This post is also available in: Português Español
Para muchas empresas, contratar a un director de seguridad de la información (CISO) es prohibitivamente costoso, y para aquellas que pueden permitírselo, es difícil contratar y retener a los más adecuados. Una alternativa entonces es buscar un CISOaaS, que es la externalización del CISO.
Al realizar este tipo de contratación para administrar su programa de seguridad de forma remota, las empresas obtienen acceso a profesionales y recursos que no tienen internamente, lo que les permite mantenerse al día con las exigencias de cumplimiento y seguridad de la información. El CISOaaS también ofrece consultoría de cumplimiento y hace de guía del programa de seguridad de la información de la empresa.
También llamado CISO virtual (o vCISO), CISOaaS ayudará a la empresa a reconocer la estado de madurez actual de su seguridad de la información, el entorno de amenazas, lo que debe protegerse y el nivel de protección necesario, así como los requisitos reglamentarios que deben atenderse. Además, se pueden sugerir ciertos ajustes a la política de seguridad de la información, asegurando que se mejoren, apliquen y preserven los fundamentos. Por lo tanto, existe la posibilidad de que se minimicen las amenazas y se mejore la madurez de la seguridad de la información.
Beneficios de un CISOaaS
Como tercerizado externo, el vCISO puede evaluar el programa de seguridad existente de manera más objetiva que un empleado interno. Además, del tema: costo-beneficio. El pago por uso permite a las empresas pagar solo por el tiempo y servicios que utilizan, recordando que un vCISO suele ser más económico que tener un CISO como empleado contratado.
A corto plazo, los vCISO pueden hacer que las empresas sean más seguras al identificar riesgos inmediatos e introducir o reforzar los controles. A largo plazo, pueden ayudar a sentar las bases para un futuro programa de seguridad interna a través de la capacitación y la mejora de los procesos y la infraestructura básicos.
Responsabilidades de un CISOaaS
En su mayor parte, CISOaaS tiene las mismas tareas que un CISO interno. Eso incluye:
- Concientización y capacitación en seguridad;
- Protección de la confidencialidad, incorporación y disponibilidad de los datos;
- Desarrollo de prácticas seguras para los negocios y comunicación;
- Crear estrategias de ciberseguridad a largo plazo;
- Informes de actividad de seguridad;
- Operaciones de Monitoreo de Seguridad;
- Definición de métricas para evaluar el progreso en el programa;
- Gestión de personal y relaciones con proveedores;
- Integración de otros proveedores de seguridad de terceros y su gestión.
Así como los proveedores de CISOaaS atienden a múltiples clientes, los vCISO también son responsables de adaptarse a cada empresa y atenderlas de acuerdo con sus necesidades específicas. Para servir y satisfacer las necesidades de los clientes de manera efectiva, un equipo de CISOaaS debe tener buenas habilidades interpersonales.
Requisitos
Los CISO virtuales tienen ciertos requisitos de trabajo similares a los requisitos de un CISO interno convencional. Ambos deben tener fuertes habilidades de liderazgo y un profundo conocimiento de los sistemas de información y la seguridad. También deben ser capaces de comunicar de manera efectiva sus conocimientos avanzados de seguridad y TI a colegas con diferentes niveles de comprensión técnica.
Los proveedores de CISOaaS a menudo tienen certificaciones y credenciales de seguridad cibernética que demuestran su experiencia en el campo. También pueden ofrecer programas de capacitación para que el personal del cliente obtenga estos certificados. Estas certificaciones pueden incluir lo siguiente:certificações podem incluir as seguintes:
- Certificación Certified Information Systems Security Professional (CISSP);
- Certificación Certified Information Systems Auditor (CISA);
- Certificación Certified Information Security Manager (CISM);
- Certificación em Controle de Riscos e Sistemas de Informação (CRISC);
- Certificación Certified Chief Information Security Officer (CCISO).
Quién lo necesita
Todas y cada una de las empresas sin un CISO interno pueden considerar CISOaaS como una opción viable. Además de otros casos adicionales:
- Startups sin recursos para contratar un CISO de tiempo completo, pueden usar vCISO por su experiencia y economía.
- Las empresas que buscan nuevos CISO permanentes pueden contratar vCISO de forma temporal hasta encontrar un profesional que encaje con el perfil que buscan.
- Las organizaciones bajo presión para cumplir con los objetivos de seguridad o cumplimiento pueden beneficiarse de la función bajo demanda del vCISO.
- Empresas sinequipo de seguridad permanente que deseen sentar las bases para un nuevo programa a largo plazo pueden comenzar con un vCISO.
- Directores que deseen actualizar sus programas de ciberseguridad pueden consultar la experiencia de terceros de vCISO.
- Locales que utilizan principios Lean de TI pueden emplear temporalmente un vCISO en lugar de invertir en un profesional de tiempo completo.
This post is also available in: Português Español