Stefan Fritz, ředitel pro prodejní kanál v regionu EMEA společnosti Sophos
V situaci, kdy se kybernetické útoky množí rychlostí blesku a ransomware se stal produktem na objednávku, se podniky musí přizpůsobit stále složitější digitální realitě. Úloha ředitele pro informační bezpečnost (CISO) je proto stále důležitější. Hlavním problémem ale zůstává přístup k potřebné odbornosti. Zatímco velké společnosti ji mají, pro většinu organizací, zejména malých a středně velkých podniků, je tato role stále nedosažitelným luxusem, a to zejména kvůli nedostatku kvalifikovaných talentů. V této souvislosti je model virtuálního CISO požehnáním.
Demokratizace kyberbezpečnosti
Myšlenka virtuálního CISO (vCISO) vychází z jednoduchého zjištění, že kybernetická bezpečnost je dnes často výsadou vyhrazenou menšině společností. Statistiky uvádějí, že z 359 milionů společností na celém světě má pouze 32 000 vlastního CISO nebo jeho ekvivalent na plný úvazek. Tento údaj je zarážející, protože ukazuje, že investovat do této strategické funkce si může dovolit jen velmi omezený okruh společností. Možnost mít CISO lze přirovnat k možnosti vlastnit soukromé letadlo. Kybernetická bezpečnost se tak stává luxusem vyhrazeným jen několika málo společnostem a celý digitální ekosystém tím trpí. V konečném důsledku tento stav snižuje míru pokrytí kybernetických rizik a zvyšuje zranitelnost společností ve stále propojenější ekonomice.
Model vCISO demokratizuje přístup k odborným znalostem v oblasti kyberbezpečnosti. Virtuální CISO je outsourcovaný, na vyžádání dostupný CISO, který je schopen řídit strategii kybernetické bezpečnosti organizace, aniž by bylo nutné zaměstnávat specialistu na plný úvazek. Tento model je součástí revoluce v řízení kyberbezpečnosti, kdy se řízení kybernetických rizik musí z taktického režimu přesunout do režimu strategického a proaktivního. Kybernetická bezpečnost se již nemá řídit v serverovnách, ale na nejvyšší úrovni vedení společnosti.
Strategická role: řízení a správa rizik
Úloha vCISO dalece přesahuje pouhé technické řízení rizik. Hraje klíčovou roli v řízení kybernetické bezpečnosti a působí na několika úrovních. Za prvé, vCISO začíná podrobným posouzením rizik podle konkrétní činnosti organizace, citlivosti dat a architektury IT. Na jeho základě vypracuje plán zabezpečení, který je v souladu s rozpočtovými omezeními, provozními prioritami a regulačními požadavky, jako jsou například NIS2, GDPR, DORA pro finanční sektor nebo ISO 27001.
Následně vCISO zajišťuje, aby společnost dodržovala standardy zabezpečení a řízení, a to koordinací auditů, penetračních testů a poradenstvím při výběru technologií jako EDR, XDR, MFA, šifrování a podobně. Je také výsadním prostředníkem mezi technickými týmy, nejvyšším managementem, externími partnery i pojišťovnami a usnadňuje porozumění otázkám kyberbezpečnosti na všech úrovních společnosti.
Optimalizační nástroj pro CISO
Zavedení vCISO by nemělo být vnímáno jako hrozba pro stávající CISO, ale jako nástroj na podporu jejich funkce. Tam, kde již CISO působí, může vCISO pomoci optimalizovat zdroje a automatizovat procesy, jako je řízení rizik, reportování o dodržování předpisů a skenování zranitelností. Když vCISO zajistí sestavování pravidelných zpráv pro vyšší vedení a průběžné audity, uvolňuje drahocenný čas CISO, který se pak může soustředit na sledování hrozeb a strategičtější úkoly.
Pokud CISO k dispozici není, je model vCISO řešením, které společnosti umožňuje strukturovat správu kybernetické bezpečnosti a mít důvěryhodného odborníka, který řídí strategická rozhodnutí, aniž by bylo nutné zaměstnávat manažera na plný úvazek. Tento model je vhodný zejména pro středně velké společnosti nebo společnosti působící v odvětvích podléhajících přísným regulacím.
Ve světě, kde jsou hrozby všudypřítomné a požadavky na kybernetickou bezpečnost stále přísnější, představuje model virtuálního CISO pragmatickou odpověď na nedostatek talentů v oblasti kyberbezpečnosti. Umožňuje společnostem posílit řízení kybernetické bezpečnosti a zároveň nabízí škálovatelné, dostupné a udržitelné řešení. Otázkou již není „zda“ společnost CISO potřebuje, ale spíše „jak“ ho efektivně využít.
