Was ist ein virtueller CISO (vCISO)?
Ein virtueller CISO (vCISO) ist ein externer Sicherheitsbeauftragter, der als Berater, Coach und Vermittler zwischen verschiedenen Stakeholdern in einem Unternehmen fungiert. Er ist keine herkömmliche interne Ressource, aber eine erschwingliche Möglichkeit für Unternehmen, insbesondere im Finanz- und Versicherungswesen, ihre Informationssicherheitsprogramme zu verbessern.
Wer sollte vCISO-Dienste in Betracht ziehen?
Unternehmen, die keinen aktuellen CISO haben, einen neu ernannten CISO unterstützen wollen, deren interne Teams nicht über die erforderliche Expertise oder Zeit verfügen, oder die einen kompetenten Berater für Informationssicherheit suchen.
Was ist ein vTISO und wer sollte dessen Dienste in Betracht ziehen?
Ein vTISO (Technical Information Security Officer) ist ein externer Enterprise Security Architect, der zusätzliches Fachwissen im Bereich Security Architektur bietet, um Lücken im Informationssicherheitsprogramm eines Unternehmens zu schließen.
Was tun, wenn Sie eine so wichtige Aufgabe doch nicht auslagern wollen?
Es ist nicht notwendig, die Steuerung und Strategie des Informationssicherheitsprogramms vollständig auszulagern. Ein vCISO oder vTISO kann eine unvoreingenommene Außensicht, Coaching und fachlichen Austausch bieten, während die Entscheidungsfindung intern bleibt. Ein internes Informationssicherheitskomitee kann eine effektive Lösung sein.
Was sind die Optionen eines vCISO/vTISO Engagements?
Die Optionen umfassen ein Full vCISO/vTISO Engagement, bei dem Aufgaben und Pflichten in Vollzeit ausgelagert werden, ein ergänzender CISO/TISO, der als Ressource für das interne Team dient, CISO Coaching für die Entwicklung und das Training eines neuen CISO und individuelle Vereinbarungen für spezielle Anforderungen.
Was sagen die Prüfer der Aufsichtsbehörden?
Die Prüfer der Aufsichtsbehörden verstehen die Herausforderungen bei der Besetzung der CISO-Rolle und akzeptieren den Einsatz eines vCISO, sofern Risikobewertungen durchgeführt, die Geschäftsleitung eingebunden und sorgfältige Auswahlkriterien angewendet werden.
Wie vermeiden Sie eine zu langfristige Bindung an mich als vCISO?
Das Angebot eines vCISO ist so strukturiert, dass das Unternehmen im Laufe der Zeit weniger abhängig wird, indem interne Mitarbeiter geschult und befähigt werden, ihre Aufgaben selbständig zu erfüllen.