Cosa fa un CISO? Un chief information security officer (CISO) è la persona in un’organizzazione che è responsabile della definizione e dell’applicazione delle politiche, delle pratiche e dell’architettura di cybersecurity dell’organizzazione. I compiti del CISO possono avere un impatto su ogni processo in un’organizzazione in qualche modo, dal modo in cui i dipendenti usano le loro e-mail, a quali siti web possono visitare, a come archiviano documenti importanti.

Tuttavia, trovare un CISO da aggiungere all’organigramma interno dell’azienda può essere… impegnativo a dir poco. I candidati qualificati che possono soddisfare i requisiti di lavoro CISO sono rari. Questo, a sua volta, porta a stipendi elevati per questi esperti di cybersecurity difficili da trovare (circa 225.328 dollari in media, secondo salary.com).

Con un’intensa concorrenza per le persone che possono capire ed eseguire i compiti inerenti alla descrizione del lavoro CISO, le aziende spesso devono offrire una paga di alto livello in aggiunta a una varietà di altri benefici per attirare queste persone. Tuttavia, c’è una soluzione alternativa all’assunzione di un tradizionale CISO interno per gestire il programma di cybersecurity della vostra azienda. Invece di cercare un esperto di cybersecurity di livello C, la vostra azienda potrebbe utilizzare un programma o un servizio di CISO virtuale.

Cos’è un CISO virtuale (VCISO)? Quanto costa assumere un CISO virtuale? Quali sono i vantaggi di assumere un VCISO? Quando si dovrebbe assumere un VCISO rispetto a un CISO interno?

Cos’è un CISO virtuale?

Un CISO virtuale è un servizio fornito da un fornitore di servizi di sicurezza gestiti (MSSP) che replica le funzioni lavorative di un Chief Information Security Officer, creando e gestendo le politiche di cybersecurity per un’organizzazione, esternalizzando efficacemente il ruolo.

Se un CISO interno è di solito una singola persona di alto livello in un’azienda, i servizi VCISO sono in genere forniti da un team di esperti CISO virtuali. Questo permette loro di attingere a un pool più profondo di conoscenze e fornire una protezione quasi costante contro le minacce informatiche.

Come fa un VCISO a proteggere la vostra organizzazione?

I servizi CISO virtuali aiutano le aziende a migliorare la loro architettura di cybersecurity fornendo consigli di esperti sulle loro questioni di sicurezza critiche. Le responsabilità del CISO virtuale spesso includono compiti come:

• Eseguire test di penetrazione;
• Identificare in modo proattivo le falle di sicurezza critiche;
• Aiutare a rivedere le politiche e le procedure di sicurezza;
• Abilitare la conformità alle normative chiave (come HIPAA, PCI DSS, GDPR, ecc.);
• Creare e implementare piani di risposta agli incidenti (IRP); e
• Rivedere tutti gli strumenti di cybersecurity esistenti e fare raccomandazioni per sostituirli o rafforzarli.

Proprio come con un CISO interno, i VCISO sono tenuti a massimizzare la vostra cybersecurity minimizzando i costi e gli impatti sulle prestazioni.

Cos’è un CISO virtuale? Come &Quando è il momento giusto per assumerne uno?

Se un CISO interno può costare un paio di centinaia di migliaia di dollari all’anno, quanto costa un CISO virtuale? La risposta è: “Dipende da quali servizi VCISO avete bisogno”. Non tutte le aziende avranno bisogno dello stesso livello di servizio da un VCISO, quindi i costi possono variare.

Una regola empirica per i costi VCISO evidenziata da CSO Online afferma che “si stima che i VCISO costino tra il 30 e il 40 per cento di un CISO a tempo pieno”. Tuttavia, questa è solo una stima approssimativa e potrebbe non essere necessariamente in linea con i vostri costi reali.

Quando si ricercano servizi CISO virtuali, è importante raccogliere stime specifiche da MSSP in modo da poter confrontare i costi, anche se il costo non è l’unico criterio da considerare quando si guardano i servizi VCISO.

Quali sono i vantaggi di assumere un CISO virtuale?

Molte persone si chiedono quali siano i vantaggi di assumere un esperto CISO virtuale rispetto all’assunzione di una persona permanente per questo ruolo di livello C. Alcuni dei vantaggi chiave dell’uso dei servizi VCISO rispetto all’affidarsi a un CISO tradizionale e interno includono:

1. Eliminazione di un lungo processo di reclutamento. Possono essere necessari mesi e decine di migliaia di dollari per creare una campagna di reclutamento CISO di successo. A parte la semplice creazione di una descrizione del lavoro CISO e la pubblicazione su Monster o LinkedIn, le aziende devono investire tempo per trovare e verificare un candidato qualificato. Peggio ancora, le aziende possono passare settimane a cercare di convincere un candidato a firmare, solo per essere preso da qualche altra azienda con un budget più grande per i benefici o il libro paga. L’utilizzo di un servizio CISO virtuale fornisce un accesso immediato a un team di esperti, eliminando un processo di reclutamento lungo, costoso e rischioso.
2. Ottenere un monitoraggio della cybersecurity “24 ore su 24”. Per quanto un CISO altamente qualificato possa (e debba) essere, si tratta comunque di una sola persona a cui viene chiesto di gestire l’ottimizzazione della sicurezza e la risposta/gestione degli incidenti per un’intera organizzazione. Le persone hanno bisogno di vacanze, tempo libero per ripassare i nuovi sviluppi, o tempo di malattia – nessuno può essere in cima a tutto 24/7. Con i servizi CISO virtuali, si ottiene l’accesso a un team di esperti che possono coprirsi a vicenda per fornire sorveglianza e supporto costanti. Questo aiuta a fornire più sicurezza di quanto una sola persona possa offrire.
3. I CISO virtuali sono più propensi a rimanere aggiornati. Le minacce alla cybersecurity e i metodi di attacco cambiano costantemente mentre gli aggressori creano nuovi modi per rubare dati o causare danni. Tenere il passo con le ultime minacce è un lavoro a tempo pieno di per sé. I fornitori di servizi VCISO sono spesso meglio in grado di stare al passo con le nuove minacce alla sicurezza perché hanno un intero team di persone a loro disposizione. Invece di affidarsi a una sola persona per cercare di imparare ogni singolo tipo di minaccia (il che è quasi impossibile), gli MSSP possono avere persone specializzate nell’affrontare le diverse minacce, tenendo il passo con gli ultimi sviluppi molto più facilmente distribuendo l’onere.
4. Risparmiare sui costi del programma CISO. Come detto prima, il costo di un VCISO tende ad essere molto più basso di quello delle loro controparti in-house. Questo perché molti dei costi associati al reclutamento per una posizione di livello C (pubblicità, benefici, libro paga, bonus, formazione continua sulla cybersecurity) sono assunti dall’MSSP. L’MSSP può quindi far lavorare i propri team di servizi CISO virtuali su più account allo stesso tempo, ripartendo i costi in modo da non doverne sopportare l’intero onere da soli.

I risparmi monetari che l’esternalizzazione delle funzioni di lavoro CISO a un servizio VCISO può fornire è solitamente la ragione più popolare per utilizzarli. Tuttavia, è importante considerare più del semplice costo.

Ragioni per assumere un servizio CISO virtuale

Mentre i benefici elencati sopra sono spesso una forte motivazione per usare un VCISO, alcune delle ragioni più comunemente citate per usare questi servizi sono:

1: Perché i servizi VCISO offrono un costo mensile prevedibile

Sebbene non sia l’unica preoccupazione che le aziende che cercano CISO affrontano, il costo è una delle ragioni più frequentemente citate per andare con un servizio virtuale. Le persone che hanno le qualifiche e l’esperienza giuste per ricoprire un ruolo di cybersecurity di livello C conoscono il loro valore e avranno opzioni in fila per assumerli se la vostra offerta non è abbastanza allettante. Quindi, non è raro che un VCISO se ne vada dopo aver ricevuto un’offerta migliore.

Questo può lasciare le aziende a lottare per trovare e inserire un sostituto, il che crea costi aggiuntivi per il reclutamento e la formazione. Inoltre, considerando il bisogno di tempo libero per le vacanze o eventi personali casuali, il ritorno sui servizi di un CISO da un mese all’altro può variare (specialmente considerando che è tipicamente una posizione salariata).

2: Perché i buoni CISO sono difficili da trovare

Anche quando si offre una paga di alto livello, può essere difficile trovare un CISO che sia qualificato per la posizione. Così difficile, infatti, che molte organizzazioni optano per prendere un normale esperto di cybersecurity e sottoporlo a una formazione CISO basata sul campus o virtuale per produrre un candidato adatto.

Inoltre, non c’è garanzia che la persona che viene formata abbia il giusto mix di esperienza e competenze per gestire un piano di cybersecurity su larga scala che si integri senza problemi con i processi aziendali esistenti.

L’utilizzo di un servizio VCISO per fornire un solido piano di cybersecurity elimina la necessità di cercare o formare un esperto di cybersecurity di livello C. Ancora più importante, i team di CISO virtuali hanno spesso molta più esperienza nell’aiutare le aziende a ottimizzare i loro piani di sicurezza rispetto a qualsiasi individuo possa possedere.

3: Perché avete bisogno del supporto CISO ORA

Un effetto collaterale del dover cercare o formare un nuovo CISO è rimanere senza servizi critici di cybersecurity di livello C per un periodo di tempo prolungato. Durante questo periodo, i problemi critici di cybersecurity non vengono affrontati, il che significa che la vostra rete è più vulnerabile di quanto sarebbe altrimenti.

L’utilizzo di un servizio VCISO aiuta a eliminare i lunghi processi di reclutamento. Questo, a sua volta, aiuta a garantire che la vostra organizzazione ottenga un supporto critico di cybersecurity quando è necessario.

4: Perché volete una vasta gamma di competenze di cybersecurity

Come accennato in precedenza, uno dei vantaggi chiave di un servizio CISO virtuale rispetto all’utilizzo di un CISO interno è che il servizio sfrutta un intero team di persone che possono specializzarsi in cose diverse. Questo fornisce un pool più ampio di conoscenze che può risultare in migliori protezioni di cybersecurity che affrontano più dei vostri maggiori rischi di cybersecurity.

Inoltre, un team dedicato di esperti CISO virtuali è più probabile che sia in grado di identificare correttamente i rischi di sicurezza specifici e creare contromisure efficaci rispetto a una singola persona. Questo aiuta a migliorare l’efficacia dei vostri piani di risposta agli incidenti in modo da poter ridurre al minimo l’impatto delle violazioni della sicurezza e migliorare la velocità di risposta.

Dovrei assumere un CISO o un VCISO?

Con tutti gli aspetti positivi che sono stati menzionati sui servizi VCISO, si potrebbe pensare che sarebbe sempre la scelta migliore. Tuttavia, niente è mai così semplice. Ci sono casi in cui può avere più senso utilizzare un CISO in-house invece di un servizio VCISO in outsourcing.

Per esempio, alcune organizzazioni potrebbero preferire avere qualcuno nello staff che è interamente dedicato alla loro cybersecurity. Con un servizio VCISO, il loro team di esperti CISO verrebbe diviso tra diverse altre aziende, cosa che potrebbero preferire evitare, anche se una tale configurazione ha dei vantaggi in termini di costi e conoscenze (i team che lavorano con più clienti possono applicare le lezioni apprese con una società alle altre).

Un altro vantaggio di avere un CISO in-house è il potenziale impatto sull’immagine pubblica dell’azienda. Essere in grado di mantenere un dirigente di livello C dedicato a concentrarsi sulla cybersecurity aiuta a dimostrare che l’azienda ha le risorse per gestire efficacemente la sicurezza e la dedizione per portarla a termine, il che può avere impatti positivi al di là del semplice miglioramento dell’architettura di sicurezza dell’azienda.

Infine, avere un CISO interno dà alle persone nella vostra organizzazione qualcuno a cui possono riferire direttamente riguardo ai problemi di cybersecurity. Questo aiuta ad aumentare la consapevolezza e la conformità con le iniziative di sicurezza critiche nella vostra azienda. Essere in grado di distribuire direttamente e raccogliere rapporti con le persone nell’azienda (e avere l’autorità interna per far rispettare le decisioni sulla politica di sicurezza) può fare un mondo di differenza nel modo in cui le iniziative di cybersecurity vengono eseguite bene.

Quindi, qual è meglio per la vostra organizzazione? Beh, la risposta dipende da quali sono i vostri obiettivi e quali risorse avete già a disposizione. Le aziende veramente massicce trarranno più spesso vantaggio dall’avere un CISO interno con uno staff di supporto dedicato alla cybersecurity in-house. Nel frattempo, le organizzazioni più piccole potrebbero aver bisogno di sfruttare i vantaggi di costo e di servizio 24/7 che l’utilizzo di un CISO virtuale può fornire.

Avete bisogno di aiuto per ottimizzare le vostre politiche e procedure di cybersecurity, ma non siete sicuri che un servizio CISO virtuale sia giusto per voi? Contatta il team di Compuquip per parlare delle tue esigenze di sicurezza e di come affrontarle.