Hoe u de betrokkenheid bij uw cybersecurityklanten kunt vergroten via vCISO-rapportage

Cyberbeveiliging
vCISO Reporting

Als vCISO bent u verantwoordelijk voor de cybersecuritystrategie en risicobeheer van uw klant. Dit omvat meerdere disciplines, van onderzoek tot uitvoering tot rapportage. Onlangs hebben we een uitgebreid handboek voor vCISO’s gepubliceerd, “Your First 100 Days as a vCISO – 5 Steps to Success”, dat alle fasen behandelt die betrokken zijn bij het starten van een succesvolle vCISO-betrokkenheid, samen met aanbevolen acties om te ondernemen en stapsgewijze voorbeelden.

Na het succes van het playbook en de verzoeken die binnenkwamen van de MSP/MSSP-community, besloten we dieper in te gaan op specifieke onderdelen van vCISO-rapportage en meer kleur en voorbeelden te geven. In dit artikel richten we ons op het creëren van overtuigende verhalen binnen een rapport, wat een aanzienlijke impact heeft op de algehele MSP/MSSP-waardepropositie.

In dit artikel worden de hoogtepunten van een onlangs door ons gehouden begeleide workshop besproken. Hierin werd besproken wat een succesvol rapport is en hoe u het kunt gebruiken om de betrokkenheid bij uw cybersecurityklanten te vergroten.

De workshop werd gegeven in samenwerking met Jesse Miller, medeauteur van het First 100 Days-playbook en oprichter van PowerPSA Consulting en de PowerGRYD. Jesse is een CISO/vCISO en infosec-strateeg van lange duur die het zijn missie heeft gemaakt om serviceproviders te helpen de code te kraken voor premium vCISO-winsten. U kunt de hele webinar bekijken, met meer details en voorbeelden uit de praktijk hier.

De verborgen waarde van rapportage

Volgens Miller is het één ding om geweldig werk te leveren, maar het is iets heel anders als je klant het zo ziet. Dit is waar rapportage zich op moet richten. Een strak rapportageproces is de kers op de taart van een connected journey voor de klant in een succesvol vCISO-programma.

Zoals Miller echter onthult, is rapportage niet primair bedoeld om de activiteiten te demonstreren die de vCISO voor de klant uitvoert, wat een veelvoorkomende misvatting is. De echte waarde ligt eerder in het maken van de klant tot de held van hun beveiligingsreis. Daarom moeten vCISO-rapporten zich richten op de klant en de doelen van hun organisatie, niet op de activiteiten van de vCISO. Het uiteindelijke doel van elk rapport is om een ​​zakelijke strategiediscussie mogelijk te maken die draait om beveiliging.

Voordelen van vCISO-rapportage

Als we dieper ingaan op het hierboven genoemde doel, biedt vCISO-rapportage meerdere voordelen voor zowel de vCISO als de klant:

Voor de vCISO –

  • Zorgen dat de vCISO aansluit bij de verwachtingen van de klant
  • Ervoor zorgen dat de klant inzicht heeft in zijn beveiligings- en nalevingspositie
  • Het creëren van een gedeelde visie tussen de vCISO en de klant
  • Consensus creëren over een verbeteringspad (in plaats van alleen maar eenzijdig aanbevelingen te pushen)
  • Initiatieven verankeren in bedrijfsresultaten
  • Behoud en verkoop stimuleren

Voor de klant –

  • Hun veiligheidslot in eigen hand nemen
  • Hun beveiligingstraject ontwerpen op basis van bedrijfsresultaten en hen de verantwoordelijkheid geven voor de risico’s die samenhangen met hun beslissingen en acties
  • Vereenvoudigde besluitvorming
  • Ruisonderdrukking
  • Bandbreedte en schaal
  • Gemakkelijke knoppen en hulpmiddelen voor tactische uitvoering verkrijgen
  • Ervoor zorgen dat ze de hoge ROI die ze voor hun vCISO-investering krijgen, waarnemen

4 essentiële secties van een vCISO-rapport

Om alle hierboven genoemde voordelen te ontdekken, raden we u aan een rapport te maken dat uit vier onderdelen bestaat:

  • Sectie 1: Algemene samenvatting – De samenvatting, belangrijkste statistieken en eventuele ‘hot stove’-items.
  • Sectie 2: Tactische beoordeling – In de volgende paragrafen wordt beschreven hoe controles werken, wat de ‘verhalen’ van gegevens zijn en hoe de voorwaarden worden geschapen voor de aanbevelingen en initiatieven die volgen.
  • Sectie 3: Strategische beoordeling – Een roadmapbeoordeling, het houden van een door het bedrijf geleide discussie, aanbevelingen en het in kaart brengen van de RCT (Resource, Commitment, Time) voor de volgende stappen.
  • Hoofdstuk 4: Toekomstige initiatieven – Momenteel wordt er gewerkt aan het beschermen tegen risico’s en het opbouwen van de salesfunnel.

Laten we ze nu eens stuk voor stuk bespreken.

Sectie 1: Algemene samenvatting

Het eerste deel van het rapport biedt een overzicht en samenvatting, teasers voor de rest van het rapport en high-level metrics. Het is ook waar “hot-stove”-items kunnen worden aangepakt. Bijvoorbeeld, informeren over een aanvallersvoetafdruk en eventuele open vragen beantwoorden.

Door een korte initiële sectie te bieden die gericht is op de uitkomsten, kunnen vCISO’s het verhaal dat ze vertellen bondig delen. Het stelt leidinggevenden en bedrijfsleiders ook in staat om het eerste deel van het rapport te bekijken voor een overzicht, zodat de professionals later in de gedetailleerde details kunnen duiken.

In dit voorbeeldrapport van Cynomi zien we bijvoorbeeld het eerste deel van de algemene samenvatting, waarin de houdingscore wordt weergegeven, samen met een korte uitleg over wat deze betekent en waarin wordt verwezen naar het risico.

vCISO-rapportage

Sectie 2: Tactische beoordeling

Het tweede gedeelte maakt het mogelijk om verhalen te vertellen met de data. Omdat er een breed scala aan data is dat in de rapporten kan worden opgenomen, is het belangrijk om ervoor te zorgen dat de juiste data wordt gebruikt. Dit zal het creëren van het juiste verhaal mogelijk maken.

Bedenk dat het de bedoeling is om de klant tot held te maken en hem te laten zien hoe hij met zijn beveiligingsprogramma kan bereiken wat hij voor het bedrijf wil.

Een zeer technisch publiek kan bijvoorbeeld de gedetailleerde details van de beveiligingsprogramma’s begrijpen. Een besluitvormer op hoog niveau kan het verhaal echter niet begrijpen op basis van dezelfde gegevens. Daarom is het raadzaam om het verzamelen van gegevens te automatiseren en de gegevens vervolgens te collationeren en te snoeien voor het type klant waaraan ze worden gepresenteerd.

In dit gedeelte kunt u ook de voortgang en aanbevelingen bekijken die zijn afgestemd op verschillende besluitvormers, beveiligingsincidenten en hoe u deze kunt aanpakken, aanbevolen acties ter ondersteuning van bedrijfsprocessen (zoals fusies en overnames) en meer.

Bijvoorbeeld, in dit gedeelte van een voorbeeldrapport van Cynomi kan de vCISO inzoomen op de status van de verschillende beleidsregels en domeinen die beter beveiligd moeten worden. Later toont het rapport ook de scanresultaten die het bewijs vormen voor deze analyse.

vCISO-rapportage

Sectie 3: Strategische beoordeling

Het strategische beoordelingsgedeelte is bedoeld om een ​​geprioriteerde beveiligingsreis te creëren. Om dit verhaal te bouwen, is het belangrijk om de risicobeoordeling, de beveiligingsroutekaart en de aanbevelingen te koppelen. Dit betekent het creëren van een systeem waarin de risicobeoordeling op hoog niveau tekortkomingen in beveiligingscontroles vindt, zoals kwetsbaarheidsbeheer, malwarecontrole of incidentrespons. Vervolgens moet het aanbevelingsrapport duidelijk aangeven welke oplossingen moeten worden geïmplementeerd en moet de routekaart prioriteiten vermelden, d.w.z. het creëren van een reis.

Professionele tips:

  • Verspreid geen FUD. Gebruik in plaats daarvan een “complimentensandwich”-aanpak, beginnend en eindigend met positieve feedback.
  • Voordat u uw klanten vraagt ​​om geld uit te geven, laat u ze zien hoe aanbevelingen en acties hen geld besparen en het bedrijf ondersteunen.
  • Gebruik de RCT-mapping (Resources, Cost, Time) om klanten te helpen bij het nemen van een beslissing.

In dit Cynomi-rapport kan de vCISO bijvoorbeeld de status van naleving van vergaderingen weergeven en deze gebruiken voor de aanbevelingen en de routekaart.

vCISO-rapportage

Hoofdstuk 4: Toekomstige initiatieven

Uiteindelijk is het tijd om toekomstige initiatieven te bespreken. Aangezien klanten niet over eindeloze bronnen beschikken, helpt dit gedeelte om werk in de wachtrij te plaatsen en te prioriteren op basis van een door het bedrijf geleide consensus.

Deze sectie helpt ook om zowel de klant als vCISO te beschermen tegen risico’s. Bijvoorbeeld, door de voortgang van maand tot maand te tonen, kunnen auditors en regelgevende instanties zien dat de klant de nodige zorgvuldigheid betracht. Dit beschermt zowel de vCISO als de klant.

Ten slotte creëert dit gedeelte verantwoording onder klanten. Met de vCISO die duidelijk de zakelijke resultaten van het accepteren van voorgestelde aanbevelingen laat zien, kan de klant een zakelijke beslissing nemen en het risico voor die beslissing dragen.

Wat is het volgende?

Rapportage is onderdeel van een holistische vCISO-aanpak die vertrouwen creëert bij de klant. Door de klant de held te maken, laat u zien dat u hun beste belangen voor ogen hebt. Wanneer dit wordt geverifieerd door middel van rapportage, stimuleert het de schaal en groei van vCISO, waardoor uw bedrijf succesvol wordt.

Bekijk hier de volledige workshop voor meer uitleg en voorbeelden.

Voor meer professionele tips en bewezen werkwijzen voor vCISO, lees de gids “Uw eerste 100 dagen als vCISO – 5 stappen naar succes”.

Volg Jesse Miller op LinkedIn of word lid van de PowerGRYD-community voor dagelijkse inzichten over hoe u de winst van uw vCISO kunt vergroten.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Play Protect laat je binnenkort mogelijk schadelijke apps opnieuw scannen

CrowdStrike-incident had invloed op 8,5 miljoen apparaten, zegt Microsoft

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]