虛擬CISO(首席信息安全官)是您的安全問題解決方案嗎?(上)
收益遠(yuǎn)超出成本
虛擬CISO確實有一定實際意義。為什么呢?讓我們看看這對初創(chuàng)企業(yè)意味著什么。一名全職CISO每年收入是10萬美元以上,如果需要的話,一名兼職CISO可以大幅度降低成本(如果行業(yè)標(biāo)準(zhǔn)可信的話,大約只有全職CISO年成本的30%)。
您可以按一定的工作時間來雇傭一名兼職CISO,或者按項目來雇傭。你甚至可以在需要的時候,雇傭CISO一段時間來做技術(shù)支持。簡而言之,這是一種在您需要時獲得最佳網(wǎng)絡(luò)安全人才的方式,而且只需付出很少的費用。
他們可以直接了解您最緊迫的問題,并且負(fù)責(zé)從與安全和合規(guī)團隊就標(biāo)準(zhǔn)、方針和安全策略進行溝通,到進行企業(yè)風(fēng)險評估,確保其符合PCI和HIPAA等標(biāo)準(zhǔn)的工作。vCISO還能夠培訓(xùn)內(nèi)部安全人員,在公司內(nèi)部提高安全意識,并為其組織制定戰(zhàn)略安全路線圖。
還有一些其他不太明顯的益處。例如,因為vCISO無需對公司保持忠誠度,所以他們沒有必要來掩蓋壞消息,他們不必?fù)?dān)心他們的工作崗位安全(這可能會影響其工作表現(xiàn)),而這種“虛擬”的屬性意味著IT人員和管理層之間不會有太多的串通,并且不需要玩辦公室政治。
Holman說:“一名熟練的虛擬CISO可以為您的公司帶來豐富的多部門經(jīng)驗,幫助您采取切實可行的安全措施,并制定一個長期計劃以降低風(fēng)險。
“他們可以幫助您應(yīng)對各種挑戰(zhàn),”Frankland說。“通常這些挑戰(zhàn)包括:
1.將問題與領(lǐng)導(dǎo)團隊、監(jiān)管機構(gòu)和其他業(yè)務(wù)利益相關(guān)者進行溝通;
2.設(shè)計安全策略;
3.就技術(shù)、流程和最佳做法提供建議;
4.招聘供應(yīng)商和新團隊成員;
5.培訓(xùn);
6.處理各種事件。
“速度就是新業(yè)務(wù)的貨幣,虛擬CISO可以幫助企業(yè)降低風(fēng)險,提高他們的安全技能,并使業(yè)務(wù)快速發(fā)展。”
Nik Wells是金融服務(wù)公司Elevate的IT安全和合規(guī)負(fù)責(zé)人,他認(rèn)同Holman和Frankland的觀點,認(rèn)為vCISO有它自己的一席之地,特別是適合中小型企業(yè)(SME)。
“大多數(shù)中小企業(yè)可能沒有預(yù)算雇用一名全職安全專業(yè)人員,而是需要短期指導(dǎo),以幫助他們處理中長期的戰(zhàn)術(shù)問題和戰(zhàn)略計劃。隨著日益臨近的歐盟“一般數(shù)據(jù)保護條例(GDPR)”的要求,中小企業(yè)將需要幫助來符合這些規(guī)定。
然而,F(xiàn)rankland和Honan先生在采用vCISO服務(wù)的速度上卻持不同意見,F(xiàn)rankland表示中小型企業(yè)在使用vCISO服務(wù)上不應(yīng)太急,而Honan則持相反意見
Honan說:“我們看到這些服務(wù)正在迅速發(fā)展,包括中小型企業(yè)和大型企業(yè)等許多企業(yè)都在尋找有經(jīng)驗的員工來扮演這一角色,卻很難找到適合的人才”。
“我們或者提供服務(wù)來擴大公司內(nèi)現(xiàn)有的管理團隊,或者在公司招聘一個該崗位的全職職員的過程中發(fā)揮作用。”
但vCISO是否有缺點呢?
這并不是說虛擬CISO就是一個萬全之策。畢竟,如果是這樣的話,我們可以談一談不被人熟知的全職CISO。
我們不該忘記首先vCISO也是會犯錯的首席信息安全官,同時這些被雇傭的人才對他們正在服務(wù)的企業(yè)幾乎沒有忠誠度或上下級關(guān)系。他們的服務(wù)費用仍然相對昂貴,找到一個適合的vCISO和招聘一名全職CISO同樣困難。對它們的依賴會讓你“無法脫身”。
還有一個更大的問題,正如一位CISO在LinkedIn上就vCISO問題所指出的那樣。
“... CISO結(jié)構(gòu)在大公司是失敗的。它的失敗,在于很少有公司把安全視為戰(zhàn)略層面的問題,”美國商務(wù)部經(jīng)濟分析局首席信息安全官,F(xiàn)rederick Carlson說道。
“如果把這種想法推廣到小公司的外包模式中,它是否會導(dǎo)致相同的失敗結(jié)果呢?”他問道。
他不是唯一一個認(rèn)為vCISO是一個良莠不齊的服務(wù)。Darren Argyle最近被任命為在澳大利亞航空公司Qantas的集團企業(yè)CISO,他在給CSO在線的一封電子郵件中補充說:“你忽略了對虛擬CISO的責(zé)任,”他說道“虛擬人物或服務(wù)的責(zé)任,你們不能寫入章程。”
Holman贊同地說道:“如果出現(xiàn)問題,虛擬CISO不會承擔(dān)任何責(zé)任。這個責(zé)任最終就落到了董事會身上,而他們很少被給予任何預(yù)算,除了提出建議外,不應(yīng)該提供任何東西。”
“很像律師或稅務(wù)專家的服務(wù),由公司決定是否采納他們的建議。如果您的公司對安全工作很重視,虛擬CISO肯定會幫助您走向正確的方向,但不應(yīng)該認(rèn)為外包的安全風(fēng)險100%不存在。”
“公司和他們的董事會應(yīng)清楚,最終還是他們自己對安全負(fù)責(zé)任,” Honan說。 “一名CISO,無論他是全職還是提供虛擬服務(wù),都不能單獨承擔(dān)這一責(zé)任。如果企業(yè)組織內(nèi)沒有一種安全文化,或者他們只是愿意引入一種安全文化,那么CISO的角色可能注定要失敗。”
“虛擬CISO服務(wù)不能幫助其實施工作,”Frankland補充說。“CISO提供咨詢、協(xié)調(diào)和管理服務(wù),這是他們的責(zé)任。如果一個企業(yè)組織希望某人為他們編寫策略,評估和監(jiān)控他們的系統(tǒng)、應(yīng)用程序和基礎(chǔ)架構(gòu),安裝軟件(防火墻、殺毒軟件、密碼管理器、加密等),那么這項服務(wù)是不夠的。”
因此,雖然虛擬CISO服務(wù)確實帶來了諸多好處,特別是對中小企業(yè),但它也不是解決您安全問題的靈丹妙藥。
京公網(wǎng)安備 11010502049343號