IANS ve Artico Search’e göre siber güvenlik organizasyon modellerinin iş hedefleriyle uyumlu hale getirilmesi, yeteneklerin elde tutulmasını ve güvenlik programının başarısını sağlıyor.
Organizasyon ve personel kararlarında CISO’ların rolü
Yıllık gelirleri 6 milyar doları aşan Fortune firmaları genellikle dört veya daha fazla yönetim katmanına sahip büyük ve uzmanlaşmış güvenlik organizasyonları işletiyor ve genellikle şirket çapındaki güvenlik organizasyonunu denetleyen küresel bir CISO var.
Yıllık geliri 400 milyon ila 6 milyar dolar arasında olan büyük işletmelerde CISO genellikle siber güvenlik ekibinin başkanıdır. Firmaların %75’inden fazlasında, genellikle Güvenlik Operasyonları (SecOps) başkanının yanı sıra Yönetişim, Risk ve Uyumluluk (GRC), Mimarlık ve Mühendislik (A&E) ve Kimlik ve Erişim başkanlarından oluşan bir yönetim katmanı vardır. Yönetim (IAM).
Yıllık gelirleri 50 milyon ila 400 milyon dolar arasında olan orta ölçekli şirketler, genellikle çok işlevli sorumluluklara sahip liderlik rollerine sahiptir; analistler, mimarlar ve mühendisler de dahil olmak üzere personel birden fazla şapka takar.
IANS Araştırma Kıdemli Araştırma Direktörü Nick Kakolowski şunları söyledi: “Bir kuruluşun güvenlik stratejisinin başarısı, güvenlik organizasyonunun uygun şekilde boyutlandırılmasına, ekibin (özellikle fonksiyonel departman liderlerinin) yeteneğinin kalitesine ve doğru kompozisyon planlarına bağlıdır.” . “CISO’lar, pazar koşullarına, büyüme hedeflerine ve düzenleyici gerekliliklere göre geliştikçe kuruluşun dinamik ihtiyaçlarını öngörerek organizasyonel ve personel kararları almalıdır.”
Ortalama telafi aralığı
Araştırma ayrıca siber liderlerin başarılı bir şekilde işe alınmasının ve işte tutulmasının doğru ücret planlarına bağlı olduğunu da ortaya çıkardı.
Fonksiyonel liderler için en yüksek %25’lik ücret aralığı, toplam ücretin ortalama 523.000 dolarıdır. En yüksek %10’luk tazminat aralığı ortalama 640.000 $’dır. CISO yardımcısı, ürün güvenliği başkanı ve A&E başkanı için en üstteki %10’luk ücret aralığı 700.000 doları aşıyor.
Finans ve sağlık firmaları, 341.000 $ ile en yüksek ortalama yıllık toplam maaşa sahiptir. Finans sektöründeki en yüksek %25 ve en yüksek %10’luk ücret aralığı ortalamaları, sırasıyla 594.000 $ ve 767.000 $ ile diğer sektörlerinkini aşıyor.
Ek olarak, organizasyonel tasarım, fonksiyonel liderlik için büyüme aşamasına ve sektöre göre değişiklik gösterir.
Yıllık geliri 100.000 ABD Doları olan sektörden bağımsız siber güvenlik yönetimi kuruluşları, CISO’ların %25 ila %50’sinin SecOps, GRC, A&E ve ürün güvenliği işlevlerinden bir veya daha fazlası için ekiplerinde liderlik pozisyonlarına sahip olduklarını belirttiklerini bildirmektedir.
SecOps, GRC ve A&E’nin liderlik pozisyonlarının varlığı 500.000 ABD Doları ile CISO’ların %50 ila %74’üne yükseliyor. SecOps’un başkanı rolü, 1 milyar dolarlık gelir seviyesinde standart görünüyor. 10 milyar ABD doları eşiğinde aynı durum GRC ve A&E için de geçerlidir ve 25 milyar ABD doları düzeyinde çoğu şirketin aynı zamanda AppSec başkanları ve bir CISO yardımcısı da vardır.
Organizasyon tasarımı sektöre göre değişir
Çalışma aynı zamanda organizasyon tasarımının sektöre göre değişiklik gösterdiğini ve ekibe işlevsel liderler eklendiğinde büyük zamanlama farklılıkları olduğunu da bildirdi.
Finans şirketlerinde siber güvenlik liderlik ekipleri, özellikle 100 milyon dolarlık gelir dönüm noktasında, ortalamadan daha erken bir SecOps lideri atar. Teknoloji siber güvenliği liderlik ekipleri, erken aşamalarda ortalamadan daha kapsamlıdır. Gelirleri 100 milyon dolar olan teknoloji CISO’larının %50 ila %74’ünde SecOps, GRC ve/veya A&E başkanları bulunuyor.
Sağlık sektöründeki siber güvenlik liderlik ekipleri, ortalamanın üzerinde gelir aşamalarına ulaşıyor. 100 milyon ABD Doları, 500 milyon ABD Doları ve 1 milyar ABD Doları tutarındaki kilometre taşları ile sağlık hizmetleri CISO’larının %50’sinden azı GRC, A&E ve IAM için lider atadı.
Üretimde siber güvenlik liderleri ortalamanın üzerinde gelir eşiklerinde ekleniyor. Liderlik rollerinin hiçbiri 1 milyar dolar veya 5 milyar dolar gelir eşiklerinde %75 veya daha yüksek penetrasyon oranları göremiyor.
Artico Search’ün siber uygulamasında ortak ve yönetici işe alım sorumlusu olan Steve Martano, “Güvenlik liderliği büyük ölçüde sektöre bağlı olmasa da, personel için bütçe tahsisi söz konusu olduğunda sektöre özel ihtiyaçlar çok önemli bir rol oynuyor” dedi.
“Teknoloji firmaları için ürünler ve AppSec, güvenlik organizasyonu tasarımının merkezinde yer alıyor; bu da bir şirketin yaşam döngüsünde daha erken teknik personel alımına yol açarken, imalat şirketleri gelir açısından daha sonra daha kapsamlı programlar tasarlıyor. Bankacılık sektörü, son teknoloji ürünü güvenlik operasyon merkezlerinin tasarlanması konusunda ilk adımı attı ve bu eğilim sektörde de devam ediyor. Finansal hizmet firmaları, diğer sektörlerle karşılaştırıldığında genellikle dış kaynak kullanmak yerine daha sağlam bir şirket içi SecOps programı tasarlıyor” diye ekledi Martano.