Czym zajmuje się CISO? Główny specjalista ds. bezpieczeństwa informacji (CISO) to osoba w organizacji, która jest odpowiedzialna za definiowanie i egzekwowanie polityki, praktyk i architektury bezpieczeństwa cybernetycznego tej organizacji. Obowiązki CISO mogą mieć wpływ na każdy proces w organizacji w jakiś sposób – od sposobu, w jaki pracownicy korzystają z poczty elektronicznej, do tego, które strony internetowe mogą odwiedzać, do tego, jak przechowują ważne dokumenty.

Jednakże, znalezienie CISO, aby dodać do wewnętrznego schematu organizacyjnego firmy może być… trudne, aby powiedzieć najmniej. Wykwalifikowani kandydaci, którzy mogą spełnić wymagania dotyczące stanowiska CISO są rzadkością. To z kolei prowadzi do wysokich wynagrodzeń dla tych trudnych do znalezienia ekspertów cyberbezpieczeństwa (około 225 328 dolarów średnio, według salary.com).

Wraz z silną konkurencją dla ludzi, którzy mogą zrozumieć i wykonać zadania nieodłącznie związane z opisem stanowiska CISO, firmy często muszą oferować najwyższą płacę w uzupełnieniu do różnych innych korzyści, aby przyciągnąć te osoby. Istnieje jednak rozwiązanie alternatywne do zatrudniania tradycyjnego, wewnętrznego CISO do zarządzania programem cyberbezpieczeństwa w firmie. Zamiast zatrudniać eksperta C-level w dziedzinie cyberbezpieczeństwa, Twoja firma może skorzystać z programu lub usługi wirtualnego CISO.

Co to jest wirtualny CISO (VCISO)? Ile kosztuje zatrudnienie wirtualnego CISO? Jakie są korzyści z zatrudnienia VCISO? Kiedy należy zatrudnić VCISO vs wewnętrzny CISO?

Co to jest wirtualny CISO?

Wirtualny CISO to usługa świadczona przez dostawcę usług bezpieczeństwa (MSSP), która powiela funkcje Chief Information Security Officer – tworzenie i zarządzanie politykami bezpieczeństwa cybernetycznego dla organizacji – skutecznie outsourcując tę rolę.

Podczas gdy wewnętrzny CISO jest zazwyczaj pojedynczą, wysoko postawioną osobą w firmie, usługi VCISO są zazwyczaj świadczone przez zespół wirtualnych ekspertów CISO. Pozwala im to czerpać z głębszej puli wiedzy i zapewniać niemal ciągłą ochronę przed cyberzagrożeniami.

Jak VCISO chroni Twoją organizację?

Usługi wirtualnego CISO pomagają firmom poprawić ich architekturę bezpieczeństwa cybernetycznego, zapewniając porady ekspertów w zakresie krytycznych kwestii bezpieczeństwa. Obowiązki wirtualnego CISO często obejmują zadania takie jak:

• Przeprowadzanie testów penetracyjnych;
• Proaktywne identyfikowanie krytycznych błędów w zabezpieczeniach;
• Pomoc w rewizji polityk i procedur bezpieczeństwa;
• Umożliwienie zachowania zgodności z kluczowymi regulacjami (takimi jak HIPAA, PCI DSS, GDPR itp.);
• Tworzenie i wdrażanie planów reagowania na incydenty (IRP); oraz
• Przegląd wszystkich istniejących narzędzi cyberbezpieczeństwa i wydawanie zaleceń dotyczących ich zastąpienia lub wzmocnienia.

Tak samo jak w przypadku wewnętrznego CISO, od VCISO oczekuje się maksymalizacji bezpieczeństwa cybernetycznego przy jednoczesnej minimalizacji kosztów i wpływu na wydajność.

Co to jest wirtualny CISO? Jak & Kiedy jest odpowiedni czas, aby go zatrudnić?

Jeśli wewnętrzny CISO może kosztować kilkaset tysięcy dolarów rocznie, ile kosztuje wirtualny CISO? Odpowiedź brzmi: „To zależy od tego, jakich usług VCISO potrzebujesz”. Nie każda firma będzie potrzebowała tego samego poziomu usług VCISO, więc koszty mogą się różnić.

Jedna zasada kciuka dla kosztów VCISO podkreślona przez CSO Online mówi, że „szacuje się, że VCISO kosztuje od 30 do 40 procent pełnoetatowego CISO”. Jest to jednak tylko przybliżony szacunek, który niekoniecznie musi pokrywać się z rzeczywistymi kosztami.

Podczas badania usług wirtualnego CISO ważne jest, aby zebrać konkretne szacunki od MSSP, aby można było porównać koszty – chociaż koszt nie jest jedynym kryterium, które należy wziąć pod uwagę, patrząc na usługi VCISO.

Jakie są korzyści z zatrudnienia wirtualnego CISO?

Wiele osób zastanawia się, jakie są korzyści z zatrudnienia wirtualnego eksperta CISO w porównaniu z zatrudnieniem stałej osoby do tej roli na poziomie C. Niektóre z kluczowych korzyści płynących z korzystania z usług VCISO w przeciwieństwie do polegania na tradycyjnym, wewnętrznym CISO obejmują:

1. Eliminacja długotrwałego procesu rekrutacji. To może zająć miesiące i dziesiątki tysięcy dolarów, aby stworzyć udaną kampanię rekrutacyjną CISO. Oprócz stworzenia opisu stanowiska CISO i umieszczenia go na Monsterze lub LinkedIn, firmy muszą zainwestować czas, aby znaleźć i zweryfikować wykwalifikowanego kandydata. Co gorsza, firmy mogą spędzić tygodnie próbując nakłonić kandydata do podpisania umowy, tylko po to, aby został on zgarnięty przez inną firmę z większym budżetem na świadczenia lub płace. Korzystanie z usług wirtualnego CISO zapewnia natychmiastowy dostęp do zespołu ekspertów – eliminując długotrwały, kosztowny i ryzykowny proces rekrutacji.
2. Uzyskanie monitorowania bezpieczeństwa cybernetycznego „przez całą dobę”. Tak dobry jak wysoko wykwalifikowany CISO może (i powinien) być, to nadal tylko jedna osoba, która jest proszona o zajmowanie się optymalizacją bezpieczeństwa i reagowaniem na incydenty/zarządzaniem dla całej organizacji. Ludzie potrzebują urlopów, czasu na zapoznanie się z nowymi rozwiązaniami lub czasu chorobowego – nikt nie może być na szczycie wszystkiego 24 godziny na dobę, 7 dni w tygodniu. Korzystając z usług wirtualnego CISO, uzyskujesz dostęp do zespołu ekspertów, którzy mogą się nawzajem zastępować, aby zapewnić stały nadzór i wsparcie. Pomaga to zapewnić większe bezpieczeństwo, niż może zaoferować jedna osoba.
3. Wirtualni CISO są bardziej skłonni do bycia na bieżąco. Zagrożenia bezpieczeństwa cybernetycznego i metody ataków stale się zmieniają, ponieważ napastnicy tworzą nowe sposoby kradzieży danych lub wyrządzania szkód. Nadążanie za najnowszymi zagrożeniami to pełnoetatowa praca sama w sobie. Dostawcy usług VCISO są często w stanie lepiej nadążyć za nowymi zagrożeniami bezpieczeństwa, ponieważ mają do dyspozycji cały zespół ludzi. Zamiast polegać na jednej osobie, która stara się nauczyć każdego rodzaju zagrożenia (co jest prawie niemożliwe), MSSP mogą mieć ludzi, którzy specjalizują się w radzeniu sobie z różnymi zagrożeniami, nadążając za najnowszymi osiągnięciami znacznie łatwiej poprzez rozłożenie ciężaru.
4. Oszczędność pieniędzy na kosztach programu CISO. Jak wspomniano wcześniej, koszty VCISO są zwykle znacznie niższe niż koszty ich wewnętrznych odpowiedników. Dzieje się tak, ponieważ wiele kosztów związanych z rekrutacją na stanowisko C-level (reklama, świadczenia, płace, premie, bieżące szkolenia z zakresu cyberbezpieczeństwa) są przejmowane przez MSSP. MSSP może następnie zlecić swoim wirtualnym zespołom CISO pracę nad wieloma kontami w tym samym czasie-rozkładając koszty tak, abyś nie musiał sam ponosić całego ciężaru.

Oszczędności pieniężne, które może zapewnić outsourcing funkcji CISO do usługi VCISO jest zazwyczaj najbardziej popularnym powodem korzystania z nich. Ważne jest jednak, aby wziąć pod uwagę coś więcej niż tylko koszty.

Powody, dla których warto zatrudnić wirtualnego CISO

Pomimo, że korzyści wymienione powyżej są często silną motywacją do korzystania z usług VCISO, niektóre z najczęściej wymienianych powodów korzystania z tych usług to:

1: Ponieważ usługi VCISO oferują przewidywalny miesięczny koszt

Pomimo, że nie jest to jedyny powód do niepokoju dla firm poszukujących CISO, koszt jest jednym z najczęściej wymienianych powodów korzystania z usług wirtualnych. Ludzie, którzy mają odpowiednie kwalifikacje i doświadczenie, aby wypełnić rolę C-level cybersecurity znają swoją wartość – i będą mieli opcje ustawione wokół bloku, aby ich zatrudnić, jeśli Twoja oferta nie jest wystarczająco atrakcyjna. Dlatego nierzadko zdarza się, że VCISO odchodzi po otrzymaniu lepszej oferty.

Powoduje to, że firmy muszą szukać zastępstwa, co generuje dodatkowe koszty związane z rekrutacją i szkoleniem. Dodatkowo, biorąc pod uwagę potrzebę czasu wolnego na wakacje lub przypadkowe wydarzenia osobiste, zwrot z usług CISO z miesiąca na miesiąc może się różnić (zwłaszcza biorąc pod uwagę, że jest to zazwyczaj stanowisko płatne).

2: Ponieważ dobrych CISO trudno znaleźć

Nawet przy oferowaniu najwyższego wynagrodzenia, może być trudno znaleźć CISO, który jest wykwalifikowany do pracy na tym stanowisku. Tak trudno, że wiele organizacji decyduje się na wzięcie zwykłego eksperta ds. cyberbezpieczeństwa i poddanie go kampusowemu lub wirtualnemu szkoleniu CISO w celu wyłonienia odpowiedniego kandydata.

Dodatkowo, nie ma gwarancji, że osoba szkolona będzie miała odpowiednie doświadczenie i umiejętności, aby zarządzać planem cyberbezpieczeństwa na dużą skalę, który płynnie integruje się z istniejącymi procesami biznesowymi.

Użycie usługi VCISO w celu dostarczenia solidnego planu cyberbezpieczeństwa eliminuje potrzebę polowania lub szkolenia eksperta C-level w dziedzinie cyberbezpieczeństwa. Co ważniejsze, wirtualne zespoły CISO często mają o wiele większe doświadczenie w pomaganiu firmom w optymalizacji ich planów bezpieczeństwa, niż jakakolwiek osoba może posiadać.

3: Ponieważ potrzebujesz wsparcia CISO TERAZ

Efektem ubocznym konieczności headhuntingu lub szkolenia nowego CISO jest brak krytycznych usług cyberbezpieczeństwa na poziomie C przez dłuższy okres czasu. W tym czasie, krytyczne kwestie związane z bezpieczeństwem cybernetycznym pozostają nierozwiązane, co oznacza, że Twoja sieć jest bardziej podatna na ataki niż w innym przypadku.

Używanie usług VCISO pomaga wyeliminować długotrwałe procesy rekrutacji. To z kolei pomaga zapewnić, że Twoja organizacja otrzymuje krytyczne wsparcie w zakresie cyberbezpieczeństwa, kiedy jest ono potrzebne.

4: Ponieważ chcesz mieć szeroki zakres wiedzy na temat cyberbezpieczeństwa

Jak wspomniano wcześniej, jedną z kluczowych zalet wirtualnej usługi CISO w porównaniu do korzystania z wewnętrznego CISO jest to, że usługa ta wykorzystuje cały zespół ludzi, którzy mogą specjalizować się w różnych rzeczach. To zapewnia szerszą pulę wiedzy, która może skutkować lepszymi zabezpieczeniami cyberbezpieczeństwa, które adresują więcej największych zagrożeń cyberbezpieczeństwa.

Dodatkowo, dedykowany zespół wirtualnych ekspertów CISO jest bardziej prawdopodobne, aby być w stanie poprawnie zidentyfikować konkretne zagrożenia bezpieczeństwa i stworzyć skuteczne środki zaradcze niż pojedyncza osoba. Pomaga to zwiększyć skuteczność planów reagowania na incydenty, dzięki czemu można zminimalizować wpływ naruszeń bezpieczeństwa i poprawić szybkość reakcji.

Should I Hire a CISO or a VCISO?

Wraz ze wszystkimi pozytywami, które zostały wymienione o usługach VCISO, można by pomyśleć, że zawsze będzie to najlepsza opcja. Jednakże, nic nigdy nie jest takie proste. Istnieją przypadki, w których może to mieć więcej sensu do korzystania z domu CISO zamiast outsourcingu usług VCISO.

Na przykład, niektóre organizacje mogą woleć mieć kogoś na personel, który jest całkowicie poświęcony ich cyberbezpieczeństwa. W przypadku usługi VCISO, ich zespół ekspertów CISO byłby podzielony między kilka innych firm, czego mogą woleć uniknąć – mimo że taka konfiguracja przynosi korzyści w zakresie kosztów i wiedzy (zespoły pracujące z wieloma klientami mogą zastosować doświadczenia zdobyte w jednej firmie do innych).

Inną korzyścią z posiadania wewnętrznego CISO jest potencjalny wpływ na publiczny wizerunek firmy. Możliwość zatrzymania specjalisty na szczeblu C-level, który koncentruje się na bezpieczeństwie cybernetycznym, pomaga zademonstrować, że firma posiada zasoby do efektywnego zarządzania bezpieczeństwem i poświęcenie, aby je zrealizować – co może mieć pozytywny wpływ nie tylko na poprawę architektury bezpieczeństwa firmy.

Wreszcie, posiadanie wewnętrznego CISO daje ludziom w organizacji kogoś, do kogo mogą bezpośrednio zgłaszać się w sprawach związanych z bezpieczeństwem cybernetycznym. Pomaga to w zwiększeniu świadomości i zgodności z krytycznymi inicjatywami bezpieczeństwa w firmie. Możliwość bezpośredniej dystrybucji i zbierania raportów z ludźmi w firmie (i posiadanie wewnętrznego autorytetu do podejmowania decyzji w zakresie polityki bezpieczeństwa) może mieć ogromny wpływ na to, jak dobrze realizowane są inicjatywy związane z bezpieczeństwem cybernetycznym.

Więc, co jest lepsze dla Twojej organizacji? Cóż, odpowiedź zależy od tego, jakie są Twoje cele i jakie zasoby już masz dostępne. Naprawdę duże firmy najczęściej korzystają z posiadania wewnętrznego CISO i dedykowanego personelu wspierającego cyberbezpieczeństwo. W międzyczasie mniejsze organizacje mogą potrzebować korzyści w zakresie kosztów i obsługi 24/7, które może zapewnić wirtualny CISO.

Potrzebujesz pomocy w optymalizacji polityk i procedur cyberbezpieczeństwa, ale nie jesteś pewien, czy usługa wirtualnego CISO jest dla Ciebie odpowiednia? Skontaktuj się z zespołem Compuquip, aby porozmawiać o swoich potrzebach w zakresie bezpieczeństwa i sposobach ich zaspokojenia.

.