Matt Comyns necesitó un salario de US$ 650,000 para atraer a un experimentado profesional en ciberseguridad a unirse a una de las compañías más grandes de Estados Unidos como director de seguridad de la información en el 2012. En ese momento, estaba entre las ofertas más lucrativas en el mercado.
Este año, la compañía tuvo que pagar US$ 2.5 millones para ocupar el mismo cargo.
“Es una guerra total por el talento cibernético”, asegura Comyns, socio gerente de la firma de búsqueda de ejecutivos Caldwell Partners, especializada en seguridad de la información. “Los directores ejecutivos lo saben, así que juegan duro. Todos están arrojando dinero a esto”.
La amenaza de violaciones digitales –y las subsiguientes multas, demandas y renuncias ejecutivas ocasionales– han dejado a las compañías luchando por los escasos expertos en seguridad. Los crecientes paquetes de compensación y las responsabilidades ampliadas son un cambio dramático para un grupo de trabajadores que solía estar oculto en los departamentos de TI, poco más que una idea de último momento para la alta gerencia.
Trabajos vacantes
En los 12 meses que terminaron en agosto del 2018, hubo más de 300,000 empleos de seguridad cibernética sin cubrir en EE.UU., según CyberSeek, un proyecto apoyado por la Iniciativa Nacional para la Educación en Seguridad Cibernética. A nivel mundial, se estima que la escasez supere el millón en los próximos años, según estudios.
Eso coincide con una mayor frecuencia y sofisticación de los ataques digitales, que van desde la interrupción de los sistemas informáticos hasta la extorsión y el robo de información personal confidencial.
En abril, el director ejecutivo de JPMorgan Chase & Co., Jamie Dimon, dijo a sus accionistas que la ciberseguridad “bien podría ser la mayor amenaza para el sistema financiero estadounidense”. Su contraparte en Bank of America Corp., Brian Moynihan, había dicho anteriormente que la unidad de seguridad cibernética del prestamista opera con un presupuesto ilimitado.
La semana pasada, Capital One Financial Corp. reveló que una mujer de Seattle había accedido ilegalmente a los datos personales de aproximadamente 100 millones de clientes, posiblemente una de las mayores infracciones que han afectado a un banco de EE.UU. Las acciones de la empresa han caído 8.9% desde que se reveló la intrusión.
Acuerdo de Equifax
A fines de julio, la firma de informes crediticios Equifax Inc. acordó pagar hasta US$ 700 millones para resolver las investigaciones federales y estatales sobre un ataque virtual del 2017 que comprometió la información confidencial de más de 140 millones de personas y llevó a la renuncia del director ejecutivo de la firma, Rick Smith, quien llevaba mucho tiempo en el cargo.
Dejando a un lado las infracciones de alto perfil, miles de empresas y empleados estadounidenses son objeto de ataques de piratas informáticos cada día. Los expertos de la industria bromean con que hay dos tipos de empresas: las que han sido pirateadas, y las que aún no han descubierto que han sido pirateadas.
Equifax pagó US$ 3.89 millones en el 2018 a Jamil Farshchi para que tomara el trabajo como director de seguridad de la información. Anteriormente trabajaba en Home Depot, que lo había contratado a raíz de una violación de 2014 que expuso información de tarjetas de crédito de 56 millones de clientes.
Directamente involucrado
Si bien la mayoría de las firmas estadounidenses no divulgan compensaciones para los principales ejecutivos de seguridad de la información, Comyns asegura que las grandes firmas tecnológicas en la costa oeste pueden pagar hasta US$ 6.5 millones, la mayoría en acciones. En algunos casos, los empleados directos pueden ganar alrededor de US$ 1 millón, más de lo que sus jefes habrían ganado hace solo unos años.
Conscientes de los desafíos de reemplazar a un jefe de seguridad, muchas compañías toman medidas sin precedentes para mantenerlos, y los directores ejecutivos a menudo se involucran en las negociaciones. En un caso reciente, cuenta Comyns, a un director de seguridad de la información que consideraba irse se le dijo que se fuera a casa y anotara 10 cosas que cambiarían su decisión. La lista incluía un aumento de 50% en el salario y la bonificación, más del doble de su bono de incentivo a largo plazo, un ascenso y una nueva oficina. El director ejecutivo estuvo de acuerdo y la persona se quedó.
Los grandes aumentos pueden palidecer en comparación con el potencial inconveniente. El costo promedio de una violación para las empresas estadounidenses fue de aproximadamente US$8 millones, según un estudio de IBM Corp. y el Instituto Ponemon. Equifax muestra que el costo puede ser mucho más. Esta semana, Marriott International Inc. informó que aceptó un cargo de US$ 126 millones relacionado con una infracción en 2018 de una de sus bases de datos de reservas.
Cheques más grandes
El seguro puede cubrir los gastos financieros, pero no ayudará a restaurar la confianza perdida de los clientes y una reputación manchada, afirma James Lam, director de E*Trade Financial Corp., que también asesora a las empresas en gestión de riesgos, incluida la ciberseguridad.
Los directores ejecutivos pueden estar inclinados a gastar más porque sus propios trabajos y reputaciones podrían estar en juego.
Para Comyns, eso significa que los salarios continuarán aumentando.
“Los directores ejecutivos no saben lo que valen hasta que los ven irse”, dice Comyns. “Luego se paran en la puerta y dicen: ’no vas a ir a ninguna parte’”.