0
0
Os desafios de cibersegurança que as empresas enfrentam hoje são vastos, multidimensionais e rapidamente mudando. Exacerbando a questão está a evolução implacável dos atores de ameaças e sua capacidade de superar os controles de segurança sem esforço.
À medida que a tecnologia avança, as empresas sem um CISO em tempo integral estão lutando para manter o ritmo. Para muitos, encontrar, atrair, reter e pagar o nível de habilidades e experiência necessários está fora de alcance ou simplesmente irrealista. Digite o CISO virtual (vCISO). Esses especialistas sob demanda fornecem insights de segurança para as empresas de forma contínua e ajudam a garantir que as equipes de segurança tenham os recursos necessários para serem bem sucedidas.
Como um vCISO funciona
Normalmente, um engajamento com um vCISO é duradouro, mas em um modelo de entrega fracionada. Isso é muito diferente de uma abordagem orientada a projetos que requer um investimento maciço e resulta em uma pilha de entregas para a equipe interna implementar e manter. Um vCISO não só ajuda a formar a abordagem, definir o plano de ação e definir o roteiro, mas, importante, permanece engajado durante toda a implementação e bem nas fases de gestão em curso.
Os melhores contratos de vCISO são contratos de longo prazo, como de 12 a 24 meses. Normalmente, há um esforço inicial onde o vCISO está mais engajado nos primeiros meses para estabelecer um entendimento, desenvolver um roteiro e criar um ritmo com a equipe. Em seguida, seu apoio cai em um ritmo regular que pode variar de dois a três dias por semana ou cinco a dez dias por mês.
O que esperar de um vCISO
Ao trazer um vCISO a bordo, é importante que essa pessoa tenha três atributos fundamentais: ampla e ampla experiência no enfrentamento dos desafios de cibersegurança em muitos setores; perspicácia empresarial e a capacidade de absorver rapidamente modelos e estratégias de negócios complexos; e conhecimento de soluções tecnológicas e dinâmicas que podem ser exploradas para atender necessidades organizacionais específicas.
A primeira coisa em que um vCISO se concentrará é na priorização, começando por entender os riscos de uma empresa. Em seguida, organizarão ações que proporcionem maior influência positiva na mitigação desses riscos e, ao mesmo tempo, garantirão a sustentabilidade no programa. O objetivo é estabelecer uma abordagem de segurança que atenda aos maiores riscos para o negócio de forma que tenha poder de permanência e possa fornecer valor inerente a controles adicionais a jusante.
Com ampla experiência no espaço técnico, um vCISO pode levar em consideração todo o espectro de opções — aquelas existentes dentro do ambiente de negócios, produtos e serviços estabelecidos no mercado e novas soluções entrando no mercado. Apenas dentro desse contexto, um vCISO pode colaborar com a equipe técnica para aproveitar as soluções existentes e identificar melhorias que possam ser mais eficientes.
O Valor de um vCISO
Uma das descobertas mais comuns é que as empresas geralmente têm um grande portfólio de tecnologia de cibersegurança, mas muito pouco é totalmente implantado. Além disso, a maioria das equipes de tecnologia não está aproveitando todas as capacidades, muito menos se integrando com outros sistemas para obter maior valor. Os CISOs virtuais ajudam as empresas a economizar dinheiro explorando investimentos técnicos existentes que melhoram drasticamente a segurança. E, como a melhoria é focada nas ferramentas existentes, a transição para a equipe de TI e segurança é praticamente eliminada devido à familiaridade estabelecida com o meio ambiente.
Outro ponto de valor essencial de um vCISO é o acesso a uma visão informada e equilibrada sobre risco e conformidade. Embora a segurança cibernética seja dominada por partes móveis técnicas, a realidade é que o conselho, a liderança executiva e a equipe de gerenciamento precisam incorporar riscos cibernéticos e passivos relacionados no escopo geral de risco em todo o negócio em nível executivo. Nesse sentido, a liderança tem uma vasta gama de desafios, demandas e riscos concorrentes e alguns podem ser ainda mais impactantes do que a segurança cibernética.
Como convencer a equipe
executiva Um CEO está sob uma constante enxurrada de desafios, problemas, riscos e oportunidades. A segurança cibernética precisa fazer parte dessa fórmula. Se um dos valores fundamentais de ter um vCISO é obter insights significativos de risco cibernético, então a confiança e a confiança nessa pessoa são primordiais e precisam ser estabelecidas desde o início.
Outro desafio é a dinâmica da equipe — no coração de ser CEO está seu sucesso como líder. Introduzir o que é essencialmente um consultor pode ser um ajuste para a equipe. É importante que a contratação vCISO se encaixe na cultura e possa facilmente se integrar com todos da equipe, incluindo o CIO, CTO, CPO, CRO, etc.
A conversa com o CFO terá, compreensivelmente, um tom financeiro pesado. Para empresas que debatem entre um CISO em tempo integral ou um vCISO, é claro que uma má contratação permanente pode ser um erro muito caro, enquanto um erro de contratação em um vCISO pode ser rapidamente corrigido.
À medida que as organizações continuam a lidar com os subprodutos da digitalização e novos desafios de segurança que muitas vezes parecem insuperáveis, um vCISO pode ser um enorme valor. Além de oferecer um modelo eficiente e econômico, eles trazem muitas vantagens para empresas com menos riscos do que um recurso dedicado.
FONTE: DARK READING