• <bdo id="k6k2k"><center id="k6k2k"></center></bdo>
    <td id="k6k2k"></td>
    <bdo id="k6k2k"><center id="k6k2k"></center></bdo>
    機房360首頁
    當前位置:首頁 ? 虛擬化資訊 ? 虛擬CISO會成為中小企業安全建設的“催化劑”嗎?

    虛擬CISO會成為中小企業安全建設的“催化劑”嗎?

    來源:51CTO 作者: 更新時間:2022/4/28 10:47:22

    摘要:不過,由于安全專業人才的缺失以及高昂的聘用成本等問題,對于中小型企業來說,很難聘請到合適的CISO。在此背景下,虛擬首席信息安全官(vCISO)開始受到了行業的關注。對于許多企業來說,vCISO或許是一種易于實踐且更具備性價比的選擇。

      當前,網絡安全風險加劇,網絡安全人才缺口不斷加大,這意味著即便是中小型企業也亟需物色合適的人才承擔CISO(首席信息安全官)角色,以統籌領導網絡安全相關工作。不過,由于安全專業人才的缺失以及高昂的聘用成本等問題,對于中小型企業來說,很難聘請到合適的CISO。在此背景下,虛擬首席信息安全官(vCISO)開始受到了行業的關注。對于許多企業來說,vCISO或許是一種易于實踐且更具備性價比的選擇。

      vCISO的定義與職責

      網絡管理聯盟(Cyber Management Alliance)將vCISO服務定義為“企業獲取經驗豐富的安全和合規專業人士的有效途徑”。其目標是填補網絡安全市場目前存在的人員和技能缺口。它是指企業可以按一定的工作時間或項目來雇傭一名vCISO,從而獲得高質量的網絡安全咨詢服務,但實際上這些CISO并不在企業的工作場所從事全職工作。

      借助vCISO服務,中小型企業不僅可以接觸到全球公認的網絡安全專業人士,且只需支付相對較少的酬金就可以完成相應的工作。相關研究數據顯示,一名虛擬CISO的成本大約只有全職CISO年成本的30%。

      重要的是,這些vCISO一般都是在行業中工作多年的人,他們擁有豐富的經驗來處理各種不同的情況,指導企業進行信息安全管理,對企業進行風險評估;此外,vCISO還能夠培訓內部安全人員,幫助其提高安全技能與意識,并為組織制定合適的安全戰略規劃。很顯然,這種模式相對安全需求有限的中小企業來說,比聘請全職CISO更具成本效益。

      雖然vCISO的職位描述可能因組織而異,但總的來說, vCISO主要在網絡安全和網絡彈性、事件響應和事件管理、風險評估與風險管理、供應鏈、認證、治理與合規、技術部署、數據安全、運營安全、資產管理等10個領域發揮價值。

      除此之外,vCISO還需要承擔以下工作:審查企業現有的網絡安全產品(政策和文件)并分享他們的專業意見;幫助企業調整政策和程序;在了解組織環境、定義風險和威脅后,與企業安全團隊一起創建必要的文檔,例如事件響應計劃或網絡安全事件響應手冊等。

      雇傭vCISO的優勢及不足

      除了在性價比方面的優勢外,聘請vCISO還會給企業帶來以下價值:

      vCISO會在了解企業的特定業務目標后,幫助其更新、完善和重建網絡安全政策和程序。

      借助vCISO咨詢服務,企業可以獲取公正且中立(與供應商無關)的建議,以客觀地了解自身的技術投資和其他安全控制。

      vCISO更加擅長處理不同類型的利益相關者,并就問題與領導團隊、監管機構和其他業務利益相關者進行溝通。

      通過vCISO服務,企業能夠得到相對完善的風險、治理和合規專家團隊支持。這可確保無縫處理企業業務的各種需求。與聘請獨立顧問相比,這顯然更具優勢。

      vCISO可幫助企業為可能發生的數據泄露、勒索軟件攻擊或其他網絡安全事件做好準備。他們會評估企業安全風險情況,并指導其提高網絡彈性。

      不過,這并不是說vCISO是一個能夠解決企業安全問題的萬全之策。在以往的實踐中,也暴露出vCISO主要存在一些缺陷:

      人始終是安全防護鏈中最薄弱的環節之一,vCISO也會犯錯,對vCISO的依賴可能會讓企業陷入困境。

      找到一個適合的vCISO可能與招聘一名全職CISO同樣困難。

      vCISO是一個良莠不齊的服務,而且虛擬人物或服務的責任難以明確要求,如果出現問題,vCISO的責任有時會很難認定。

      vCISO服務不能幫助企業開展實施工作。如果企業希望vCISO為他們監控系統、應用程序和基礎架構,并維護安全設備的運營,那么很難通過vCISO服務完成。

      如何雇傭理想的vCISO?

      企業在聘請vCISO時,需要從以下方面進行考慮:

      從業者的經驗,并在其職業生涯中擔任過CISO。

      在信息安全的各個領域擁有經驗,包括信息風險管理、治理和合規性。

      兼具技術和業務認知,既能與高級管理人員進行溝通,也能與技術員工進行有價值的探討。

      保持公正和中立(與供應商無關)態度,并提供不支持任何特定產品的建議。

      了解審計和合規的基礎知識,并能夠與內部和外部審計師打交道。

      了解業務和商業的基礎知識。

      對于提供vCISO服務的提供商,則必須具備靈活性,允許企業根據不斷變化的需求來擴大和縮小他們的需求,而不會收取懲罰性費用。

      理想情況下,vCISO服務必須基于企業自身的信息安全和業務需求、組織規模及其業務的復雜性,其持續時間可以從每月僅幾個小時到臨時全職CISO。最好尋找一位樂于分享和提供指導意見的vCISO,他們可以幫助組織培養出一批專業的安全人員。

      責任編輯:張華

    機房360微信公眾號訂閱
    掃一掃,訂閱更多數據中心資訊

    本文地址:http://www.hedgehogfx.com/news/2022428/n3308145497.html 網友評論: 閱讀次數:
    版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
    轉載聲明:凡注明來源的文章其內容和圖片均為網上轉載,非商業用途,如有侵權請告知,會刪除。
    相關評論
    正在加載評論列表...
    評論表單加載中...
    • 我要分享
    推薦圖片
    国产精品成人va,久久伊人精品青青草原高清,老师爽到高潮潮喷视频大全
  • <bdo id="k6k2k"><center id="k6k2k"></center></bdo>
    <td id="k6k2k"></td>
    <bdo id="k6k2k"><center id="k6k2k"></center></bdo>