Yazan: Caroline McCaffrey, CEO ve Kurucu Ortak, ClearOPS
Çoğu insan siber güvenliğin sürekli değişen manzarasını ilginç bulduğu için kendini bu alanda buluyor. 2023, CISO rolündeki sorumluluklara ilişkin yeni endişelerin yanı sıra SEC ve çeşitli eyalet gizlilik yasalarından gelen daha büyük kısıtlamalar nedeniyle hayal kırıklığına uğratmadı. Bu endişeler ve açıkçası daha fazla iş fırsatı, güvenlik uzmanlarının kurumsal istihdamdan kendi firmalarını kurmaya odaklanmalarının nedenidir.
Bu yıl 40’a yakın vCISO ve güvenlik girişimcisiyle röportaj yapma ayrıcalığına sahip oldum ve 2024’te kendi vCISO firmasını kurmayı hayal edenlere bir yol haritası sunarak bulgularımı paylaşmak istiyorum.
En Zor Kısım: Pazarlama ve Satış
Röportajlardaki en sevdiğim soru şu: “Kendi sanal CISO firmanızı yönetmenin en zor kısmı nedir?” Bunun zor bir soru olduğunu düşünüyorum, ancak yanıtlar oldukça kolay geliyor gibi görünüyor. Cevap %80 oranında “satış”tır.
Satışlar neden bu kadar zor? Bu sorunla ilgili kendi deneyimlerim yerine danışmanlardan öğrendiklerime odaklanacak olursak, sihirli bir değnek yok ve neredeyse herkesin kendine özgü bir yaklaşımı var. Bunlardan birkaçına değineceğim.
Satışa ilk yaklaşım pazarlamaya odaklanmaktır. Podcast’i olan, LinkedIn öğrenme veya diğer öğretim platformları aracılığıyla eğitim veren, kitap yazan veya belirli bir yayına katkıda bulunan çeşitli vCISO’larla konuştum. Bu yaklaşımın en ilginç yanı, uzmanlıklarının potansiyel müşterileri tarafından nasıl keşfedildiğine odaklanılmasıydı. Hizmetleri için ideal müşteri profilini belirlemeye ve ardından pazarlamalarını bu müşteriye hedeflemeye gerçekten odaklandılar. Örneğin, 1 milyon ila 10 milyon dolar gelir aralığındaki startuplara en uygun olduklarını tespit ederlerse, pazarlamalarını bu startupın CEO’suna veya CTO’suna hedefleyecekler ve hizmet sağlayıcılar için araştırmalarını nasıl yapacaklarını çözecekler.
İkinci yaklaşım yalnızca ağlarına güvenmektir. Çoğu zaman, bir vCISO’nun ilk etapta kendi firmasını kurmasının nedeni, eski bir işverenin, patronun veya iş arkadaşının, onlardan büyüme veya kuruluş aşamasında olan bir işletmeye kısmi güvenlik hizmetleri sağlamalarını istemesidir. Bu, vCISO’yu finansal açıdan sıçrama yapmaya hazırlayan kazançlı bir danışmanlık pozisyonudur. Bir şirketin müşterisi için kaliteli iş yaptıklarında, bunu kulaktan kulağa yayılarak diğer potansiyel müşterilerden oluşan bir ağ oluşturmak için bir referans olarak kullanırlar.
Burada bahsedeceğim üçüncü yaklaşım ise doğrudan satış rotasıdır. Tartışmalarımda vCISO’ların izlenmesi en zor yolun bu olduğunu düşünüyorum. İster uzaktan erişim ister bir personel bulma şirketi kullanıyor olun, bir vCISO’nun taahhüt etmesi gereken süre önemlidir ve onları müşteri hizmetleri sağlamaktan alıkoyar. Her iki yol da araç satın almayı veya ücret ödemeyi gerektirdiğinden nispeten pahalı olabilir. Ayrıca vCISO’lar genellikle satış yapmaktan rahatsızdır. Benim şüphem, bunun bir kısmının, satış sahasının diğer tarafında o kadar çok kez bulunmuş olmalarından ve kalitesiz uygulamalara düşmekten çekinmelerinden kaynaklandığı yönünde.
Kesirli ve Sanal: Ayrılığın Gizemini Ortaya Çıkarmak
Bir vCISO ile röportaj yaptığımda, onlara uygulamalarına atıfta bulunurken “vCISO” ve “kesirli CISO” terimlerinin kullanımı hakkında ne düşündüklerini sormak isterim. İlginç bir şekilde, görüşülen kişilerin birçoğu kendilerini “vCISO’lar” olarak etiketlemeyi reddediyor ya da kendilerini “kesirli CISO’lar” olarak etiketleyip artık yalnızca “vCISO”ya odaklanıyorlar. Her iki terimin de SEO’su göz ardı edildiğinde, bu iki “kesirli CISO” ve “sanal CISO” kelimesi garip bir şekilde kullanılmış ve karıştırılmış gibi görünüyor.
Bir endüstri uzmanıyla konuştuğumda onun farka ilişkin bakış açısı hoşuma gitti. “Kesirli” teriminin matematiksel bir terim olması nedeniyle daha çok matematik düşünürü olma eğiliminde olanların bu terimi kullanmayı tercih edebileceğini ifade etti. Bu mantığı takip ederek, rolü zamanının bir kısmını, hatta bir kısmını şirketlere ve CISO departmanlarına sunan biri olarak tanımlar.
Öte yandan Sanal CISO biraz daha geçicidir ve tam zamanlı ancak uzaktan çalışabilen birini ima eder. Bunun anlamı, bu sanal kişinin o şirket için çalışan tek güvenlik uzmanı olduğu ve bu da şirketin nispeten küçük olduğu veya olgunlaşmamış bir güvenlik programına sahip olduğu anlamına gelir.
Yaptığı bu ayrım hoşuma gitti ama endüstrinin bunu benimsediğine ikna olmadım. vCISO’larla daha yakın zamanda yaptığım görüşmelerde bazıları, kendilerini başlangıçta vCISO olarak adlandırdıklarını, ancak artık kısmi CISO’ya geçtiklerini ifade etti. vCISO teriminin bozulduğunu fark ettim. Sosyal medya paylaşımlarında, ilgili deneyime veya yeterlilik belgesine ihtiyaç duymadan “herkesin kendisine vCISO diyebileceğini” görüyorum; bu da topluluğun bu terime şüpheyle yaklaşmaya başladığının bir kanıtı.
Ve bu liste ilginç bir nokta çünkü siber güvenlik alanında çeşitli sertifikalar ve yeterlilik belgeleri olsa da bunların çoğu siber güvenlik profesyonellerinden daha genç. Bu nedenle herkesin ehliyeti yoktur. Bu tartışmadan bağımsız olarak, “kesirli CISO”ya doğru hareketi giderek daha fazla görüyorum; bu nedenle, kendi firmanızı kuruyorsanız, web sitenizde hangi terimi kullanmak istediğinizi, çizginin hala belirsiz olsa da, giderek daha da belirginleşeceğini bilerek seçin. çizilmiş.
Yolunuzu Haritalamak: Nişinizi Bulmak
vCISO pazarı çok çeşitlidir ve çeşitli müşteri ihtiyaçları ve katılım modelleri sunar. Tatlı noktanızı belirleyin. Belirli endüstrilerde uzmanlaşacak mısınız? Proje bazlı çalışmaya mı odaklanıyorsunuz? Yoksa saatlik mi ücret alıyorsunuz? Ya da belki daha büyük işletmeler için uzun vadeli taahhütlere hitap etmeyi tercih ediyorsunuz? Seçtiğiniz niş için başvurulacak vCISO olmak için uzmanlığınızı ve değer teklifinizi geliştirerek yolunuzu akıllıca seçin.
Önceki bölümde açıkladığım gibi vCISO’nun farklı anlamları vardır. Konuştuğum bazı vCISO’lar yalnızca denetim öncesi hazırlığa odaklanıyor. Bunlar, vCISO’nun müşteri için güvenlik programını oluşturduğu, denetim dönemi boyunca sürdürdüğü ve denetim sırasında denetçiyle koordinasyon sağladığı, 6 aydan bir yıla kadar değişen sınırlı görevlerdir. Bu tür vCISO’lar daha sonra denetim sonucunda sözleşmelerini fesheder.
vCISO’ların bir diğer uygulama odağı da, bir güvenlik programı oluşturmak ve sürdürmek için müşterilerinden aylık sabit bir ücret talep eden kısmi siber güvenlik profesyonelleridir. Bu çalışmayla vCISO bir boşluk analizi yapar, müşteri için özelleştirilmiş ve belirli bir çerçeveyle eşlenen bir eylem planı oluşturur ve ardından uygulama konusunda müşteriyle birlikte çalışır ve bu arada güvenlik anketlerine ve sigorta değerlendirmelerine verilen yanıtlara yardımcı olur. müşterinin adına. Bazen vCISO, sabit bir ücret yerine saatlik bir ücret talep eder ve ben genellikle bu tür faturalandırmayı vCISO’nun firmanın yaşamının başlarında olduğu ve ilk müşteri tabanını oluşturmaya çalıştığı zaman görüyorum (çünkü saatlik onlara daha az para kazandırıyor). Bu hizmetlere genellikle “Danışmanlık Hizmetleri” adı verilmektedir ve MSP’ler ve MSSP’ler de bunları sunmaktadır.
Son olarak, üçüncü en yaygın vCISO teklifi benim geçici görev olarak adlandırdığım tekliftir. vCISO, müşterinin işletmesinde tam zamanlı olarak ancak geçici bir süre için çalışır. Bu çalışmada, müşteri ya şirket içi CISO’sunu kaybetmiştir ve bir süreliğine ilgilenecek birine ihtiyaç duymaktadır ya da hiç bir CISO tutmamıştır ve araştırmasını yaparken sigortaya ihtiyaç duymaktadır. Üst düzey üst düzey yeteneklerin eksikliği (ve Uber’den Joe Sullivan’ın dava edilmesinden bu yana sorumluluk korkusu) nedeniyle bir CISO araştırması bir yıla kadar sürebiliyor, dolayısıyla bu vCISO’lar boşluğu kapatıyor. Genellikle bu vCISO’lar, yeni yetenekleri keşfetmek ve eğitmek için oluşturulmuş tamamen ayrı bir motora sahiptir, böylece müşteri çağrısını aldıklarında, çağrılacak istekli CISO’lardan oluşan bir havuza sahip olurlar. Bunu büyüleyici buluyorum çünkü vCISO kısmen siber güvenlik danışmanı, kısmen strateji uzmanı, kısmen uygulayıcı ve kısmen işe alım sorumlusudur.
Daha fazla niş alanın gelişeceğine eminim, ancak röportajlarıma göre bunlar en yaygın olanları. Belirttiğim tutarlılıklardan biri, her müşteri için gerekli olan ve genellikle boşluk analizi veya boşluk değerlendirmesi olarak adlandırılan ilk durum tespitidir. Benim çıkarımlarım şu: eğer vCISO hizmetleri sunuyorsanız boşluk analizleri de sunmalısınız.
Tek Başınıza Çalışın veya Ölçeklendirme İşi Kurun
Kendi işinizi kendiniz için çalışarak başlatmak heyecan verici. Danışmanlık işletmeleri genellikle “yaşam tarzı” işletmeleri olarak görülse de, yine de bir startup gibi büyüyüp ölçeklenebilirler. Ben şahsen siber güvenlik danışmanlık firmalarını hukuk firmalarına benzetmeyi seviyorum ve modelin iyi çalıştığını düşünüyorum. En deneyimli ortak firmayı kurar ve bant genişliği kısıtlamaları nedeniyle yardıma ihtiyaç duyacak kadar müşteri işini büyütmeye başlar. İlk başta, gerektiğinde devreye girip danışmanlık yapabilecek birkaç vCISO arkadaşları var. Sonunda, pazarlama ve satışa daha fazla odaklanabilmeleri için müşteri işini devralacak birini işe almaları gerekiyor. Sonunda kurucu ortak, diğer birkaç vCISO’yu ve ayrıca kariyerinin başlarında olan ortakları yönetiyor. Bu modelde bir vCISO, çalışanla ortak olur. Çalışanın saatlik ücreti vCISO’dan daha ucuzdur ve boşluk değerlendirmeleri için durum tespiti yapmak, satıcının güvenlik kanıtlarını incelemek ve müşteri adına güvenlik anketlerine yanıt vermek gibi daha ağır işler üzerinde çalışır. vCISO ortakları, zamanlarının çoğunu üst düzey görevlere, çalışanların eğitimine ve standart veya düzenlemelerdeki (NIST CSF 2.0 veya CMMC gibi) değişikliklere ayak uydurmaya odaklıyor.
Bu arada kurucu ortak artık zamanının neredeyse tamamını işi yönetmek, işe almak ve işten çıkarmak, pazarlama ve satış yapmakla geçiriyor. Ne istediğinizi anlamak için zaman ayırmaya değer. Bir işletmeyi yönetmek mi istiyorsunuz yoksa işi müşteriler için yapmaktan mı hoşlanıyorsunuz? Kararınız, tek kişilik bir firma olarak mı kalacağınızı yoksa çok daha büyük bir şirkete mi dönüşeceğinizi belirleyecek.
Hukuk firması benzetmesine dönecek olursak, vCISO firmalarının eninde sonunda şu anki hukuk firmaları gibi uzmanlıklara sahip olduğunu görüyorum. Bir firma denetime hazırlığa odaklanan tam bir uygulama alanına sahipken, başka bir uygulama alanı şirketler içindeki geçici görevlendirmelere odaklanabilir. Temel olarak, firmanızı kurmak için yaptığınız ve hangi nişin sunulacağı seçimleri, çok daha büyük firmanızın bir bölümü haline gelir.
2023, vCISO pazarının patlama yılıydı ve 2024’te de bu pazarın yavaşlayacağını tahmin etmiyorum. Daha da büyük şirketlerin, sınıfının en iyisi olma ününe sahip, üst düzey firmalar olarak ortaya çıktığını görmeye başlayacağız. Eğer kendi firmanızı kurmayı düşünüyorsanız, giriş fiyatlarının çok yükselmesinden önce zamanının geldiğini söylüyorum.
Kendi firmanızı yönetmenin derinliklerine indikçe, daha fazla içgörü ve nüans keşfedeceksiniz. Meraklı kalın, değişen ortama uyum sağlayın ve öğrenmeyi asla bırakmayın. Adanmışlık ve doğru stratejilerle, asla mümkün olduğunu düşünmediğiniz, işinizde deneyimlemeye ve keyif almaya değer zorluklar getiren bir vCISO firması kurabilirsiniz.
yazar hakkında
Caroline McCaffery, güvenlik uzmanlarına yönelik, Generative AI tarafından desteklenen bir güvenlik programı yönetim platformu olan ClearOPS, Inc.’in CEO’su ve Kurucu Ortağıdır. ClearOPS’tan önce Caroline, son 23 yılını hem şirket içi danışman hem de şirket dışı danışman olarak Silikon Vadisi ve üç eyaletli bölgedeki teknoloji start-up şirketlerini temsil eden bir avukat olarak geçirdi. Caroline son olarak görüntü tanıma gerçekleştiren bir yapay zeka şirketinde Genel Danışman ve Ticari İşlerden Sorumlu Başkan Yardımcısı olarak görev yaptı ve aynı zamanda etik, finans, bilgi güvenliği, insan operasyonları ve ticari operasyonlardan da sorumluydu. Caroline, mahremiyet, yapay zekada etik ve iş dünyasında ve hukukta kadınlar gibi konularda sık sık konuşmacı olarak yer alıyor. Caroline, Uluslararası İlişkiler alanında lisans derecesini Pensilvanya Üniversitesi’nden, JD derecesini ise New York Üniversitesi Hukuk Fakültesi’nden aldı. Caroline, hem New York hem de Kaliforniya’daki baro üyesidir ve Sertifikalı Gizlilik Uzmanıdır (CIPP/US).
Caroline’a çevrimiçi olarak ([email protected]) adresinden ve şirket web sitemiz https://www.clearops.io adresinden ulaşılabilir.