Фраза дня: CISO как услуга (vCISO, виртуальный CISO, дробный CISO)

Что такое CISO как услуга (CISOaaS)?
CISO как услуга (CISOaaS) - это аутсорсинг CISO (главного специалиста по информационной безопасности) и функций руководства информационной безопасностью стороннему провайдеру. Нанимая стороннего поставщика для удаленного управления своей программой безопасности, организация получает доступ к персоналу и ресурсам, которых у нее нет, что позволяет ей лучше соответствовать требованиям информационной безопасности и соблюдения нормативных требований.

CISOaaS часто оплачивается по подписке или по факту использования, как и многие модели XaaS. Также, как и многие модели XaaS, предложения CISOaaS могут быть полностью удаленными или могут представлять собой гибридную модель, в которой эксперты поставщика работают с существующей группой безопасности организации как удаленно, так и на месте.

В современной организации важно иметь надежное лидерство в области безопасности, поскольку цифровая трансформация увеличивает общую широту уязвимостей организации. Но нехватка навыков в области кибербезопасности в масштабах всей отрасли означает, что доступных квалифицированных руководителей трудно найти и легко потерять. Высокий уровень стресса также способствует текучести кадров по информационной безопасности, что приводит к тому, что многие переходят из одной организации в другую. CISOaaS обеспечивает потенциальное решение кадровых проблем, предоставляя доступ к экономически эффективным лидерам в области безопасности по мере необходимости.

CISOaaS также может называться дробным или виртуальным CISO (vCISO).

Обязанности CISO-as-a-service
У CISOaaS в основном те же обязанности, что и у внутреннего директора по информационной безопасности. К ним относятся следующие:

• защита конфиденциальности, интеграции и доступности данных;
• разработка долгосрочной стратегии кибербезопасности;
• разработка программ корпоративного управления, рисков и комплаенс;
• оценка рисков;
• управление рисками;
• осведомленность о безопасности и обучение;
• разработка безопасных методов ведения бизнеса и связи;
• отчетность по охранным операциям;
• мониторинг охранных операций;
• определение показателей для измерения успеха программы;
• управление взаимоотношениями с персоналом и поставщиками; а также
• интеграция и управление другими сторонними сервисами безопасности.

Провайдеры CISOaaS обслуживают сразу несколько предприятий. Поэтому vCISO должен обладать хорошими навыками работы с людьми и уметь адаптироваться, понимать и удовлетворять уникальные потребности каждого клиента.

Требования к работе и сертификаты CISO-as-a-service
Виртуальные директора по информационной безопасности предъявляют определенные требования к работе, которые полностью соответствуют требованиям традиционного внутреннего директора по информационной безопасности.

Виртуальные директора по информационной безопасности должны обладать сильными лидерскими качествами и глубоким пониманием информационных систем и безопасности. Они также должны уметь эффективно передавать свои комплексные знания в области безопасности и ИТ коллегам с разным уровнем технических знаний.

Поставщики CISOaaS часто демонстрируют сертификаты и учетные данные по кибербезопасности, которые демонстрируют их опыт в этой области. Они также могут предлагать программы обучения персоналу клиентов, чтобы они сами получили эти сертификаты. Такие сертификаты могут включать следующее:

• Сертификат сертифицированного специалиста по безопасности информационных систем (CISSP);
• Сертификация сертифицированного аудитора информационных систем (CISA);
• Сертификация сертифицированного менеджера по информационной безопасности (CISM);
• Сертифицирован в области управления рисками и информационными системами (CRISC); а также
• Сертификация Certified Chief Information Security Officer (CCISO).

Преимущества использования CISO в качестве услуги
Использование виртуального CISO может иметь как плюсы, так и минусы. Потенциальные преимущества найма CISOaaS включают следующее:

• Беспристрастный анализ. Как внешняя третья сторона, vCISO может оценивать существующую программу безопасности организации более объективно, чем внутренний сотрудник.
• Экономическая эффективность. Ценообразование с оплатой по мере использования позволяет организациям оплачивать только время и услуги, которые они используют. VCISO обычно значительно дешевле, чем наличие штатного директора по информационной безопасности (CISO), и позволяет сэкономить на капитальных затратах.
• Обслуживание по запросу. Использование поставщика услуг обеспечивает постоянную и гибкую доступность ресурсов безопасности. По мере изменения требований клиенты могут соответствующим образом изменять свои услуги.
• Долгосрочные и краткосрочные выгоды. В краткосрочной перспективе vCISO могут сделать организации более безопасными, выявляя непосредственные риски и вводя или ужесточая меры контроля. В долгосрочной перспективе они могут помочь заложить основу для будущей программы внутренней безопасности путем обучения и улучшения основных процессов и инфраструктуры.
• Опыт. Многие vCISO имеют обширный опыт работы с широким спектром разнообразных организаций.

Одним из недостатков найма vCISO является то, что они, вероятно, будут обслуживать и другие организации. Это потенциально может привести к проблемам с лояльностью, своевременным ответом и владением риском в случае нарушения. Внутренний директор по информационной безопасности - лучший вариант для организаций, которым нужен сотрудник без каких-либо других внешних обязательств.

Кроме того, как отметил аналитик Gartner Сэм Оляей, любой может претендовать на звание vCISO. Это означает, что организации, заинтересованные в CISOaaS, должны выполнить свою домашнюю работу, чтобы найти кандидатов с необходимой квалификацией, опытом и возможностями.

Определение того, нужен ли вам CISO как услуга
Любая организация, не имеющая собственного директора по информационной безопасности, может рассматривать CISOaaS как жизнеспособный вариант. Ниже приведены несколько сценариев, в которых это может иметь место:

• Стартапы, у которых нет ресурсов для найма ИТ-директоров на полную ставку, могут использовать vCISO для повышения их квалификации и экономической эффективности.
• Организации, которые находятся в процессе поиска новых постоянных руководителей по информационной безопасности, могут временно нанять vCISO, чтобы заполнить пробел.
• Организации, которым необходимо обеспечить безопасность или соответствие требованиям, могут извлечь выгоду из vCISO по требованию.
• Организации, желающие обновить свои программы кибербезопасности, могут обратиться за помощью к сторонним экспертам vCISO.
• Организации, использующие принципы бережливого ИТ, могут временно нанять vCISO, а не инвестировать в штатную должность.
• Организация без постоянной группы безопасности, которая хочет заложить основу для новой долгосрочной программы, может начать работу с vCISO.

Предложения CISO-as-a-service
Предложения CISO-as-a-service обычно включают оплату по мере использования и по запросу. Зачастую они оплачиваются по годовой подписке с использованием гонорара. Затем оговаривается количество времени, которое vCISO проводит на площадке, и фиксируется фиксированное количество дней или часов в году. Это зависит от предложений поставщика и потребностей организации-заказчика.

Иногда vCISO нанимают для краткосрочного исправления проблем безопасности; в других случаях их нанимают для долгосрочных решений, таких как разработка всей программы безопасности компании.

Директора по информационной безопасности (CISO) - одни из самых высокооплачиваемых профессионалов в области ИТ-безопасности. Наем vCISO часто бывает значительно дешевле из-за этой модели оплаты. Организации могут тратить от 100 000 до 200 000 долларов в год на удержание собственных талантов, тогда как vCISO обычно стоит меньше половины этой суммы.