Os Chief Information Security Officers (CISOs) são muito requisitado. Consequentemente, muitas organizações lutam para encontrar o pessoal necessário para preencher essas posições vitais. Se eles têm a sorte de encontrar candidatos, muitas vezes não podem pagar por eles. No entanto, eles precisam de um CISO mais do que nunca devido ao aumento de ataques de ransomware e violações de dados.
Os serviços do Virtual Chief Information Security Officer (vCISO) surgiram para preencher o vazio. Várias empresas de gerenciamento executivo de segurança cibernética, provedores de serviços gerenciados (MSPs) e provedores de serviços de segurança gerenciados (MSSPs) agora oferecem acesso a recursos executivos de segurança cibernética experientes e altamente qualificados.
No lugar de um CISO em tempo integral, algumas organizações pagam às empresas uma assinatura ou retenção para obter assistência cibernética especializada na forma de um vCISO, disse Alexandre Blanc, consultor estratégico e de segurança do provedor de serviços de segurança gerenciados VARS. Eles oferecem assistência de nível C na elaboração e implementação de estratégias para evitar violações, reduzir riscos e mitigar as consequências dos ataques. Eles avaliam o perfil de risco de segurança cibernética e ajudam a organização a criar um programa abrangente que englobe conformidade e segurança cibernética. Eles garantem que as organizações implementem medidas básicas de segurança para reduzir o risco de um ataque cibernético, bem como salvaguardas adequadas para proteger informações confidenciais.
Escassez de liderança em tecnologia
O serviço vCISO faz parte de uma tendência mais ampla, disse Greg Schulz, analista da StorageIO, uma empresa de consultoria de TI em Stillwater, Minnesota. Além dos serviços vCISO, há virtual chief information officer (vCIO) e virtual chief technology officer (vCTO). ) serviços que entraram recentemente no mercado. Tudo isso vem sob a bandeira geral de “liderança técnica como serviço”. Esses serviços oferecem especialistas experientes que “detêm” cargos de alto nível virtualmente por quantas horas por semana a organização precisar.
Os termos são flexíveis. Empresas como Fortium Partners, Ntiva e IT Support Guys oferecem vCISO, vCIO e outros cargos virtuais de TI de nível C. Mas a amplitude e a profundidade dos serviços variam consideravelmente de provedor para provedor. Alguns vão tão longe como informações estratégicas ou conselhos de segurança. Outros se envolvem na negociação de contratos com fornecedores de TI e ajudam no processo de seleção de produtos. O mais completo oferece acesso a um executivo virtual em tempo parcial. Além de ser muito mais barato do que contratar funcionários em tempo integral, muitas pequenas e médias empresas podem não precisar de um funcionário em tempo integral na função.
De todas as posições virtuais de nível C, o mercado vCISO é provavelmente o mais quente devido à disputa contínua por talentos de segurança cibernética, disse Schulz. Mesmo recém-formados em segurança cibernética podem ganhar uma soma de seis dígitos. Quanto mais alto no organograma você for, maior será a experiência e quanto melhores forem as certificações e qualificações, os salários continuarão subindo.
Algumas empresas de gerenciamento executivo de segurança cibernética e MSPs também oferecem acesso a equipes altamente qualificadas e experientes de consultores de segurança. Esses provedores com foco em segurança cibernética em vez de talentos gerais de TI de nível C incluem H2Cyber, Thrive e VARS. Todos fornecem assistência de segurança cibernética de nível C na elaboração e implementação de estratégias para evitar violações, reduzir riscos e mitigar as consequências dos ataques.
“Um vCISO permite que as organizações naveguem pelo número crescente de regulamentações de segurança cibernética, criando um programa abrangente de segurança cibernética responsável por conformidade e segurança”, disse Paul Horn, fundador e CEO da H2Cyber. “Os reguladores procurarão garantir que você tenha medidas básicas de segurança cibernética para reduzir o risco de um ataque cibernético, além de ter as salvaguardas necessárias para proteger as informações de clientes e clientes”.
A empresa de gerenciamento executivo de segurança cibernética da Horn fornece serviços vCISO, bem como serviços de segurança cibernética e gerenciamento de riscos. A empresa possui consultores próprios e oferece aos clientes serviços do tipo MSP para conformidade de segurança cibernética, antivírus e suporte à segurança cibernética.
“É apenas uma questão de tempo até que um órgão regulador ou um agente de ameaças chegue ao seu negócio”, disse Horn. “Os agentes de ameaças procuram explorar qualquer falta de salvaguardas básicas, independentemente do tamanho da empresa. Só porque uma organização está em conformidade não significa que ela seja segura. É um jogo de gerenciamento de risco.”
A H2Cyber ganha dinheiro com consultoria e experiência de nível C. Ele deixa os detalhes da TI para outros provedores e MSPs, como Barracuda para backup e Syxsense para gerenciamento de patches, a fim de liberar seu pessoal altamente treinado para se concentrar nas tarefas do vCISO. Como parte disso, a empresa ajuda seus clientes a pesquisar e avaliar diferentes soluções e implementá-las por vários parceiros MSP. Assim, a H2Cyber opera uma infraestrutura enxuta composta por serviços em nuvem via Microsoft Azure e Amazon Web Services. Ele aumenta um pequeno data center com serviços MSP, aproveitando produtos de marca branca sempre que possível. Seu foco permanece em consultoria de alto nível de risco cibernético para atender sua clientela.
pegadinhas vCISO
Nem todo mundo é tão organizado quanto o H2Cyber quando se trata da divisão do trabalho. Ele aproveita outros MSPs para aliviar a carga de tarefas gerais de TI. Mas quando os MSPs mais novos mergulham no espaço potencialmente lucrativo do vCISO, eles podem não ter o conhecimento necessário para fornecer esses serviços com competência. Mesmo aqueles com executivos qualificados à mão ficam sobrecarregados quando ultrapassam alguns clientes, disse Roy Azoulay, cofundador e COO do provedor vCISO Cynomi.
Para resolver esse dilema, foram desenvolvidas plataformas vCISO que buscam automatizar o aspecto prático da posição do CISO. Essas plataformas estão constantemente realizando e atualizando avaliações de risco da postura de risco de segurança cibernética. As descobertas são usadas para elaborar ou revisar planos de mitigação de riscos. Esses planos devem levar em consideração todas as nuances dos regulamentos e padrões aplicáveis para garantir a conformidade.
Provavelmente, é melhor, portanto, favorecer os provedores vCISO que aproveitam as plataformas vCISO em evolução que permitem dimensionar seus serviços. Plataformas como a Cynomi desenvolveram software que cuida da avaliação de riscos e do planejamento geral automaticamente e aproveita a inteligência artificial para levar em consideração as muitas variáveis introduzidas por vulnerabilidades, explorações, regulamentações, padrões e risco geral.
“Estamos vendo a demanda no espaço vCISO superando a oferta”, disse Azoulay. “A proposta de valor das plataformas vCISO é que elas permitem que os MSPs escalem seus serviços sem precisar dimensionar ou aprimorar a equipe.”
Essas plataformas vCISO automatizadas e com inteligência artificial avaliam continuamente a postura de segurança cibernética, geram automaticamente políticas personalizadas e planos de correção com tarefas acionáveis e gerenciam sua execução. Essas plataformas não substituem a experiência de um vCISO, disse Azoulay. Em vez disso, eles cuidam de tarefas manualmente intensivas que geram sobrecarga sempre que o MSP ou MSSP tenta escalar verticalmente. Eles armam o vCISO com uma riqueza de dados de avaliação e fornecem automaticamente ações sugeridas em sequências definidas que se alinham com os regulamentos e requisitos de conformidade. Isso permite que qualquer vCISO não apenas atenda muito mais clientes, mas também os atenda melhor.
Drew Robb é redator freelancer em Clearwater, Flórida, especializado em TI e negócios.
//(function(d, s, id){ // var js, fjs = d.getElementsByTagName(s)[0]; // if (d.getElementById(id)) {return;} // js = d.createElement(s); js.id = id; // js.src = "https://connect.facebook.net/en_US/sdk.js"; // fjs.parentNode.insertBefore(js, fjs); //}(document, 'script', 'facebook-jssdk')); function shrm_encodeURI(s) { return encodeURIComponent(s); } function RightsLinkPopUp() { var url = "https://s100.copyright.com/AppDispatchServlet"; var location = url + "?publisherName=" + shrm_encodeURI("shrm") + "&publication=" + shrm_encodeURI("Legal_Issues") + "&title=" + shrm_encodeURI("Justices Hear ERISA Reimbursement Case") + "&publicationDate=" + shrm_encodeURI("11/11/2015 12:00:00 AM") + "&contentID=" + shrm_encodeURI("6badda72-62e7-49e8-b4bd-ebbd02a72a17") + "&charCnt=" + shrm_encodeURI("7399") + "&orderBeanReset=" + shrm_encodeURI("True"); window.open(location, "RightsLink", "location=no,toolbar=no,directories=no,status=no,menubar=no,scrollbars=yes,resizable=yes,width=650,height=550"); }