Geçtiğimiz birkaç yılda, işletmeleri bilgisayar korsanlarından ve uyumlulukla ilgili güvenlik sorunlarından koruma işi, en hafif tabirle hantal hale geldi. Büyük şirketler genellikle bu sorunları ele alacak baş bilgi güvenliği görevlilerine sahipken, küçük şirketler genellikle bunu yapmaz. Bazen bunun nedeni, küçük işletmelerin bir taneye sahip olma ihtiyacını hissetmemesidir ve bazen de bu tamamen bütçeye bağlı bir karardır.
Bir CISO’ya sahip olmamayı haklı çıkarmak giderek zorlaşıyor; daha önce hiç CISO’su olmayan pek çok işletme, boşluğu sanal bir CISO (vCISO) ile dolduruyor. Bazen kısmi CISO veya Hizmet Olarak CISO olarak da adlandırılan vCISO, genellikle işletmelerin altyapılarını, verilerini, personelini ve müşterilerini korumalarına yardımcı olan, yarı zamanlı, dış kaynaklı bir güvenlik uzmanıdır. Şirketin ihtiyaçlarına bağlı olarak vCISO’lar yerinde veya uzak, uzun vadeli veya kısa vadeli olabilir.
Şirketlerin vCISO yoluna gitmesinin birçok nedeni var. Bazen bu, bir şirketin CISO’sunun beklenmedik bir şekilde istifa ettiği ve yönetim kurulunun kalıcı olarak yeni bir tane bulmak için zamana ihtiyaç duyduğu bir iç kriz olabilir. Diğer zamanlarda, yeni düzenleme veya iş gereklilikleri veya şirketin uyması gereken bir siber güvenlik çerçevesi etrafında döner. NIST’in Siber Güvenlik Çerçevesi 2.0 (2024’te bekleniyor). Bazen CISO’dan brifing almaya alışkın olan bir yönetim kurulu üyesi vCISO talep edebilir.
Aynı zamanda IANS Araştırma öğretim üyesi ve SANS Enstitüsü eğitmeni olan vCISO’dan Russell Eubanks, “Daha küçük bir şirketin haftada yalnızca birkaç gün bir CISO’ya ihtiyacı olabilir ve bu tür bir dağıtım modeli vCISO için mükemmeldir” diyor . Anahtarın esneklik olduğunu ekledi. Şirketin belirli bir süre için haftada 40 saat vCISO’ya ihtiyacı varsa bu da sorun değildir.
Küçük işletmelerin yanı sıra SaaS, imalat, sanayi ve sağlık sektörlerindeki kuruluşlar da vCISO modeli için iyi adaylardır. Bazıları finansal alanın vCISO’lar için de uygun olabileceğine inanırken, diğerleri alanın o kadar sıkı düzenlemelere tabi olduğunu ve finans kurumlarının kendi tam zamanlı CISO’larına sahip olmaları gerektiğini söylüyor.
vCISO’lar Ne Yapar?
vCISO’ların şirketler için gerçekleştirdiği en yaygın görevler arasında Yönetişim, Risk ve Uyumluluk (GRC), stratejik planların geliştirilmesi ve uygulanması ve güvenlik olgunluğunun değerlendirilmesi ve geliştirilmesi yer alıyor. Hitch Partners raporu. Deneyimli vCISO’lar siber riski, teknolojiyi ve etkili bir güvenlik stratejisi oluşturmak için iş hakkında yeterince bilgi sahibi olacaktır.
vCISO’lar ayrıca kalıcı vCISO’lara danışmanlık yapmak için de zaman harcıyorlar. Yıllarca San Francisco bölge bankasında CIO ve ardından CISO olarak çalışan Nick Shevelyov, beyinlerini seçmek ve onlardan bir şeyler öğrenmek için rutin olarak vCISO’ları çağırdığını söylüyor. Bugün, Shevelyov yönetici bir siber güvenlik danışmanıdır ve kendi butik danışmanlığını yürüten vCISO’dur.
Shevelyov, “CEO’lar, CFO’lar, CIO’lar, CTO’lar ve hatta CISO’lar, neye öncelik vermeleri gerektiğini hızlı bir şekilde anlamalarına ve teknolojilerinin doğru yapılandırılmış, kurulmuş ve tasarlanmış olup olmadığını değerlendirmelerine yardımcı olmak için bir vCISO ile iletişime geçebilir, bu da siber güvenlik açıklarına neden olabilir” diyor. “Bir CISO olarak öğrenebileceğim her şeyi öğrenmek istedim.”
Bazen şirketler, şirket içindeki rolü tanımlamak için bir vCISO ile bile anlaşır, böylece vCISO sonunda devralacak bir sonraki kalıcı CISO’yu hazırlayabilir.
vCISO hizmetleri sağlayan bir teknoloji danışmanlığı olan Protoviti’nin güvenlik ve gizlilik uygulamalarından sorumlu genel müdürü Nick Puetz, “Çoğu zaman, yüksek vasıflı kısmi CISO’ların birisini yetiştirdikleri için kendi kendilerine işsiz kaldıklarını gördüm” diyor.
Bir vCISO bulmakla ilgilenen şirketlerin birçok seçeneği var. Tanıdıkları sektör uzmanlarına sormanın yanı sıra şunları da bulabilirler: çok sayıda aday büyük danışmanlık firmalarından, vCISO hizmetlerinde uzmanlaşmış butik firmalardan ve yönetilen hizmet sağlayıcılardan. Eubanks’a göre önemli olan, adayların tercihen vCISO’yu arayan şirketle aynı sektörde CISO olarak çalışma deneyimine sahip olmalarıdır.
Doğru vCISO Uygunluğunu Bulma
Birkaç yıl önce, orta ölçekli bir kredi birliği beklenmedik bir şekilde siber liderini daha fazla para teklif eden birine kaptırdığında, kendisini bir yol ayrımında buldu. Sadece 600 çalışanı olan ve hazırlanmış bir yedekleme planı bulunmayan kredi birliğinin kadrosunda CISO rolüne adım atabilecek hiç kimse yoktu. Bu nedenle, yönetim ekibi yeni bir CISO için aylarca sürecek bir aramaya hazırlanırken, yarı zamanlı geçici bir CISO sağlamak için küresel danışmanlık firması Protiviti’ye yöneldi.
Orta ölçekli kredi birliği için doğru vCISO’yu bulmak Protiviti’nin biraz çalışmasını gerektirdi.
Puetz, “Bu, onlarla oturup neyi başarmaları gerektiğini ve yolculuğa nereden başlayacağımızı anlamakla ilgili” diyor. “Bu bilgilerle, sunduğumuz, anlamlı olabilecek veya özel olarak onların ihtiyaçlarına göre uyarlanabilecek paketler önerebiliriz.”
Neye ihtiyacınız olduğunu bilin. Dijital danışmanlık firması West Monroe’nun ulusal siber güvenlik lideri Deron Grzetich, potansiyel adaylara dalmadan önce ne aradığınızı bilmeniz ve gereksinimlerinizi belirlemenin önemli olduğunu söylüyor.
“Bazen daha çok bir yolcu gemisi kaptanına benzeyen, çok fazla değişiklik yapmak için değil, trenin hareket etmesini sağlamak için orada olan birine ihtiyaç duyarsınız. Bir de, ilgili siber sorunların çözülmesine yardımcı olan ve daha çok evanjelistlere benzeyen saha CISO’ları vardır. şirketin yüzü” diyor Grzetich. “Bu, ne aradığınıza ve siber olgunluk yolculuğunuzun neresinde olduğunuza bağlıdır.”
Bunu akılda tutarak vCISO rolünün kapsamını ve sonuç beklentilerini net bir şekilde tanımlayın. Bu faktörlerin tanımlanmasının, kişinin role uyum sağlamasına yardımcı olacağını ekledi.
Uygun adayları bulun. Bakılacak çok yer var, ancak şirketinizin dinamiklerini anlayan ve doğru deneyime sahip olan doğru kişiyi bulmak sinir bozucu olabilir. Öncelikle CISO olarak deneyime sahip olduklarından emin olun. Bu bariz bir tavsiye gibi görünebilir, ancak önemlidir. “Dışarıda iyi bir iş bulamayan çok sayıda kıdemli danışman var, bu yüzden vCISO olarak hizmetlerinin reklamını yapıyorlar. Ancak derinlemesine incelerseniz onların hiçbir zaman güvenlikten sorumlu olmadıklarını göreceksiniz. İnternet Güvenliği Danışmanları Grubu’nun uzun süredir başkanlığını yapan ve küresel bir danışmanlık şirketi olan CYE’nin saha CISO’su olan Ira Winkler, “bir kuruluşta” diye uyarıyor.
Adayları önceliklerinize göre dikkatle inceleyin. Sektöre aşinalık önemli olabilir çünkü öğrenme eğrisini azaltır ve potansiyel vCISO’nun şirketinizin sorunlarını anlamasını sağlamaya yardımcı olur. Örneğin, şirketiniz sıkı düzenlemelere tabi bir finansal kuruluşsa, bu alandaki deneyim çok önemli olacaktır. Şirketinizin yoğun bir müşteri odaklılığı varsa ve satış odaklıysa, bu alandaki deneyim faydalı olacaktır. Adayların benzer büyüklükteki şirketlerde deneyim sahibi olmaları da faydalıdır.
Ancak uyumluluk önemli olsa da doğru vCISO, bunların bir kısmını geçersiz kılabilir. Eubanks, “Şirketin büyüklüğü ve sektör önemlidir, ancak bunlar anlaşmayı bozucu değildir” diyor. “Örneğin, sağlık, finans ve iletişim sektörlerinde çalıştım ve imalat gibi diğer sektörlerde de pek çok benzerlik görebiliyorum. Pek çok benzer gereksinim birden fazla sektöre nüfuz ediyor.”
Süreci aceleye getirmeyin ve gerçekçi olun. Puetz, “Kuruluşların doğru tipte kişiyi bulmaya zaman ayırmadıkları veya doğru tipte kişiyi bulmak için ihtiyaç duydukları danışmanlık tipini almak konusunda isteksiz oldukları birçok durum gördüm” diyor. . “Birini getirmek için acele ederlerse, bazen bunun uygun olmadığını anlarlar.”