Quello del CISO è un lavoro complicato. Non solo perché il ruolo stesso del CISO resta sempre un po' indefinito tra tratti tecnici ed aspirazioni manageriali, ma soprattutto perché gestire la sicurezza cyber delle imprese, specie in questi anni, è difficile e logorante. L'idea è che almeno sia un ruolo ben pagato, specie perché non sono in molti a poterlo ricoprire, ma una indagine di IANS e Artico Search mostra che i responsabili della sicurezza non hanno (più) nemmeno questa consolazione. E se consideriamo che il campione dell'indagine è solo statunitense, figuriamoci cosa pensano i CISO delle nazioni dove la cybersecurity è meno gettonata.

Secondo l'analisi del campione dell'indagine - 660 security executive di aziende con un fatturato annuo di almeno 100 milioni di dollari - lo stipendio medio annuo lordo di un CISO (negli USA, ricordiamolo) è di circa 710 mila dollari. Questo valore medio però nasce da una gamma di retribuzioni molto ampia, dovuta anche al fatto che aziende di settori diversi "pagano" la cybersecurity in modi molto differenti.

I CISO meglio remunerati operano in tre settori specifici (vendor di cybersecurity, hardware IT, Fintech) e specie nelle grandi aziende quotate in Borsa. Si tratta al momento di un ruolo abbastanza "solido", nel senso che la quota di CISO che cambia azienda oggi non è elevata, anche a causa di uno scenario economico generale che al momento non favorisce i cambi di casacca. Secondo l'indagine IANS, solo il 19% dei CISO ha cambiato datore di lavoro nel corso del 2023, contro un 34% nel 2022.

Una certa stagnazione economica rende però i CISO - che pure guadagnano bene - più scontenti del loro stipendio, rispetto al recente passato. Il problema più percepito è che la retribuzione non sta aumentando proporzionalmente alle complessità da affrontare: per una buona parte di loro (33%) il 2023 si è chiuso senza aumenti della retribuzione totale (salario base, bonus, compensazioni in azioni). Solo il 28% ha avuto un aumento della retribuzione superiore al 10%, e questo perlopiù per un cambio di azienda, un nuovo ruolo o un incentivo mirato di retention.

Risultato: il 38% dei CISO è "molto" o "un poco" insoddisfatto della sua retribuzione. Una quota minoritaria che diventa però prevalente (51%) se si considera il gruppo di coda dei CISO, ossia il quarto meno pagato del campione. Uniamo questa insoddisfazione con una frenata dei budget della cybersecurity - nel 2023 sono cresciuti in media solo del 4% anno su anno, contro il +30% del 2022 e il +28% del 2021 - che lascia presagire nuove difficoltà, ed ecco che l'insoddisfazione si fa più generale, non solo finanziaria.

Oggi il 24% dei CISO infatti è "molto" o "un poco" insoddisfatto del proprio lavoro in generale. Così, sarà anche vero che nel 2023 la mobilità dei CISO è stata relativamente bassa, ma oggi una fetta prevalente (54%) sta pensando di cambiare azienda nei prossimi 12 mesi. Una percentuale che aumenta nei settori in cui la cybersecurity è un problema particolarmente sentito: Fintech (qui il 56% dei CISO si prepara al grande salto), hardware (60%), software (63%). I datori di lavoro sono avvisati.

Come cresce lo staff di cybersecurity

L'indagine di IANS è anche riuscita a delineare il "percorso" attraverso cui le aziende fanno crescere il loro staff manageriale legato alla cybersecurity. È, banalmente e prevedibilmente, una questione di dimensioni e fatturato: più l'azienda è grande e solida, più spesso affianca il CISO con figure complementari e specializzate. Per la precisione sette figure, secondo IANS.

I ruoli che vengono "riempiti" prima possibile - dopo ovviamente quello fondante del CISO stesso - riguardano il responsabile della parte di security operation (Head of SecOps, nelle definizioni di IANS) e il responsabile della governance (Head of GRC - Governance, Risk Management and Compliance). Immediatamente dopo viene occupata la casella del responsabile della sicurezza architetturale (Head of A&E - Architecture and Engineering) e poi quella che riguarda la sicurezza dei prodotti (Head of Product Security). In coda i responsabili della sicurezza applicativa (Head of AppSec) e - stranamente - di un ambito chiave come la gestione degli accessi (Head of IAM).

Il fanalino di coda è il Deputy CISO, ossia il vice-CISO. È prerogativa solo delle aziende davvero grandi, non perché il CISO non debba essere aiutato ma perché il "vice" è una figura ancora non formalizzata con precisione. Può essere un ruolo a sé stante che effettivamente aiuta il CISO condividendone il carico di lavoro, ma più spesso è un ruolo "sovrapposto" ad altri come il responsabile GRC o il responsabile SecOps. Spesso è anche il futuro CISO in pectore, per le aziende che hanno l'abitudine di definire piani di successione. Anche per questo il Deputy CISO non può certo essere un novizio: si tratta di leader esperti con mediamente 12 anni di esperienza nel settore informatico.