Wat doet een CISO? Een chief information security officer (CISO) is de persoon in een organisatie die verantwoordelijk is voor het definiëren en handhaven van het cyberbeveiligingsbeleid, de cyberbeveiligingspraktijken en de cyberbeveiligingsarchitectuur van die organisatie. CISO-taken kunnen elk proces in een organisatie op de een of andere manier beïnvloeden – van de manier waarop werknemers hun e-mails gebruiken, tot welke websites ze kunnen bezoeken, tot hoe ze belangrijke documenten opslaan.

Het vinden van een CISO om toe te voegen aan het interne organigram van het bedrijf kan echter … op zijn zachtst gezegd een uitdaging zijn. Gekwalificeerde kandidaten die kunnen voldoen aan de CISO functie-eisen zijn zeldzaam. Dit leidt op zijn beurt tot hoge salarissen voor deze moeilijk te vinden cyberbeveiligingsexperts (gemiddeld ongeveer 225.328 dollar, volgens salary.com).

Met intense concurrentie voor mensen die de taken kunnen begrijpen en uitvoeren die inherent zijn aan de CISO-functieomschrijving, moeten bedrijven vaak een topsalaris bieden naast een verscheidenheid aan andere voordelen om deze personen aan te trekken. Er is echter een alternatieve oplossing voor het inhuren van een traditionele, in-house CISO om het cyberbeveiligingsprogramma van uw bedrijf te beheren. In plaats van een C-level cyberbeveiligingsdeskundige te zoeken, kan uw bedrijf een virtueel CISO-programma of -service gebruiken.

Wat is een virtuele CISO (VCISO)? Wat kost het inhuren van een virtuele CISO? Wat zijn de voordelen van het inhuren van een VCISO? Wanneer moet u een VCISO versus een in-house CISO inhuren?

Wat is een virtuele CISO?

Een virtuele CISO is een dienst die wordt geleverd door een managed security service provider (MSSP) die de functies van een Chief Information Security Officer repliceert – het opstellen en beheren van cyberbeveiligingsbeleid voor een organisatie – en deze rol effectief uitbesteedt.

Waar een in-house CISO meestal één hooggeplaatst persoon in een bedrijf is, worden VCISO-diensten meestal geleverd door een team van virtuele CISO-experts. Hierdoor kunnen ze putten uit een diepere pool van kennis en vrijwel constante bescherming bieden tegen cyberdreigingen.

Hoe beschermt een VCISO uw organisatie?

Virtuele CISO-diensten helpen bedrijven hun cyberbeveiligingsarchitectuur te verbeteren door deskundig advies te geven over hun kritieke beveiligingsproblemen. Virtuele CISO-verantwoordelijkheden omvatten vaak taken zoals:

• Het uitvoeren van penetratietests;
• Proactief identificeren van kritieke beveiligingsgebreken;
• Helpen bij het herzien van beveiligingsbeleid en -procedures;
• Het mogelijk maken van naleving van belangrijke regelgeving (zoals HIPAA, PCI DSS, GDPR, enz.);
• Het opstellen en uitvoeren van incident response plannen (IRP’s); en
• Het beoordelen van alle bestaande cyberbeveiligingsinstrumenten en het doen van aanbevelingen voor het vervangen of versterken ervan.

Net als bij een in-house CISO wordt van VCISO’s verwacht dat ze uw cyberbeveiliging maximaliseren en tegelijkertijd de kosten en de gevolgen voor de prestaties minimaliseren.

Wat is een virtuele CISO? Hoe & Wanneer is het juiste moment om er een in te huren?

Als een in-house CISO een paar honderdduizend dollar per jaar kan kosten, wat kost dan een virtuele CISO? Het antwoord is: “Dat hangt af van de VCISO-diensten die u nodig hebt.” Niet elk bedrijf zal hetzelfde niveau van dienstverlening van een VCISO nodig hebben, dus de kosten kunnen variëren.

Eén vuistregel voor VCISO-kosten die door CSO Online wordt benadrukt, stelt dat “VCISO’s naar schatting tussen 30 procent en 40 procent van een fulltime CISO kosten.” Dit is echter slechts een ruwe schatting en komt mogelijk niet overeen met uw werkelijke kosten.

Bij het onderzoeken van virtuele CISO-diensten is het belangrijk om specifieke schattingen van MSSP’s te verzamelen, zodat u de kosten kunt vergelijken – hoewel kosten niet het enige criterium zijn dat u moet overwegen wanneer u naar VCISO-diensten kijkt.

Wat zijn de voordelen van het inhuren van een virtuele CISO?

Velen vragen zich af wat de voordelen zijn van het inhuren van een virtuele CISO-expert versus het werven van een vaste persoon voor deze rol op C-niveau. Enkele van de belangrijkste voordelen van het gebruik van VCISO-diensten in tegenstelling tot het vertrouwen op een traditionele, in-house CISO zijn:

1. Het elimineren van een langdurig wervingsproces. Het kan maanden en tienduizenden dollars kosten om een succesvolle CISO wervingscampagne op te zetten. Afgezien van het maken van een CISO-vacatureomschrijving en deze op Monster of LinkedIn te plaatsen, moeten bedrijven tijd investeren om een gekwalificeerde kandidaat te vinden en door te lichten. Erger nog, bedrijven kunnen weken bezig zijn om een kandidaat aan te trekken, alleen om hem of haar vervolgens op te laten pikken door een ander bedrijf met een groter budget voor secundaire arbeidsvoorwaarden of salarisadministratie. Door gebruik te maken van een virtuele CISO-dienst krijgt u direct toegang tot een team van deskundigen, waardoor een langdurig, kostbaar en riskant wervingsproces tot het verleden behoort.
2. 24 uur per dag toezicht op de cyberbeveiliging. Hoe goed een hooggekwalificeerde CISO ook kan (en zou moeten) zijn, dat is nog steeds slechts één persoon die wordt gevraagd om voor een hele organisatie de beveiliging te optimaliseren en op incidenten te reageren en deze te beheren. Mensen hebben vakanties nodig, tijd om nieuwe ontwikkelingen bij te spijkeren, of tijd om ziek te zijn – niemand kan 24/7 overal bovenop zitten. Met virtuele CISO-diensten krijgt u toegang tot een team van experts die elkaar kunnen vervangen om constante bewaking en ondersteuning te bieden. Dit helpt om meer veiligheid te bieden dan één persoon kan bieden.
3. Virtuele CISO’s blijven gemakkelijker op de hoogte. Cyberbeveiligingsbedreigingen en aanvalsmethoden veranderen voortdurend omdat aanvallers nieuwe manieren bedenken om gegevens te stelen of schade aan te richten. Het bijhouden van de nieuwste bedreigingen is een fulltime baan op zich. VCISO-dienstverleners zijn vaak beter in staat om nieuwe beveiligingsbedreigingen bij te houden omdat ze een heel team van mensen tot hun beschikking hebben. In plaats van te vertrouwen op één persoon die elk type bedreiging probeert te leren (wat bijna onmogelijk is), kunnen MSSP’s beschikken over mensen die gespecialiseerd zijn in het omgaan met verschillende bedreigingen, waardoor ze veel gemakkelijker op de hoogte blijven van de nieuwste ontwikkelingen door de last te spreiden.
4. Geld besparen op CISO-programmakosten. Zoals eerder vermeld, zijn de kosten van een VCISO doorgaans veel lager dan die van hun interne tegenhangers. Dit komt omdat veel van de kosten die gepaard gaan met het werven voor een C-level positie (advertenties, secundaire arbeidsvoorwaarden, salarisadministratie, bonussen, voortdurende cyberbeveiligingsopleidingen) worden gedragen door de MSSP. De MSSP kan vervolgens hun virtuele CISO-dienstteams aan meerdere accounts tegelijk laten werken – waarbij de kosten worden gespreid, zodat u niet de volledige last alleen hoeft te dragen.

De monetaire besparingen die het uitbesteden van CISO-taakfuncties aan een VCISO-dienst kan opleveren, is meestal de populairste reden om ze te gebruiken. Het is echter belangrijk om meer dan alleen de kosten te overwegen.

Redenen om een virtuele CISO-dienst in te huren

Hoewel de bovengenoemde voordelen vaak een sterke motivatie zijn om een VCISO te gebruiken, zijn enkele van de meest genoemde redenen om deze diensten te gebruiken:

1: Omdat VCISO-diensten een voorspelbare maandelijkse kostprijs bieden

Hoewel de kosten lang niet de enige zorg zijn waarmee bedrijven die op zoek zijn naar CISO’s worden geconfronteerd, is het een van de meest genoemde redenen om met een virtuele dienst in zee te gaan. Mensen met de juiste kwalificaties en ervaring om een cyberbeveiligingsrol op C-niveau te vervullen, weten wat ze waard zijn – en hebben opties in de rij staan om hen in te huren als uw aanbod niet aantrekkelijk genoeg is. Het is dus niet ongewoon dat een VCISO vertrekt nadat hij een beter aanbod heeft gekregen.

Dit kan bedrijven laten klauteren om een vervanger te vinden en aan boord te nemen, wat extra kosten voor werving en opleiding met zich meebrengt. Bovendien kan, gezien de behoefte aan vrije tijd voor vakanties of willekeurige persoonlijke gebeurtenissen, het rendement op de diensten van een CISO van maand tot maand variëren (vooral gezien het feit dat het meestal een functie in loondienst is).

2: Omdat goede CISO’s moeilijk te vinden zijn

Zelfs wanneer een topsalaris wordt geboden, kan het moeilijk zijn om een CISO te vinden die gekwalificeerd is voor de functie. Zo moeilijk zelfs, dat veel organisaties ervoor kiezen een gewone cyberbeveiligingsdeskundige te nemen en hem of haar een campus-gebaseerde of virtuele CISO-training te laten volgen om een geschikte kandidaat te produceren.

Bovendien is er geen garantie dat de persoon die wordt opgeleid de juiste mix van ervaring en vaardigheden heeft om een grootschalig cyberbeveiligingsplan te beheren dat soepel in bestaande bedrijfsprocessen integreert.

Door een VCISO-dienst te gebruiken om een robuust cyberbeveiligingsplan te leveren, is het niet meer nodig om een C-level cyberbeveiligingsdeskundige te headhunten of op te leiden. Nog belangrijker is dat virtuele CISO-teams vaak veel meer ervaring hebben in het helpen van bedrijven bij het optimaliseren van hun beveiligingsplannen dan een individu zou kunnen bezitten.

3: Omdat u NU CISO-ondersteuning nodig hebt

Een neveneffect van het moeten headhunten of opleiden van een nieuwe CISO is het gedurende een langere periode zonder cruciale cyberbeveiligingsdiensten op C-niveau zitten. Gedurende deze tijd worden kritieke cyberbeveiligingskwesties niet aangepakt, wat betekent dat uw netwerk kwetsbaarder is dan anders het geval zou zijn.

Het gebruik van een VCISO-service helpt langdurige wervingsprocessen te voorkomen. Dit helpt op zijn beurt om ervoor te zorgen dat uw organisatie essentiële cyberbeveiligingsondersteuning krijgt wanneer dat nodig is.

4: Omdat u een breed scala aan cyberbeveiligingsdeskundigheid wilt

Zoals eerder vermeld, is een van de belangrijkste voordelen van een virtuele CISO-dienst ten opzichte van het gebruik van een in-house CISO dat de dienst gebruikmaakt van een heel team van mensen die zich elk in verschillende dingen kunnen specialiseren. Dit zorgt voor een bredere pool van kennis die kan resulteren in betere cyberbeveiligingsbeschermingen die meer van uw grootste cyberbeveiligingsrisico’s aanpakken.

Daarnaast is de kans groter dat een toegewijd team van virtuele CISO-experts specifieke beveiligingsrisico’s correct kan identificeren en effectieve tegenmaatregelen kan creëren dan een enkele persoon. Dit helpt om de effectiviteit van uw incidentbestrijdingsplannen te verbeteren, zodat u de gevolgen van beveiligingsinbreuken kunt minimaliseren en de reactiesnelheid kunt verbeteren.

Moet ik een CISO of een VCISO inhuren?

Met alle positieve punten die zijn genoemd over VCISO-diensten, zou u kunnen denken dat het altijd de beste optie zou zijn. Echter, niets is ooit zo eenvoudig. Er zijn gevallen waarin het zinvoller kan zijn om een in-house CISO te gebruiken in plaats van een uitbestede VCISO-dienst.

Zo zouden sommige organisaties er de voorkeur aan kunnen geven om iemand in dienst te hebben die zich volledig toelegt op hun cyberbeveiliging. Met een VCISO-dienst zou hun CISO-expertteam over verschillende andere bedrijven worden verdeeld, wat ze misschien liever vermijden – ook al heeft een dergelijke opzet kosten- en kennisvoordelen (teams die met meerdere klanten werken, kunnen de lessen die bij het ene bedrijf zijn geleerd, toepassen op andere bedrijven).

Een ander voordeel van het hebben van een interne CISO is de mogelijke impact op het publieke imago van het bedrijf. De mogelijkheid om een toegewijde C-level exec te behouden om zich te richten op cyberbeveiliging, helpt om aan te tonen dat het bedrijf de middelen heeft om beveiliging effectief te beheren en de toewijding om het door te zetten – wat positieve gevolgen kan hebben buiten het verbeteren van de beveiligingsarchitectuur van het bedrijf.

Ten slotte geeft het hebben van een in-house CISO de mensen in uw organisatie iemand aan wie ze direct kunnen rapporteren met betrekking tot cyberbeveiligingskwesties. Dit helpt om het bewustzijn en de naleving van kritische beveiligingsinitiatieven in uw bedrijf te verhogen. In staat zijn om rechtstreeks rapporten te verspreiden en te verzamelen met mensen in het bedrijf (en de interne autoriteit hebben om beslissingen over het beveiligingsbeleid te laten beklijven) kan een wereld van verschil maken in hoe goed cyberbeveiligingsinitiatieven worden uitgevoerd.

Dus, wat is beter voor uw organisatie? Nou, het antwoord hangt af van wat uw doelen zijn en welke middelen u al beschikbaar hebt. Echte grote bedrijven zullen meestal baat hebben bij een interne CISO met een toegewijde cyberbeveiligingsondersteunende staf in huis. Ondertussen moeten kleinere organisaties misschien de kosten en 24/7 servicevoordelen benutten die het gebruik van een virtuele CISO kan bieden.

Hebt u hulp nodig bij het optimaliseren van uw cyberbeveiligingsbeleid en -procedures, maar weet u niet zeker of een virtuele CISO-service geschikt is voor u? Neem contact op met het Compuquip-team om uw beveiligingsbehoeften te bespreken en na te gaan hoe deze kunnen worden aangepakt.