Ce face un CISO? Un Chief Information Security Officer (CISO) este persoana dintr-o organizație care este responsabilă pentru definirea și aplicarea politicilor, practicilor și arhitecturii de securitate cibernetică a organizației respective. Atribuțiile CISO pot avea un impact asupra fiecărui proces dintr-o organizație într-un anumit fel – de la modul în care angajații își folosesc e-mailurile, la ce site-uri web pot vizita, la modul în care stochează documentele importante.

Cu toate acestea, găsirea unui CISO care să fie adăugat în organigrama internă a companiei poate fi… cel puțin dificilă. Candidații calificați care pot îndeplini cerințele postului de CISO sunt rari. Acest lucru, la rândul său, duce la salarii mari pentru acești experți în securitate cibernetică greu de găsit (aproximativ 225.328 de dolari în medie, potrivit salary.com).

Cu o concurență intensă pentru persoanele care pot înțelege și executa sarcinile inerente descrierii postului de CISO, companiile trebuie adesea să ofere un salariu de top pe lângă o varietate de alte beneficii pentru a atrage aceste persoane. Cu toate acestea, există o soluție alternativă la angajarea unui CISO tradițional, intern, pentru a gestiona programul de securitate cibernetică al companiei dumneavoastră. În loc să recrutați un expert în securitate cibernetică de nivel C, compania dumneavoastră ar putea utiliza un program sau un serviciu CISO virtual.

Ce este un CISO virtual (VCISO)? Cât costă angajarea unui CISO virtual? Care sunt beneficiile angajării unui VCISO? Când ar trebui să angajați un VCISO față de un CISO intern?

Ce este un CISO virtual?

Un CISO virtual este un serviciu furnizat de un furnizor de servicii de securitate gestionate (MSSP) care reproduce funcțiile unui Chief Information Security Officer – crearea și gestionarea politicilor de securitate cibernetică pentru o organizație – externalizând în mod eficient acest rol.

În timp ce un CISO intern este, de obicei, o singură persoană de rang înalt într-o companie, serviciile VCISO sunt furnizate, de obicei, de o echipă de experți CISO virtuali. Acest lucru le permite acestora să se bazeze pe un fond mai profund de cunoștințe și să ofere o protecție aproape constantă împotriva amenințărilor cibernetice.

Cum vă protejează un VCISO organizația dumneavoastră?

Serviciile CISO virtuale ajută companiile să își îmbunătățească arhitectura de securitate cibernetică prin furnizarea de consultanță de specialitate cu privire la problemele lor critice de securitate. Responsabilitățile CISO virtuale includ adesea sarcini precum:

• Executarea testelor de penetrare;
• Identificarea proactivă a deficiențelor critice de securitate;
• Ajutorarea revizuirii politicilor și procedurilor de securitate;
• Elaborarea conformității cu reglementările cheie (cum ar fi HIPAA, PCI DSS, GDPR, etc.);
• Crearea și implementarea planurilor de răspuns la incidente (IRP); și
• Revizuirea tuturor instrumentelor de securitate cibernetică existente și formularea de recomandări pentru înlocuirea sau consolidarea acestora.

La fel ca în cazul unui CISO intern, se așteaptă ca VCISO să vă maximizeze securitatea cibernetică, minimizând în același timp costurile și impactul asupra performanței.

Ce este un CISO virtual? Cum & Când este momentul potrivit pentru a angaja unul?

Dacă un CISO in-house poate costa câteva sute de mii de dolari pe an, cât costă un CISO virtual? Răspunsul este: „Depinde de ce servicii VCISO aveți nevoie”. Nu fiecare companie va avea nevoie de același nivel de servicii din partea unui VCISO, astfel încât costurile pot varia.

O regulă empirică pentru costurile VCISO evidențiată de CSO Online afirmă că „se estimează că VCISO-urile costă între 30 și 40 la sută din costul unui CISO cu normă întreagă”. Cu toate acestea, aceasta este doar o estimare aproximativă și s-ar putea să nu se alinieze neapărat cu costurile dvs. reale.

Când cercetați serviciile CISO virtuale, este important să colectați estimări specifice de la MSSP, astfel încât să puteți compara costurile – deși costul nu este singurul criteriu pe care ar trebui să îl luați în considerare atunci când căutați servicii VCISO.

Care sunt beneficiile angajării unui CISO virtual?

Mulți oameni se întreabă care sunt beneficiile angajării unui expert CISO virtual față de recrutarea unei persoane permanente pentru acest rol de nivel C. Unele dintre beneficiile cheie ale utilizării serviciilor VCISO, spre deosebire de a se baza pe un CISO tradițional, intern, includ:

1. Eliminarea unui proces de recrutare îndelungat. Poate dura luni de zile și zeci de mii de dolari pentru a crea o campanie de recrutare CISO de succes. În afară de simpla creare a unei descrieri a postului de CISO și postarea acesteia pe Monster sau LinkedIn, companiile trebuie să investească timp pentru a găsi și verifica un candidat calificat. Mai rău, companiile pot petrece săptămâni întregi încercând să convingă un candidat să semneze, doar pentru ca acesta să fie racolat de o altă companie cu un buget mai mare pentru beneficii sau salarii. Utilizarea unui serviciu CISO virtual oferă acces instantaneu la o echipă de experți – eliminând un proces de recrutare îndelungat, costisitor și riscant.
2. Obținerea unei monitorizări a securității cibernetice „non-stop”. Oricât de bun poate fi (și ar trebui să fie) un CISO foarte bine pregătit, tot este vorba de o singură persoană căreia i se cere să se ocupe de optimizarea securității și de răspunsul/gestionarea incidentelor pentru o întreagă organizație. Oamenii au nevoie de vacanțe, de timp liber pentru a se pune la curent cu noile evoluții sau de timp de boală – nimeni nu poate fi la curent cu totul 24/7. Cu serviciile CISO virtuale, aveți acces la o echipă de experți care se pot acoperi unii pe alții pentru a oferi supraveghere și sprijin constant. Acest lucru ajută la asigurarea unei securități mai mari decât poate oferi o singură persoană.
3. CISO virtuali sunt mai predispuși să rămână la zi. Amenințările de securitate cibernetică și metodele de atac se schimbă în mod constant, deoarece atacatorii creează noi modalități de a fura date sau de a provoca daune. A fi la curent cu cele mai recente amenințări este o muncă cu normă întreagă în sine. Furnizorii de servicii VCISO sunt adesea mai în măsură să țină pasul cu noile amenințări la adresa securității, deoarece au la dispoziție o întreagă echipă de oameni. În loc să se bazeze pe o singură persoană care să încerce să învețe fiecare tip de amenințare (ceea ce este aproape imposibil), MSSP-urile pot avea oameni specializați în tratarea diferitelor amenințări, ținând pasul cu cele mai recente evoluții mult mai ușor prin repartizarea sarcinii.
4. Economisirea banilor pentru costurile programului CISO. Așa cum am menționat anterior, costul unui VCISO tinde să fie mult mai mic decât cel al omologilor lor interni. Acest lucru se datorează faptului că multe dintre costurile asociate cu recrutarea pentru un post de nivel C (publicitate, beneficii, salarizare, bonusuri, formare continuă în domeniul securității cibernetice) sunt asumate de către MSSP. MSSP-ul poate apoi să pună echipele sale de servicii CISO virtuale să lucreze la mai multe conturi în același timp – împărțind costurile astfel încât să nu trebuiască să suportați singuri întreaga povară.

Economiile monetare pe care le poate oferi externalizarea funcțiilor postului de CISO către un serviciu VCISO este, de obicei, cel mai popular motiv pentru a le utiliza. Cu toate acestea, este important să luați în considerare mai mult decât costul.

Motive pentru a angaja un serviciu CISO virtual

În timp ce beneficiile enumerate mai sus sunt adesea o motivație puternică pentru a folosi un VCISO, unele dintre cele mai frecvent citate motive pentru a folosi aceste servicii sunt:

1: Pentru că serviciile VCISO oferă un cost lunar previzibil

Deși este departe de a fi singura preocupare cu care se confruntă companiile care caută CISO, costul este unul dintre cele mai frecvent citate motive pentru a opta pentru un serviciu virtual. Oamenii care au calificările și experiența potrivite pentru a ocupa un rol de securitate cibernetică de nivel C își cunosc valoarea – și vor avea opțiuni aliniate în jurul blocului pentru a-i angaja dacă oferta dvs. nu este suficient de atractivă. Așadar, nu este neobișnuit ca un VCISO să plece după ce primește o ofertă mai bună.

Acest lucru poate lăsa companiile să se agite pentru a găsi și a încorpora un înlocuitor – ceea ce creează costuri suplimentare pentru recrutare și formare. În plus, având în vedere nevoia de timp liber pentru vacanțe sau evenimente personale aleatorii, randamentul serviciilor unui CISO de la o lună la alta poate varia (mai ales având în vedere că este, de obicei, o poziție salariată).

2: Pentru că CISO-urile bune sunt greu de găsit

Inclusiv atunci când se oferă un salariu de top, poate fi greu de găsit un CISO care să fie calificat pentru această poziție. Atât de greu, de fapt, încât multe organizații optează să ia un expert obișnuit în securitate cibernetică și să îl supună unui curs de formare CISO, fie în campus, fie virtual, pentru a produce un candidat potrivit.

În plus, nu există nicio garanție că persoana instruită va avea combinația potrivită de experiență și abilități pentru a gestiona un plan de securitate cibernetică pe scară largă care să se integreze fără probleme în procesele de afaceri existente.

Utilizarea unui serviciu VCISO pentru a oferi un plan robust de securitate cibernetică elimină necesitatea de a căuta sau instrui un expert în securitate cibernetică de nivel C. Mai important, echipele CISO virtuale au adesea mult mai multă experiență în a ajuta companiile să își optimizeze planurile de securitate decât ar putea poseda orice individ.

3: Pentru că aveți nevoie de sprijin CISO ACUM

Un efect secundar al nevoii de a recruta sau de a forma un nou CISO este acela de a rămâne fără servicii critice de securitate cibernetică la nivel C pentru o perioadă prelungită de timp. În acest timp, problemele critice de securitate cibernetică sunt lăsate nerezolvate – ceea ce înseamnă că rețeaua dvs. este mai vulnerabilă decât ar fi altfel.

Utilizarea unui serviciu VCISO ajută la eliminarea proceselor de recrutare îndelungate. Acest lucru, la rândul său, ajută la asigurarea faptului că organizația dvs. primește sprijin critic în materie de securitate cibernetică atunci când este necesar.

4: Pentru că doriți o gamă largă de expertiză în domeniul securității cibernetice

După cum am menționat mai devreme, unul dintre avantajele cheie ale unui serviciu CISO virtual față de utilizarea unui CISO intern este că serviciul valorifică o întreagă echipă de oameni care se pot specializa fiecare în lucruri diferite. Acest lucru oferă un bazin mai larg de cunoștințe care poate avea ca rezultat protecții de securitate cibernetică mai bune, care abordează mai multe dintre cele mai mari riscuri de securitate cibernetică ale dumneavoastră.

În plus, o echipă dedicată de experți CISO virtuali are mai multe șanse să fie capabilă să identifice corect riscurile de securitate specifice și să creeze contramăsuri eficiente decât o singură persoană. Acest lucru ajută la îmbunătățirea eficacității planurilor dvs. de răspuns la incidente, astfel încât să puteți minimiza impactul breșelor de securitate și să îmbunătățiți viteza de răspuns.

Ar trebui să angajez un CISO sau un VCISO?

Cu toate aspectele pozitive care au fost menționate despre serviciile VCISO, ați putea crede că aceasta ar fi întotdeauna cea mai bună opțiune. Cu toate acestea, nimic nu este niciodată atât de simplu. Există cazuri în care ar putea avea mai mult sens să folosiți un CISO intern în loc de un serviciu VCISO externalizat.

De exemplu, unele organizații ar putea prefera să aibă în personal pe cineva care să se dedice în întregime securității lor cibernetice. Cu un serviciu VCISO, echipa lor de experți CISO ar fi împărțită între mai multe alte companii, ceea ce ar putea prefera să evite – chiar dacă o astfel de configurație are beneficii în ceea ce privește costurile și cunoștințele (echipele care lucrează cu mai mulți clienți pot aplica lecțiile învățate de la o companie la altele).

Un alt beneficiu de a avea un CISO intern este impactul potențial asupra imaginii publice a companiei. Faptul de a putea reține un director de nivel C dedicat care să se concentreze pe securitatea cibernetică ajută la demonstrarea faptului că firma are resursele necesare pentru a gestiona eficient securitatea și dedicarea de a o duce la bun sfârșit – ceea ce poate avea efecte pozitive în afara îmbunătățirii simplei arhitecturi de securitate a companiei.

În cele din urmă, faptul de a avea un CISO intern le oferă oamenilor din organizația dvs. o persoană căreia îi pot raporta direct în ceea ce privește problemele de securitate cibernetică. Acest lucru ajută la creșterea gradului de conștientizare și de conformitate cu inițiativele critice de securitate din cadrul companiei dumneavoastră. Faptul de a putea distribui și colecta rapoarte în mod direct cu oamenii din companie (și de a avea autoritatea internă de a face ca deciziile privind politica de securitate să fie respectate) poate face o diferență enormă în ceea ce privește modul în care sunt executate inițiativele de securitate cibernetică.

Deci, ce este mai bine pentru organizația dumneavoastră? Ei bine, răspunsul depinde de obiectivele dvs. și de resursele pe care le aveți deja la dispoziție. Companiile cu adevărat masive vor beneficia cel mai adesea de existența unui CISO intern cu un personal de sprijin dedicat securității cibernetice în cadrul companiei. Între timp, organizațiile mai mici ar putea avea nevoie să profite de avantajele legate de costuri și de serviciul 24/7 pe care le poate oferi utilizarea unui CISO virtual.

Aveți nevoie de ajutor pentru a vă optimiza politicile și procedurile de securitate cibernetică, dar nu sunteți foarte sigur dacă un serviciu CISO virtual este potrivit pentru dumneavoastră? Contactați echipa Compuquip pentru a discuta despre nevoile dvs. de securitate și despre cum să le abordați.