CISO vs vCISO, ¿qué es mejor?

¿Es necesario para mi negocio disponer de un CISO? ¿Qué se adecua más a mi negocio, disponer de un CISO o disponer de un vCISO?
Durante este último año 2017, hemos visto en las noticias que se han producido múltiples brechas de seguridad en empresas reconocida a nivel nacional e internacional, empresas que han sido hackeadas, debido a vulnerabilidades en los sistemas que los hackers han podido explotar y conseguir que la reputación de estas empresas se vea afectada.
A raíz de estos ataques, las empresas se han preocupado más por proteger sus activos y están tomando medidas para incrementar la seguridad y disminuir los efectos que pueden producir estos ataques a las compañías.
Una de las medidas que están tomando es la contratación de profesionales de seguridad. En los últimos años se haya incrementado la contratación de personal específico y técnico en seguridad y ciberseguridad.
Años atrás las organizaciones pedían a ejecutivos de la compañía que salieran de su zona de confort para que se afrontaran al cargo de Responsable de Seguridad (CISO por sus siglas en inglés) y muchas veces, carecían de la experiencia necesaria para crear una política y una cultura solida de seguridad de la información y por consiguiente tomar la estrategia más adecuada para cada organización en materia de seguridad. Por esta razón, las organizaciones han cambiado de estrategia y se han centrado en disponer de expertos de seguridad.
Según el estudio realizado por Cisco (Informe de Ciberseguridad anual-Cisco 2018), desde 2014 hasta 2017, se ha incrementado de manera significativa el número de profesionales de ciberseguridad.

Si bien es cierto, que ha habido un incremento, este se ha centrado principalmente en empresas de gran envergadura, que disponen de recursos, presupuesto y estructura para asumir más perfiles específicos en el sector de la ciberseguridad.
Pero, ¿Qué ocurre con las empresas pequeñas y medianas? Hay que tener en cuenta que, para este tipo de empresas, puede ser difícil justificar el gasto de un CISO a tiempo completo, que aporte estrategia de seguridad a la organización y proporcione las bases y la cultura en materia de seguridad. O puede ser, que no les sea necesario disponer a tiempo completo de un Responsable de Seguridad, debido a las dimensiones de la organización y la tecnología que disponen.
Una reflexión que nos podríamos hacer es ¿Y si cambiamos el concepto de disponer de un CISO solo para nuestra organización y tomamos la ocpión de vCISO?
vCISO (Virtual CISO o Responsable de Seguridad Virtual) es una opción viable para organizaciones que no necesitan disponer de un recurso a tiempo completo y lo que necesitan es disponer de un asesoramiento, una supervisión, una persona que les guie y que les haga los proyectos y la estrategia de ciberseguridad de la organización, la implante y realice el seguimiento sin asumir el coste de un empleado a tiempo completo.
El vCISO es una solución flexible, es una forma de disponer de personal cualificado, personal que está al día de las nuevas tendencias en seguridad y que es experto en la materia de manera flexible y totalmente escalable, incluso en el hipotético caso de necesitar un CISO a tiempo completo, podría contratar al vCISO para que montara la estrategia, el puesto de trabajo y posteriormente entrevistara al personal para seleccionar a la persona más adecuada para el puesto.
Otro ejemplo, el vCISO puede ayudar al CIO a unificar las políticas de seguridad, establecer las pautas, los estándares de seguridad, dado que se encuentra familiarizado con las ISO, PCI-DSS, GDPR… incluso podría realizar las evaluaciones de los proveedores de servicio, para determinar su nivel de seguridad de los terceros (Third Parties Risk Management) y asegurar que los proveedores disponen de unos mínimos de seguridad y que protegen la información que gestionan.
En definitiva, cada empresa en función de sus necesidades, su estrategia de seguridad, su presupuesto, debe ser consciente de como la seguridad puede disminuir los riesgos, las brechas de seguridad y la fuga de información y determinar si para su negocio es necesario disponer de un CISO en plantilla o por el contrario disponer de un servicio vCISO que cubra sus necesidades en el tiempo o por un tiempo determinado.