Com os constantes relatos de ataques cibernéticos na mídia, a maioria das organizações de pequeno e médio porte se tornou consciente da realidade das ameaças cibernéticas nos últimos anos.

Como a segurança cibernética se torna uma ameaça para as empresas, as organizações devem alocar recursos para desenvolver, implementar e manter um programa eficaz de segurança da informação.

Além disso, novos requisitos de conformidade exigem que essas mesmas organizações tenham um Information Security Officer (ISSO) no pessoal para supervisionar todos os aspectos da segurança da informação e cibersegurança.

Embora este papel tenha se tornado vital na maioria das organizações (72% das organizações têm uma CISO), e elas são atualmente os profissionais mais procurados no mundo dos negócios, muitas organizações não podem arcar com este tipo de recurso, particularmente organizações menores, tanto por causa de seus altos salários como porque tendem a permanecer no trabalho por um curto período de tempo, e mudam de empresa com freqüência.

Por esta razão, muitas organizações optaram recentemente por contratar uma CISO virtual (vCISO) para cumprir este papel ou para complementar a sua CISO actual.

O que é exactamente o vCISO?

A figura da CISO virtual não é nem mais nem menos que uma CISO externa, que poderia ser descrita como um freelance, ou uma empresa terceirizada que oferece seus profissionais de segurança para cumprir seu papel como CISO, que geralmente usa mais de um indivíduo e opera remotamente e em tempo parcial. Além disso, é comum que você se encontre com a gerência da empresa não pessoalmente, mas através de videoconferência, e também para trabalhar remotamente.

São geralmente profissionais com muitos anos de experiência na indústria e em vários cenários, e que funcionam como consultores de gestão para tarefas relacionadas com a segurança da informação. Entre as suas funções está:

  • Desenhar e estabelecer a Visão de Ciber-segurança das organizações.
  • Estabelecer, desenhar e priorizar a estratégia de Cybersecurity para atender a visão e os objetivos da organização.
  • Estabelecer planos de ação priorizados para reduzir riscos e avaliar continuamente novas ameaças e vulnerabilidades, gerando um processo de melhoria contínua em cibersegurança.

Projetos e Tarefas vCISO

Devido à demanda por esta solução, já existem muitas empresas que oferecem este serviço cumprindo uma função CISO virtual para muitos clientes, ajudando as organizações a desenvolver, implementar e manter um programa eficaz de segurança da informação através do seu serviço CISO virtual.

Estas empresas normalmente ajudam:

  • Desenvolver e implementar políticas e procedimentos de segurança de TI
  • Ajudar a manter a conformidade com os vários regulamentos legais e padrões de segurança aplicáveis na organização. Desta forma, com um único serviço, e aproveitando as sinergias e semelhanças entre os diferentes regulamentos, o cumprimento da segurança da informação poderia ser coberto de forma homogénea e abrangente. Estes regulamentos podem ser:
    • Regulamentos de protecção de dados pessoais (suporte DPO).
    • Esquema de Segurança Nacional (ENS).
    • Sistema de Gestão de Segurança ISMS (ISO 27001).
    • Business Continuity e SGCN Continuity Management System (ISO 22301).
    • Regulamentação do Setor de Segurança (PCI-DSS, Solvência II…).
  • Ajudar no desenvolvimento, implementação e manutenção do Programa de Segurança da Informação de uma organização:
    • Realização de análise de risco de segurança.
    • Desenho de planos de segurança.
    • Apoio à gestão de vulnerabilidades.
    • Controle e monitoramento de projetos de segurança.
  • Informar a liderança executiva sobre as ameaças atuais e atualizações de conformidade para ajudá-los a tomar decisões comerciais mais inteligentes:
    • Realização de auditorias técnicas e de hacking ético
    • Treino.
    • Apoio à certificação de padrões.

Benefícios do vCISO

Contratar uma CISO virtual tem muitas vantagens, sendo a mais comum a relação custo-benefício, mas há mais:

  • Rentabilidade: encontrar uma CISO qualificada para entrar em uma organização pode ser caro. Mas contratar um vCISO pode ser rentável, já que você só é pago pelo tempo em que trabalha na organização.
  • Flexibilidade: os serviços do vCISO podem ser adaptados para complementar as capacidades internas de uma empresa com competências especializadas em áreas específicas onde as competências ou capacidades podem não estar disponíveis a tempo inteiro.
  • Experiência: os vCISO possuem uma riqueza de conhecimentos. Eles têm uma grande experiência de negócios e segurança. Ter um histórico e experiência estabelecidos permite à vCISO começar a trabalhar no momento em que são contratados.
  • Independente: Esta pode ser uma espada de dois gumes, mas ter uma vCISO que seja independente significa que eles estão livres de políticas e agendas conflituosas.
  • Relações e conexões estabelecidas: Muitos vCISO têm uma rede integrada de contatos e têm muitas conexões com fornecedores e profissionais da indústria. Ser capaz de aproveitar esta rede pode tornar o crescimento mais eficiente e rentável.
  • Escalabilidade: O serviço pode ser escalado para cima ou para baixo dependendo da carga de trabalho e da demanda do negócio, por exemplo, você pode querer aumentar o serviço quando estiver iniciando um novo programa, e depois escalá-lo para baixo quando você retornar às operações normais.
  • Objectividade equilibrada com conhecimento interno: Uma relação a longo prazo com um vCISO proporciona frequentemente o equilíbrio certo entre o conhecimento de uma pessoa interna e a perspectiva objectiva de um consultor externo.
  • Continuidade: Em média, as funções da CISO mudam a cada 2 anos. Um serviço vCISO de uma organização com vários especialistas experientes como apoio mútuo significa que não há rotação de pessoal ou períodos em que não se tem um CISO a bordo.
  • Metodologia Comprovada: Um serviço vCISO líder é geralmente baseado em metodologias e abordagens comprovadas para garantir a eficácia e eficiência do serviço, e não apenas “body shopping” por pessoas experientes.

Desvantagens de um vCISO

Embora trazer um vCISO possa ser muito útil, também é bom compreender as desvantagens. Abaixo estão quatro desvantagens com as quais as organizações lutam quando se trata de contratar uma CISO virtual:

  • Oportunidade das respostas: Como a CISO virtual apoia muitas organizações, às vezes pode ser difícil obter respostas urgentes de forma oportuna. Para superar isso, é aconselhável discutir ou documentar um SLA com o candidato antes de incorporá-los à empresa. Se se sabe com antecedência que uma resposta é necessária dentro de quatro horas, então é mais fácil gerir as expectativas.
  • Não está integrado 100% dentro da empresa: vCISO tecnicamente trabalha para a empresa, mas não investe muito nela. Eles não interagem diariamente com o pessoal, não conhecem todos pelo nome, nem vivem o dia-a-dia da organização como muitos funcionários internos fazem.
  • Falta de responsabilidade de risco: ao contratar um vCISO, você deve olhar cuidadosamente para o contrato e falar sobre responsabilidade de risco de uma forma aberta e honesta. Certifique-se de que eles aceitam parte do risco organizacional em caso de má gestão da sua parte. Em outras palavras, se a segurança de uma organização for violada devido a um erro ou a uma estratégia vCISO ruim, você deve garantir que ela não fique incólume.
  • Caro no momento da necessidade: Ter uma CISO virtual pode ser muito rentável, mas se a organização cresce rapidamente ou experimenta uma grande quebra, o trabalho para a vCISO torna-se complicado e, portanto, pode aumentar o seu preço, e pode ser bastante elevado.

A figura do vCISO é necessária na empresa?

Depois de ver os seus benefícios e desvantagens, a resposta, à questão de saber se este número é necessário, varia e não é necessariamente o mesmo para todos. Para começar, CISO bem qualificados em tempo integral podem ser difíceis de obter, muitas vezes permanecem no trabalho por dois anos ou menos, e criticamente, especialmente para empresas menores, podem exigir salários de seis dígitos.

Em contraste, estima-se que os vCISO custam 30 a 40 por cento de uma CISO a tempo inteiro e estão disponíveis sob demanda. Mas, além disso, os benefícios vão muito além do custo. Os CISO virtuais geralmente não requerem treinamento, podem começar a trabalhar e não são obrigados a seguir a política do escritório. Neste modelo, tudo tem a ver com resultados, e os CISO que valham a pena fornecerão KPIs e relatórios razoáveis.

Startups e empresas em crescimento são os candidatos perfeitos para o modelo de recursos externos, e são a melhor opção para pequenas e médias empresas (PME), para complementar a equipa de gestão existente ou simplesmente como uma solução provisória. Muitas destas empresas têm pessoal altamente qualificado para desenvolver o seu negócio principal. Mas onde eles precisarão de apoio é na compreensão das ameaças que enfrentam, nas suas necessidades relacionadas com a legalidade e na definição de estratégias e planos de acção adequados.

Conclusões

À medida que uma empresa cresce, também cresce o seu cumprimento e os seus compromissos de segurança. Ter um CISO virtual que pode ser chamado quando necessário pode ser incrivelmente útil e poupar muitas dores de cabeça a uma empresa ao tentar navegar no mundo regulatório em constante mudança, ou acompanhar o rápido crescimento das ameaças emergentes à segurança. Além disso, ter um vCISO pode tornar o processo de conformidade muito mais fácil de navegar.

Os vCISO são adaptados às necessidades de cada negócio. São profissionais com ampla experiência em cibersegurança, capazes de estabelecer estratégias, planos e aplicar diferentes metodologias de segurança em múltiplas organizações.

Em qualquer caso, o escopo específico do serviço vCISO deve ser configurado com base nos recursos internos disponíveis e nas necessidades de segurança de cada empresa. Obviamente, e como qualquer decisão de terceirização de serviços, ela deve ser apoiada por uma análise prévia que demonstre que os esforços e orçamentos são de fato otimizados para garantir a conformidade legal e regulatória da segurança da informação.

Como investimento adicional em segurança da informação, deve ser adoptado tendo em consideração os mesmos aspectos que para outros investimentos em segurança: deve ser orientado para a gestão de riscos reais, alinhado com os objectivos de segurança da organização e dentro dos limites orçamentais estabelecidos.

Em suma, uma alternativa que, agora mais do que nunca, pode ser muito útil devido à crescente importância que a segurança da informação e a conformidade associada estão ganhando, e à necessidade de tratá-las de forma global, lucrativa e garantida.