Er egen CISO – utan att anställa en
Många organisationer behöver någon som tar ansvar för informationssäkerheten, men har varken behov av eller budget för en heltidstjänst. En Virtual CISO ger er en erfaren säkerhetsansvarig som blir en del av ert team, på den nivå som passar er.
Vad är en Virtual CISO?
De flesta medelstora företag behöver någon som håller ihop säkerhetsarbetet. Någon som ser till att risker hanteras, att lagkrav uppfylls, att incidenter hanteras rätt och att ledningen har den information den behöver.
En heltidsanställd CISO kostar ofta 80 000–120 000 kronor i månaden inklusive arbetsgivaravgifter. För en organisation med 10–50 anställda är det sällan motiverat. Behovet finns, men inte på heltid.
En Virtual CISO fyller samma funktion men på deltid. Jag arbetar löpande med er organisation, lär känna er verksamhet och tar ansvar för att driva säkerhetsarbetet framåt. Skillnaden mot en vanlig konsult är att jag inte levererar en rapport och försvinner. Jag stannar kvar och ser till att saker faktiskt händer.
Jag har arbetat med IT och informationssäkerhet i över 25 år, som CIO och CISO i IoT-bolag, telekomkoncerner och konsultbolag. Den kombinationen av operativt IT-ansvar och säkerhetsledning innebär att jag kan ta vid snabbt utan lång uppstartstid. Jag har sett de flesta situationer förut.
Vad jag gör som er vCISO
Exakt vad som ingår beror på er situation, men de här områdena täcker det mesta av vad ett löpande vCISO-uppdrag handlar om.
Driva säkerhetsarbetet framåt
Jag ser till att ert informationssäkerhetsarbete inte stannar vid goda intentioner. Det innebär att sätta mål, prioritera åtgärder, följa upp och rapportera till ledningen. Ni får en säkerhetsansvarig som håller i taktpinnen.
Riskhantering
Identifiera, bedöma och hantera informationssäkerhetsrisker. Jag hjälper er bygga en riskprocess som fungerar i er vardag och ser till att den används, inte bara dokumenteras.
Lagkrav och regelverk
Cybersäkerhetslagen, GDPR, ISO 27001. Jag håller koll på vad som gäller för just er verksamhet och ser till att ni uppfyller de krav som ställs. Utan att det blir ett pappersexercis.
Policyer och rutiner
Utveckla och underhålla de policyer och rutiner organisationen behöver. Det viktiga är att de är anpassade efter hur ni faktiskt arbetar, inte kopierade från en mall.
Incidenthantering
Bygga upp er förmåga att hantera säkerhetsincidenter. Det innebär att ta fram processer, öva organisationen och vara tillgänglig som stöd om något inträffar.
Ledning och styrelse
Regelbunden rapportering till ledning och styrelse om säkerhetsläget, risker och framsteg. Jag kan delta i ledningsgruppsmöten, styrelsemöten eller leverera skriftliga rapporter, beroende på vad som passar er.
Så fungerar det i praktiken
Ett vCISO-uppdrag är ett löpande partnerskap. Vi kommer överens om ett antal dagar per månad. Jag arbetar integrerat med er organisation – som en del av teamet, inte som en extern leverantör som dyker upp då och då.
Vi börjar med att förstå er situation
Första steget är alltid att kartlägga var ni står. Vilka krav ställs på er? Vad fungerar redan? Var finns de största bristerna? Det kan vara en fristående nulägesbedömning eller integreras i de första veckorna av uppdraget.
Vi sätter en plan och prioriterar
Tillsammans med er ledning tar vi fram en plan för säkerhetsarbetet: vad som behöver göras, i vilken ordning och vem som ansvarar. Planen är realistisk och anpassad efter er storlek och resurser.
Jag driver arbetet löpande
Sedan arbetar jag löpande med att genomföra planen. Riskanalyser, policyer, utbildning, leverantörsgranskningar, incidenthantering, ledningsrapportering. Det som behövs. Ni slipper koordinera enskilda konsultinsatser för varje delområde.
Upplägget anpassas efter era behov. Vissa organisationer behöver stöd två dagar i månaden, andra mer intensivt. Vi diskuterar vad som passar er och justerar efter hand.
En kontaktpunkt för hela ert säkerhetsarbete
En av de största fördelarna med en vCISO är att ni slipper köpa enskilda tjänster för varje behov. Istället för att anlita en konsult för riskanalysen, en annan för policyer, en tredje för utbildning och en fjärde för att hantera en incident, har ni en person som håller ihop allt.
Cybersäkerhetslagen
Nulägesbedömning, gap-analys, implementeringsstöd och löpande uppföljning.
Läs mer om cybersäkerhetslagenISO 27001
Uppbyggnad och underhåll av ledningssystem, oavsett om målet är certifiering eller ramverk.
Läs mer om ISO 27001GDPR
Tekniska och organisatoriska åtgärder, registerförteckning, rutiner för personuppgiftshantering.
Läs mer om GDPRUtbildning
Ledningsutbildning, säkerhetsmedvetenhet och workshops genomförs som del av uppdraget.
Läs mer om utbildning & workshopsRiskhantering
Löpande riskprocess integrerad i verksamheten.
Incidenthantering
Processer, övning och stöd när det behövs.
Det innebär att ert säkerhetsarbete hänger ihop och att någon ser helheten. Ni slipper pussla ihop enskilda insatser och hoppas att de bildar en fungerande helhet.
Är en vCISO rätt för er?
En vCISO passar organisationer som har ett verkligt behov av att arbeta strukturerat med informationssäkerhet men som inte har, eller inte behöver, en heltidsanställd säkerhetsansvarig.
Ni omfattas av cybersäkerhetslagen
Lagen kräver systematiskt säkerhetsarbete, riskhantering, incidenthantering och ledningens engagemang. En vCISO kan driva det arbetet åt er.
Kunder eller partners kräver det
Allt fler upphandlingar och affärsrelationer kräver att ni kan visa att ni arbetar strukturerat med informationssäkerhet, ibland med krav på ISO 27001 eller motsvarande.
Ni har IT-kompetens men saknar säkerhetsexpertis
Er IT-avdelning sköter driften, men ingen har ansvar för informationssäkerheten som helhet. En vCISO kompletterar er IT med det strategiska och regulatoriska perspektivet.
Ni vill komma igång men vet inte var ni ska börja
Ni vet att ni behöver göra mer, men det är oklart vad som bör prioriteras. En vCISO hjälper er sortera, prioritera och komma igång, utan att ni behöver ta reda på allt själva först.
Skillnaden mot en vanlig konsultinsats
Det finns gott om konsulter som kan göra en riskanalys eller skriva en policy. Skillnaden med en vCISO är kontinuiteten.
Konsultinsats
- Avgränsat uppdrag med tydlig start och slut
- Levererar en rapport eller dokument
- Ni ansvarar för att implementera rekommendationerna
- Ny konsult behöver sätta sig in i verksamheten varje gång
- Bra för specifika behov, t.ex. en enskild workshop eller analys
vCISO
- Löpande relation som utvecklas över tid
- Tar ansvar för att saker genomförs, inte bara rekommenderas
- Lär känna er verksamhet på djupet
- Finns tillgänglig när frågor uppstår
- Driver hela säkerhetsarbetet, inte bara delar av det
Obriums enskilda utbildningar och workshops fungerar utmärkt som fristående insatser. Men om ni vill ha någon som tar ett helhetsansvar för ert säkerhetsarbete är vCISO-tjänsten det naturliga steget.
Upplägg och omfattning
Varje vCISO-uppdrag anpassas efter er organisations behov, storlek och mognad. Vi kommer överens om en omfattning som fungerar för er och justerar efter hand.
Uppstart / intensiv fas
I början av ett uppdrag behövs ofta mer tid för att kartlägga nuläget, ta fram en plan och komma igång med de viktigaste åtgärderna. Uppstartsfasen är typiskt 3–6 månader.
Löpande stöd
När grunden är på plats övergår uppdraget till löpande stöd. Omfattningen varierar beroende på er verksamhet, men ett par dagar i månaden räcker ofta för att hålla säkerhetsarbetet i rörelse.
Projektförstärkning
Ibland behövs mer intensivt stöd under en period, inför en ISO 27001-certifiering, vid en större förändring i verksamheten eller om ni behöver komma ifatt med cybersäkerhetslagens krav.
Konkret omfattning och pris diskuterar vi alltid i ett personligt samtal. Varje organisation är unik och jag vill förstå er situation innan jag föreslår ett upplägg.
Nyfiken på hur det skulle fungera för er?
Boka ett kostnadsfritt samtal så berättar jag mer om hur ett vCISO-upplägg kan se ut för just er organisation. Inga förpliktelser, bara ett ärligt samtal om era behov.