首席信息安全官是一种相对稀缺的人才。毕竟,信息安全只是IT行业的一个相对较新的新增领域,只占行业的一小部分,虽然多数大型企业现在都自称拥有CISO、CSO(首席安全官)或信息安全主管,但许多企业仍然没有。事实上,通常情况下,公司都是在数据泄露之后才任命第一位CISO,比如Target公司在2014年和索尼公司在2011年都是如此。
然而,使自己成为一名CISO,并且成为一名优秀的CISO,这并非易事。
有证据表明,InfoSec领域存在巨大的技术缺口,包括思科公司、培训机构ISC2和其他机构共计人才短缺约150万至200万人,而国际信息系统审计协会(ISACA)则说这是安全人员“缺失的一代”。
这种人才短缺,虽然仍有争议,包括来自美国国土安全部的不同看法,但最敏感的网络分析师和越来越多的数据科学家都有同感,这也影响到了企业CISO的技术水平。
对于初创企业,资源有限,最优秀的CISO身价昂贵,或者被竞争对手挖走或不断被猎头公司追逐,而糟糕的CISO则不断跳槽且有很多的负面评价。
所有这些造成了一个局面,这也许就是媒体所关注的更多顶尖CISO人才的流失。事实上,根据思科公司2015年年度安全报告,91%的公司有直接负责安全的主管,而只有29%的公司拥有CISO。不出所料,拥有CISO的企业对其安全具有极高的信心。
那么,如果您没有CISO,该怎么办?而这就是虚拟CISO出现的原因。因为这些经验丰富的安全人员通常是通过远程操作,所以价格合理、随时可以提供服务且技术娴熟,这就意味着他们可以开始工作了。
ISSA英国公司总裁兼2Sec公司首席执行官Tim Holman说,“虚拟CISO起到一种外包董事会咨询职能,更像一个非执行董事,”它为客户提供虚拟CISO服务。“现在你几乎可以得到一个虚拟的“任何东西”,从虚拟个人助理到虚拟财务总监。虚拟这个词更多是指一种资源,它不是实际存在的,也不是直接由您的公司所雇用。”
“网络安全技能的短缺助推了虚拟CISO行业发展壮大,一名技术娴熟的咨询专家可以同时为多家公司提供帮助。然而,因为这些公司或者是法律上的原因,或是监管上的原因,或是安全漏洞的原因,他们通常是在最后一分钟才打电话求助。
Jane Frankland是一名网络安全连续创业的企业家和CISO顾问,他补充说,一个虚拟CISO“就是一个在行业中工作多年的人,拥有丰富的经验来处理各种不同的情况,并指导您的企业(机构)进行信息安全管理。
“通常这些CISO从事设计企业的安全战略,有些可能还负责管理实施。许多人还成为董事会成员、主要利益相关者和监管机构人员。他们是从每月几个小时的兼职工作开始的,这些工作通常是远程操作。”
Brian Honan是BH Consulting公司的CEO,他自己公司的(虚拟首席信息安全官)vCISO服务就是为客户提供机会接触经验丰富的网络安全顾问,为客户提供持续的咨询服务,告诉客户如何部署其网络安全框架以保护他们的数据和系统。
“通常,这将涉及我们要协商一个工作计划,由此来确定关键举措,然后我们来管理实施工作。同时,我们也可为高级管理团队服务,为企业如何管理其系统威胁和管理其网络风险提供持续的建议和指导。”
本文转自d1net(转载)