Małe i średnie przedsiębiorstwa to ilościowo aż 95% firm sektora finansowo-ubezpieczeniowego. Stoją przed wyzwaniami związanymi z rosnącymi wymogami regulacyjnymi w zakresie cyberbezpieczeństwa.
Duże organizacje, jak towarzystwa ubezpieczeniowe i banki, dysponują rozbudowanymi zespołami do zarządzania cyberzagrożeniami. Mniejsze podmioty, np. pośrednicy ubezpieczeniowi czy firmy IT pracujące na rzecz tych dużych firm, często nie mają wystarczających zasobów kadrowo-budżetowych, aby sprostać nowym, coraz bardziej skomplikowanym przepisom.
W tym kontekście outsourcing funkcji cyberbezpieczeństwa, w postaci wirtualnego CISO (VCISO), staje się coraz bardziej popularnym rozwiązaniem, umożliwiającym skuteczne spełnienie wymogów prawnych.
Czym jest VCISO?
VCISO – wirtualny CISO – to usługa świadczona przez wyspecjalizowane firmy z obszaru zarządzania ryzykami cybernetycznymi, polegająca na zleceniu zewnętrznemu dostawcy wyspecjalizowanych obowiązków szefa/specjalistów ds., czyli całego zespołu bezpieczeństwa informacji i cyberbezpieczeństwa, zamiast zatrudniania wewnętrznego specjalisty czy budowania osobnego działu odpowiedzialnego za bezpieczeństwo cyfrowe.
Kluczowe regulacje dla sektora ubezpieczeniowego
- DORA (Digital Operational Resilience Act) – wymaga od instytucji finansowych i ubezpieczeniowych wdrożenia procedur do monitorowania zagrożeń, zarządzania incydentami, reagowania na nie oraz zapewnienia odporności operacyjnej.
- NIS2 (Network and Information Systems Directive 2) – nakazuje obowiązek stosowania zabezpieczeń IT na różne sektory kluczowe, w tym dostawców infrastruktury cyfrowej. Choć nie dotyczy bezpośrednio ubezpieczycieli (jeżeli podmiot podlega DORA, to nie podlega już NIS2), jest istotna dla ich podwykonawców, wymagając od nich dodatkowej koordynacji w łańcuchu dostaw. Akt ten ze względu na największy ilościowy zasięg ma również znaczenie dla klientów ubezpieczycieli.
- CSA (Cybersecurity Act) – nakłada na ubezpieczycieli obowiązek certyfikacji produktów i usług cyfrowych w celu zapewnienia zgodności z europejskimi standardami bezpieczeństwa.
- CER (Critical Entities Resilience) – dotyczy podmiotów zarządzających infrastrukturą krytyczną, w tym instytucji finansowych, wymagając od nich wdrożenia systemów zarządzania ryzykiem i zapewnienia ciągłości operacyjnej.
- CRA (Cyber Resilience Act) – wymaga wdrożenia rozwiązań chroniących odporność produktów cyfrowych, nakładając m.in. na sektor ubezpieczeniowy obowiązek stosowania szyfrowania i regularnych aktualizacji posiadanych rozwiązań.
VCISO jako odpowiedź na wyzwania MŚP
Według raportu Cybersec Forum 2024 zapotrzebowanie na usługi typu VCISO ma w ciągu dwóch kolejnych lat wzrastać o ponad 15% rocznie. Zwiększająca się liczba transakcji online oraz rozwój technologii chmurowych w równym stopniu napędzają zapotrzebowanie MŚP, jak i większych graczy na zaawansowane usługi cyberbezpieczeństwa.
Deficyt specjalistów w dziedzinie cyberbezpieczeństwa oraz rosnące koszty rekrutacji sprawiają, że outsourcing staje się bardziej opłacalny i efektywny. VCISO, czyli wirtualne zespoły ds. cyberbezpieczeństwa, umożliwiają – szczególnie mniejszym firmom – skuteczne zarządzanie zagrożeniami, zapewniając dostęp do eksperckiej wiedzy oraz zaawansowanych technologii bez konieczności budowania wewnętrznych, wyspecjalizowanych struktur.
Outsourcing a insourcing
Outsourcing VCISO oferuje liczne korzyści w porównaniu z modelem insourcingu. Przewagi obejmują m.in.:
- Dostęp do specjalistycznej, najnowszej wiedzy – wydelegowanie zadań CISO umożliwia natychmiastowe korzystanie z wiedzy ekspertów, stale podnoszących swoje kompetencje, posiadających zawsze najbardziej aktualną wiedzę o zagrożeniach oraz doświadczenie przy pracy w innych projektach.
- Optymalizacja kosztów – outsourcing pozwala firmom płacić tylko za wykorzystane usługi, co redukuje koszty stałe związane z utrzymaniem zespołu, eliminując również konieczność inwestycji w dodatkową infrastrukturę IT, szkolenia oraz narzędzia potrzebne do zarządzania bezpieczeństwem.
- Skalowalność i elastyczność – realizacja zadań CISO w postaci outsourcingu pozwala na łatwe dostosowanie zakresu usług do aktualnych potrzeb firmy, takich jak zwiększenie ochrony podczas projektów wysokiego ryzyka lub zmniejszenie intensywności działań w okresach o niższym obciążeniu operacyjnym.
- Nowoczesne technologie i narzędzia – outsourcing umożliwia dostęp do najnowszych narzędzi, takich jak systemy do zarządzania incydentami bezpieczeństwa (SIEM), detekcji intruzów (IDS), zaawansowane systemy szyfrowania oraz zautomatyzowane rozwiązania do analizy zagrożeń opartych na sztucznej inteligencji (AI), które mogłyby być zbyt kosztowne do wdrożenia wewnętrznie w modelu insourcingu.
- Szybkie reagowanie na incydenty – wirtualne zespoły ds. cyberbezpieczeństwa monitorują systemy 24/7 i zapewniają natychmiastową reakcję na incydenty, co w przypadku insourcingu wymagałoby rozbudowy wewnętrznego działu, organizacji dyżurów i zapewnienia całodobowego wsparcia, co generuje znaczne koszty i logistyczne wyzwania.
Przyszłość wirtualnych CISO
Prognozy wskazują na dalszy rozwój rynku usług VCISO, szczególnie w sektorach wymagających wysokiego poziomu bezpieczeństwa, takich jak ubezpieczenia. W przyszłości usługi typu VCISO będą coraz bardziej zintegrowanie z AI, chmurowymi systemami monitorowania i narzędziami do analizy ryzyka.
Jednocześnie VCISO stawać się będzie coraz bardziej atrakcyjny dla mniejszych firm, chcących korzystać z technologii, które jeszcze kilka lat temu były zarezerwowane dla korporacji, a które dziś pozwolą im zyskiwać przewagę konkurencyjną.
VCISO – rozwiązanie gwarantujące sukces
W obliczu rosnącej złożoności regulacji oraz cyberzagrożeń VCISO staje się kluczowym narzędziem dla MŚP w sektorze finansowo-ubezpieczeniowym. Umożliwiając skuteczne zarządzanie bezpieczeństwem, VCISO nie tylko wspiera firmy w spełnianiu wymogów prawnych, ale również otwiera drzwi do nowoczesnych rozwiązań, dostępnych w przeszłości jedynie dla dużych firm i korporacji.
Bartosz Sadkowski
Resilia COO, Partner Crawford Polska
