Los datos de la encuesta de IDG muestran que los ejecutivos de las empresas sin un director de seguridad de la información (CISO) sienten que su postura de seguridad y la capacitación cibernética no son tan efectivas como podrían ser. Los servicios de un CISO son, sin duda, valiosos para cualquier organización, pero no todas las pequeñas empresas u organizaciones pueden permitirse un empleado de tiempo completo en esta capacidad. En estas situaciones, un CISO virtual (vCISO) puede ser una bendición.
En este artículo, responderemos a la pregunta “¿qué es un vCISO?” Parte de esta discusión explorará qué hacen los vCISO y por qué las empresas los contratan. También repasaremos las ventajas y desventajas de contratar un CISO virtual.
¿Qué es un vCISO? Explicación de los servicios de CISO virtual
Una ilustración que representa a los CISO virtuales que trabajan para organizaciones.
Un director de seguridad de la información virtual, también conocido como CISO virtual, vCISO o proveedor de CISO como servicio, trabaja como un profesional de seguridad subcontratado o bajo demanda. Un rol de vCISO puede ser ocupado por una sola persona o un equipo de expertos virtuales. Aunque normalmente trabajan como contratistas remotos a tiempo parcial, los vCISO brindan muchos de los beneficios de un CISO a tiempo completo, pero sin el alto precio.
Considere un vCISO como un director de seguridad de la información independiente. Las empresas a menudo los contratan de forma continua, por un período estipulado o para cualquier proyecto en particular.
vCISO generalmente participa en la decisión del marco de seguridad y las políticas de las empresas, brinda recomendaciones estratégicas y ayuda en la implementación. A veces, representan a empresas en reuniones de directorio y trabajan con ejecutivos para justificar las medidas de seguridad y sus requisitos presupuestarios. Pero hay muchas otras funciones que un CISO virtual puede asumir según las necesidades de su organización y los términos de su contrato con usted.
Como parte del equipo ejecutivo de su organización, un CISO virtual puede hacer algunas o todas las siguientes cosas:
evalúa la capacidad de su organización para detectar, erradicar y prevenir amenazas cibernéticas, encabeza la creación e implementación de programas e iniciativas de seguridad que incorporan consideraciones de cumplimiento normativo, preparar a su organización y al equipo de TI para las auditorías, proporciona orientación para la seguridad cibernética y las evaluaciones de riesgos, evalúa y mejora sus políticas y procesos relacionados con la seguridad, evalúa a los proveedores de seguridad cibernética, proporciona capacitación en seguridad al personal existente, proporciona experiencia técnica práctica en caso de un ataque cibernético, y lleva a cabo otras funciones relacionadas con la seguridad cuando y como sea necesario.
Pero muchas empresas no solo buscan experiencia en liderazgo técnico de sus directores de tecnología. El informe Global Digital Trust Insights 2021 de PwC muestra que las empresas también buscan cada vez más otras habilidades y atributos, que incluyen:
- habilidades analíticas (47%),
- habilidades de comunicación (43%),
- creatividad (42%), y
- habilidades de pensamiento crítico (42%).
¿Debería contratar un vCISO? Sopesar los pros y los contras
Ahora es el momento de responder a la pregunta del millón: ¿por qué una empresa debería elegir un vCISO en lugar de un CISO interno? Para responder a esta pregunta, consideremos algunas de las ventajas y desventajas de confiar en un CISO virtual en lugar de un ejecutivo interno.
Ventaja n.º 1 de los servicios de vCISO: los CISO virtuales cuestan menos que los CISO internos
Salary.com informa que el salario medio de los CISO fue de US$224 305 en 2020. Para las empresas nuevas y pequeñas y medianas, esto puede ser un gasto enorme. En muchos casos, ese tipo de salario de seis cifras puede costar más que la cantidad que las organizaciones dedican a todo su presupuesto anual de seguridad cibernética.
Los precios de vCISO son altamente personalizables según las necesidades de seguridad y el nivel de amenaza de su organización. Las empresas les pagan según el tiempo dedicado o los servicios prestados por ellos. Una estimación de Asher Security muestra que puede tener los servicios de un vCISO en retención por tan solo US$ 28,800 al año (más un costo de pago de servicio mensual que podría oscilar entre US$ 2,400 y US$ 29,167).
Ventaja #2: La contratación de un CISO virtual reduce los desafíos y los costos de reclutamiento
Cuando contrata a un CISO interno, debe confiar en el talento local o pagar un estipendio de reubicación considerable a un candidato externo. Un vCISO típico es un profesional altamente calificado con una licenciatura en informática o ciberseguridad y tiene certificaciones como CISSP, CISM, CISA y EC-Council’s CCISO. También tienen de siete a 10 años de experiencia laboral en seguridad de la información, programación y/o gestión de riesgos.
Encontrar un CISO talentoso puede ser un desafío en pueblos pequeños y lugares remotos. Además, para convencer a un CISO de que se traslade a la ubicación de su oficina, debe atraerlo dándole un salario más alto y/o mayores beneficios que los que ya recibe en su empleador actual. Sus gastos de contratación e incorporación también pueden aumentar.
E incluso después de hacer tanto, los CISO tienen una alta tasa de rotación laboral. No se puede negar que ser un CISO es un trabajo estresante y de alta presión. Nominet Cyber Security informa que un CISO interno dura un promedio de 26 meses en un trabajo debido al agotamiento. ¡Eso significa que podría tener que repetir todo el ciclo de reclutamiento casi cada dos años!
Cuando contrata a un vCISO que trabaja de forma remota, ¡puede encontrar y contratar a alguien de cualquier rincón del mundo! Le brinda una amplia gama de opciones y la oportunidad de negociar el precio del contrato. Esto le permite: ahorrar asignaciones de reubicación, reducir los costos de contratación y evita pagar prestaciones extra como 40k, seguros, permisos retribuidos, permisos parentales, etc.
Ventaja n.º 3: los vCISO pueden proporcionar experiencia general o de nicho
A veces, las empresas necesitan la experiencia de un CISO solo para tareas específicas como: revisar las preocupaciones de seguridad en el momento de las fusiones y adquisiciones,
tratar con el cumplimiento o el seguro, o haciendo un análisis posterior al ataque para evitar que se repita. En tales circunstancias, contratar a un vCISO será una opción rentable que contratar a un CISO interno.
Contratación de un CISO virtual para tratar con seguros
Tener un vCISO fortalece el panorama de seguridad cibernética de su organización y ayuda a cambiar su empresa a una categoría de menor riesgo. Si su CISO virtual informa directamente a su directorio u otro departamento (como Cumplimiento), esto puede resultar en primas de seguro de ciberseguridad reducidas.
Además, cuando ocurre un ataque cibernético, un vCISO funciona como un representante confiable de la organización, se ocupa de las disputas de seguros e intenta obtener los máximos beneficios de la aseguradora.
Contratación de un vCISO para las necesidades de cumplimiento
Las reglas de cumplimiento pueden ser abrumadoras y muchas organizaciones necesitan un CISO con experiencia para lidiar con esas regulaciones. Por un lado, muchas empresas no pueden permitirse el lujo de contratar a un CISO de tiempo completo, pero por otro lado, las sanciones por incumplimiento pueden ser financieramente devastadoras.
Para ayudar a la situación, las empresas contratan CISO virtuales para evitar sanciones por incumplimiento. En general, los CISO virtuales tienen una amplia gama de experiencia en el cumplimiento de regulaciones como
- HIPAA,
- PCI-DSS,
- FERPA,
- RGPD,
- CIP NERC,
- NIST 800-53,
- ISO27001,
- CMMC, oro
- NIST 800-71.
Ventaja #4: CISO-as-a-Service a menudo le da acceso a un equipo de profesionales
Muchas firmas de consultoría de seguridad y proveedores de servicios de detección y riesgo administrados (MDR) contratan un gran equipo de profesionales de seguridad internos. Proporcionan lo que se conoce como “CISO como servicio“, lo que significa que no necesita buscar, evaluar, contratar ni negociar con un vCISO. Solo necesita contratar una agencia de este tipo, y le asignarán un vCISO calificado según los requisitos de su organización.
Uno de los mayores beneficios de tales agencias es que los vCISO a menudo tienen acceso a muchas herramientas de nivel avanzado y tienen un equipo de expertos a su disposición (como cazadores de amenazas, especialistas en cumplimiento, analistas de seguridad y evaluadores de penetración). Por lo tanto, la carga de trabajo se equilibra uniformemente y puede obtener el beneficio de un equipo de seguridad completo a un costo fijo más bajo.
Ahora que hemos cubierto las ventajas de los servicios de CISO virtuales, estaríamos perdidos si no habláramos también sobre algunas de las desventajas.
Desventaja #1: Su tiempo y atención se dividen entre múltiples clientes
Un CISO interno se concentraría al 100 % en la seguridad de su organización. Pero cuando contrata a un CISO virtual, tienen varias empresas que cuidar simultáneamente y no pueden dedicar una atención especial a su empresa. No puede decirles que no trabajen en múltiples proyectos y cómo deben dividir su tiempo.
Si su vCISO ha tomado más proyectos de los que puede manejar, podría causar negligencia o deteriorar la calidad del trabajo. Además, si hay una emergencia, como si nota que se acerca una amenaza inusual o se produce un ataque cibernético repentino, su CISO de guardia puede o no estar disponible para responder de inmediato debido a sus otros compromisos. Como tal, es posible que no pueda confiar en un vCISO en una situación de emergencia. La excepción aquí podría ser los servicios CISO virtuales que brindan acceso las 24 horas del día, los 7 días de la semana, los 365 días del año, pero luego está buscando contratos que a menudo implican costos significativamente más altos.
Desventaja #2: Carecen de un conocimiento profundo de sus sistemas
Los CISO virtuales no están íntimamente familiarizados con la infraestructura, las políticas o los procedimientos de TI de su organización porque dividen su tiempo entre varios clientes, mientras que un CISO de tiempo completo trabaja únicamente para usted. En otras palabras, los CISO internos ya conocen las vulnerabilidades y los patrones de amenazas de su empresa, mientras que los vCISO tienen que empezar todo desde cero.
Los CISO de tiempo completo conocen la postura de seguridad de su empresa tan de cerca que pueden detectar cualquier signo habitual de ataques más rápidamente que un CISO virtual. De la misma manera, el CISO interno puede realizar una investigación posterior al ataque y un control de daños de manera más eficiente y rápida que un vCISO porque tiene un conocimiento profundo de cada componente de su infraestructura técnica.
Cuando contrata a un vCISO para proyectos individuales, es posible que se muestre apático con respecto a la estructura de seguridad general de su empresa y solo se concentre en sus tareas específicas. Es posible que no reconozcan o no se molesten en informarle sobre las grandes lagunas que deben abordarse. Al mismo tiempo, un CISO de tiempo completo tendrá un enfoque holístico y asumirá la responsabilidad de todo el mecanismo de defensa de su empresa.
Desventaja n.º 3: No mezclarse con una organización
Un CISO interno es una figura autorizada y una parte integral de su organización. Cuando describen cualquier cambio de política y recomendaciones, el resto del personal de TI tiende a tomar esas sugerencias en serio y las implementa con relativa rapidez. Pero un vCISO podría ser considerado un “forastero” y tal vez otros no lo tomen en serio a menos que intervenga la gerencia.
De la misma manera, si un CISO de tiempo completo sugiere medidas de seguridad que la gerencia considera “demasiado complicadas” o costosas, aún es responsable ante el CISO por rechazar cualquier propuesta. Un CISO interno de tiempo completo tiene una voz más alta en las discusiones y negociaciones presupuestarias que un vCISO. La gerencia puede negar fácilmente cualquier recomendación de un vCISO, muchas veces, debido a problemas de confianza.
Por ejemplo, la gerencia puede considerar las recomendaciones de un vCISO como un medio para extender la duración de su contrato o aumentar el alcance del proyecto para cobrar más dinero. Por tales razones, incluso las sugerencias de seguridad más cruciales permanecen en el estante y ponen a las empresas en riesgo a largo plazo.
Sin embargo, ser un “forastero” también puede ser un atributo positivo según tu perspectiva. Si un CISO virtual no es parte de la cultura interna de su organización, puede servir como un tercero imparcial. Como tales, es menos probable que sean susceptibles a presiones internas o políticas que las que puede experimentar un CISO interno, lo que puede hacerlos más efectivos.
Palabras finales sobre los servicios de vCISO
En seguridad cibernética, no importa cuántas herramientas avanzadas use, la intervención humana sigue siendo una necesidad. Los actores de amenazas que llevan a cabo los ataques son humanos reales con motivos y agendas únicos. Y para comprender su mentalidad, debe contratar personal de seguridad cibernética calificado y bien capacitado. Una parte clave de esto incluye contar con un líder que pueda diseñar estrategias y liderar las iniciativas de seguridad cibernética de su organización desde el frente.
Si bien la contratación de un CISO de tiempo completo en la empresa es una opción que muchas empresas consideran, existen algunas desventajas obvias en este enfoque. Es por eso que muchas organizaciones, incluidas las pequeñas empresas, optan por contratar un CISO virtual para satisfacer sus necesidades. Pero contratar a un vCISO puede no ser el mejor curso de acción para todas las empresas, y debe elegir el camino correcto en función de las necesidades específicas de su organización.
Independientemente de la ruta que elija tomar, tener un CISO interno o un CISO virtual dice mucho. Tener a alguien en este tipo de rol demuestra que está tomando medidas para mejorar la seguridad cibernética de su organización y está comprometido a proteger los datos confidenciales y los recursos de TI de su organización.
Traducción libre de articulo publicado en https://sectigostore.com/blog/what-is-a-vciso-are-vciso-services-worth-it/