Logo Zephyrnet

Generatywna analiza danych

Bezpieczeństwo cybernetyczne

Czy model vCISO jest odpowiedni dla Twojej firmy?

Opublikowane ponownie przez Plato
Opublikowane ponownie przez Plato

Data:

Odwiedzin: 140

W ciągu ostatnich kilku lat zadanie polegające na ochronie firm przed hakerami i problemami związanymi z bezpieczeństwem związanymi z przestrzeganiem przepisów stało się, delikatnie mówiąc, niewygodne. Podczas gdy większe firmy zazwyczaj zatrudniają dyrektorów ds. bezpieczeństwa informacji, którzy zajmują się tymi kwestiami, mniejsze firmy często tego nie robią. Czasami dzieje się tak dlatego, że mniejsze firmy nie odczuwały potrzeby posiadania takiego rozwiązania, a czasem jest to wyłącznie decyzja budżetowa.

Coraz trudniej jest uzasadnić brak CISO, dlatego wiele firm, które nigdy nie miały CISO, wypełnia lukę wirtualnym CISO (vCISO). vCISO, czasami nazywany ułamkowym CISO lub CISO-as-a-Service, to zazwyczaj outsourcingowany ekspert ds. bezpieczeństwa pracujący w niepełnym wymiarze godzin, który pomaga firmom chronić ich infrastrukturę, dane, personel i klientów. W zależności od potrzeb firmy vCISO mogą działać lokalnie lub zdalnie, długoterminowo lub krótkoterminowo.

Istnieje wiele powodów, dla których firmy wybierają drogę vCISO. Czasem jest to kryzys wewnętrzny, kiedy CISO firmy niespodziewanie odchodzi ze stanowiska, a zarząd potrzebuje czasu na znalezienie stałego nowego. Innym razem dotyczy to nowych wymogów regulacyjnych lub biznesowych albo ram cyberbezpieczeństwa, których firma musi przestrzegać, np Ramy cyberbezpieczeństwa NIST 2.0 (oczekiwany w 2024 r.). Czasami członek zarządu przyzwyczajony do otrzymywania odpraw od CISO może poprosić o vCISO.

„Mniejsza firma może potrzebować CISO, ale tylko kilka dni w tygodniu, a tego typu model dostaw jest idealny dla vCISO” – mówi Russell Eubanks, vCISO, który jest również na wydziale badawczym IANS i instruktor w SANS Institute . Kluczem jest elastyczność – dodał. Jeśli firma potrzebuje vCISO przez 40 godzin tygodniowo przez jakiś czas, to też jest w porządku.

Oprócz mniejszych przedsiębiorstw, dobrymi kandydatami do modelu vCISO są również organizacje z branży SaaS, produkcyjnej, przemysłowej i zdrowotnej. Niektórzy uważają, że branża finansowa może być również odpowiednia dla vCISO, inni twierdzą, że obszar ten jest tak ściśle regulowany, że instytucje finansowe powinny mieć własnych CISO pracujących w pełnym wymiarze godzin.

Co robią vCISO

Do najczęstszych obowiązków, jakie vCISO wykonują na rzecz firm, zalicza się zarządzanie, ryzyko i zgodność (GRC), opracowywanie i realizacja planów strategicznych oraz ocena i zwiększanie dojrzałości bezpieczeństwa, zgodnie z Raport Hitch Partners. Doświadczeni vCISO będą rozumieć ryzyko cybernetyczne, technologię i wystarczająco dużo o firmie, aby zaaranżować skuteczną strategię bezpieczeństwa.

vCISO spędzają także czas na doradzaniu stałym vCISO. Nick Shevelyov, który przez lata pracował jako CIO, a następnie CISO w banku w San Francisco, twierdzi, że regularnie wzywał vCISO, aby przestudiowali ich pomysły i uczyli się od nich. Dziś Shevelyov jest wykonawczym doradcą ds. cyberbezpieczeństwa i vCISO prowadzącym własną butikową firmę konsultingową.

„Dyrektorzy generalni, dyrektorzy finansowi, CIO, CTO, a nawet CISO mogą zaangażować vCISO, aby pomóc im szybko zrozumieć, co jest im potrzebne do ustalenia priorytetów i ocenić, czy ich technologia jest prawidłowo skonfigurowana, zainstalowana i zaprojektowana, co może powodować luki w cyberbezpieczeństwie” – mówi Shevelyov. „Jako CISO chciałem nauczyć się wszystkiego, co tylko mogłem”.

Czasami firmy nawet angażują vCISO w celu zdefiniowania roli w firmie, aby vCISO mógł ostatecznie przygotować kolejnego, stałego CISO do przejęcia.

„Często widuję wysoko wykwalifikowanych, częściowych CISO, którzy sami zwalniają się z pracy, ponieważ chcą kogoś uwodzić” – mówi Nick Puetz, dyrektor zarządzający ds. bezpieczeństwa i prywatności w Protoviti, firmie konsultingowej technologicznej świadczącej usługi vCISO.

Firmy zainteresowane znalezieniem vCISO mają wiele możliwości. Oprócz pytania znanych im ekspertów branżowych, mogą je znaleźć mnóstwo kandydatów od dużych firm konsultingowych, butikowych firm specjalizujących się w usługach vCISO oraz dostawców usług zarządzanych. Według Eubanks kluczem jest to, aby kandydaci mieli doświadczenie w pracy na stanowisku CISO, najlepiej w tej samej branży, co firma ubiegająca się o vCISO.

Znalezienie odpowiedniego dopasowania vCISO

Kilka lat temu, gdy średniej wielkości kasa kredytowa niespodziewanie straciła swojego cyberlidera na rzecz oferującego więcej pieniędzy, znalazła się na rozdrożu. Zatrudniając zaledwie 600 pracowników i nie mając przygotowanego planu sukcesji, kasa nie miała w swoim składzie nikogo, kto mógłby objąć stanowisko CISO. Tak więc, podczas gdy zespół wykonawczy przygotowywał się do wielomiesięcznych poszukiwań nowego CISO, zwrócił się do globalnej firmy konsultingowej Protiviti o zapewnienie tymczasowego CISO w niepełnym wymiarze godzin.

Znalezienie odpowiedniego vCISO dla średniej wielkości kasy pożyczkowej wymagało od Protiviti trochę pracy.

„Chodzi o to, aby usiąść z nimi i zrozumieć, co muszą osiągnąć i od czego zaczniemy podróż” – mówi Puetz. „Dzięki tym informacjom możemy zaproponować oferowane przez nas pakiety, które mogą mieć sens lub dostosować coś specjalnie do ich potrzeb”.

Wiedz, czego potrzebujesz. Zanim w ogóle zagłębisz się w potencjalnych kandydatów, ważne jest, aby wiedzieć, czego szukasz i określić swoje wymagania, mówi Deron Grzetich, krajowy kierownik ds. cyberbezpieczeństwa w West Monroe, firmie konsultingowej zajmującej się technologiami cyfrowymi.

„Czasami potrzebny jest ktoś, kto bardziej przypomina kapitana statku wycieczkowego, nie po to, by wprowadzać wiele zmian, ale po to, by utrzymać pociąg w ruchu. Są też terenowi CISO, którzy bardziej przypominają ewangelistów pomagających w rozwiązywaniu istotnych problemów cybernetycznych i są raczej twarzą firmy” – mówi Grzetich. „To zależy od tego, czego szukasz i na jakim etapie swojej podróży ku cyberdojrzałości jesteś”.

Mając to na uwadze, jasno określ zakres i oczekiwania dotyczące wyników roli vCISO. Zdefiniowanie tych czynników pomoże zapewnić, że dana osoba będzie dostosowana do roli – dodał.

Znajdź odpowiednich kandydatów. Jest wiele miejsc, w których warto szukać, ale znalezienie właściwej osoby – kogoś, kto rozumie dynamikę Twojej firmy i ma odpowiednie doświadczenie – może być frustrujące. Po pierwsze, upewnij się, że mają doświadczenie jako CISO. To może wydawać się oczywistą radą, ale jest ważne. „Jest wielu starszych konsultantów, którzy nie mogą znaleźć dobrej pracy, więc wypuścili gont reklamujący swoje usługi jako vCISO. Ale jeśli się zagłębisz, odkryjesz, że nigdy nie byli odpowiedzialni za bezpieczeństwo w organizacji” – ostrzega Ira Winkler, wieloletni prezes Grupy Doradców ds. Bezpieczeństwa Internetu i CISO terenowy w globalnej firmie konsultingowej CYE.

Dokładnie sprawdzaj kandydatów w oparciu o swoje priorytety. Znajomość branży może być ważna, ponieważ skraca krzywą uczenia się i pomaga zapewnić, że potencjalny vCISO rozumie problemy Twojej firmy. Na przykład, jeśli Twoja firma jest organizacją finansową podlegającą ścisłym regulacjom, doświadczenie w tej dziedzinie będzie kluczowe. Jeśli Twoja firma jest skupiona na kliencie i nastawiona na sprzedaż, pomocne byłoby doświadczenie w tej dziedzinie. Przydatne jest także to, że kandydaci mają doświadczenie w firmach podobnej wielkości.

Ale chociaż kompatybilność jest ważna, odpowiedni vCISO może zastąpić część z niej. „Wielkość firmy i branża są ważne, ale nie przesądzają o zerwaniu transakcji” – mówi Eubanks. „Na przykład pracowałem w branży opieki zdrowotnej, finansowej i komunikacyjnej i widzę wiele podobieństw w innych branżach, takich jak produkcja. Wiele podobnych wymagań przenika wiele branż.”

Nie spiesz się i bądź realistą. „Widziałem wiele sytuacji, w których organizacje nie poświęcają czasu na znalezienie odpowiedniego typu osoby lub nie chcą uzyskać odpowiedniego rodzaju porady, jakiej potrzebują, aby znaleźć odpowiedni typ osoby” – mówi Puetz . „Jeśli będą się spieszyć, żeby kogoś sprowadzić, czasami stwierdzą, że to nie na miejscu”.

spot_img

Najnowsza inteligencja

spot_img

Prawa autorskie @ 2024 Plato Technologies Inc.