機房360首頁
                        當前位置:首頁 ? 虛擬化資訊 ? 虛擬CISO會成為中小企業安全建設的“催化劑”嗎?

                        虛擬CISO會成為中小企業安全建設的“催化劑”嗎?

                        來源:51CTO 作者: 更新時間:2022/4/28 10:47:22

                        摘要:不過,由于安全專業人才的缺失以及高昂的聘用成本等問題,對于中小型企業來說,很難聘請到合適的CISO。在此背景下,虛擬首席信息安全官(vCISO)開始受到了行業的關注。對于許多企業來說,vCISO或許是一種易于實踐且更具備性價比的選擇。

                          當前,網絡安全風險加劇,網絡安全人才缺口不斷加大,這意味著即便是中小型企業也亟需物色合適的人才承擔CISO(首席信息安全官)角色,以統籌領導網絡安全相關工作。不過,由于安全專業人才的缺失以及高昂的聘用成本等問題,對于中小型企業來說,很難聘請到合適的CISO。在此背景下,虛擬首席信息安全官(vCISO)開始受到了行業的關注。對于許多企業來說,vCISO或許是一種易于實踐且更具備性價比的選擇。

                          vCISO的定義與職責

                          網絡管理聯盟(Cyber Management Alliance)將vCISO服務定義為“企業獲取經驗豐富的安全和合規專業人士的有效途徑”。其目標是填補網絡安全市場目前存在的人員和技能缺口。它是指企業可以按一定的工作時間或項目來雇傭一名vCISO,從而獲得高質量的網絡安全咨詢服務,但實際上這些CISO并不在企業的工作場所從事全職工作。

                          借助vCISO服務,中小型企業不僅可以接觸到全球公認的網絡安全專業人士,且只需支付相對較少的酬金就可以完成相應的工作。相關研究數據顯示,一名虛擬CISO的成本大約只有全職CISO年成本的30%。

                          重要的是,這些vCISO一般都是在行業中工作多年的人,他們擁有豐富的經驗來處理各種不同的情況,指導企業進行信息安全管理,對企業進行風險評估;此外,vCISO還能夠培訓內部安全人員,幫助其提高安全技能與意識,并為組織制定合適的安全戰略規劃。很顯然,這種模式相對安全需求有限的中小企業來說,比聘請全職CISO更具成本效益。

                          雖然vCISO的職位描述可能因組織而異,但總的來說, vCISO主要在網絡安全和網絡彈性、事件響應和事件管理、風險評估與風險管理、供應鏈、認證、治理與合規、技術部署、數據安全、運營安全、資產管理等10個領域發揮價值。

                          除此之外,vCISO還需要承擔以下工作:審查企業現有的網絡安全產品(政策和文件)并分享他們的專業意見;幫助企業調整政策和程序;在了解組織環境、定義風險和威脅后,與企業安全團隊一起創建必要的文檔,例如事件響應計劃或網絡安全事件響應手冊等。

                          雇傭vCISO的優勢及不足

                          除了在性價比方面的優勢外,聘請vCISO還會給企業帶來以下價值:

                          vCISO會在了解企業的特定業務目標后,幫助其更新、完善和重建網絡安全政策和程序。

                          借助vCISO咨詢服務,企業可以獲取公正且中立(與供應商無關)的建議,以客觀地了解自身的技術投資和其他安全控制。

                          vCISO更加擅長處理不同類型的利益相關者,并就問題與領導團隊、監管機構和其他業務利益相關者進行溝通。

                          通過vCISO服務,企業能夠得到相對完善的風險、治理和合規專家團隊支持。這可確保無縫處理企業業務的各種需求。與聘請獨立顧問相比,這顯然更具優勢。

                          vCISO可幫助企業為可能發生的數據泄露、勒索軟件攻擊或其他網絡安全事件做好準備。他們會評估企業安全風險情況,并指導其提高網絡彈性。

                          不過,這并不是說vCISO是一個能夠解決企業安全問題的萬全之策。在以往的實踐中,也暴露出vCISO主要存在一些缺陷:

                          人始終是安全防護鏈中最薄弱的環節之一,vCISO也會犯錯,對vCISO的依賴可能會讓企業陷入困境。

                          找到一個適合的vCISO可能與招聘一名全職CISO同樣困難。

                          vCISO是一個良莠不齊的服務,而且虛擬人物或服務的責任難以明確要求,如果出現問題,vCISO的責任有時會很難認定。

                          vCISO服務不能幫助企業開展實施工作。如果企業希望vCISO為他們監控系統、應用程序和基礎架構,并維護安全設備的運營,那么很難通過vCISO服務完成。

                          如何雇傭理想的vCISO?

                          企業在聘請vCISO時,需要從以下方面進行考慮:

                          從業者的經驗,并在其職業生涯中擔任過CISO。

                          在信息安全的各個領域擁有經驗,包括信息風險管理、治理和合規性。

                          兼具技術和業務認知,既能與高級管理人員進行溝通,也能與技術員工進行有價值的探討。

                          保持公正和中立(與供應商無關)態度,并提供不支持任何特定產品的建議。

                          了解審計和合規的基礎知識,并能夠與內部和外部審計師打交道。

                          了解業務和商業的基礎知識。

                          對于提供vCISO服務的提供商,則必須具備靈活性,允許企業根據不斷變化的需求來擴大和縮小他們的需求,而不會收取懲罰性費用。

                          理想情況下,vCISO服務必須基于企業自身的信息安全和業務需求、組織規模及其業務的復雜性,其持續時間可以從每月僅幾個小時到臨時全職CISO。最好尋找一位樂于分享和提供指導意見的vCISO,他們可以幫助組織培養出一批專業的安全人員。

                          責任編輯:張華

                        機房360微信公眾號訂閱
                        掃一掃,訂閱更多數據中心資訊

                        本文地址:http://www.foambbs.com/news/2022428/n3308145497.html 網友評論: 閱讀次數:
                        版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
                        轉載聲明:凡注明來源的文章其內容和圖片均為網上轉載,非商業用途,如有侵權請告知,會刪除。
                        相關評論
                        正在加載評論列表...
                        評論表單加載中...
                        • 我要分享
                        推薦圖片
                        性旺盛的女人自述