虚拟CISO会成为中小企业安全建设的“催化剂”吗?

安全
由于安全专业人才的缺失以及高昂的聘用成本等问题,对于中小型企业来说,很难聘请到合适的CISO。在此背景下,虚拟首席信息安全官(vCISO)开始受到了行业的关注。

当前,网络安全风险加剧,网络安全人才缺口不断加大,这意味着即便是中小型企业也亟需物色合适的人才承担CISO(首席信息安全官)角色,以统筹领导网络安全相关工作。不过,由于安全专业人才的缺失以及高昂的聘用成本等问题,对于中小型企业来说,很难聘请到合适的CISO。在此背景下,虚拟首席信息安全官(vCISO)开始受到了行业的关注。对于许多企业来说,vCISO或许是一种易于实践且更具备性价比的选择。

vCISO的定义与职责

网络管理联盟(Cyber Management Alliance)将vCISO服务定义为“企业获取经验丰富的安全和合规专业人士的有效途径”。其目标是填补网络安全市场目前存在的人员和技能缺口。它是指企业可以按一定的工作时间或项目来雇佣一名vCISO,从而获得高质量的网络安全咨询服务,但实际上这些CISO并不在企业的工作场所从事全职工作。

借助vCISO服务,中小型企业不仅可以接触到全球公认的网络安全专业人士,且只需支付相对较少的酬金就可以完成相应的工作。相关研究数据显示,一名虚拟CISO的成本大约只有全职CISO年成本的30%。

重要的是,这些vCISO一般都是在行业中工作多年的人,他们拥有丰富的经验来处理各种不同的情况,指导企业进行信息安全管理,对企业进行风险评估;此外,vCISO还能够培训内部安全人员,帮助其提高安全技能与意识,并为组织制定合适的安全战略规划。很显然,这种模式相对安全需求有限的中小企业来说,比聘请全职CISO更具成本效益。

虽然vCISO的职位描述可能因组织而异,但总的来说, vCISO主要在网络安全和网络弹性、事件响应和事件管理、风险评估与风险管理、供应链、认证、治理与合规、技术部署、数据安全、运营安全、资产管理等10个领域发挥价值。

除此之外,vCISO还需要承担以下工作:审查企业现有的网络安全产品(政策和文件)并分享他们的专业意见;帮助企业调整政策和程序;在了解组织环境、定义风险和威胁后,与企业安全团队一起创建必要的文档,例如事件响应计划或网络安全事件响应手册等。

雇佣vCISO的优势及不足

除了在性价比方面的优势外,聘请vCISO还会给企业带来以下价值:

  • vCISO会在了解企业的特定业务目标后,帮助其更新、完善和重建网络安全政策和程序。
  • 借助vCISO咨询服务,企业可以获取公正且中立(与供应商无关)的建议,以客观地了解自身的技术投资和其他安全控制。
  • vCISO更加擅长处理不同类型的利益相关者,并就问题与领导团队、监管机构和其他业务利益相关者进行沟通。
  • 通过vCISO服务,企业能够得到相对完善的风险、治理和合规专家团队支持。这可确保无缝处理企业业务的各种需求。与聘请独立顾问相比,这显然更具优势。
  • vCISO可帮助企业为可能发生的数据泄露、勒索软件攻击或其他网络安全事件做好准备。他们会评估企业安全风险情况,并指导其提高网络弹性。

不过,这并不是说vCISO是一个能够解决企业安全问题的万全之策。在以往的实践中,也暴露出vCISO主要存在一些缺陷:

  • 人始终是安全防护链中最薄弱的环节之一,vCISO也会犯错,对vCISO的依赖可能会让企业陷入困境。
  • 找到一个适合的vCISO可能与招聘一名全职CISO同样困难。
  • vCISO是一个良莠不齐的服务,而且虚拟人物或服务的责任难以明确要求,如果出现问题,vCISO的责任有时会很难认定。
  • vCISO服务不能帮助企业开展实施工作。如果企业希望vCISO为他们监控系统、应用程序和基础架构,并维护安全设备的运营,那么很难通过vCISO服务完成。

如何雇佣理想的vCISO?

企业在聘请vCISO时,需要从以下方面进行考虑:

  • 从业者的经验,并在其职业生涯中担任过CISO。
  • 在信息安全的各个领域拥有经验,包括信息风险管理、治理和合规性。
  • 兼具技术和业务认知,既能与高级管理人员进行沟通,也能与技术员工进行有价值的探讨。
  • 保持公正和中立(与供应商无关)态度,并提供不支持任何特定产品的建议。
  • 了解审计和合规的基础知识,并能够与内部和外部审计师打交道。
  • 了解业务和商业的基础知识。
  • 对于提供vCISO服务的提供商,则必须具备灵活性,允许企业根据不断变化的需求来扩大和缩小他们的需求,而不会收取惩罚性费用。

理想情况下,vCISO服务必须基于企业自身的信息安全和业务需求、组织规模及其业务的复杂性,其持续时间可以从每月仅几个小时到临时全职CISO。最好寻找一位乐于分享和提供指导意见的vCISO,他们可以帮助组织培养出一批专业的安全人员。

原文链接:https://www.cm-alliance.com/cybersecurity-blog/what-is-a-virtual-ciso

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2020-06-03 11:15:37

数据安全信息安全安全威胁

2014-07-31 15:11:26

WindowsPhon

2011-10-21 14:37:54

263通信企业

2014-03-06 10:17:42

网络透明化监控反恐

2011-07-18 08:54:56

虚拟化中小企业

2011-07-19 09:11:30

2011-07-13 15:32:48

2010-08-31 13:52:35

2016-01-26 10:55:38

SPDK软件定义存储

2022-01-13 08:34:29

网络攻击黑客网络安全

2009-02-10 15:07:49

SaaS

2020-09-21 10:13:55

冠状病毒智慧城市转型

2013-05-29 09:33:13

云计算

2013-07-22 09:20:28

甘肃移动云计算

2015-04-16 14:32:31

2009-12-09 10:23:37

赛门铁克安全解决方案

2021-10-24 08:23:28

网络安全网络攻击网络威胁

2009-01-07 16:08:20

Linux系统催化剂OpenGL

2009-03-18 14:48:46

IDC
点赞
收藏

51CTO技术栈公众号