O papel dos CISO (Chief Information Security Officer) tornou-se ainda mais importante no último ano, uma vez que as tecnologias digitais se tornaram cada vez mais predominantes e o trabalho à distância tornou-se a norma em muitas indústrias. O recente inquérito “2021 Global Chief Information Security Officer (CISO) Survey” da Heidrick & Struggles analisa o presente e futuro desta função dentro das organizações.
No contexto do trabalho remoto e das interacções online com os clientes, é pouca surpreendente que este ano os CISOs tenham dito com mais frequência que se concentram na segurança de rede/cloud e na gestão da identidade. Isto é uma mudança do foco na segurança dos endpoints, que foi um foco significativo para os CISOs durante muitos anos. Isto é provavelmente o resultado de empresas que se movem cada vez mais para a nuvem, levando a um foco na segurança da plataforma em vez dos tradicionais endpoints. Além disso, houve algumas diferenças regionais notáveis no foco dos CISO.
Há cinco funções que a maioria das CISO reportam, as quais são, no conjunto, consistentes com o seu foco geral. A forte presença da segurança de aplicação/produto como parte regular do trabalho de um CISO é uma função cada vez mais importante.
A maioria dos CISOs que responderam ao inquérito, 86%, desempenhavam papéis a nível mundial (variando de um máximo de 90% no Reino Unido a um mínimo de 63% na Ásia-Pacífico). Mais de um quarto, 28%, estão nesta função há mais de cinco anos. De facto, embora haja uma percepção de rápida rotação e baixa permanência nas funções de CISO, este inquérito mostra que 56% destes CISO desempenham a função há pelo menos três anos, com pouca variação entre regiões.
Os CISOs reportaram ou equipas bastante pequenas ou bastante grandes: 38% de todos aos CISOs inquiridos disseram ter 25 ou menos pessoas a reportar-lhes, enquanto 29% disseram ter 101 ou mais pessoas directas.
A maioria dos CISOs reporta a outra pessoa que não a CIO. Globalmente, 11% respondem directamente ao CEO, e um quarto das CISOs na Europa disse que o fazem (muitos dos inquiridos da Europa estão em empresas mais pequenas, onde esta estrutura é mais comum).
Apesar da baixa percentagem de CISOs que têm assento no conselho de administração, os CISOs têm uma grande visibilidade junto do conselho de administração: 90% disseram que se apresentam directamente ao conselho de administração e/ou comité de auditoria da sua empresa, três quartos deles numa base trimestral. Estes números variam pouco a nível regional.
Quase metade de todos os CISOs disseram que têm assento num conselho consultivo, não necessariamente na sua própria empresa – e dois terços na Ásia-Pacífico disseram que o fazem. No entanto, globalmente, apenas 4% disseram que têm assento num conselho de administração da empresa. Este número baixo é consistente com os relatórios anuais da Heidrick & Struggles, que mostram que apenas 6% dos directores acrescentados aos conselhos na Europa em 2020 e 8% dos que nos Estados Unidos tinham conhecimentos de cibersegurança de qualquer tipo.
Dada a crescente importância estratégica e operacional da cibersegurança para todas as organizações, “esperamos ver muito mais empresas a trazer este conhecimento para o seu conselho principal em vez de dependerem de conselheiros”, diz o relatório.
Dois tipos de CISOs
No ano passado, foram identificados três tipos básicos de funções do CISO na América do Norte: um líder de segurança tradicional, um líder de Risco/Trust, e um papel a que foi chamado de CISO Plus, que tem um mandato mais amplo.
Com o âmbito global deste ano, dois tipos de funções entraram claramente em foco: uma função Everything CISO, composta por 45% dos inquiridos – aqueles que têm responsabilidade em todas as três áreas de segurança, risco e confiança; e uma função Especialista, composta por 55% dos inquiridos – aqueles que têm responsabilidade em apenas uma ou duas dessas três áreas. Estes papéis estão distribuídos igualmente por região, bem como por anos na função.
Os Everything CISOs reportam mais frequentemente aos líderes empresariais e 17% reportam directamente ao CEO, enquanto quase metade dos Especialistas têm o padrão de informação mais tradicional para o CIO.
Os Everything CISO são mais comuns em tecnologia e serviços financeiros do que os CISOs Especialistas. Isto pode acontecer porque, em ambas as indústrias, muitos CISOs têm especialistas que lhes reportam, segundo a nossa experiência.
Mais dos CISOs Especialistas tinham antecedentes informáticos: 74%, em comparação com 59% dos Everything CISOs. E os Especialistas disseram com muito mais frequência que a gestão da identidade e do acesso era um foco central: 44%, em comparação com 31%.
Everything CISOs dizem ter equipas maiores que os Especialistas.
Dado o âmbito mais vasto do papel do Everything CISO, não é surpresa que estes CISO sejam, em geral, mais remunerados do que os especialistas. Nos Estados Unidos, por exemplo, a diferença na compensação monetária mediana é de 113.000 dólares.
O que se espera dos CISO futuramente?
Dado que o papel do CISO é relativamente novo no contexto de outros papéis de nível C, o inquérito foi perceber para onde é que os CISOs querem ir a seguir. Quase metade dos inquiridos querem ser membros do conselho, o que parece exequível dado o número de membros que já estão sentados pelo menos nos conselhos consultivos e que a cibersegurança continuará a aumentar à medida que mais elementos das operações se tornem inteiramente digitais.
Fora das funções dos conselhos, a progressão na carreira da CISO continua a ser complicada. Embora 38% se reporte hoje ao CIO, apenas 12% vêem isso como um próxima função ideal. A vasta gama de próximas funções que os CISOs estão interessados em realçar que esta é uma função em evolução, cujo próximo passo não é claro. Neste contexto, os CISOs podem ser capazes de desenvolver mais opções para subir na sua empresa actual, uma vez que mais frequentemente reportam aos líderes empresariais, o que lhes dá mais exposição aos interesses estratégicos mais vastos das suas empresas.
Além disso, mais de metade dos CISOs não querem mudar geograficamente para assumirem novas funções, embora essa quota possa mudar em futuros inquéritos, à medida que as condições pós-pandémicas se tornem mais claras. Em geral, as equipas dos CISOs estão geograficamente distribuídas, e os próprios CISOs não estão muitas vezes co-localizadas com o resto da equipa executiva, embora isto varie muito de empresa para empresa.
Desde o inquérito do ano passado, o salário médio para CISOs nos Estados Unidos subiu para $509.000, dos $473.000 no ano passado.
A compensação total mediana, incluindo quaisquer subsídios de capital ou incentivos de longo prazo, também aumentou, de $784.000, para $936.000.
Para este relatório, a Heidrick & Struggles compilou dados demográficos, organizacionais a partir de um inquérito realizado em Março e Abril de 2021 de 354 CISOs em todo o mundo. A maioria tinha o título de director de segurança da informação, mas os inquiridos também incluem directores adjuntos de segurança da informação, directores de segurança, e altos executivos de segurança da informação. O número de inquiridos variou significativamente em diferentes países. Este relatório inclui dados organizacionais dos inquiridos nos Estados Unidos, Europa e Ásia Pacífico. Os principais responsáveis pela segurança da informação (CISOs) que responderam ao inquérito provêm predominantemente dos Estados Unidos. Austrália, França, Alemanha, Singapura, e Reino Unido também estão representados. Quase metade dos CISOs estiveram em empresas com uma receita anual de 5 mil milhões de dólares ou mais.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
