Então, você não tem um oficial de segurança da informação? 9 sinais de que sua empresa precisa de um
Cibersegurança

Então, você não tem um oficial de segurança da informação? 9 sinais de que sua empresa precisa de um

atualizado em Deixe um comentário em Então, você não tem um oficial de segurança da informação? 9 sinais de que sua empresa precisa de um

A ameaça de ataques cibernéticos mantém muitos CEOs dos EUA acordados à noite, mas menos de metade deles tem um CISO a verificar debaixo da cama da sua empresa em busca de monstros digitais.

Os ataques cibernéticos estão listados como a preocupação número 2 do país na pesquisa de CEOs do Conference Board de 2024. No entanto, apenas 45% das empresas americanas têm um diretor de segurança, de acordo com a pesquisa de 2021 da Navisite, o estudo mais recente sobre o assunto.

Esses números sugerem que muitas empresas não possuem um CISO. Vamos analisar por que tantas empresas não têm um, como gerenciam a segurança cibernética sem ele e nove sinais importantes de que uma empresa realmente precisa de um CISO.

Por que algumas empresas ficam sem um CISO

O tamanho é importante quando se trata de contratar um CISO. As empresas menores podem não precisar (ou ser capazes de atrair de forma realista) um CISO.

“Imagine que você é uma empresa de 200 pessoas com uma linha de negócios descomplicada. Você realmente precisa de um CISO em tempo integral? O que eles farão o dia todo? Provavelmente não faz sentido”, disse Rob Black, CEO da Fractional CISO, uma empresa com sede em Boston que fornece às empresas serviços CISO físicos e temporários. “Se for um fabricante de widgets com 200 pessoas, existe um CISO que queira trabalhar para essa organização? Os CISOs estão em busca de uma carreira empolgante”, acrescentou.

Dito isto, mesmo as empresas de grande escala estão optando por deixar a função de CISO. “Entramos em empresas com 1.000 pessoas o tempo todo sem um CISO, e talvez até maiores”, disse Black.

O custo de contratar e reter um CISO é um grande obstáculo para algumas organizações. Até mesmo promover alguém de dentro para um novo cargo de CISO pode ser caro: a remuneração total para um CISO em tempo integral nos EUA agora é em média de US$ 565.000 por ano, sem incluir outros custos que muitas vezes acompanham o preenchimento do cargo.

“Se for um negócio maior, eles terão que contratar uma equipe por trás do (CISO). Eles vão precisar de arquitetos, de SOC, de engenheiros. Portanto, os custos dos recursos estão aumentando”, disse Sistla Vaishnavi, diretora da Riviera Partners, no Reino Unido, uma empresa de pesquisa com sede em São Francisco.

A pesquisa da Navisite sugere que as empresas enfrentam outro obstáculo para contratar um CISO: a lacuna crônica de talentos. “(A) escassez de competências em segurança cibernética… estende-se a níveis muito elevados. “As empresas valorizam e procuram a liderança em segurança cibernética, mas é cada vez mais difícil encontrar e reter estes indivíduos”, afirma a investigação da Navisite. Em suma, a fome global por talentos cibernéticos está a desencorajar muitas empresas de embarcarem numa procura longa e dispendiosa de um CISO que poderá, em última análise, não ter sucesso.

Opções cibernéticas não CISO

Quem é o responsável pela segurança cibernética em organizações sem CISO? A pesquisa da Navisite revelou que 60% das empresas dependem de outras partes da sua organização para gerir a segurança cibernética, tais como TI, liderança sénior ou pessoal de conformidade.

Na maioria dos casos, pode ser o CIO. Um relatório de 2023 da Cybersecurity Ventures sugere que os CIOs provavelmente gerenciarão a cibersegurança em empresas sem um CISO. A pesquisa estima que quase 90% das organizações com um CIO em tempo integral não empregam um CISO em tempo integral.

Aplicar a segurança cibernética além de suas funções pode ser um ato de equilíbrio complicado para alguns CIOs, diz Cameron Smith, diretor sênior de segurança cibernética e privacidade de dados do Info-Tech Research Group em Londres, Ontário.

“O CIO tem muitas metas ou objetivos que não estão relacionados à segurança e que às vezes entram em conflito entre si. A segurança muitas vezes pode entrar em conflito com determinados objetivos de produção. Mas ambos (papéis) devem ter como objetivo promover o sucesso da organização”, disse Smith.

Embora terceirizar a segurança cibernética para outras pessoas em sua organização – o CIO, o CTO, o diretor de TI ou o gerente de conformidade – seja mais rápido e barato do que contratar um CISO, Vaishnavi alerta sobre possíveis armadilhas nesta abordagem provisória:

  • Um CIO ou CTO pode não ter as certificações e conhecimentos de segurança cibernética que um CISO pode trazer.
  • Os CIOs e CTOs que adicionam segurança cibernética aos seus pratos já cheios correm o risco de “se espalharem demais”.
  • A cibersegurança pode não encontrar o seu lugar de influência separado na mesa da diretoria.

Nenhum CISO na mesa da diretoria pode ser perigoso

No caso de uma violação ou hack, esta falta de acesso direto à sala de reuniões pode ser catastrófica.

“Você não quer passar por múltiplas camadas de instruções, em vez de procurar alguém que possa lhe dar a chance ou não de tomar decisões para proteger o negócio. O cronograma de tomada de decisão também é bastante reduzido (com o CISO)”, disse ele.

Um CISO virtual (às vezes chamado de CISO em tempo parcial ou CISO como serviço) é uma opção para empresas que desejam fortalecer a segurança cibernética sem um CISO em tempo integral. Black diz que esta abordagem pode fazer sentido para empresas que tentam reduzir a carga de um CIO ou CTO sobrecarregado, bem como para empresas que não têm tamanho, orçamento ou complexidade para justificar um CISO permanente. A maioria dos CISOs virtuais ou fracionários:

  • Eles são ex-CISOs experientes.
  • Trabalhe remotamente ou de forma híbrida.
  • Trabalhe para vários clientes em tempo parcial ao mesmo tempo.
  • Trabalhar com contrato temporário ou renovável.

Embora algumas pessoas definam 'CISO virtual' como apenas remoto e 'CISO fracionário' como local, a empresa negra Fractional CISO usa os termos de forma intercambiável. Veja como sua empresa ajuda empresas que não possuem um diretor de segurança em tempo integral:

  • Cada cliente recebe um CISO virtual e um analista de segurança cibernética.
  • Um CISO parcial executa tarefas voltadas ao conselho (criação de um roteiro de segurança cibernética, comunicação com a liderança sênior).
  • O analista conduz avaliações de risco e de lacunas, realiza análises de fornecedores e elabora políticas de segurança.

Os custos podem ser significativamente mais baixos do que um CISO em tempo integral, especialmente porque cada cliente tem acesso a um CISO em tempo parcial e a um analista. “Temos um ótimo relacionamento com nossos clientes, mas o cliente médio que gasta conosco é pouco mais de US$ 100 mil por ano”, disse Black.

E se todas essas opções não forem suficientes? Quais qualificações você realmente precisa para um CISO em tempo integral?

9 sinais de que você precisa do CISO

Você o vê muito controlado

“Serviços financeiros, médicos, de saúde, jurídicos – essas empresas sempre precisarão de um CISO”, disse Vaishnavi.

Black expande ainda mais o escopo ideal do CISO: “Se você está fazendo algo para o governo federal ou se é uma empresa pública, todas essas (situações) fazem sentido”.

O fortalecimento do ambiente jurídico relativo à responsabilidade legal e corporativa por incidentes cibernéticos também está incentivando as empresas em setores não regulamentados a considerarem a contratação de CISOs.

“Quando o GDPR foi introduzido na UE e no Reino Unido, pudemos ver uma mudança ou um aumento no número de pessoas falando sobre segurança em geral. Esse tipo de coisa tem um impacto direto no emprego”, disse Vaishnavi.

Ele planejou ir a público

Em seu site, a empresa de capital de risco Andreessen Horowitz recomenda que “todas as empresas que se preparam para um IPO… nomeiem um CISO que possa implementar controles de TI apropriados, avaliações de risco, avaliações de conformidade, métodos de auditoria e funções de relatório de acordo com a Lei Sarbanes-Oxley. “

Você teve um incidente na Internet

“Como parte de sua análise de causa raiz, você pode decidir 'por que estamos aqui?' “Isso diria que sim, é hora de delegar a função de segurança”, disse Smith.

“Isso pode transformar alguém em um verdadeiro crente”, acrescentou Black. “Eles têm uma violação ou um incidente grave e dizem ei, isso nos custa apenas US$ 10 milhões. Estaríamos muito melhor gastando uma fração disso todos os anos (no CISO).”

Seus colegas foram violados

“Algumas empresas estão olhando para frente. Talvez eles vejam um colega em seu setor que está tendo problemas e digam que você sabe que não queremos ser eles”, disse Black.

Você deseja ficar por dentro das áreas de ameaças emergentes

“Por que ter um CISO é importante para algumas organizações agora? Quero dizer, os bandidos ganham bilhões e bilhões de dólares por meio de fraudes, golpes e ataques. “Não reduzir esse risco parece imprudente”, disse Black.

Sua empresa está crescendo

“À medida que a escala aumenta – o número de pessoas que você atende, o número de usuários, quantos dados você tem, quanta receita você está recebendo – todas essas coisas desempenham um grande papel na decisão que precisa ser tomada. feito. entre, você precisa contratar um CISO”, diz Joe Head, fundador da The Blueprint, uma empresa de consultoria em segurança cibernética em Henley-on-Thames, Inglaterra.

Seu conselho quer um

“Vimos (empresas) onde há alguém no conselho que simplesmente diz não, você tem que (contratar) agora”, disse Black.

Seus clientes e clientes potenciais querem um

Não ter um CISO pode custar negócios à sua empresa com clientes existentes ou potenciais que trabalham em setores regulamentados, esperam que seus parceiros ou fornecedores tenham uma estrutura de segurança forte ou a procuram para determinados projetos de alto perfil.

“Se você está vendendo TI e uma grande empresa (cliente) diz 'seu sistema de segurança não é bom o suficiente para acompanhar ou fazer isso', você sabe que eles estão obviamente muito preocupados com a segurança e você está não estou fazendo isso. Não tenho um plano forte (de segurança cibernética)”, disse Black.

Seu VC ou fundo de private equity quer isso

“Se você está lidando com financiamento e está em um local onde está lidando com muitos dados ou muitas informações pessoais, geralmente um CISO chega nesse momento. Eu diria que a série A ou superior geralmente é a hora”, disse Vaishnavi.

'CISO' é mais que um título

Head viu várias empresas contratarem um CISO com base em recomendações de fundos de capital de risco ou PE. Ele argumenta, no entanto, que a função deve ser vista como mais do que um gerente técnico contratado para marcar uma caixa com um acordo financeiro.

“Uma empresa deve contratar um CISO se estiver disposta a investir em segurança e levar a segurança cibernética a sério”, disse ele.

“Eles deveriam contratar outra pessoa quando entendem que estão contratando outro líder empresarial. Mas se você está contratando um CISO e não está atribuindo a ele as responsabilidades e a complexidade desse nível de posição, eu diria que provavelmente você ainda não está pronto para um CISO.”



Source link

Você também pode gostar...

Bitcoin enfrenta risco de ‘corrida bancária’
Cibersegurança

Bitcoin enfrenta risco de ‘corrida bancária’

TradFi, DeFi é como 'dois mundos em mudança: Zignaly CFO
Cibersegurança

TradFi, DeFi é como 'dois mundos em mudança: Zignaly CFO

Novo malware PG_MEM tem como alvo o banco de dados PostgreSQL para mineração de criptografia
Cibersegurança

Novo malware PG_MEM tem como alvo o banco de dados PostgreSQL para mineração de criptografia

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *