您的公司需要虚拟 CISO 吗？

随着网络安全人才的难得，公司越来越多地寻求指导和最佳实践，虚拟和部分首席信息安全官可能非常有意义。

公司有多种途径可以聘请虚拟首席信息安全官（vCISO）。

与托管安全服务提供商（MSSP）合作的公司可能需要扩展其安全策略，从而聘请 vCISO。发生违规行为后，事件响应公司可能会建议企业通过聘请兼职 CISO 来制定主动安全和响应计划。风险投资家可能需要安全专家在合并或收购期间进行尽职调查。甚至网络保险公司现在也向投保人推荐 vCISO，以指导他们完成制定最佳实践的过程。

虚拟 CISO 服务提供商 Inversion6 的 CISO Thomas Siu 表示，最终，虚拟 CISO 为公司提供了一位专家，他可以以一致的方式管理业务的安全计划，并且通常会带来不同的视角，帮助安全团队看到森林，而不仅仅是树木。

“我们有机会从业务流程甚至客户中退后一步，因为我们距离足够远，我们可以着眼于整个大局，”他说。“作为 CISO，我仍然可以引入部分 CISO 来为我查看特定的问题空间 — 有时，树林问题确实会发生。”

虚拟和部分 CISO 正在起飞。虽然缺乏具备网络安全技能的高管使得招聘全职 CISO 的成本很高，但花钱聘请兼职领导者来管理整体安全策略通常是有意义的。虽然顾问可能符合要求，但公司通常希望有一位能够根据商定的策略提供一致观点的专家，或者具有特定技能或知识（例如运营技术或特定地区法规）的部分 CISO。

提供托管服务和 vCISO 服务的网络保险公司 At-Bay 的安全服务总经理 Adam Tyra 表示，无论招聘动机是合并、网络保险单还是安全事件，虚拟 CISO 都可以帮助公司制定长期战略。

“大多数公司每年只进行一次保险对话，然后直到保单续签时才会再次进行，但威胁形势将不断变化，”他说。“您应该做的事比获得保险所需的最低要求多得多，这就是您的 vCISO 可以提供帮助的地方。”

丢失了 CISO？考虑使用 vCISO

对于 Inversion6 的 Siu 来说，成为虚拟 CISO 的道路始于他在 MSSP 的工作，为客户处理离散的项目。Siu 曾是密歇根州立大学和凯斯西储大学的首席信息安全官，曾在一家从事高管保护的公司担任 vCISO，他将为面临风险的公司制定网络安全计划，并定期检查以确保该计划得到遵守。当现有 CISO 决定离职时，公司也会联系 Siu 以填补空缺。

“有人会失去他们的 CISO，他们需要有人介入来执行该计划 — 事实证明，让供应商长期运行这种战略业务咨询服务是一种不同的经济模式，”他说。“你没有太多参与运营。你正在帮助他们制定预算。你正在帮助他们制定策略。所以你可以随心所欲地拨开它，也可以拨回它，但你必须始终随叫随到。

At-Bay 的 Tyra 表示，通常需要 vCISO 的公司出于以下三个原因之一伸出援手：满足其法规或合同安全要求，满足或超过网络安全的行业标准，或者构建安全计划作为竞争优势。

“如果您是一家拥有强大 IT 能力的公司，您可以实施自己的所有系统，并且您擅长管理所有技术，那么 vCISO 服务可能就是您所需要的，”他说。“你会被指引到正确的方向，有一份要执行的项目清单，然后你就有了去做这些事情的 IT 能力。”

当 vCISO 不够用时

然而，制定计划通常与执行计划不同。在这些情况下，公司可能希望寻求托管安全服务来获得特定的网络安全功能。奇怪的是，确定公司是否需要的不仅仅是 vCISO，这对 vCISO 来说是一项不错的工作，At-Bay 的 Tyra 说。

“我认为很多公司都对自己内部是否具备这些能力不诚实，”他说。“这是 vCISO 可能提供意见的另一个领域，帮助人们弄清楚建议是否足够好，或者 [是否] 您需要实际操作您的系统才能达到目标。”

最后，随着新威胁的出现，公司通常想知道他们可能会受到什么影响。Inversion6 的 Siu 表示，由于 vCISO 服务通常具有公司无法留住员工的深厚专业知识，因此他们可以进来提供建议，以应对人工智能等新技术或威胁形势的变化。

“即使有人已经有了安全计划，他们也会带我们去接触他们没有深度的地方，他们甚至可能无法招聘这些地方，因为它太专业了，”他说。“我们可以利用它来帮助人们了解这些特定 [威胁] 在他们的整体风险状况中处于什么位置。”

信息来源：https://www.darkreading.com/cybersecurity-operations/does-your-company-need-virtual-ciso

丢失了 CISO？考虑使用 vCISO

当 vCISO 不够用时

发表回复 取消回复

发表回复取消回复