虛拟CISO(首席資訊安全官)是您的安全問題解決方案嗎?（下）

虛拟CISO對于資源有限的公司來說是一種非常寶貴的資源。但對于一個長期性問題，是否能短期解決呢?

虛拟CISO(首席資訊安全官)是您的安全問題解決方案嗎?（上）

收益遠超出成本

虛拟CISO确實有一定實際意義。為什麼呢?讓我們看看這對初創企業意味着什麼。一名全職CISO每年收入是10萬美元以上，如果需要的話，一名兼職CISO可以大幅度降低成本(如果行業标準可信的話，大約隻有全職CISO年成本的30%)。

您可以按一定的工作時間來雇傭一名兼職CISO，或者按項目來雇傭。你甚至可以在需要的時候，雇傭CISO一段時間來做技術支援。簡而言之，這是一種在您需要時獲得最佳網絡安全人才的方式，而且隻需付出很少的費用。

他們可以直接了解您最緊迫的問題，并且負責從與安全和合規團隊就标準、方針和安全政策進行溝通，到進行企業風險評估，確定其符合PCI和HIPAA等标準的工作。vCISO還能夠教育訓練内部安全人員，在公司内部提高安全意識，并為其組織制定戰略安全路線圖。

還有一些其他不太明顯的益處。例如，因為vCISO無需對公司保持忠誠度，是以他們沒有必要來掩蓋壞消息，他們不必擔心他們的工作崗位安全(這可能會影響其工作表現)，而這種“虛拟”的屬性意味着IT人員和管理層之間不會有太多的串通，并且不需要玩辦公室政治。

Holman說：“一名熟練的虛拟CISO可以為您的公司帶來豐富的多部門經驗，幫助您采取切實可行的安全措施，并制定一個長期計劃以降低風險。

“他們可以幫助您應對各種挑戰，”Frankland說。“通常這些挑戰包括：

1.将問題與上司團隊、監管機構和其他業務利益相關者進行溝通;

2.設計安全政策;

3.就技術、流程和最佳做法提供建議;

4.招聘供應商和新團隊成員;

5.教育訓練;

6.處理各種事件。

“速度就是新業務的貨币，虛拟CISO可以幫助企業降低風險，提高他們的安全技能，并使業務快速發展。”

Nik Wells是金融服務公司Elevate的IT安全和合規負責人，他認同Holman和Frankland的觀點，認為vCISO有它自己的一席之地，特别是适合中小型企業(SME)。

“大多數中小企業可能沒有預算雇用一名全職安全專業人員，而是需要短期指導，以幫助他們進行中長期的戰術問題和戰略計劃。随着日益臨近的歐盟“一般資料保護條例(GDPR)”的要求，中小企業将需要幫助來符合這些規定。

然而，Frankland和Honan先生在采用vCISO服務的速度上卻持不同意見，Frankland表示中小型企業在使用vCISO服務上不應太急，而Honan則持相反意見

Honan說：“我們看到這些服務正在迅速發展，包括中小型企業和大型企業等許多企業都在尋找有經驗的員工來扮演這一角色，卻很難找到适合的人才”。

“我們或者提供服務來擴大公司内現有的管理團隊，或者在公司招聘一個該崗位的全職職員的過程中發揮作用。”

但vCISO是否有缺點呢?

這并不是說虛拟CISO就是一個萬全之策。畢竟，如果是這樣的話，我們可以談一談不被人熟知的全職CISO。

我們不該忘記首先vCISO也是會犯錯的首席資訊安全官，同時這些被雇傭的人才對他們正在服務的企業幾乎沒有忠誠度或上下級關系。他們的服務費用仍然相對昂貴，找到一個适合的vCISO和招聘一名全職CISO同樣困難。對它們的依賴會讓你“無法脫身”。

還有一個更大的問題，正如一位CISO在LinkedIn上就vCISO問題所指出的那樣。

“... CISO結構在大公司是失敗的。它的失敗，在于很少有公司把安全視為戰略層面的問題，”美國商務部經濟分析局首席資訊安全官，Frederick Carlson說道。

“如果把這種想法推廣到小公司的外包模式中，它是否會導緻相同的失敗結果呢?”他問道。

他不是唯一一個認為vCISO是一個良莠不齊的服務。Darren Argyle最近被任命為在澳洲航空公司Qantas的集團企業CISO，他在給CSO線上的一封電子郵件中補充說：“你忽略了對虛拟CISO的責任，”他說道“虛拟人物或服務的責任，你們不能寫入章程。”

Holman贊同地說道：“如果出現問題，虛拟CISO不會承擔任何責任。這個責任最終就落到了董事會身上，而他們很少被給予任何預算，除了提出建議外，不應該提供任何東西。”

“很像律師或稅務專家的服務，由公司決定是否采納他們的建議。如果您的公司對安全工作很重視，虛拟CISO肯定會幫助您走向正确的方向，但不應該認為外包的安全風險100%不存在。”

“公司和他們的董事會應清楚，最終還是他們自己對安全負責任，” Honan說。 “一名CISO，無論他是全職還是提供虛拟服務，都不能單獨承擔這一責任。如果企業組織内沒有一種安全文化，或者他們隻是願意引入一種安全文化，那麼CISO的角色可能注定要失敗。”

“虛拟CISO服務不能幫助其實施工作，”Frankland補充說。“CISO提供咨詢、協調和管理服務，這是他們的責任。如果一個企業組織希望某人為他們編寫政策，評估和監控他們的系統、應用程式和基礎架構，安裝軟體(防火牆、防毒軟體、密碼管理器、加密等)，那麼這項服務是不夠的。”

是以，雖然虛拟CISO服務确實帶來了諸多好處，特别是對中小企業，但它也不是解決您安全問題的靈丹妙藥。

本文轉自d1net（轉載）