CISO como serviço (vCISO, CISO virtual, CISO fracionário)

Views: 78
0 0
Read Time:5 Minute, 46 Second

O que é um CISO como serviço (CISOaaS)?

Um CISO como serviço (CISOaaS) é a terceirização do CISO (diretor de segurança da informação) e responsabilidades de liderança em segurança da informação para um provedor terceirizado. Ao contratar um provedor terceirizado para gerenciar seu programa de segurança remotamente, uma organização obtém acesso a funcionários e recursos que não possui internamente, permitindo que ela acompanhe melhor as demandas de segurança e conformidade da informação.

O CISOaaS é frequentemente pago por assinatura ou por uso, como muitos modelos XaaS. Também como muitos modelos XaaS, as ofertas de CISOaaS podem ser totalmente remotas ou podem ser um modelo híbrido no qual os especialistas do provedor trabalham com a equipe de segurança existente de uma organização remotamente e no local.

Ter uma liderança robusta em segurança é importante na organização moderna, pois a transformação digital aumenta a amplitude geral de vulnerabilidades de uma organização. Mas a escassez de habilidades de segurança cibernética em todo o setor significa que líderes de segurança acessíveis e qualificados são difíceis de encontrar e fáceis de perder.Altos níveis de estresse também alimentam a rotatividade de CISO, levando muitos a saltar de organização para organização. O CISOaaS fornece uma solução potencial para problemas de pessoal, fornecendo acesso a liderança de segurança econômica conforme necessário.

O modelo CISOaaS terceiriza algumas ou todas as responsabilidades de um CISO interno tradicional para um consultor terceirizado.
O papel de um CISO

Responsabilidades CISO como serviço

O CISOaaS tem principalmente as mesmas responsabilidades que um CISO interno. Estes incluem o seguinte:

  • protegendo a confidencialidade, integração e disponibilidade de dados;
  • desenvolvimento de estratégia de segurança cibernética a longo prazo;
  • desenvolvimento de programas de governança, risco e conformidade;
  • avaliação de risco;
  • gerenciamento de riscos;
  • conscientização e treinamento em segurança;
  • desenvolvendo práticas seguras de negócios e comunicação;
  • relatórios sobre operações de segurança;
  • monitorando operações de segurança;
  • definindo métricas para medir o sucesso do programa;
  • gerenciamento de pessoal e relações com fornecedores; e
  • integração e gerenciamento de outros serviços de segurança de terceiros.

Os provedores CISOaaS atendem a várias empresas de uma só vez. Um vCISO deve, portanto, ter boas habilidades de pessoas e ser capaz de se adaptar, entender e atender às necessidades exclusivas de cada cliente.

Requisitos e certificações do trabalho CISO-as-a-service

Os CISOs virtuais têm certos requisitos de trabalho que refletem de perto os requisitos de um CISO interno tradicional.

Os CISOs virtuais devem ter fortes habilidades de liderança e uma compreensão profunda dos sistemas de informação e segurança. Eles também devem ser capazes de comunicar efetivamente seus complexos conhecimentos de segurança e TI a colegas com diferentes níveis de compreensão técnica.

Os fornecedores de CISOaaS geralmente exibem certificações e credenciais de segurança cibernética que demonstram sua experiência no campo. Eles também podem oferecer programas de treinamento para a equipe dos clientes obter esses próprios certificados. Tais certificações podem incluir o seguinte:

  • Certificação Certified Information Systems Security Professional (CISSP);
  • Certificação Certified Information Systems Auditor (CISA);
  • Certificação Certified Information Security Manager (CISM);
  • Certificado em Certificação de Controle de Risco e Sistemas de Informação (CRISC); e
  • Certificação Certified Chief Information Security Officer (CCISO).

Benefícios de empregar um CISO como serviço

Usar um CISO virtual pode ter prós e contras. Os benefícios potenciais da contratação de um CISOaaS incluem o seguinte:

  • Análise imparcial. Como um terceiro externo, o vCISO pode ser capaz de avaliar o programa de segurança existente de uma organização de forma mais objetiva do que um funcionário interno.
  • Custo-benefício. Os preços Pay-as-you-go permitem que as organizações paguem apenas pelo tempo e serviços que usam. Um vCISO geralmente é drasticamente mais barato do que ter um CISO assalariado internamente e economiza em despesas de capital.
  • Serviço sob demanda. O uso de um provedor de serviços permite a disponibilidade constante e flexível de recursos de segurança. À medida que as demandas mudam, os clientes podem alterar seus serviços de acordo.
  • Benefícios de longo e curto prazo. A curto prazo, os vCISOs podem tornar as organizações mais seguras, identificando riscos imediatos e introduzindo ou apertando controles. A longo prazo, eles podem ajudar a estabelecer as bases para um futuro programa de segurança interno por meio de treinamento e aprimoramento dos principais processos e infraestrutura.
  • Experiência. Muitos vCISOs têm uma vasta experiência trabalhando com uma ampla gama de organizações diversas.

Uma das desvantagens de contratar um vCISO é que eles provavelmente também estarão atendendo outras organizações. Isso pode potencialmente levar a problemas de lealdade, respostas oportunas e propriedade de risco se ocorrer uma violação. Um CISO interno é uma opção melhor para organizações que precisam de um funcionário sem outros compromissos externos.

Além disso, como o analista da Gartner Sam Olyaei apontou, qualquer um pode afirmar ser um vCISO. Isso significa que as organizações interessadas no CISOaaS devem fazer sua lição de casa para encontrar candidatos com as qualificações, experiência e capacidades necessárias.

Determinando se você precisa de um CISO como serviço

Qualquer organização sem um CISO internamente poderia considerar o CISOaaS como uma opção viável. A seguir estão vários cenários em que esse pode ser o caso:

  • Startups sem os recursos para contratar CISOs em tempo integral podem usar vCISOs por sua experiência e custo-benefício.
  • As organizações que estão em processo de procurar novos CISOs permanentes podem contratar vCISOs temporariamente para preencher a lacuna.
  • Organizações sob pressão para atingir as metas de segurança ou conformidade podem se beneficiar da natureza sob demanda dos vCISOs.
  • Organizações que desejam atualizar seus programas de segurança cibernética podem buscar a experiência de terceiros dos vCISOs.
  • As organizações que usam princípios de TI enxuta podem empregar temporariamente um vCISO em vez de investir em uma posição em tempo integral.
  • Uma organização sem uma equipe de segurança permanente que queira estabelecer as bases para um novo programa de longo prazo pode começar com um vCISO.

Ofertas CISO-as-a-service

As ofertas CISO-as-a-service geralmente são pagas conforme o uso e sob demanda. Eles são frequentemente pagos anualmente por assinatura usando um retentor. A quantidade de tempo que o vCISO passa no local é então negociada e o retentor é baseado em um número definido de dias ou horas por ano. Isso varia de acordo com as ofertas do fornecedor e as necessidades da organização do cliente.

Às vezes, os vCISOs são contratados para correções de curto prazo para problemas de segurança; outras vezes eles são contratados para soluções de longo prazo, como desenvolver todo o programa de segurança de uma empresa.

Os CISOs são alguns dos profissionais mais bem pagos em segurança de TI. Contratar um vCISO geralmente é drasticamente mais barato por causa desse modelo de pagamento. As organizações podem gastar entre US$ 100.000 e US$ 200.000 por ano na retenção de talentos internos, enquanto um vCISO geralmente custa menos da metade disso.

Algumas organizações que oferecem CISOaaS incluem CISO Fracionário, Lares, ITgovernance, Truvantis e iSecure.

FONTE: TECHTARGET

Previous post Práticas diárias de segurança cibernética inadequadas entre muitos consumidores on-line
Next post Organizações perdendo negócios devido a preocupações de segurança de produtos conectados

Deixe um comentário