Bir şirketin sanal bir bilgi güvenliği sorumlusu (vCISO) tutmasına yol açan çok sayıda yol vardır.
Yönetilen güvenlik hizmeti sağlayıcılarıyla (MSSP’ler) çalışan şirketlerin güvenlik stratejilerini genişletmeleri ve dolayısıyla bir vCISO’yu devreye almaları gerekebilir. Bir ihlalin ardından olay müdahale firması, yarı zamanlı bir CISO kiralayarak işletmenin proaktif bir güvenlik ve müdahale planı geliştirmesini önerebilir. Risk sermayedarları, birleşme veya satın alma sırasında durum tespiti yapmak için bir güvenlik uzmanına ihtiyaç duyabilir. Siber sigortacılar bile artık poliçe sahiplerine en iyi uygulamaları geliştirme sürecinde onlara rehberlik etmeleri için vCISO’ları öneriyor.
Sonuçta, sanal bir CISO, bir şirkete işin güvenlik programını tutarlı bir şekilde yönetebilen ve genellikle farklı bir bakış açısı getiren, güvenlik ekiplerinin yalnızca ağaçları değil ormanı da görmesine yardımcı olan bir uzman verir, diyor CISO’dan Thomas Siu. Inversion6, sanal CISO hizmetlerinin sağlayıcısıdır.
“İş sürecinden ve hatta müşteriden geri adım atma şansımız var çünkü büyük resmin tamamına bakabilecek kadar uzaktayız” diyor. “Bir CISO olarak, benim için belirli bir sorun alanına bakması için yine de kısmi bir CISO getirebilirim; bazen ağaç-orman sorunu ortaya çıkabilir.”
Sanal ve kısmi CISO’lar kalkıyor. Siber güvenlik konusunda yetenekli yönetici eksikliği Tam zamanlı bir CISO’yu işe almak pahalı bir teklifgenel güvenlik stratejisini yönetmek için yarı zamanlı bir lidere ödeme yapmak çoğu zaman mantıklıdır. Bir danışman bu amaca uygun olsa da, şirketler genellikle üzerinde anlaşmaya varılan bir stratejiye dayalı olarak tutarlı bir bakış açısı sunabilecek bir uzman veya operasyonel teknoloji veya belirli bir bölgenin düzenlemeleri gibi belirli becerilere veya bilgilere sahip kısmi bir CISO’ya ihtiyaç duyar.
Siber sigorta şirketi At-Bay’in güvenlik hizmetleri genel müdürü Adam Tyra, işe alım dürtüsünün ister birleşme, ister siber sigorta politikası, ister güvenlik olayı olsun, sanal bir CISO’nun bir şirketin uzun vadeli bir strateji geliştirmesine yardımcı olabileceğini söylüyor. Yönetilen hizmetler ve vCISO hizmetleri sunan.
“Çoğu şirket bu sigorta görüşmesini yılda yalnızca bir kez yapıyor ve poliçenin yenilenme zamanı gelene kadar bir daha yapmıyor, ancak tehdit ortamı sürekli değişecek” diyor. “Sigorta almak için gereken minimum tutardan çok daha fazlasını yapıyor olmalısınız ve vCISO’nuz bu noktada yardımcı olabilir.”
CISO’nuzu mu kaybettiniz? Bir vCISO’yu düşünün
Inversion6’dan Siu için sanal bir CISO olmanın yolu, müşteriler için ayrı projeler yürüten bir MSSP için yaptığı çalışmayla başladı. Michigan Eyalet Üniversitesi ve Case Western Reserve Üniversitesi’nde eski bir CISO olan Siu, yönetici koruması yapan bir şirket için vCISO olarak görev yaptı; risk altındaki şirket için bir siber güvenlik planı oluşturdu ve planın takip edildiğinden emin olmak için düzenli olarak kontrol yaptı. Şirketler ayrıca mevcut bir CISO’nun yola devam etmeye karar vermesi durumunda boşluğu doldurmak için Siu ile iletişime geçecekti.
“Birisi CISO’sunu kaybedecekti ve programı gerçekleştirmek için birisinin devreye girmesi gerekiyordu; bir satıcının bu tür stratejik iş danışmanlığı hizmetini uzun vadede yürütmesinin farklı bir ekonomik model olduğu ortaya çıktı” diyor. “Operasyonel olarak pek fazla müdahil değildiniz. Onlara bütçeleri konusunda yardımcı oluyordunuz. Stratejileri konusunda onlara yardımcı oluyordunuz. Yani istediğiniz kadar arayabilir veya geri çevirebiliyordunuz ama her zaman görüşme halinde olmanız gerekiyordu. “
At-Bay’den Tyra, genellikle bir vCISO’ya ihtiyaç duyan şirketlerin üç nedenden biriyle iletişime geçtiğini söylüyor: düzenleyici veya sözleşmeden doğan güvenlik gereksinimlerini karşılamak, siber güvenlik için endüstri normlarını karşılamak veya aşmak veya rekabette fark yaratacak bir güvenlik programı oluşturmak.
“Tüm sistemlerinizi uygulayabileceğiniz güçlü bir BT kapasitesine sahip bir şirketseniz ve tüm teknolojinizi yönetme konusunda iyiyseniz, ihtiyacınız olan tek şey bir vCISO hizmeti olabilir” diyor. “Yürütülecek projelerin önemli bir listesiyle doğru yöne yönlendiriliyorsunuz ve ardından bunları yapabilecek BT kapasitesine sahip oluyorsunuz.”
vCISO Yeterli Olmadığında
Ancak çoğu zaman bir plana sahip olmak, bir planı uygulamakla aynı şey değildir. Bu gibi durumlarda şirketler, belirli siber güvenlik yeteneklerini elde etmek için yönetilen güvenlik hizmetleri aramak isteyebilir. At-Bay’den Tyra, bir şirketin vCISO’dan daha fazlasına ihtiyacı olup olmadığını belirlemenin tuhaf bir şekilde vCISO için iyi bir iş olduğunu söylüyor.
“Bu, birçok şirketin dahili olarak bu yeteneklere sahip olup olmadıkları konusunda kendilerine karşı dürüst olmadıklarını düşündüğüm bir alan” diyor. “Bu, vCISO’nun potansiyel olarak girdi sağlayabileceği ve insanların tavsiyenin yeterince iyi olup olmayacağını anlamalarına yardımcı olabileceği başka bir alandır. [if] Gitmeye çalıştığınız yere ulaşmak için sistemlerinizi gerçekten iyi kullanmanız gerekiyor.”
Son olarak, yeni tehditler ortaya çıktıkça şirketler genellikle kendilerinin nasıl etkilenebileceğini bilmek ister. Inversion6’dan Siu, vCISO hizmetlerinin genellikle şirketlerin personelde tutamayacağı bir uzmanlık derinliğine sahip olması nedeniyle, gelip yapay zeka gibi yeni teknolojilerle veya tehdit ortamındaki değişikliklerle başa çıkmak için öneriler sunabileceklerini söylüyor.
“Birisi zaten bir güvenlik programına sahip olsa bile, bizi derinlemesine sahip olmadıkları, hatta çok uzmanlaşmış olduğu için işe alamayabilecekleri yerlere temas ettiriyorlar” diyor. “Bunu, insanların belirli öğelerin nerede olduğunu anlamalarına yardımcı olmak için kullanabiliriz. [threats] genel risk profillerine uyuyor.”