随着网络安全威胁越来越复杂和普遍,现在非常缺乏经验丰富的技术精湛的安全领导者。企业应该怎么做呢?其中一种方法是考虑“租”一个首席信息安全官(CISO)或其他安全高管。
专家称,现在,当企业无法找到合适的全职安全领导,或者他们负担不起安全高管的职位时,很多企业都会聘请临时安全领导。
根据研究公司Frost & Sullivan和国际信息系统安全认证协会(ISC)2的最新报告显示,在安全领域存在显著的人才短缺。
根据这项调查显示,在2014年接受在线调查的14000全球企业中,近三分之二(62%)的企业称其企业没有足够的安全专业人员。相比之下,在2013年的调查中,这个数据为56%。
安全人才短缺的主要原因是没有足够的合适人选。该报告预测,在未来五年内,全球安全人才短缺将会达到150万。
对于一些企业来说,解决方案就是租安全高管和人员。
“我们看到企业会选择临时首席安全官,”安全和新兴技术领域的高管猎头公司Benchmark Executive Search总裁Jeremy King表示,“临时CISO的优点是让企业可以基于该CISO的专业知识来采取一些行动来构建信息安全方案以及制定安全路线图。”
缺点就是,通常很难构建和维持全面的信息安全计划,因为临时CISO无法与其他利益相关者建立持久的关系。
租用CISO的概念对于较小型企业特别具有吸引力,因为他们通常缺乏内部安全资源。
Threshold Enterprises公司IT主管[注]Charlie Muller称,他们公司选择从Arctic Wolf Networks公司引进安全力量是因为其业务增长很快,并且超过了传统的增量方法来提高网络服务和提供安全性。
Muller表示:“我们的安全挑战已经成倍增长,我们面临着复杂的高风险网络环境,而我们的小团队很难应对。”
Threshold公司需要快速有效地解决这个挑战,第一步是找到合适的合作伙伴关系,除了安全合作伙伴,他们意识到还需要外包其安全计划的项目管理。
Arctic Wolf Networks公司专门为没有CSO或CISO的中型企业提供支持,其安全团队针对安全架构、最佳做法、政策审查、渗透测试、连续监控审查、事件响应和其他服务提供技术指导意见。
虽然该公司并没有将其安全专家称为“CISO”,但他们为客户提供完整的安全指导。
通过部署安全信息和事件管理(SIEM)等技术以及提供持续的专业知识,Arctic Wolf Networks帮助了Threshold公司更好地分析和解决安全威胁。该公司帮助Threshold评估和部署安全工具和服务,这些都是基于不断变化的安全威胁和漏洞以及该公司的技术预算。
现在越来越多的公司开始租用CISO,这方面的业务正在不断增长。MAFAZO Digital Solutions公司总裁Max Aulakh是多位客户的“虚拟CISO”,在提供此服务之前,他在私营部门和美国政府的网络安全部门工作。
尽管这种需求正在增加,但由于行业的技能精确,很难扩大这项服务。持续的网络攻击在推动这种增长,而网络安全已经成为很作小型和大型企业董事会级的关注问题。
如何租用CISO这取决于客户的需求,但Aulakh表示:“一般的经验法则时,他们会购买时间段。我们帮助他们构建路线路、管理技术团队、向高管提供风险相关信息(以他们能够理解的语言)等。”
此外,Aulakh还会帮助客户了解安全事故带来的经济影响,以及如何缓解风险。对于大型企业而言,临时CISO只是过渡的作用,但对于较小型企业,这是持续的关系,因为他们负担不起全职的CISO。
租用CISO可以给企业带来好处(+微信关注网络世界),因为他们肯帮助确定风险以及合规问题,在某些情况下,还有经验与董事会成员来交谈。
租用临时CISO是否是一个好主意呢?这取决于项目的时间表、公司的组织结构、公司的文化以及财务状况,但最重要的是公司信息安全状况和风险情况。例如,有些公司为了满足联邦法规的某些规定,他们在启动任何合同或维持合同义务之前,需要有系统安全计划。其他公司可能是因为刚刚遭遇了数据泄露事故,但仍然没有准备好或者负担不起全职安全人员。
如果企业不打算对其安全态势进行任何内部变更,则不应该租用CISO。很多时候,公司聘请临时CISO,而不愿意分配任何资源,这可能给企业带来负面影响,因为他们已经确定了责任问题,但选择不采取任何措施。
同时,如果企业不愿意与其他公司分享自己的时间,或者如果他们没想过部署信息安全作为其战略计划的一部分时,则也不应该租用CISO。
安全顾问或者托管安全服务提供商可能可以为你提供服务,但如果你想要全面的长期计划,则应该聘请临时CISO。他们将成为你公司的一部分,了解你的文化,并且,当你想要添加新工具或技术以及升级安全技术时,他们可以帮助你节省时间。
作者:佚名
来源:51CTO
