Управление на пароли, идентичност и достъп
Ние помагаме на компаниите да защитят своите практики за управление на идентичността и достъпа във виртуалното пространство Услуги на CISO решение. Помагаме на компаниите да идентифицират всички бизнес активи, приложения, инфраструктурни елементи, данни и хора с редовен или административен достъп. Също така идентифицираме потенциални начини за атака или злоупотреба с достъпа и разработваме компенсиращи контроли за всички идентифицирани рискове.
Важна част от този проект е да се обучи целият екип на клиента за важността на това да не се използват повторно пароли и как да се използва ефективно мениджър на пароли.
Жизненоважна цел, която трябва да се постигне с всеки клиент, е достигането на удостоверяване без парола – нещо, което предоставяме с комбинация от услуги от Google (FIDO2), Microsoft (удостоверяване без парола) и Yubico, и използване на биометрични данни и физическа сигурност.
Смекчаване на атаки
Всяка компания има различни заплахи поради своите данни, клиенти и конкуренти, както и ресурси.
Поради това хакерите могат да използват различни методи за атака. за да компрометират сигурността на компанията и да постигнат своите цели.
Те могат да искат да откраднат пари директно от счетоводния отдел, да откраднат поверителни данни или дори да да поискат откуп от компанията, както се е случило с известен пробив в сигурността на адвокатска кантора.
Вземаме предвид много неща, но също така обхващаме основните видове атаки с всички наши клиенти:
- Прониквания в мрежи
- Заразяване с рансъмуер
- Заразяване със зловреден софтуер
- Неразрешено предоставяне или разкриване на информация
- Неоторизиран достъп
- Компрометиране на акаунт
- Злоупотреба с привилегии
- Неразрешени промени в информацията, приложенията, системите или хардуера
- Нарушение на политиката за информационна сигурност
- Подозрително поведение на системата
- Нарушаване на поверителността на паролата
- Саботаж/физическа повреда
- Експлоатация за 0 дни
- Фишинг атаки
- Spear Phishing атаки
- Нарушение на уеб услугата
- Вътрешни заплахи
Разработваме компенсаторни контроли за всички горепосочени и ги прилагаме за нашите клиенти в зависимост от бизнес приоритета и риска .
Обучение за повишаване на осведомеността за киберсигурността
Клиентите, които използват нашата оферта CISO като услуга, получават редовно висококачествени обучение за повишаване на осведомеността за сигурността , което помага на всеки служител да открива подозрителни имейли и да докладва за тях.
Обучението се провежда периодично; ние помагаме на екипа на клиента да следи за неговото завършване. Освен редовните упражнения, клиентите получават чести актуализации за нови методи за атаки, които хакерите използват в световен мащаб, като поддържат екипа си нащрек и в крак с времето.
Човешкият фактор във всяка защитна стратегия може да бъде най-слабото или най-надеждното звено – всичко зависи от това колко добре се подготвят хората, преди да се сблъскат с атака.
Архитектура за сигурност в облака
Използвате ли някои основни доставчици на облачни услуги – Google, Azure/Microsoft 365, или Amazon Web Services?
Ние разработваме насоки за сигурна архитектура и помагаме на нашите клиенти да ги приложат, независимо от това кой доставчик на облачни услуги използват, дори малък, регионален. Създадената от Atlant Security мисловна карта е основата на елементите, които трябва да бъдат защитени при всяко внедряване в облака.
Ние също така предлагаме Консултации за сигурност в облака като отделна услуга – така че я проверете, ако искате да започнете само със сигурност в облака. Въпреки това, тя е по-ефективно е да получите всичко в един пакет.
Виртуален CISO в облака
Някои бизнес случаи изискват компанията да наеме виртуален CISO за своята среда само в облака. Вече имаме няколко клиенти, които отговарят на това описание – със 100% базирана на облак ИТ инфраструктура; някои дори хостват настолните си компютри в Amazon Workspaces.
Ако решите да мигрирате към облака, уменията на обикновения CISO не отговарят на вашите нужди и е разбираемо защо може да имате проблеми с намирането на подходящите умения при защитата на облачни среди. Позволете ни да ви помогнем; нашият екип има целия опит, от който се нуждаете!
Какво е необходимо, за да защитите ИТ инфраструктурата си?
Ето една изненада: принтерът ви може да бъде най-достъпната входна точка във вашата мрежа! Просто проверете този PDF файл от BlackHat: съвременните принтери имат операционна система и често съдържат административни данни.
Но сигурността не се изчерпва само със защитата на принтерите!
Windows 10 има 282 настройки за сигурност, от които 25 са критични. Същото е положението и с Windows Server, Exchange, Mac OS, мрежовите устройства, защитните стени и комутаторите. Гордеем се с нашите процедури за укрепване на корпоративната система и не спираме дотук.
Диаграмата по-долу показва нашия процес на осигуряване на клиентите ни:
Много малко CISOs отиват в дълбочина и на дълбочина на нашите виртуални CISO услуги предлагане. Нашата услуга CISO на непълно работно време не е по-евтина от заплатата на главен служител по сигурността на информацията на пълно работно време – но постига поне три пъти повече, отколкото ако нашите клиенти наемат човек на пълно работно време.
Колко уязвими са елементите на вашата мрежа и намаляват ли уязвимостите с течение на времето?
Всеки елемент в мрежата ви може и обикновено има уязвимости. Когато клиентите се регистрират за нашите виртуални CISO услуги, ние им помагаме да създадат и управляват ефективна програма за управление на уязвимостите.
За комутаторите, маршрутизаторите, защитните стени, сървърите, настолните компютри с различни операционни системи и целия инсталиран софтуер са публикувани нови уязвимости. всяка седмица .
Водите ли регистър на следните данни:
- Колко уязвимости имате в мрежата си средно на месец
- Намалява ли този брой с течение на времето
- Подобрявате ли скоростта, с която поправяте уязвимостите, след като станат известни?
- Колко често сканирате и какво правите с данните от сканирането, след като откриете нови уязвимости.
- Подобрявате ли с течение на времето практиката си за поправки и ключовите си показатели за управление на уязвимостите?
Защита на комуникациите по електронна поща, сътрудничество и незабавни съобщения
Част от нашата виртуална CISO услуга е защитата на имейл услуги на място и в облака, както и защитата на инструменти за съвместна работа, като Trello, Jira, Microsoft Teams, Zoom и услугите за незабавни съобщения на нашите клиенти.
Причината, поради която те трябва да бъдат защитени, е проста: хакването им е лесно. Той може да отнеме по-малко от 2 минути. ако не сте се опитали да ги обезопасите!
Като поемаме ролята на CISO за вашата компания, ние постоянно следим всички ваши имейл акаунти и услуги за признаци на неоторизиран достъп. Дори и при активирана 2-факторна автентикация, все още са възможни пробиви и затова е изключително важно да се интегрира подходящо наблюдение на сигурността с всеки контрол на сигурността.
Кога трябва да се извърши симулация на атака/тестване за проникване?
Тестването за проникване е от съществено значение за всеки Програма за информационна сигурност и част от нашата Виртуален CISO като услуга предлагане.
Въпреки това при тестовете за проникване често липсват стратегическо планиране или цялостна оценка на информационната сигурност. Извършване на тест за проникване след завършването на значителните усилия за изграждане на вашата програма за информационна сигурност е от решаващо значение.
Ако симулацията на атака е първият етап от усилията на компанията за сигурност, резултатите от теста за проникване ще покажат само липсата на контрол върху сигурността. В този случай тя напълно ще изгуби време и ресурси .
Защо разработката на сигурен софтуер е част от нашето предложение за виртуален CISO като услуга?
Разработването на сигурен софтуер е нещо повече от следване на най-добрите практики или насоки в индустрията.
Става дума за култура.
Култура на корпоративните архитекти, които проектират сигурни решения; Ръководители на разработчици, които изискват от разработчиците си специфични стандарти за сигурно кодиране;
Тестерите на QA знаят кои уязвимости в сигурността да търсят – логически и технически; ИТ администраторите изграждат сигурни среди за разработка, тестване и внедряване за всички, които работят по продукта;
Тестването на сигурността е, когато продуктът трябва да бъде обявен за безопасен и сигурен от своите клиенти и потребители.
Помагаме на стартиращи предприятия и компании за разработка на софтуер да изградят и развият тази култура.
Политиките и процедурите са конституцията на компанията
Нашите виртуални CISO, като експерти по услугите, внимателно проучва бизнеса на всеки клиент, преди да започне работа върху техните политики и процедури за сигурност.
Нашите виртуални услуги на CISO могат да създадат много политики и процедури за вас. Например можем да създадем “Процедура за укрепване на сигурността” за вашия ИТ отдел, която не е показана на изображението по-долу, или да обединим няколко политики в една. Все пак са необходими десетилетия на експертни познания и опит, за да се разбере кои бизнес процеси се нуждаят от допълнителна сигурност в дадена политика или процедура. Всичко зависи от бизнес изискванията на клиента и от това, какво е целесъобразно.
CISO-като-услуга набира популярност сред компаниите с оборот от 500 млн. до 2 млрд. долара.
Може ли екип от опитни CISO и експерти в областта на сигурността да замени ролята на CISO в дадена организация, като поеме ролята на виртуален CISO?
През 2009 г. CISO трябваше да се уверят, че са преминали годишните си одити и че антивирусната им програма работи правилно. През 2019 г. CISO трябва:
- Осигуряване на навременна актуализация на всички 9000 различни приложения, операционни системи, фърмуер и драйвери в тяхната среда.
- За всички елементи от същата серия 9000 поддържайте ежедневно/седмично/месечно управление на уязвимостта.
- Извършвайте ежегодни тестове за проникване и следете за отстраняване на констатациите преди следващия тест.
- Избирайте между много доставчици на сигурност, които продават своята защита от изтичане на данни, защитни стени от следващо поколение, антивирусни програми, базирани на блокчейн и изкуствен интелект, антиспам и анти-(вмъкнете тук ключовата дума “продавач на змийско масло”). Те продават предимно само модна кутия с модно име, която хакерите дори не забелязват, когато влизат и вземат данните ви.
- Накарайте всичките си служители да спазват изискванията за сигурност
- Създаване на система за предотвратяване, откриване и реагиране при инциденти със сигурността
- Съобщаване на рисковете на управителния съвет и получаване на адекватно финансиране за тяхното намаляване
Вероятността да откриете човек, който успешно да съдържа всички знания и да постигне посочените по-горе цели за ефективност, е изключително малка.
Нашият екип на CISO като услуга ще изгради или възстанови вашата програма за сигурност.
Защитата на критичните за бизнеса данни трябва да бъде съобразена с нуждите на бизнеса. Освен това, кои елементи бихте искали да бъдат част от вашата програма за сигурност?
Помагаме на организациите да подобрят процеси като управление на заплахи и изграждане на програма за управление на идентичността. Ние също така им помагаме да въведат практики за превенция, откриване и реагиране. Предлагаме дори обучение за повишаване на осведомеността относно сигурността за ръководители, обикновени служители и ИТ отдели (всички те се нуждаят от различно съдържание).
Традиционното изграждане на програми за сигурност отнема твърде много време. Трябва да откриете правилния път, инструменти и техники, за да напреднете.
Виждали сме, че се използват някои стари процеси и технологии, а хората, които ги използват, са смятали, че само защото се използват от много време, те все още са ефективни и сравнително безрискови.
Вместо да обучавате персонала си и да развивате вътрешния си капацитет, сега можете да получите достъп до старши ресурс на непълно работно време, може би един ден седмично или 4 часа седмично, за да ускорите работата.
Някои организации решават да закупят устройства и софтуер за сигурност и в рамките на две години след като са поели по този път, осъзнават, че стойността на закупените неща не е такава, каквато са очаквали. Понякога се случва да предвидите средства за даден продукт, но след това да осъзнаете, че трябва да намерите и подходящите хора, които да работят с него, или да ги обучите – а тяхното възнаграждение изобщо не е било предвидено в бюджета! В крайна сметка това значително забавя целия процес.
Можем да се ориентираме в това минно поле и да гарантираме, че всички мислят за този вид променливи, преди да вземат решения и да инвестират в дадена технология или решение.
Каква е цената на услугата “Виртуален CISO”?
Цената на нашия екип като CISO на компанията зависи от резултатите от оценката на сигурността и от броя на хората и часовете, посветени на защитата на вашата компания. Цените ни отразяват това, тъй като всички наши клиенти са с различни размери и имат допълнителни изисквания за сигурност. Цената е малко по-висока от тази, която бихте платили за CISO на пълно работно време, защото получавате повече хора, технологии, ноу-хау, опит и по-високо качество на услугите, които не излизат в отпуск и не могат да ви напуснат заради по-високоплатена работа. Цената започва от 40 хил. долара годишно за по-малките компании, а за компаниите с хиляди служители може да достигне 300 хил. долара годишно или повече, в зависимост от допълнителните услуги и лицензи, от които може да се нуждае голямата компания.
Каква е средната часова ставка за виртуален CISO?
Получете виртуален CISO/CISO в облака като услуга, вместо да прекарвате месеци в търсене на добър мениджър по информационна сигурност. Ние фактурираме на клиентите си годишно или месечно, тъй като по същество ставаме част от вашия екип и постигаме резултати на проектен принцип, насочени към конкретни цели в областта на защитата. Но тъй като много хора ни питат за цената, можем да кажем, че цената за по-малки проекти е по-висока и е около 200 долара на час. За по-големи проекти, при които работата е разпределена за дълъг период от време и включва много повече часове, цената може да бъде едва 100 USD/час. Цените на виртуалните консултантски услуги за CISO силно зависят от сложността на проекта.
Цени на CISO като услуга
Можете да очаквате да инвестирате между 5200 и 9000 долара, ако бизнесът ви има само облачна инфраструктура и имате между десет и сто служители. Ако разполагате с голям ИТ екип и екипът ви за разработка на софтуер е повече от 20 души, тогава нашата цена за CISO като услуга ще бъде по-висока от 10000 USD месечно.
Цените на CISO като услуга започват от 5200 долара, тъй като една малка компания се нуждае от поне 20 часа месечно и най-вероятно ще й трябват поне 40 часа през първия месец, за да се отърве от всички уязвимости с висок критичен риск, които обикновено откриваме. Можете да очаквате, че цената ще намалее след третия месец, защото нашето участие става толкова по-ниско, колкото повече уязвимости ви помагаме да отстраните и колкото по-сигурни ставате.
CISO на пълно работно време срещу виртуален CISO
Специалистът по CISO, който работи на пълен работен ден, обикновено прекарва един, два или дори три месеца, за да разбере какво се случва в дадена компания.
От съществено значение е да не нарушавате правилата, като навлизате в процеси, които все още не разбирате, дори и да сте бдителни, за да вдигнете бързо летвата в защита на организацията.
Оттук може да се определи нивото на зрялост на организацията и да се изгради стратегия.
Разлики и прилики
Целите са идентични, но има някои разлики и прилики между CISO и виртуалния CISO.
Разлики:
- Като виртуален доставчик на CISO ние не можем да бъдем в компанията всеки ден.
- Нямаме време да седим 30, 60 или 90 дни и да изучаваме организацията, преди да започнем да действаме и да предоставяме стойност.
- Ръководството има определени очаквания – плаща ни се за резултати, а не просто за спазване на изискванията.
- Скоростта на изпълнение на проектите и контрола е по-висока с виртуален CISO поради по-малкия стимул за отлагане – плащаме за резултати.
Прилики:
- Нашата цел е да помогнем на бизнеса да работи безопасно и ефективно.
- Ресурсите, необходими за постигане на определено ниво на защита, са много сходни: трябва да закупите същия софтуер и хардуер.
Как предоставяме услугата “Виртуален CISO”?
Можем да започнем с различни проекти в зависимост от нивото на зрялост на организацията. Обикновено започваме с оценка на NIST CSF (NIST Cybersecurity Framework) и как тя съответства на нейните изисквания. Обикновено извършваме нашата услуга за оценка на риска за киберсигурността, включително елементите на NIST CSF, въз основа на NSA-ISAM (NSA Information Security Assessment Methodology). Понякога навлизаме в дълбочина и включваме податливостта на пробив (тестване за проникване).
Използвайки резултатите и доклада, ние установяваме базови данни за клиента – успоредно с разбирането на средата и културата в неговата компания.
Разглеждаме също така резултатите, които клиентът ни предоставя (ако има такива), и определяме приоритети в зависимост от риска за бизнеса. Определяме основните приоритети за първите три месеца – основните елементи в нашия списък обикновено са идентифицираните рискове, които представляват пряка заплаха за организацията.
След като ги идентифицирахме и работихме по тях, разработихме 2-3-годишна стратегия за по-големите организации и едногодишен план за по-малките, в който подробно описахме всичко, с което можем да се справим от гледна точка на бюджета и ресурсите.
Ограниченията от страна на клиента обикновено са времето, хората и ресурсите, които са на разположение за сигурността – и така, с резултатите от нашата оценка, ние стратегически ги приоритизираме заедно с клиента. Често можем да поискаме повече хора и ресурси, за да покрием идентифицираните рискове, преди да се реализират реално.
Какви са разходи свързани с това?
Първият въпрос, на който обикновено се натъкваме, когато хората разглеждат възможността за виртуален CISO, е цената – и от гледна точка на ценообразуването е по-евтино да имате виртуален CISO. Понякога дори не можете да намерите добра такава на пазара! Един CISO обикновено получава около 200 000 долара годишно, а повечето организации не са предвидили тази сума за човек, който да се грижи за сигурността.
Наемането и задържането на подходящите таланти е скъпо и рисковано – много хора напускат в рамките на година или две и се налага да преминете през същия процес многократно, което може да отнеме до шест месеца дори при добър екип за подбор на персонал.
Да не забравяме, че това е само заплатата, без да се включва цената на софтуера, хардуера и външната помощ, която трябва да се поръча, като например тестване за проникване, реакция при инциденти, EDR, SIEM и всякакви други услуги в областта на сигурността.
Ако решите да назначите специален CISO, трябва да имате бройка под него.
Нека да направим изчисления за бюджета за позицията CISO:
- Средната заплата на CISO е около 200 000 долара годишно.
- Средностатистическата фирма за сигурност трябва да наеме и хора, които да обслужват инструментите за сигурност в една компания (особено в тези с над 1000 души персонал): някой трябва да поддържа всички тези защитни стени, SIEM (Security Information and Event Management), антивирусни програми, антиспам, предотвратяване на изтичането на данни, намаляване на експлойти, инструменти за откриване и реагиране на предприятието (EDR), инструменти за управление на уязвимостите и поправки… смятайте, че всеки от новите служители струва на компанията 50 000 – 80 000 долара годишно.
- Всички инструменти, споменати по-горе, имат лицензионни разходи, а само SIEM може да струва 40 000 долара годишно.
- Разходи за хардуер и съхранение на всички данни, които трябва да бъдат обработени и съхранени за целите на сигурността
Можете да използвате целия ни екип от опитни професионалисти в рамките на една услуга: CISO като услуга с нашата услуга.
Икономията на разходи е очевидна. Да вземем например набирането на персонал:
Всяка компания за лов на глави взима една или две месечни заплати за намирането на CISO; същото важи и за други хора от отдела за сигурност.
Средната продължителност на живота на CISO в една компания е 1-2 години (източник: ISSA.ORG). Това означава, че на всеки 18 месеца ще трябва да изразходвате 20 000 – 40 000 USD за намиране на нов CISO и още 5000 – 8000 USD за всеки допълнителен член на екипа.
С нашата услуга спестявате приблизително 40 000 долара на всеки 18 месеца само от разходи за набиране на персонал и получавате по-високо качество на услугите. Към това се добавят и разходите за повторно обучение на всеки новоназначен служител, тъй като той прекарва до три месеца (платено!) в изучаване на новата си работа и изисквания.
Средната продължителност на живота на CISO в една компания е около две години, тъй като той може да загуби работата си по различни причини, като инцидентите със сигурността са само една от тях. Още една причина да изберете виртуален CISO – можете да продължите да подобрявате програмата си за сигурност с един и същ екип, като избегнете някои от рисковете, свързани с политическите и междуличностните отношения, които възникват при напрежение между CIO, изпълнителния директор и CISO.
За да бъде успешна една програма за сигурност, служителите трябва да подкрепят представената пред тях стратегия за сигурност – включително ИТ екипите и ръководството. Всички трябва да се грижат и да участват равностойно, като се стараят да не кликат върху фишинг връзки, да докладват за подозрителни дейности, да се опитват да не заобикалят мерките за сигурност и вместо това да пишат, когато те са неефективни, за да може екипът по сигурността да намери по-добра използваемост и ефективност.
От гледна точка на предоставянето на услуги от CISO, нашата отговорност е да помогнем на всички на борда да престанат да гледат на сигурността като на “отдел №”, а като на отдел, който подкрепя бизнеса и осигурява оцеляването му в дългосрочен план.
Нашето послание е: “Ето нашата оценка на ситуацията, ето какви са рисковете, ето какви са потенциалните действия за възстановяване от гледна точка на риска – приемане, смекчаване, прехвърляне и т.н.”
След това методът на отговор, въз основа на предоставените възможности, е с ръководния екип на клиента.
На кого трябва да се отчита виртуалният CISO?
В повечето случаи, особено в организации с по-слабо развита програма за сигурност, CISO се отчита пред CIO – и това може да е най-ефективната форма на отчетност за тях.
Да сте вътре в екипа често е по-добре, отколкото да сте извън ИТ екипа и да казвате на хората какво да правят, без да виждате пряко въздействието на вашите предложения върху техните проекти.
Ако екипът по мрежите в компанията се занимава и със сигурността, когато дойде експерт по CISO като услуга, той може да бъде възприет като заплаха.
Трябва да разбираме културата на персонала и тактично да разнищваме нещата бързо, за да изградим доверие.
Понякога, след като започнем да предоставяме услугите си на виртуален CISO в компанията, все още трябва да се продаваме на вътрешните екипи и членовете на екипа – и ние го правим.
Отговорности на виртуалния CISO
Програмата за информационна сигурност определя отговорностите на виртуалния CISO (или на компанията, предоставяща CISO като услуга), създаден за клиента. Те могат да варират от външно консултиране до практическо изпълнение, оценки, наставничество на екипи и отделни служители, обучение за повишаване на осведомеността за сигурността, одити за укрепване на сигурността, случайни проверки на място, финансови отчети за средствата, изразходвани за киберсигурност, пред управителния съвет и много други.
Връзки с индустрията
Разполагаме с широка мрежа от приятели, познати, доставчици и професионалисти в бранша. Постоянно използваме тази мрежа, за да предлагаме по-ефективни и рентабилни услуги.
От друга страна, когато CISO остава дълго време на една и съща позиция и в една и съща компания, професионалната му мрежа се застоява и с течение на времето предлага по-малко възможности за влияние.
Едно от големите предимства на работата с нашата компания е талантът, с който разполагаме – дори ако човек не е експерт по PCI, когато нашите клиенти попаднат в обхвата на PCI, винаги можем да привлечем феноменален експерт по PCI от нашия екип, който да им помогне.
Друг момент е споделянето на познания за индустрията с други консултантски компании – в 99 процента от случаите имаме едни и същи нападатели и защитаваме едни и същи типове инфраструктура. Разполагаме с една и съща технология и всички желаем да споделим успешни примери, за да помогнем на другите да намалят подобни заплахи.
В Atlant Security също така споделяме информация вътрешно по време на ежедневните си срещи и вътрешни чатове – скоростта на информационния поток е много по-висока, отколкото един CISO може да си позволи да прочете по време на дневната си работа.
Нашата основна отговорност е да съобщаваме за риска на бизнеса и да предоставяме подходящите инструменти и експертни познания за предприемане на съответните действия.
Съдействие при миграцията към облака
Почти всеки използва една или повече услуги в облака – предприятията дори прехвърлят цялата си инфраструктура и данни в облака. Движението за цифрова трансформация е бързо, а технологиите се променят бързо – по-бързо, отколкото е удобно за много служители на пълно работно време.
Именно тук се появява нашият CISO като услуга – за преодоляване на разликата между данните и услугите, които трябва да мигрирате, и наличните вътрешни ресурси.
Винаги разполагаме с необходимите умения и персонал, което значително ускорява миграцията ви към облака и намалява триенето и риска.
В понеделник може да сме в организация и да работим с техния собствен набор от бизнес фактори и политически пречки за усъвършенстване на програмата им за сигурност.
Във вторник това може да е напълно различна организация, в отделна вертикална област с различни бизнес нужди и изисквания, и това е предизвикателство. Преодолявайки различни предизвикателства, ние обогатяваме опита на целия екип и от това се възползват всички наши клиенти.
Може ли една компания да възложи всички свои нужди, свързани със сигурността, на трета страна?
Важно е да разберете, че не можете да направите всичко наведнъж. Необходимо е да определите приоритет номер 1, който бързо ще доведе до най-голямо въздействие за подобряване на сигурността на организацията.
Никоя компания не може да предложи пълен набор от управлявани услуги за сигурност, освен ако клиентът не възложи на трета страна по-голямата част от своите процеси – цялата си ИТ организация.
Ако има инфраструктура на място, някой, дори член на ИТ отдела, трябва да направи нещата според инструкциите на нашия виртуален CISO екип.
Същото ли е CISO като услуга и CISO на непълно работно време?
Назначаването на CISO на непълно работно време с нашата услуга е по-добро от назначаването на CISO на пълно работно време, защото получавате гарантирани нива на обслужване и защита. Наемането на пълен работен ден означава, че плащате една заплата на ловеца на глави или на специалиста по набиране на персонал/агенцията за набиране на персонал и трябва да обучите лицето на спецификата на вашата компания. Този период на обучение обикновено трае от няколко седмици до няколко месеца, в зависимост от неговата страна и уменията на CISO.
Ако работят дистанционно, CISO на непълно работно време се нуждаят от по-малко време за пътуване, което им дава повече време за работа по защитата на компанията. С нашата услуга можете да получите висококвалифициран и опитен експерт по сигурността, който да бъде ваш CISO на непълно работно време.
Екипът, който обслужва вашия CISO, е винаги мотивиран и постоянно работи на най-високо ниво благодарение на договора между нашите клиенти и Atlant Security, основан на ключови показатели за ефективност, и на системата за възнаграждение за постигнати резултати, основана на удовлетвореността на клиентите и постигането на целите.
Когато сключвате договор с нас за CISO-като-услуга, в него ясно се определят ключовите показатели за изпълнение (KPI) и целите. Фактурирането ни зависи от постигнатите, съгласувани и одобрени от вас ключови показатели за ефективност.
Представете си, че можете да одобрявате работата на вашия CISO на пълно или непълно работно време преди всяка заплата. За съжаление, нито едно трудово законодателство в която и да е страна по света не би позволило това. Но тя ще го позволи с договор за услуги с компания! Изпълнението им също щеше да е отлично!