Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Mô hình vCISO có phù hợp với doanh nghiệp của bạn không?

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 139

Trong vài năm qua, công việc bảo vệ doanh nghiệp khỏi tin tặc và các vấn đề bảo mật liên quan đến tuân thủ đã trở nên khó sử dụng. Trong khi các công ty lớn hơn thường có giám đốc an ninh thông tin để xử lý những vấn đề này thì các công ty nhỏ hơn thường không có. Đôi khi đó là vì các doanh nghiệp nhỏ hơn không cảm thấy cần phải có một chiếc, và đôi khi đó hoàn toàn là một quyết định về ngân sách.

Việc biện minh cho việc không có CISO ngày càng khó khăn hơn, vì vậy nhiều doanh nghiệp chưa bao giờ có CISO đang lấp đầy khoảng trống bằng CISO ảo (vCISO). vCISO, đôi khi được gọi là CISO phân đoạn hoặc CISO-as-a-Service, thường là chuyên gia bảo mật thuê ngoài bán thời gian, giúp các doanh nghiệp bảo vệ cơ sở hạ tầng, dữ liệu, nhân sự và khách hàng của họ. Tùy thuộc vào nhu cầu của công ty, vCISO có thể tại chỗ hoặc từ xa, dài hạn hoặc ngắn hạn.

Có rất nhiều lý do tại sao các công ty lại đi theo con đường vCISO. Đôi khi, đó là một cuộc khủng hoảng nội bộ khi CISO của công ty bất ngờ từ chức và hội đồng quản trị cần thời gian để tìm một người mới lâu dài. Đôi khi, nó xoay quanh các yêu cầu kinh doanh hoặc quy định mới hoặc khuôn khổ an ninh mạng mà công ty cần tuân thủ, như Khung an ninh mạng 2.0 của NIST (dự kiến ​​vào năm 2024). Đôi khi một thành viên hội đồng quản trị đã quen với việc nhận thông tin tóm tắt từ CISO có thể yêu cầu vCISO.

Russell Eubanks, một vCISO, đồng thời là giảng viên của IANS Research và là giảng viên của Viện SANS, cho biết: “Một công ty nhỏ hơn có thể cần CISO nhưng chỉ vài ngày một tuần và kiểu mô hình phân phối đó là hoàn hảo cho vCISO”. . Ông nói thêm, điều quan trọng là tính linh hoạt. Nếu công ty cần vCISO 40 giờ một tuần trong một khoảng thời gian nào đó thì điều đó cũng không sao.

Ngoài các doanh nghiệp nhỏ hơn, các tổ chức trong SaaS, các ngành sản xuất, công nghiệp và chăm sóc sức khỏe cũng là những ứng cử viên sáng giá cho mô hình vCISO. Trong khi một số người tin rằng lĩnh vực tài chính cũng có thể phù hợp với vCISO, những người khác lại cho rằng lĩnh vực này được quản lý chặt chẽ đến mức các tổ chức tài chính nên có CISO toàn thời gian của riêng họ.

vCISO làm gì

Theo một Báo cáo đối tác quá giang. Các vCISO có kinh nghiệm sẽ hiểu rõ về rủi ro mạng, công nghệ và hiểu biết đầy đủ về doanh nghiệp để điều phối một chiến lược bảo mật hiệu quả.

vCISO cũng dành thời gian tư vấn cho các vCISO cố định. Nick Shevelyov, người đã có nhiều năm làm CIO và sau đó là CISO tại một ngân hàng khu vực San Francisco, cho biết ông thường xuyên gọi điện cho các vCISO để hỏi ý kiến ​​và học hỏi từ họ. Hiện nay, Shevelyov là cố vấn điều hành về an ninh mạng và vCISO điều hành công ty tư vấn cửa hàng riêng của mình.

Shevelyov cho biết: “Các CEO, CFO, CIO, CTO hoặc thậm chí CISO có thể tham gia vCISO để giúp họ nhanh chóng hiểu những gì họ cần ưu tiên và đánh giá xem công nghệ của họ có được cấu hình, cài đặt và kiến ​​trúc đúng hay không, điều này có thể gây ra các lỗ hổng an ninh mạng hay không”. “Là một CISO, tôi muốn học bất cứ điều gì có thể.”

Đôi khi, các công ty thậm chí còn thuê vCISO xác định vai trò trong công ty để vCISO cuối cùng có thể chuẩn bị cho CISO thường trực tiếp theo đảm nhận.

Nick Puetz, giám đốc điều hành thực hành bảo mật và quyền riêng tư tại Protoviti, một công ty tư vấn công nghệ cung cấp dịch vụ vCISO, cho biết: “Thường xuyên hơn không, tôi đã thấy các CISO phân đoạn có trình độ cao tự nghỉ việc vì họ đang chuẩn bị cho ai đó”.

Các công ty quan tâm đến việc tìm kiếm vCISO có rất nhiều lựa chọn. Ngoài việc hỏi các chuyên gia trong ngành mà họ biết, họ có thể tìm thấy rất nhiều ứng viên từ các công ty tư vấn lớn, các công ty chuyên về dịch vụ vCISO và nhà cung cấp dịch vụ được quản lý. Eubanks cho biết, điều quan trọng là các ứng viên phải có kinh nghiệm làm việc với tư cách là CISO, tốt nhất là trong cùng ngành với công ty đang tìm kiếm vCISO.

Tìm vCISO phù hợp

Một vài năm trước, khi một hiệp hội tín dụng cỡ trung bình bất ngờ mất đi người lãnh đạo mạng của mình vào tay một người đưa ra nhiều tiền hơn, họ thấy mình đang ở ngã ba đường. Chỉ với khoảng 600 nhân viên và không có kế hoạch kế nhiệm được chuẩn bị sẵn, liên minh tín dụng không có nhân viên nào có thể đảm nhận vai trò CISO. Vì vậy, trong khi nhóm điều hành chuẩn bị cho cuộc tìm kiếm CISO mới kéo dài nhiều tháng, họ đã chuyển sang công ty tư vấn toàn cầu Protiviti để cung cấp một CISO tạm thời bán thời gian.

Việc tìm kiếm vCISO phù hợp cho tổ chức tín dụng cỡ trung đó đã mất một số công sức của Protiviti.

Puetz nói: “Đó là việc ngồi lại với họ và hiểu những gì họ cần hoàn thành cũng như nơi chúng tôi sẽ bắt đầu cuộc hành trình”. “Với thông tin đó, chúng tôi có thể đề xuất các gói mà chúng tôi cung cấp có thể có ý nghĩa hoặc điều chỉnh điều gì đó cụ thể cho nhu cầu của họ.”

Biết những gì bạn cần. Deron Grzetich, lãnh đạo an ninh mạng quốc gia tại West Monroe, một công ty tư vấn kỹ thuật số, cho biết trước khi tìm hiểu các ứng viên tiềm năng, điều quan trọng là phải biết bạn đang tìm kiếm điều gì và xác định rõ yêu cầu của mình.

“Đôi khi bạn cần một người giống thuyền trưởng tàu du lịch hơn, không phải ở đó để thực hiện nhiều thay đổi mà để giữ cho con tàu tiếp tục di chuyển. Sau đó, có những CISO hiện trường, những người giống những nhà truyền giáo hơn, giúp giải quyết các vấn đề mạng có liên quan và là bộ mặt của công ty nhiều hơn,” Grzetich nói. “Nó phụ thuộc vào những gì bạn đang tìm kiếm và bạn đang ở đâu trong hành trình trưởng thành trên mạng của mình.”

Với ý nghĩ đó, hãy xác định rõ ràng phạm vi và kết quả mong đợi của vai trò vCISO. Ông nói thêm rằng việc xác định rõ những yếu tố này sẽ giúp đảm bảo rằng người đó phù hợp với vai trò đó.

Tìm ứng viên phù hợp. Có rất nhiều nơi để tìm, nhưng việc tìm đúng người—một người hiểu được động lực của công ty bạn và có kinh nghiệm phù hợp—có thể khiến bạn nản lòng. Trước hết, hãy đảm bảo rằng họ có kinh nghiệm làm CISO. Đó có thể là lời khuyên hiển nhiên nhưng nó rất quan trọng. “Có rất nhiều chuyên gia tư vấn cấp cao không thể tìm được một công việc tốt, vì vậy họ đã tung ra một loạt quảng cáo về dịch vụ của họ với tư cách là vCISO. Nhưng nếu tìm hiểu kỹ, bạn sẽ thấy họ chưa bao giờ chịu trách nhiệm về an ninh tại một tổ chức,” Ira Winkler, chủ tịch lâu năm của Nhóm Cố vấn Bảo mật Internet và CISO tại CYE, một công ty tư vấn toàn cầu, cảnh báo.

Kiểm tra ứng viên cẩn thận dựa trên các ưu tiên của bạn. Sự hiểu biết về ngành này có thể rất quan trọng vì nó làm giảm thời gian học tập và giúp đảm bảo rằng vCISO tiềm năng hiểu được các vấn đề của công ty bạn. Ví dụ: nếu công ty của bạn là một tổ chức tài chính được quản lý chặt chẽ thì kinh nghiệm trong lĩnh vực đó sẽ là chìa khóa. Nếu công ty của bạn tập trung nhiều vào khách hàng và định hướng bán hàng thì kinh nghiệm trong lĩnh vực đó sẽ rất hữu ích. Việc ứng viên có kinh nghiệm làm việc tại các công ty có quy mô tương tự cũng rất hữu ích.

Tuy nhiên, mặc dù khả năng tương thích là quan trọng nhưng vCISO phù hợp có thể ghi đè một số tính năng đó. Eubanks cho biết: “Quy mô của công ty và ngành dọc rất quan trọng, nhưng chúng không phải là yếu tố phá vỡ thỏa thuận”. “Ví dụ: tôi đã từng làm việc trong ngành chăm sóc sức khỏe, tài chính và truyền thông và tôi có thể thấy nhiều điểm tương đồng trong các ngành khác như sản xuất. Nhiều yêu cầu tương tự tràn ngập nhiều ngành công nghiệp.”

Đừng vội vàng trong quá trình và hãy thực tế. Puetz nói: “Tôi đã thấy nhiều tình huống mà các tổ chức không dành thời gian để tìm đúng người hoặc họ không sẵn lòng tìm đúng người, nhận được lời khuyên mà họ cần để tìm đúng người”. . “Nếu họ vội vàng đưa ai đó vào, đôi khi họ sẽ thấy rằng điều đó không phù hợp”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.