La majoria de pimes tenen la seguretat que un atacant es troba, no la que es pensen que tenen. Hi ha un informàtic (intern o extern) que manté els sistemes en marxa, potser un antivirus i còpies de seguretat — però ningú que es faci responsable de la seguretat: ningú que sàpiga què hi ha exposat a internet, què s’hauria d’arreglar primer, o què respondre quan un client gran envia un qüestionari de seguretat de 80 preguntes.
Aquesta figura, a les grans empreses, és el CISO (Chief Information Security Officer). El problema és el sou: un CISO en plantilla costa una xifra de sis dígits l’any, i una empresa de 15 o 50 persones ni el pot pagar ni el tindria ocupat a jornada completa.
Un vCISO (virtual CISO) és exactament això: la direcció de seguretat com a servei, amb la dedicació que la teva empresa necessita.
Què fa un vCISO, en concret
No és consultoria per hores ni un informe puntual que es queda en un calaix. És una funció contínua:
- Sap què tens exposat. Manté una visió actualitzada de la teva superfície d’atac — dominis, serveis publicats, cloud, correu — i detecta quan hi apareix un forat.
- Prioritza pel risc real. No tot és urgent. Un bon vCISO tradueix les troballes tècniques a una llista curta: què arreglar, en quin ordre i per què, coordinant-se amb el teu informàtic o proveïdor IT (no el substitueix).
- Gestiona el compliment. NIS2, ENS, requisits de la ciberassegurança, qüestionaris de clients: els resol i en manté l’evidència documentada.
- Reporta a gerència. Un informe periòdic entenedor i una puntuació de maduresa que ha de millorar trimestre a trimestre. Seguretat que es pot demostrar.
Per què ara interessa a una pime
Fa cinc anys, una empresa de 30 treballadors podia viure d’esquena a tot això. Avui hi ha tres pressions que ho han canviat:
- La regulació ha baixat de mida d’empresa. La directiva NIS2 arrossega obligacions de gestió del risc a milers de pimes (directament o com a proveïdores d’empreses obligades), i l’ENS afecta qui treballa amb el sector públic.
- Els teus clients t’auditen. Cada cop més contractes venen amb qüestionari de seguretat o due diligence. No poder respondre’l bé costa vendes.
- La ciberassegurança ja no és un tràmit. Les asseguradores exigeixen controls concrets (MFA, còpies, resposta a incidents) i n’exigeixen evidència per assegurar-te o renovar-te la pòlissa.
A això cal sumar-hi el motiu de sempre: els atacants automatitzen, i una pime exposada és un objectiu tan vàlid com una gran empresa — amb menys capacitat d’absorbir l’impacte.
Com saber si el necessites
Tres preguntes ràpides:
- Si demà apareix una vulnerabilitat crítica al vostre correu o al vostre ERP, qui se n’assabenta, i quan?
- Si un client us envia un qüestionari de seguretat aquesta setmana, qui el respon i amb quines evidències?
- Qui decideix en què s’inverteix l’esforç de seguretat aquest trimestre?
Si la resposta a alguna d’aquestes és “ningú” o “l’informàtic, suposo”, tens la funció descoberta.
El model que defensem
A CynderLab creiem que per a una pime aquesta funció ha de ser contínua, sistemàtica i de quota fixa: monitorització permanent del que tens exposat, revisió humana de les troballes, un pla a 12 mesos i seguiment trimestral amb gerència. Sense informes de 200 pàgines que ningú llegeix, i sense sorpreses a la factura.
Si vols saber com es concretaria a la teva empresa, escriu-nos a hola@cynderlab.com i t’ho expliquem sense compromís.