Pesquisa: Função do CISO evolui mais rapidamente do que os salários crescem

Um inquérito a 830 CISOs revela que muitos deles, para melhor ou pior, estão a assumir mais responsabilidades sem necessariamente receber qualquer compensação adicional.

Realizada pela IANS Research e pela Artico Search, uma empresa de recrutamento executivo, a pesquisa revela que até um quarto dos inquiridos assumiu a responsabilidade por, por exemplo, operações de TI, gestão de mudanças, governação de dados, inteligência artificial (IA) ou transformação digital dos negócios. No total, 15% dos inquiridos observaram que a sua organização agora tem uma posição dupla de CISO/CIO.

No entanto, aumentos provocados pela assunção de responsabilidades adicionais são raros. Apenas 3% dos CISOs atribuíram os seus aumentos mais recentes à assunção de papéis maiores, com o crescimento salarial médio a ser de 13%. A maioria dos CISOs (70%), em comparação, indicou que os seus aumentos foram aumentos anuais por mérito, com uma média de 6%.

No total, 39% dos inquiridos têm algum tipo de cargo de nível executivo, com pouco menos de metade dos inquiridos (47%) a informar que interagem com o conselho de administração da sua organização mensalmente ou trimestralmente.

Embora os CISOs possam não estar a ver o tamanho dos seus salários aumentar à medida que assumem mais responsabilidades, a tendência em si já é inexorável . À medida que mais organizações percebem que as preocupações com a cibersegurança precisam de ser abordadas em todos os processos de negócio, estão a aumentar o âmbito da definição do trabalho do CISO. Isso pode naturalmente deixar os CISOs a sentirem-se um tanto conflituosos, mas se a alternativa é não serem incluídos em decisões mais amplas que impactam a cibersegurança, há apenas uma opção real. Pode-se argumentar que a única maneira de ter sucesso como CISO na era moderna é estar envolvido o mais profundamente possível nos fluxos de trabalho de negócio, em vez de tentar adicionar processos de cibersegurança a eles depois de já terem sido definidos.

O desafio, claro, é que à medida que os ciberataques aumentam em volume e sofisticação, muitos CISOs estão a tentar desviar mais recursos para analisar ameaças. Uma maneira de alcançar esse objetivo é transferir mais responsabilidade pela gestão das operações de segurança (SecOps), como atualizar firewalls, para uma equipa de TI. No entanto, à medida que esse nível de convergência aumenta, não vai demorar muito para que a liderança dentro de uma organização debata até que ponto os papéis de CIO e CISO devem ser unificados.

Por mais financeiramente tentador que isso seja, no entanto, a convergência desses papéis pode facilmente levar a uma situação em que não há qualquer revisão independente de cibersegurança dos processos de TI em uso. Na prática, a equipa de TI acaba por proteger o galinheiro que construiu com carinho em vez de depender mais de uma opinião de terceiros para determinar quão robusta é realmente a segurança aplicada.

Cada organização precisará determinar por si própria qual o nível de compromisso que poderá estar disposta a fazer, mas não há caminho livre. Sempre haverá a necessidade de garantir que os dólares do orçamento atribuídos à cibersegurança sejam gastos da forma mais eficiente possível, mas inevitavelmente chega um ponto em que menos é simplesmente pior. Na verdade, dado o custo potencial total de uma violação de cibersegurança, gastar menos em cibersegurança pode facilmente acabar por ser apenas mais um exemplo de ser poupado na coisa errada. A questão real, como sempre, é garantir que a cibersegurança esteja profundamente incorporada de forma a, esperançosamente, manter o número real de incidentes de cibersegurança encontrados no mínimo possível.