This post is also available in: Português Español
Para várias empresas, contratar um Diretor de Segurança da Informação (CISO na sigla em inglês) envolve custos proibitivos e, para quem pode pagar, é difícil recrutar e reter os mais adequados. Uma alternativa então é buscar um CISOaaS, que é a terceirização do CISO.
Ao fazer esse tipo de contratação para gerenciar seu programa de segurança remotamente, as empresas obtêm acesso a profissionais e recursos que não possuem internamente, permitindo que acompanhe melhor as demandas de conformidade e segurança da informação. O CISOaaS também oferece consultorias de conformidade e orienta o programa de segurança da informação da empresa.
Também chamado de Virtual CISO (ou vCISO), O CISOaaS ajudará a empresa a reconhecer a maturidade atual de sua segurança da informação, o ambiente de ameaças, o que precisa ser protegido e o nível de proteção necessário, bem como os requisitos regulatórios que devem ser atendidos. Além disso, determinados ajustes na política de segurança da informação podem ser sugeridos, garantindo que os fundamentos sejam melhorados, aplicados e preservados. Assim, há a possibilidade de as ameaças serem minimizadas, e a maturidade da segurança da informação pode ser aprimorada.
Benefícios de um CISOaaS
Como um terceirizado externo, o vCISO pode avaliar o programa de segurança existente de forma mais objetiva do que um funcionário interno. Além disso, há a questão do custo-benefício. O pagamento conforme o uso permite que as empresas desembolsem valores relativos apenas ao tempo e aos serviços que utilizam – lembrando que um vCISO geralmente é mais barato do que ter um CISO como funcionário contratado.
No curto prazo, os vCISOs podem tornar as empresas mais seguras ao identificar riscos imediatos, introduzindo ou reforçando os controles. A longo prazo, podem ajudar a estabelecer as bases para um futuro programa de segurança interno, por meio de treinamento e aprimoramento de processos e infraestrutura centrais.
Responsabilidades de um CISOaaS
Na maioria das vezes, o CISOaaS tem as mesmas tarefas que um CISO interno. Isso inclui:
- Conscientização e treinamento para segurança;
- Proteção da confidencialidade, incorporação e disponibilidade dos dados;
- Desenvolvimento de práticas seguras para negócios e comunicação;
- Criação de estratégias de longo prazo no que se refere a segurança cibernética;
- Relatórios de atividades de segurança;
- Operações de Monitoramento de Segurança;
- Definição de métricas para avaliar o progresso no programa;
- Gestão de pessoal e relacionamento com fornecedores;
- Integração de outros provedores de segurança de terceiros e seu gerenciamento.
Como os provedores de CISOaaS atendem a vários clientes, os vCISOs também são responsáveis por se ajustar a cada empresa e atendê-los de acordo com suas necessidades específicas. Para ter um atendimento eficaz e conhecer as necessidades do cliente, uma equipe CISOaaS precisa ter boas habilidades interpessoais.
Requisitos
Os CISOs virtuais têm certos requisitos de trabalho semelhantes aos requisitos de um CISO interno convencional. Ambos devem ter fortes habilidades de liderança e uma compreensão profunda de sistemas de informação e segurança. Eles também devem ser capazes de comunicar efetivamente seus conhecimentos avançados de segurança e TI a colegas com níveis variados de compreensão técnica.
Os fornecedores CISOaaS geralmente possuem certificações e credenciais de segurança cibernética que demonstram sua experiência no campo. Eles também podem oferecer programas de treinamento para que a equipe dos clientes ganhe esses certificados. Essas certificações podem incluir as seguintes:
- Certificação Certified Information Systems Security Professional (CISSP);
- Certificação Certified Information Systems Auditor (CISA);
- Certificação Certified Information Security Manager (CISM);
- Certificação em Controle de Riscos e Sistemas de Informação (CRISC);
- Certificação Certified Chief Information Security Officer (CCISO).
Quem precisa
Toda e qualquer empresa sem um CISO interno pode considerar o CISOaaS como uma opção viável. Existem ainda alguns casos adicionais:
- Startups sem recursos para contratar CISOs em tempo integral podem usar vCISOs por sua experiência e economia.
- As empresas que estão procurando novos CISOs permanentes podem contratar vCISOs temporariamente enquanto não encontram um profissional que se encaixe no perfil que procuram
- As organizações sob pressão para cumprir as metas de segurança ou conformidade podem se beneficiar da característica sob demanda dos vCISOs.
- Empresas sem uma equipe de segurança permanente que desejam estabelecer as bases para um novo programa de longo prazo pode começar com um vCISO.
- Diretores que desejam atualizar seus programas de segurança cibernética podem buscar a experiência de terceiros dos vCISOs.
- Locais que usam princípios de TI enxutos podem empregar temporariamente um vCISO em vez de investir em um profissional de tempo integral.
This post is also available in: Português Español