Construir un equipo de seguridad de la información
Ha sido el Security Champion. Ha construido programas, implementado controles e integrado la seguridad en su organización. Pero a medida que la empresa crece, una sola persona no puede hacerlo todo. En algún momento, la seguridad necesita convertirse en una función — con personas dedicadas, procesos formales y liderazgo ejecutivo.
Este capítulo cubre cómo se estructuran los equipos de seguridad, cuándo y cómo construir uno y — de forma crítica — cómo encajan los Security Champions en el panorama incluso después de que exista una organización de seguridad formal.
Los límites naturales del Security Champion
Seamos honestos sobre lo que un Security Champion puede y no puede hacer:
Lo que los Security Champions hacen bien
| Capacidad | Por qué funciona |
|---|---|
| Seguridad en su equipo | Contexto profundo, relaciones existentes |
| Revisión de código y arquitectura | Conocen el código base y el stack |
| Formación de desarrolladores | Hablan su idioma |
| Primer respondedor en incidentes | Ya están ahí, conocen los sistemas |
| Embajador de la cultura de seguridad | De confianza entre sus pares |
Lo que los Security Champions no pueden cubrir solos
| Brecha | Por qué es difícil |
|---|---|
| Estrategia de toda la empresa | Requiere autoridad ejecutiva |
| Programas de cumplimiento | Esfuerzo a tiempo completo, conocimiento especializado |
| Liderazgo en respuesta a incidentes | Necesita disponibilidad dedicada |
| Riesgo de terceros | Consume mucho tiempo, es especializado |
| Arquitectura de seguridad | Abarca todos los equipos y sistemas |
| Inteligencia de amenazas | Requiere monitorización continua |
| Gestión de auditorías | Meses de trabajo dedicado |
El problema central: Un Security Champion tiene un trabajo principal (desarrollador, DevOps, etc.). La seguridad es el 10–30% de su tiempo. Pero las necesidades de seguridad crecen más rápido de lo que ese porcentaje puede cubrir.
El punto de transición
Probablemente necesita personal de seguridad dedicado cuando:
| Señal | Qué significa |
|---|---|
| El trabajo de seguridad supera el 50% del tiempo del campeón | No puede sostener la división |
| Múltiples campeones pero sin coordinación | Necesita liderazgo central |
| Surgen requisitos de cumplimiento (SOC 2, ISO) | Se requiere esfuerzo a tiempo completo |
| Empresa de más de 100 empleados | Superficie de ataque demasiado grande para tiempo parcial |
| Clientes empresariales exigen seguridad | Función crítica para el negocio |
| Primer incidente de seguridad significativo | Reveló brechas en la cobertura |
| Inversores/junta pregunta por seguridad | Se necesita responsabilidad ejecutiva |
Entender la estructura del equipo de seguridad
Roles de seguridad explicados
| Rol | Enfoque | Reporta a | Rango salarial (EE.UU.) |
|---|---|---|---|
| CISO | Estrategia, riesgo, informes ejecutivos | CEO/CTO/CFO | $250K–$500K+ |
| VP/Director de Seguridad | Liderazgo del programa de seguridad | CISO o CTO | $180K–$300K |
| Security Manager | Gestión del equipo, operaciones | Director/CISO | $140K–$200K |
| Security Engineer | Implementación técnica, herramientas | Manager/Director | $120K–$180K |
| AppSec Engineer | Seguridad de aplicaciones, revisión de código | Manager/Director | $130K–$190K |
| Cloud Security Engineer | Seguridad de infraestructura en la nube | Manager/Director | $140K–$200K |
| GRC Analyst | Cumplimiento, política, riesgo | Manager/Director | $90K–$140K |
| SOC Analyst | Monitorización, detección de incidentes | Manager/SOC Lead | $70K–$110K |
| Security Analyst | Operaciones de seguridad general | Manager | $80K–$120K |
Dominios del equipo de seguridad
Una organización de seguridad típica bajo un CISO tiene tres dominios funcionales:
Ingeniería de seguridad — AppSec, seguridad en la nube, seguridad de infraestructura, DevSecOps, herramientas de seguridad
Operaciones de seguridad — SOC/monitorización, respuesta a incidentes, inteligencia de amenazas, gestión de vulnerabilidades
Gobernanza, Riesgo y Cumplimiento — política, cumplimiento, gestión de riesgos, seguridad de proveedores, auditoría
Tamaño del equipo por etapa de la empresa
| Tamaño de la empresa | Equipo de seguridad típico | Notas |
|---|---|---|
| Menos de 50 empleados | 0 (Security Champions) | Cobertura a tiempo parcial |
| 50–100 | 0–1 (primera contratación o fraccional) | Punto de transición |
| 100–250 | 1–2 | Primera persona dedicada |
| 250–500 | 2–5 | Equipo pequeño, roles amplios |
| 500–1.000 | 5–10 | Surgen roles especializados |
| 1.000–5.000 | 10–25 | Múltiples sub-equipos |
| 5.000+ | 25–100+ | Departamentos completos |
La industria importa: Las fintechs, atención médica y contratistas gubernamentales necesitan más seguridad antes. Las empresas B2C con datos de baja sensibilidad pueden mantenerse más ligeras por más tiempo.
La primera contratación de seguridad
La decisión más importante. Hágala bien.
Cuándo hacer la primera contratación
Contrate seguridad dedicada cuando al menos 3 de estas condiciones sean verdaderas:
- El trabajo de seguridad supera el 40% del tiempo de cualquier campeón
- Tiene o necesita SOC 2/ISO 27001
- Los clientes empresariales requieren un programa de seguridad formal
- La empresa supera los 100 empleados
- Ha tenido un incidente de seguridad que superó la capacidad a tiempo parcial
- El liderazgo está pidiendo responsabilidad en seguridad
Perfil para la primera contratación de seguridad
Su primera contratación debe ser un generalista, no un especialista.
Perfil ideal:
- 5–10 años de experiencia (no junior, no demasiado senior)
- Habilidades amplias: puede escribir políticas Y configurar herramientas
- Ha construido programas antes (idealmente en una empresa de tamaño similar)
- Comunicador fuerte (trabajará con todos los equipos)
- Cómodo con la ambigüedad (el programa aún no es maduro)
- Suficientemente técnico para ganarse el respeto de los desarrolladores
- Suficientemente orientado al negocio para hablar con los ejecutivos
Opciones de título:
- Security Lead
- Head of Security
- Director of Security (empresa pequeña)
- Security Manager
Evite: «CISO» demasiado pronto (a menos que la junta lo requiera), o títulos demasiado especializados.
Qué debe hacer la primera contratación
Primeros 90 días:
| Período | Enfoque |
|---|---|
| Días 1–30 | Evaluar: Reunirse con todos, entender el stack, identificar brechas |
| Días 31–60 | Priorizar: Crear hoja de ruta de seguridad, victorias rápidas |
| Días 61–90 | Ejecutar: Implementar los elementos de mayor prioridad |
Entregables del primer año:
- Hoja de ruta de seguridad alineada con el negocio
- Políticas básicas documentadas
- Capacidad de respuesta a incidentes
- Programa de Security Champions formalizado
- Métricas básicas e informes
- Progreso de cumplimiento (si aplica)
Primera contratación: construir vs. comprar
| Opción | Ventajas | Desventajas |
|---|---|---|
| Promover al Security Champion | Conoce la empresa, de confianza | Puede carecer de profundidad, expectativas de carrera |
| Contratar externamente | Perspectiva fresca, experiencia más amplia | Tiempo de incorporación, riesgo de encaje cultural |
| CISO fraccional | Experto bajo demanda, menor coste | A tiempo parcial, menos integrado |
| vCISO + consultor | Acceso a expertise, escalable | No es interno, sin lealtad |
Recomendación: Si un Security Champion ha crecido significativamente y quiere el rol, promuévalo con apoyo de formación. De lo contrario, contrate externamente y mantenga a los campeones como recursos integrados.
Escalar el equipo de seguridad
Secuencia de contratación
La mayoría de las empresas siguen este patrón:
Etapa 1 — Una persona (generalista). Security Lead que hace todo: controles técnicos, política, cumplimiento, respuesta a incidentes. Amplitud sobre profundidad.
Etapa 2 — Dos personas. Security Lead (estrategia + técnico) + GRC Analyst (cumplimiento + política). División técnica y de gobernanza.
Etapa 3 — Tres personas. Head of Security (estrategia + liderazgo) + Security Engineer (técnico) + GRC Analyst (cumplimiento). Propiedad dedicada por dominio.
Etapa 4 — Equipo especializado (5+). Director o VP de Seguridad liderando: Security Engineer (infraestructura), AppSec Engineer (seguridad del producto), GRC Analyst (cumplimiento), Security Analyst (operaciones).
Etapa 5 — Departamento completo (10+). CISO liderando tres gestores: Security Engineering Manager (ingenieros de AppSec, Cloud Security, DevSecOps) · Security Operations Manager (Analistas SOC, Respondedores de incidentes) · GRC Manager (Analistas de cumplimiento, Analistas de riesgo).
Decisión de segunda contratación
Su segunda contratación depende de su mayor brecha:
| Si su brecha es... | La segunda contratación debería ser... |
|---|---|
| Presión de cumplimiento | GRC Analyst |
| Deuda técnica | Security Engineer |
| Seguridad del producto | AppSec Engineer |
| Complejidad en la nube | Cloud Security Engineer |
| Sobrecarga de incidentes | Security Analyst |
Cuándo contratar un CISO
La pregunta del CISO: ¿lo necesita?
Necesita un CISO cuando:
- La junta/inversores requieren responsabilidad ejecutiva
- El presupuesto de seguridad supera los $500K
- Los requisitos regulatorios lo exigen
- La empresa tiene más de 500 empleados
- El equipo de seguridad tiene más de 5 personas
- Está en una industria altamente regulada
Alternativas al CISO:
- VP/Director de Seguridad — Reporta al CTO, cubre el liderazgo de seguridad sin nivel C
- CISO fraccional — Ejecutivo a tiempo parcial (2–4 días/mes), coste de $5K–$15K/mes
- Virtual CISO (vCISO) — La firma de consultoría proporciona servicios CISO bajo demanda
Verificación de la realidad: Muchas empresas de 100–500 personas tienen un «Head of Security» o «Director of Security» que hace un trabajo a nivel de CISO sin el título ni la compensación de C-suite.
Procesos del equipo de seguridad
Procesos básicos que todo equipo necesita
| Proceso | Propietario | Frecuencia |
|---|---|---|
| Evaluación de riesgos | CISO/Security Lead | Anualmente + cambios importantes |
| Gestión de vulnerabilidades | Ingeniería de seguridad | Continua |
| Revisiones de acceso | GRC + Líderes de equipo | Trimestralmente |
| Respuesta a incidentes | Operaciones de seguridad | Según sea necesario |
| Formación de concienciación en seguridad | GRC | Anualmente + nuevas incorporaciones |
| Evaluación de seguridad de proveedores | GRC | Por nuevo proveedor + anualmente |
| Revisión de políticas | GRC | Anualmente |
| Pruebas de penetración | Ingeniería de seguridad | Anualmente + versiones importantes |
| Preparación de auditorías | GRC | Por ciclo de auditoría |
| Revisión de métricas de seguridad | CISO | Mensual/Trimestral |
Modelo operativo
Cómo fluye el trabajo de seguridad:
Capa estratégica — CISO. Planificación de seguridad anual, definición del apetito de riesgo, asignación de presupuesto, informes a la junta. Establece la dirección y es dueño de la responsabilidad.
Capa táctica — Ingeniería de seguridad, SecOps, GRC. Tres equipos funcionales ejecutan la estrategia:
- Ingeniería de seguridad — despliegue de herramientas, revisión de arquitectura, DevSecOps
- Operaciones de seguridad — monitorización, respuesta a incidentes, caza de amenazas
- GRC — cumplimiento, gestión de políticas, seguridad de proveedores
Capa operativa — Equipos de desarrollo, TI, RRHH. Donde la seguridad se practica realmente día a día. Cada equipo tiene un Security Champion integrado — el tejido conectivo entre los estándares del equipo de seguridad y lo que realmente se construye y opera.
Reuniones del equipo de seguridad
| Reunión | Frecuencia | Asistentes | Propósito |
|---|---|---|---|
| Standup del equipo de seguridad | Diario/2x semana | Equipo de seguridad | Coordinación |
| Junta de revisión de seguridad | Semanal | Seguridad + líderes de ingeniería | Revisar cambios, riesgos |
| Sincronización de campeones | Mensual | Seguridad + todos los campeones | Alineación, intercambio de conocimiento |
| Comité de riesgos | Mensual | Seguridad + ejecutivos | Decisiones de riesgo |
| Actualización de seguridad a la junta | Trimestral | CISO + junta | Informes ejecutivos |
Security Champions en una organización madura
Aquí está el punto clave: Los Security Champions no desaparecen cuando usted contrata un equipo de seguridad. Se vuelven más importantes.
Por qué los campeones siguen importando
Un CISO y un equipo de seguridad no pueden:
- Asistir a la planificación de sprint de cada equipo
- Revisar cada pull request
- Conocer en profundidad cada código base
- Estar disponibles para cada pregunta de seguridad
- Entender el contexto de cada equipo
Los números no funcionan:
Empresa: 500 empleados
Ingeniería: 200 desarrolladores
Equipos: 25 (promedio de 8 desarrolladores cada uno)
Equipo de seguridad: 5 personas
Si el equipo de seguridad revisa cada cambio:
- PRs por día: ~100
- Capacidad del equipo de seguridad: 20 revisiones/día
- Resultado: 80% de PRs sin revisar
Con Security Champions (1 por equipo):
- Campeones: 25
- PRs por campeón: 4/día
- Resultado: Todos los PRs reciben consideración de seguridad
- Equipo de seguridad: Se enfoca en los elementos de alto riesgo
El nuevo rol del campeón
Cuando existe un equipo de seguridad, los campeones evolucionan:
| Antes del equipo de seguridad | Con el equipo de seguridad |
|---|---|
| «Soy la única persona de seguridad» | «Soy la presencia de seguridad en mi equipo» |
| Crear programas de seguridad | Ejecutar programas de seguridad localmente |
| Definir políticas | Implementar y adaptar políticas |
| Ser dueño de la respuesta a incidentes | Primer respondedor, escalar al equipo |
| Elegir herramientas de seguridad | Usar y defender las herramientas de seguridad |
| Reportar al liderazgo | Reportar al equipo de seguridad |
Relación campeón ↔ equipo de seguridad
La relación funciona en ambas direcciones.
Lo que el equipo de seguridad proporciona a los campeones:
- Formación y habilitación
- Herramientas y recursos
- Ruta de escalada para problemas complejos
- Guía de políticas e inteligencia de amenazas
- Apoyo especializado cuando sea necesario
Lo que los campeones proporcionan al equipo de seguridad:
- Aplicación de la seguridad local dentro de su equipo
- Identificación de riesgos cercana al código
- Primera respuesta a incidentes antes de la escalada
- Entrega de formación en el contexto del equipo
- Retroalimentación sobre si las políticas son practicables
Cómo se mantienen conectados: canal dedicado de Slack, sincronización mensual, horario de atención.
Cada campeón conoce en profundidad el stack de su equipo, es de confianza entre sus compañeros, sirve como el primer punto de contacto para preguntas de seguridad, aplica las prácticas de seguridad en el contexto de su equipo y escala cuando algo está fuera de su alcance.
El campeón como «mini-CISO»
Piense en cada Security Champion como un CISO en miniatura para su equipo:
| Responsabilidad del CISO | Equivalente del campeón |
|---|---|
| Estrategia de seguridad de toda la empresa | Hoja de ruta de seguridad del equipo |
| Evaluación de riesgos empresarial | Concienciación sobre riesgos a nivel de equipo |
| Políticas de seguridad | Aplicación de políticas en el contexto del equipo |
| Formación de seguridad para la empresa | Relevancia de la formación para el equipo |
| Informes ejecutivos | Informes al líder del equipo |
| Seguridad de proveedores | Dependencias e integraciones |
| Mando en incidentes | Primera respuesta a incidentes |
| Programa de cumplimiento | Ejecución del cumplimiento en el equipo |
La diferencia: Escala y autoridad, no sustancia. Un campeón piensa en la seguridad de la misma manera que un CISO — solo para un alcance más pequeño.
Lo que los campeones no necesitan saber
Como Security Champion, no se espera que usted:
| No es su trabajo | Quién lo maneja |
|---|---|
| Diseñar la arquitectura de seguridad de la empresa | Arquitectura de seguridad / CISO |
| Gestionar las auditorías de cumplimiento | Equipo GRC |
| Ejecutar pruebas de penetración | Ingeniería de seguridad (o contratistas) |
| Construir la monitorización de seguridad | Operaciones de seguridad |
| Negociar términos de seguridad en contratos | Legal + GRC |
| Presentar a la junta | CISO |
| Gestionar el presupuesto de seguridad | Liderazgo de seguridad |
| Definir el apetito de riesgo de la empresa | CISO + ejecutivos |
Su trabajo: Seguridad en el dominio de su equipo. Eso es suficiente. Eso es importante.
Construir un equipo de seguridad: hoja de ruta de 12 meses
Si usted es el Security Champion planificando el crecimiento
Fase 1: Validar la necesidad (meses 1–2)
- Documentar la carga de trabajo de seguridad actual
- Calcular el tiempo dedicado a la seguridad vs. el trabajo principal
- Identificar las brechas que no puede cubrir
- Cuantificar el riesgo de las brechas (incidentes, cumplimiento, contratos)
- Construir el caso de negocio para la primera contratación
Fase 2: Primera contratación (meses 3–5)
- Definir el perfil del candidato ideal
- Obtener la aprobación del headcount
- Redactar la descripción del puesto
- Entrevistar y contratar
- Incorporar al nuevo líder de seguridad
- Hacer la transición del conocimiento y las relaciones
Fase 3: Formalizar el programa (meses 6–8)
- El nuevo líder crea la hoja de ruta de seguridad
- Formalizar el programa de Security Champions
- Definir la relación campeón ↔ equipo de seguridad
- Establecer reuniones de sincronización regulares
- Crear procedimientos de escalada
Fase 4: Escalar (meses 9–12)
- Evaluar la necesidad de segunda contratación
- Los campeones continúan el trabajo integrado
- El equipo de seguridad maneja las funciones especializadas
- Medir y mejorar la eficacia del programa
- Planificar el crecimiento del próximo año
Si usted es el nuevo líder de seguridad heredando campeones
Mes 1: Escuchar y aprender
- Reunirse con cada Security Champion
- Entender su trabajo y sus desafíos
- Identificar lo que han construido que funciona
- Encontrar brechas en el enfoque actual
Mes 2: Formalizar la relación
- Definir el rol del campeón claramente
- Crear canales de comunicación
- Configurar sincronizaciones regulares
- Proporcionar los recursos que los campeones necesitan
Mes 3: Empoderar y apoyar
- Formación para los campeones (si es necesario)
- Herramientas y plantillas
- Ruta de escalada clara
- Reconocimiento y apreciación
Continuo: Asociación
- Los campeones son su multiplicador de fuerza
- Invierta en su éxito
- Escuche su retroalimentación
- Celebre sus victorias
Errores comunes al construir equipos de seguridad
Error 1: Contratar demasiado senior demasiado pronto
El problema: La primera contratación es un líder de nivel VP sin nadie a quien liderar.
Por qué falla: Los líderes senior quieren liderar, no hacer. La seguridad en etapas tempranas necesita ejecutores.
Solución: Contrate player-coaches al principio. Personas que puedan liderar Y ejecutar.
Error 2: Contratar demasiado especializado
El problema: La primera contratación es un pentester o analista SOC.
Por qué falla: Primero necesita un generalista. Los especialistas vienen después.
Solución: Las primeras 1–2 contrataciones deben ser amplias. Especialícese cuando el equipo supere los 3.
Error 3: Ignorar a los campeones existentes
El problema: El nuevo equipo de seguridad trata a los campeones como irrelevantes o amenazas.
Por qué falla: Los campeones tienen contexto, relaciones y momentum. Ignorarlos desperdicia esa inversión.
Solución: Los campeones son socios. Intégrelos en la nueva estructura.
Error 4: Seguridad como obstáculo
El problema: El equipo de seguridad se ve a sí mismo como guardabarreras, no como habilitador.
Por qué falla: Los equipos esquivan la seguridad, ocultan problemas, resienten la función.
Solución: La seguridad habilita el negocio. «¿Cómo podemos hacer esto de forma segura?» no «No».
Error 5: Centralizar todo
El problema: El equipo de seguridad intenta hacer todo el trabajo de seguridad de forma centralizada.
Por qué falla: No escala. Crea cuellos de botella. Pierde el contexto del equipo.
Solución: El equipo de seguridad proporciona marcos. Los equipos (con campeones) ejecutan.
Error 6: Sin ruta de carrera para los campeones
El problema: Los campeones hacen un trabajo valioso pero no tienen trayectoria de crecimiento.
Por qué falla: Los mejores campeones se van o se desvinculan.
Solución: Los campeones pueden convertirse en miembros del equipo de seguridad, campeones senior, o ganar reconocimiento en su pista principal.
Historias reales: construir equipos de seguridad
Historia 1: De campeón a líder de equipo
Empresa: SaaS B2B de 80 personas, un desarrollador se convirtió en Security Champion.
Trayectoria:
- Año 1: Desarrollador dedica el 20% a la seguridad, rol de campeón informal
- Año 2: El trabajo de seguridad crece al 50%, la empresa decide formalizarlo
- Año 3: El campeón se convierte en «Security Lead» (a tiempo completo), contrata un analista GRC
- Año 4: El equipo crece a 4 (Security Lead, GRC, 2 Security Engineers)
Reflexión del campeón: «Cuando hice la transición a la seguridad a tiempo completo, me preocupaba perder la conexión con el equipo de desarrollo. Ocurrió lo contrario — me convertí en el puente entre la seguridad y la ingeniería. Sigo revisando código y uniendo a las discusiones de arquitectura, pero ahora tengo un equipo que se ocupa del cumplimiento y las herramientas.»
Lo que funcionó:
- Transición gradual, no cambio repentino
- Relaciones con los campeones intactas
- Contrató habilidades complementarias (GRC primero, no otro generalista)
Historia 2: Contratación externa de CISO
Empresa: Fintech de 150 personas, sin experiencia interna en seguridad.
Trayectoria:
- Contrató un CISO directamente (caro, $280K)
- El CISO construyó un equipo de 3 personas en el primer año
- Creó el programa de Security Champions desde cero
- Alcanzó SOC 2 Type II en 14 meses
Lo que funcionó:
- El CISO aportó experiencia empresarial
- Estableció rápidamente credibilidad con la junta
- Invirtió en los campeones como multiplicador de fuerza
Lo que fue difícil:
- El CISO no conocía el código base — dependía en gran medida de los campeones
- Choque cultural inicial (seguridad vs. velocidad)
- El primer año fue intenso para todos
Historia 3: El enfoque fraccional
Empresa: Startup de 60 personas, presupuesto ajustado.
Trayectoria:
- Contrató un CISO fraccional (3 días/mes, $8K/mes)
- El CISO fraccional guio a 2 Security Champions
- Los campeones hicieron la ejecución, el CISO proporcionó la estrategia
- Después de 18 meses, contrató un Security Lead a tiempo completo
Lo que funcionó:
- Bajo coste mientras se obtiene orientación experta
- Los campeones crecieron significativamente con la mentoría
- Transición fluida cuando el presupuesto permitió la contratación a tiempo completo
Lo que fue difícil:
- El CISO fraccional no siempre estaba disponible para problemas urgentes
- Los campeones llevaban una carga pesada
- Sobrecarga de coordinación entre personas a tiempo parcial y tiempo completo
Planificación del presupuesto del equipo de seguridad
Costes típicos por tamaño del equipo
| Tamaño del equipo | Coste anual (totalmente cargado) | Notas |
|---|---|---|
| 1 persona | $200–300K | Salario + beneficios + herramientas |
| 2 personas | $350–500K | + plataforma de cumplimiento |
| 3 personas | $500–700K | + herramientas especializadas |
| 5 personas | $900K–1,2M | + contratistas para proyectos |
| 10 personas | $1,8–2,5M | Costes del departamento completo |
Desglose del presupuesto
| Categoría | % del presupuesto de seguridad | Ejemplos |
|---|---|---|
| Personal | 60–75% | Salarios, beneficios |
| Herramientas/plataformas | 15–25% | SIEM, EDR, plataforma de cumplimiento, escáneres |
| Contratistas/consultores | 5–15% | Pentests, auditorías, apoyo fraccional |
| Formación/certs | 2–5% | Certificaciones, conferencias |
| Otros | 2–5% | Bug bounty, seguros |
Presupuesto de muestra: equipo de 3 personas
## Presupuesto anual de seguridad (equipo de 3 personas)
Personal: $550.000
Security Lead $200.000
Security Engineer $180.000
GRC Analyst $130.000
Beneficios/impuestos (25%) $40.000
Herramientas y plataformas: $120.000
Plataforma de cumplimiento (Vanta) $25.000
SIEM/Registro $30.000
EDR $20.000
Escáner de vulnerabilidades $15.000
Plataforma de concienciación $10.000
Otras herramientas $20.000
Contratistas/Consultoría: $50.000
Pentest anual $25.000
Auditoría SOC 2 $20.000
Consultoría especializada $5.000
Formación y desarrollo: $15.000
Certificaciones $8.000
Conferencias $5.000
Suscripciones de formación $2.000
Contingencia (10%): $73.500
TOTAL: $808.500
Externalizar vs. internalizar
Cuándo construir internamente vs. usar recursos externos.
Cuándo externalizar
| Función | Externalizar cuando... | Opciones |
|---|---|---|
| Pruebas de penetración | Casi siempre (se requiere objetividad) | Firmas boutique, bug bounty |
| Auditorías de cumplimiento | Obligatorio (independencia) | Firmas CPA |
| Respuesta a incidentes | Incidentes importantes, sin capacidad interna | Retainers de IR (Mandiant, CrowdStrike) |
| CISO fraccional | Demasiado pronto para contratación a tiempo completo | Servicios vCISO |
| Monitorización de seguridad | No puede construir un SOC 24/7 | Detección gestionada (Arctic Wolf, Expel) |
| Proyectos especializados | Necesidad única | Consultores |
Cuándo internalizar
| Función | Internalizar cuando... | Razón |
|---|---|---|
| Estrategia de seguridad | Competencia central | Necesita contexto de la empresa |
| Seguridad de aplicaciones | Integración profunda del producto | Necesita conocimiento del código base |
| Ingeniería de seguridad | Necesidad continua | Trabajo de integración diario |
| Gestión del cumplimiento | Operación continua | Atención a tiempo completo |
| Cultura de seguridad | Central para el negocio | Campeones + equipo interno |
Modelo híbrido
La mayoría de las empresas usan un modelo híbrido:
Equipo interno:
• Estrategia y liderazgo
• Operaciones del día a día
• Seguridad de aplicaciones
• Gestión del cumplimiento
Apoyo externo:
• Pruebas de penetración (trimestral)
• Auditorías (anual)
• Respuesta a incidentes (en retainer)
• Proyectos especializados (según sea necesario)
• Monitorización 24/7 (opcional)
Guía de contratación: descripciones de puestos y entrevistas
Descripción de puesto de muestra: primera contratación de seguridad
## Security Lead
Sobre el rol:
Buscamos a nuestra primera contratación de seguridad dedicada para construir
y liderar nuestro programa de seguridad. Trabajará estrechamente con
ingeniería, TI y el liderazgo para proteger a nuestros clientes y empresa.
Lo que hará:
• Construir y ser dueño de nuestro programa de seguridad desde cero
• Liderar los esfuerzos de cumplimiento (SOC 2, potencialmente ISO 27001)
• Coordinar con Security Champions en todos los equipos de ingeniería
• Implementar y gestionar herramientas y procesos de seguridad
• Realizar evaluaciones de riesgo e impulsar la remediación
• Desarrollar políticas y formación de seguridad
• Responder a incidentes de seguridad
• Informar sobre la postura de seguridad al liderazgo
Lo que aporta:
• 5+ años en seguridad (combinación de trabajo técnico y de programa)
• Experiencia construyendo programas de seguridad en una empresa en crecimiento
• Comprensión de la seguridad en la nube (AWS/GCP)
• Conocimiento de marcos de cumplimiento (SOC 2, ISO 27001)
• Sólidas habilidades de comunicación (audiencias técnicas y ejecutivas)
• Capacidad para trabajar de forma independiente y priorizar
• Bonus: Experiencia en desarrollo
Lo que ofrecemos:
• Oportunidad de construir algo desde cero
• Impacto directo en la seguridad de la empresa
• Camino al liderazgo a medida que el equipo crece
• [Compensación, beneficios, etc.]
Preguntas de entrevista para contrataciones de seguridad
Técnicas:
- «Explíqueme cómo evaluaría la seguridad de nuestra aplicación.»
- «Tenemos una auditoría SOC 2 en 6 meses. ¿Cuál es su plan de 90 días?»
- «Describa una vulnerabilidad significativa que encontró y cómo la abordó.»
- «¿Cómo aborda el modelado de amenazas para una nueva funcionalidad?»
Construcción de programas:
- «Cuénteme sobre un programa de seguridad que construyó. ¿Qué funcionó? ¿Qué no?»
- «¿Cómo prioriza el trabajo de seguridad cuando todo parece urgente?»
- «¿Cómo consigue el apoyo de los equipos de ingeniería que ven la seguridad como un bloqueador?»
- «Describa su enfoque para trabajar con Security Champions.»
Respuesta a incidentes:
- «Cuénteme sobre un incidente de seguridad que manejó. Lléveme desde la detección hasta la resolución.»
- «¿Cómo equilibra la velocidad vs. la exhaustividad durante un incidente?»
- «¿Cómo decide cuándo escalar o involucrar recursos externos?»
Cultura y comunicación:
- «¿Cómo hace que la seguridad sea accesible para las personas que no son de seguridad?»
- «Describa un momento en que tuvo que rechazar una decisión de negocio por razones de seguridad.»
- «¿Cómo mide el éxito de un programa de seguridad?»
Señales de alerta en los candidatos:
- No puede explicar los conceptos de seguridad de forma simple
- Solo habla de herramientas, no de procesos o personas
- Sin experiencia con las compensaciones negocio/producto
- Actitud de «la seguridad dice que no»
- No puede dar ejemplos concretos
Puntos de vista de expertos
Sobre el rol de Security Champion
«Las mejores organizaciones de seguridad que he visto tratan a los Security Champions como la primera línea de defensa, no como un trampolín. Los campeones que permanecen en sus equipos durante años son increíblemente valiosos — conocen todo sobre su dominio y han ganado confianza que ningún equipo de seguridad externo puede replicar.»
Sobre las primeras contrataciones
«He visto empresas contratar a un líder de nivel VP cuando necesitaban un ingeniero de seguridad. El VP estaba frustrado porque no había nadie a quien liderar, y el trabajo técnico no se estaba haciendo. Haga coincidir el rol con la necesidad real.»
Sobre la estructura del equipo
«No copie el organigrama de seguridad de Google. Ellos tienen problemas diferentes a una escala diferente. Su estructura debe reflejar SUS riesgos, SU negocio y SUS recursos. Empiece simple. Evolucione según sea necesario.»
Sobre los campeones con un equipo de seguridad
«Cuando contratamos a nuestra primera persona de seguridad, me preocupaba que mi trabajo de Security Champion se volviera irrelevante. Ocurrió lo contrario. Me convertí en el socio más valioso del equipo de seguridad porque conocía nuestro producto en profundidad. Trabajamos juntos, no en competencia.»
Cómo explicar esto al liderazgo
Si está abogando por la primera contratación de seguridad:
«He estado manejando la seguridad a tiempo parcial, pero hemos llegado al punto en que esto no es sostenible. El trabajo de seguridad ahora consume más del 50% de mi tiempo, y sigo sin cubrir todo lo que necesitamos. Una persona dedicada a la seguridad:
- Será dueña de los esfuerzos de cumplimiento (SOC 2, ISO) a los que no puedo comprometerme completamente
- Reducirá el riesgo que actualmente no está gestionado
- Me liberará para volver a [rol principal] a tiempo completo
- Permitirá a los Security Champions como yo enfocarnos en nuestros equipos
Inversión: Una contratación senior (~$150–180K totalmente cargado). ROI: Cumplimiento más rápido, riesgo reducido, contratos empresariales desbloqueados.»
Si usted es un nuevo líder de seguridad explicando los campeones:
«Los Security Champions son nuestro multiplicador de fuerza. No puedo estar en la reunión de cada equipo, revisar cada PR o conocer cada código base. Pero con un campeón en cada equipo:
- La seguridad está presente en todas partes
- Los problemas se detectan antes
- Los equipos tienen expertos locales en quienes confían
- Mi equipo se enfoca en lo que solo nosotros podemos hacer
Quiero invertir en el programa de campeones, no reemplazarlo.»
Taller: planificación del equipo de seguridad
Parte 1: Evaluar el estado actual (1 hora)
- Documentar todo el trabajo relacionado con la seguridad que ocurre hoy
- ¿Quién lo hace? ¿Cuánto tiempo?
- ¿Qué no se está haciendo?
- ¿Cuáles son los riesgos de las brechas actuales?
Entregable: Evaluación de la carga de trabajo de seguridad
Parte 2: Definir el estado objetivo (1 hora)
- ¿Cómo se ve la seguridad «buena» en 12 meses?
- ¿Qué roles lo apoyarían?
- ¿Qué harían los campeones vs. el equipo de seguridad?
- ¿Cómo trabajarían juntos?
Entregable: Descripción del estado objetivo
Parte 3: Construir la hoja de ruta (1 hora)
- ¿Cuál es el perfil de la primera contratación?
- ¿Cuándo es el momento adecuado?
- ¿Cuál es el plan de transición para los campeones actuales?
- ¿Cuál es el caso de negocio?
Entregable: Hoja de ruta de contratación y caso de negocio
Parte 4: Diseño del programa de campeones (1 hora)
- ¿Cómo trabajan los campeones con el equipo de seguridad?
- ¿Qué se espera de los campeones?
- ¿Qué obtienen los campeones a cambio?
- ¿Cómo mide el éxito?
Entregable: Diseño del programa de campeones para una organización madura
Puntos clave
-
Los Security Champions no son un trampolín — son una parte permanente del modelo de seguridad. Incluso con un CISO y un equipo completo, los campeones siguen siendo esenciales.
-
Un campeón es como un mini-CISO para su equipo. Misma mentalidad, alcance más pequeño.
-
No necesita saberlo todo. Conozca la seguridad en SU dominio. Eso es valioso. Eso es suficiente.
-
El equipo de seguridad habilita, los campeones ejecutan localmente. Es una asociación.
-
La primera contratación debe ser un generalista. Los especialistas vienen después.
-
La cultura importa más que la estructura. Un equipo pequeño con fuertes asociaciones de campeones supera a un equipo grande que ignora el negocio.
Conclusión
Un equipo de seguridad no reemplaza a los Security Champions — los habilita. Los campeones manejan la seguridad localmente; el equipo establece estándares, construye herramientas y maneja lo que los equipos individuales no pueden. Esa asociación es cómo escala la seguridad.
El rol de Security Champion con el que empezó no es un trampolín que deja atrás. Es el modelo que replica en toda la organización.
Qué sigue
Vuelva a la visión general del curso o explore la OWASP Security Champions Guidebook para recursos de la comunidad.