由于信息安全只是IT行业中一个相对较新的领域,且只占行业的一小部分,所以首席信息安全官(CISO)是一种相对而言较为稀缺的人才,虽然多数大型企业现在都自称拥有CISO、CSO(首席安全官)或是信息安全主管,但许多企业仍然没有。毕竟事实上,通常情况下,公司都是在数据泄露之后才任命第一位CISO,比如Target 和TalkTalk以及索尼公司都是如此。

然而,想要发展成为一名CISO,并且是一名优秀的CISO却并非易事。有数据表明,信息安全领域存在的技术缺口已达约150万至200万人。那么,如果您的公司没有CISO,该怎么办呢?这时候,虚拟CISO(vCISO)便应运而生了。虚拟CISO通常为外包的安全从业人员,他们主要通过兼职或远程操作的形式,随时为企业提供服务和技术支持。

企业家、CISO顾问兼《InSecurity: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe》一书作者Jane Frankland表示,一个虚拟CISO就是一个在行业中工作多年的人,他们拥有丰富的经验来处理各种不同的情况,并指导您的企业(机构)进行信息安全管理。他说,“通常这些CISO从事设计企业的安全战略,有些可能还负责管理实施。许多人还成为董事会成员、主要利益相关者和监管机构人员。“

你需要一名虚拟CISO吗?

不得不承认,聘请一名虚拟CISO确实有一定实际意义。也许愤世嫉俗者会提出这样的质疑:既然公司可以简单地聘用一名长期合同工,为什么还需要虚拟CISO呢?所以,对于到底需不需要聘请虚拟CISO,需要根据企业的具体情况而定。对于初创企业而言,资源有限,最优秀的CISO身价昂贵,他们想要聘请到技能娴熟的全职CISO并不是一件易事,即便聘请到也存在被竞争对手挖走的可能性。

相比之下,虚拟CISO的优势就凸显出来了。让我们通过下述一组数字了解一下这种优势:一名全职CISO每年收入是10万美元以上,如果需要的话,一名兼职CISO可以大幅度降低成本(如果行业标准可信的话,大约只有全职CISO年成本的30%至40%)。

此外,您还可以按一定的工作时间来雇佣一名兼职CISO,或者按项目来雇佣。你甚至可以在需要的时候,雇佣CISO一段时间来做技术支持。简而言之,这是一种在您需要时获得最佳网络安全人才的方式,而且只需付出很少的费用。

虽然不同的虚拟CISO会提供不同的技能组合,但是绝大多数人都能够承担从战术到战略的各项任务。他们可以直接了解您最紧迫的问题,并且负责从与安全和合规团队就标准、方针和安全策略进行沟通,到进行企业风险评估,确保其符合PCI和HIPAA等标准的工作。此外,他们还能够帮助企业招聘,为企业制定并监督实施BYOD政策,培训新成立的CISO,以及在全职CISO缺席时帮助管理董事会关系。

毫无疑问,这种模式非常适用于初创企业以及发展中的企业。Frankland认为,虚拟CISO最适合大部分中小型企业(SME), 因为大多数中小企业可能没有预算雇用一名全职安全专业人员,而是需要短期指导,以帮助他们处理中长期的战术问题和战略计划。

Ben De La Salle(曾为Old Mutual Wealth公司CISO,2017年10月离职后创立ICA Consultancy)就是一位虚拟CISO,他也认同中小型企业将是最大的获益方。“创业公司和成长型企业都是虚拟资源合作模式的最佳人选。大多数此类企业都需要具备拥有高技能的专业人士,能够清楚地了解企业内的威胁情况,并根据监管要求制定出适合企业发展的战略路线图。”

成为一名优秀的虚拟CISO需要具备哪些条件?

Brian Honan是爱尔兰创业公司BH Consulting的创始人,其公司的业务就是为客户提供vCISO服务,帮助客户接触更多经验丰富的网络安全顾问来为他们提供持续的咨询服务。他说,“对于一名优秀的虚拟CISO来说,首先也是最为重要的一点是,必须成为董事会的良好沟通者。您最终的目的是与来自不同背景和行业的客户企业合作,因此您需要能够清楚地沟通与信息安全相关的业务所面临的业务风险。”

Honan还补充道,“一名优秀的虚拟CISO还需要能够快速地适应和学习,因为您需要快速掌握客户组织的独特业务环境以及该业务的关键战略目标,一旦虚拟CISO了解这些信息后,他们需要具备将信息安全战略与客户企业的业务战略相整合的技术和能力。”

Nic Miller也于去年从欧洲对冲基金管理公司Brevan Howard的全职CISO一职转为了Aedile Consulting公司的虚拟CISO。他补充道,“作为一名虚拟CISO,其关键职责就是识别和解释企业在信息安全方面存在多大的风险,并制定合适的战略以降低这些风险级别。企业有责任就他们认为合适的风险水平与虚拟CISO们达成一致。此外,我认为,虚拟CISO自身所具备的经验应该与其提供服务的企业相匹配,例如,如果您服务的是小型企业,而您自身经验则是来自银行或大公司,很显然您可能无法满足客户的需求。当然反之亦然。”

雇佣虚拟CISO时需要注意什么?

可以说雇佣vCISO的危险之一在于,它是一个新生的且未知的领域。正如Miller所言,虚拟CISO是一个良莠不齐的服务,随便在线搜索一下就会出现众多您闻所未闻的供应商。试想一想,虚拟CISO也是会犯错的首席信息安全官,同时这些被雇佣的人才对他们正在服务的企业几乎没有忠诚度或上下级关系。所以,在没有广泛审计的情况下,你能确保自己得到的会是什么质量的服务吗?你又如何能够保证他们可以实现自己所说的任务?

作为爱尔兰计算机安全事件响应小组(CSIRT) 负责人和欧洲刑警组织顾问的Honan表示,咨询行业必须要为“虚拟CISO将要做什么”确定一个清晰的定义,然后再与符合所需技能和知识的人员进行接触,以寻找到适合您的业务类型的且具备相关技能和经验的人才。

De La Salle表示,企业应该寻找更广泛的行业经验,并且需要考虑他们所需的虚拟资源类型(他们需要一种资源还是多种资源)。他说,“理解企业主题很重要,但是理解应用程序的风险偏好更是至关重要。组织往往存在相互冲突的优先事项,这意味着需要在业务最佳和安全理想之间寻找平衡点。然而,单靠行业经验还远远不够,虚拟资源同时与多个客户共同运行,他们必须具备快速无缝地在风险偏好和企业文化之间转换的能力和经验。”

曾经在英国政府担任资深信息安全要职的Miller还建议公司可以让适当的人负责领导并推动项目运行。他表示,“我遇到过最大的一个问题是,我知道公司具备哪些资源可以用来解决问题,也可以确定最高优先级的缓解措施,但是却难以在业务部门内部寻找到领头人来牵动项目实施。”

虚拟CISO应该如何与您的团队合作?

正如Honan所言,虚拟CISO如何与企业团队进行合作取决于两者间达成的约定以及现有的资源,但是唯一的要求是,这种整合过程必须是无缝且无痛的。他说,“虚拟CISO的存在完全是为了补充企业现有的能力。所以,虚拟CISO需要整合、利用、发展以及依赖现有的能力来发挥效用。”

长期虚拟CISO Phil Cracknell表示,虚拟CISO如何与他们的团队合作完全取决于其承担的角色。他解释称,“虚拟CISO可以作为现有资源的补充,但是也可以成为相关职能的领导者,例如,与董事会的沟通职能(现有的CISO对该级别的沟通能力不足),或是作为导师和高级团队成员等方面的职能。”

Miller补充道,“虚拟CISO与现有IT团队有时候可以处得非常好,因为你可以解释你加入是为了支持他们,并确保他们能够有足够的时间和资源来正确地处理他们的工作。知道你不是来批评和惩罚他们之后,他们就能够更公开地分享他们面临的挑战。”但是,他也表示,这种合作同时也存在诸多挑战,这一点想必是不言而喻的。

成功实践和挑战

作为一名虚拟CISO,Honan表示自己已经取得了一些成功,例如,帮助企业增强信息安全团队的能力以扩大现有安全团队,以及帮助企业CISO在长期的病假或产假过程中继续他们的安全计划等。但是他也承认仍然存在挑战,而这些挑战通常是“由于企业的盲目期待或管理不当”造成的。

Honan表示,“造成这种挑战的原因在于,企业不切实际地期待虚拟CISO能够在短时间内解决所有问题;或者是由于组织只是盲目地加入虚拟CISO,而不从IT等其他关键业务领域入手;亦或是只是聘请虚拟CISO来履行审计要求,而不向他们提供必要的预算、自主权或完成任务所需的权限等。”

他继续补充道,“虚拟CISO本质上来说并不是一个长期存在的职务,所以如果你想围绕其作为首席信息安全官(CISO)的角色来建立一个团队或制定长期的战略,显然是不可取的。”

此外,Miller和Frankland也都认为,除了提出建议外,虚拟CISO不应该提供任何东西(如审核客户或实施更改),就像律师或税务专家的服务,由公司决定是否采纳他们的建议。

Frankland强调称,“由于虚拟CISO是在没有预算的情况下运行的,通常在出现问题的情况下并不会承担任何责任,因此该角色应该定义为顾问。安全是一项至关重要的任务,如果CISO想要取得进展就必须获取组织管理层和董事会的认同和重视。对于这一点,虚拟CISO显然并没有办法实现,因为他们是不可见的(远程工作)却并不会长期存在。”

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。