O que faz uma CISO? Um CISO (Chief Information Security Officer) é a pessoa em uma organização responsável pela definição e aplicação das políticas, práticas e arquitetura de segurança cibernética dessa organização. As funções da CISO podem impactar de alguma forma todos os processos de uma organização – desde a forma como os funcionários usam seus e-mails, para quais sites podem visitar, até como eles armazenam documentos importantes.

No entanto, encontrar uma CISO para adicionar ao organograma interno da empresa pode ser… no mínimo desafiador. Candidatos qualificados que podem preencher os requisitos de trabalho da CISO são raros. Isto, por sua vez, leva a altos salários para estes especialistas em cibersegurança difíceis de encontrar (cerca de $225.328 em média, de acordo com o salário.com).

Com uma competição intensa para pessoas que podem compreender e executar as tarefas inerentes à descrição de funções CISO, as empresas muitas vezes têm que oferecer uma remuneração de alta qualidade além de uma variedade de outros benefícios para atrair estes indivíduos. Entretanto, existe uma solução alternativa para contratar um CISO tradicional interno para gerenciar o programa de segurança cibernética de sua empresa. Em vez de procurar um especialista em cibersegurança de nível C, sua empresa poderia usar um programa ou serviço CISO virtual.

O que é um CISO virtual (VCISO)? Quanto custa uma CISO virtual para contratar? Quais são os benefícios de contratar um VCISO? Quando você deve contratar um VCISO versus um CISO interno?

O que é um CISO Virtual?

Um CISO virtual é um serviço prestado por um provedor de serviços gerenciados de segurança (MSSP) que replica as funções de um Chief Information Security Officer – criando e gerenciando políticas de segurança cibernética para uma organização – terceirizando a função de forma eficaz.

Como é que um VCISO protege a sua organização?

Serviços CISO virtuais ajudam as empresas a melhorar a sua arquitectura de segurança cibernética, fornecendo aconselhamento especializado sobre as suas questões críticas de segurança. As responsabilidades virtuais da CISO incluem frequentemente tarefas como:

• Executar testes de penetração;
• Permitir identificar falhas críticas de segurança;
• Ajudar a rever políticas e procedimentos de segurança;
• Autorizar a conformidade com regulamentos chave (tais como HIPAA, PCI DSS, GDPR, etc.));
• Criar e implementar planos de resposta a incidentes (IRPs); e
• Reavaliar todas as ferramentas de segurança cibernética existentes e fazer recomendações para substituí-las ou reforçá-las.

Apenas como com uma CISO interna, espera-se que os VCISOs maximizem sua segurança cibernética enquanto minimizam custos e impactos de desempenho.

O que é uma CISO Virtual? Como &Quando é o momento certo para contratar um?

Se uma CISO interna pode custar algumas centenas de milhares de dólares por ano, quanto custa uma CISO virtual? A resposta é: “Depende de quais serviços VCISO você precisa”. Nem todas as empresas precisarão do mesmo nível de serviço de um VCISO, portanto os custos podem variar.

Uma regra geral para os custos do VCISO destacada pelo CSO Online afirma que “Estima-se que os VCISOs custam entre 30% e 40% de um CISO em tempo integral”. Contudo, esta é apenas uma estimativa aproximada, e pode não estar necessariamente alinhada com seus custos reais.

Ao pesquisar serviços CISO virtuais, é importante coletar estimativas específicas de MSSPs para que você possa comparar custos – embora o custo não seja o único critério que você deve considerar ao olhar para os serviços VCISO.

Quais são os benefícios de contratar um CISO Virtual?

Muitas pessoas se perguntam quais são os benefícios de contratar um especialista CISO virtual versus recrutar uma pessoa permanente para esta função de nível C. Alguns dos principais benefícios de usar os serviços VCISO em oposição a confiar num CISO tradicional interno incluem:

1. Eliminar um Processo de Recrutamento Longo. Pode levar meses e dezenas de milhares de dólares para criar uma campanha de recrutamento CISO de sucesso. Além de simplesmente criar uma descrição de cargo CISO e publicá-la no Monster ou LinkedIn, as empresas precisam investir tempo para encontrar e avaliar um candidato qualificado. Pior, as empresas podem passar semanas tentando conseguir um candidato para se inscrever, apenas para que ele seja apanhado por alguma outra empresa com um orçamento maior para benefícios ou folha de pagamento. Usando um serviço CISO virtual fornece acesso instantâneo a uma equipe de especialistas – eliminando um longo, caro e arriscado processo de recrutamento.
2. Obter o Monitoramento de Segurança Cibernética “Round the Clock”. Por melhor que uma CISO altamente qualificada possa (e deva) ser, ainda é apenas uma pessoa sendo solicitada a lidar com a otimização da segurança e resposta/gestão de incidentes para uma organização inteira. As pessoas precisam de férias, de tempo livre para se atualizar sobre novos desenvolvimentos, ou de tempo doente – ninguém pode estar em cima de tudo 24 horas por dia, 7 dias por semana. Com os serviços CISO virtuais, você tem acesso a uma equipe de especialistas que podem cobrir uns aos outros para fornecer vigilância e suporte constantes. Isto ajuda a fornecer mais segurança do que qualquer pessoa pode oferecer.
3. Os CISOs virtuais são mais prováveis de se manterem actualizados. Ameaças de segurança cibernética e métodos de ataque estão constantemente mudando à medida que atacantes criam novas maneiras de roubar dados ou causar danos. Manter-se atualizado com as ameaças mais recentes é um trabalho em tempo integral por si só. Os fornecedores de serviços VCISO são muitas vezes mais capazes de acompanhar as novas ameaças de segurança porque têm toda uma equipa de pessoas à sua disposição. Em vez de depender de uma pessoa para tentar aprender cada tipo de ameaça (o que é quase impossível), os MSSPs podem ter pessoas especializadas em lidar com diferentes ameaças, acompanhando os últimos desenvolvimentos muito mais facilmente, espalhando a carga.
4. Poupar dinheiro nos custos do programa CISO. Como mencionado anteriormente, o custo de um VCISO tende a ser muito mais baixo do que o de seus parceiros internos. Isto porque muitos dos custos associados ao recrutamento para uma posição de nível C (publicidade, benefícios, folha de pagamento, bónus, formação contínua em cibersegurança) são assumidos pelo MSSP. O MSSP pode então ter suas equipes de serviço CISO virtuais trabalhando em várias contas ao mesmo tempo espalhando o custo para que você não tenha que arcar sozinho com toda a carga.

A economia monetária que a terceirização de funções CISO para um serviço VCISO pode proporcionar é normalmente a razão mais popular para usá-las. Entretanto, é importante considerar mais do que apenas o custo.

Razões para contratar um serviço CISO virtual

Embora os benefícios listados acima sejam frequentemente uma forte motivação para usar um VCISO, algumas das razões mais comuns para usar estes serviços são:

1: Porque os serviços VCISO oferecem um custo mensal previsível

Embora longe da única preocupação que as empresas que procuram CISOs enfrentam, o custo é uma das razões mais frequentemente citadas para optar por um serviço virtual. As pessoas que têm as qualificações e experiência certas para preencher uma função de segurança cibernética de nível C sabem o seu valor – e terão opções alinhadas em torno do quarteirão para contratá-los se a sua oferta não for suficientemente apelativa. Portanto, não é incomum para um VCISO sair depois de receber uma oferta melhor.

Isto pode deixar as empresas a procurar e a bordo de um substituto – o que cria custos adicionais para recrutamento e formação. Além disso, considerando a necessidade de tempo livre para férias ou eventos pessoais aleatórios, o retorno dos serviços de uma CISO de mês a mês pode variar (especialmente considerando que é normalmente uma posição remunerada).

2: Como bons CISOs são difíceis de encontrar

Even quando se oferece uma remuneração de alto nível, pode ser difícil encontrar um CISO que seja qualificado para a posição. De fato, é tão difícil que muitas organizações optam por pegar um especialista regular em segurança cibernética e passar por um treinamento CISO virtual ou baseado no campus para produzir um candidato adequado.

Adicionalmente, não há garantia de que a pessoa sendo treinada terá a mistura certa de experiência e habilidades para gerenciar um plano de segurança cibernética em larga escala que se integra facilmente aos processos de negócios existentes.

Usar um serviço VCISO para fornecer um plano robusto de segurança cibernética elimina a necessidade de caçar ou treinar um especialista em segurança cibernética de nível C. Mais importante ainda, as equipes virtuais de CISO geralmente têm muito mais experiência em ajudar empresas a otimizar seus planos de segurança do que qualquer indivíduo poderia possuir.

3: Porque Você Precisa de Suporte CISO CERTO AGORA

Um efeito colateral de ter que caçar ou treinar um novo CISO está indo sem serviços críticos de segurança cibernética de nível C por um período prolongado de tempo. Durante este tempo, problemas críticos de segurança cibernética estão sendo deixados por resolver, o que significa que sua rede é mais vulnerável do que seria de outra forma.

Usar um serviço VCISO ajuda a eliminar longos processos de recrutamento. Isso, por sua vez, ajuda a garantir que sua organização obtenha suporte crítico de cibersegurança quando necessário.

4: Como você quer uma ampla gama de conhecimentos de cibersegurança

Como mencionado anteriormente, uma das principais vantagens de um serviço CISO virtual sobre o uso de um CISO interno é que o serviço aproveita toda uma equipe de pessoas que podem se especializar em coisas diferentes. Isto proporciona um conjunto mais amplo de conhecimentos que podem resultar em melhores proteções cibernéticas de segurança que abordam mais dos seus maiores riscos de segurança cibernética.

Adicionalmente, uma equipe dedicada de especialistas CISO virtuais tem mais probabilidade de ser capaz de identificar corretamente riscos de segurança específicos e criar contramedidas eficazes do que uma única pessoa. Isso ajuda a melhorar a eficácia de seus planos de resposta a incidentes para que você possa minimizar os impactos das violações de segurança e melhorar a velocidade de resposta.

Devo contratar uma CISO ou um VCISO?

Com todos os aspectos positivos que foram mencionados sobre os serviços VCISO, você pode pensar que essa seria sempre a melhor opção. No entanto, nunca nada é tão simples assim. Há casos em que pode fazer mais sentido usar uma CISO interna em vez de um serviço VCISO terceirizado.

Por exemplo, algumas organizações podem preferir ter alguém na equipe que seja totalmente dedicado à sua segurança cibernética. Com um serviço VCISO, sua equipe de especialistas em CISO seria dividida entre várias outras empresas, o que eles podem preferir evitar – mesmo que tal configuração tenha custos e benefícios de conhecimento (equipes trabalhando com vários clientes podem aplicar lições aprendidas com uma empresa a outras).

Um outro benefício de ter uma CISO interna é o impacto potencial na imagem pública da empresa. Ser capaz de manter um executivo de nível C dedicado para focar em segurança cibernética ajuda a demonstrar que a empresa tem os recursos para gerenciar a segurança de forma eficaz e a dedicação para levá-la adiante – o que pode ter impactos positivos fora apenas de melhorar a arquitetura de segurança da empresa.

Finalmente, ter um CISO interno dá às pessoas na sua organização alguém a quem elas podem reportar diretamente com relação a questões de segurança cibernética. Isso ajuda a aumentar a conscientização e a conformidade com iniciativas críticas de segurança em sua empresa. Ser capaz de distribuir e coletar relatórios diretamente com as pessoas da empresa (e ter a autoridade interna para tomar decisões sobre políticas de segurança) pode fazer um mundo de diferença na forma como as iniciativas de cibersegurança são executadas.

Então, o que é melhor para a sua organização? Bem, a resposta depende de quais são seus objetivos e que recursos você já tem disponíveis. Empresas verdadeiramente massivas se beneficiarão na maioria das vezes de ter um CISO interno com uma equipe de suporte ciber-segurança dedicada internamente. Enquanto isso, organizações menores podem precisar aproveitar os benefícios de custo e serviço 24/7 que o uso de uma CISO virtual pode oferecer.

Need alguma ajuda para otimizar suas políticas e procedimentos de segurança cibernética, mas não tem certeza se um serviço CISO virtual é adequado para você? Contate a equipe da Compuquip para falar sobre suas necessidades de segurança e como atendê-las.