próximo capítulo: cómo este rol acelera su carrera — y qué caminos abre.

© 2014–2025 «Passwork»
Empresa
Sobre nosotrosPolítica de privacidadCertificado ISO 27001Notas de la versiónHoja de rutaBlog
Extensión de navegador
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Aplicación móvil
App StoreGoogle Play
Para empresas
EquiposPequeñas empresasEmpresas y corporacionesEnterpriseSolución on-premiseHerramienta para compartir contraseñasGestión de secretos
Ayuda
Manual de usuarioDocumentación técnicaCentro de ayuda