Mit csinál egy CISO? Az információbiztonsági vezető (Chief Information Security Officer, CISO) az a személy egy szervezetben, aki felelős a szervezet kiberbiztonsági irányelveinek, gyakorlatainak és architektúrájának meghatározásáért és érvényesítéséért. A CISO feladatai a szervezet minden folyamatát befolyásolhatják valamilyen módon – attól kezdve, hogy az alkalmazottak hogyan használják az e-mailjeiket, milyen weboldalakat látogathatnak, és hogyan tárolják a fontos dokumentumokat.

A CISO-t azonban a vállalat belső szervezeti diagramjába felvenni… enyhén szólva is kihívást jelenthet. Ritka az olyan képzett pályázó, aki képes megfelelni a CISO munkaköri követelményeknek. Ez viszont magas fizetéseket eredményez ezeknek a nehezen fellelhető kiberbiztonsági szakembereknek (a salary.com szerint átlagosan körülbelül 225 328 dollárt).

A CISO munkaköri leírásában rejlő feladatok megértéséhez és végrehajtásához értő emberekért folyó intenzív verseny miatt a vállalatoknak a különféle egyéb juttatások mellett gyakran magas fizetést is fel kell ajánlaniuk, hogy vonzzák ezeket a személyeket. Van azonban egy alternatív megoldás a hagyományos, házon belüli CISO alkalmazására a vállalat kiberbiztonsági programjának irányítására. Ahelyett, hogy egy C-szintű kiberbiztonsági szakértőt keresne, vállalata igénybe vehet egy virtuális CISO programot vagy szolgáltatást.

Mi az a virtuális CISO (VCISO)? Mennyibe kerül egy virtuális CISO felvétele? Milyen előnyökkel jár egy VCISO alkalmazása? Mikor érdemes VCISO-t alkalmazni a házon belüli CISO-val szemben?

Mi az a virtuális CISO?

A virtuális CISO egy olyan szolgáltatás, amelyet egy menedzselt biztonsági szolgáltató (MSSP) nyújt, és amely megismétli a Chief Information Security Officer munkakörét – a szervezet kiberbiztonsági szabályzatainak megalkotását és kezelését -, és hatékonyan kiszervezi a szerepkört.

Míg a házon belüli CISO általában egyetlen magas beosztású személy a vállalatnál, a VCISO-szolgáltatásokat jellemzően virtuális CISO-szakértőkből álló csapat nyújtja. Ez lehetővé teszi számukra, hogy mélyebb tudásbázisból merítsenek, és szinte folyamatos védelmet nyújtsanak a kiberfenyegetésekkel szemben.

Hogyan védi egy VCISO a szervezetet?

A virtuális CISO-szolgáltatások segítenek a vállalatoknak javítani kiberbiztonsági architektúrájukat azáltal, hogy szakértői tanácsokat adnak a kritikus biztonsági kérdésekben. A virtuális CISO felelősségi körébe gyakran olyan feladatok tartoznak, mint:

• Hatolástesztek lefuttatása;
• A kritikus biztonsági hibák proaktív azonosítása;
• Segítség a biztonsági irányelvek és eljárások felülvizsgálatában;
• A kulcsfontosságú szabályozásoknak való megfelelés biztosítása (például HIPAA, PCI DSS, GDPR stb.);
• Elkészíti és végrehajtja az incidensreagálási terveket (IRP); és
• A meglévő kiberbiztonsági eszközök áttekintése és ajánlások készítése azok cseréjére vagy megerősítésére.

Akárcsak egy házon belüli CISO esetében, a virtuális CISO-tól is elvárják, hogy maximalizálja a kiberbiztonságot, miközben minimalizálja a költségeket és a teljesítményre gyakorolt hatásokat.

Mi a virtuális CISO? Hogyan & Mikor van itt az ideje felvenni egyet?

Ha egy házon belüli CISO évi néhány százezer dollárba kerülhet, mennyibe kerül egy virtuális CISO? A válasz: “Attól függ, hogy milyen VCISO szolgáltatásokra van szüksége”. Nem minden vállalatnak van szüksége ugyanolyan szintű szolgáltatásokra egy VCISO-tól, így a költségek is eltérőek lehetnek.

A CSO Online által kiemelt egyik ökölszabály a VCISO költségeire vonatkozóan azt mondja, hogy “a VCISO-k a becslések szerint egy teljes munkaidős CISO 30-40 százalékába kerülnek”. Ez azonban csak egy durva becslés, és nem feltétlenül egyezik meg a valós költségekkel.

A virtuális CISO szolgáltatások kutatása során fontos, hogy konkrét becsléseket gyűjtsön az MSSP-kről, hogy össze tudja hasonlítani a költségeket – bár a költség nem az egyetlen kritérium, amelyet figyelembe kell vennie, amikor VCISO szolgáltatásokat keres.

Milyen előnyökkel jár egy virtuális CISO alkalmazása?

Sokakban felmerül a kérdés, hogy milyen előnyökkel jár egy virtuális CISO szakértő alkalmazása egy állandó személy felvételével szemben erre a C-szintű szerepkörre. A VCISO szolgáltatások igénybevételének néhány fő előnye a hagyományos, házon belüli CISO-ra való támaszkodással szemben:

1. A hosszadalmas toborzási folyamat kiküszöbölése. Hónapokba és több tízezer dollárba kerülhet egy sikeres CISO-toborzási kampány létrehozása. Eltekintve attól, hogy egyszerűen létrehoznak egy CISO munkaköri leírást és közzéteszik azt a Monster vagy a LinkedIn oldalon, a vállalatoknak időt kell befektetniük a képzett jelöltek felkutatásába és ellenőrzésébe. Ami még rosszabb, a vállalatok heteket tölthetnek azzal, hogy megpróbálják rávenni a jelöltet, hogy jelentkezzen, csak azért, hogy aztán egy másik, a juttatásokra vagy a bérszámfejtésre nagyobb költségvetéssel rendelkező vállalat lecsapjon rá. A virtuális CISO-szolgáltatás igénybevétele azonnali hozzáférést biztosít egy szakértői csapathoz – így elkerülhető a hosszadalmas, költséges és kockázatos toborzási folyamat.
2. A kiberbiztonsági felügyelet “éjjel-nappal”. Bármennyire is jó lehet (és kell) egy magasan képzett CISO, ez még mindig csak egy személy, akitől azt kérik, hogy egy egész szervezet biztonságának optimalizálását és az incidensekre való reagálást/kezelést kezelje. Az embereknek szükségük van szabadságra, pihenőidőre, hogy felfrissítsék az új fejleményeket, vagy betegszabadságra – senki sem tud a nap 24 órájában mindenre figyelni. A virtuális CISO-szolgáltatásokkal hozzáférhet egy szakértői csapathoz, akik egymást helyettesítve folyamatos felügyeletet és támogatást tudnak nyújtani. Ez segít nagyobb biztonságot nyújtani, mint amit egyetlen személy nyújtani tudna.
3. A virtuális CISO-k nagyobb valószínűséggel maradnak naprakészek. A kiberbiztonsági fenyegetések és támadási módszerek folyamatosan változnak, mivel a támadók új módszereket találnak ki az adatlopásra vagy a károkozásra. A legújabb fenyegetésekkel való lépéstartás önmagában is teljes munkaidős feladat. A VCISO szolgáltatók gyakran jobban képesek lépést tartani az új biztonsági fenyegetésekkel, mivel egy egész csapatnyi ember áll rendelkezésükre. Ahelyett, hogy egyetlen emberre támaszkodnának, aki minden egyes fenyegetéstípust megpróbál megtanulni (ami szinte lehetetlen), az MSSP-knek lehetnek olyan embereik, akik a különböző fenyegetések kezelésére szakosodtak, így a terhek megosztásával sokkal könnyebben lépést tarthatnak a legújabb fejleményekkel.
4. Pénzmegtakarítás a CISO program költségein. Mint korábban említettük, a VCISO költségei általában sokkal alacsonyabbak, mint a házon belüli társaiké. Ennek oka, hogy a C-szintű pozíció toborzásával járó költségek nagy részét (hirdetés, juttatások, bérszámfejtés, bónuszok, folyamatos kiberbiztonsági képzés) az MSSP átvállalja. Az MSSP ezután a virtuális CISO szolgáltatási csapataival egyszerre több számlán is dolgozhat – így a költségek eloszlanak, és nem kell egyedül viselnie a teljes terhet.

A pénzbeli megtakarítás, amelyet a CISO munkakörök VCISO szolgáltatáshoz történő kiszervezése biztosíthat, általában a legnépszerűbb ok az alkalmazásuk mellett. Fontos azonban, hogy ne csak a költségeket vegyük figyelembe.

A virtuális CISO-szolgáltatás igénybevételének okai

Míg a fent felsorolt előnyök gyakran erős motivációt jelentenek a VCISO-szolgáltatás igénybevételére, a leggyakrabban említett okok közül néhány a következő:

1: Mert a VCISO-szolgáltatások kiszámítható havi költséget kínálnak

A költségek – bár messze nem az egyetlen aggodalom, amellyel a CISO-t kereső vállalatok szembesülnek – az egyik leggyakrabban említett ok a virtuális szolgáltatás igénybevétele mellett. Azok az emberek, akik rendelkeznek a megfelelő képesítéssel és tapasztalattal egy C-szintű kiberbiztonsági szerepkör betöltéséhez, tudják, hogy mennyit érnek – és sorban állnak a lehetőségek, hogy felvegyék őket, ha az Ön ajánlata nem elég vonzó. Így nem ritka, hogy egy VCISO távozik, miután jobb ajánlatot kapott.

Ez azt eredményezheti, hogy a vállalatoknak meg kell találniuk és be kell illeszteniük az utódot – ami további költségeket okoz a toborzás és a képzés terén. Továbbá, ha figyelembe vesszük, hogy szabadságra vagy véletlenszerű személyes eseményekre is szükség van, a CISO szolgálatainak megtérülése hónapról hónapra változhat (különösen, ha figyelembe vesszük, hogy ez általában egy fizetett pozíció).

2: Mert a jó CISO-kat nehéz megtalálni

Még akkor is nehéz lehet olyan CISO-t találni, aki alkalmas a pozíció betöltésére, ha a legmagasabb szintű fizetést kínálják. Olyannyira nehéz, hogy sok szervezet úgy dönt, hogy fog egy átlagos kiberbiztonsági szakértőt, és egyetemi vagy virtuális CISO-képzésen vesz részt, hogy megfelelő jelöltet találjon.

Ráadásul nincs garancia arra, hogy a kiképzésre kerülő személy a tapasztalatok és készségek megfelelő kombinációjával rendelkezik majd egy nagyszabású kiberbiztonsági terv irányításához, amely zökkenőmentesen integrálódik a meglévő üzleti folyamatokba.

Egy VCISO szolgáltatás igénybevételével egy robusztus kiberbiztonsági terv megvalósításához nincs szükség egy C-szintű kiberbiztonsági szakértő fejvadászatra vagy képzésére. Ami még fontosabb, hogy a virtuális CISO-csapatok gyakran sokkal több tapasztalattal rendelkeznek a vállalatok biztonsági terveinek optimalizálásában, mint amennyivel bármelyik egyén rendelkezhet.

3: Mert Önnek most azonnal szüksége van CISO-támogatásra

Az új CISO fejvadászatának vagy betanításának mellékhatása, hogy hosszabb időre nélkülözni kell a kritikus C-szintű kiberbiztonsági szolgáltatásokat. Ez idő alatt a kritikus kiberbiztonsági kérdések megoldatlanok maradnak – ami azt jelenti, hogy hálózata sebezhetőbb, mint amilyen egyébként lenne.

A VCISO szolgáltatás igénybevétele segít kiküszöbölni a hosszadalmas toborzási folyamatokat. Ez viszont segít biztosítani, hogy szervezete akkor kapja meg a kritikus kiberbiztonsági támogatást, amikor arra szükség van.

4: Mert a kiberbiztonsági szakértelem széles skáláját szeretné

Amint korábban említettük, a virtuális CISO szolgáltatás egyik legfontosabb előnye a házon belüli CISO alkalmazásával szemben az, hogy a szolgáltatás egy egész csapatnyi embert használ fel, akik mindannyian különböző dolgokra specializálódhatnak. Ez szélesebb körű tudást biztosít, ami jobb kiberbiztonsági védelmet eredményezhet, amely a legnagyobb kiberbiztonsági kockázatok közül többel foglalkozik.

A virtuális CISO szakértőkből álló dedikált csapat ráadásul nagyobb valószínűséggel képes helyesen azonosítani a konkrét biztonsági kockázatokat és hatékony ellenintézkedéseket létrehozni, mint egyetlen személy. Ez segít javítani az incidenskezelési tervek hatékonyságát, így minimalizálhatja a biztonsági rések hatásait, és javíthatja a reagálás gyorsaságát.

Megbízzak egy CISO-t vagy egy VCISO-t?

A VCISO szolgáltatásokkal kapcsolatban említett összes pozitívummal együtt azt gondolhatná, hogy mindig ez lenne a legjobb megoldás. Azonban semmi sem ilyen egyszerű. Vannak olyan esetek, amikor a kiszervezett VCISO-szolgáltatás helyett érdemes inkább házon belüli CISO-t alkalmazni.

Egyes szervezetek például jobban szeretik, ha van egy olyan munkatársuk, aki teljes mértékben a kiberbiztonsággal foglalkozik. Egy VCISO szolgáltatással a CISO szakértői csapatuk több más vállalat között oszlana meg, amit talán inkább elkerülnének – még akkor is, ha egy ilyen felállás költség- és tudáselőnyökkel jár (a több ügyféllel dolgozó csapatok az egyik vállalatnál szerzett tapasztalatokat más vállalatoknál is alkalmazhatják).

A házon belüli CISO alkalmazásának másik előnye a vállalat nyilvános megítélésére gyakorolt lehetséges hatás. Azzal, hogy a kiberbiztonságra összpontosító, dedikált C-szintű vezetőt tudunk megtartani, demonstrálhatjuk, hogy a vállalat rendelkezik a biztonság hatékony kezeléséhez szükséges erőforrásokkal, és elkötelezetten végigviszi azt – aminek a vállalat biztonsági architektúrájának javításán túl is lehetnek pozitív hatásai.

Végezetül, ha van egy házon belüli CISO, a szervezetben dolgozóknak olyan személyt biztosít, akinek közvetlenül jelenthetnek a kiberbiztonsági kérdésekkel kapcsolatban. Ez segít a tudatosság növelésében és a kritikus biztonsági kezdeményezések betartásában a vállalaton belül. Azzal, hogy a vállalaton belüli emberekkel közvetlenül terjesztheti és gyűjtheti a jelentéseket (és belső felhatalmazással rendelkezik ahhoz, hogy a biztonságpolitikai döntéseket betartassa), nagy különbség lehet abban, hogy a kiberbiztonsági kezdeményezéseket mennyire jól hajtják végre.

Szóval, melyik a jobb az Ön szervezete számára? Nos, a válasz attól függ, hogy mik a céljai, és milyen erőforrásokkal rendelkezik. A valóban hatalmas vállalatok számára a legtöbbször előnyös, ha van egy belső CISO-juk és egy dedikált kiberbiztonsági támogató személyzetük. Eközben a kisebb szervezeteknek szükségük lehet a virtuális CISO használatával elérhető költség- és 24/7 szolgáltatási előnyök kihasználására.

Segítségre van szüksége kiberbiztonsági irányelveinek és eljárásainak optimalizálásához, de nem biztos benne, hogy a virtuális CISO szolgáltatás megfelelő-e az Ön számára? Vegye fel a kapcsolatot a Compuquip csapatával, hogy megbeszélhessük biztonsági igényeit és azok megoldását.