Impulsar el ecosistema vCISO con un nuevo directorio: entrevista con David Primor, director ejecutivo de Cynomi

Los ciberataques van en aumento. Los datos de 2023 muestran que las organizaciones enfrentan un impactante promedio de 1248 ataques por semana. Los expertos predicen que el costo global del delito cibernético para este año superará los 8 billones de dólares .

Es más fácil que nunca para individuos o grupos acceder a ransomware y otros kits de malware. Aún así, los equipos de seguridad cibernética están muy reducidos, especialmente en las empresas más pequeñas. Estas organizaciones tienen una seguridad más débil y es menos probable que atraigan una fuerte respuesta policial que las estructuras de alto perfil. Y así, se están convirtiendo en un objetivo clave de los ciberdelincuentes. Para muchas de estas empresas, es una cuestión de cuándo, no si, serán víctimas de tal ataque.

A pesar de esta amenaza, muchas PYMES no pueden permitirse el lujo de contratar a alguien para administrar su seguridad cibernética o ocupar ese puesto. No obstante, ¿cómo pueden acceder a la experiencia técnica necesaria para reforzar sus defensas cibernéticas? Ingrese al Director de Seguridad de la Información virtual, o vCISO.

La startup Cynomi acaba de lanzar el primer directorio de proveedores de vCISO: MSP y MSSP en América del Norte. El fundador y director ejecutivo, David Primor, me ayudó a comprender mejor la necesidad en cuestión, la solución que brindan los servicios de vCISO y los beneficios que el Directorio de vCISO brindará a las empresas .

¿Qué es un CISO y por qué es tan necesario este rol?

Un Director de Seguridad de la Información, o CISO, es la persona a cargo de la seguridad cibernética y el cumplimiento de la organización. Son responsables de establecer la estrategia de seguridad y garantizar que los activos de la empresa estén protegidos contra amenazas cibernéticas externas e internas.

Dada esta necesidad, ¿por qué es difícil o indeseable para muchas empresas emplear uno?

Mientras que la mayoría de las grandes empresas contratan a un CISO interno por un rango de alrededor de $200 mil a $350 mil al año, las pequeñas y medianas empresas generalmente no pueden permitirse contratar a un profesional así. En muchos casos, en realidad no necesitan un CISO para desempeñar esta función a tiempo completo.

La mayoría de las veces, todo lo que necesitan es un recurso externo a tiempo parcial que sea responsable de la seguridad cibernética de la empresa. Este es el vCISO.

¿Qué tipo de empresas tienden a enfrentar estos desafíos?

Hoy en día toda empresa, independientemente de su tamaño, es un objetivo para los ciberdelincuentes. Los piratas informáticos simplemente se dan cuenta de que las organizaciones más pequeñas suelen carecer de los recursos, la experiencia en seguridad y las herramientas de seguridad de clase empresarial que los ciberdelincuentes suelen tener que evadir en las organizaciones más grandes, por lo que se dirigen a las PYMES.

Las pymes se enfrentan a desafíos cada vez mayores en lo que respecta a la ciberseguridad y el cumplimiento. Deben protegerse de las amenazas cibernéticas cada vez mayores, cumplir con los crecientes requisitos normativos y satisfacer las demandas de seguros cibernéticos. Como tal, la ciberseguridad se ha convertido en una prioridad en todos los ámbitos. Esto es cierto para todo tipo de PYMES, independientemente de la industria o vertical en la que operen.

¿Qué es un CISO virtual (vCISO)?¿Cuáles son las ventajas de usar los servicios de vCISO, en lugar de contratar a una persona?

Donde un CISO regular es responsable de desarrollar e implementar el programa de seguridad de la información de una organización, un CISO virtual o vCISO tiene las mismas responsabilidades pero para más de una empresa. El vCISO suele ser responsable de la seguridad y el cumplimiento generales de la empresa. Las responsabilidades incluyen la estrategia de seguridad, la arquitectura de seguridad y la comunicación de la postura de seguridad cibernética de la organización a las partes interesadas clave.

El “rol de CISO también se conoce como “CISO fraccional” y “CISO como servicio”. Los servicios de vCISO pueden ser proporcionados por profesionales de seguridad individuales, consultores o socios de confianza como MSP y MSSP.

La principal ventaja de usar un vCISO en lugar de emplear un CISO de tiempo completo es el menor costo. Esto permite que las organizaciones que no pueden permitirse contratar a un CISO desarrollen su resiliencia cibernética.

Su empresa, Cynomi, es una plataforma vCISO.¿Qué significa eso?

Una plataforma vCISO es un software que admite vCISO al automatizar parte de su trabajo. Por lo general, aprovecha la IA para realizar la mayor parte del trabajo manual repetitivo del CISO virtual. Esto ahorra tiempo y hace que todo el proceso sea más eficiente y efectivo.

Algunas plataformas vCISO, como la de Cynomi, abarcan el conocimiento y la experiencia de CISO experimentados y, por lo tanto, pueden guiar al usuario a través del proceso de creación de la estrategia de ciberseguridad.

¿Qué tipo de empresas utilizan su plataforma?¿Cómo utiliza la IA para beneficiarlos?

Nuestros principales usuarios son MSP y MSSP que brindan servicios vCISO, o que comienzan a ofrecerlos, a su cliente final. La plataforma respalda su trabajo diario, ya que agiliza sus tareas y automatiza una parte significativa del trabajo manual que consume mucho tiempo. Junto con el conocimiento de nivel de CISO, la IA permite que esto se haga de la manera más eficiente, a través de la personalización automática, la evaluación de riesgos y la priorización de tareas por su impacto potencial.

Recientemente lanzó el primer directorio de vCISO.¿Por qué decidió que era importante recopilar esta lista de proveedores de vCISO?

Cada vez más pymes buscan contratar a un proveedor de servicios para abordar sus necesidades de gestión de ciberseguridad. Como resultado, la demanda de CISO virtuales está aumentando. Al trabajar en este mercado, aprendimos que muchas PYMES que buscan vCISO tienen dificultades para encontrar el proveedor de servicios adecuado para ellos. La mayoría ni siquiera sabe qué buscar, dónde buscarlo y cómo elegir a la persona o empresa adecuada para trabajar. Creamos este directorio para ayudar a esas PYMES a encontrar proveedores de servicios vCISO y tomar una decisión informada al seleccionar uno.

¿Cuántos proveedores están listados actualmente y qué detalles sobre ellos incluye el Directorio?

A día de hoy, el directorio incluye unos 250 proveedores de servicios de vCISO. Seguimos recibiendo más solicitudes de proveedores que solicitan ser incluidos en la lista. Actualmente, el directorio solo cubre los EE. UU., pero planeamos expandirlo a otras regiones en el futuro.

¿Cuál es su consejo clave para las empresas que intentan ser más proactivas con respecto a su ciberseguridad?

Como en muchas otras áreas, el primer paso es el reconocimiento. Como propietario o gerente de un negocio, debe cuidar su seguridad y convertirla en una prioridad, está a mitad de camino. El siguiente paso es consultar con un experto en ciberseguridad. Podría ser el MSSP o MSP con el que trabaja, un asesor de ciberseguridad, un vCISO profesional o un empleado que tenga la experiencia requerida. A partir de ese momento, asegúrese de tener a alguien a cargo de su seguridad de TI y asegúrese de que esta persona vea el panorama completo y pueda desarrollar una estrategia y un plan de seguridad.