因为信息安全在IT行业只是一个比较新的领域,只占行业的一小部分,所以首席信息安全官(CISO)是一个比较紧缺的人才,虽然现在大部分大型企业都声称拥有CISO、CSO(首席安全官)或信息安全主管,但许多公司仍然没有。毕竟,事实是公司通常会在数据泄露后任命他们的第一位CISO,例如Target、TalkTalk和Sony。然而,要发展成为一名CISO,并成为一名优秀的CISO,并不容易。统计显示,信息安全领域的技术缺口已达约150万至200万人。那么,如果您的公司没有CISO怎么办?这就是虚拟CISO(vCISO)发挥作用的时候了。虚拟CISO通常是外包的安全从业者,他们通过兼职或远程操作随时为企业提供服务和技术支持。根据JaneFrankland的说法,企业家、CISO顾问和《InSecurity: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe》的作者,虚拟CISO是在该行业工作多年并且具有处理各种不同情况并指导您的业务的经验的人。开展信息安全管理。“通常这些CISO负责设计企业的安全策略,有些还可能负责管理实施,”他说。许多人还成为董事会成员、主要利益相关者和监管者。“你需要虚拟CISO吗?诚然,聘请虚拟CISO确实有一些实际意义。也许愤世嫉俗的人会问这样一个问题:当公司可以简单地雇用一个长期合同工时,为什么还需要虚拟CISO?因此,是否是否聘请虚拟CISO需要根据企业的具体情况来决定,对于初创企业来说,资源是有限的,最好的CISO价格不菲,要聘请到技能娴熟的全职CISO并不容易。即使聘用了他们,也有可能被竞争对手挖走。相比之下,虚拟CISO的优势就凸显出来了。我们用下面一组数字来说明这个优势:全职CISO年薪10万+,如果需要,兼职CISO可以大幅削减成本(大约CISO年度成本的30%到40%)。此外,您可以按固定时间或按项目聘用兼职CISO项目基础,甚至可以聘请CISO一段时间做技术支持需要的时候。简而言之,这是一种在需要时以极低的成本获得最佳网络安全人才的方式。虽然不同的虚拟CISO提供不同的技能组合,但绝大多数都可以承担从战术到战略的任务。他们可以直接了解您最紧迫的问题,并负责从与安全和合规团队就标准、指南和安全政策进行沟通,到进行企业风险评估以确保符合PCI和HIPAA等标准的一切事务。此外,他们还可以帮助招聘、制定和监督企业的BYOD政策,培训新任CISO,并在没有全职CISO的情况下帮助管理董事会关系。毫无疑问,这种模式非常适合初创企业,也适合成长型企业。Frankland认为,虚拟CISO最适合大多数中小型企业(SME),因为大多数SME可能没有预算聘请全职安全专业人员,但需要短期指导来帮助他们应对中等风险以及长期的战术问题和战略计划。BenDeLaSalle(原OldMutualWealth的CISO,2017年10月离职后创立ICAConsultancy)是虚拟CISO。他也认同,中小企业将是最大的受益者。“初创企业和成长型企业是虚拟资源合作伙伴模型的理想选择。这些企业中的大多数都需要高技能的专业人员,他们能够清楚地了解企业发展战略路线图中的威胁态势。”成为一名优秀的虚拟CISO需要什么?BrianHonan是爱尔兰创业公司BHConsulting的创始人,其业务是为客户提供vCISO服务,帮助他们接触到更有经验的CISO。网络安全顾问为他们提供持续的咨询服务。“首先,优秀的虚拟CISO必须是董事会中的优秀沟通者,”他说。“你最终要与来自不同背景和行业的客户公司合作,因此你需要能够清楚地传达与信息安全相关的业务所面临的业务风险。”Honan还补充说,“一个好的虚拟CISO还需要能够快速适应和学习,因为你需要快速掌握客户组织独特的业务环境和业务的关键战略目标。一旦虚拟CISO了解了这一点信息,他们需要具备将信息安全战略与客户企业的业务战略相结合的技能和能力。NicMiller去年还从欧洲对冲基金管理公司BrevanHoward的全职CISO转变为AedileConsulting的虚拟CISO。有多少风险,并制定适当的策略来降低这些风险水平。企业有责任与虚拟CISO就他们认为合适的风险级别达成一致。另外,我认为虚拟CISO自己的经验应该和他们所服务的企业相匹配,比如你服务的是小企业,而你自己的经验是银行或者大公司的,显然你可能无法让客户满意要求。当然反之亦然。聘请虚拟CISO时需要注意什么?可以说,雇用vCISO的危险之一是它是新生的和未知的领域。正如Miller所说,虚拟CISO是一个混合包,随机在线搜索会出现许多您从未听说过的供应商。想想虚拟CISO也是容易犯错的CISO,那些被雇用的人对他们所服务的企业几乎没有忠诚度或报告。那么,如果不进行大量审计,接下来,您能否确保获得的服务质量与您一样?你如何确保他们能够按照他们所说的去做?爱尔兰计算机安全事件响应小组(CSIRT)负责人兼欧洲刑警组织顾问Honan认为,咨询行业必须明确定义虚拟CISO将做什么,然后联系具备所需技能和知识的人员,寻找具备相关技能的人才DeLaSalle说,企业应该寻找更广泛的行业经验,并需要考虑他们需要的虚拟资源类型(他们需要一种资源还是多种资源)。他说,“了解企业主题很重要,但了解应用程序的风险偏好更为关键。组织往往有相互冲突的优先事项,这意味着要在最佳业务和安全理想之间找到平衡点。然而,仅靠行业经验是不够的。”“这还不够。虚拟资源同时与多个客户一起运作。他们必须具备在风险偏好和企业文化之间快速无缝切换的能力和经验。”曾在英国政府担任高级信息安全职务的米勒还表示建议公司可以让合适的人负责领导和推动项目。“我遇到的最大问题之一是,我知道公司有哪些可用资源来解决问题并确定最优先的缓解措施,但很难在企业内找到领导者来推动该项目,”他说。实施。”虚拟CISO应该如何与你的团队合作?正如Honan所说,虚拟CISO如何与企业团队合作取决于两者之间的协议和可用资源,但唯一的要求是这个集成过程必须是无缝的他说,“虚拟CISO的存在纯粹是为了补充企业现有的能力。因此,虚拟CISO需要整合、利用、发展和依赖现有能力才能发挥作用。”长期虚拟CISOPhilCracknell表示,虚拟CISO及其团队合作完全取决于他们所承担的角色。他解释说,“虚拟CISO可以是对现有资源的补充,但也可以是相关职能的领导者,例如与董事会的沟通职能(现有的CISO不具备在这个级别进行沟通的能力),或者作为导师和高级团队成员。”Miller补充说,“虚拟CISO有时可以与现有IT团队相处得很好,因为你可以解释说你在船上支持他们,并确保他们有足够的时间和资源来正确地完成工作。知道你不在这里批评和惩罚他们,他们可以更公开地分享他们面临的挑战。”不过,他也表示,这种合作也有很多挑战,这不言而喻。成功实践与挑战作为一名虚拟CISO,Honan表示他已经取得了一些成功,比如帮助组织为他们的信息安全团队赋能,以扩展现有的安全团队、帮助企业CISO在延长病假或产假期间继续工作、安全计划等。但他也承认,挑战仍然存在,往往是“盲目期望或企业管理不善”造成的。“这种挑战是由不切实际地期望虚拟CISO将在短时间内解决所有问题;或者因为组织只是盲目加入虚拟CISO而没有从IT等其他关键业务领域开始,”Honan说。在没有为他们提供完成任务所需的预算、自主权或权力的情况下,审计要求。他继续补充说,“虚拟CISO本身并不是一个长期角色,所以如果你想围绕其作为首席信息安全官(CISO)的角色建立团队或制定长期战略,显然notadvisable.of.此外,Miller和Frankland都同意,虚拟CISO不应该提供除了提出建议之外的任何东西(例如审计客户或实施变更),就像律师或税务专家的服务一样,它是向公司决定是否采纳他们的建议。Frankland强调说:“由于虚拟CISO在没有预算的情况下运作,并且如果出现问题通常不承担任何责任,因此该角色应定义为顾问。”安全是一项关键任务,而CISO要想取得进步,就必须得到组织管理层和董事会的认同和关注。对此,虚拟CISO显然没有办法实现,因为他们是隐形的(远程工作),但不会存在很长一段时间。》【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
