Sondaggio: il ruolo del CISO evolve più rapidamente rispetto alla crescita degli stipendi

Un sondaggio su 830 CISO rileva che molti di loro, nel bene o nel male, stanno assumendo più responsabilità senza necessariamente ricevere alcuna compensazione aggiuntiva.

Condotto da IANS Research e Artico Search, una società di ricerca esecutiva, il sondaggio rileva che fino a un quarto degli intervistati ha assunto la responsabilità, ad esempio, delle operazioni IT, della gestione del cambiamento, della governance dei dati, dell'intelligenza artificiale (AI) o della trasformazione digitale del business. In totale, il 15% degli intervistati ha notato che la loro organizzazione ha ora una posizione duale di CISO/CIO.

Tuttavia, gli aumenti dovuti all'assunzione di responsabilità aggiuntive sono rari. Solo il 3% dei CISO ha attribuito i loro aumenti più recenti all'assunzione di ruoli più ampi, con una crescita salariale media del 13%. La maggior parte dei CISO (70%), in confronto, ha indicato che i loro aumenti erano aumenti annuali di merito, con una media del 6%.

Complessivamente, il 39% degli intervistati ha un qualche tipo di titolo a livello esecutivo, con poco meno della metà degli intervistati (47%) che riferisce di coinvolgere il consiglio di amministrazione della propria organizzazione mensilmente o trimestralmente.

Sebbene i CISO potrebbero non vedere aumentare la loro busta paga man mano che assumono maggiori responsabilità, la tendenza stessa è già inesorabile. Poiché più organizzazioni si rendono conto che le preoccupazioni relative alla sicurezza informatica devono essere affrontate in ogni processo aziendale, stanno ampliando l'ambito della definizione del lavoro del CISO. Questo può naturalmente lasciare i CISO un po' in conflitto, ma se l'alternativa è non essere inclusi in decisioni più ampie che impattano sulla sicurezza informatica, c'è solo una vera opzione. Probabilmente, l'unico modo per avere successo come CISO nell'era moderna è essere coinvolti il più profondamente possibile nei flussi di lavoro aziendali, piuttosto che cercare di aggiungere processi di sicurezza informatica a quelli già definiti.

La sfida, naturalmente, è che man mano che gli attacchi informatici aumentano in volume e sofisticazione, molti CISO stanno cercando di deviare più risorse per analizzare le minacce. Un modo per raggiungere questo obiettivo è spostare più responsabilità nella gestione delle operazioni di sicurezza (SecOps), come l'aggiornamento dei firewall, a un team IT. Tuttavia, man mano che quel livello di convergenza aumenta, non passerà molto tempo prima che la leadership all'interno di un'organizzazione discuta il grado in cui i ruoli di CIO e CISO dovrebbero essere unificati.

Per quanto possa essere finanziariamente allettante, tuttavia, la convergenza di questi ruoli può facilmente portare a una situazione in cui non vi è alcuna revisione indipendente della sicurezza informatica dei processi IT impiegati. In effetti, il team IT finisce per custodire il pollaio che ha costruito con cura anziché fare più affidamento su un parere di terze parti per determinare quanto sia realmente robusta la sicurezza applicata.

Ogni organizzazione dovrà determinare da sola quale livello di compromesso sia disposta a fare, ma non c'è un pass gratuito. Ci sarà sempre la necessità di garantire che i dollari del budget allocati per la cybersecurity siano spesi nel modo più efficiente possibile, ma inevitabilmente arriva un punto in cui spendere meno è semplicemente peggio. Infatti, dato il costo potenziale totale di una violazione della cybersecurity, spendere meno sulla cybersecurity può facilmente finire per essere solo un altro caso di risparmio sciocco e spesa avventata. La vera questione, come sempre, è assicurarsi che la cybersecurity sia profondamente radicata in un modo che, si spera, mantenga il numero effettivo di incidenti di cybersecurity affrontati al minimo possibile.