2024 será el año del vCISO. Un increíble 45% de los MSP y MSSP son planeando comenzar a ofrecer Servicios vCISO en 2024. Como MSP/MSSP que proporciona servicios vCISO, usted es propietario de la infraestructura y la estrategia de ciberseguridad de la organización. Pero también debe posicionarse como una persona confiable para tomar decisiones, manejando responsabilidades profesionales, necesidades comerciales y requisitos de liderazgo. A nuevo seminario web de Cynomilíder de la plataforma vCISO, CISO anfitrión y veterano de vCISO, Jesse Miller de PowerPSA Consulting, proporciona a los MSP y MSSP un plan eficaz de 100 días para prepararse para el éxito.
El seminario web proporciona un plan de acción tangible de cinco pasos de 100 días que cualquier MSP/MSSP puede seguir cuando interactúa con un nuevo cliente vCISO. También proporciona orientación sobre los objetivos de vCISO y los obstáculos que se deben evitar. Al ver el seminario web, podrá posicionarse como un socio estratégico y de largo plazo para sus clientes. Lo verán como capaz de impulsar la transformación de la seguridad y gestionar la seguridad de forma continua y dinámica.
Algunos de los aspectos más destacados cubiertos en el seminario web:
Objetivos de vCISO
Al comenzar como vCISO, es importante comprender los objetivos del vCISO y utilizarlos para guiarlo a lo largo de su función:
- Establecer, supervisar y gestionar la seguridad organizacional de manera flexible y sólida.
- Fomentar la confianza con los objetivos de seguridad a través de la alineación, para lograr el liderazgo y la aceptación de las partes interesadas.
- Hacer de la seguridad un facilitador empresarial, contribuyendo al cumplimiento, la eficiencia operativa, una ventaja competitiva, la responsabilidad financiera y más.
Errores a evitar
Al mismo tiempo, manténgase alejado de los obstáculos que pueden afectar su capacidad de brindar servicios de alta calidad. Algunos consejos para evitar trampas incluyen:
- Manténgase estratégico y resista la tentación de apagar incendios.
- Mantenga la objetividad y evite quedar atrapado en la política organizacional.
- Utilice procesos automatizados, no manuales. En comparación, estos métodos requieren mucho tiempo, son propensos a errores e ineficientes.
- Garantizar el cumplimiento para evitar graves consecuencias legales y reputacionales.
- Delegue y construya la infraestructura en lugar de hacerlo todo usted mismo.
- Y más
Las 5 Fases: Tu Plan de Acción de 100 Días
Fase 1: Investigación (Días 0-30)
¡Bienvenido a tu nuevo cliente! Comience investigando el estado actual de la postura de seguridad y los objetivos comerciales de la organización. Esto implica establecer relaciones con las partes interesadas y el equipo de TI/seguridad, revisar las prácticas, políticas y configuraciones de gestión, y evaluar los procesos de gestión de proveedores y los riesgos de terceros. Estas acciones le ayudarán a comprender las posibles vulnerabilidades y la eficacia de los controles y procedimientos de seguridad existentes..
Fase 2 Comprensión (Días 0-45)
Ahora es el momento de reunir sus hallazgos. Esto comienza con la realización de una evaluación de riesgos de seguridad con un cuestionario de incorporación estándar y una herramienta de escaneo. Luego, utilice toda la información de la evaluación y de la fase uno para crear una imagen clara de la madurez y la postura de seguridad. Después de presentar esta postura y las brechas existentes a la gerencia, podrá desarrollar una lista de necesidades a corto y largo plazo basadas en los riesgos y objetivos comerciales. En la lista, asegúrese de demostrar el valor comercial de sus inversiones en seguridad. Cuando sea posible, utilice la automatización para lograr eficiencia.
Fase 3: Priorizar (días 15 a 60)
El tercer paso consiste en dar forma a planes viables. Redactar objetivos a corto, mediano y largo plazo y desarrollar el plan y el presupuesto requerido para lograr estos objetivos. Identifique 2 o 3 logros rápidos que mejorarán la seguridad y la postura de su organización y comparta todos estos resultados, junto con un registro de riesgos, con la gerencia.
Fase 4: Ejecutar (Días 30-80)
Ahora es el momento de ejecutar. Esto establecerá su credibilidad vCISO y marcará la pauta para la gestión de seguridad continua. Una vez que tenga la aceptación de las partes interesadas y de la gerencia, comunique su plan en todos los ámbitos, creando un sentido de responsabilidad y éxito compartidos. Comience a ejecutar las tareas que lo ayudarán a lograr sus objetivos: implementar sistemas automatizados, los resultados rápidos que identificó, la creación de políticas de alta prioridad y nuevas herramientas y productos. Tan pronto como sea posible, configure la cadencia de informes para ayudarle a demostrar mejoras. Y como siempre, en un entorno en rápida evolución, esté preparado para adaptarse según sea necesario.
Fase 5 – Informe (Días 45-100)
La presentación de informes es clave para demostrar el éxito. Recopile datos que reflejen el progreso y el éxito, como tiempos de respuesta a incidentes reducidos o menos intentos de phishing exitosos. Asegúrese de comunicar estos datos a la gerencia de una manera que muestre el impacto comercial, los éxitos y desafíos, y el progreso de la seguridad. Además de estos informes frecuentes, realice una evaluación completa adicional después de 3 o 4 meses para demostrar el progreso e identificar vulnerabilidades nuevas o no resueltas. Con base en estos informes, adapte y mejore continuamente sus procesos y controles para mantener las medidas de seguridad efectivas y relevantes.
Tus próximos pasos como vCISO
Tomar decisiones significativas, medir su impacto y mantener una mentalidad flexible lo preparará para el éxito en su viaje vCISO. Para obtener más información, comprender cómo se estructura este plan y obtener una lista completa de tareas y una lista de verificación que lo guiará durante sus primeros 100 días. mira el seminario web aquí.
About the Author
