從CISO到DPO 現在虛擬安全官(VSO)來了
責編:gltian |2018-11-07 16:34:29虛擬安全官市場正在急速增長。過去幾年間,我們已經目睹了越來越多的虛擬首席安全官(vCISO),接下來的幾年,我們可以期待一下虛擬數據保護官(vDPO)的出現。目前,市場對于這兩者的需求都達到了全所未有的高度,而且這種需求度可能還會持續增長。
本文將重點探究虛擬安全官的崛起因素,虛擬安全官的角色職責以及虛擬安全官的選擇指南等問題。
虛擬安全官的崛起
對于組織而言,擁有或被視為擁有首席信息安全官(CISO)已經變得越來越重要。但是,由于信息安全只是IT行業中一個相對較新的新增領域,且只占行業的一小部分,所以人才短缺也就成了不可避免的問題。有證據表明,信息安全領域存在巨大的技術缺口,包括思科公司、培訓機構ISC2和其他機構共計人才短缺約150萬至200萬人,而國際信息系統審計協會(ISACA)則說這是安全人員”缺失的一代“。
雖然多數大型企業現在都自稱擁有CISO、CSO(首席安全官)或信息安全主管,但許多企業仍然沒有。事實上,通常情況下,公司都是在數據泄露之后才任命第一位CISO,比如Target公司在2014年和索尼公司在2011年都是如此。
如今,隨著攻擊者的技術不斷精進,組織越來越難以保護數據免受復雜的網絡犯罪分子,及資源充足且持久的民族國家行為者的影響。為了應對這一危機,美國政府已經制定了越來越嚴格的監管要求,例如要求組織必須配置一名CISO或網絡安全負責人。
根據美國《紐約州金融服務局》條例(NYDFS-23 NYCRR 500)——2018年2月15日生效,適用于紐約州內處理企業/個人數據的所有組織,就規定:此條例覆蓋的任何實體企業都應該指定一名合格人員,負責監管和實施企業的網絡安全計劃,并執行其網絡安全政策(也就是指定CISO)。
可是,面對如此緊缺的人才現狀,如果您沒有CISO,該怎么辦呢?
NYDFS條例也為這種資源有限的企業指明了道路,其規定稱,組織任命的這個CISO可以從第三方雇傭。事實上,也就是所謂的“虛擬首席信息安全官”(vCISO)。由于這些經驗豐富的安全人員通常是通過遠程操作,所以價格合理、隨時可以提供服務且技術嫻熟。
除此之外,歐盟《通用數據保護條例》(GDPR)第37條也規定:數據控制者和數據處理者應該指定一名指定數據保護官(Data Protection Officer,簡稱DPO)……
需要指定DPO的情形主要包括三類:
1)數據處理行為是由公權力機構或主體實施的,但法院行使司法權的除外;
2)根據數據處理者或數據控制者的性質、業務范圍和目的,數據處理行為涉及對數據主體進行定期的大范圍、系統性的監控;
3)數據控制者和數據處理者大規模數據處理第9條所涉及的特定種類的數據和第10條所涉及的犯罪數據。
該條例還明確了DPO的設置要求,主要包括:
1)企業集團可以任命一個獨立的DPO,但應確保各集團企業都能與DPO保證通暢的聯系;
2)一名專家可擔任多家企業DPO,但DPO應保證提供及時、盡責的服務;
3)企業組織及機構可根據自身的數據組成和規模,任命一名或多名DPO;
4)DPO可以由企業從內部予以委任,也可以從外部聘任,外聘應當訂立服務協議。
其中,內部委任是指從企業已有的管理層或員工中挑選,其優勢在于內部人員更為熟悉企業的經營管理與風險點;外部聘任則是招聘外部專家,其優勢在于專家會具備更加扎實的專業知識和能力,此外,服務于多家機構的外聘專家會對企業的數據風險做到綜合把控。
這一系列具體規定無疑也為虛擬DPO的出現和發展鋪平了道路。
除了法律法規帶來的需求增長之外,人才市場出現的供求失衡也成為促進虛擬安全官加速增長的一大因素——因為市場上根本就沒有足夠的經驗豐富的CISO和DPO可以配置給每個公司。對于眾多企業而言,資源有限且最優秀的CISO通常身價昂貴,或者被競爭對手挖走或不斷被獵頭公司追逐。一位知名的CISO曾透露稱,由于其他公司為他提供了非常誘人的待遇,所以他最終選擇了跳槽,而該職位吸引的合格申請人可不止他一個,而是200多名!這整個過程就表明,越來越多優秀的CISO正在從中小型企業往大型和知名企業轉移。
這使得規模較小的公司越來越難以找到法律和網絡安全條件所要求的合格安全人員。面對這種困境,虛擬人員就成了最佳解決方案。
虛擬安全官一定會呈現持續增長的趨勢。就像之前中型企業缺乏財務和法律人才的趨勢一樣,他們會轉向雇傭虛擬CFO(首席財務官)和虛擬律師來解決該問題。在許多方面,虛擬安全官與虛擬CFO和律師類似。
首席信息安全官(CISO)
CISO的角色并不簡單。他們必須持有一種思維方式來預測違規事件將以何種方式在何處發生,了解技術會如何被攻擊對手濫用,同時還需要就風險以及潛在的財務風險等方面與各利益相關方(企業高管、董事會、業務部門、客戶以及合作者等)進行有效溝通。
此外,他們還必須能夠展示任何領導者都需要具備的典型“軟”技能……但最困難的部分是,學習如何以一種共鳴的方式與非安全專業人員談論安全,而不是去樹立有關網絡安全的模糊和恐懼形象。換句話說,具備這些技能的人才正處于供應短缺的現狀,而對于這些人才的需求已經遠遠超出了供應。
數據保護官(DPO)
DPO的兩個關鍵要求是能夠獨立于安全團隊行事,并對數據保護法規具備深刻的了解。后者并非易事,因為除了GDPR和全球其他國家的法律外,美國每個州都有自己獨立的數據保護法規。
在GDPR第97篇聲明(GDPR共99條正文條款和173篇聲明)中將DPO定義為“具備數據保護法律和實踐專業知識的人,負責協助數據控制者或處理者(主要是CISO)監督組織內部對于本法規的遵守情況”。
GDPR還補充道,DPO還需要具備良好的溝通協調甚至公關能力,對其所在的企業部門和組織機構有充分的了解,對上,DPO應向高層負責,提升高管的數據安全意識,保證其對企業面臨的隱私挑戰和數據泄露風險有所警醒;對下,DPO有義務組織員工培訓,開展法律法規教育,使數據合規得到每個人的重視;對外,DPO作為聯絡人還必須與監管機構、客戶乃至社會公眾媒體溝通交流。
此外,DPO還應該能夠以獨立的方式行事。鑒于DPO應當具備一定獨立性,因此在任職DPO時不得同時兼任CEO、COO、CFO、市場總監、HR總監、IT總監等職位。另外,根據GDPR第38條,DPO可以履行其他任務和職責,但數據控制者和處理者應保證這些任務和職責不會導致利益沖突。
這就意味著在GDPR合規性要求下,DPO的角色不能由CISO承擔,而根據其他規定,這種情況幾乎肯定也不會出現。它是一個介于法律、安全和IT之間的職位,需要對這三者都具備充分的認知。但是目前,除了個別最大的企業外,我們很難能夠看到全職DPO的身影。
虛擬安全官的角色
對于中小型企業——這些公司可能無法在有限的資金條件下尋找到合格的CISO,或是自己公司的CISO剛剛跳槽離開不得不立即尋找到合適人才填補空位——以及需要指定DPO但又不希望負擔全職費用的公司而言,虛擬安全官無疑是個很好的解決方案。
虛擬數據安全官(vDPO)是一個新興職位。這是一個由眾多機構提供的服務,但目前還沒有經驗豐富的vDPO。不過,虛擬信息安全官(vCISO)領域卻并不是這樣一番景象。舉個例子,在過去4年間,國際社會保障協會(ISSA)國際總裁Candy Alexander就一直在從事兼職vCISO的職務。據悉,她曾是一名聯邦政府承包商的CISO,并正準備升遷到一個新的職位,卻不幸在最后一刻落空。
當vCISO的概念開始發展之初,Alexander就把目光瞄準了該領域。在她看來,許多小型企業并沒有在任何層面上對安全進行投資,他們需要安全策略師——一個同時了解業務和安全的人——但可能并不希望以正式員工/全職(FTE)的方式實現。通過使用vCISO,這些企業就可以按小時或按項目進行支付,同時還能獲得高素質、經驗豐富的CISO人員,而無需考慮年終獎、獎金等額外支出問題。
而就vCISO自身而言,其能夠同時身兼數個公司的工作,獲取不低于全職的工資水平,還能享受靈活的辦公時間,且不需要處理復雜的員工關系,避免許多不必要的內部斗爭。
不可否認,不必處理復雜的工作關系對于許多在職的CISO們具有很大的吸引力。CISO們經常會被老板的命令壓得喘不過氣,被同事的某些行為刺激的火冒三丈,而“通勤”也成為壓垮他們的最后一根稻草。如今,越來越多的CISO已經決意不再繼續忍受這種壓力,而出逃就任vCISO。
按照不同的工作模式,大致可以將vCISO工作分為三類:
1)空降模式——直接空降到公司,幫助其完成一個或一組特定的項目后離開;
2)兼職模式——有自己的全職工作,并在戰略層面上幫助他們,當把他們領上道后就將長期運營職務轉交給內部人員負責;
3)咨詢模式——只作咨詢顧問服務。這些模式都允許vCISO可以同時服務多個客戶,賺取多份酬勞。
說到底,vCISO應該是一名安全戰略家,而不是戰術家——戰略家,能著眼整個戰局,且擁有極強的宏觀意識和長遠的戰略目光,并能全面詳細正確的制定己方的戰略方針并能合理分配使用己方所持有力量與資源,從而引導斗爭的最后勝利;戰術家則更多的關注細節,長于局部分析,計較每一個環節和步驟,往往屬于實干——與企業在職雇員相比,vCISO的優勢在于能夠戰略性、全局性地分析問題,不至輕易落入戰術陷阱中。但是,除非合同要求提供運營支持,否則一定要保持戰略性。另一個關鍵的成功因素是vCISO的認知廣度和個人網絡(也可稱為“人類網絡human network”)——咨詢同事可以使CISO變得更好,而對于vCISO來說,這也是至關重要的因素。
與全職CISO角色相比,虛擬安全官的一個重要區別是,不太需要了解組織的業務方面。雖然了解企業業務很重要,但對于vCISO而言,與其去了解客戶的業務,不如更多地去了解客戶所需運營的安全性、合規性以及監管框架等內容。
不需要了解組織業務內容的原因還在于,大多數企業的運作方式基本相同。雖然每個商業領袖都會認為他們的業務是獨一無二的,但事實卻并非如此。一家公司與另一家公司可能存在差別,但業務就是業務,不論行業還是細分市場如何,網絡始終扮演著非常相似的角色,就是幫助企業實現擴張,或擴展到更大的公司和/或特定行業中(如醫療保健、能源等)。
但是這一點(不需要了解組織業務內容)對于vDPO來說有點不同,因為監管環境往往會對他們的決策產生更大的影響,所以你必須了解特定行業領域的背景——特別是醫療、金融或教育等領域。
除此之外,虛擬安全官還需要能夠理解和適應不同的企業文化。在這個領域中,有些企業已經領先一步實現了重視安全和風險管理的企業文化,還有一些企業并未實現這一步,成功的網絡領導者必須能夠理解和適應這兩種文化。此外,虛擬安全官還需要能夠在兩個客戶端之間無縫切換,游刃有余地從一個客戶端切換到另一個客戶端。
虛擬安全官選擇指南
在某些情況下,虛擬安全官確實是一個很好的解決方案,但也并非總是所有組織的最佳選擇。如果法律要求組織必須指定一名CISO和/或DPO,則可以通過下述內容決定自身究竟適合全職還是虛擬安全官:
1. 成本
對于那些需要專業指導,卻難以尋找、雇傭和負擔起傳統CISO的中小型企業來說,虛擬CISO是一個很好的解決方案。較小的組織已經信任VAR(增值服務提供商)、MSP(管理服務提供商)和MSSP(托管安全服務提供商)等渠道合作伙伴,來幫助他們構建IT解決方案。虛擬CISO是對這些專業知識的自然延伸,將解決方案架構和技術服務與圍繞政策、合規性和報告方面的戰略領導相結合。
但是,過度地使用虛擬人員會迅速顛覆金融等式。我永遠不會向任何客戶推薦永久性地利用vCISO,其造成的長期成本非常高,而且如果一家公司有需求(合規需求或其他)為該職位指定人員,大可為該職位招聘一位長期、全職人員。
關鍵在于認識到何時使用虛擬安全官會實現最大的成本效益,而何時會面臨成本過高的情況。
2. 經驗
大多數申請全職CISO角色的人,對該職位幾乎都沒有任何實際經驗,而雇主通常也并不了解該職位需要具備何種能力,更是加劇了該問題的復雜性——許多公司需要CISO的原因僅僅是因為他們還沒有這樣一個角色。
大多數需要CISO的企業,實際上還并沒有意識到自己的真實需求,而對于那些確實已經意識到自身需要CISO的企業來說,真正的困難在于明確自己究竟在尋找什么——這就是為什么一些CISO招聘廣告中會列出一些與之無關的技能、認證或框架。最后,企業確實也很難理解CISO究竟是什么——這可能會導致一些沒有生產力的成本浪費。
但是,如果企業選擇現有的且正在實踐中的vCISO,就幾乎可以確保他們具備良好的工作經驗。運用這種模式的最大優勢在于,您可以在最短的時間內獲取到vCISO的最大價值——也就是所謂的“80/20規則”——簡單來說就是,你20%的付出(外聘vCISO)占你80%的利潤。
這是與“成本”相關的問題。如果一家公司需要CISO并且無法支付從其他公司“挖墻腳”的高昂費用,就可以選擇虛擬人員的路線。外聘vCISO甚至可以有一項輔助任務,即幫助企業培訓安全團隊的現有成員來長期擔任該職位。
3. 響應的即時性
GDPR第37條規定允許vDPO的存在——“企業集團可以任命一個獨立的DPO,但應確保各集團企業都能與DPO保證通暢的聯系”。由此可見,能夠隨時聯系到vCISO是非常必要的因素。vCISO必須隨時準備應對危機情況,這些情況顯然無法預先安排。不可避免地,當意外發生時,該vCISO可能正在國外出差,雖然可以通過遠程操作完成相關任務,但這顯然并不是最理想的方式。
而如果該vCISO的兩名客戶,一個正在經歷惡意軟件事件,另一個正在經歷入侵者侵襲,那么她/他就會分身乏術。雖然一些事件可以遠程處理,但許多公司還是希望在遭遇意外事件時可以獲取專家的現場技術支持。
解決這一問題的方法可能是,堅持與虛擬人員簽訂服務水平協議(service level agreement,簡稱SLA)——即在一定開銷下為保障服務的性能和可靠性,服務提供商與用戶間定義的一種雙方認可的協定。通常這個開銷是驅動提供服務質量的主要因素。一個完整的SLA同時也是一個合法的文檔,包括所涉及的當事人、協定條款、違約的處罰、費用和仲裁機構、政策、修改條款、報告形式和雙方的義務等。歸根結底,響應即時性應該是虛擬安全官需要解決的問題,而不是承包雇傭公司。
4. 忠誠度
雖然承包雇主可能會擔心虛擬安全官對公司的忠誠度,但這可能并不是一個問題。因為虛擬安全官的職業生涯將取決于現有客戶和過去客戶的客觀評價,為了獲取更好地客戶體驗度,他們也會像全職雇員一樣不遺余力地努力著。
但是,如果該虛擬安全官是第三方公司(如管理服務提供商MSP或托管安全服務提供商MSSP)的永久雇員,這時候忠誠度可能就是一個問題了。因為對雇主的忠誠可能會導致業績壓力。這究竟是怎么一回事呢?
當然,MSSP可以扮演vCISO的角色,這時候就需要格外小心了。我曾經見過很多這類“增量銷售”——根據既有客戶過去的消費喜好,提供更高價值的產品或服務,刺激客戶做更多的消費——產品或服務的案例。我建議如果有人想要簽訂vCISO合同,一定要先確保該vCISO所在公司不是一家產品經銷商,并將合同內容限制在vCISO服務范圍內——不向其他公司獲取任何其他咨詢服務,避免任何隱藏消費項目的存在。
未來幾年,想要尋找獨立的虛擬安全官可能會變得更加困難。而越來越多的咨詢公司和服務提供商可能會在未來幾年內增加“虛擬安全官雇傭”服務。這對于傳統的MSP或MSSP而言可能是一個增長領域。同時受益的還有IT顧問,他們希望通過專業服務和技術服務來擴展自身的服務組合。
5. 一個或兩個職位?
最后一個考慮因素是,是否可以將一名虛擬安全官同時作為vCISO和vDPO。如果這些職位是永久性的/全職的,則需要分別設立兩個職位才能符合GDPR法規要求。根據GDPR規定,vDPO必須能夠獨立行事——在職業崗位方面,安全與合規之間的利益沖突可能性很大。
但是,單考慮兼職性質的虛擬安全官就不會存在這種問題,vCISO可能也可以充當vDPO。在具體實踐中,單個虛擬人員可能會比兩名獨立的虛擬人員更容易找到適合企業的最佳路徑,因為兩名虛擬人員各自有各自的優先事項,無法實現一名虛擬人員的全局性、整體性思維。但是,針對究竟應該設立一名還是兩名虛擬安全官的問題而言,最重要的還是要考慮一名虛擬安全官是否同時具備兩個角色所需的知識范疇。