虚拟CISO对于资源有限的公司来说是一种非常宝贵的资源。但对于一个长期性问题,是否能短期解决呢?
虚拟CISO(首席信息安全官)是您的安全问题解决方案吗?(上)
收益远超出成本
虚拟CISO确实有一定实际意义。为什么呢?让我们看看这对初创企业意味着什么。一名全职CISO每年收入是10万美元以上,如果需要的话,一名兼职CISO可以大幅度降低成本(如果行业标准可信的话,大约只有全职CISO年成本的30%)。
您可以按一定的工作时间来雇佣一名兼职CISO,或者按项目来雇佣。你甚至可以在需要的时候,雇佣CISO一段时间来做技术支持。简而言之,这是一种在您需要时获得最佳网络安全人才的方式,而且只需付出很少的费用。
他们可以直接了解您最紧迫的问题,并且负责从与安全和合规团队就标准、方针和安全策略进行沟通,到进行企业风险评估,确保其符合PCI和HIPAA等标准的工作。vCISO还能够培训内部安全人员,在公司内部提高安全意识,并为其组织制定战略安全路线图。
还有一些其他不太明显的益处。例如,因为vCISO无需对公司保持忠诚度,所以他们没有必要来掩盖坏消息,他们不必担心他们的工作岗位安全(这可能会影响其工作表现),而这种“虚拟”的属性意味着IT人员和管理层之间不会有太多的串通,并且不需要玩办公室政治。
Holman说:“一名熟练的虚拟CISO可以为您的公司带来丰富的多部门经验,帮助您采取切实可行的安全措施,并制定一个长期计划以降低风险。
“他们可以帮助您应对各种挑战,”Frankland说。“通常这些挑战包括:
1.将问题与领导团队、监管机构和其他业务利益相关者进行沟通;
2.设计安全策略;
3.就技术、流程和最佳做法提供建议;
4.招聘供应商和新团队成员;
5.培训;
6.处理各种事件。
“速度就是新业务的货币,虚拟CISO可以帮助企业降低风险,提高他们的安全技能,并使业务快速发展。”
Nik Wells是金融服务公司Elevate的IT安全和合规负责人,他认同Holman和Frankland的观点,认为vCISO有它自己的一席之地,特别是适合中小型企业(SME)。
“大多数中小企业可能没有预算雇用一名全职安全专业人员,而是需要短期指导,以帮助他们处理中长期的战术问题和战略计划。随着日益临近的欧盟“一般数据保护条例(GDPR)”的要求,中小企业将需要帮助来符合这些规定。
然而,Frankland和Honan先生在采用vCISO服务的速度上却持不同意见,Frankland表示中小型企业在使用vCISO服务上不应太急,而Honan则持相反意见
Honan说:“我们看到这些服务正在迅速发展,包括中小型企业和大型企业等许多企业都在寻找有经验的员工来扮演这一角色,却很难找到适合的人才”。
“我们或者提供服务来扩大公司内现有的管理团队,或者在公司招聘一个该岗位的全职职员的过程中发挥作用。”
但vCISO是否有缺点呢?
这并不是说虚拟CISO就是一个万全之策。毕竟,如果是这样的话,我们可以谈一谈不被人熟知的全职CISO。
我们不该忘记首先vCISO也是会犯错的首席信息安全官,同时这些被雇佣的人才对他们正在服务的企业几乎没有忠诚度或上下级关系。他们的服务费用仍然相对昂贵,找到一个适合的vCISO和招聘一名全职CISO同样困难。对它们的依赖会让你“无法脱身”。
还有一个更大的问题,正如一位CISO在LinkedIn上就vCISO问题所指出的那样。
“... CISO结构在大公司是失败的。它的失败,在于很少有公司把安全视为战略层面的问题,”美国商务部经济分析局首席信息安全官,Frederick Carlson说道。
“如果把这种想法推广到小公司的外包模式中,它是否会导致相同的失败结果呢?”他问道。
他不是唯一一个认为vCISO是一个良莠不齐的服务。Darren Argyle最近被任命为在澳大利亚航空公司Qantas的集团企业CISO,他在给CSO在线的一封电子邮件中补充说:“你忽略了对虚拟CISO的责任,”他说道“虚拟人物或服务的责任,你们不能写入章程。”
Holman赞同地说道:“如果出现问题,虚拟CISO不会承担任何责任。这个责任最终就落到了董事会身上,而他们很少被给予任何预算,除了提出建议外,不应该提供任何东西。”
“很像律师或税务专家的服务,由公司决定是否采纳他们的建议。如果您的公司对安全工作很重视,虚拟CISO肯定会帮助您走向正确的方向,但不应该认为外包的安全风险100%不存在。”
“公司和他们的董事会应清楚,最终还是他们自己对安全负责任,” Honan说。 “一名CISO,无论他是全职还是提供虚拟服务,都不能单独承担这一责任。如果企业组织内没有一种安全文化,或者他们只是愿意引入一种安全文化,那么CISO的角色可能注定要失败。”
“虚拟CISO服务不能帮助其实施工作,”Frankland补充说。“CISO提供咨询、协调和管理服务,这是他们的责任。如果一个企业组织希望某人为他们编写策略,评估和监控他们的系统、应用程序和基础架构,安装软件(防火墙、杀毒软件、密码管理器、加密等),那么这项服务是不够的。”
因此,虽然虚拟CISO服务确实带来了诸多好处,特别是对中小企业,但它也不是解决您安全问题的灵丹妙药。
本文转自d1net(转载)