虛擬CISO(首席資訊保安官)是您的安全問題解決方案嗎?（上）

首席資訊保安官是一種相對稀缺的人才。畢竟，資訊保安只是IT行業的一個相對較新的新增領域，只佔行業的一小部分，雖然多數大型企業現在都自稱擁有CISO、CSO(首席安全官)或資訊保安主管，但許多企業仍然沒有。事實上，通常情況下，公司都是在資料洩露之後才任命第一位CISO，比如Target公司在2014年和索尼公司在2011年都是如此。

然而，使自己成為一名CISO，並且成為一名優秀的CISO，這並非易事。

有證據表明，InfoSec領域存在巨大的技術缺口，包括思科公司、培訓機構ISC2和其他機構共計人才短缺約150萬至200萬人，而國際資訊系統審計協會(ISACA)則說這是安全人員“缺失的一代”。

這種人才短缺，雖然仍有爭議，包括來自美國國土安全部的不同看法，但最敏感的網路分析師和越來越多的資料科學家都有同感，這也影響到了企業CISO的技術水平。

對於初創企業，資源有限，最優秀的CISO身價昂貴，或者被競爭對手挖走或不斷被獵頭公司追逐，而糟糕的CISO則不斷跳槽且有很多的負面評價。

所有這些造成了一個局面，這也許就是媒體所關注的更多頂尖CISO人才的流失。事實上，根據思科公司2015年年度安全報告，91%的公司有直接負責安全的主管，而只有29%的公司擁有CISO。不出所料，擁有CISO的企業對其安全具有極高的信心。

那麼，如果您沒有CISO，該怎麼辦?而這就是虛擬CISO出現的原因。因為這些經驗豐富的安全人員通常是通過遠端操作，所以價格合理、隨時可以提供服務且技術嫻熟，這就意味著他們可以開始工作了。

ISSA英國公司總裁兼2Sec公司執行長Tim Holman說，“虛擬CISO起到一種外包董事會諮詢職能，更像一個非執行董事，”它為客戶提供虛擬CISO服務。“現在你幾乎可以得到一個虛擬的“任何東西”，從虛擬個人助理到虛擬財務總監。虛擬這個詞更多是指一種資源，它不是實際存在的，也不是直接由您的公司所僱用。”

“網路安全技能的短缺助推了虛擬CISO行業發展壯大，一名技術嫻熟的諮詢專家可以同時為多家公司提供幫助。然而，因為這些公司或者是法律上的原因，或是監管上的原因，或是安全漏洞的原因，他們通常是在最後一分鐘才打電話求助。

Jane Frankland是一名網路安全連續創業的企業家和CISO顧問，他補充說，一個虛擬CISO“就是一個在行業中工作多年的人，擁有豐富的經驗來處理各種不同的情況，並指導您的企業(機構)進行資訊保安管理。

“通常這些CISO從事設計企業的安全戰略，有些可能還負責管理實施。許多人還成為董事會成員、主要利益相關者和監管機構人員。他們是從每月幾個小時的兼職工作開始的，這些工作通常是遠端操作。”

Brian Honan是BH Consulting公司的CEO，他自己公司的(虛擬首席資訊保安官)vCISO服務就是為客戶提供機會接觸經驗豐富的網路安全顧問，為客戶提供持續的諮詢服務，告訴客戶如何部署其網路安全框架以保護他們的資料和系統。

“通常，這將涉及我們要協商一個工作計劃，由此來確定關鍵舉措，然後我們來管理實施工作。同時，我們也可為高階管理團隊服務，為企業如何管理其系統威脅和管理其網路風險提供持續的建議和指導。”

本文轉自d1net（轉載）