A nova tendência de segurança para Startups e PMEs: Virtual CISOs

junho 11, 2020 Daniel Niero

A nova tendência de segurança para Startups e PMEs: Virtual CISOs

Startups, Pequenas e Médias empresas estão cada vez mais adotando serviços de um Virtual CISO para aumentar a segurança nas operações

Se sua organização precisa usar conhecimentos e obter orientações valiosas sobre segurança e privacidade, mas não pode justificar o custo de uma equipe atuando em tempo integral, uma equipe de segurança virtual liderada por um vCISO pode ser a resposta sob demanda que você está procurando.

Até hoje segurança da Informação e privacidade é um nicho de profissionais de alto valor de mercado devido sua escassez, deixando o conhecimento desses profissionais restrito a quem pode pagar por ele, ou seja, é um desafio econômico para Startups e PMEs que precisam atender regulamentações, obrigações contratuais ao mesmo tempo que protegem dados de clientes em um ambiente tecnológico e social complexo.

O orçamento para montar a própria equipe interna continua limitado e um Virtual CISO tem sido a solução mais adequada para este problema.

Ok, mas afinal, o que é um Virtual CISO?

O Virtual CISO (Virtual Chief Information Security Officer) é um modelo de Security as a Service contínuo de segurança da informação e privacidade, entregue por um Squad em forma de serviço, responsável por expandir as melhores práticas de segurança para toda organização.

Trata-se de uma equipe de profissionais que estão familiarizados com os processos e práticas da sua empresa, da mesma maneira que uma equipe interna estaria, porém o serviço é realizado por um time multidisciplinar, de forma remota, reduzindo a ociosidade e os custos operacionais de um time local.

Qual a diferença entre um Virtual CISO e serviços de consultoria tradicional?

Serviços tradicionais de consultoria seguem o modelo de projetos (início, meio e fim), com um custo variável por projeto, com escopo fechado e realizados sob demanda, onde o cliente já possui uma dor e somente busca alguém que possa resolvê-lo por um valor que caiba no orçamento e; caso surja uma nova necessidade, mais dinheiro deverá ser desembolsado ao tanto que mais horas de consultoria serão necessárias.

Programa de Governança em Privacidade (Privacy360)Powered by Rock Convert

Além disso, consultorias tradicionais costumam seguir metodologias engessadas de entrega que nem sempre são adaptadas para o seu modelo de negócio, obrigando sua empresa a seguir as recomendações by-the-book, onde os resultados e benefícios se perdem ao longo do tempo, devido a resistência cultural.

O ponto é: Quem alimenta, readapta e garante a continuidade das práticas de segurança após o encerramento da consultoria tradicional?

Voando para o lado oposto em velocidade de cruzeiro, um serviço de Virtual CISO assume um compromisso de relacionamento próximo constante, trabalho proativo, planejado e adaptado a estratégia e missão da empresa, integrando segurança diretamente à cultura da organização.

Segurança e privacidade não é um produto, é um processo.

Na prática, por que o Virtual CISO tem sido um modelo ideal para Startups e PMEs?

Vamos explorar alguns pontos relevantes que ajudem a validar se um Virtual CISO é adequado para a necessidade da sua empresa:

  • Acesso ilimitado à um Expertise que sua empresa não possuiQuanta experiência em segurança sua empresa precisa além da que você tem atualmente? Quanto mais acesso à experiência você precisar, mais — em tese — você investirá.
  • Maturidade do Sistema de Gestão de Segurança da Informação (ISMS — Information Security Management System)Quanta ajuda você precisa para desenvolver um ISMS eficaz sem engessar e burocratizar suas operações? Quanto mais maduro o seu ISMS estiver hoje, menos trabalho (e custo) será necessário para desenvolver, monitorá-lo e melhorá-lo.
  • Recursos InternosQual esforço investido em segurança da informação e privacidade você precisa, mas que sua empresa não pode lidar atualmente? Quanto mais tarefas relacionadas à segurança da informação e privacidade você deseja realizar internamente, maior será o seu custo mensal. Costumo dizer que recursos internos “comem no mesmo prato”, ou seja, conforme sua empresa cresce, seu custo com equipe interna também aumenta.
  • Iniciativas de Segurança — Quanto de ajuda especializada você precisa para concluir iniciativas e projetos de segurança? Exemplos de iniciativas de segurança vão desde a criação e roll out de simples políticas de segurança e privacidade, até a preparação para uma certificação ISO27001, PCI-DSS e a conclusão de um relatório SOC2, bem como a construção de um programa de gerenciamento de riscos de terceiros, gerenciamento de vulnerabilidades em infraestrutura e aplicação, etc.

Alguns exemplos do que um serviço de vCISO pode oferecer:

  • Construção e manutenção da visão, estratégia e programa de segurança da informação da sua empresa (o clássico)
  • Trazer profundos insights e conhecimentos sobre assuntos onde e sempre que sua empresa precisar.
  • Conduzir um ou vários projetos de alta prioridade para mitigar riscos rapidamente e provar a conformidade regulatória como por exemplo, a Lei Geral de Proteção de Dados (LGPD).
  • Suporte e implementação completa de conformidades com padrões internacionais de segurança como ISO27001, PCI-DSS, atendimento a regulamentações de BACEN (4658, 3380, etc), outros esforços de certificação e demais atestados.
  • Atuar como um Oficial de Proteção de Dados (DPO) para o cumprimento de obrigações das leis de privacidade.
  • Ajudar no dia a dia, conectar-se com sua equipe “periodicamente” para resolver preocupações de curto, médio e longo prazo, bem como urgências em incidentes de segurança que precisam de resposta imediata. Um serviço de vCISO também pode fornecer equipes de CSIRT (Computer System Incident Response Team).
  • Atuar como um recurso pontual para auditorias e avaliações de segurança e conformidade.
  • Liderar seu programa de gerenciamento de riscos de terceiros (Seus fornecedores também levam segurança à sério como sua empresa, quem vai verificar?)
  • Fornecer direção na resposta a incidentes de segurança e violação de dados, como também fazer a intermediação e contato com entidades reguladoras.
  • Realizar testes de penetração de rede (Pentest), avaliações de vulnerabilidades e tratamento dos riscos encontrados.
  • Liderar um programa completo de segurança de aplicações (DevSecOps), integrando segurança e testes de código no pipeline.
  • Oferecer educação de conscientização de segurança em tempo integral e/ou testes de engenharia social.

E a lista continua…

Em resumo, se toda empresa é diferente, por quê as estratégias de segurança seriam iguais? Quando falamos sobre Virtual CISOs, estamos falando sobre “Ownership” e por isso este modelo tem se destacado como a melhor opção custo-benefício para quem quer focar no negócio, ao mesmo tempo que deixam na mão de profissionais experientes um assunto tão especial.

, , , ,
Daniel Niero

Daniel Niero

Experienced Information Security Manager with extensive commercial career over diverse software industry in major vendors. Headed more than 150 security, compliance and privacy projects (Oil&Gas, Telecom, Health, Finance and Tech) for private and public sectors. As professor has been teaching about Infosec, privacy and compliance about 11 years. Currently assumes as Lead Instructor of PECB.ORG (Professional Evaluation and Certification Board) in Brazil as well as speaker of main events about the subject.