Hay muchos caminos que llevan a una empresa a contratar los servicios de un director de seguridad de la información virtual (vCISO).
Es posible que las empresas que trabajan con proveedores de servicios de seguridad gestionados (MSSP) necesiten ampliar su estrategia de seguridad y, por tanto, contratar un vCISO. Después de una infracción, una empresa de respuesta a incidentes puede recomendar que la empresa desarrolle un plan proactivo de seguridad y respuesta contratando a un CISO a tiempo parcial. Los capitalistas de riesgo pueden necesitar un experto en seguridad para realizar la debida diligencia durante una fusión o adquisición. Incluso las ciberaseguradoras ahora recomiendan vCISO a los asegurados para guiarlos en el proceso de desarrollo de mejores prácticas.
En última instancia, un CISO virtual brinda a la empresa un experto que puede administrar el programa de seguridad de la empresa de manera coherente y, a menudo, aporta una perspectiva diferente, ayudando a los equipos de seguridad a ver el bosque y no solo los árboles, explica Thomas Siu, CISO de Inversion6, un proveedor de CISO virtual. servicios.
“Tenemos la capacidad de alejarnos del proceso empresarial o incluso del cliente porque estamos lo suficientemente lejos como para poder ver el panorama general”, afirma. “Como CISO, siempre puedo contratar a un CISO fraccional para que analice un problema específico por mí; a veces ocurre el problema de los bosques y los árboles”.
RSSI virtual y fraccionario despegar. Si bien la escasez de ejecutivos competentes en ciberseguridad hace que Contratar un CISO a tiempo completo, una propuesta costosapagar a un líder a tiempo parcial para gestionar la estrategia general de seguridad a menudo tiene sentido. Si bien un consultor puede ser la solución, las empresas suelen buscar un experto que pueda brindar un punto de vista coherente basado en una estrategia acordada o un CISO parcial con habilidades o conocimientos específicos, como tecnología operativa o regulaciones de una determinada región.
Ya sea que el impulso de la contratación sea una fusión, una póliza de seguro cibernético o un incidente de seguridad, un CISO virtual puede ayudar a una empresa a desarrollar una estrategia a largo plazo, dice Adam Tyra, gerente general de servicios de seguridad de la compañía de seguros cibernéticos At-Bay. , que ofrece servicios gestionados y servicios vCISO.
“La mayoría de las empresas sólo tienen esta conversación sobre seguros una vez al año y luego no la vuelven a tener hasta que llega el momento de renovar la póliza, pero el panorama de amenazas cambiará continuamente”, afirma. “Debería hacer mucho más que el mínimo requerido sólo para obtener un seguro, y ahí es donde su vCISO puede ayudar”. »
¿Has perdido a tu CISO? Considere un vCISO
Para Siu de Inversion6, el camino para convertirse en un CISO virtual comenzó con su trabajo para un MSSP, gestionando proyectos discretos para clientes. Siu, ex CISO de la Universidad Estatal de Michigan y la Universidad Case Western Reserve, se desempeñó como vCISO para una empresa de protección ejecutiva, donde creó un plan de ciberseguridad para la empresa en riesgo y se comprobó periódicamente para garantizar que se siguiera el plan. Las empresas también se pusieron en contacto con Siu para llenar un vacío cuando un CISO existente decidió irse.
“Alguien perdería a su CISO y necesitaba a alguien para implementar el programa. Resultó ser un modelo de negocio diferente permitir que un proveedor administrara este tipo de servicio de asesoramiento empresarial estratégico a largo plazo”, afirma. “No estabas tan involucrado operativamente. Los ayudabas con sus presupuestos. Los ayudabas con su estrategia. Así que podías marcar todo lo que quisieras o devolver la llamada, pero siempre tenías que estar disponible”.
Normalmente, las empresas necesitan un vCISO por una de tres razones: para cumplir con sus requisitos de seguridad regulatorios o contractuales, para cumplir o superar los estándares de la industria en materia de ciberseguridad o para desarrollar un programa de seguridad para diferenciarse de la competencia, explica Tyra de At-Bay.
“Si tiene una empresa con una sólida capacidad de TI que le permite implementar todos sus propios sistemas y es bueno administrando toda su tecnología, un servicio vCISO puede ser todo lo que necesita”, afirma. “Estás apuntando en la dirección correcta, con una lista de proyectos por hacer, y luego tienes la capacidad de TI para hacer esas cosas”.
Cuando un vCISO no es suficiente
Sin embargo, muchas veces tener un plan no es lo mismo que ejecutarlo. En estos casos, las empresas pueden utilizar servicios de seguridad gestionados para obtener capacidades de ciberseguridad específicas. Determinar si una empresa necesita más que un vCISO es, por extraño que parezca, una buena tarea para un vCISO, dice Tyra de At-Bay.
“Ésta es un área en la que creo que muchas empresas no son honestas consigo mismas acerca de si tienen o no estas capacidades internas”, afirma. “Esta es otra área en la que un vCISO podría ayudar, ayudando a las personas a determinar si el asesoramiento será suficiente o no. [if] necesita manos reales en sus sistemas para llegar a donde intenta llegar.
Finalmente, a medida que surgen nuevas amenazas, las empresas a menudo quieren saber cómo podrían verse afectadas. Dado que los servicios vCISO a menudo tienen una experiencia profunda que las empresas no pueden retener en su personal, pueden intervenir y brindar recomendaciones para abordar nuevas tecnologías, como la inteligencia artificial, o cambios en el panorama de amenazas, explica Siu de Inversion6.
“Incluso si alguien ya tiene un programa de seguridad, nos están llevando a lugares para los que simplemente no tienen la profundidad necesaria y para los que quizás ni siquiera puedan contratar, porque es muy especializado”, afirma. “Podemos usar esto para ayudar a las personas a comprender dónde están estas personas en particular. [threats] encajan en su perfil de riesgo general.