Security Services (vCISO)

vCISO, Securiry as a service
Organisaties zijn steeds afhankelijker geworden van de ICT omgeving. Door deze afhankelijkheid zijn de bedreigingen voor de ICT vanuit meerdere kanten sterk meegegroeid. Deze bedreigingen zijn dynamisch en voor een gemiddelde organisatie niet goed in te schatten. Het resultaat is dat organisaties overweldigd worden door het grote aanbod security oplossingen maar geen idee hebben welke te kiezen. In de praktijk worden daarmee risico's lopen welke geheel niet bekend zijn en de gevolgen compleet onverwacht op kunnen duiken doordat bijvoorbeeld de data gegijzeld wordt door een crypto hack of er CEO fraude wordt gepleegd.
Veel organisaties hebben daarom behoefte aan een security expert die zowel de organisatie kent als specifiek de bedreigingen, echter zijn veel organisaties veel te klein om hier een eigen medewerker voor aan te trekken. Hiervoor is de rol van een virtuele CISO een uitkomst. Deze externe Chief Information Security Officer kent zowel de organisatie als de actuele security bedreigingen en kan samen met het management de strategische ICT-doelen van de organisatie formuleren en vervolgens een IT-strategie en budget opstellen om aan die doelen te voldoen.
De vCISO is de vertrouwenspersoon van de directie, adviseert, coördineert en stuurt de betreffende afdelingen aan waar actie genomen dient te worden.
De vCISO zal altijd beginnen met een risico inventarisatie op te zetten. Hieruit voorkomend zal de vCISO een strategisch beveiligingsplan ontwikkelen dat zich uitstrekt over de gehele organisatie en welke het beveiligingsbeleid, trainingsprogramma's, bedrijfscontinuïteitsplanning en disaster recovery omvat, inclusief rapportages en controle op de naleving van de regelgeving. Dit strategisch beveiligingsplan bevat een groot aantal procedures en protocollen waarop de ISO 27001 informatiebeveiliging steunt. Het kan daarom aan te bevelen zijn de vCISO direct als taak mee te geven de organisatie voor te bereiden op de ISO 27001 implementatie zodat voor de buitenwereld zichtbaar is dat de organisatie werk gemaakt heeft van privacybescherming en informatiebeveiliging.
Taken vCISO
• Het opstellen en actualiseren van het meerjarig informatiebeveiligingsbeleid.
• Het opstellen van informatiebeveiligingsplannen voor afdelingen specifieke delen van de organisatie.
• Het coördineren van de werkzaamheden van personen, werkgroepen of externe instanties die betrokken zijn bij de uitvoering van het informatiebeveiligingsbeleid.
• Het organiseren van en deelnemen aan een coördinerend overleg met betrekking tot informatiebeveiliging.
• Het adviseren over nieuwe ontwikkelingen en wetgeving op het gebied van informatiebeveiliging.
• De organisatie ondersteunen of vertegenwoordigen bij audits of andere externe contacten.

Een goede vCISO zal de naast de security ook de taken van de vCIO ook kunnen bieden.
vCISO versus vCIO
Waar de vCIO vooral gericht is op het algemene ICT-beleid heeft de vCISO een veel sterkere focus op security en daarmee de risico's die organisaties op ICT-gebied lopen. Strategisch lijkt de vCIO de belangrijkste speler, echter draait het binnen de ICT steeds meer om de informatiebeveiliging en daarmee de taken van de vCISO.
Kosten en mogelijkheden
HCA Automatisering biedt zowel vCIO als vCISO diensten. Deze kunnen worden afgenomen als abonnementsdienst of als project. In de praktijk is een combinatie hiervan de meest gekozen vorm, waarbij in eerste instantie de security wordt opgezet en in een later stadium op abonnementsbasis wordt bijgehouden. Heeft u interesse in deze diensten, neemt u contact met ons op. Wij lichten graag in een vrijblijvend gesprek de werkwijze verder toe en kijken graag hoe een vCISO in uw organisatie voordelen kan bieden.

Andere IT diensten