Выберите регион

Санкт-Петербург Ленинградская область Коми республика Архангельская область Вологодская область Мурманская область Новгородская область Псковская область Калининградская область Ненецкий автономный округ Крым республика Севастополь Днепропетровская область Алтайский край Минская область Чеченская республика Ханты-Мансийский автономный округ Карелия республика Марий Эл республика Самарская область Татарстан республика Тыва республика Ульяновская область Ямало-Ненецкий автономный округ Камчатский край город Киев Сахалинская область Еврейская автономная область Алтай республика Одесская область Амурская область Хабаровский край Витебская область Приморский край Саха (Якутия) республика Красноярский край Бурятия республика Брянская область Моголёвская область Дагестан республика Забайкальский край Карагандинская область Новосибирская область Калмыкия республика Астраханская область Кабардино-Балкарская республика Карачаево-Черкесская республика Адыгея республика Ингушетия республика Башкортостан республика Белгородская область Хакасия республика Ивановская область Северная Осетия - Алания республика Костромская область Мордовия республика Курская область Орловская область Смоленская область Калужская область Чувашская республика Челябинская область Иркутская область Поморский регион Кировская область Кемеровская область /Кузбас/ Краснодарский край Липецкая область город Клайпеда Тамбовская область Нижегородская область Омская область Оренбургская область Пензенская область Пермский край Ростовская область Рязанская область Саратовская область Ставропольский край Свердловская область Тюменская область Томская область Тульская область Тверская область Удмуртская республика Волгоградская область Воронежская область Ярославская область Московская область Москва

Фраза дня: CISO как услуга (vCISO, виртуальный CISO, дробный CISO)

13 октября 2021

Что такое CISO как услуга (CISOaaS)?
CISO как услуга (CISOaaS) - это аутсорсинг CISO (главного специалиста по информационной безопасности) и функций руководства информационной безопасностью стороннему провайдеру. Нанимая стороннего поставщика для удаленного управления своей программой безопасности, организация получает доступ к персоналу и ресурсам, которых у нее нет, что позволяет ей лучше соответствовать требованиям информационной безопасности и соблюдения нормативных требований.

CISOaaS часто оплачивается по подписке или по факту использования, как и многие модели XaaS. Также, как и многие модели XaaS, предложения CISOaaS могут быть полностью удаленными или могут представлять собой гибридную модель, в которой эксперты поставщика работают с существующей группой безопасности организации как удаленно, так и на месте.

В современной организации важно иметь надежное лидерство в области безопасности, поскольку цифровая трансформация увеличивает общую широту уязвимостей организации. Но нехватка навыков в области кибербезопасности в масштабах всей отрасли означает, что доступных квалифицированных руководителей трудно найти и легко потерять. Высокий уровень стресса также способствует текучести кадров по информационной безопасности, что приводит к тому, что многие переходят из одной организации в другую. CISOaaS обеспечивает потенциальное решение кадровых проблем, предоставляя доступ к экономически эффективным лидерам в области безопасности по мере необходимости.

CISOaaS также может называться дробным или виртуальным CISO (vCISO).

Обязанности CISO-as-a-service
У CISOaaS в основном те же обязанности, что и у внутреннего директора по информационной безопасности. К ним относятся следующие:

  • защита конфиденциальности, интеграции и доступности данных;
  • разработка долгосрочной стратегии кибербезопасности;
  • разработка программ корпоративного управления, рисков и комплаенс;
  • оценка рисков;
  • управление рисками;
  • осведомленность о безопасности и обучение;
  • разработка безопасных методов ведения бизнеса и связи;
  • отчетность по охранным операциям;
  • мониторинг охранных операций;
  • определение показателей для измерения успеха программы;
  • управление взаимоотношениями с персоналом и поставщиками; а также
  • интеграция и управление другими сторонними сервисами безопасности.

Провайдеры CISOaaS обслуживают сразу несколько предприятий. Поэтому vCISO должен обладать хорошими навыками работы с людьми и уметь адаптироваться, понимать и удовлетворять уникальные потребности каждого клиента.

Требования к работе и сертификаты CISO-as-a-service
Виртуальные директора по информационной безопасности предъявляют определенные требования к работе, которые полностью соответствуют требованиям традиционного внутреннего директора по информационной безопасности.

Виртуальные директора по информационной безопасности должны обладать сильными лидерскими качествами и глубоким пониманием информационных систем и безопасности. Они также должны уметь эффективно передавать свои комплексные знания в области безопасности и ИТ коллегам с разным уровнем технических знаний.

Поставщики CISOaaS часто демонстрируют сертификаты и учетные данные по кибербезопасности, которые демонстрируют их опыт в этой области. Они также могут предлагать программы обучения персоналу клиентов, чтобы они сами получили эти сертификаты. Такие сертификаты могут включать следующее:

  • Сертификат сертифицированного специалиста по безопасности информационных систем (CISSP);
  • Сертификация сертифицированного аудитора информационных систем (CISA);
  • Сертификация сертифицированного менеджера по информационной безопасности (CISM);
  • Сертифицирован в области управления рисками и информационными системами (CRISC); а также
  • Сертификация Certified Chief Information Security Officer (CCISO).

Преимущества использования CISO в качестве услуги
Использование виртуального CISO может иметь как плюсы, так и минусы. Потенциальные преимущества найма CISOaaS включают следующее:

  • Беспристрастный анализ. Как внешняя третья сторона, vCISO может оценивать существующую программу безопасности организации более объективно, чем внутренний сотрудник.
  • Экономическая эффективность. Ценообразование с оплатой по мере использования позволяет организациям оплачивать только время и услуги, которые они используют. VCISO обычно значительно дешевле, чем наличие штатного директора по информационной безопасности (CISO), и позволяет сэкономить на капитальных затратах.
  • Обслуживание по запросу. Использование поставщика услуг обеспечивает постоянную и гибкую доступность ресурсов безопасности. По мере изменения требований клиенты могут соответствующим образом изменять свои услуги.
  • Долгосрочные и краткосрочные выгоды. В краткосрочной перспективе vCISO могут сделать организации более безопасными, выявляя непосредственные риски и вводя или ужесточая меры контроля. В долгосрочной перспективе они могут помочь заложить основу для будущей программы внутренней безопасности путем обучения и улучшения основных процессов и инфраструктуры.
  • Опыт. Многие vCISO имеют обширный опыт работы с широким спектром разнообразных организаций.

Одним из недостатков найма vCISO является то, что они, вероятно, будут обслуживать и другие организации. Это потенциально может привести к проблемам с лояльностью, своевременным ответом и владением риском в случае нарушения. Внутренний директор по информационной безопасности - лучший вариант для организаций, которым нужен сотрудник без каких-либо других внешних обязательств.

Кроме того, как отметил аналитик Gartner Сэм Оляей, любой может претендовать на звание vCISO. Это означает, что организации, заинтересованные в CISOaaS, должны выполнить свою домашнюю работу, чтобы найти кандидатов с необходимой квалификацией, опытом и возможностями.

Определение того, нужен ли вам CISO как услуга
Любая организация, не имеющая собственного директора по информационной безопасности, может рассматривать CISOaaS как жизнеспособный вариант. Ниже приведены несколько сценариев, в которых это может иметь место:

  • Стартапы, у которых нет ресурсов для найма ИТ-директоров на полную ставку, могут использовать vCISO для повышения их квалификации и экономической эффективности.
  • Организации, которые находятся в процессе поиска новых постоянных руководителей по информационной безопасности, могут временно нанять vCISO, чтобы заполнить пробел.
  • Организации, которым необходимо обеспечить безопасность или соответствие требованиям, могут извлечь выгоду из vCISO по требованию.
  • Организации, желающие обновить свои программы кибербезопасности, могут обратиться за помощью к сторонним экспертам vCISO.
  • Организации, использующие принципы бережливого ИТ, могут временно нанять vCISO, а не инвестировать в штатную должность.
  • Организация без постоянной группы безопасности, которая хочет заложить основу для новой долгосрочной программы, может начать работу с vCISO.

Предложения CISO-as-a-service
Предложения CISO-as-a-service обычно включают оплату по мере использования и по запросу. Зачастую они оплачиваются по годовой подписке с использованием гонорара. Затем оговаривается количество времени, которое vCISO проводит на площадке, и фиксируется фиксированное количество дней или часов в году. Это зависит от предложений поставщика и потребностей организации-заказчика.

Иногда vCISO нанимают для краткосрочного исправления проблем безопасности; в других случаях их нанимают для долгосрочных решений, таких как разработка всей программы безопасности компании.

Директора по информационной безопасности (CISO) - одни из самых высокооплачиваемых профессионалов в области ИТ-безопасности. Наем vCISO часто бывает значительно дешевле из-за этой модели оплаты. Организации могут тратить от 100 000 до 200 000 долларов в год на удержание собственных талантов, тогда как vCISO обычно стоит меньше половины этой суммы.