Qué es un vCISO y por qué tu empresa debería considerarlo

Contratar un Chief Information Security Officer (CISO) puede ser invaluable para una empresa en términos de seguridad y ciberseguridad. Sin embargo, algunas empresas más pequeñas pueden considerar la opción de contratar un CISO virtual (vCISO) para reducir gastos. Michael Gray, Director de Tecnología de Thrive, comparó ambos roles y detalló las diferencias para aquellas empresas interesadas en invertir en este tipo de posición.

Un vCISO es un empleado independiente o contratado que desempeña el rol de un CISO pero no trabaja a tiempo completo. Esta persona toma decisiones que normalmente tomaría un CISO, pero su rol no está directamente relacionado con la empresa.

"Creo que, a primera vista, un vCISO parece muy similar a un CISO, pero cuando profundizas, hay algunas diferencias importantes", dijo Gray. "Con el tiempo, hemos descubierto que una vez que las empresas tienen un buen programa de seguridad construido sobre bases sólidas, muchas de ellas solo necesitan un vCISO a tiempo parcial. No necesitan una persona a tiempo completo una vez que han superado una fase inicial. De hecho, según el tamaño de su organización, no es un trabajo a tiempo completo".

Índice de Contenido
  1. Beneficios de contratar un vCISO
  2. Cómo las empresas pueden ayudar a acomodar un vCISO

Beneficios de contratar un vCISO

Para pequeñas y medianas empresas, contratar un vCISO puede ser una forma de ahorrar dinero. Los CISO a tiempo completo suelen tener salarios bastante elevados que las empresas emergentes pueden no poder costear, especialmente si solo necesitan servicios limitados. En Estados Unidos, un CISO a tiempo completo gana un promedio de $230,223, una cifra inaccesible para empresas más pequeñas.

"Para empresas de hasta 500 o incluso 1,000 empleados, es probable que no necesiten un CISO a tiempo completo y puedan beneficiarse de un vCISO virtual sin incurrir en gastos significativos", dijo Gray. "El salario de un CISO a tiempo completo es sorprendentemente alto en este momento, y ni siquiera hay muchos candidatos calificados disponibles. Es posible que encuentres un candidato, pero es probable que no tenga un buen entendimiento de tu sector o industria".

Para contrarrestar esto tanto desde una perspectiva financiera como operativa, un vCISO independiente analiza los procesos existentes y en curso de una empresa y toma decisiones basadas en la infraestructura de negocio ya establecida. Gray menciona que esto permite que un vCISO tome decisiones difíciles según sea necesario, ya que su éxito no depende únicamente de la empresa para la que trabajan. Esto permite que los vCISO sean más objetivos al tomar decisiones.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"Contar con un vCISO independiente puede decir: 'Veo esto todo el tiempo. Este servicio de monitoreo de seguridad que tienes no está funcionando y no estás obteniendo todo lo que pagas'", dice. "Pero eso puede resultar difícil para un CISO a tiempo completo, especialmente en una empresa más pequeña. Además, desde nuestro punto de vista, un vCISO ayudará a obtener un mayor valor de tus inversiones existentes. Mientras que un CISO podría invertir en una tecnología de seguridad y estar personalmente involucrado, pasando mucho tiempo en ello, al final del día podría resultar no ser la opción adecuada".

Cómo las empresas pueden ayudar a acomodar un vCISO

Para las PYMEs que buscan contratar un vCISO, contar con la infraestructura adecuada permitirá que el trabajador en este rol comience a trabajar de inmediato. Al evaluar el estado de ciberseguridad de la empresa, los vCISO pueden comenzar a trabajar de manera efectiva.

"La empresa ya ha dado el primer paso, que es reconocer la necesidad de tener un programa de seguridad y no solo una pieza de tecnología", dijo Gray. "En primer lugar, preguntaría: ¿tienes algo en la actualidad? ¿Cuál es tu programa de seguridad actual? ¿Tienes algún documento? Simplemente haz un inventario general de tu situación actual, porque esa es la primera pregunta que cualquier persona haría, ¿tienes algún punto de partida? Muchos no lo tienen, y está bien, pero poder responder a esa pregunta desde el principio es muy bueno".

A partir de ahí, Gray menciona que evaluar el riesgo de la empresa es una consideración importante, junto con abordar las preguntas relacionadas con el cumplimiento normativo que puedan surgir.

"La pregunta que haría es: 'Señor cliente, ¿hay algún marco de cumplimiento al que debas adherirte y que necesito conocer desde el primer día?' Si te dicen: 'Bueno, podría ser que sí, no estamos seguros', eso es complicado", dijo. "La tercera pieza es realmente una conversación sobre el riesgo. Piensa en qué nivel de riesgo es aceptable para tu organización. ¿Queremos tener todo bloqueado al 100% y que sea un entorno de empleados muy estricto, o estamos abiertos a que nuestros empleados hagan cosas como trabajar desde sus teléfonos? Estas son todas preguntas empresariales que puedes hacerte antes de que la persona comience".

Siguiendo este consejo, las empresas pequeñas y medianas que buscan contratar a alguien para el rol de vCISO pueden saber qué buscar, así como la rapidez con la que un candidato puede asegurar completamente los sistemas de una organización.

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Qué es un vCISO y por qué tu empresa debería considerarlo , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.