vCISO

Usluga vanjskog pružanje usluga (outsorce) upravljanja sigurnosti \ vCISO

Mala i srednja poduzeća, a ponekad i veća koja nemaju core fokus na IT teško mogu opravdati trošak stalnog stručnjaka za informacijsku sigurnost. Ipak, pritisak regulatora, (GDPR, NIS2, ISO 27001) i rast prijetnji ne ostavlja prostor za ignoriranje ovog segmenta upravljanja sigurnošću.


Tu uskaču vanjski konzultanti, koji preuzimaju dio ili cijeli portfelj poslova vezanih uz upravljanje sigurnost.

Tipični zadaci koje preuzima vanjski stručnjak

Procjena sigurnosnog stanja

(gap analiza, penetration test koordinacija)

Izrada i održavanje politika

(sigurnost lozinki, pristup sustavima, BYOD, backup, odgovor na incidente)

Edukacija zaposlenika

trening prepoznavanja phishinga, sigurnosna kultura

Usklađivanje s normama i zakonima

ISO 27001, GDPR, NIS2

Praćenje i izvještavanje

sigurnosni KPI-jevi i status implementiranih mjera

Savjetovanje kod nabave i dizajna sustava

sigurnost ugrađena od početka (“security by design”)

Prednosti ovog pristupa

  • Manji trošak od zapošljavanja full-time stručnjaka.
  • Pristup višoj razini ekspertize (iskustvo iz više industrija).
  • Fleksibilnost – intenzitet angažmana se može prilagoditi potrebama.
  • Brže usklađivanje s propisima i standardima.

Manji rizik od “jedne točke neuspjeha” u znanju – konzultanti rade timski i prate trendove

Kako to funkcionira u praksi?

Ovisno o potrebama, može se organizirati na više načina:

Što razlikuje ovu uslugu i uslugu SOC (Security Operations Center)?

SOC je usluga tehničkog praćenja i odgovora koji je tehnički, organizacijski i financijski kompleksniji stupanj zaštite i reakcije na incidente dok je usluga upravljanja sigurnosti namijenjena kao sigurnosna savjest i stručna pomoć upravi poduzeća kako bi se broj i intenzitet incidenata smanjio.
SOC, iako svakako pozitivan tip usluge nije dostupan i potreban svim organizacijama koje si takav način ne mogu priuštiti ili ih regulatorni zahtjevi na to ne obvezuju.

 

Aspekt

SOC

vCISO / Vanjsko upravljanje sigurnosti

Fokus

Operativna detekcija i reakcija

Strategija, politika, usklađenost

Vrijeme rada

24/7/365 nadzor i reakcija u stvarnom vremenu

Periodično (npr. par dana mjesečno ili nakon značajnih promjena)

Alati

SIEM, SOAR, IDS/IPS, EDR, podaci o prijetnjama

Registar rizika, politike, edukacije, KPI

Rezultat

Incident detektiran i zaustavljen

Sustavno smanjenje rizika, sukladnost zahtjevima trećih strana

Publika

IT odjel, sigurnosni analitičari

Uprava, regulator, menadžment

Glavno pitanje

“Što se događa sada?”

“Koliko smo sigurni i usklađeni sustavno?”

  • Izrada ili revizija sigurnosne dokumentacije.
  • Procjena rizika i gap analiza.
  • Sigurnosni auditi prije certifikacije ili interne kontrole
  • Konzultant ili tim dolazi npr. 1–4 dana mjesečno.
  • Prati sigurnosne incidente, vodi dokumentaciju, organizira edukacije.
  • Pomaže usklađivanju s regulativom (GDPR, NIS2).
  • Djeluje kao “sigurnosna savjest” poduzeća.
  • U slučaju incidenta konzultant vodi istragu i sanaciju.
  • Nakon incidenta se radi analiza temeljnih uzorka i preporuka za poboljšanje.

Konzultanti i predavači s iskustvom dužim od 10 godina s međunarodnim certifikatima.

NEWSLETTER

© Copyright 2025 by ProEduco