0
0
Foi preciso um salário de US $ 650.000 para Matt Comyns convencer um experiente especialista em segurança cibernética a se juntar a uma das maiores empresas dos Estados Unidos como diretor de segurança de informações em 2012. Na época, estava entre as ofertas mais lucrativas por aí.
Este ano, a empresa teve que pagar US $ 2,5 milhões para preencher o mesmo papel.
“É uma guerra total para o talento cibernético”, disse Comyns, sócio-gerente da firma de pesquisa de executivos Caldwell Partners, especializada em segurança da informação. “Os CEOs sabem disso, então eles jogam duro. Todo mundo está jogando dinheiro com isso.
A ameaça de violações digitais – e as multas, ações judiciais e renúncias ocasionais de executivos que às vezes se seguem – deixou as empresas lutando para encontrar especialistas em segurança. Os crescentes pacotes de remuneração e as responsabilidades ampliadas são uma mudança dramática para um grupo de trabalhadores que antes se limitava a departamentos de TI obscuros, pouco mais que uma reflexão tardia para a gerência sênior.
Vagas não preenchidas
Nos 12 meses encerrados em agosto de 2018, havia mais de 300.000 empregos de segurança cibernética não preenchidos nos EUA, de acordo com a CyberSeek, um projeto apoiado pela Iniciativa Nacional para Educação em Cibersegurança. Globalmente, estima-se que a escassez ultrapasse 1 milhão nos próximos anos, mostraram estudos.
Isso coincide com o aumento da frequência e da sofisticação dos ataques digitais, que vão desde a interrupção de sistemas de computadores até a extorsão e o roubo de informações pessoais confidenciais.
Em abril, Jamie Dimon, CEO do JPMorgan Chase, disse aos acionistas que a segurança cibernética “pode muito bem ser a maior ameaça ao sistema financeiro dos EUA”. Seu colega do Bank of America, Brian Moynihan, disse anteriormente que a segurança cibernética do credor. unidade opera com um orçamento ilimitado.
Na semana passada, a Capital One Financial Corp. divulgou que dados pessoais de cerca de 100 milhões de clientes e solicitantes de cartões haviam sido acessados ilegalmente por uma mulher de Seattle, possivelmente uma das maiores violações que afetam um banco dos EUA. As ações da empresa caíram 8,9% desde que a intrusão foi revelada.
Liquidação Equifax
No final de julho, a Equifax Inc. concordou em pagar até US $ 700 milhões para acertar as investigações federais e estaduais em um hack de 2017 que comprometia informações confidenciais de mais de 140 milhões de pessoas e levou à renúncia do CEO da empresa, Rick. Smith.
Brechas de alto nível à parte, inúmeras empresas e funcionários dos EUA são alvo de ataques de hackers todos os dias. Especialistas do setor dizem que há dois tipos de empresas: aquelas que foram hackeadas e aquelas que ainda não descobriram que foram hackeadas.
“Se você não for cuidadoso, pode ficar entorpecido”, disse Andrew Howard, que lidera a divisão de segurança corporativa do Kudelski Group.
A Equifax pagou a Jamil Farshchi US $ 3,89 milhões em 2018 para assumir o cargo de diretor de segurança da informação. Ele se juntou à Home Depot, que o contratou na sequência de uma violação de 2014 que expôs informações de cartões de crédito pertencentes a 56 milhões de clientes.
Envolvido diretamente
Embora a maioria das empresas dos EUA não divulgue remuneração para os principais executivos de segurança da informação, a Comyns disse que as grandes empresas de tecnologia na costa oeste podem pagar até US $ 6,5 milhões, a maior parte em estoque. Em alguns casos, os relatórios diretos podem render cerca de US $ 1 milhão – mais do que seus chefes normalmente teriam feito apenas alguns anos atrás.
Cientes dos desafios de substituir um chefe de segurança, muitas empresas adotam medidas sem precedentes para mantê-las, com os CEOs frequentemente envolvidos nas negociações. Em um caso recente, disse o Comyns, um CISO que considerou deixar foi informado de ir para casa e escrever 10 coisas que mudariam sua decisão. A lista incluiu um aumento de 50% no salário e bônus, mais do que dobrando seu prêmio de incentivo de longo prazo, uma promoção e um novo escritório. O CEO concordou e a pessoa ficou.
Aumentos pesados podem empalidecer em comparação com o lado negativo em potencial. O custo médio de uma violação para as empresas dos EUA foi de cerca de US $ 8 milhões, segundo um estudo da IBM Corp. e do Ponemon Institute. Equifax mostra que o custo pode ser muitos múltiplos disso. Esta semana, a Marriott International Inc. informou ter cobrado uma taxa de US $ 126 milhões relacionada a uma violação de 2018 de um dos bancos de dados de reservas.
Paychecks maiores
O seguro pode cobrir despesas financeiras, mas não vai ajudar a restaurar a confiança do cliente perdido e a reputação prejudicada, disse James Lam, diretor da E * Trade Financial Corp., que também assessora empresas em gestão de risco, incluindo segurança cibernética.
Os CEOs podem estar dispostos a gastar mais porque seus próprios empregos e reputações podem estar em risco. Gregg Steinhafel renunciou ao cargo de CEO da Target Corp. em 2014, após um ataque de hackers que comprometeu 40 milhões de contas de cartão de crédito abalaram a varejista.
Esse episódio “chamou a atenção de todos”, disse Howard, do Kudelski Group, e levou várias empresas a nomearem pessoas com experiência em segurança cibernética para seus conselhos.
Também é necessário que muitas empresas expandam as responsabilidades da equipe de segurança das informações, garantindo que seu trabalho abranja toda a organização. Para Comyns, isso significa que o pagamento continuará a aumentar.
“Os CEOs não sabem o que vale a pena até que ele saia pela porta”, disse Comyns. “Então eles ficam na porta e dizem: ‘Você não vai a lugar nenhum’”.