Ante los constantes informes de ciberataques en los medios, la mayoría de las organizaciones pequeñas y medianas se han dado cuenta de la realidad de las ciberamenazas en los últimos años.

A medida que la seguridad cibernética se convierte en una amenaza para las empresas, las organizaciones deben asignar recursos para desarrollar, implementar y mantener un programa efectivo de seguridad de la información.

Además de eso, los nuevos requisitos de cumplimiento exigen que estas mismas organizaciones tengan un Oficial de Seguridad de la Información (CISO) en el personal para supervisar todos los aspectos de la información y la seguridad cibernética.

Si bien este papel se ha convertido en vital dentro de la mayoría de las organizaciones (el 72% de las organizaciones tienen un CISO), y, actualmente, son los profesionales más buscados en el mundo de la empresa, muchas de ellas no pueden permitirse este tipo de recursos, particularmente las organizaciones más pequeñas, tanto por su elevado salario como porque acostumbran a permanecer un tiempo no demasiado extenso en su puesto, y a cambiar con frecuencia de empresa.

Por este motivo, últimamente, muchas organizaciones han optado por contratar un CISO virtual (vCISO) para cumplir este rol o complementar su CISO actual.

¿Qué es exactamente el vCISO?

La figura del CISO virtual, no es ni más ni menos que un CISO externo, al que se le podría calificar de freelance, o una empresa subcontratada que ofrece a sus profesionales de seguridad para cumplir con su función de CISO, que generalmente utiliza más de un individuo y opera de manera remota y a tiempo parcial. Además, es habitual que cuando se reúne con la dirección de la empresa no lo haga de forma presencial, sino mediante videoconferencia, y trabaje también de manera remota.

Suelen ser profesionales con muchos años de experiencia en el sector y en multitud de escenarios, y que funciona como un consultor de dirección para tareas relacionadas con la seguridad de la información. Entre su papel está:

  • Diseñar y establecer la Visión de Ciberseguridad de las organizaciones.
  • Establecer, diseñar y priorizar la estrategia de Ciberseguridad para cumplir con la visión y los objetivos de la organización.
  • Establecer Planes de Acción priorizados para disminuir los riesgos, y evaluar de manera continua los nuevos peligros y vulnerabilidades, generando un proceso de mejora continua en Ciberseguridad.

Proyectos y Tareas del vCISO

Debido a la demanda de esta solución, ya son muchas las empresas que ofrecen este servicio cumpliendo un rol de CISO virtual para muchos clientes, ayudando a las organizaciones a desarrollar, implementar y mantener un programa efectivo de seguridad de la información a través de su servicio de CISO virtual.

Estas empresas normalmente ayudan a:

  • Desarrollar e implementar políticas y procedimientos de seguridad de TI.
  • Ayudar a mantener el cumplimiento de la diferente normativa legal y estándares de seguridad aplicables en la organización. De esta forma, con un único servicio, y aprovechando las sinergias y similitudes entre la distinta normativa, se podría abarcar el cumplimiento normativo de seguridad de la información de una forma homogénea e integral. Estas normativas pueden ser:
    • Normativa de protección de datos personales (soporte al DPO).
    • Esquema Nacional de Seguridad (ENS).
    • Sistema de Gestión de la Seguridad SGSI (ISO 27001).
    • Continuidad del Negocio y Sistema de Gestión de la continuidad SGCN (ISO 22301).
    • Normativa sectorial de seguridad (PCI-DSS, solvencia II…).
  • Asistir en el desarrollo, implementación y mantenimiento del Programa de Seguridad de la Información de una organización:
    • Realización de análisis de riesgos de seguridad.
    • Diseño de planes de seguridad.
    • Soporte a la gestión de vulnerabilidades.
    • Control y seguimiento de proyectos de seguridad.
  • Informar al liderazgo ejecutivo de las amenazas actuales y las actualizaciones de cumplimiento para ayudarlos a tomar decisiones comerciales más inteligentes:
    • Realización de auditorias técnicas y hacking ético.
    • Formación.
    • Soporte a la certificación de estándares.

Beneficios del vCISO

Contratar un CISO virtual tiene muchas ventajas, la más común es la rentabilidad, pero existen más:

  • Rentabilidad: encontrar un CISO calificado para incorporar a una organización puede ser costoso. Pero contratar un vCISO puede ser rentable, ya que solo se le paga por el tiempo que trabaja en la organización.
  • Flexibilidad: los servicios del vCISO se pueden adaptar para complementar las capacidades internas de la empresa con habilidades especializadas en áreas específicas donde es posible que no se tenga las habilidades o capacidades disponibles a tiempo completo.
  • Experiencia: los vCISO poseen una gran cantidad de conocimiento. Tienen mucha experiencia en negocios y en seguridad. Tener un historial establecido y experiencia le permite al vCISO comenzar a trabajar en el momento en que se contratan.
  • Independiente: esta puede ser una espada de doble filo, pero tener un vCISO que es independiente significa que están libres de políticas y agendas conflictivas.
  • Relaciones y conexiones establecidas: muchos vCISO tienen una red de contactos integrada y poseen muchas conexiones con proveedores y profesionales de la industria. Poder aprovechar esta red de contactos puede hacer que el crecimiento sea más eficiente y rentable.
  • Escalabilidad: el servicio puede ampliarse o reducirse dependiendo de la carga de trabajo y demanda de la empresa, por ejemplo, es posible que se desee aumentar el servicio cuando se esté iniciando un nuevo programa, y luego volver a reducirlo cuando se regrese a las operaciones habituales.
  • La objetividad equilibrada con el conocimiento interno: una relación a largo plazo con un vCISO a menudo proporciona el equilibrio correcto entre el conocimiento de una persona interna con la perspectiva objetiva de un asesor externo.
  • Continuidad: en promedio, los roles de los CISO cambian cada 2 años. Un servicio vCISO de una organización con varios especialistas experimentados como respaldo mutuo significa que no hay rotación de personal o períodos en los que no se tiene a un CISO a bordo.
  • Metodología probada: un servicio líder de vCISO generalmente se basa en metodologías y enfoques probados para garantizar la efectividad y la eficiencia del servicio, no solo el “body shopping” de personas experimentadas.

Desventajas de un vCISO

Si bien traer un vCISO puede ser muy útil, también es bueno comprender las desventajas. A continuación, hay cuatro desventajas con las que las organizaciones luchan cuando se trata de contratar un CISO virtual:

  • Puntualidad de las respuestas: dado que el CISO virtual respalda a muchas organizaciones, a veces puede ser difícil obtener respuestas urgentes de manera oportuna. Para superar esto, es recomendable discutir o documentar un SLA con el candidato antes de incorporarlo a la empresa. Si se sabe por adelantado que se necesita una respuesta en un plazo de cuatro horas, entonces es más fácil gestionar las expectativas.
  • No está integrado 100% dentro de la empresa: el vCISO técnicamente trabaja para la empresa, pero no invierte mucho en ella. No interactúan diariamente con el personal, no conocen a todos por su nombre, ni viven el día a día de la organización como lo hacen muchos empleados internos.
  • Falta de responsabilidad del riesgo: a la hora de contratar un vCISO hay que mirar con detenimiento el contrato y hablar de la responsabilidad del riesgo de manera abierta y sincera. Hay que asegurarse de que acepten parte del riesgo organizacional en caso de una mala gestión por su parte. Es decir, si se viola la seguridad de una organización debido a un error o una mala estrategia del vCISO hay que asegurarse de que no se vaya ileso.
  • Caro al llegar un momento de necesidad: Tener un CISO virtual puede ser muy rentable, pero si la organización crece rápidamente o experimenta una violación importante, el trabajo para el vCISO se complica y por lo tanto puede aumentar su precio, y puede ser bastante alto.

¿Es necesaria la figura del vCISO en la empresa?

Después de ver tanto sus beneficios como desventajas, la respuesta, a la pregunta de si es necesaria esta figura, varia y no necesariamente es la misma para todos. Para empezar, los CISO a tiempo completo bien calificados pueden ser difíciles de conseguir, a menudo permanecen en su puesto de trabajo durante dos años o menos, y de manera crítica, especialmente para las empresas más pequeñas, pueden exigir salarios de seis cifras.

Por el contrario, se estima que los vCISO cuestan entre el 30 y el 40 por ciento de un CISO a tiempo completo y están disponibles bajo demanda. Pero, además, los beneficios van mucho más allá del coste. Los CISO virtuales generalmente no requieren de formación, pueden comenzar a trabajar y no están obligados a seguir la política de la oficina. En este modelo, se trata únicamente de resultados, y los vCISO que valen la pena proporcionarán KPI e informes razonables.

Las startups y las empresas en crecimiento son los candidatos perfectos para el modelo de recursos externos, y son la mejor opción para las pequeñas y medianas empresas (PYMES), para complementar el equipo de gestión existente o simplemente como una solución provisional. Muchas de estas empresas cuentan con personal muy cualificado para desarrollar su negocio principal. Pero donde necesitarán apoyo es en la comprensión de las amenazas que les acechan, en sus necesidades relacionadas con la legalidad y en la definición de estrategias y planes de acción adecuados.

Conclusiones

A medida que una empresa crece, también lo hacen sus compromisos de cumplimiento y seguridad. Tener un CISO virtual al que se le pueda llamar cuando se necesite puede ser increíblemente útil y ahorrará, a la empresa, muchos dolores de cabeza al tratar de navegar por el mundo regulatorio que está en constante cambio, o mantenerse al día con el rápido ritmo de crecimiento de las amenazas de seguridad emergentes. Además, tener un vCISO puede hacer que el proceso de cumplimiento sea mucho más fácil de superar.

Los vCISO se adaptan a las necesidades de cada empresa. Son profesionales con amplia experiencia en Ciberseguridad capaces de establecer estrategias, planes y de aplicar distintas metodologías de seguridad en múltiples organizaciones.

En cualquier caso, el alcance concreto del servicio de vCISO debería ser configurado en base a los recursos internos disponibles y a las necesidades en materia de seguridad de cada empresa. Obviamente, y como cualquier decisión de externalizar servicios, ésta deberá estar avalada por un previo análisis que evidencie que, efectivamente, se optimizan los esfuerzos y los presupuestos destinados a garantizar el cumplimiento legal y normativo de seguridad de la información.

Como una inversión más en seguridad de la información, ésta debe adoptarse tomando en consideración los mismos aspectos que para otras inversiones en seguridad: debe estar orientada a gestionar riesgos reales, alineada con los objetivos de seguridad de la organización y dentro de los rangos presupuestarios establecidos.

En definitiva, una alternativa que, ahora más que nunca, puede ser de mucha utilidad por la creciente importancia que la seguridad de la información y el compliance asociado están cobrando, y la necesidad de abordarlos de forma global, rentable y con garantías.