O que é um CISO como serviço (CISOaaS)?

O que é um CISO como serviço (CISOaaS)? CISO como serviço (vCISO, CISO virtual, CISO part-time), veja como isto pode ajudar sua empresa.

Um CISO como serviço (CISOaaS ou vCISO) é a terceirização do  CISO  (diretor de segurança da informação) e responsabilidades de liderança de segurança da informação para um provedor terceirizado. Ao contratar um provedor terceirizado para gerenciar seu programa de segurança remotamente, uma organização obtém acesso a funcionários e recursos que não possui internamente, permitindo um melhor acompanhamento das demandas de segurança da informação e conformidade.

O CISOaaS geralmente é pago por em contratos de base horária ou por uso, como muitos modelos XaaS . Também como muitos modelos XaaS, as ofertas CISOaaS podem ser totalmente remotas ou podem ser um modelo híbrido no qual os especialistas do provedor trabalham com a equipe de segurança existente de uma organização tanto remotamente quanto no local.

Ter uma liderança de segurança robusta é importante na organização moderna, pois a transformação digital aumenta a amplitude geral de vulnerabilidades de uma organização. Mas a escassez de habilidades em segurança cibernética em todo o setor  significa que líderes de segurança qualificados e acessíveis são difíceis de encontrar e fáceis de perder. Altos níveis de estresse também alimentam a rotatividade do CISO, levando muitos a saltar de uma organização para outra. O CISOaaS oferece uma solução potencial para problemas de pessoal, fornecendo acesso a uma liderança de segurança econômica conforme a necessidade.

CISOaaS também pode ser referido como um CISO part-time ou CISO virtual (vCISO). 

 

Responsabilidades do CISO como serviço 

O CISOaaS tem basicamente as mesmas responsabilidades de um CISO interno. Isso inclui o seguinte:

• proteger a confidencialidade, integração e disponibilidade de dados;
• desenvolvimento de estratégia de segurança cibernética de longo prazo;
• desenvolvimento de programas de governança, risco e conformidade ;
• avaliação de risco;
• gerenciamento de riscos;
• conscientização e treinamento de segurança;
• desenvolver práticas comerciais e de comunicação seguras;
• relatórios sobre operações de segurança;
• monitoramento de operações de segurança;
• definir métricas para medir o sucesso do programa ;
• gestão de relações de pessoal e fornecedores; e
• integração e gerenciamento de outros serviços de segurança de terceiros.

Os provedores CISOaaS atendem a vários negócios ao mesmo tempo. Um vCISO deve, portanto, ter boas habilidades pessoais e ser capaz de se adaptar, compreender e atender às necessidades exclusivas de cada cliente.

Requisitos e certificações de trabalho CISO-as-a-service 

Os CISOs virtuais têm certos requisitos de trabalho que refletem de perto os requisitos de um CISO interno tradicional.
Os CISOs virtuais devem ter fortes habilidades de liderança e um conhecimento profundo dos sistemas de informação e segurança. Eles também devem ser capazes de comunicar com eficácia seus conhecimentos complexos de segurança e TI a colegas com diferentes níveis de conhecimento técnico.
Os fornecedores de CISOaaS geralmente exibem certificações e credenciais de segurança cibernética que demonstram sua experiência no campo. Eles também podem oferecer programas de treinamento para que os funcionários dos clientes recebam esses certificados por conta própria. Essas certificações podem incluir o seguinte:

• Certificação CISSP (Certified Information Systems Security Professional );
• Certificação de Certified Information Systems Auditor ( CISA );
• Certificação Certified Information Security Manager ( CISM );
• Certificado na certificação de Controle de Riscos e Sistemas de Informação ( CRISC ); e
• Certificação de Chief Information Security Officer (CCISO).

Benefícios de empregar um CISO como serviço 

Usar um CISO virtual pode ter prós e contras . Os benefícios potenciais da contratação de um CISOaaS incluem o seguinte:

• Análise imparcial.  Como um terceiro externo, o vCISO pode ser capaz de avaliar o programa de segurança existente de uma organização de forma mais objetiva do que um funcionário interno.
• Custo-efetividade.  O preço pré-pago permite que as organizações paguem apenas pelo tempo e pelos serviços que usam. Um vCISO geralmente é drasticamente mais barato do que ter um CISO assalariado em casa e economiza nas despesas de capital .
• Serviço sob demanda.  Usar um provedor de serviços permite disponibilidade constante e flexível de recursos de segurança. Conforme as demandas mudam, os clientes podem alterar seus serviços de acordo.
• Benefícios de longo e curto prazo.  No curto prazo, os vCISOs podem tornar as organizações mais seguras, identificando riscos imediatos e introduzindo ou restringindo os controles. A longo prazo, eles podem ajudar a estabelecer as bases para um futuro programa de segurança interna por meio do treinamento e do aprimoramento dos processos centrais e da infraestrutura.
• Experiência.  Muitos vCISOs têm ampla experiência em trabalhar com uma ampla variedade de organizações, trazendo para a empresa o benefício de conhecer e se manter atualizado com as tendências e problemas que o mercado enfrenta. 

Uma das desvantagens de contratar um vCISO é que provavelmente ele também atenderá a outras organizações e nem sempre estará disponível no horário e dia que você desejar. Um CISO interno é a melhor opção para organizações que precisam de um funcionário sem outros compromissos externos.
Além disso, como observou Sam Olyaei, analista do Gartner, qualquer pessoa pode alegar ser um vCISO. Isso significa que as organizações interessadas em CISOaaS devem fazer seu dever de casa para encontrar candidatos com as qualificações, experiência e capacidades necessárias.

Determinar se você precisa de um CISO como serviço 

Qualquer organização sem um CISO interno pode considerar o CISOaaS uma opção viável. A seguir estão vários cenários em que este pode ser o caso:

• As startups sem os recursos para contratar CISOs em tempo integral podem usar vCISOs por sua experiência e economia.
• As organizações que estão em processo de busca por novos CISOs permanentes podem contratar vCISOs temporariamente para preencher a lacuna.
• Organizações sob pressão para cumprir as metas de segurança ou conformidade podem se beneficiar da natureza on-demand dos vCISOs.
• As organizações que buscam atualizar seus programas de segurança cibernética podem buscar a experiência de terceiros de vCISOs.
• As organizações que usam os princípios de TI enxuta podem empregar temporariamente um vCISO em vez de investir em uma posição de tempo integral.
• Uma organização sem uma equipe de segurança permanente que deseja lançar as bases para um novo programa de longo prazo pode começar com um vCISO.

Ofertas CISO-as-a-service

As ofertas CISO como serviço geralmente são pagas conforme o uso, sob demanda ou, o mais comum, em pacote de horas mensais. Eles geralmente são pagos com base em uma assinatura anual. A quantidade de tempo que o vCISO passa no local é então negociada, sendo baseada em um determinado número de dias ou horas por ano. Isso varia de acordo com as ofertas do fornecedor e as necessidades da organização do cliente.

Às vezes, os vCISOs são contratados para soluções de curto prazo para problemas de segurança; outras vezes, são contratados para soluções de longo prazo, como o desenvolvimento de todo o programa de segurança de uma empresa.

A contratação de um vCISO costuma ser drasticamente mais barata devido a esse modelo de pagamento. Segundo o TechTarget, as organizações podem gastar entre US$ 100.000 e US$ 200.000 por ano para reter talentos internos, enquanto um vCISO geralmente custa menos da metade disso.

vCISO MindSec

A MindSec atua há vários anos com a oferta de vCISO em vários clientes de diversos setores do mercado. A oferta de vCISO da MindSec pode ser complementada com a alocação de pessoal operacional ou de governança para a empresa que necessita complementar ou estruturar uma equipe de segurança para cuidar das inciativas de proteção da organização. O pacote ofertado pela MindSec pode ser contratado em base anual ou por projeto. 

Além da oferta de vCISO a MindSec também oferece a função de vDPO para atuar de forma similar com as iniciativas e atividades obrigatórias requisitadas pela LGPD – Lei Geral de Proteção de Dados brasileira. e se o cliente desejar os clientes também podem ter o benefício de combinar as duas funções, vCISO e vDPO, otimizando ainda mais os requerimentos legais e de negócio . Clique e fale com o seu representante MindSec. 

Fonte: TechTarget

Veja também:

• BGP (Border Gateway Protocol)
• ANPD lança Guia de Proteção de Dados para DPOs de pequenas empresas.
• CISA lança nova ferramenta de autoavaliação de ransomware
• Atualização de DNS afeta Facebook e diversos outros serviços na Internet
• FinSpy infecta por meio de bootkits resistentes à reinstalação do SO
• Lista de vulnerabilidades abusadas por gangues de ransomware
• CVC sofre ataque hacker e diz que reservas não foram afetadas.
• 1º vazamento de dados cadastrais do Pix
• Saiba o que é dumpster diving e qual o nível de fragmentação você deve usar
• Dois terços das empresas já foram alvo de ataque de ransomware.
• O que é extortionware ? Como ele difere do ransomware? 
• Apple lança patch de segurança de emergência para iOS e macOS