隨著網(wǎng)絡(luò)安全威脅越來(lái)越復(fù)雜和普遍，現(xiàn)在非常缺乏經(jīng)驗(yàn)豐富的技術(shù)精湛的安全領(lǐng)導(dǎo)者。企業(yè)應(yīng)該怎么做呢?其中一種方法是考慮“租”一個(gè)首席信息安全官(CISO)或其他安全高管。

[[137380]]

專家稱，現(xiàn)在，當(dāng)企業(yè)無(wú)法找到合適的全職安全領(lǐng)導(dǎo)，或者他們負(fù)擔(dān)不起安全高管的職位時(shí)，很多企業(yè)都會(huì)聘請(qǐng)臨時(shí)安全領(lǐng)導(dǎo)。

根據(jù)研究公司Frost & Sullivan和國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC)2的最新報(bào)告顯示，在安全領(lǐng)域存在顯著的人才短缺。

根據(jù)這項(xiàng)調(diào)查顯示，在2014年接受在線調(diào)查的14000全球企業(yè)中，近三分之二(62%)的企業(yè)稱其企業(yè)沒(méi)有足夠的安全專業(yè)人員。相比之下，在2013年的調(diào)查中，這個(gè)數(shù)據(jù)為56%。

安全人才短缺的主要原因是沒(méi)有足夠的合適人選。該報(bào)告預(yù)測(cè)，在未來(lái)五年內(nèi)，全球安全人才短缺將會(huì)達(dá)到150萬(wàn)。

對(duì)于一些企業(yè)來(lái)說(shuō)，解決方案就是租安全高管和人員。

“我們看到企業(yè)會(huì)選擇臨時(shí)首席安全官，”安全和新興技術(shù)領(lǐng)域的高管獵頭公司Benchmark Executive Search總裁Jeremy King表示，“臨時(shí)CISO的優(yōu)點(diǎn)是讓企業(yè)可以基于該CISO的專業(yè)知識(shí)來(lái)采取一些行動(dòng)來(lái)構(gòu)建信息安全方案以及制定安全路線圖。”

缺點(diǎn)就是，通常很難構(gòu)建和維持全面的信息安全計(jì)劃，因?yàn)榕R時(shí)CISO無(wú)法與其他利益相關(guān)者建立持久的關(guān)系。

租用CISO的概念對(duì)于較小型企業(yè)特別具有吸引力，因?yàn)樗麄兺ǔＨ狈?nèi)部安全資源。

Threshold Enterprises公司IT主管[注]Charlie Muller稱，他們公司選擇從Arctic Wolf Networks公司引進(jìn)安全力量是因?yàn)槠錁I(yè)務(wù)增長(zhǎng)很快，并且超過(guò)了傳統(tǒng)的增量方法來(lái)提高網(wǎng)絡(luò)服務(wù)和提供安全性。

Muller表示：“我們的安全挑戰(zhàn)已經(jīng)成倍增長(zhǎng)，我們面臨著復(fù)雜的高風(fēng)險(xiǎn)網(wǎng)絡(luò)環(huán)境，而我們的小團(tuán)隊(duì)很難應(yīng)對(duì)。”

Threshold公司需要快速有效地解決這個(gè)挑戰(zhàn)，第一步是找到合適的合作伙伴關(guān)系，除了安全合作伙伴，他們意識(shí)到還需要外包其安全計(jì)劃的項(xiàng)目管理。

Arctic Wolf Networks公司專門為沒(méi)有CSO或CISO的中型企業(yè)提供支持，其安全團(tuán)隊(duì)針對(duì)安全架構(gòu)、最佳做法、政策審查、滲透測(cè)試、連續(xù)監(jiān)控審查、事件響應(yīng)和其他服務(wù)提供技術(shù)指導(dǎo)意見(jiàn)。

雖然該公司并沒(méi)有將其安全專家稱為“CISO”，但他們?yōu)榭蛻籼峁┩暾陌踩笇?dǎo)。

通過(guò)部署安全信息和事件管理(SIEM)等技術(shù)以及提供持續(xù)的專業(yè)知識(shí)，Arctic Wolf Networks幫助了Threshold公司更好地分析和解決安全威脅。該公司幫助Threshold評(píng)估和部署安全工具和服務(wù)，這些都是基于不斷變化的安全威脅和漏洞以及該公司的技術(shù)預(yù)算。

現(xiàn)在越來(lái)越多的公司開(kāi)始租用CISO，這方面的業(yè)務(wù)正在不斷增長(zhǎng)。MAFAZO Digital Solutions公司總裁Max Aulakh是多位客戶的“虛擬CISO”，在提供此服務(wù)之前，他在私營(yíng)部門和美國(guó)政府的網(wǎng)絡(luò)安全部門工作。

盡管這種需求正在增加，但由于行業(yè)的技能精確，很難擴(kuò)大這項(xiàng)服務(wù)。持續(xù)的網(wǎng)絡(luò)攻擊在推動(dòng)這種增長(zhǎng)，而網(wǎng)絡(luò)安全已經(jīng)成為很作小型和大型企業(yè)董事會(huì)級(jí)的關(guān)注問(wèn)題。

如何租用CISO這取決于客戶的需求，但Aulakh表示：“一般的經(jīng)驗(yàn)法則時(shí)，他們會(huì)購(gòu)買時(shí)間段。我們幫助他們構(gòu)建路線路、管理技術(shù)團(tuán)隊(duì)、向高管提供風(fēng)險(xiǎn)相關(guān)信息(以他們能夠理解的語(yǔ)言)等。”

此外，Aulakh還會(huì)幫助客戶了解安全事故帶來(lái)的經(jīng)濟(jì)影響，以及如何緩解風(fēng)險(xiǎn)。對(duì)于大型企業(yè)而言，臨時(shí)CISO只是過(guò)渡的作用，但對(duì)于較小型企業(yè)，這是持續(xù)的關(guān)系，因?yàn)樗麄冐?fù)擔(dān)不起全職的CISO。

租用CISO可以給企業(yè)帶來(lái)好處(+微信關(guān)注網(wǎng)絡(luò)世界)，因?yàn)樗麄兛蠋椭_定風(fēng)險(xiǎn)以及合規(guī)問(wèn)題，在某些情況下，還有經(jīng)驗(yàn)與董事會(huì)成員來(lái)交談。

租用臨時(shí)CISO是否是一個(gè)好主意呢?這取決于項(xiàng)目的時(shí)間表、公司的組織結(jié)構(gòu)、公司的文化以及財(cái)務(wù)狀況，但最重要的是公司信息安全狀況和風(fēng)險(xiǎn)情況。例如，有些公司為了滿足聯(lián)邦法規(guī)的某些規(guī)定，他們?cè)趩?dòng)任何合同或維持合同義務(wù)之前，需要有系統(tǒng)安全計(jì)劃。其他公司可能是因?yàn)閯倓傇庥隽藬?shù)據(jù)泄露事故，但仍然沒(méi)有準(zhǔn)備好或者負(fù)擔(dān)不起全職安全人員。

如果企業(yè)不打算對(duì)其安全態(tài)勢(shì)進(jìn)行任何內(nèi)部變更，則不應(yīng)該租用CISO。很多時(shí)候，公司聘請(qǐng)臨時(shí)CISO，而不愿意分配任何資源，這可能給企業(yè)帶來(lái)負(fù)面影響，因?yàn)樗麄円呀?jīng)確定了責(zé)任問(wèn)題，但選擇不采取任何措施。

同時(shí)，如果企業(yè)不愿意與其他公司分享自己的時(shí)間，或者如果他們沒(méi)想過(guò)部署信息安全作為其戰(zhàn)略計(jì)劃的一部分時(shí)，則也不應(yīng)該租用CISO。

安全顧問(wèn)或者托管安全服務(wù)提供商可能可以為你提供服務(wù)，但如果你想要全面的長(zhǎng)期計(jì)劃，則應(yīng)該聘請(qǐng)臨時(shí)CISO。他們將成為你公司的一部分，了解你的文化，并且，當(dāng)你想要添加新工具或技術(shù)以及升級(jí)安全技術(shù)時(shí)，他們可以幫助你節(jié)省時(shí)間。