當(dāng)前，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加劇，網(wǎng)絡(luò)安全人才缺口不斷加大，這意味著即便是中小型企業(yè)也亟需物色合適的人才承擔(dān)CISO(首席信息安全官)角色，以統(tǒng)籌領(lǐng)導(dǎo)網(wǎng)絡(luò)安全相關(guān)工作。不過，由于安全專業(yè)人才的缺失以及高昂的聘用成本等問題，對于中小型企業(yè)來說，很難聘請到合適的CISO。在此背景下，虛擬首席信息安全官(vCISO)開始受到了行業(yè)的關(guān)注。對于許多企業(yè)來說，vCISO或許是一種易于實(shí)踐且更具備性價(jià)比的選擇。

vCISO的定義與職責(zé)

網(wǎng)絡(luò)管理聯(lián)盟(Cyber Management Alliance)將vCISO服務(wù)定義為“企業(yè)獲取經(jīng)驗(yàn)豐富的安全和合規(guī)專業(yè)人士的有效途徑”。其目標(biāo)是填補(bǔ)網(wǎng)絡(luò)安全市場目前存在的人員和技能缺口。它是指企業(yè)可以按一定的工作時(shí)間或項(xiàng)目來雇傭一名vCISO，從而獲得高質(zhì)量的網(wǎng)絡(luò)安全咨詢服務(wù)，但實(shí)際上這些CISO并不在企業(yè)的工作場所從事全職工作。

借助vCISO服務(wù)，中小型企業(yè)不僅可以接觸到全球公認(rèn)的網(wǎng)絡(luò)安全專業(yè)人士，且只需支付相對較少的酬金就可以完成相應(yīng)的工作。相關(guān)研究數(shù)據(jù)顯示，一名虛擬CISO的成本大約只有全職CISO年成本的30%。

重要的是，這些vCISO一般都是在行業(yè)中工作多年的人，他們擁有豐富的經(jīng)驗(yàn)來處理各種不同的情況，指導(dǎo)企業(yè)進(jìn)行信息安全管理，對企業(yè)進(jìn)行風(fēng)險(xiǎn)評估;此外，vCISO還能夠培訓(xùn)內(nèi)部安全人員，幫助其提高安全技能與意識(shí)，并為組織制定合適的安全戰(zhàn)略規(guī)劃。很顯然，這種模式相對安全需求有限的中小企業(yè)來說，比聘請全職CISO更具成本效益。

雖然vCISO的職位描述可能因組織而異，但總的來說， vCISO主要在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性、事件響應(yīng)和事件管理、風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理、供應(yīng)鏈、認(rèn)證、治理與合規(guī)、技術(shù)部署、數(shù)據(jù)安全、運(yùn)營安全、資產(chǎn)管理等10個(gè)領(lǐng)域發(fā)揮價(jià)值。

除此之外，vCISO還需要承擔(dān)以下工作：審查企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品(政策和文件)并分享他們的專業(yè)意見;幫助企業(yè)調(diào)整政策和程序;在了解組織環(huán)境、定義風(fēng)險(xiǎn)和威脅后，與企業(yè)安全團(tuán)隊(duì)一起創(chuàng)建必要的文檔，例如事件響應(yīng)計(jì)劃或網(wǎng)絡(luò)安全事件響應(yīng)手冊等。

雇傭vCISO的優(yōu)勢及不足

除了在性價(jià)比方面的優(yōu)勢外，聘請vCISO還會(huì)給企業(yè)帶來以下價(jià)值：

• vCISO會(huì)在了解企業(yè)的特定業(yè)務(wù)目標(biāo)后，幫助其更新、完善和重建網(wǎng)絡(luò)安全政策和程序。
• 借助vCISO咨詢服務(wù)，企業(yè)可以獲取公正且中立(與供應(yīng)商無關(guān))的建議，以客觀地了解自身的技術(shù)投資和其他安全控制。
• vCISO更加擅長處理不同類型的利益相關(guān)者，并就問題與領(lǐng)導(dǎo)團(tuán)隊(duì)、監(jiān)管機(jī)構(gòu)和其他業(yè)務(wù)利益相關(guān)者進(jìn)行溝通。
• 通過vCISO服務(wù)，企業(yè)能夠得到相對完善的風(fēng)險(xiǎn)、治理和合規(guī)專家團(tuán)隊(duì)支持。這可確保無縫處理企業(yè)業(yè)務(wù)的各種需求。與聘請獨(dú)立顧問相比，這顯然更具優(yōu)勢。
• vCISO可幫助企業(yè)為可能發(fā)生的數(shù)據(jù)泄露、勒索軟件攻擊或其他網(wǎng)絡(luò)安全事件做好準(zhǔn)備。他們會(huì)評估企業(yè)安全風(fēng)險(xiǎn)情況，并指導(dǎo)其提高網(wǎng)絡(luò)彈性。

不過，這并不是說vCISO是一個(gè)能夠解決企業(yè)安全問題的萬全之策。在以往的實(shí)踐中，也暴露出vCISO主要存在一些缺陷：

• 人始終是安全防護(hù)鏈中最薄弱的環(huán)節(jié)之一，vCISO也會(huì)犯錯(cuò)，對vCISO的依賴可能會(huì)讓企業(yè)陷入困境。
• 找到一個(gè)適合的vCISO可能與招聘一名全職CISO同樣困難。
• vCISO是一個(gè)良莠不齊的服務(wù)，而且虛擬人物或服務(wù)的責(zé)任難以明確要求，如果出現(xiàn)問題，vCISO的責(zé)任有時(shí)會(huì)很難認(rèn)定。
• vCISO服務(wù)不能幫助企業(yè)開展實(shí)施工作。如果企業(yè)希望vCISO為他們監(jiān)控系統(tǒng)、應(yīng)用程序和基礎(chǔ)架構(gòu)，并維護(hù)安全設(shè)備的運(yùn)營，那么很難通過vCISO服務(wù)完成。

如何雇傭理想的vCISO？

企業(yè)在聘請vCISO時(shí)，需要從以下方面進(jìn)行考慮：

• 從業(yè)者的經(jīng)驗(yàn)，并在其職業(yè)生涯中擔(dān)任過CISO。
• 在信息安全的各個(gè)領(lǐng)域擁有經(jīng)驗(yàn)，包括信息風(fēng)險(xiǎn)管理、治理和合規(guī)性。
• 兼具技術(shù)和業(yè)務(wù)認(rèn)知，既能與高級(jí)管理人員進(jìn)行溝通，也能與技術(shù)員工進(jìn)行有價(jià)值的探討。
• 保持公正和中立(與供應(yīng)商無關(guān))態(tài)度，并提供不支持任何特定產(chǎn)品的建議。
• 了解審計(jì)和合規(guī)的基礎(chǔ)知識(shí)，并能夠與內(nèi)部和外部審計(jì)師打交道。
• 了解業(yè)務(wù)和商業(yè)的基礎(chǔ)知識(shí)。
• 對于提供vCISO服務(wù)的提供商，則必須具備靈活性，允許企業(yè)根據(jù)不斷變化的需求來擴(kuò)大和縮小他們的需求，而不會(huì)收取懲罰性費(fèi)用。

理想情況下，vCISO服務(wù)必須基于企業(yè)自身的信息安全和業(yè)務(wù)需求、組織規(guī)模及其業(yè)務(wù)的復(fù)雜性，其持續(xù)時(shí)間可以從每月僅幾個(gè)小時(shí)到臨時(shí)全職CISO。最好尋找一位樂于分享和提供指導(dǎo)意見的vCISO，他們可以幫助組織培養(yǎng)出一批專業(yè)的安全人員。

原文鏈接：https://www.cm-alliance.com/cybersecurity-blog/what-is-a-virtual-ciso