La paradoja del CISO: cuanto mayor es el salario, peor es el agotamiento

El salario de los principales especialistas en seguridad de la información (CISO) sigue aumentando, pero la carga y la responsabilidad también se incrementan. Según el informe de IANS Research de 2024, el nivel promedio de compensación para los CISO es de 403,000 dólares anuales, incluyendo salario, varios bonos y ofertas corporativas. A pesar de un aumento de ingresos del 6.4% en el último año, las amenazas de seguridad están en constante cambio, lo que aumenta la responsabilidad de los CISO en la protección de las empresas.

Además, nuevos requisitos, como los de la Comisión de Bolsa y Valores de los Estados Unidos (SEC), obligan a los CISO a determinar la importancia de un incidente dentro de los cuatro días posteriores a su detección, lo que a menudo lleva a riesgos legales. Sin embargo, muchos especialistas no cuentan con los recursos suficientes para cumplir con estas tareas, lo que aumenta la presión.

Como señala Fred Kwong, vicepresidente y CISO de la Universidad DeVry, la prevención exitosa de amenazas conduce a una reducción del presupuesto, ya que la gerencia se pregunta si se necesitan más recursos cuando las medidas actuales parecen suficientemente efectivas.

Entre 2021 y 2022, la demanda de CISO aumentó en medio del trabajo remoto y la intensificación de los ciberdelincuentes que distribuían ransomware. Sin embargo, ahora esta demanda está disminuyendo. Según Nick Kakalowski de IANS Research, solo el 11% de los CISO cambiaron de trabajo o recibieron un bono de lealtad en 2024, mientras que en 2022 esta cifra era del 44%.

Los especialistas en ciberseguridad en agencias gubernamentales tienden a cambiar de trabajo con menos frecuencia, aunque casi la mitad de los estados de EE.UU. contrataron nuevos CISO el año pasado. La duración promedio de un CISO en un puesto ha disminuido de 30 meses en 2022 a 23 meses en 2024. Según los analistas, la presión sobre estos especialistas seguirá aumentando, ya que los ataques se están volviendo más complejos, los presupuestos son menores y la escasez de personal sigue creciendo.

El salario de los CISO en instituciones educativas es actualmente uno de los más bajos, con un promedio de 243,000 dólares al año. Por ejemplo, el exespecialista en ciberseguridad de la Universidad de Washington, Daniel Schwalbe, señala que la carga de seguridad en las instituciones educativas era enorme, con una red protegida que abarcaba alrededor de medio millón de dispositivos, y diariamente alrededor de mil de ellos podían estar comprometidos. Sin embargo, Schwalbe cambió de trabajo no por el salario, sino por la falta de perspectivas de carrera.

El creciente papel de la inteligencia artificial también aumenta la presión. Como subraya Kakalowski, los CISO a menudo son responsables de los riesgos asociados con la IA, aunque no siempre tienen conocimientos suficientes en esta área. Esto puede convertirse en un problema adicional para las empresas donde el riesgo de IA aún no está completamente controlado.

Por lo tanto, el futuro de los CISO como profesión parece bastante incierto. Por un lado, la demanda de especialistas altamente calificados en ciberseguridad sigue aumentando. Por otro lado, la creciente complejidad de las amenazas, la falta de personal y los presupuestos limitados crean desafíos importantes para esta profesión.