Baş bilgi güvenliği görevlileri (CISO’lar) olarak görev yapan siber güvenlik profesyonelleri maaşlarında kayda değer artışlar görmeye devam ediyor, ancak bu iki yıl öncekiyle aynı oranda değil ve sorumluluklarındaki değişikliklere ayak uyduracak şekilde değil.
IANS Research’ün “2024 CISO’suna göre, ortalama CISO şu anda maaş, belirli hedeflere ulaşmak için ikramiyeler ve hisse senedi opsiyonları gibi özsermaye dahil olmak üzere yıllık 403.000 dolar kazanıyor; bu, son 12 ayda %6,4’lük bir artışı temsil ediyor. Tazminat Rapor” 2 Ekim’de yayınlandı. Bununla birlikte, tehdit ortamındaki değişiklikler, özellikle Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından CISO’ların kullanılmasını zorunlu kılan kuralların ardından, sorumluluk CISO’nun omuzlarına düşen ticari operasyonları sıklıkla saldırı altına alıyor. olup olmadığını belirlemek için bir ihlalin fark edilmesinden sonraki dört gün içinde önemli olması.
DeVry Üniversitesi başkan yardımcısı ve CISO’su Fred Kwong, CISO’ların genellikle bunu yapmak için ellerinde yeterli kaynağa sahip olmadıklarını, bu durumun onları yasal tehlikeye soktuğunu veya tam tersine, yalnızca bu başarı nedeniyle bütçe baskılarına dayanmak için tehditleri başarıyla hafiflettiklerini söylüyor.
“Şu ikilik var: Hey, Fred iyi bir iş çıkarıyor, tehditlerin üstesinden geliyor, sorunları hafifletiyor, [yet] aynı zamanda [he’s] Tehdidin gerçekleşmediğini gördüklerinde bile daha fazla kaynak, daha fazla para istiyorlar” diye açıklıyor. “Bir nevi sorgulanıyoruz, ‘Peki, gerçekten başka birine ihtiyacımız var mı? Gerçekten başka bir teknolojiye veya kontrole ihtiyacımız var mı, çünkü bu işleri halletmişsiniz gibi görünüyor.'”
Kwong, diğer beş siber güvenlik uzmanından oluşan bir ekibi yönetiyor, ancak kuruluşun başka bir tam zamanlı çalışanı onaylaması pek olası olmasa da altıncı kişiyi işe almak için mücadele etmeye devam ediyor.
Kaynak: 2024 CISO Tazminat Raporu, IANS ve Artico
2021 ve 2022’de, pandemi nedeniyle uzaktan çalışmanın artmasının ardından şirketler, operasyon altyapılarını güvence altına alma ihtiyacı hissettiler ve bu da özellikle siber suçluların harekete geçmesiyle CISO’lara olan talebi artırdı. Firmaların güvenliğini ihlal etmek ve sistemlerine fidye yazılımı bulaştırmak. Nick Kakolowski, CISO’ların pandeminin sonunda tazminatta önemli kazanımlar elde etmesine rağmen (2022’de yüzde 44’ü ya iş değiştirdi ya da işten çıkarma ikramiyesi aldı) talebin artık azalma işaretleri gösterdiğini, yalnızca yüzde 11’inin 2024’te aynı şeyi yaptığını söylüyor. IANS Research’ün kıdemli araştırma direktörü.
“Genel olarak makroekonomik koşullar nedeniyle bir hareket eksikliği görüyoruz; işletmeler daha fazla işe alım konusunda muhafazakar davranıyor” diyor. “İşletmeler şöyle diyor: Bir süre elimizdekilerle yetineceğiz. İşe alımları erteleyeceğiz. Mevcut yolumuza devam edeceğiz ve daha fazla CISO risk almak yerine olduğu yerde kalıyor. şu anda yeni bir şey üstleniyorum.”
CISO Zihniyetleri: Bir Stres Durumu
Ücretlerde en büyük artışları işleri değiştiren veya mevcut pozisyonlarında kalmaları için teşvik ödenen CISO’lar görüyor ve Eyalet hükümetleri için CISO’lar hareket etme olasılığı en yüksek olanlar arasında yer alıyor. Eyaletlerin neredeyse yarısı geçen yıl yeni bir CISO işe aldı ve bu da bir CISO’nun ortalama görev süresinin düşmesine yol açtı 2022’de 30 ay olan bu yıl 23 aya çıktıİki yılda bir düzenlenen Deloitte-NASCIO Siber Güvenlik Araştırmasına göre.
Eyalet hükümeti pozisyonlarındaki CISO’lar için stres artmaya devam edecek: Siber güvenlik konusunda yetenekli profesyonelleri bulmak ve elde tutmak zor, daha fazlası karmaşık saldırılar Deloitte danışmanlık firmasının risk ve mali danışmanlık grubunun müdürü Srini Subramanian, fidye yazılımı gibi şeylerin yaygınlaştığını ve bütçelerin hala dar ve çoğu zaman tahmin edilmesi zor olduğunu söylüyor.
125.000 ila 225.000 ABD Doları arasında kazanan devlet siber güvenlik uzmanları, genellikle iş tatmininin ilk 3 nedeni arasına tazminatı dahil etmiyor. Ancak artan saldırılar ve ağları için daha büyük sonuçların yanı sıra herhangi bir kesinti veya olaya yönelik artan incelemelerin, bunları doğrudan halkın ve hükümet yetkililerinin gözüne soktuğunu söylüyor.
Subramanian, “Devlet düzeyindeki sistemler aynı zamanda özel sektör sistemlerine kıyasla çok daha fazla zorlukla uğraşmaktadır” diyor. “Bütçe kısıtlamaları var, yetenek kısıtlamaları var ve şimdi sistemlerin kapsamını daha da genişletiyoruz.”
Toplumsal Baş Ağrıları, Özel Stres Kaynakları
Daniel Schwalbe, büyük bir devlet üniversitesi olan Washington Üniversitesi’nde CISO’ya bağlı olarak güvenlik uzmanı olarak çalışıyordu; bu da onun rolünün hem hükümet hem de eğitim sektörleri arasında köprü oluşturduğu anlamına geliyordu. İşini çok sevdiğini ve kesinlikle yüksek ücret karşılığında orada olmadığını söylüyor. Eğitim CISO’ları, IANS anketi tarafından takip edilen tüm sektörler arasında en düşük maaş alan sektördür ve ortalama yıllık toplam 243.000 ABD dolarıdır (hükümet sektörü listede yer almamıştır).
Ancak güvenlik çalışmalarının hiç bitmediğini söylüyor.
“Bir ağ üzerinde korumamız gereken yarım milyon cihaz vardı ve size herhangi bir günde, bu ağda yarım milyon cihazdan 1000’inin güvenliği ihlal edilmiş cihaz olduğunu tahmin ettiğimizi söyleyebilirim” diyor. “Gerçek bu.”
Ayrıldığında amacı daha iyi bir maaş almak değil, kariyer yolunun eksikliğiyle mücadele etmekti. UW’de güvenlik kariyeri alanında mezun olabileceği tek pozisyon CISO’ydu ancak bu pozisyonun şu anki sahibi en az üç yıl emekli olmayı planlamıyordu. Böylece Farsight Security’de CISO yardımcılığı görevini kabul etti ve şirket Farsight’ı satın aldığında DomainTools’ta CISO rolünü üstlendi.
Sorumlulukları biraz değişti. Özel bir firmada uyum daha önemli bir konudur, oysa hükümet ve eğitim sektörü bürokrasi ile uğraşmak zorundadır. Ancak teknolojinin güvenlik açısından daha iyi çalışmasını sağlamak ortak bir faktör ve otomasyonun genel anlamda stresi azaltacağını umuyor.
“Biraz önceden yatırım yapmak ve uyarıları ayarlamak (güvenlik araçlarınızdan çıkan bilgilerin çok daha yararlı olmasını sağlamak) yardımcı olabilir” diyor. “Paraya mal olur ve sihirli bir değnek değildir, ancak benim görüşüme göre, tehdit analistinin tükenmişliği gibi sorunlara yardımcı olabilir ve yardımcı olabilir.”
Yapay Zeka Güvenliği Nasıl Etkiliyor?
Araştırma firmalarının analizleri de şunu ortaya çıkardı: AI riski taşıyan sıcak patates bireyler olarak CISO’lar üzerinde çok fazla baskı oluşturuyor ve stresi artırıyor. IANS Araştırma’dan Kakolowski, genellikle sektördeki hiçbir güvenlik uzmanının yapay zekaya sahip olma konusunda gerçekten iyi bir konumda olmadığını söylüyor. Doğru kişinin, kuruluşların riski tam olarak yönetmesine gerçekten yardımcı olmak için teknik, yönetişim, gizlilik ve veri bilimi geçmişlerinin bir karışımına ihtiyacı olduğunu söylüyor.
Genellikle CISO’lar tüm bu kutuları işaretlemezler, bu da kendilerini sorumluluğa maruz bırakabilir.
“CISO’lar bilgilendirme konusunda başvurulacak kişi haline geliyor Yapay zeka risk kararlarıCISO’ların şöyle dediği bir geri itme var: ‘Bu riskin tamamına biz sahip olamayız, çünkü bu risk iş birimine ait değil” diyor. “‘Araçları kullanarak sizi şu konularda bilgilendirmeye yardımcı olabiliriz: Bu riski anlamanıza yardımcı olabiliriz, ancak sonuçta bu kararı veren ve bu sorumluluğu üstlenen siz olmalısınız.'”