虛擬CISO會成為中小企業安全建設的“催化劑”嗎?
責編:gltian |2022-04-29 16:32:09
當前,網絡安全風險加劇,網絡安全人才缺口不斷加大,這意味著即便是中小型企業也亟需物色合適的人才承擔CISO(首席信息安全官)角色,以統籌領導網絡安全相關工作。不過,由于安全專業人才的缺失以及高昂的聘用成本等問題,對于中小型企業來說,很難聘請到合適的CISO。在此背景下,虛擬首席信息安全官(vCISO)開始受到了行業的關注。對于許多企業來說,vCISO或許是一種易于實踐且更具備性價比的選擇。
vCISO的定義與職責
網絡管理聯盟(Cyber Management Alliance)將vCISO服務定義為“企業獲取經驗豐富的安全和合規專業人士的有效途徑”。其目標是填補網絡安全市場目前存在的人員和技能缺口。它是指企業可以按一定的工作時間或項目來雇傭一名vCISO,從而獲得高質量的網絡安全咨詢服務,但實際上這些CISO并不在企業的工作場所從事全職工作。
借助vCISO服務,中小型企業不僅可以接觸到全球公認的網絡安全專業人士,且只需支付相對較少的酬金就可以完成相應的工作。相關研究數據顯示,一名虛擬CISO的成本大約只有全職CISO年成本的30%。
重要的是,這些vCISO一般都是在行業中工作多年的人,他們擁有豐富的經驗來處理各種不同的情況,指導企業進行信息安全管理,對企業進行風險評估;此外,vCISO還能夠培訓內部安全人員,幫助其提高安全技能與意識,并為組織制定合適的安全戰略規劃。很顯然,這種模式相對安全需求有限的中小企業來說,比聘請全職CISO更具成本效益。
雖然vCISO的職位描述可能因組織而異,但總的來說, vCISO主要在網絡安全和網絡彈性、事件響應和事件管理、風險評估與風險管理、供應鏈、認證、治理與合規、技術部署、數據安全、運營安全、資產管理等10個領域發揮價值。
除此之外,vCISO還需要承擔以下工作:審查企業現有的網絡安全產品(政策和文件)并分享他們的專業意見;幫助企業調整政策和程序;在了解組織環境、定義風險和威脅后,與企業安全團隊一起創建必要的文檔,例如事件響應計劃或網絡安全事件響應手冊等。
雇傭vCISO的優勢及不足
除了在性價比方面的優勢外,聘請vCISO還會給企業帶來以下價值:
?? vCISO會在了解企業的特定業務目標后,幫助其更新、完善和重建網絡安全政策和程序。
?? 借助vCISO咨詢服務,企業可以獲取公正且中立(與供應商無關)的建議,以客觀地了解自身的技術投資和其他安全控制。
?? vCISO更加擅長處理不同類型的利益相關者,并就問題與領導團隊、監管機構和其他業務利益相關者進行溝通。
?? 通過vCISO服務,企業能夠得到相對完善的風險、治理和合規專家團隊支持。這可確保無縫處理企業業務的各種需求。與聘請獨立顧問相比,這顯然更具優勢。
?? vCISO可幫助企業為可能發生的數據泄露、勒索軟件攻擊或其他網絡安全事件做好準備。他們會評估企業安全風險情況,并指導其提高網絡彈性。
不過,這并不是說vCISO是一個能夠解決企業安全問題的萬全之策。在以往的實踐中,也暴露出vCISO主要存在一些缺陷:
?? 人始終是安全防護鏈中最薄弱的環節之一,vCISO也會犯錯,對vCISO的依賴可能會讓企業陷入困境。
?? 找到一個適合的vCISO可能與招聘一名全職CISO同樣困難。
?? vCISO是一個良莠不齊的服務,而且虛擬人物或服務的責任難以明確要求,如果出現問題,vCISO的責任有時會很難認定。
?? vCISO服務不能幫助企業開展實施工作。如果企業希望vCISO為他們監控系統、應用程序和基礎架構,并維護安全設備的運營,那么很難通過vCISO服務完成。
如何雇傭理想的vCISO?
企業在聘請vCISO時,需要從以下方面進行考慮:
?? 從業者的經驗,并在其職業生涯中擔任過CISO。
?? 在信息安全的各個領域擁有經驗,包括信息風險管理、治理和合規性。
?? 兼具技術和業務認知,既能與高級管理人員進行溝通,也能與技術員工進行有價值的探討。
?? 保持公正和中立(與供應商無關)態度,并提供不支持任何特定產品的建議。
?? 了解審計和合規的基礎知識,并能夠與內部和外部審計師打交道。
?? 了解業務和商業的基礎知識。
?? 對于提供vCISO服務的提供商,則必須具備靈活性,允許企業根據不斷變化的需求來擴大和縮小他們的需求,而不會收取懲罰性費用。
理想情況下,vCISO服務必須基于企業自身的信息安全和業務需求、組織規模及其業務的復雜性,其持續時間可以從每月僅幾個小時到臨時全職CISO。最好尋找一位樂于分享和提供指導意見的vCISO,他們可以幫助組織培養出一批專業的安全人員。
原文鏈接:
https://www.cm-alliance.com/cybersecurity-blog/what-is-a-virtual-ciso