¿Qué es un CISO virtual (vCISO) y cuándo es aconsejable contratar sus servicios?
Hoy en día, la seguridad es una preocupación fundamental para las organizaciones en casi todas las industrias debido a su complejidad y rápida evolución. Las amenazas y vulnerabilidades a la protección de la información están aumentando, y las empresas continúan luchando con las regulaciones y el panorama de seguridad en evolución. En este contexto, el papel de un director de seguridad de la información (CISO) es establecer y mantener la estrategia y la ejecución de la organización para proteger sus activos de información sensibles y valiosos y las tecnologías circundantes.
Pero muchas organizaciones, aunque tienen datos que necesitan protección, optan por utilizar un CISO virtual (vCISO) para abordar las necesidades del rol de CISO en lugar de contratar uno internamente.
¿En qué consiste la figura del director de seguridad de la información virtual?
El vCISO es un profesional de la seguridad que utiliza la culminación de sus años de ciberseguridad y experiencia en la industria para ayudar a las organizaciones a desarrollar y administrar la implementación del programa de seguridad de la información de la organización. En un nivel alto, los vCISO ayudan a diseñar la estrategia de seguridad de la organización, y algunos también ayudan a administrar su implementación. El personal de seguridad interna aún puede existir, ya sea reportando o trabajando con el vCISO y su equipo para ejecutar un programa de seguridad impactante. Además, generalmente se espera que el vCISO pueda presentar el estado de seguridad de la información de la organización a la junta, el equipo ejecutivo, los auditores o los reguladores de una organización.
Los vCISO pueden proporcionar un valor añadido a las organizaciones al ayudar con una serie de aspectos del programa general de seguridad de la información, que incluyen:
- Actividades de planificación y gestión de la seguridad de la información
- Estructura organizativa y de gestión
- Iniciativas que afectan las prácticas de información
- Actividades de gestión de riesgos de seguridad
- Evaluación de terceros con acceso a datos organizacionales
- Coordinación de auditorías por parte de reguladores o clientes.
¿Por qué los vCISO se están volviendo más populares?
La idea de un CISO virtual ha crecido en demanda entre las organizaciones por varias razones:
1. Los CISO están en demanda: con el aumento de los ataques cibernéticos, las filtraciones de datos, la sofisticación de los ataques y el enfoque centrado en la información de una organización, las organizaciones que desean implementar un conjunto integral de controles y tecnologías necesitan un CISO. Un vCISO permite a la organización cumplir rápidamente un rol de vCISO, sin necesidad de pasar por el proceso de contratación.
2. Los CISO suponen un precio elevado: un vCISO permite a las organizaciones evitar el gasto de contratar uno interno a tiempo completo, pagando solo por los servicios y el tiempo utilizado.
3. Los vCISO pueden tener más experiencia: un vCISO ha implementado programas de seguridad de la información para muchos clientes en un conjunto diverso de industrias y tamaños, lo que les brinda una amplia gama de conocimientos que se pueden aplicar a su organización.
4. Los vCISO pueden estar en cualquier lugar: en lugar de tener que contratar a alguien localmente (lo que limita sus opciones) o tener que ayudar a pagar la mudanza de un candidato, vCISO trabaja como consultor, trabajando desde casi cualquier lugar, brindando a la organización exposición a más candidatos potenciales.
5. Los vCISO son una opción basada en el consumo: aunque no todos los vCISO funcionan igual, este es un contratista que realizará las tareas en función de un alcance de trabajo acordado.
Casos de uso para un vCISO
Aunque la elección entre un CISO presencial o virtual puede no estar clara, conoce algunos casos de uso posibles en los que un vCISO puede ser una excelente opción:
- Contratación de un nuevo CISO a tiempo completo: la salida del CISO existente de una empresa puede ser inoportuna con respecto a las iniciativas de seguridad actuales. En este espacio puede entrar un vCISO experimentado, aportar valor al revisar la estrategia de ciberseguridad actual y ayudar a reclutar, seleccionar y hacer la transición a un CISO de tiempo completo.
- Trabajar con un producto de ciberseguridad maduro para una organización más pequeña: mientras que un CISO a tiempo completo es muy costoso para una PYME, un vCISO puede trabajar a tiempo parcial para proporcionar experiencia de calibre empresarial y trabajar con herramientas de seguridad que, de lo contrario la organización no sería capaz de trabajarlo.
- Creación de un programa de cumplimiento: las organizaciones con o sin un CISO, muchas veces no tienen la experiencia en un mandato de cumplimiento específico, o cómo se traduce en la creación de políticas y procesos para asegurar la información protegida. Un vCISO especializado en una regulación de cumplimiento determinada puede ayudar a desarrollar una estrategia y un plan de ejecución que cumpla con los mandatos específicos.
- Realineación del gasto cibernético: sea lo que sea lo que una organización estuviera haciendo hace 6 meses para protegerse contra el riesgo cibernético probablemente no sea tan efectivo hoy. Un vCISO puede ayudar a organizaciones de todos los tamaños al conocer el presupuesto actual, cómo se gasta, y ayudar a identificar formas de gastarlo de manera más eficaz y eficiente para crear una postura más segura.
CISO vs vCISO: ¿Cuál debería elegir?
Si tiene información valiosa y sensible en su entorno, necesita algún tipo de programa de seguridad de la información. Y eso significa que necesita a alguien a la cabeza que impulse el programa y dirija la visión, la estrategia y la implementación para cumplir con los objetivos de seguridad de la información de la organización. La cuestión de si contratar un CISO o un vCISO realmente se reduce a la estrategia de la organización (por ejemplo, quieren a alguien a largo plazo que se centre únicamente en su organización, por lo que un CISO es la opción correcta), así como cualquier restricción (como la falta de presupuesto).
Si no está seguro de cuál es la opción correcta, podría comenzar con un vCISO para iniciar con el trabajo de base y ver si hay apoyo interno del equipo ejecutivo o de la junta para implementar un programa de seguridad de la información adecuado. Y luego, si es necesario, trabajar para contratar a un CISO a tiempo completo para completar el trabajo.