Uma pesquisa conjunta divulgada nesta quarta-feira, 15, pela empresa de análise de segurança IANS e a companhia de headhunting Artico revela existir uma correlação direta entre a receita, tamanho da organização, renumeração de funcionários e a configuração da sua infraestrutura de segurança cibernética. As empresas da lista Fortune Global 500 de 2023, que o estudo classifica como aquelas com mais de US$ 6 bilhões de receita anual, geralmente têm quatro ou mais níveis de gestores, geralmente com um CISO global supervisionando a equipe de segurança corporativa.
De acordo com o estudo, a presença de vários especialistas tende a aumentar conforme o tamanho da empresa. Nas organizações com receita anual de aproximadamente US$ 1 bilhão, o chefe de operações de segurança (SecOps) é mais comum do que naquelas com faturamento menor. Nessas empresas, o CISO geralmente é o líder da equipe de segurança cibernética global, sendo que, em mais de 75% delas, normalmente há, além do chefe de SecOps, mais três níveis de gestores formados por um chefe de governança, risco e conformidade (GRC), um chefe de arquitetura e engenharia (A&E) e um de gerenciamento de identidade e acesso (IAM).
Nas empresas com receita anual de US$ 100 milhões, independentemente do setor em que atuam, entre 25% e 50% dos CISOs declaram ter em suas equipes posições de liderança para uma ou mais das funções de SecOps, GRC, A&E e segurança de produtos. Já nas organizações com faturamento anual de US$ 500 milhões, a presença de posições de liderança para SecOps, GRC e A&E é citada por entre 50% e 74% dos CISOs.
No segmento de empresas de médio porte, aquelas com receita anual entre US$ 50 milhões e US$ 400 milhões, segundo a IANS, normalmente apresentam funções de liderança com múltiplas responsabilidades, em que a equipe, incluindo analistas, arquitetos e engenheiros, usa vários “chapéus”.
O número total de funcionários normalmente é adequado às receitas, de acordo com o relatório. Na faixa de faturamento anual de US$ 100 milhões, a maioria das empresas tem entre um e nove profissionais de segurança em tempo integral, enquanto as empresas da lista da Fortune Global 500 tendem a ter pelo menos 20, algumas alcançando 50 ou até 100 empregados. Alinhar a equipe de segurança cibernética com as necessidades da empresa é uma consideração crítica para os CISOs, afirma o estudo.
Renumeração milionária
O estudo também descobriu que a contratação e retenção de líderes cibernéticos dependem de planos de remuneração corretos. Para os chefes dos chamados departamentos funcionais, o piso salarial dos 25% da faixa superior varia de acordo com a especialidade, saindo de US$ 360 mil anuais para os líderes de gerenciamento de identidade e acesso a US$ 465 mil para um CISO adjunto, atingindo até US$ 447 mil ao ano para um chefe de departamento de segurança de produto.
A faixa salarial dos CISOs e de executivos de algumas das especialidades mais valorizadas no mercado, tais como SecOps e chefes de governança, risco e conformidade, os 25% do topo ganham, em média, US$ 523 mil de remuneração total anual, em dinheiro, e US$ 640 mil quando incluída a compensação total paga em ações da empresa.
Para a elaboração do “Relatório de Referência de Organização de Segurança e Remuneração 2023”, que analisa o planejamento das organizações em relação à segurança — divididos em segmentos por receita e tipo de indústria —, foram entrevistados 1.195 chief information security officers (CISOs), líderes de departamentos funcionais e de departamentos de segurança de produto.
“O sucesso da estratégia de segurança de uma organização depende do dimensionamento adequado, da qualidade da equipe, especialmente dos líderes de departamento funcional, e de planos de compensação corretos”, afirmou Nick Kakolowski, diretor sênior de pesquisa da IANS Research. “Os CISOs devem tomar decisões organizacionais e de pessoal em antecipação às necessidades dinâmicas da empresa à medida que evoluem de acordo com as condições de mercado, objetivos de crescimento e requisitos regulatórios.”
O estudo também constatou que o design da organização varia de acordo com o setor, com grandes diferenças de tempo que um líder funcional é integrado à equipe de segurança. Nas empresas financeiras, a incorporação de um líder de SecOps ocorre mais cedo do que a média, especialmente nas instituições com receita de US$ 100 milhões. Nessas empresas, as equipes de tecnologia também são mais abrangentes do que a média. Entre 50% e 74% dos CISOs disseram ter chefes de SecOps, GRC ou A&E.
Por outro lado, nas instituições de saúde a integração de líderes funcionais ocorre em prazo mais tardio do que a média. Nas empresas do setor com receitas anuais de US$ 100 milhões, US$ 500 milhões e US$ 1 bilhão, menos de 50% dos CISOs nomearam líderes para GRC, A&E e IAM. Nas empresas de manufatura, particularmente naquelas com receita mais alta, os líderes de segurança cibernética são integrados à equipe de segurança mais rapidamente do que a média.
Veja isso
Salário dos CISOs nos EUA e Canadá desacelera; viés é global?
Salário de profissional de segurança pode superar R$ 40 mil
“Apesar de a liderança em segurança ser indispensável para as organizações em geral, quando se trata de alocação de orçamento para pessoal, as necessidades específicas do setor desempenham um papel crucial”, afirmou Steve Martano, sócio e recrutador executivo da prática cibernética da Artico Search. “Para as empresas de tecnologia, os líderes de segurança de produto e o AppSec são fundamentais para o design da segurança, levando a contratações técnicas no início do ciclo de vida de uma empresa, enquanto as empresas de manufatura projetam programas mais tarde em termos de receita. O setor bancário foi o pioneiro no projeto de centros de operações de segurança de ponta, e essa tendência continua no setor. As empresas de serviços financeiros normalmente projetam um programa interno de SecOps mais robusto, em vez de terceirizá-lo, na comparação com outros setores.”
Para ter acesso ao relatório resumido, em inglês, clique aqui.
Metodologia da pesquisa
A IANS e a Artico Search realizaram sua pesquisa anual de remuneração e orçamento do CISO em abril deste ano. Nesta edição, a pesquisa foi ampliada para incluir um conjunto dedicado de perguntas para a equipe, incluindo analistas, arquitetos, engenheiros, gerentes, especialistas e líderes funcionais. De abril a agosto, as empresas receberam respostas de pesquisas com 663 CISOs e 532 funcionários de empresas globais que variaram de tamanho, localização e setor.
As organizações combinaram os dados de ambos os grupos para determinar as decisões tomadas para as organizações de segurança em pequenas e médias empresas (com receita anual entre US$ 50 milhões e US$ 400 milhões), grandes empresas (com receita anual variando entre US$ 400 milhões e US$ 6 bilhões) e empresas muito grandes e globais (com receitas anuais superiores a US$ 6 bilhões).
