Un vCISO travaille généralement hors site, loin du reste de l’organisation, note Jason Kemmerer, architecte de solutions chez Forcepoint.
« Un RSSI virtuel est un cadre responsable de la supervision des initiatives de sécurité d’une organisation liées à ses données, à sa technologie et à ses collaborateurs », explique Kemmerer. « La différence est que le dirigeant est principalement éloigné et ne peut pas être situé dans la même ville que le siège social de l’organisation ou les campus éloignés. »
L’embauche d’un vCISO est un bon choix si une organisation s’étend sur plusieurs régions et ne parvient pas à trouver un professionnel de la cybersécurité qui répond aux besoins de l’organisation dans la zone géographique du système de santé. C’est également un moyen d’acquérir une expérience en matière de cybersécurité spécifique aux soins de santé, explique Kemmerer.
Un vCISO collabore avec une équipe de sécurité interne d’un système de santé pour développer une stratégie globale de cybersécurité qui implique « de fixer des objectifs, de définir des priorités et d’aligner les efforts de sécurité sur les objectifs commerciaux », explique Kemmerer.
En outre, les vCISO s’occupent également de la gestion et de l’évaluation des risques, de la conformité et du développement des compétences. Un aspect clé du rôle du vCISO concerne la planification de la réponse aux incidents, explique Kemmerer.
Un vCISO doit « développer un plan de réponse efficace et s’assurer qu’il est régulièrement examiné et testé pour garantir la préparation à un incident de sécurité », explique Kemmerer.
Parfois, une organisation qui vient de se lancer commencera par un vCISO, puis les exigences réglementaires la conduiront à embaucher un RSSI interne, selon Sergile.
Comment les équipes informatiques de santé peuvent-elles bénéficier d’un vCISO ?
Pour les clients du secteur de la santé, Sergile agit en tant que RSSI interne pour gérer les programmes de sécurité, gérer le personnel et prendre des décisions clés. Au cours de ses deux premières semaines de mission, l’organisation a subi une violation de données, se souvient-il.
« En gros, j’ai dû me mettre au travail et au cours de ces deux premières semaines, je me suis tenu devant un panel de fournisseurs d’assurance en matière de cybersécurité et j’ai expliqué quels étaient nos plans pour les six prochains mois », explique Sergile. « Et même après une grave faille de sécurité, ils ont quand même pu obtenir une cyber-assurance. »
Au cours de cette expérience, Sergile a aidé l’organisation avec ses stratégies de cybersécurité basées sur les exigences HIPAA ainsi que sur les contrôles de sécurité et de confidentialité publiés par le National Institute of Standards and Technology dans NIST SP 800-53. Il a identifié les lacunes de l’organisation et l’a aidée à affiner son plan de sécurité.
Un vCISO dans le secteur de la santé intervient souvent lorsqu’un responsable de la sécurité quitte l’entreprise ou lorsque le système de santé a besoin d’aide pour se remettre d’une violation. En fait, une organisation de soins de santé peut décider de mettre au chômage le responsable de la sécurité après une violation de données et d’embaucher un vCISO, explique Sergile.
« S’il arrive un moment où quelqu’un quitte une organisation, c’est un gros problème pour la plupart des organisations de soins de santé, car cette surveillance est requise en vertu de la HIPAA, et vous voulez quelque chose pour combler cet écart et assurer la continuité », explique Sergile.