Išorinis CISO jūsų organizacijai
Kibernetinio saugumo reikalavimai neturėtų tapti papildomu pilno etato darbu vadovybei.
„Cyber Spektras“ veikia kaip jūsų išorinis CISO – koordinuojame procesus, ruošiame auditams ir padedame organizacijai atitikti TIS2 reikalavimus be papildomo chaoso.
Kas yra CISO ir kodėl jo reikia?
CISO (Chief Information Security Officer) yra žmogus arba komanda, atsakinga už organizacijos kibernetinio saugumo koordinavimą.
Paprastai tariant – tai partneris, kuris padeda įmonei suprasti reikalavimus, pasiruošti auditams, valdyti rizikas ir užtikrinti, kad kibernetinis saugumas nevirstų chaosu vadovybei.
Pagal TIS2 direktyvą kiekvienas kibernetinio saugumo subjektas privalo paskirti atsakingą asmenį. Tai gali būti vidinis darbuotojas arba išorinis partneris.
Ką veikia CISO jūsų organizacijoje?
Koordinuoja TIS2 atitiktį
Prižiūri, kad organizacija atitiktų KSRA reikalavimus – rizikų vertinimą, incidentų valdymo procedūras ir kitus privalomus dokumentus.
Organizuoja darbuotojų mokymus
Inicijuoja ir koordinuoja kibernetinio saugumo mokymus. Ne nurodo vadovui susirasti lektorių, o pats pasirūpina įgyvendinimu.
Valdo incidentų procesą
Koordinuoja reagavimą į kibernetinius incidentus, užtikrina pranešimus NKSC per nustatytus terminus ir dokumentuoja eigą.
Atsiskaito vadovybei
Aiškiai ir reguliariai informuoja vadovus apie kibernetinio saugumo situaciją – be techninio žargono, be perteklinio sudėtingumo.
Prižiūri tiekimo grandinę
Vertina, ar tiekėjai ir IT partneriai atitinka saugumo reikalavimus pagal TIS2 įpareigojimus.
Parengia auditui
Koordinuoja pasiruošimą nepriklausomam kibernetinio saugumo auditui ir užtikrina, kad nustatyti trūkumai yra šalinami.
Kodėl rinktis Cyber Spektras kaip išorinį CISO?
- Komanda, o ne vienas žmogus. Skirtingų kompetencijų specialistai: nuo TIS2 atitikties ir auditų koordinavimo iki techninių saugumo sprendimų bei incidentų valdymo.
- Aiški komunikacija vadovybei. Sudėtingus kibernetinio saugumo klausimus paaiškiname suprantamai, be perteklinio techninio žargono. Mūsų tikslas – kad organizacija suprastų, kas vyksta ir kodėl to reikia.
- Praktinė patirtis su Lietuvos organizacijomis. Dirbame su skirtingų sektorių įmonėmis, padedame pasiruošti auditams, įgyvendinti TIS2 reikalavimus ir koordinuoti kibernetinio saugumo procesus kasdienėje veikloje.
- Mažiau chaoso vadovybei. Išorinis CISO turi ne sukurti papildomo darbo, o jį perimti: koordinuoti procesus, organizuoti mokymus, prižiūrėti dokumentaciją ir padėti organizacijai judėti aiškiu planu.
- Pasiruošimas auditams ir TIS2 atitikčiai. Padedame organizacijoms pasiruošti nepriklausomiems auditams, įsivertinti rizikas, susitvarkyti dokumentaciją ir užtikrinti atitiktį kibernetinio saugumo reikalavimams.
- Lankstus sprendimas be pilno etato kaštų. Organizacija gauna išorinio CISO kompetenciją pagal realų poreikį – be papildomo pilno etato samdymo ir vidinių resursų apkrovimo.
Dažniausiai užduodami klausimai
Taip. KSĮ ir KSRA leidžia TIS administratoriumi paskirti paslaugų teikėją. Tai teisiškai lygiavertis sprendimas vidaus specialistui.
Ne. KSĮ nedraudžia tam pačiam asmeniui ar įmonei vykdyti CISO funkcijų keliose organizacijose vienu metu.
Nuo nemokamos konsultacijos – įsivertiname jūsų situaciją, išsiaiškname, kokie reikalavimai aktualūs ir pasiūlome konkretų veiksmų planą.
Taip, tačiau svarbu suprasti skirtumą tarp pasiruošimo auditui ir nepriklausomo audito.
„Cyber Spektras“ padeda įmonėms pasiruošti auditams: įvertiname situaciją, identifikuojame spragas, parengiame dokumentaciją, koordinuojame procesus ir padedame suprasti, kokių veiksmų reikia imtis. Taip pat galime atlikti vidinį pasirengimo vertinimą ar GAP analizę.
Jei įmonėje veikiame kaip išorinis CISO, nepriklausomo audito tai pačiai organizacijai paprastai neatliekame, nes svarbu išlaikyti objektyvumą ir išvengti interesų konflikto. Tokiais atvejais bendradarbiaujame su nepriklausomais auditoriais ir padedame viso proceso metu.
Taip. Daugeliui mažų ir vidutinių organizacijų išorinis CISO yra efektyvesnis sprendimas nei pilno etato specialistas. Įmonė gauna komandą ir kompetencijas pagal poreikį, be papildomų vidinių resursų kaštų.
Kaina priklauso nuo organizacijos dydžio, reikalingų paslaugų apimties ir TIS2 subjekto kategorijos. Preliminarų įvertinimą pateikiame po pirmos konsultacijos.