2

虚拟CISO会成为中小企业安全建设的“催化剂”吗?-51CTO.COM

 2 years ago
source link: https://netsecurity.51cto.com/article/707591.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

虚拟CISO会成为中小企业安全建设的“催化剂”吗?-51CTO.COM

虚拟CISO会成为中小企业安全建设的“催化剂”吗?
作者:安全牛 2022-04-27 12:22:45
由于安全专业人才的缺失以及高昂的聘用成本等问题,对于中小型企业来说,很难聘请到合适的CISO。在此背景下,虚拟首席信息安全官(vCISO)开始受到了行业的关注。
e9e00e1832818c17fb02583328bdd642c33503.png

当前,网络安全风险加剧,网络安全人才缺口不断加大,这意味着即便是中小型企业也亟需物色合适的人才承担CISO(首席信息安全官)角色,以统筹领导网络安全相关工作。不过,由于安全专业人才的缺失以及高昂的聘用成本等问题,对于中小型企业来说,很难聘请到合适的CISO。在此背景下,虚拟首席信息安全官(vCISO)开始受到了行业的关注。对于许多企业来说,vCISO或许是一种易于实践且更具备性价比的选择。

vCISO的定义与职责

网络管理联盟(Cyber Management Alliance)将vCISO服务定义为“企业获取经验丰富的安全和合规专业人士的有效途径”。其目标是填补网络安全市场目前存在的人员和技能缺口。它是指企业可以按一定的工作时间或项目来雇佣一名vCISO,从而获得高质量的网络安全咨询服务,但实际上这些CISO并不在企业的工作场所从事全职工作。

借助vCISO服务,中小型企业不仅可以接触到全球公认的网络安全专业人士,且只需支付相对较少的酬金就可以完成相应的工作。相关研究数据显示,一名虚拟CISO的成本大约只有全职CISO年成本的30%。

重要的是,这些vCISO一般都是在行业中工作多年的人,他们拥有丰富的经验来处理各种不同的情况,指导企业进行信息安全管理,对企业进行风险评估;此外,vCISO还能够培训内部安全人员,帮助其提高安全技能与意识,并为组织制定合适的安全战略规划。很显然,这种模式相对安全需求有限的中小企业来说,比聘请全职CISO更具成本效益。

虽然vCISO的职位描述可能因组织而异,但总的来说, vCISO主要在网络安全和网络弹性、事件响应和事件管理、风险评估与风险管理、供应链、认证、治理与合规、技术部署、数据安全、运营安全、资产管理等10个领域发挥价值。

除此之外,vCISO还需要承担以下工作:审查企业现有的网络安全产品(政策和文件)并分享他们的专业意见;帮助企业调整政策和程序;在了解组织环境、定义风险和威胁后,与企业安全团队一起创建必要的文档,例如事件响应计划或网络安全事件响应手册等。

雇佣vCISO的优势及不足

除了在性价比方面的优势外,聘请vCISO还会给企业带来以下价值:

  • vCISO会在了解企业的特定业务目标后,帮助其更新、完善和重建网络安全政策和程序。
  • 借助vCISO咨询服务,企业可以获取公正且中立(与供应商无关)的建议,以客观地了解自身的技术投资和其他安全控制。
  • vCISO更加擅长处理不同类型的利益相关者,并就问题与领导团队、监管机构和其他业务利益相关者进行沟通。
  • 通过vCISO服务,企业能够得到相对完善的风险、治理和合规专家团队支持。这可确保无缝处理企业业务的各种需求。与聘请独立顾问相比,这显然更具优势。
  • vCISO可帮助企业为可能发生的数据泄露、勒索软件攻击或其他网络安全事件做好准备。他们会评估企业安全风险情况,并指导其提高网络弹性。

不过,这并不是说vCISO是一个能够解决企业安全问题的万全之策。在以往的实践中,也暴露出vCISO主要存在一些缺陷:

  • 人始终是安全防护链中最薄弱的环节之一,vCISO也会犯错,对vCISO的依赖可能会让企业陷入困境。
  • 找到一个适合的vCISO可能与招聘一名全职CISO同样困难。
  • vCISO是一个良莠不齐的服务,而且虚拟人物或服务的责任难以明确要求,如果出现问题,vCISO的责任有时会很难认定。
  • vCISO服务不能帮助企业开展实施工作。如果企业希望vCISO为他们监控系统、应用程序和基础架构,并维护安全设备的运营,那么很难通过vCISO服务完成。

如何雇佣理想的vCISO?

企业在聘请vCISO时,需要从以下方面进行考虑:

  • 从业者的经验,并在其职业生涯中担任过CISO。
  • 在信息安全的各个领域拥有经验,包括信息风险管理、治理和合规性。
  • 兼具技术和业务认知,既能与高级管理人员进行沟通,也能与技术员工进行有价值的探讨。
  • 保持公正和中立(与供应商无关)态度,并提供不支持任何特定产品的建议。
  • 了解审计和合规的基础知识,并能够与内部和外部审计师打交道。
  • 了解业务和商业的基础知识。
  • 对于提供vCISO服务的提供商,则必须具备灵活性,允许企业根据不断变化的需求来扩大和缩小他们的需求,而不会收取惩罚性费用。

理想情况下,vCISO服务必须基于企业自身的信息安全和业务需求、组织规模及其业务的复杂性,其持续时间可以从每月仅几个小时到临时全职CISO。最好寻找一位乐于分享和提供指导意见的vCISO,他们可以帮助组织培养出一批专业的安全人员。

原文链接:https://www.cm-alliance.com/cybersecurity-blog/what-is-a-virtual-ciso


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK