Contar con un CISO (Chief Information Security Officer) no es un capricho, es el objetivo que debe tener toda compañía hoy en día.
Pero necesitar disponer de una persona que lidere y dirija la ejecución de las actividades de gestión y gobierno de la ciberseguridad no siempre puede ser viable o fácil. La disponibilidad de los recursos económicos como la gestión de los recursos humanos puede dificultar la consecución de este objetivo bajo las diferentes circunstancias que se puede encontrar la compañía.
El modelo de CISO-as-a-Service (CISOaaS) que ofrece Internet Security Auditors tiene la ventaja de dotar a compañías con recursos limitados o estrategias de seguridad en proceso de definición o maduración de un liderazgo de ciberseguridad basado, primero, en la experiencia de profesionales y, segundo, de un equipo que da el apoyo en este servicio a las necesidades que el negocio y el propio proceso genera.
El proceso que se sigue en estos proyectos es el siguiente:
El responsable del servicio de CISOaaS de Internet Security Auditors, dependiendo del tipo de empresa y sector, así como de su nivel de madurez en procesos de seguridad, debe ayudar a que las necesidades en cuanto a nivel de riesgo se adapten a las particularidades de la compañía, facilitando que, en los plazos determinados, se alcancen los objetivos que se establecen. Se convertirá en el catalizador de las metas de ciberseguridad para la compañía.
Las responsabilidades del CISO externo podrán adaptarse a los cambios y avances del cliente y podrán incluir las siguientes:
- Generar e implantar políticas de seguridad de la información.
- Liderar y orientar sobre seguridad de la información.
- Gestionar el cumplimiento de la seguridad.
- Supervisar la administración del control de acceso a la información.
- Supervisar el cumplimiento normativo de la seguridad de la información.
- Supervisar al equipo de respuesta ante incidentes de seguridad de la información de la organización (Identificar, informar y controlar).
- Gestionar y supervisar pruebas de seguridad.
- Realizar de evaluaciones de seguridad de proveedores de terceros.
- Supervisar la arquitectura de seguridad de la información.
- Documentar o supervisar la documentación de procesos de seguridad.
- Definir y ejecutar el entrenamiento de seguridad y concienciación.
- Realizar y mantener la gestión de riesgos.
Los beneficios de contar con un CISOaaS serán los equivalentes a los que el uso de servicios en la nube justifican contar con expertos que facilitan al acceso a software, infraestructura u otras capacidades de una forma flexible, añadido a que la transferencia de conocimiento es parte del servicio con el valor añadido de contar no sólo con la experiencia del CISO sino con la del equipo de expertos en ciberseguridad de Internet Security Auditors que ofrece un apoyo constante a cualquier tarea que pueda requerirse.