Articles

Was ist ein virtueller CISO? Wie und wann der richtige Zeitpunkt für die Einstellung eines CISO ist

Was macht ein CISO? Ein Chief Information Security Officer (CISO) ist die Person in einem Unternehmen, die für die Festlegung und Durchsetzung der Cybersicherheitsrichtlinien, -verfahren und -architektur des Unternehmens verantwortlich ist. Die Aufgaben des CISO können sich auf jeden Prozess in einem Unternehmen auswirken – von der Art und Weise, wie Mitarbeiter ihre E-Mails verwenden, über die Websites, die sie besuchen können, bis hin zur Speicherung wichtiger Dokumente.

Einen CISO zu finden, der das interne Organigramm des Unternehmens ergänzt, kann jedoch… gelinde gesagt, schwierig sein. Qualifizierte Bewerber, die die Anforderungen an eine CISO-Stelle erfüllen können, sind rar. Das wiederum führt zu hohen Gehältern für diese schwer zu findenden Cybersecurity-Experten (laut salary.com im Durchschnitt etwa 225.328 $).

Da der Wettbewerb um Personen, die die mit der CISO-Stellenbeschreibung verbundenen Aufgaben verstehen und ausführen können, sehr intensiv ist, müssen Unternehmen oft neben einer Vielzahl anderer Vorteile auch eine erstklassige Bezahlung bieten, um diese Personen anzuziehen. Es gibt jedoch eine alternative Lösung zur Einstellung eines traditionellen, internen CISO, der das Cybersicherheitsprogramm Ihres Unternehmens verwaltet. Anstatt einen C-Level-Cybersicherheitsexperten zu suchen, könnte Ihr Unternehmen ein virtuelles CISO-Programm oder einen virtuellen CISO-Dienst nutzen.

Was ist ein virtueller CISO (VCISO)? Was kostet die Einstellung eines virtuellen CISO? Was sind die Vorteile der Einstellung eines VCISO? Wann sollten Sie einen VCISO im Vergleich zu einem internen CISO einstellen?

Was ist ein virtueller CISO?

Ein virtueller CISO ist ein Service, der von einem Managed Security Service Provider (MSSP) angeboten wird und die Aufgaben eines Chief Information Security Officers – die Erstellung und Verwaltung von Cybersicherheitsrichtlinien für ein Unternehmen – nachahmt und so die Rolle auslagert.

Während ein interner CISO in der Regel eine einzelne hochrangige Person in einem Unternehmen ist, werden VCISO-Dienste in der Regel von einem Team virtueller CISO-Experten erbracht. Dadurch können sie auf einen größeren Wissenspool zurückgreifen und einen nahezu konstanten Schutz vor Cyber-Bedrohungen bieten.

Wie schützt ein VCISO Ihr Unternehmen?

Virtuelle CISO-Dienste helfen Unternehmen, ihre Cybersicherheitsarchitektur zu verbessern, indem sie Expertenrat zu ihren kritischen Sicherheitsfragen bereitstellen. Zu den Aufgaben eines virtuellen CISO gehören häufig Aufgaben wie:

  • Durchführung von Penetrationstests;
  • Proaktive Identifizierung kritischer Sicherheitslücken;
  • Hilfe bei der Überarbeitung von Sicherheitsrichtlinien und -verfahren;
  • Erfüllung wichtiger Vorschriften (wie HIPAA, PCI DSS, GDPR usw.);
  • Erstellung und Umsetzung von Notfallplänen (IRPs); und
  • Überprüfung aller vorhandenen Cybersicherheits-Tools und Abgabe von Empfehlungen für deren Ersatz oder Verstärkung.

Gleich wie bei einem internen CISO wird von VCISOs erwartet, dass sie Ihre Cybersicherheit maximieren und gleichzeitig Kosten und Leistungseinbußen minimieren.

Was ist ein virtueller CISO? Wie &Wann ist der richtige Zeitpunkt, einen einzustellen?

Wenn ein interner CISO ein paar hunderttausend Dollar pro Jahr kosten kann, was kostet dann ein virtueller CISO? Die Antwort lautet: „Das hängt davon ab, welche VCISO-Dienste Sie benötigen.“ Nicht jedes Unternehmen benötigt das gleiche Maß an Dienstleistungen eines VCISO, so dass die Kosten variieren können.

Eine Faustregel für VCISO-Kosten, die von CSO Online hervorgehoben wird, besagt, dass „VCISOs schätzungsweise zwischen 30 und 40 Prozent eines Vollzeit-CISOs kosten.“ Dabei handelt es sich jedoch nur um eine grobe Schätzung, die nicht unbedingt mit den tatsächlichen Kosten übereinstimmen muss.

Wenn Sie sich über virtuelle CISO-Dienste informieren, ist es wichtig, spezifische Kostenvoranschläge von MSSPs einzuholen, damit Sie die Kosten vergleichen können – auch wenn die Kosten nicht das einzige Kriterium sind, das Sie bei der Suche nach VCISO-Diensten berücksichtigen sollten.

Welche Vorteile bietet die Einstellung eines virtuellen CISO?

Viele Menschen fragen sich, welche Vorteile die Einstellung eines virtuellen CISO-Experten gegenüber der Einstellung einer festen Person für diese C-Level-Rolle hat. Zu den wichtigsten Vorteilen der Inanspruchnahme von VCISO-Diensten im Gegensatz zu einem traditionellen, internen CISO gehören:

  1. Kein langwieriger Einstellungsprozess. Die Erstellung einer erfolgreichen CISO-Rekrutierungskampagne kann Monate und Zehntausende von Dollar kosten. Abgesehen von der einfachen Erstellung einer CISO-Stellenbeschreibung und deren Veröffentlichung auf Monster oder LinkedIn müssen Unternehmen Zeit investieren, um einen qualifizierten Kandidaten zu finden und zu prüfen. Schlimmer noch: Unternehmen können Wochen damit verbringen, einen Kandidaten zur Einstellung zu bewegen, nur um ihn dann von einem anderen Unternehmen mit einem größeren Budget für Sozialleistungen oder Gehaltsabrechnung abwerben zu lassen. Die Inanspruchnahme eines virtuellen CISO-Dienstes bietet sofortigen Zugang zu einem Expertenteam, wodurch ein langwieriger, kostspieliger und risikoreicher Rekrutierungsprozess vermieden wird.
  2. Überwachung der Cybersicherheit „rund um die Uhr“. So gut ein hochqualifizierter CISO auch sein kann (und sollte), so ist es doch nur eine Person, die sich um die Sicherheitsoptimierung und die Reaktion auf Vorfälle/Management für ein ganzes Unternehmen kümmern soll. Die Mitarbeiter brauchen Urlaub, eine Auszeit, um sich mit neuen Entwicklungen vertraut zu machen, oder sind krank – niemand kann rund um die Uhr über alles Bescheid wissen. Mit virtuellen CISO-Diensten erhalten Sie Zugang zu einem Team von Experten, die sich gegenseitig ablösen können, um eine ständige Überwachung und Unterstützung zu gewährleisten. Dies trägt dazu bei, mehr Sicherheit zu gewährleisten, als eine einzelne Person bieten kann.
  3. Virtuelle CISOs sind eher auf dem neuesten Stand. Die Bedrohungen für die Cybersicherheit und die Angriffsmethoden ändern sich ständig, da Angreifer neue Wege finden, um Daten zu stehlen oder Schaden anzurichten. Mit den neuesten Bedrohungen Schritt zu halten, ist an und für sich schon ein Vollzeitjob. VCISO-Dienstleister sind oft besser in der Lage, mit neuen Sicherheitsbedrohungen Schritt zu halten, weil ihnen ein ganzes Team von Mitarbeitern zur Verfügung steht. Anstatt sich darauf zu verlassen, dass eine einzige Person versucht, jede einzelne Bedrohungsart zu erlernen (was nahezu unmöglich ist), können MSSPs über Mitarbeiter verfügen, die auf den Umgang mit verschiedenen Bedrohungen spezialisiert sind, und so viel leichter mit den neuesten Entwicklungen Schritt halten, indem sie die Last verteilen.
  4. Kosteneinsparungen beim CISO-Programm. Wie bereits erwähnt, sind die Kosten für einen VCISO in der Regel viel niedriger als die für ihre internen Gegenstücke. Dies liegt daran, dass viele der Kosten, die mit der Besetzung einer C-Level-Position verbunden sind (Werbung, Sozialleistungen, Gehaltsabrechnung, Boni, laufende Cybersicherheitsschulungen), vom MSSP übernommen werden. Der MSSP kann dann sein virtuelles CISO-Service-Team an mehreren Kunden gleichzeitig arbeiten lassen und so die Kosten verteilen, so dass Sie nicht die gesamte Last allein tragen müssen.

Die monetären Einsparungen, die durch die Auslagerung von CISO-Aufgaben an einen VCISO-Service erzielt werden können, sind in der Regel der beliebteste Grund für deren Inanspruchnahme. Es ist jedoch wichtig, mehr als nur die Kosten zu berücksichtigen.

Gründe für die Beauftragung eines virtuellen CISO-Dienstes

Die oben genannten Vorteile sind zwar oft ein starker Anreiz für die Inanspruchnahme eines VCISO-Dienstes, doch einige der am häufigsten genannten Gründe für die Inanspruchnahme dieser Dienste sind:

1: Weil VCISO-Dienste vorhersehbare monatliche Kosten bieten

Die Kosten sind zwar bei weitem nicht die einzige Sorge, mit der sich Unternehmen konfrontiert sehen, die einen CISO suchen, doch sind sie einer der am häufigsten genannten Gründe für die Inanspruchnahme eines virtuellen Dienstes. Personen, die über die richtigen Qualifikationen und Erfahrungen verfügen, um eine Position auf C-Level im Bereich Cybersicherheit zu besetzen, wissen um ihren Wert – und werden von anderen Unternehmen umlagert, wenn Ihr Angebot nicht attraktiv genug ist, um sie einzustellen. Daher ist es nicht ungewöhnlich, dass ein VCISO nach einem besseren Angebot das Unternehmen verlässt.

Das kann dazu führen, dass sich die Unternehmen bemühen, einen Ersatz zu finden und einzustellen, was zusätzliche Kosten für die Einstellung und Schulung verursacht. Berücksichtigt man darüber hinaus den Bedarf an Freizeit für Urlaub oder zufällige persönliche Ereignisse, kann der Ertrag der Dienste eines CISO von Monat zu Monat schwanken (vor allem, wenn man bedenkt, dass es sich in der Regel um eine Festanstellung handelt).

2: Weil gute CISOs schwer zu finden sind

Selbst wenn man ein Spitzengehalt anbietet, kann es schwierig sein, einen CISO zu finden, der für die Stelle qualifiziert ist. So schwer, dass sich viele Unternehmen dafür entscheiden, einen regulären Cybersecurity-Experten zu nehmen und ihn entweder auf dem Campus oder in einem virtuellen CISO-Training zu schulen, um einen geeigneten Kandidaten zu finden.

Außerdem gibt es keine Garantie dafür, dass die geschulte Person über die richtige Mischung aus Erfahrung und Fähigkeiten verfügt, um einen groß angelegten Cybersicherheitsplan zu verwalten, der sich reibungslos in die bestehenden Geschäftsprozesse einfügt.

Durch den Einsatz eines VCISO-Dienstes zur Bereitstellung eines robusten Cybersicherheitsplans entfällt die Notwendigkeit, einen Cybersicherheitsexperten auf C-Level zu suchen oder zu schulen. Noch wichtiger ist, dass virtuelle CISO-Teams oft viel mehr Erfahrung darin haben, Unternehmen bei der Optimierung ihrer Sicherheitspläne zu helfen, als es eine Einzelperson könnte.

3: Weil Sie CISO-Unterstützung JETZT brauchen

Ein Nebeneffekt der Suche nach einem neuen CISO oder dessen Ausbildung ist, dass Sie für einen längeren Zeitraum ohne wichtige Cybersicherheitsdienste auf C-Level auskommen müssen. In dieser Zeit werden kritische Cybersicherheitsprobleme nicht angegangen, was bedeutet, dass Ihr Netzwerk anfälliger ist, als es sonst wäre.

Die Verwendung eines VCISO-Dienstes hilft, langwierige Rekrutierungsprozesse zu vermeiden. Dies wiederum trägt dazu bei, dass Ihr Unternehmen bei Bedarf wichtige Unterstützung im Bereich der Cybersicherheit erhält.

4: Weil Sie ein breites Spektrum an Cybersicherheits-Know-how benötigen

Wie bereits erwähnt, besteht einer der Hauptvorteile eines virtuellen CISO-Dienstes gegenüber einem internen CISO darin, dass der Dienst ein ganzes Team von Mitarbeitern einsetzt, die sich jeweils auf verschiedene Bereiche spezialisieren können. Dadurch entsteht ein breiterer Wissenspool, der zu einem besseren Schutz der Cybersicherheit führen kann, der mehr Ihrer größten Cybersicherheitsrisiken abdeckt.

Außerdem ist ein engagiertes Team von virtuellen CISO-Experten eher in der Lage, spezifische Sicherheitsrisiken richtig zu erkennen und wirksame Gegenmaßnahmen zu ergreifen als eine einzelne Person. Dies trägt dazu bei, die Wirksamkeit Ihrer Reaktionspläne auf Vorfälle zu verbessern, so dass Sie die Auswirkungen von Sicherheitsverletzungen minimieren und die Reaktionsgeschwindigkeit erhöhen können.

Sollte ich einen CISO oder einen VCISO einstellen?

Bei all den positiven Eigenschaften, die über VCISO-Dienste erwähnt wurden, könnte man meinen, dass dies immer die beste Option wäre. Aber nichts ist so einfach. Es gibt Fälle, in denen es sinnvoller sein kann, einen internen CISO anstelle eines ausgelagerten VCISO-Dienstes einzusetzen.

Einige Unternehmen ziehen es beispielsweise vor, einen Mitarbeiter zu haben, der sich voll und ganz ihrer Cybersicherheit widmet. Bei einem VCISO-Service würde ihr CISO-Expertenteam auf mehrere andere Unternehmen aufgeteilt, was sie vielleicht lieber vermeiden möchten – auch wenn eine solche Konstellation Kosten- und Wissensvorteile mit sich bringt (Teams, die mit mehreren Kunden arbeiten, können die bei einem Unternehmen gesammelten Erfahrungen auf andere übertragen).

Ein weiterer Vorteil eines internen CISO ist die mögliche Auswirkung auf das öffentliche Image des Unternehmens. Die Tatsache, dass sich eine Führungskraft auf C-Level mit dem Thema Cybersicherheit befasst, zeigt, dass das Unternehmen über die Ressourcen für ein effektives Sicherheitsmanagement verfügt und sich dafür einsetzt – was sich nicht nur auf die Verbesserung der Sicherheitsarchitektur des Unternehmens positiv auswirken kann.

Schließlich haben die Mitarbeiter in Ihrem Unternehmen mit einem internen CISO jemanden, an den sie sich in Fragen der Cybersicherheit direkt wenden können. Dies trägt dazu bei, das Bewusstsein für kritische Sicherheitsinitiativen in Ihrem Unternehmen zu schärfen und deren Einhaltung zu fördern. Die Möglichkeit, Berichte direkt an Personen im Unternehmen zu verteilen und zu sammeln (und die interne Autorität zu haben, Entscheidungen über Sicherheitsrichtlinien durchzusetzen), kann einen großen Unterschied bei der Ausführung von Cybersicherheitsinitiativen ausmachen.

Was ist also besser für Ihr Unternehmen? Nun, die Antwort hängt davon ab, welche Ziele Sie verfolgen und welche Ressourcen Sie bereits zur Verfügung haben. Wirklich große Unternehmen profitieren in der Regel von einem internen CISO mit einem eigenen Mitarbeiterstab für Cybersicherheit. Kleinere Unternehmen hingegen müssen vielleicht die Kosten- und 24/7-Servicevorteile nutzen, die ein virtueller CISO bieten kann.

Sie benötigen Hilfe bei der Optimierung Ihrer Cybersicherheitsrichtlinien und -verfahren, sind sich aber nicht sicher, ob ein virtueller CISO-Service das Richtige für Sie ist? Wenden Sie sich an das Compuquip-Team, um über Ihre Sicherheitsbedürfnisse zu sprechen und darüber, wie Sie diese erfüllen können.