Encuesta: El rol de CISO evoluciona más rápido que los sueldos crecen

Una encuesta de 830 CISOs encuentra que muchos de ellos, para bien o para mal, están asumiendo más responsabilidades sin necesariamente recibir ninguna compensación adicional.

Realizada por IANS Research y Artico Search, una firma de reclutamiento ejecutivo, la encuesta revela que hasta una cuarta parte de los encuestados han asumido la responsabilidad de, por ejemplo, operaciones de TI, gestión del cambio, gobierno de datos, inteligencia artificial (IA) o transformación digital de negocios. En total, el 15% de los encuestados señaló que su organización ahora tiene un puesto dual de CISO/CIO.

Sin embargo, los aumentos provocados por la asunción de responsabilidades adicionales son raros. Solo el 3% de los CISOs atribuyeron sus aumentos más recientes a asumir roles más grandes, con un crecimiento salarial promedio del 13%. La mayoría de los CISOs (70%), en comparación, indicaron que sus aumentos fueron incrementos anuales por mérito, promediando un 6%.

En general, el 39% de los encuestados tienen algún tipo de título a nivel ejecutivo, y poco menos de la mitad de los encuestados (47%) informan que se relacionan con el consejo de administración de su organización mensualmente o trimestralmente.

Aunque los CISOs pueden no estar viendo aumentar el tamaño de sus cheques de pago al asumir más responsabilidades, la tendencia en sí ya es inexorable. A medida que más organizaciones se dan cuenta de que las preocupaciones sobre ciberseguridad deben abordarse en cada proceso empresarial, están ampliando el alcance de la definición del trabajo del CISO. Eso puede naturalmente dejar a los CISOs sintiéndose algo conflictuados, pero si la alternativa es no ser incluidos en decisiones más amplias que impactan la ciberseguridad, solo hay una opción real. Se podría argumentar que la única manera de tener éxito como CISO en la era moderna es involucrarse lo más profundamente posible en los flujos de trabajo empresariales en lugar de intentar añadir procesos de ciberseguridad a ellos después de que ya hayan sido definidos.

Por supuesto, el desafío es que a medida que los ciberataques aumentan en volumen y sofisticación, muchos CISOs están tratando de desviar más recursos hacia el análisis de amenazas. Una forma de lograr ese objetivo es transferir más responsabilidad para gestionar las operaciones de seguridad (SecOps), como actualizar los cortafuegos, a un equipo de TI. Sin embargo, a medida que aumenta ese nivel de convergencia, no pasará mucho tiempo antes de que el liderazgo dentro de una organización debata el grado en que los roles de CIO y CISO deberían unificarse.

Por muy tentador que sea financieramente, sin embargo, la convergencia de esos roles puede fácilmente llevar a una situación en la que no haya ninguna revisión independiente de ciberseguridad de los procesos de TI que se están empleando. En efecto, el equipo de TI termina vigilando el gallinero que construyó con cariño en lugar de depender más de una opinión externa para determinar cuán robusta es realmente la seguridad que se está aplicando.

Cada organización deberá determinar por sí misma qué nivel de compensación podría estar dispuesta a hacer, pero no hay pase libre. Siempre habrá la necesidad de garantizar que los dólares del presupuesto asignados a la ciberseguridad se gasten de la manera más eficiente posible, pero inevitablemente llega un punto en el que menos simplemente es peor. De hecho, dado el costo potencial total de una violación de ciberseguridad, gastar menos en ciberseguridad puede fácilmente resultar ser solo otro caso de ser ahorrativo en lo pequeño y derrochador en lo grande. El verdadero problema, como siempre, es asegurarse de que la ciberseguridad esté profundamente integrada de una manera que, con suerte, mantenga el número real de incidentes de ciberseguridad encontrados al mínimo posible.