Vad gör en CISO? En chef för informationssäkerhet (CISO) är den person i en organisation som är ansvarig för att definiera och upprätthålla organisationens cybersäkerhetspolicy, praxis och arkitektur. CISO-uppgifter kan påverka varje process i en organisation på något sätt – från hur de anställda använder sin e-post, till vilka webbplatser de kan besöka och hur de lagrar viktiga dokument.

Hur som helst kan det vara… minst sagt utmanande att hitta en CISO att lägga till i företagets interna organisationsplan. Kvalificerade sökande som kan uppfylla kraven för CISO-jobbet är sällsynta. Detta leder i sin tur till höga löner för dessa svårfångade cybersäkerhetsexperter (cirka 225 328 dollar i genomsnitt, enligt salary.com).

Med intensiv konkurrens om personer som kan förstå och utföra de uppgifter som ingår i arbetsbeskrivningen för CISO måste företagen ofta erbjuda topplön utöver en rad andra förmåner för att locka till sig dessa personer. Det finns dock en alternativ lösning till att anställa en traditionell, intern CISO för att hantera företagets cybersäkerhetsprogram. Istället för att rekrytera en cybersäkerhetsexpert på C-nivå kan ditt företag använda sig av ett virtuellt CISO-program eller en virtuell CISO-tjänst.

Vad är en virtuell CISO (VCISO)? Vad kostar det att anställa en virtuell CISO? Vilka är fördelarna med att anlita en VCISO? När bör du anlita en VCISO jämfört med en intern CISO?

Vad är en virtuell CISO?

En virtuell CISO är en tjänst som tillhandahålls av en leverantör av hanterade säkerhetstjänster (MSSP) som replikerar arbetsuppgifterna för en Chief Information Security Officer – att skapa och förvalta cybersäkerhetspolicyer för en organisation – och på så sätt lägga ut rollen på ett effektivt sätt.

Varvid en intern CISO vanligtvis är en enda högt rankad person i ett företag, levereras VCISO-tjänster vanligtvis av ett team av virtuella CISO-experter. Detta gör det möjligt för dem att dra nytta av en djupare kunskapspool och ge nästan konstant skydd mot cyberhot.

Hur skyddar en VCISO din organisation?

Virtuella CISO-tjänster hjälper företag att förbättra sin cybersäkerhetsarkitektur genom att ge expertrådgivning om deras kritiska säkerhetsfrågor. I det virtuella CISO-ansvaret ingår ofta uppgifter som:

• Göra penetrationstester;
• Proaktivt identifiera kritiska säkerhetsbrister;
• Hjälpa till med att revidera säkerhetspolicyer och -rutiner;
• Att möjliggöra efterlevnad av viktiga förordningar (t.ex. HIPAA, PCI DSS, GDPR, etc.).);
• Skapa och genomföra incidenthanteringsplaner (IRP); och
• Granska alla befintliga cybersäkerhetsverktyg och ge rekommendationer för att ersätta eller förstärka dem.

Samma som med en intern CISO förväntas VCISO:er maximera er cybersäkerhet samtidigt som de minimerar kostnader och resultatpåverkan.

Vad är en virtuell CISO? Hur & När är rätt tidpunkt att anställa en?

Om en intern CISO kan kosta ett par hundra tusen dollar per år, vad kostar då en virtuell CISO? Svaret är: ”Det beror på vilka VCISO-tjänster du behöver”. Det är inte alla företag som behöver samma servicenivå från en VCISO, så kostnaderna kan variera.

En tumregel för VCISO-kostnader som lyfts fram av CSO Online anger att ”VCISOs uppskattas kosta mellan 30 procent och 40 procent av en heltids-CISO”. Detta är dock endast en grov uppskattning och stämmer inte nödvändigtvis överens med dina verkliga kostnader.

När du undersöker virtuella CISO-tjänster är det viktigt att samla in specifika uppskattningar från MSSP:er så att du kan jämföra kostnaderna – även om kostnaden inte är det enda kriteriet du bör ta hänsyn till när du tittar på VCISO-tjänster.

Vad är fördelarna med att anställa en virtuell CISO?

Många undrar vad fördelarna med att anställa en virtuell CISO-expert är jämfört med att rekrytera en fast person för denna roll på C-nivå. Några av de viktigaste fördelarna med att använda VCISO-tjänster i stället för att förlita sig på en traditionell, intern CISO är:

1. Eliminering av en långvarig rekryteringsprocess. Det kan ta månader och tiotusentals dollar att skapa en framgångsrik CISO-rekryteringskampanj. Förutom att helt enkelt skapa en CISO-jobbeskrivning och lägga ut den på Monster eller LinkedIn måste företagen investera tid för att hitta och granska en kvalificerad kandidat. Vad värre är, företag kan tillbringa veckor med att försöka få en kandidat att skriva på, för att sedan bli upplockad av ett annat företag med en större budget för förmåner eller löner. Genom att använda en virtuell CISO-tjänst får man omedelbar tillgång till ett team av experter, vilket gör att man slipper en lång, kostsam och riskfylld rekryteringsprocess.
2. Att få övervakning av cybersäkerheten ”dygnet runt”. Hur bra en högkvalificerad CISO än kan (och bör) vara, är det ändå bara en person som ombeds hantera säkerhetsoptimering och incidentrespons/hantering för en hel organisation. Människor behöver semester, tid för att uppdatera sig om nya utvecklingar eller sjukskrivningar – ingen kan ha koll på allt dygnet runt. Med virtuella CISO-tjänster får du tillgång till ett team av experter som kan täcka upp för varandra för att ge konstant övervakning och stöd. Detta bidrar till att ge mer säkerhet än vad en enskild person kan erbjuda.
3. Virtuella CISO:s är mer benägna att hålla sig uppdaterade. Cybersäkerhetshot och angreppsmetoder förändras ständigt när angripare skapar nya sätt att stjäla data eller orsaka skada. Att hålla sig uppdaterad om de senaste hoten är ett heltidsjobb i sig självt. VCISO-tjänsteleverantörer har ofta bättre möjligheter att hålla sig ajour med nya säkerhetshot eftersom de har ett helt team av personer till sitt förfogande. Istället för att förlita sig på att en person ska försöka lära sig varje enskild hottyp (vilket är nästan omöjligt), kan MSSP:er ha personer som specialiserar sig på att hantera olika hot, vilket gör det mycket lättare att hålla sig uppdaterad om den senaste utvecklingen genom att sprida bördan.
4. Spara pengar på kostnaderna för CISO-programmet. Som tidigare nämnts tenderar kostnaden för en VCISO att vara mycket lägre än för deras interna motsvarigheter. Detta beror på att många av de kostnader som är förknippade med rekrytering till en position på C-nivå (annonsering, förmåner, löner, bonusar, fortlöpande cybersäkerhetsutbildning) övertas av MSSP. MSSP kan sedan låta sina virtuella CISO-tjänsteteam arbeta med flera konton samtidigt – vilket sprider ut kostnaden så att du inte behöver bära hela bördan ensam.

Den monetära besparing som outsourcing av CISO-jobbsfunktioner till en VCISO-tjänst kan ge är vanligtvis det mest populära skälet till att använda dem. Det är dock viktigt att ta hänsyn till mer än bara kostnaden.

Rsaker till att anlita en virtuell CISO-tjänst

Och även om de fördelar som anges ovan ofta är ett starkt motiv för att använda en VCISO-tjänst är några av de vanligaste anledningarna till att använda dessa tjänster:

1: Eftersom VCISO-tjänster erbjuder en förutsägbar månadskostnad

Och även om det är långt ifrån det enda bekymret som företag som söker CISO:er möter, är kostnaden en av de vanligaste anledningarna till att använda sig av en virtuell tjänst. Personer som har de rätta kvalifikationerna och erfarenheterna för att fylla en roll som cybersäkerhetsansvarig på C-nivå vet vad de är värda – och de kommer att ha alternativ som står uppradade runt kvarteret för att anställa dem om ditt erbjudande inte är tillräckligt tilltalande. Det är därför inte ovanligt att en VCISO lämnar företaget efter att ha fått ett bättre erbjudande.

Detta kan leda till att företagen får kämpa för att hitta och anställa en ersättare, vilket skapar extra kostnader för rekrytering och utbildning. Med tanke på behovet av ledighet för semester eller slumpmässiga personliga händelser kan dessutom avkastningen på en CISO:s tjänster från månad till månad variera (särskilt med tanke på att det vanligtvis är en avlönad tjänst).

2: Eftersom det är svårt att hitta bra CISO:s

Även när man erbjuder en topplön kan det vara svårt att hitta en CISO som är kvalificerad för tjänsten. Det är faktiskt så svårt att många organisationer väljer att ta en vanlig cybersäkerhetsexpert och låta denne genomgå antingen campusbaserad eller virtuell CISO-utbildning för att få fram en lämplig kandidat.

Det finns dessutom ingen garanti för att den person som utbildas kommer att ha rätt blandning av erfarenhet och färdigheter för att hantera en storskalig cybersäkerhetsplan som integreras smidigt med befintliga affärsprocesser.

Användning av en VCISO-tjänst för att leverera en robust cybersäkerhetsplan eliminerar behovet av att headhunta eller utbilda en cybersäkerhetsexpert på C-nivå. Ännu viktigare är att virtuella CISO-team ofta har mycket mer erfarenhet av att hjälpa företag att optimera sina säkerhetsplaner än vad någon enskild person kan ha.

3: Eftersom du behöver CISO-stöd just nu

En bieffekt av att behöva headhunta eller utbilda en ny CISO är att gå utan kritiska cybersäkerhetstjänster på C-nivå under en längre tidsperiod. Under denna tid lämnas kritiska cybersäkerhetsfrågor obehandlade – vilket innebär att ditt nätverk är mer sårbart än vad det annars skulle vara.

Användning av en VCISO-tjänst hjälper till att eliminera långdragna rekryteringsprocesser. Detta bidrar i sin tur till att säkerställa att din organisation får kritiskt cybersäkerhetsstöd när det behövs.

4: Eftersom du vill ha ett brett utbud av cybersäkerhetsexpertis

Som tidigare nämnts är en av de viktigaste fördelarna med en virtuell CISO-tjänst jämfört med att använda en intern CISO att tjänsten utnyttjar ett helt team av personer som alla kan specialisera sig på olika saker. Detta ger en bredare kunskapspool som kan resultera i bättre cybersäkerhetsskydd som tar itu med fler av dina största cybersäkerhetsrisker.

Det är dessutom mer sannolikt att ett dedikerat team av virtuella CISO-experter kan identifiera specifika säkerhetsrisker på ett korrekt sätt och skapa effektiva motåtgärder än en enskild person. Detta bidrar till att förbättra effektiviteten i dina incidenthanteringsplaner så att du kan minimera effekterna av säkerhetsöverträdelser och förbättra svarstiden.

Bör jag anlita en CISO eller en VCISO?

Med alla de positiva saker som har nämnts om VCISO-tjänster kanske du tror att det alltid skulle vara det bästa alternativet. Inget är dock någonsin så enkelt. Det finns fall där det kan vara vettigare att använda en intern CISO i stället för en outsourcad VCISO-tjänst.

En del organisationer kanske till exempel föredrar att ha någon anställd som helt och hållet ägnar sig åt deras cybersäkerhet. Med en VCISO-tjänst skulle deras CISO-expertteam delas upp på flera andra företag, vilket de kanske föredrar att undvika – även om ett sådant upplägg har kostnads- och kunskapsfördelar (team som arbetar med flera kunder kan tillämpa lärdomar från ett företag på andra företag).

En annan fördel med att ha en intern CISO är den potentiella påverkan på företagets offentliga image. Att kunna behålla en dedikerad chef på C-nivå som fokuserar på cybersäkerhet hjälper till att visa att företaget har resurserna för att effektivt hantera säkerheten och engagemanget för att genomföra den – vilket kan ha positiva effekter utöver att bara förbättra företagets säkerhetsarkitektur.

Finally, having an in-house CISO gives the people in your organization someone they can directly report to regarding cybersecurity issues. Detta bidrar till att öka medvetenheten och efterlevnaden av kritiska säkerhetsinitiativ i ditt företag. Att kunna distribuera och samla in rapporter direkt med människor i företaget (och att ha den interna auktoriteten att få säkerhetspolitiska beslut att hålla fast) kan göra stor skillnad för hur väl cybersäkerhetsinitiativ genomförs.

Så, vad är bättre för din organisation? Tja, svaret beror på vilka mål du har och vilka resurser du redan har till förfogande. Riktigt stora företag kommer oftast att gynnas av att ha en intern CISO med en dedikerad stödpersonal för cybersäkerhet internt. Samtidigt kan mindre organisationer behöva utnyttja de kostnads- och 24/7-servicefördelar som en virtuell CISO kan ge.

Behöver du hjälp med att optimera dina cybersäkerhetspolicyer och -rutiner, men är inte riktigt säker på om en virtuell CISO-tjänst är rätt för dig? Kontakta Compuquip-teamet för att prata om dina säkerhetsbehov och hur de kan lösas.