虚拟安全官市场正在急速增长。过去几年间,我们已经目睹了越来越多的虚拟首席安全官(vCISO),接下来的几年,我们可以期待一下虚拟数据保护官(vDPO)的出现。目前,市场对于这两者的需求都达到了全所未有的高度,而且这种需求度可能还会持续增长。

本文将重点探究虚拟安全官的崛起因素,虚拟安全官的角色职责以及虚拟安全官的选择指南等问题。

虚拟安全官的崛起

对于组织而言,拥有或被视为拥有首席信息安全官(CISO)已经变得越来越重要。但是,由于信息安全只是IT行业中一个相对较新的新增领域,且只占行业的一小部分,所以人才短缺也就成了不可避免的问题。有证据表明,信息安全领域存在巨大的技术缺口,包括思科公司、培训机构ISC2和其他机构共计人才短缺约150万至200万人,而国际信息系统审计协会(ISACA)则说这是安全人员”缺失的一代“。

虽然多数大型企业现在都自称拥有CISO、CSO(首席安全官)或信息安全主管,但许多企业仍然没有。事实上,通常情况下,公司都是在数据泄露之后才任命第一位CISO,比如Target公司在2014年和索尼公司在2011年都是如此。

如今,随着攻击者的技术不断精进,组织越来越难以保护数据免受复杂的网络犯罪分子,及资源充足且持久的民族国家行为者的影响。为了应对这一危机,美国政府已经制定了越来越严格的监管要求,例如要求组织必须配置一名CISO或网络安全负责人。

根据美国《纽约州金融服务局》条例(NYDFS-23 NYCRR 500)——2018年2月15日生效,适用于纽约州内处理企业/个人数据的所有组织,就规定:此条例覆盖的任何实体企业都应该指定一名合格人员,负责监管和实施企业的网络安全计划,并执行其网络安全政策(也就是指定CISO)。

可是,面对如此紧缺的人才现状,如果您没有CISO,该怎么办呢?

NYDFS条例也为这种资源有限的企业指明了道路,其规定称,组织任命的这个CISO可以从第三方雇佣。事实上,也就是所谓的“虚拟首席信息安全官”(vCISO)。由于这些经验丰富的安全人员通常是通过远程操作,所以价格合理、随时可以提供服务且技术娴熟。

除此之外,欧盟《通用数据保护条例》(GDPR)第37条也规定:数据控制者和数据处理者应该指定一名指定数据保护官(Data Protection Officer,简称DPO)……

需要指定DPO的情形主要包括三类:

1)数据处理行为是由公权力机构或主体实施的,但法院行使司法权的除外;

2)根据数据处理者或数据控制者的性质、业务范围和目的,数据处理行为涉及对数据主体进行定期的大范围、系统性的监控;

3)数据控制者和数据处理者大规模数据处理第9条所涉及的特定种类的数据和第10条所涉及的犯罪数据。

该条例还明确了DPO的设置要求,主要包括:

1)企业集团可以任命一个独立的DPO,但应确保各集团企业都能与DPO保证通畅的联系;

2)一名专家可担任多家企业DPO,但DPO应保证提供及时、尽责的服务;

3)企业组织及机构可根据自身的数据组成和规模,任命一名或多名DPO;

4)DPO可以由企业从内部予以委任,也可以从外部聘任,外聘应当订立服务协议。

其中,内部委任是指从企业已有的管理层或员工中挑选,其优势在于内部人员更为熟悉企业的经营管理与风险点;外部聘任则是招聘外部专家,其优势在于专家会具备更加扎实的专业知识和能力,此外,服务于多家机构的外聘专家会对企业的数据风险做到综合把控。

这一系列具体规定无疑也为虚拟DPO的出现和发展铺平了道路。

除了法律法规带来的需求增长之外,人才市场出现的供求失衡也成为促进虚拟安全官加速增长的一大因素——因为市场上根本就没有足够的经验丰富的CISO和DPO可以配置给每个公司。对于众多企业而言,资源有限且最优秀的CISO通常身价昂贵,或者被竞争对手挖走或不断被猎头公司追逐。一位知名的CISO曾透露称,由于其他公司为他提供了非常诱人的待遇,所以他最终选择了跳槽,而该职位吸引的合格申请人可不止他一个,而是200多名!这整个过程就表明,越来越多优秀的CISO正在从中小型企业往大型和知名企业转移

这使得规模较小的公司越来越难以找到法律和网络安全条件所要求的合格安全人员。面对这种困境,虚拟人员就成了最佳解决方案。

虚拟安全官一定会呈现持续增长的趋势。就像之前中型企业缺乏财务和法律人才的趋势一样,他们会转向雇佣虚拟CFO(首席财务官)和虚拟律师来解决该问题。在许多方面,虚拟安全官与虚拟CFO和律师类似。

首席信息安全官(CISO)

CISO的角色并不简单。他们必须持有一种思维方式来预测违规事件将以何种方式在何处发生,了解技术会如何被攻击对手滥用,同时还需要就风险以及潜在的财务风险等方面与各利益相关方(企业高管、董事会、业务部门、客户以及合作者等)进行有效沟通。

此外,他们还必须能够展示任何领导者都需要具备的典型“软”技能……但最困难的部分是,学习如何以一种共鸣的方式与非安全专业人员谈论安全,而不是去树立有关网络安全的模糊和恐惧形象。换句话说,具备这些技能的人才正处于供应短缺的现状,而对于这些人才的需求已经远远超出了供应。

数据保护官(DPO)

DPO的两个关键要求是能够独立于安全团队行事,并对数据保护法规具备深刻的了解。后者并非易事,因为除了GDPR和全球其他国家的法律外,美国每个州都有自己独立的数据保护法规。

在GDPR第97篇声明(GDPR共99条正文条款和173篇声明)中将DPO定义为“具备数据保护法律和实践专业知识的人,负责协助数据控制者或处理者(主要是CISO)监督组织内部对于本法规的遵守情况”。

GDPR还补充道,DPO还需要具备良好的沟通协调甚至公关能力,对其所在的企业部门和组织机构有充分的了解,对上,DPO应向高层负责,提升高管的数据安全意识,保证其对企业面临的隐私挑战和数据泄露风险有所警醒;对下,DPO有义务组织员工培训,开展法律法规教育,使数据合规得到每个人的重视;对外,DPO作为联络人还必须与监管机构、客户乃至社会公众媒体沟通交流。

此外,DPO还应该能够以独立的方式行事。鉴于DPO应当具备一定独立性,因此在任职DPO时不得同时兼任CEO、COO、CFO、市场总监、HR总监、IT总监等职位。另外,根据GDPR第38条,DPO可以履行其他任务和职责,但数据控制者和处理者应保证这些任务和职责不会导致利益冲突。

这就意味着在GDPR合规性要求下,DPO的角色不能由CISO承担,而根据其他规定,这种情况几乎肯定也不会出现。它是一个介于法律、安全和IT之间的职位,需要对这三者都具备充分的认知。但是目前,除了个别最大的企业外,我们很难能够看到全职DPO的身影。

虚拟安全官的角色

对于中小型企业——这些公司可能无法在有限的资金条件下寻找到合格的CISO,或是自己公司的CISO刚刚跳槽离开不得不立即寻找到合适人才填补空位——以及需要指定DPO但又不希望负担全职费用的公司而言,虚拟安全官无疑是个很好的解决方案。

虚拟数据安全官(vDPO)是一个新兴职位。这是一个由众多机构提供的服务,但目前还没有经验丰富的vDPO。不过,虚拟信息安全官(vCISO)领域却并不是这样一番景象。举个例子,在过去4年间,国际社会保障协会(ISSA)国际总裁Candy Alexander就一直在从事兼职vCISO的职务。据悉,她曾是一名联邦政府承包商的CISO,并正准备升迁到一个新的职位,却不幸在最后一刻落空。

当vCISO的概念开始发展之初,Alexander就把目光瞄准了该领域。在她看来,许多小型企业并没有在任何层面上对安全进行投资,他们需要安全策略师——一个同时了解业务和安全的人——但可能并不希望以正式员工/全职(FTE)的方式实现。通过使用vCISO,这些企业就可以按小时或按项目进行支付,同时还能获得高素质、经验丰富的CISO人员,而无需考虑年终奖、奖金等额外支出问题。

而就vCISO自身而言,其能够同时身兼数个公司的工作,获取不低于全职的工资水平,还能享受灵活的办公时间,且不需要处理复杂的员工关系,避免许多不必要的内部斗争。

不可否认,不必处理复杂的工作关系对于许多在职的CISO们具有很大的吸引力。CISO们经常会被老板的命令压得喘不过气,被同事的某些行为刺激的火冒三丈,而“通勤”也成为压垮他们的最后一根稻草。如今,越来越多的CISO已经决意不再继续忍受这种压力,而出逃就任vCISO。

按照不同的工作模式,大致可以将vCISO工作分为三类:

1)空降模式——直接空降到公司,帮助其完成一个或一组特定的项目后离开;

2)兼职模式——有自己的全职工作,并在战略层面上帮助他们,当把他们领上道后就将长期运营职务转交给内部人员负责;

3)咨询模式——只作咨询顾问服务。这些模式都允许vCISO可以同时服务多个客户,赚取多份酬劳。

说到底,vCISO应该是一名安全战略家,而不是战术家——战略家,能着眼整个战局,且拥有极强的宏观意识和长远的战略目光,并能全面详细正确的制定己方的战略方针并能合理分配使用己方所持有力量与资源,从而引导斗争的最后胜利;战术家则更多的关注细节,长于局部分析,计较每一个环节和步骤,往往属于实干——与企业在职雇员相比,vCISO的优势在于能够战略性、全局性地分析问题,不至轻易落入战术陷阱中。但是,除非合同要求提供运营支持,否则一定要保持战略性。另一个关键的成功因素是vCISO的认知广度和个人网络(也可称为“人类网络human network”)——咨询同事可以使CISO变得更好,而对于vCISO来说,这也是至关重要的因素。

与全职CISO角色相比,虚拟安全官的一个重要区别是,不太需要了解组织的业务方面。虽然了解企业业务很重要,但对于vCISO而言,与其去了解客户的业务,不如更多地去了解客户所需运营的安全性、合规性以及监管框架等内容。

不需要了解组织业务内容的原因还在于,大多数企业的运作方式基本相同。虽然每个商业领袖都会认为他们的业务是独一无二的,但事实却并非如此。一家公司与另一家公司可能存在差别,但业务就是业务,不论行业还是细分市场如何,网络始终扮演着非常相似的角色,就是帮助企业实现扩张,或扩展到更大的公司和/或特定行业中(如医疗保健、能源等)。

但是这一点(不需要了解组织业务内容)对于vDPO来说有点不同,因为监管环境往往会对他们的决策产生更大的影响,所以你必须了解特定行业领域的背景——特别是医疗、金融或教育等领域。

除此之外,虚拟安全官还需要能够理解和适应不同的企业文化。在这个领域中,有些企业已经领先一步实现了重视安全和风险管理的企业文化,还有一些企业并未实现这一步,成功的网络领导者必须能够理解和适应这两种文化。此外,虚拟安全官还需要能够在两个客户端之间无缝切换,游刃有余地从一个客户端切换到另一个客户端。

虚拟安全官选择指南

在某些情况下,虚拟安全官确实是一个很好的解决方案,但也并非总是所有组织的最佳选择。如果法律要求组织必须指定一名CISO和/或DPO,则可以通过下述内容决定自身究竟适合全职还是虚拟安全官:

1. 成本

对于那些需要专业指导,却难以寻找、雇佣和负担起传统CISO的中小型企业来说,虚拟CISO是一个很好的解决方案。较小的组织已经信任VAR(增值服务提供商)、MSP(管理服务提供商)和MSSP(托管安全服务提供商)等渠道合作伙伴,来帮助他们构建IT解决方案。虚拟CISO是对这些专业知识的自然延伸,将解决方案架构和技术服务与围绕政策、合规性和报告方面的战略领导相结合。

但是,过度地使用虚拟人员会迅速颠覆金融等式。我永远不会向任何客户推荐永久性地利用vCISO,其造成的长期成本非常高,而且如果一家公司有需求(合规需求或其他)为该职位指定人员,大可为该职位招聘一位长期、全职人员。

关键在于认识到何时使用虚拟安全官会实现最大的成本效益,而何时会面临成本过高的情况。

2. 经验

大多数申请全职CISO角色的人,对该职位几乎都没有任何实际经验,而雇主通常也并不了解该职位需要具备何种能力,更是加剧了该问题的复杂性——许多公司需要CISO的原因仅仅是因为他们还没有这样一个角色。

大多数需要CISO的企业,实际上还并没有意识到自己的真实需求,而对于那些确实已经意识到自身需要CISO的企业来说,真正的困难在于明确自己究竟在寻找什么——这就是为什么一些CISO招聘广告中会列出一些与之无关的技能、认证或框架。最后,企业确实也很难理解CISO究竟是什么——这可能会导致一些没有生产力的成本浪费。

但是,如果企业选择现有的且正在实践中的vCISO,就几乎可以确保他们具备良好的工作经验。运用这种模式的最大优势在于,您可以在最短的时间内获取到vCISO的最大价值——也就是所谓的“80/20规则”——简单来说就是,你20%的付出(外聘vCISO)占你80%的利润。

这是与“成本”相关的问题。如果一家公司需要CISO并且无法支付从其他公司“挖墙脚”的高昂费用,就可以选择虚拟人员的路线。外聘vCISO甚至可以有一项辅助任务,即帮助企业培训安全团队的现有成员来长期担任该职位。

3. 响应的即时性

GDPR第37条规定允许vDPO的存在——“企业集团可以任命一个独立的DPO,但应确保各集团企业都能与DPO保证通畅的联系”。由此可见,能够随时联系到vCISO是非常必要的因素。vCISO必须随时准备应对危机情况,这些情况显然无法预先安排。不可避免地,当意外发生时,该vCISO可能正在国外出差,虽然可以通过远程操作完成相关任务,但这显然并不是最理想的方式。

而如果该vCISO的两名客户,一个正在经历恶意软件事件,另一个正在经历入侵者侵袭,那么她/他就会分身乏术。虽然一些事件可以远程处理,但许多公司还是希望在遭遇意外事件时可以获取专家的现场技术支持。

解决这一问题的方法可能是,坚持与虚拟人员签订服务水平协议(service level agreement,简称SLA)——即在一定开销下为保障服务的性能和可靠性,服务提供商与用户间定义的一种双方认可的协定。通常这个开销是驱动提供服务质量的主要因素。一个完整的SLA同时也是一个合法的文档,包括所涉及的当事人、协定条款、违约的处罚、费用和仲裁机构、政策、修改条款、报告形式和双方的义务等。归根结底,响应即时性应该是虚拟安全官需要解决的问题,而不是承包雇佣公司。

4. 忠诚度

虽然承包雇主可能会担心虚拟安全官对公司的忠诚度,但这可能并不是一个问题。因为虚拟安全官的职业生涯将取决于现有客户和过去客户的客观评价,为了获取更好地客户体验度,他们也会像全职雇员一样不遗余力地努力着。

但是,如果该虚拟安全官是第三方公司(如管理服务提供商MSP或托管安全服务提供商MSSP)的永久雇员,这时候忠诚度可能就是一个问题了。因为对雇主的忠诚可能会导致业绩压力。这究竟是怎么一回事呢?

当然,MSSP可以扮演vCISO的角色,这时候就需要格外小心了。我曾经见过很多这类“增量销售”——根据既有客户过去的消费喜好,提供更高价值的产品或服务,刺激客户做更多的消费——产品或服务的案例。我建议如果有人想要签订vCISO合同,一定要先确保该vCISO所在公司不是一家产品经销商,并将合同内容限制在vCISO服务范围内——不向其他公司获取任何其他咨询服务,避免任何隐藏消费项目的存在。

未来几年,想要寻找独立的虚拟安全官可能会变得更加困难。而越来越多的咨询公司和服务提供商可能会在未来几年内增加“虚拟安全官雇佣”服务。这对于传统的MSP或MSSP而言可能是一个增长领域。同时受益的还有IT顾问,他们希望通过专业服务和技术服务来扩展自身的服务组合。

5. 一个或两个职位?

最后一个考虑因素是,是否可以将一名虚拟安全官同时作为vCISO和vDPO。如果这些职位是永久性的/全职的,则需要分别设立两个职位才能符合GDPR法规要求。根据GDPR规定,vDPO必须能够独立行事——在职业岗位方面,安全与合规之间的利益冲突可能性很大。

但是,单考虑兼职性质的虚拟安全官就不会存在这种问题,vCISO可能也可以充当vDPO。在具体实践中,单个虚拟人员可能会比两名独立的虚拟人员更容易找到适合企业的最佳路径,因为两名虚拟人员各自有各自的优先事项,无法实现一名虚拟人员的全局性、整体性思维。但是,针对究竟应该设立一名还是两名虚拟安全官的问题而言,最重要的还是要考虑一名虚拟安全官是否同时具备两个角色所需的知识范畴。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。