استخدام خدمة CISO الافتراضية
بالنسبة للشركات الحديثة ، يشكل أمن المعلومات منطقة العمليات الخاصة بها. إن التركيز الهائل على البيانات في بيئة الأعمال اليوم وعدد كبير من اللوائح المتعلقة بمعالجة المعلومات الشخصية يجعل تقنية المعلومات والاتصالات عنصرًا حيويًا في أي مؤسسة.
ومثلما تحتاج أقسام التسويق والمبيعات لديك إلى خبراء أكفاء لتشغيلها وإدارتها ، كذلك الأمر بالنسبة لأمنك الرقمي.
هذا هو المكان الذي يظهر فيه رؤساء أمن المعلومات ، أو CISOs ، هو مسؤول تنفيذي مسؤول عن كل شيء وأي شيء يتعلق بالحفاظ على أمان معلوماتك الرقمية. وفقًا لأحدث الاستطلاعات ، فإن غالبية الشركات ، وأكثر من ثمانين بالمائة من الشركات الكبرى ، لديها CISO في كشوف المرتبات.
يمكن تقسيم نطاق وظيفة كبير مسؤولي أمن المعلومات إلى ثلاث فئات أساسية:
عمليات الأمن: يشمل ذلك جميع التحليلات في الوقت الفعلي للأخطار المباشرة ، وجمع المعلومات الاستخبارية حول اتجاهات التهديدات ونقاط الضعف المحتملة لشبكة الشركة. ويشمل أيضًا إدارة بروتوكولات الأمان لكيفية تفاعل الموظفين مع أصول البيانات والأجهزة الخاصة بالشركة.
هندسة الأمان: تخطيط وشراء وطرح أجهزة وتطبيقات الأمان الأكثر ملاءمة لاحتياجات العمل الفريدة. هنا يحتاج كبير مسؤولي أمن المعلومات إلى العمل مع موظفي تكنولوجيا المعلومات لتخطيط وتصميم التكنولوجيا مع وضع الأمان في الاعتبار.
الحوكمة: هذا يعني التأكد من أن جميع الاحتياجات الأمنية للشركة تعمل بسلاسة: الحصول على التمويل الذي تحتاجه ، والتعاون مع الإدارات ذات الصلة ، واهتمام المديرين التنفيذيين الآخرين.
مع وضع هذا الملخص في الاعتبار ، يمكنك الحصول على فكرة جيدة عن مجموعة المهارات الواسعة المطلوبة لهذا المنصب. يحتاج CISO المثالي إلى مستوى خبير من الكفاءة التقنية ، وأن يكون مديرًا ومنفذًا رائعًا ، ويجب أن يكون أيضًا مدافعًا من الدرجة الأولى مع القدرة على التنسيق عبر مجالات متعددة.
أولا وقبل كل شيء التكلفة. CISO يتجاوز بسهولة 150.000 دولار في السنة. صحيح أن فوائد الشبكة الآمنة تفوق بكثير تلك التكاليف ، لكنها لا تزال باهظة الثمن بالنسبة لمعظم الشركات.
الثانية هي مشكلة التكرار القديمة. كما هو الحال في العديد من مجالات الأعمال الأخرى ، يتداخل أمن المعلومات مع العديد من أقسام الشركة الأخرى: قسم التكنولوجيا ، قسم العمليات ، وبما أن أمن المعلومات مجال منظم للغاية – أي مكتب آخر يتعامل مع القوانين والامتثال. ما يُترجم إلى العديد من الشركات هو تضارب في المهام بين CISO وعدد من أقسام الشركة الأخرى. ومع ذلك ، في الوقت نفسه ، فإن التخلي تمامًا عن دور CISO ينتج النقيض المعاكس. إن الموقف المتمثل في “سنقوم فقط بتسليم أمن المعلومات إلى العمليات” يعني أن مدير العمليات المنهك بالفعل لن يكون على اطلاع دائم بمهام الأمان اليومية ، وبالتأكيد لن يكون قادرًا على إدارة الأزمات عند حدوثها.
ما هو Virtual CISO؟
هذه المشاكل وغيرها هي التي ولدت الظاهري CISO (vCISO).
مزود خدمة فيتروال سيسو
vCISO ليس منصبًا وظيفيًا ولكنه خدمة. تم تصميم حزمة vCISO لإتاحة خبراء أمان من الدرجة الأولى للمؤسسات التي تحتاج إلى خبرة أمنية وإرشادات عند الطلب. يمكن للشركات التي تواجه تحديات في أمن المعلومات تتجاوز ما يمكن أن تلتقطه إداراتها الأخرى – سواء كان ذلك بسبب نقص القوى العاملة أو الخبرة – أن تتعاقد مع vCISO لسد هذه الفجوة.
إن امتلاك vCISO يكرر إلى حد كبير CISO الداخلي بأكثر الطرق أهمية.
من أكثر الأمور التي تثير قلق عدم وجود ضابط أمن في الموقع أنه لن يكون هناك من يتعامل مع القضايا الأمنية العاجلة عند ظهورها. هناك سببان لا أساس لهذا القلق. أولاً ، يتكون معظم دور CISO من المهام الروتينية ، وليس إدارة الأزمات في الوقت الحالي. ولكن الأهم من ذلك ، أن التعامل مع vCISO لا يعني بالضرورة التنازل عن الاستجابة للطوارئ. إذا تمت إدارتها بشكل جيد ، فستتيح لك خدمة vCISO الوصول السريع إلى النصائح والاستشارات عند ظهور المشكلات.
بالإضافة إلى ذلك ، تتمتع vCISOs بميزة كبيرة من ناحية التكلفة ، حيث أن الدفع مقابل هذه الخدمة سيكون جزءًا بسيطًا من راتب CISO. لكننا سنتطرق إلى عامل التكلفة بعد قليل.
Good Vs Bad Virtual CISO
بطبيعة الحال ، فإن أي تحول بعيدًا عن موظف داخلي إلى الخدمة سيترتب عليه مقايضات.
بقدر ما يذهب تشغيل برنامج أمن المعلومات الخاص بك ، فإن العيب الأكبر للخدمة الافتراضية هو عدم الإلمام العملي بشبكتك وثقافة شركتك.
سيكون لدى CISO الموجود فعليًا في الموقع (أو على الأقل تطويره بمرور الوقت) معرفة بشبكتك وممارسات الأمان من الداخل. وهذه مشكلة كبيرة. في الواقع ، هناك عدد غير قليل من المشكلات الأمنية حيث يمكن أن يكون هذا أحد الأصول الحيوية. من خلال المصادقة والهويات الرقمية ، على سبيل المثال ، معرفة كيفية وصول تصنيف الشركة وملفها إلى محطات العمل الخاصة بها ، ونوع المعلومات التي يتفاعل معها كل قسم ، ومدى راحة الموظفين الفرديين مع تطبيق مصادقة معين ، كلها أمور ضرورية لفكر جيد. خارج الاستراتيجية.
يمكن تخفيف بعض من عامل “المسافة” هذا إذا كان vCISO يعرف ما يفعله. سيطرحون الأسئلة الصحيحة ويتعرفون على شركتك واحتياجاتها الفريدة. علاوة على ذلك ، فإن غالبية أعمال أمن المعلومات عامة في أي حال ، ولا يلزم أن يكون عدم معرفة تفاصيل عملك عائقًا. ومع ذلك ، هذا شيء يجب مراعاته وبالتأكيد شيء تريد مناقشته مع أي مزود تفكر في توليه.
كيف يتكامل CISO الظاهري مع فرقك الحالية؟
من الناحية المثالية ، ستحصل الشركات التي تتعامل مع خدمة أمان افتراضية على توازن جيد بين (أ) الإشراف على تقنية المعلومات من ذوي الخبرة و (ب) التوجيه لموظفي تكنولوجيا المعلومات الداخليين. يجب أن يكون vCISO قادرًا على المساعدة في تجميع كل عناصر الصورة الكبيرة معًا وإنشاء خطة يمكنك اتباعها. يتضمن ذلك سياسات وإرشادات ومعايير الأمان ، مما يعني جميع اللوائح ذات الصلة التي تتعلق بمجال عملك (HIPPA للشركات الطبية على سبيل المثال) وأي قواعد خاصة بالمنطقة (مثل اللائحة العامة لحماية البيانات في أوروبا).
في الوقت نفسه ، يجب أن تكون vCISO قادرة على تدريب موظفيك وأي شخص لديه مسؤوليات أمنية. سيكون هذا مفتاحًا للتنفيذ الناجح لأي أهداف عمل ستضعها vCISO.
هذا يقودنا إلى قضية الاتصال. يوافق جميع خبراء الصناعة على أن تعيين vCISO لن يعمل كبديل للمشاركة الداخلية في برنامج أمن المعلومات. يجب أن يكون هناك مدخلات كبيرة من جانب الموظفين المحليين عند تنفيذ السياسات بالفعل. حتى أفضل خدمة vCISO لن تكون قادرة على تدريب الموظفين الفرديين ، وإجراء رقابة يومية فعالة ، والاطلاع على جميع عمليات تثبيت البرامج وعمليات الدمج عن بُعد.
هذا هو السبب في أن الاتصال السلس مع مزود vCISO الخاص بك سيكون أمرًا حيويًا. تتمثل الطريقة لضمان أفضل نتيجة في تحديد القسم الموجود في الموقع الذي سيتواصل مع vCISO وأي عضو تنفيذي / فريق سيكون مسؤولاً عن ذلك. إذا كانت عمليات ، رائعة. إذا كنت تشعر أن قسم تكنولوجيا المعلومات هو الأنسب ، فلا بأس بذلك أيضًا. المهم هو أن تعرف مسبقًا من الذي يتخذ موقفا. يمكن بعد ذلك أن يكون هذا القسم هو الوسيط بين الشركة و vCISO والتأكد من رعاية أو تفويض أي عمل مرئي.
عندما يتم تنفيذ هذا النموذج بنجاح ، لا داعي للقلق عادةً بشأن ديناميكيات المكتب مثل بناء الثقة / العلاقات ، والألفة ، وما إلى ذلك. سيكون التفاعل أشبه بمستشار يقدم خطة عمل تقوم بتنفيذها بعد ذلك. ولكن مرة أخرى ، لهذا السبب يجب توضيح التوقعات لموظفيك في الموقع منذ البداية. دعهم يفهمون أن vCISO لن يكون مصدرًا خارجيًا لجميع مسؤوليات تقنية المعلومات بل هو أصل ودليل لبرنامج الأمن داخل المكتب.
كيف يتم تعويض CISO الظاهري؟
كما ذكرنا سابقًا ، قد يكون تعيين CISO الخاص بك مكلفًا إلى حد ما. يمكن أن يؤدي استخدام الخيار الافتراضي إلى خفض تكاليف إدارة الأمن السيبراني بنسبة تصل إلى سبعين بالمائة. في الواقع ، عادةً ما تكون التكاليف المنخفضة لـ CISOs الافتراضية مقارنة بالتكاليف الداخلية هي أكبر نقطة بيع لهذه الخدمات. لإعطاء رقم ملعب كرة قدم بالدولار ، سيدير مزود CISO الظاهري الجيد ما بين 2000 دولار و 4000 دولار شهريًا لمنظمة متوسطة الحجم. ضع في اعتبارك أن هذه التكلفة يمكن أن تزيد أضعافا مضاعفة مع حجم المنظمة.
لدى مقدمي الخدمة نماذج دفع مختلفة ، ولكن من الشائع جدًا أن يكون لديهم ترتيب من نوع التجنيب السنوي. هذا أمر منطقي بالنظر إلى أنه في نهاية اليوم ، فإن جزءًا كبيرًا مما تدفعه لـ CISO الافتراضي للقيام به هو أن تكون متاحًا.
ما هو نوع المنظمة المناسب لـ Virtual CISO؟
بعد فهم بعض ديناميكيات vCISOs ، من المهم أيضًا معرفة نوع المؤسسة الأنسب لهذا النوع من الخدمة.
بشكل عام ، ستكون vCISOs هي الإجابة لنوعين من المنظمات.
أولاً ، تتطلع الشركات الصغيرة والشركات الناشئة إلى توسيع برنامجها الإلكتروني. بالنظر إلى دراسات الحالة في اتجاهات إدارة الأمن ، يرى المرء أن هذا موضوع مشترك مع الشركات التي توظف vCISOs. تحتاج الشركات ، بعد تحقيق مستوى معين من النمو ، إلى المساعدة في تحديد وإعداد برنامج إلكتروني يمكن لفريق التكنولوجيا الداخلي تشغيله. تفسر ملاءمة وفعالية هذا النهج الموجة المتزايدة من الشركات التي لا تزال في مرحلة البدء التي تبحث عن CISO افتراضي.
والثاني هو الشركة التي تتطلب تكملة لبرنامج الأمن السيبراني الحالي أو حتى كحل مؤقت / مؤقت عند ظهور حاجة معينة. الحالة الكلاسيكية هي شركة تتطلب المساعدة في بناء خطة أكثر شمولاً ودمج برامج الامتثال الحالية.
هناك حالة أخرى يتم مشاهدتها غالبًا عندما تتطلب المتطلبات القانونية أو الفنية الجديدة تعزيزًا إضافيًا للخبرة أو الدعم. غالبًا ما يُرى هذا في التصنيع والتوريد والمجالات التقنية الأخرى حيث تصل الشركات إلى مستوى معين من النمو أو تواجه تغيرًا تنظيميًا.
كيفية اختيار Virtual CISO
يبدو أن العديد من شركات Cybersec تقدم خدمات Virtual CISO وبصراحة ، قد يكون من الصعب معرفة أيها مثالي.
بعض المؤشرات للمساعدة في التحرك في الاتجاه الصحيح هي كما يلي:
على الفور ، يتعين على الشركات تحديد ميزانيتها. إن معرفة أن لديك ، على سبيل المثال ، تخصيص سنوي قدره 40 ألف دولار لإدارة الأمن السيبراني سيساعد في إعطاء بعض التركيز الأولي.
ثانيًا ، وربما الأهم ، تعرف على احتياجاتك.
كما أوضحنا أعلاه ، يقدم CISOs الافتراضيون أنواعًا مختلفة من القيمة لبرنامج الأمن السيبراني الخاص بك. سيكون فهم ما تحاول الحصول عليه من vCISO مفيدًا جدًا.
بالنسبة للشركات الناشئة والشركات الصغيرة التي بدأت للتو في إنشاء برنامج إلكتروني ، ابحث عن موفري vCISO الافتراضيين الذين لديهم خلفية مثبتة في هذا المجال. عند مناقشة الخيارات مع موظف محتمل ، اسأل عن احتياجاتك الخاصة بالصناعة – اللوائح والمتطلبات الفنية على رأس القائمة. إذا لم يتمكن الموفر من إثبات معرفته بالقواعد التي تحكم صناعتك الفريدة ، فمن المحتمل أن يكون ذلك بمثابة علامة حمراء.
الأمر نفسه ينطبق على الشركات التي تبحث عن مكمل للأمن السيبراني مع الاستمرار في إدارة برامجها في الغالب داخل الشركة. بشكل عام ، يجب أن يكون vCISO الجيد قادرًا على إخبارك كيف يمكن أن تتراكب خطته مع برامج الأمان الموجودة لديك وتتكامل معها. هل من غير المحتمل تمامًا أن تبدأ من نقطة الصفر ، وإذا أخبرك مقدم الخدمة بذلك ، فمن المحتمل أن يكون ذلك علامة على أنك قد قمت ببيع كيس من البضائع.
أخيرًا وليس آخرًا ، من الضروري أن تعرف منذ البداية كيف تتواصل vCISO معك ومع موظفيك. وهذا يشمل من هو نقطة الاتصال المباشرة في vCISO ووقت الاستجابة المتوقع في حالة حدوث أزمة.
مسلحين بهذه المعرفة ، ستكون أنت وفريقك في وضع أفضل بكثير لاتخاذ قرار بشأن مزود CISO افتراضي.