由于信息安全只是IT行業(yè)中一個相對較新的領(lǐng)域，且只占行業(yè)的一小部分，所以首席信息安全官(CISO)是一種相對而言較為稀缺的人才，雖然多數(shù)大型企業(yè)現(xiàn)在都自稱擁有CISO、CSO(首席安全官)或是信息安全主管，但許多企業(yè)仍然沒有。畢竟事實上，通常情況下，公司都是在數(shù)據(jù)泄露之后才任命第一位CISO，比如Target 和TalkTalk以及索尼公司都是如此。

[[222523]]

然而，想要發(fā)展成為一名CISO，并且是一名優(yōu)秀的CISO卻并非易事。有數(shù)據(jù)表明，信息安全領(lǐng)域存在的技術(shù)缺口已達約150萬至200萬人。那么，如果您的公司沒有CISO，該怎么辦呢?這時候，虛擬CISO(vCISO)便應(yīng)運而生了。虛擬CISO通常為外包的安全從業(yè)人員，他們主要通過兼職或遠程操作的形式，隨時為企業(yè)提供服務(wù)和技術(shù)支持。

企業(yè)家、CISO顧問兼《InSecurity: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe》一書作者Jane Frankland表示，一個虛擬CISO就是一個在行業(yè)中工作多年的人，他們擁有豐富的經(jīng)驗來處理各種不同的情況，并指導(dǎo)您的企業(yè)(機構(gòu))進行信息安全管理。他說，“通常這些CISO從事設(shè)計企業(yè)的安全戰(zhàn)略，有些可能還負責(zé)管理實施。許多人還成為董事會成員、主要利益相關(guān)者和監(jiān)管機構(gòu)人員。“

你需要一名虛擬CISO嗎?

不得不承認，聘請一名虛擬CISO確實有一定實際意義。也許憤世嫉俗者會提出這樣的質(zhì)疑：既然公司可以簡單地聘用一名長期合同工，為什么還需要虛擬CISO呢?所以，對于到底需不需要聘請?zhí)摂MCISO，需要根據(jù)企業(yè)的具體情況而定。對于初創(chuàng)企業(yè)而言，資源有限，最優(yōu)秀的CISO身價昂貴，他們想要聘請到技能嫻熟的全職CISO并不是一件易事，即便聘請到也存在被競爭對手挖走的可能性。

相比之下，虛擬CISO的優(yōu)勢就凸顯出來了。讓我們通過下述一組數(shù)字了解一下這種優(yōu)勢：一名全職CISO每年收入是10萬美元以上，如果需要的話，一名兼職CISO可以大幅度降低成本(如果行業(yè)標準可信的話，大約只有全職CISO年成本的30%至40%)。

此外，您還可以按一定的工作時間來雇傭一名兼職CISO，或者按項目來雇傭。你甚至可以在需要的時候，雇傭CISO一段時間來做技術(shù)支持。簡而言之，這是一種在您需要時獲得最佳網(wǎng)絡(luò)安全人才的方式，而且只需付出很少的費用。

雖然不同的虛擬CISO會提供不同的技能組合，但是絕大多數(shù)人都能夠承擔從戰(zhàn)術(shù)到戰(zhàn)略的各項任務(wù)。他們可以直接了解您最緊迫的問題，并且負責(zé)從與安全和合規(guī)團隊就標準、方針和安全策略進行溝通，到進行企業(yè)風(fēng)險評估，確保其符合PCI和HIPAA等標準的工作。此外，他們還能夠幫助企業(yè)招聘，為企業(yè)制定并監(jiān)督實施BYOD政策，培訓(xùn)新成立的CISO，以及在全職CISO缺席時幫助管理董事會關(guān)系。

毫無疑問，這種模式非常適用于初創(chuàng)企業(yè)以及發(fā)展中的企業(yè)。Frankland認為，虛擬CISO最適合大部分中小型企業(yè)(SME), 因為大多數(shù)中小企業(yè)可能沒有預(yù)算雇用一名全職安全專業(yè)人員，而是需要短期指導(dǎo)，以幫助他們處理中長期的戰(zhàn)術(shù)問題和戰(zhàn)略計劃。

Ben De La Salle(曾為Old Mutual Wealth公司CISO，2017年10月離職后創(chuàng)立ICA Consultancy)就是一位虛擬CISO，他也認同中小型企業(yè)將是最大的獲益方。“創(chuàng)業(yè)公司和成長型企業(yè)都是虛擬資源合作模式的最佳人選。大多數(shù)此類企業(yè)都需要具備擁有高技能的專業(yè)人士，能夠清楚地了解企業(yè)內(nèi)的威脅情況，并根據(jù)監(jiān)管要求制定出適合企業(yè)發(fā)展的戰(zhàn)略路線圖。”

成為一名優(yōu)秀的虛擬CISO需要具備哪些條件?

Brian Honan是愛爾蘭創(chuàng)業(yè)公司BH Consulting的創(chuàng)始人，其公司的業(yè)務(wù)就是為客戶提供vCISO服務(wù)，幫助客戶接觸更多經(jīng)驗豐富的網(wǎng)絡(luò)安全顧問來為他們提供持續(xù)的咨詢服務(wù)。他說，“對于一名優(yōu)秀的虛擬CISO來說，首先也是最為重要的一點是，必須成為董事會的良好溝通者。您最終的目的是與來自不同背景和行業(yè)的客戶企業(yè)合作，因此您需要能夠清楚地溝通與信息安全相關(guān)的業(yè)務(wù)所面臨的業(yè)務(wù)風(fēng)險。”

Honan還補充道，“一名優(yōu)秀的虛擬CISO還需要能夠快速地適應(yīng)和學(xué)習(xí)，因為您需要快速掌握客戶組織的獨特業(yè)務(wù)環(huán)境以及該業(yè)務(wù)的關(guān)鍵戰(zhàn)略目標，一旦虛擬CISO了解這些信息后，他們需要具備將信息安全戰(zhàn)略與客戶企業(yè)的業(yè)務(wù)戰(zhàn)略相整合的技術(shù)和能力。”

Nic Miller也于去年從歐洲對沖基金管理公司Brevan Howard的全職CISO一職轉(zhuǎn)為了Aedile Consulting公司的虛擬CISO。他補充道，“作為一名虛擬CISO，其關(guān)鍵職責(zé)就是識別和解釋企業(yè)在信息安全方面存在多大的風(fēng)險，并制定合適的戰(zhàn)略以降低這些風(fēng)險級別。企業(yè)有責(zé)任就他們認為合適的風(fēng)險水平與虛擬CISO們達成一致。此外，我認為，虛擬CISO自身所具備的經(jīng)驗應(yīng)該與其提供服務(wù)的企業(yè)相匹配，例如，如果您服務(wù)的是小型企業(yè)，而您自身經(jīng)驗則是來自銀行或大公司，很顯然您可能無法滿足客戶的需求。當然反之亦然。”

雇傭虛擬CISO時需要注意什么?

可以說雇傭vCISO的危險之一在于，它是一個新生的且未知的領(lǐng)域。正如Miller所言，虛擬CISO是一個良莠不齊的服務(wù)，隨便在線搜索一下就會出現(xiàn)眾多您聞所未聞的供應(yīng)商。試想一想，虛擬CISO也是會犯錯的首席信息安全官，同時這些被雇傭的人才對他們正在服務(wù)的企業(yè)幾乎沒有忠誠度或上下級關(guān)系。所以，在沒有廣泛審計的情況下，你能確保自己得到的會是什么質(zhì)量的服務(wù)嗎?你又如何能夠保證他們可以實現(xiàn)自己所說的任務(wù)?

作為愛爾蘭計算機安全事件響應(yīng)小組(CSIRT) 負責(zé)人和歐洲刑警組織顧問的Honan表示，咨詢行業(yè)必須要為“虛擬CISO將要做什么”確定一個清晰的定義，然后再與符合所需技能和知識的人員進行接觸，以尋找到適合您的業(yè)務(wù)類型的且具備相關(guān)技能和經(jīng)驗的人才。

De La Salle表示，企業(yè)應(yīng)該尋找更廣泛的行業(yè)經(jīng)驗，并且需要考慮他們所需的虛擬資源類型(他們需要一種資源還是多種資源)。他說，“理解企業(yè)主題很重要，但是理解應(yīng)用程序的風(fēng)險偏好更是至關(guān)重要。組織往往存在相互沖突的優(yōu)先事項，這意味著需要在業(yè)務(wù)最佳和安全理想之間尋找平衡點。然而，單靠行業(yè)經(jīng)驗還遠遠不夠，虛擬資源同時與多個客戶共同運行，他們必須具備快速無縫地在風(fēng)險偏好和企業(yè)文化之間轉(zhuǎn)換的能力和經(jīng)驗。”

曾經(jīng)在英國政府擔任資深信息安全要職的Miller還建議公司可以讓適當?shù)娜素撠?zé)領(lǐng)導(dǎo)并推動項目運行。他表示，“我遇到過最大的一個問題是，我知道公司具備哪些資源可以用來解決問題，也可以確定最高優(yōu)先級的緩解措施，但是卻難以在業(yè)務(wù)部門內(nèi)部尋找到領(lǐng)頭人來牽動項目實施。”

虛擬CISO應(yīng)該如何與您的團隊合作?

正如Honan所言，虛擬CISO如何與企業(yè)團隊進行合作取決于兩者間達成的約定以及現(xiàn)有的資源，但是唯一的要求是，這種整合過程必須是無縫且無痛的。他說，“虛擬CISO的存在完全是為了補充企業(yè)現(xiàn)有的能力。所以，虛擬CISO需要整合、利用、發(fā)展以及依賴現(xiàn)有的能力來發(fā)揮效用。”

長期虛擬CISO Phil Cracknell表示，虛擬CISO如何與他們的團隊合作完全取決于其承擔的角色。他解釋稱，“虛擬CISO可以作為現(xiàn)有資源的補充，但是也可以成為相關(guān)職能的領(lǐng)導(dǎo)者，例如，與董事會的溝通職能(現(xiàn)有的CISO對該級別的溝通能力不足)，或是作為導(dǎo)師和高級團隊成員等方面的職能。”

Miller補充道，“虛擬CISO與現(xiàn)有IT團隊有時候可以處得非常好，因為你可以解釋你加入是為了支持他們，并確保他們能夠有足夠的時間和資源來正確地處理他們的工作。知道你不是來批評和懲罰他們之后，他們就能夠更公開地分享他們面臨的挑戰(zhàn)。”但是，他也表示，這種合作同時也存在諸多挑戰(zhàn)，這一點想必是不言而喻的。

成功實踐和挑戰(zhàn)

作為一名虛擬CISO，Honan表示自己已經(jīng)取得了一些成功，例如，幫助企業(yè)增強信息安全團隊的能力以擴大現(xiàn)有安全團隊，以及幫助企業(yè)CISO在長期的病假或產(chǎn)假過程中繼續(xù)他們的安全計劃等。但是他也承認仍然存在挑戰(zhàn)，而這些挑戰(zhàn)通常是“由于企業(yè)的盲目期待或管理不當”造成的。

Honan表示，“造成這種挑戰(zhàn)的原因在于，企業(yè)不切實際地期待虛擬CISO能夠在短時間內(nèi)解決所有問題;或者是由于組織只是盲目地加入虛擬CISO，而不從IT等其他關(guān)鍵業(yè)務(wù)領(lǐng)域入手;亦或是只是聘請?zhí)摂MCISO來履行審計要求，而不向他們提供必要的預(yù)算、自主權(quán)或完成任務(wù)所需的權(quán)限等。”

他繼續(xù)補充道，“虛擬CISO本質(zhì)上來說并不是一個長期存在的職務(wù)，所以如果你想圍繞其作為首席信息安全官(CISO)的角色來建立一個團隊或制定長期的戰(zhàn)略，顯然是不可取的。”

此外，Miller和Frankland也都認為，除了提出建議外，虛擬CISO不應(yīng)該提供任何東西(如審核客戶或?qū)嵤└?，就像律師或稅務(wù)專家的服務(wù)，由公司決定是否采納他們的建議。

Frankland強調(diào)稱，“由于虛擬CISO是在沒有預(yù)算的情況下運行的，通常在出現(xiàn)問題的情況下并不會承擔任何責(zé)任，因此該角色應(yīng)該定義為顧問。安全是一項至關(guān)重要的任務(wù)，如果CISO想要取得進展就必須獲取組織管理層和董事會的認同和重視。對于這一點，虛擬CISO顯然并沒有辦法實現(xiàn)，因為他們是不可見的(遠程工作)卻并不會長期存在。”

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文