Co dělá CISO? Chief information security officer (CISO) je osoba v organizaci, která je zodpovědná za definování a prosazování zásad, postupů a architektury kybernetické bezpečnosti dané organizace. Povinnosti CISO mohou nějakým způsobem ovlivnit každý proces v organizaci – od způsobu, jakým zaměstnanci používají své e-maily, přes to, které webové stránky mohou navštěvovat, až po způsob ukládání důležitých dokumentů.

Najít CISO, který by doplnil interní organizační schéma společnosti, však může být… přinejmenším náročné. Kvalifikovaní uchazeči, kteří mohou splnit požadavky na pozici CISO, jsou vzácní. To následně vede k vysokým platům těchto těžko hledaných odborníků na kybernetickou bezpečnost (podle serveru salary.com v průměru asi 225 328 dolarů).

S intenzivním konkurenčním bojem o lidi, kteří dokážou pochopit a plnit úkoly neodmyslitelně spjaté s náplní práce CISO, musí společnosti často nabízet kromě řady dalších výhod i špičkový plat, aby tyto osoby přilákaly. Existuje však alternativní řešení k najímání tradičního, interního CISO, který by řídil program kybernetické bezpečnosti vaší společnosti. Namísto náboru odborníka na kybernetickou bezpečnost na úrovni C může vaše společnost využít program nebo službu virtuálního CISO.

Co je to virtuální CISO (VCISO)? Kolik stojí najmutí virtuálního CISO? Jaké jsou výhody pronájmu VCISO? Kdy byste měli najmout VCISO oproti internímu CISO?

Co je to virtuální CISO?

Virtuální CISO je služba poskytovaná poskytovatelem řízených bezpečnostních služeb (MSSP), která replikuje pracovní funkce ředitele pro informační bezpečnost – vytváření a správu zásad kybernetické bezpečnosti organizace – a efektivně tuto roli outsourcuje.

Pokud je interní CISO obvykle jedna vysoce postavená osoba ve společnosti, služby VCISO jsou obvykle poskytovány týmem virtuálních odborníků CISO. Díky tomu mohou čerpat z hlubšího fondu znalostí a poskytovat téměř nepřetržitou ochranu před kybernetickými hrozbami.

Jak VCISO chrání vaši organizaci?

Virtuální služby CISO pomáhají společnostem zlepšit jejich architekturu kybernetické bezpečnosti tím, že jim poskytují odborné poradenství v kritických bezpečnostních otázkách. Mezi povinnosti virtuálního CISO často patří úkoly jako:

• provádění penetračních testů;
• proaktivní identifikace kritických bezpečnostních nedostatků;
• pomoc při revizi bezpečnostních zásad a postupů;
• zajištění souladu s klíčovými předpisy (například HIPAA, PCI DSS, GDPR atd.);
• Vytváření a implementace plánů reakce na incidenty (IRP); a
• Přezkoumávání všech stávajících nástrojů kybernetické bezpečnosti a vydávání doporučení pro jejich nahrazení nebo posílení.

Stejně jako u interního CISO se od VCISO očekává, že maximalizuje vaši kybernetickou bezpečnost a zároveň minimalizuje náklady a dopady na výkonnost.

Co je to virtuální CISO? Jak &Kdy je správný čas si ho najmout?

Jestliže interní CISO může stát několik set tisíc dolarů ročně, kolik stojí virtuální CISO? Odpověď zní: „Záleží na tom, jaké služby VCISO potřebujete“. Ne každá společnost bude potřebovat stejnou úroveň služeb VCISO, takže náklady se mohou lišit.

Jedno pravidlo pro náklady na VCISO, na které upozornil server CSO Online, uvádí, že „náklady na VCISO se odhadují na 30 až 40 procent nákladů na CISO na plný úvazek“. Jedná se však pouze o hrubý odhad, který nemusí nutně odpovídat skutečným nákladům.

Při zkoumání služeb virtuálního CISO je důležité shromáždit konkrétní odhady od MSSP, abyste mohli porovnat náklady – i když náklady nejsou jediným kritériem, které byste měli při zkoumání služeb VCISO zvážit.

Jaké jsou výhody pronájmu virtuálního CISO?

Mnoho lidí se ptá, jaké jsou výhody pronájmu virtuálního experta CISO oproti náboru stálé osoby na tuto pozici na úrovni C? Mezi hlavní výhody využití služeb VCISO oproti spoléhání se na tradičního interního CISO patří:

1. Eliminace zdlouhavého procesu náboru. Vytvoření úspěšné náborové kampaně na pozici CISO může trvat měsíce a stát desítky tisíc dolarů. Kromě pouhého vytvoření popisu pracovní pozice CISO a jejího zveřejnění na portálech Monster nebo LinkedIn musí společnosti investovat čas do vyhledání a prověření kvalifikovaného kandidáta. A co hůř, společnosti mohou strávit týdny snahou přimět kandidáta, aby podepsal smlouvu, jen aby ho získala jiná společnost s větším rozpočtem na benefity nebo mzdy. Využití virtuální služby CISO poskytuje okamžitý přístup k týmu odborníků – eliminuje zdlouhavý, nákladný a riskantní náborový proces.
2. Získání „nepřetržitého“ monitoringu kybernetické bezpečnosti. Jakkoli může (a měl by) být vysoce kvalifikovaný CISO dobrý, stále je to jen jeden člověk, který má na starosti optimalizaci zabezpečení a reakci/řízení incidentů pro celou organizaci. Lidé potřebují dovolenou, prostoje, aby si oprášili nové poznatky, nebo nemocenskou – nikdo nemůže mít vše pod kontrolou 24 hodin denně, 7 dní v týdnu. S virtuálními službami CISO získáte přístup k týmu odborníků, kteří se mohou vzájemně zastoupit a zajistit tak neustálý dohled a podporu. To pomáhá zajistit větší bezpečnost, než jakou může nabídnout jeden člověk.
3. Virtuální CISO mají větší šanci zůstat v obraze. Hrozby kybernetické bezpečnosti a metody útoků se neustále mění, protože útočníci vytvářejí nové způsoby, jak ukrást data nebo způsobit škodu. Držet krok s nejnovějšími hrozbami je samo o sobě práce na plný úvazek. Poskytovatelé služeb VCISO jsou často schopni lépe držet krok s novými bezpečnostními hrozbami, protože mají k dispozici celý tým lidí. Namísto spoléhání se na to, že se jeden člověk bude snažit naučit každý jednotlivý typ hrozby (což je téměř nemožné), mohou mít poskytovatelé MSSP k dispozici lidi, kteří se specializují na řešení různých hrozeb, a díky rozložení zátěže tak mnohem snadněji drží krok s nejnovějším vývojem.
4. Úspora peněz na nákladech na program CISO. Jak již bylo zmíněno, náklady na VCISO bývají mnohem nižší než náklady na jejich interní protějšky. Je to proto, že mnoho nákladů spojených s náborem na pozici C-level (inzerce, benefity, mzdy, bonusy, průběžné školení v oblasti kybernetické bezpečnosti) přebírá MSSP. MSSP pak může nechat své týmy virtuálních služeb CISO pracovat na více účtech najednou – tím se náklady rozloží, takže nemusíte nést celou zátěž sami.

Peněžní úspory, které může outsourcing pracovních funkcí CISO službě VCISO přinést, jsou obvykle nejčastějším důvodem pro jejich využití. Je však důležité zvážit více než jen náklady.

Důvody, proč si najmout virtuální službu CISO

Přestože výše uvedené výhody jsou často silnou motivací pro využití služeb VCISO, mezi nejčastěji uváděné důvody pro využití těchto služeb patří:

1: Protože služby VCISO nabízejí předvídatelné měsíční náklady

Přestože náklady nejsou zdaleka jedinou obavou, které společnosti hledající CISO čelí, jsou jedním z nejčastěji uváděných důvodů pro využití virtuální služby. Lidé, kteří mají správnou kvalifikaci a zkušenosti pro obsazení pozice v oblasti kybernetické bezpečnosti na úrovni C, znají svou cenu – a pokud vaše nabídka není dostatečně lákavá, budou mít možnosti, jak je zaměstnat, seřazené kolem bloku. Není tedy neobvyklé, že VCISO odejde poté, co dostane lepší nabídku.

To může způsobit, že se společnosti budou potýkat s hledáním a přijímáním náhrady – což vytváří další náklady na nábor a školení. Navíc vzhledem k potřebě volna na dovolenou nebo náhodné osobní události se může návratnost služeb CISO z měsíce na měsíc lišit (zejména s ohledem na to, že jde obvykle o placenou pozici).

2: Protože dobré CISO je těžké najít

I při nabídce špičkového platu může být těžké najít CISO, který je pro tuto pozici kvalifikovaný. Dokonce tak těžké, že se mnoho organizací rozhodne vzít běžného odborníka na kybernetickou bezpečnost a absolvovat s ním buď školení v kampusu, nebo virtuální školení CISO, aby z něj vyrostl vhodný kandidát.

Navíc není zaručeno, že školená osoba bude mít správnou kombinaci zkušeností a dovedností pro řízení rozsáhlého plánu kybernetické bezpečnosti, který se hladce integruje do stávajících podnikových procesů.

Použití služby VCISO k zajištění robustního plánu kybernetické bezpečnosti eliminuje potřebu hledat nebo školit odborníka na kybernetickou bezpečnost na úrovni C. A co je ještě důležitější, virtuální týmy CISO mají často mnohem více zkušeností s pomocí firmám při optimalizaci jejich bezpečnostních plánů, než by mohl mít kterýkoli jednotlivec.

3: Protože potřebujete podporu CISO PRÁVĚ TEĎ

Vedlejším efektem nutnosti hledat nebo školit nového CISO je, že se na delší dobu obejdete bez kritických služeb kybernetické bezpečnosti na úrovni C. V případě, že se vám podaří získat nového CISO, můžete se obávat, že se vám to podaří. Během této doby zůstávají kritické problémy kybernetické bezpečnosti neřešeny – což znamená, že vaše síť je zranitelnější, než by jinak byla.

Používání služby VCISO pomáhá eliminovat zdlouhavé náborové procesy. To zase pomáhá zajistit, aby vaše organizace dostala kritickou podporu v oblasti kybernetické bezpečnosti, když je potřeba.

4: Protože chcete širokou škálu odborníků v oblasti kybernetické bezpečnosti

Jak již bylo zmíněno, jednou z klíčových výhod služby virtuálního CISO oproti využití interního CISO je, že služba využívá celý tým lidí, z nichž každý se může specializovat na jiné věci. To poskytuje širší okruh znalostí, které mohou vést k lepší ochraně kybernetické bezpečnosti, jež řeší více vašich největších kybernetických bezpečnostních rizik.

Navíc je pravděpodobnější, že specializovaný tým virtuálních odborníků CISO dokáže správně identifikovat konkrétní bezpečnostní rizika a vytvořit účinná protiopatření než jeden člověk. To pomáhá zlepšit účinnost vašich plánů reakce na incidenty, takže můžete minimalizovat dopady narušení bezpečnosti a zvýšit rychlost reakce.

Měl bych si najmout CISO, nebo VCISO?

Se všemi pozitivy, která byla o službách VCISO zmíněna, byste si mohli myslet, že to bude vždy ta nejlepší volba. Nic však nikdy není tak jednoduché. Existují případy, kdy může být smysluplnější využít interního CISO místo externí služby VCISO.

Například některé organizace mohou dát přednost tomu, aby měly ve svých řadách někoho, kdo se plně věnuje jejich kybernetické bezpečnosti. Se službou VCISO by byl jejich tým odborníků na CISO rozdělen mezi několik dalších společností, čemuž by se možná raději vyhnuly – i když takové uspořádání přináší výhody v oblasti nákladů a znalostí (týmy pracující s více zákazníky mohou zkušenosti získané u jedné společnosti uplatnit i u ostatních).

Další výhodou interního CISO je potenciální dopad na veřejnou image společnosti. Schopnost udržet si vyhrazeného vedoucího pracovníka na úrovni C, který se soustředí na kybernetickou bezpečnost, pomáhá ukázat, že společnost má zdroje pro efektivní řízení bezpečnosti a odhodlání dotáhnout ji do konce – což může mít pozitivní dopady i mimo pouhé zlepšení bezpečnostní architektury společnosti.

A konečně, mít interního CISO dává lidem v organizaci někoho, komu se mohou přímo hlásit v otázkách kybernetické bezpečnosti. To pomáhá zvyšovat povědomí a dodržování kritických bezpečnostních iniciativ ve vaší společnosti. Možnost přímo distribuovat a shromažďovat zprávy s lidmi ve firmě (a mít interní autoritu k prosazování rozhodnutí v oblasti bezpečnostní politiky) může mít zásadní vliv na to, jak dobře jsou iniciativy v oblasti kybernetické bezpečnosti prováděny.

Takže, co je pro vaši organizaci lepší? Odpověď závisí na tom, jaké jsou vaše cíle a jaké zdroje již máte k dispozici. Skutečně masivním společnostem se nejčastěji vyplatí mít interního CISO se specializovaným interním personálem pro podporu kybernetické bezpečnosti. Zatímco menším organizacím se může hodit využití nákladů a výhod nepřetržitého servisu, které může poskytnout využití virtuálního CISO.

Potřebujete pomoci s optimalizací zásad a postupů kybernetické bezpečnosti, ale nejste si jisti, zda je pro vás služba virtuálního CISO vhodná? Obraťte se na tým společnosti Compuquip a promluvte si o svých potřebách v oblasti bezpečnosti a o tom, jak je řešit.

Vyžádejte si informace o svých potřebách v oblasti bezpečnosti.