¿Es el modelo VCISO adecuado para su negocio?

En los últimos años, la tarea de proteger a las empresas de los piratas informáticos y de los problemas de seguridad relacionados con el cumplimiento se ha vuelto, como mínimo, difícil de manejar. Si bien las empresas más grandes suelen tener directores de seguridad de la información para manejar estos problemas, las empresas más pequeñas a menudo no lo hacen. A veces se debe a que las empresas más pequeñas no han sentido la necesidad de tener uno y, a veces, es puramente una decisión presupuestaria.

Cada vez es más difícil justificar la falta de un CISO, por lo que muchas empresas que nunca han tenido un CISO están llenando el vacío con un CISO virtual (vCISO). Un vCISO, a veces denominado CISO fraccionado o CISO como servicio, suele ser un experto en seguridad subcontratado a tiempo parcial que ayuda a las empresas a proteger su infraestructura, datos, personal y clientes. Dependiendo de las necesidades de la empresa, los vCISO pueden ser presenciales o remotos, de largo o corto plazo.

Hay muchas razones por las que las empresas optan por la ruta vCISO. A veces se trata de una crisis interna en la que el CISO de una empresa ha dimitido inesperadamente y la junta directiva necesita tiempo para encontrar uno nuevo y permanente. Otras veces, gira en torno a nuevos requisitos regulatorios o comerciales o a un marco de ciberseguridad que la empresa debe cumplir, como Marco de ciberseguridad 2.0 del NIST (previsto para 2024). A veces, un miembro de la junta acostumbrado a recibir información del CISO puede solicitar un vCISO.

"Una empresa más pequeña puede necesitar un CISO, pero solo unos pocos días a la semana, y ese tipo de modelo de entrega es perfecto para un vCISO", dice Russell Eubanks, un vCISO que también forma parte del cuerpo docente de IANS Research e instructor del Instituto SANS. . La clave es la flexibilidad, añadió. Si la empresa necesita el vCISO durante 40 horas a la semana durante un período de tiempo, también está bien.

Además de las empresas más pequeñas, las organizaciones de los sectores SaaS, manufacturero, industrial y sanitario también son buenos candidatos para el modelo vCISO. Si bien algunos creen que el ámbito financiero también puede ser una buena opción para los vCISO, otros dicen que el área está tan fuertemente regulada que las instituciones financieras deberían tener sus propios CISO de tiempo completo.

Qué hacen los vCISO

Las tareas más comunes que realizan los vCISO para las empresas incluyen Gobernanza, Riesgo y Cumplimiento (GRC), desarrollar y ejecutar planes estratégicos y evaluar y mejorar la madurez de la seguridad, según un Informe de socios de enganche. Los vCISO experimentados comprenderán los riesgos cibernéticos, la tecnología y lo suficiente sobre el negocio para orquestar una estrategia de seguridad eficaz.

Los vCISO también dedican tiempo a asesorar a los vCISO permanentes. Nick Shevelyov, quien pasó años como CIO y luego CISO en un banco del área de San Francisco, dice que rutinariamente llamaba a vCISO para analizar sus ideas y aprender de ellos. En la actualidad, Shevelyov es asesor ejecutivo de ciberseguridad y vCISO y dirige su propia consultoría boutique.

"Los CEO, CFO, CIO, CTO o incluso CISO pueden contratar un vCISO para que los ayude a comprender rápidamente qué necesitan priorizar y evaluar si su tecnología está configurada, instalada y diseñada correctamente, lo que puede causar vulnerabilidades de ciberseguridad", dice Shevelyov. "Como CISO, quería aprender todo lo que pudiera".

A veces, las empresas incluso contratan a un vCISO para definir el rol dentro de la empresa, de modo que el vCISO pueda eventualmente preparar al próximo CISO permanente para que asuma el control.

"La mayoría de las veces, he visto CISO fraccionales altamente calificados quedarse sin trabajo porque están preparando a alguien", dice Nick Puetz, director gerente de la práctica de seguridad y privacidad de Protoviti, una consultoría de tecnología que brinda servicios vCISO.

Las empresas interesadas en encontrar un vCISO tienen muchas opciones. Además de preguntar a los expertos de la industria que conocen, pueden encontrar muchos candidatos desde grandes firmas de consultoría, firmas boutique especializadas en servicios vCISO y proveedor de servicios gestionados. La clave, dice Eubanks, es que los candidatos tengan experiencia trabajando como CISO, preferiblemente en la misma industria que la empresa que busca el vCISO.

Encontrar el vCISO adecuado

Hace unos años, cuando una cooperativa de crédito de tamaño mediano perdió inesperadamente a su líder cibernético debido a uno que ofrecía más dinero, se encontró en una encrucijada. Con sólo 600 empleados y sin un plan de sucesión preparado, la cooperativa de crédito no tenía a nadie en su personal que pudiera asumir el rol de CISO. Entonces, mientras el equipo ejecutivo se preparaba para una búsqueda de meses de un nuevo CISO, recurrió a la consultora global Protiviti para que le proporcionara un CISO temporal a tiempo parcial.

Encontrar el vCISO adecuado para esa cooperativa de crédito de tamaño mediano requirió algo de trabajo por parte de Protiviti.

"Se trata de sentarse con ellos y comprender lo que necesitan lograr y dónde comenzaríamos el viaje", dice Puetz. "Con esa información, podemos sugerir paquetes que ofrecemos que podrían tener sentido o adaptar algo específicamente a sus necesidades".

Sepa lo que necesita. Antes incluso de sumergirse en candidatos potenciales, es importante saber lo que está buscando y definir sus requisitos, dice Deron Grzetich, líder nacional de ciberseguridad en West Monroe, una firma de consultoría digital.

“A veces se necesita a alguien que sea más como el capitán de un crucero, que no esté ahí para hacer muchos cambios sino para mantener el tren en movimiento. Luego están los CISO de campo, que son más bien evangelistas que ayudan a resolver problemas cibernéticos relevantes y son más bien una cara de la empresa”, dice Grzetich. "Depende de lo que estés buscando y de dónde te encuentres en tu viaje de madurez cibernética".

Teniendo esto en cuenta, defina claramente el alcance y las expectativas de resultados del rol de vCISO. Tener estos factores definidos ayudará a garantizar que la persona esté alineada con el rol, añadió.

Encuentre candidatos apropiados. Hay muchos lugares donde buscar, pero encontrar a la persona adecuada (alguien que comprenda la dinámica de su empresa y tenga la experiencia adecuada) puede resultar frustrante. En primer lugar, asegúrese de que tenga experiencia como CISO. Puede parecer un consejo obvio, pero es importante. “Hay muchos consultores senior que no pueden encontrar un buen trabajo, por lo que publican un cartel anunciando sus servicios como vCISO. Pero si profundizas, descubrirás que nunca han estado a cargo de la seguridad de una organización”, advierte Ira Winkler, durante mucho tiempo presidente del Internet Security Advisor's Group y CISO de campo en CYE, una consultora global.

Examina cuidadosamente a los candidatos según tus prioridades. La familiaridad con la industria puede ser importante porque reduce la curva de aprendizaje y ayuda a garantizar que el vCISO potencial comprenda los problemas de su empresa. Por ejemplo, si su empresa es una organización financiera altamente regulada, la experiencia en ese ámbito sería clave. Si su empresa tiene un gran enfoque en el cliente y está impulsada por las ventas, sería útil tener experiencia en ese ámbito. También es útil que los candidatos tengan experiencia en empresas de tamaño similar.

Pero si bien la compatibilidad es importante, el vCISO adecuado puede anular parte de ella. "El tamaño de la empresa y el sector vertical son importantes, pero no son un factor decisivo", afirma Eubanks. “Por ejemplo, he trabajado en las industrias de salud, finanzas y comunicaciones, y puedo ver muchas similitudes en otras industrias como la manufactura. Muchos requisitos similares permean múltiples industrias”.

No apresures el proceso y sé realista. "He visto muchas situaciones en las que las organizaciones no se toman el tiempo para encontrar el tipo de persona adecuado, o no están dispuestas a obtener el tipo de asesoramiento adecuado que necesitan para encontrar el tipo de persona adecuado", dice Puetz. . "Si se apresuran a traer a alguien, a veces descubrirán que no encaja".

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/cyber-risk/is-the-vciso-model-right-for-your-organization

Inteligencia de datos generativa

Qué hacen los vCISO

Encontrar el vCISO adecuado

café vc

café vc

Información más reciente

café vc

🔴 ETF de Ethereum retrasados | Esta semana en cripto – 11 de marzo de 2024

Spotify bloquea silenciosamente las letras detrás de un muro de pago

Spotify bloquea silenciosamente las letras detrás de un muro de pago

Spotify bloquea silenciosamente las letras detrás de un muro de pago

El WTI se mantiene por encima de 79.00 dólares a la espera de los datos del NFP de EE.UU.