当前,网络安全风险加剧,网络安全人才缺口不断加大,这意味着即使是中小企业也迫切需要寻找合适的人才担当CISO(首席信息安全官)的角色)协调领导网络安全相关工作。然而,由于缺乏安全专业人才和高昂的用人成本,中小企业很难聘请到合适的CISO。在此背景下,虚拟首席信息安全官(vCISO)开始受到业界的关注。对于许多企业而言,vCISO可能是一种易于实践且更具成本效益的选择。vCISO定义和职责网络管理联盟将vCISO服务定义为“组织获得经验丰富的安全和合规专业人员的有效途径”。其目标是填补网络安全市场当前的人员和技能缺口。这意味着企业可以根据一定的工作时间或项目聘请vCISO,从而获得优质的网络安全咨询服务,但实际上这些CISO并不是在企业的工作场所全职工作。借助vCISO服务,中小企业不仅可以接触到全球公认的网络安全专业人才,而且只需要支付相对较少的费用就可以完成相应的工作。相关研究数据显示,虚拟CISO的成本仅为全职CISO年成本的30%左右。重要的是,这些vCISO一般都是在这个行业工作多年的人。他们有丰富的经验应对各种情况,指导企业进行信息安全管理,为企业进行风险评估;此外,vCISOs还可以培训内部安全人员,帮助他们提高安全技能和意识,为组织制定合适的安全战略规划。显然,对于安全需求有限的中小企业,这种模式比聘请全职CISO更具成本效益。虽然vCISO的职位描述可能因组织而异,但一般来说,vCISO专注于网络安全和网络弹性、事件响应和事件管理、风险评估和风险管理、供应链、认证、治理和合规性以及技术部署。、数据安全、运营安全、资产管理等10个领域发挥价值。此外,vCISO还需要承担以下工作:审查公司现有的网络安全产品(政策和文档)并分享专业意见;帮助企业调整政策和程序;在了解组织环境、定义风险和威胁后,与公司安全团队合作创建必要的文档,例如事件响应计划或网络安全事件响应手册等。聘请vCISO的优缺点除了成本效益优势外,聘请vCISO还将为企业带来以下价值:vCISO将在了解企业的??具体业务目标后,帮助更新、改进和重建网络安全策略和程序。企业。借助vCISO咨询服务,组织可以获得公正和中立(供应商中立)的建议,从而客观地了解他们的技术投资和其他安全控制措施。vCISO更擅长与不同类型的利益相关者打交道,并与领导团队、监管机构和其他业务利益相关者沟通问题。通过vCISO服务,企业可以获得相对完整的风险、治理和合规专家团队的支持。这可确保无缝处理您业务的各种需求。这显然比聘请独立顾问更有优势。vCISO帮助组织为可能的数据泄露、勒索软件攻击或其他网络安全事件做好准备。他们评估企业的安全风险状况并指导其提高网络弹性。然而,这并不是说vCISO是解决企业安全问题的万能解决方案。在以往的实践中,也暴露出了vCISO的一些重大缺陷:人始终是安全保护链中最薄弱的环节之一,vCISO也会犯错,依赖vCISO可能会给企业带来麻烦。寻找合适的vCISO可能与聘请全职CISO一样困难。vCISO是混合服务,虚拟角色或服务的职责很难明确要求。如果出现问题,vCISO的责任有时很难确定。vCISO服务无法帮助企业实施。如果企业希望vCISO为其监控系统、应用程序和基础设施,并维护安全设备的运行,则很难通过vCISO服务来实现。如何聘请理想的vCISO?企业在聘用vCISO时,需要考虑以下几个方面:从业者的经历,以及在职业生涯中担任过CISO的经历。在信息安全的所有领域都有经验,包括信息风险管理、治理和合规性。兼具技术和业务知识,他不仅可以与高层沟通,还可以与技术人员进行有价值的讨论。保持公正和中立(与供应商无关)并提供不认可任何特定产品的建议。学习审计和合规的基础知识,并能够与内部和外部审计师合作。学习商业和商业的基础知识。对于提供vCISO服务的供应商,必须具有灵活性,允许企业根据不断变化的需求扩大和缩小他们的需求,而不会收取惩罚性费用。理想情况下,vCISO服务必须根据企业自身的信息安全和业务需求、组织规模和业务复杂程度而定,其持续时间可以从每月仅几个小时到临时的全职CISO。最好找一个愿意分享和提供指导的vCISO,他们可以帮助组织培养专业的安全人员。原文链接:https://www.cm-alliance.com/cybersecurity-blog/what-is-a-virtual-ciso
