Cynomiの新しいeBook「本格的なバーチャルCISOになるには何が必要か」は、サービスプロバイダーがvCISOサービスの提供を簡単、迅速、経済的に拡大し、すべての職務をカバーする方法を具体的に示している。
最高情報セキュリティ責任者(CISO)の地位は、ランサムウェアやその他のサイバー攻撃の横行がもたらすリスクのために、近年注目されるようになった。セキュリティ技術の調達を調整するのはCISOである。
CISO は、ビジネス目標に沿って、現在および将来にわたって組織を保護するサイバーセキュリティの戦術、戦略、ポリシー、およびプロセスを設定します。
トップ CISO は、リスク管理を実践しています。サイバー攻撃に対する必要な予防、検知、緩和策を提供し、サイバーガバナンスとコンプライアンスを監督し、経営トップに報告し、組織の安全を維持するためのあらゆることを行う。
彼らはサイバーセキュリティ船の船長に例えることができる。現代のIT環境の荒波を越えて最善の航路をナビゲートするのは、彼ら次第である。
この仕事ができるようになるには、経営、IT、サイバーセキュリティに関する幅広いスキルと経験が必要です。NIST(米国国立標準技術研究所)やISOなど、あらゆる標準やサイバーセキュリティのフレームワークに関する確かな知識を持ち、HIPAAやGDPRなどの規制もしっかり把握していなければならない。
その多くは、ITおよびサイバーセキュリティに関する高度な学位と、公認情報システム・セキュリティ・プロフェッショナル(CISSP)、公認リスク・情報システム管理(CRISC)、公認情報セキュリティ・マネージャー(CISM)などの資格を持っています。CISOの中にはMBAを取得している者もいる。
CISO不足がvCISOサービスに対する中小企業の需要を高める
残念ながら、熟練したCISOは非常に不足している。CISOは通常、15万ドル(約1,500万円)以上の報酬を支払っています。その金額を払える中小企業はほとんどない。
しかし、ニューヨーク州などの州は、金融サービスなどの特定の規制市場では、CISOのポジションを確保することを義務付けています。バーチャルCISO(vCISO)サービスの人気が急上昇しているのも不思議ではない。
MSPの顧客の半数近くが、過去12ヶ月以内にサイバー攻撃の被害に遭っている。SMBの世界では、その危険性は特に深刻だ。CISOはともかく、サイバーセキュリティを管理する専任の社内IT担当者がいる中小企業は全体の50%に過ぎない。
そのため中小企業では、サブスクリプションやリテーナーを支払って、侵害を防止し、リスクを低減し、攻撃の影響を軽減するための戦略を立案・実施するCレベルの専門家によるサイバー支援にアクセスしようとする傾向が強まっている。
サービス・プロバイダーの80%以上が、近い将来にvCISOサービスの提供を計画しているのも不思議ではない。これらのサービスは、特にMSPやMSSPにとって魅力的である。なぜなら、これらのサービスは、プロアクティブなサイバー回復力に対するSMB顧客のニーズの高まりに対応すると同時に、経常収益を拡大する可能性を提供するからである。さらに、vCISO サービスを提供することで、サービスプロバイダは、セキュリティギャップを解消するために何を行う必要があるかを述べるだけでなく、それらのアクションを制御することができるため、サービスプロバイダの業務がより効果的になる。
また、vCISOサービスを提供するベンダーの多くは、vCISOサービスを提供することで顧客との親密度が高まり、顧客のトップマネジメントと直接接触できるようになると主張している。問題は、多くのプロバイダがCISO業務全体のごく一部しか提供できていないことである。
vCISOサービスに進出する方法
vCISOサービス・プロバイダーの中には、組織のコンプライアンス対策を支援するところもあれば、リスク評価を実施したり、経営陣への報告やコミュニケーション、サイバーセキュリティ監査の準備、継続性計画、サイバーセキュリティ戦略、ポリシーの設定、サイバーセキュリティの財務管理、セキュリティ技術の評価と実装の監督などの分野を支援したりするところもある。
これらのサービスはそれぞれ、クライアントに明確な価値を付加するものである。しかし、専任のCISOが提供する機能の幅を網羅するものではない。
完全なvCISOサービスの最低要件は以下の通りです:
- リスク評価と管理
- 戦略の設定
- 組織の実際の保護
- トレーニングとセキュリティ意識向上
- コンプライアンスとガバナンス
- インシデント対応
- 継続計画
- 第三者管理
- 経営陣へのコミュニケーション
vCISOの全責任範囲にまたがるMSPとMSSPは、顧客への付加価値をさらに高め、業務をより効果的にすることで、はるかに高い利幅を達成することができる。しかし、収益性を犠牲にすることなく、これを実現するにはどうすればいいのだろうか?
結局のところ、MSP/MSSPはその役割を果たすことができる、資格と経験があり、手頃な価格の人材をどこで見つけるのだろうか?あるいは、リソースを増やすことなくvCISOサービスを拡張するにはどうすればいいのだろうか。
包括的なvCISOサービスを提供するには?
Cynomiの新しいeBook、“What does it take to be a full-fledged Virtual CISO? “は、サービスプロバイダーがvCISOサービスの提供を簡単、迅速、経済的に拡大し、すべての業務をカバーする方法を具体的に説明しています。
このeBookでは、次のことを説明する:
- vCISOの必須機能
- vCISO業務の部分的な提供から包括的な提供への移行に必要なこと
- 包括的なvCISOサービスを提供することによるアップセルの可能性
- 既にセキュリティリスク評価やコンプライアンスサービスを提供しているvCISOが、これらのサービスを容易に拡大する方法
- vCISOプロバイダが十分な自動化を追加して、人的リソースを増やすことなく提供サービスを拡大し、規模を拡大するのに役立つプラットフォーム
vCISOプラットフォームは、あらゆるサービスの提供を支援します。
vCISOプラットフォームは、サービス・プロバイダーがvCISOサービスの完全な範囲を提供することを可能にする。これは、経営陣の最高ランクで口コミが得られるような価値の高いサービスを提供しながら、より多くの料金を請求できることを意味する。
事実上、システム管理者/ITマネジャー・レベルから、Cレベルの経営幹部や取締役会と直接やり取りできるまでに、影響力を高めることができるのだ。MSP/MSSPは、その職務を十分に果たすことで、信頼される強者としての地位を確立する。
したがって、賢明なサービス・プロバイダーは、vCISOサービス全体を提供できるように既存のサービスを拡張し、顧客の真のパートナーとなることを目指している。
このeBookは、経験豊富なvCISOのコミュニティからの情報に基づいている。vCISOサービスの全範囲を提供できるようになるために必要な基本的なステップを説明しています。
eBookのダウンロードはこちらから。
Cynomiがスポンサーとなり、執筆しました。
Comments