¿Qué hace un CISO? Un director de seguridad de la información (CISO) es la persona en una organización que es responsable de definir y hacer cumplir las políticas, prácticas y arquitectura de ciberseguridad de esa organización. Las funciones del CISO pueden afectar a todos los procesos de una organización de alguna manera, desde la forma en que los empleados utilizan sus correos electrónicos, hasta los sitios web que pueden visitar, pasando por la forma en que almacenan los documentos importantes.

Sin embargo, encontrar un CISO que se añada al organigrama interno de la empresa puede ser… un reto, como mínimo. Los candidatos cualificados que pueden cumplir con los requisitos del puesto de CISO son escasos. Esto, a su vez, conduce a los altos salarios de estos expertos en ciberseguridad difíciles de encontrar (alrededor de 225.328 dólares de media, según salary.com).

Con la intensa competencia por las personas que pueden entender y ejecutar las tareas inherentes a la descripción del puesto de CISO, las empresas a menudo tienen que ofrecer un salario de primera categoría, además de una variedad de otros beneficios para atraer a estas personas. Sin embargo, existe una solución alternativa a la contratación de un CISO interno tradicional para gestionar el programa de ciberseguridad de su empresa. En lugar de contratar a un experto en ciberseguridad de nivel C, su empresa podría utilizar un programa o servicio de CISO virtual.

¿Qué es un CISO virtual (VCISO)? ¿Cuánto cuesta la contratación de un CISO virtual? ¿Cuáles son los beneficios de contratar un VCISO? ¿Cuándo debería contratar a un VCISO frente a un CISO interno?

¿Qué es un CISO virtual?

Un CISO virtual es un servicio prestado por un proveedor de servicios de seguridad gestionados (MSSP) que replica las funciones de trabajo de un Director de Seguridad de la Información -creando y gestionando las políticas de ciberseguridad para una organización- externalizando efectivamente el papel.

Mientras que un CISO interno suele ser una sola persona de alto rango en una empresa, los servicios VCISO suelen ser prestados por un equipo de expertos CISO virtuales. Esto les permite recurrir a un conjunto más profundo de conocimientos y proporcionar una protección casi constante contra las ciberamenazas.

¿Cómo protege un VCISO a su organización?

Los servicios de CISO virtual ayudan a las empresas a mejorar su arquitectura de ciberseguridad proporcionando asesoramiento experto sobre sus problemas de seguridad críticos. Las responsabilidades del CISO virtual suelen incluir tareas como:

• Ejecutar pruebas de penetración;
• Identificar de forma proactiva los fallos de seguridad críticos;
• Ayudar a revisar las políticas y procedimientos de seguridad;
• Hacer posible el cumplimiento de las normativas clave (como HIPAA, PCI DSS, GDPR, etc.);
• Crear e implementar planes de respuesta a incidentes (IRP); y
• Revisar todas las herramientas de ciberseguridad existentes y hacer recomendaciones para reemplazarlas o reforzarlas.

Al igual que con un CISO interno, se espera que los VCISO maximicen su ciberseguridad al tiempo que minimizan los costes y los impactos en el rendimiento.

¿Qué es un CISO virtual? Cómo &¿Cuándo es el momento adecuado para contratar uno?

Si un CISO interno puede costar un par de cientos de miles de dólares al año, ¿cuánto cuesta un CISO virtual? La respuesta es: «Depende de los servicios VCISO que necesite». No todas las empresas necesitarán el mismo nivel de servicio de un VCISO, por lo que los costes pueden variar.

Una regla general para los costes de VCISO destacada por CSO Online afirma que «se estima que los VCISO cuestan entre el 30 y el 40 por ciento de un CISO a tiempo completo». Sin embargo, esto es sólo una estimación aproximada, y puede no coincidir necesariamente con sus costes reales.

Cuando se investigan los servicios de CISO virtuales, es importante recopilar estimaciones específicas de los MSSP para que pueda comparar los costes, aunque el coste no es el único criterio que debe tener en cuenta al buscar servicios de VCISO.

¿Cuáles son los beneficios de contratar a un CISO virtual?

Muchas personas se preguntan cuáles son los beneficios de contratar a un experto CISO virtual frente a la contratación de una persona permanente para esta función de nivel C. Algunas de las principales ventajas de utilizar los servicios de VCISO en lugar de confiar en un CISO interno tradicional son:

1. Eliminar un largo proceso de contratación. Puede llevar meses y decenas de miles de dólares crear una campaña de contratación de CISO con éxito. Aparte de la simple creación de una descripción del puesto de trabajo de CISO y su publicación en Monster o LinkedIn, las empresas necesitan invertir tiempo para encontrar y examinar a un candidato cualificado. Y lo que es peor, las empresas pueden pasar semanas tratando de conseguir que un candidato firme, sólo para que sea recogido por alguna otra empresa con un mayor presupuesto para beneficios o nóminas. El uso de un servicio de CISO virtual proporciona acceso instantáneo a un equipo de expertos, eliminando un proceso de contratación largo, costoso y arriesgado.
2. Conseguir una supervisión de la ciberseguridad «las 24 horas del día». Por muy bueno que pueda (y deba) ser un CISO altamente cualificado, sigue siendo una sola persona a la que se le pide que se encargue de la optimización de la seguridad y de la respuesta/gestión de incidentes para toda una organización. La gente necesita vacaciones, tiempo de inactividad para repasar los nuevos desarrollos o tiempo de enfermedad; nadie puede estar al tanto de todo las 24 horas del día. Con los servicios virtuales de CISO, usted tiene acceso a un equipo de expertos que pueden cubrirse mutuamente para proporcionar vigilancia y apoyo constantes. Esto ayuda a proporcionar más seguridad de la que puede ofrecer una sola persona.
3. Los CISO virtuales tienen más probabilidades de estar al día. Las amenazas de ciberseguridad y los métodos de ataque cambian constantemente a medida que los atacantes crean nuevas formas de robar datos o causar daños. Mantenerse al día con las últimas amenazas es un trabajo de tiempo completo en sí mismo. Los proveedores de servicios VCISO suelen ser más capaces de mantenerse al día con las nuevas amenazas a la seguridad porque tienen todo un equipo de personas a su disposición. En lugar de depender de una sola persona para tratar de aprender cada tipo de amenaza (lo cual es casi imposible), los MSSP pueden tener personas que se especializan en el tratamiento de diferentes amenazas, manteniéndose al día con los últimos desarrollos mucho más fácilmente mediante la distribución de la carga.
4. Ahorro de dinero en los costos del programa CISO. Como se mencionó anteriormente, el coste de un VCISO tiende a ser mucho menor que el de sus homólogos internos. Esto se debe a que muchos de los costes asociados a la contratación de un puesto de nivel C (publicidad, beneficios, nóminas, bonificaciones, formación continua en ciberseguridad) son asumidos por el MSSP. El MSSP puede entonces hacer que sus equipos de servicios CISO virtuales trabajen en varias cuentas al mismo tiempo, repartiendo el coste para que usted no tenga que soportar toda la carga en solitario.

El ahorro monetario que puede suponer la externalización de las funciones del trabajo CISO a un servicio VCISO suele ser la razón más popular para utilizarlos. Sin embargo, es importante considerar algo más que el coste.

Razones para contratar un servicio CISO virtual

Aunque los beneficios mencionados anteriormente suelen ser una fuerte motivación para utilizar un VCISO, algunas de las razones más citadas para utilizar estos servicios son:

1: Porque los servicios VCISO ofrecen un coste mensual predecible

Aunque está lejos de ser la única preocupación a la que se enfrentan las empresas que buscan CISO, el coste es una de las razones más citadas para optar por un servicio virtual. Las personas que tienen las cualificaciones y la experiencia adecuadas para ocupar un puesto de ciberseguridad de nivel C saben lo que valen, y tendrán opciones alineadas alrededor de la manzana para contratarlos si su oferta no es lo suficientemente atractiva. Por lo tanto, no es raro que un VCISO se marche después de recibir una oferta mejor.

Esto puede hacer que las empresas se peleen por encontrar y contratar a un sustituto, lo que genera costes adicionales de contratación y formación. Además, teniendo en cuenta la necesidad de tiempo libre para las vacaciones o eventos personales al azar, el retorno de los servicios de un CISO de un mes a otro puede variar (sobre todo teniendo en cuenta que suele ser un puesto asalariado).

2: Porque los buenos CISOs son difíciles de encontrar

Incluso cuando se ofrece un salario de alta escala, puede ser difícil encontrar un CISO que esté calificado para el puesto. Tan difícil, de hecho, que muchas organizaciones optan por coger a un experto en ciberseguridad normal y someterlo a una formación de CISO, ya sea presencial o virtual, para conseguir un candidato adecuado.

Además, no hay garantía de que la persona que se está formando tenga la combinación adecuada de experiencia y habilidades para gestionar un plan de ciberseguridad a gran escala que se integre sin problemas con los procesos empresariales existentes.

Usar un servicio VCISO para ofrecer un plan de ciberseguridad sólido elimina la necesidad de buscar o formar a un experto en ciberseguridad de nivel C. Y lo que es más importante, los equipos de CISO virtuales suelen tener mucha más experiencia en ayudar a las empresas a optimizar sus planes de seguridad que cualquier individuo.

3: Porque necesita el apoyo del CISO AHORA MISMO

Un efecto secundario de tener que buscar o formar a un nuevo CISO es quedarse sin los servicios de ciberseguridad críticos de nivel C durante un periodo de tiempo prolongado. Durante este tiempo, los problemas críticos de ciberseguridad quedan sin resolver, lo que significa que su red es más vulnerable de lo que sería de otro modo.

El uso de un servicio VCISO ayuda a eliminar los largos procesos de contratación. Esto, a su vez, ayuda a garantizar que su organización obtenga apoyo crítico en materia de ciberseguridad cuando sea necesario.

4: Porque quiere una amplia gama de conocimientos en materia de ciberseguridad

Como se mencionó anteriormente, una de las ventajas clave de un servicio de CISO virtual sobre el uso de un CISO interno es que el servicio aprovecha todo un equipo de personas que pueden especializarse en diferentes cosas. Esto proporciona un conjunto más amplio de conocimientos que puede resultar en mejores protecciones de ciberseguridad que abordan más de sus mayores riesgos de ciberseguridad.

Además, un equipo dedicado de expertos CISO virtuales es más probable que pueda identificar correctamente los riesgos de seguridad específicos y crear contramedidas eficaces que una sola persona. Esto ayuda a mejorar la eficacia de sus planes de respuesta a incidentes para que pueda minimizar los impactos de las violaciones de seguridad y mejorar la velocidad de respuesta.

¿Debo contratar a un CISO o a un VCISO?

Con todos los aspectos positivos que se han mencionado sobre los servicios de VCISO, podría pensar que siempre sería la mejor opción. Sin embargo, nada es tan sencillo. Hay casos en los que puede tener más sentido utilizar un CISO interno en lugar de un servicio VCISO externalizado.

Por ejemplo, algunas organizaciones pueden preferir tener a alguien en plantilla que se dedique por completo a su ciberseguridad. Con un servicio de VCISO, su equipo de expertos en CISO se dividiría entre varias empresas, lo que podrían preferir evitar, aunque esta configuración tiene beneficios en cuanto a costes y conocimientos (los equipos que trabajan con varios clientes pueden aplicar las lecciones aprendidas con una empresa a otras).

Otro beneficio de tener un CISO interno es el impacto potencial en la imagen pública de la empresa. Ser capaz de retener a un ejecutivo de nivel C dedicado a centrarse en la ciberseguridad ayuda a demostrar que la empresa tiene los recursos para gestionar eficazmente la seguridad y la dedicación para llevarla a cabo, lo que puede tener impactos positivos más allá de la simple mejora de la arquitectura de seguridad de la empresa.

Por último, tener un CISO interno da a la gente de su organización alguien a quien pueden informar directamente sobre cuestiones de ciberseguridad. Esto ayuda a aumentar la conciencia y el cumplimiento de las iniciativas de seguridad críticas en su empresa. Ser capaz de distribuir y recopilar informes directamente con la gente de la empresa (y tener la autoridad interna para hacer que las decisiones de la política de seguridad se mantengan) puede hacer un mundo de diferencia en lo bien que se ejecutan las iniciativas de ciberseguridad.

Entonces, ¿cuál es mejor para su organización? Bueno, la respuesta depende de cuáles sean sus objetivos y de los recursos que tenga disponibles. Las empresas verdaderamente grandes suelen beneficiarse de tener un CISO interno con un personal de apoyo dedicado a la ciberseguridad dentro de la empresa. Mientras tanto, las organizaciones más pequeñas podrían necesitar aprovechar las ventajas de coste y de servicio 24/7 que puede proporcionar el uso de un CISO virtual.

¿Necesita ayuda para optimizar sus políticas y procedimientos de ciberseguridad, pero no está seguro de si un servicio de CISO virtual es adecuado para usted? Póngase en contacto con el equipo de Compuquip para hablar de sus necesidades de seguridad y cómo abordarlas.