當前，網絡安全風險加劇，網絡安全人才缺口不斷加大，這意味著即便是中小型企業也亟需物色合適的人才承擔CISO(首席信息安全官)角色，以統籌領導網絡安全相關工作。不過，由于安全專業人才的缺失以及高昂的聘用成本等問題，對于中小型企業來說，很難聘請到合適的CISO。在此背景下，虛擬首席信息安全官(vCISO)開始受到了行業的關注。對于許多企業來說，vCISO或許是一種易于實踐且更具備性價比的選擇。

vCISO的定義與職責

網絡管理聯盟(Cyber Management Alliance)將vCISO服務定義為“企業獲取經驗豐富的安全和合規專業人士的有效途徑”。其目標是填補網絡安全市場目前存在的人員和技能缺口。它是指企業可以按一定的工作時間或項目來雇傭一名vCISO，從而獲得高質量的網絡安全咨詢服務，但實際上這些CISO并不在企業的工作場所從事全職工作。

借助vCISO服務，中小型企業不僅可以接觸到全球公認的網絡安全專業人士，且只需支付相對較少的酬金就可以完成相應的工作。相關研究數據顯示，一名虛擬CISO的成本大約只有全職CISO年成本的30%。

重要的是，這些vCISO一般都是在行業中工作多年的人，他們擁有豐富的經驗來處理各種不同的情況，指導企業進行信息安全管理，對企業進行風險評估;此外，vCISO還能夠培訓內部安全人員，幫助其提高安全技能與意識，并為組織制定合適的安全戰略規劃。很顯然，這種模式相對安全需求有限的中小企業來說，比聘請全職CISO更具成本效益。

雖然vCISO的職位描述可能因組織而異，但總的來說， vCISO主要在網絡安全和網絡彈性、事件響應和事件管理、風險評估與風險管理、供應鏈、認證、治理與合規、技術部署、數據安全、運營安全、資產管理等10個領域發揮價值。

除此之外，vCISO還需要承擔以下工作：審查企業現有的網絡安全產品(政策和文件)并分享他們的專業意見;幫助企業調整政策和程序;在了解組織環境、定義風險和威脅后，與企業安全團隊一起創建必要的文檔，例如事件響應計劃或網絡安全事件響應手冊等。

雇傭vCISO的優勢及不足

除了在性價比方面的優勢外，聘請vCISO還會給企業帶來以下價值：

• vCISO會在了解企業的特定業務目標后，幫助其更新、完善和重建網絡安全政策和程序。
• 借助vCISO咨詢服務，企業可以獲取公正且中立(與供應商無關)的建議，以客觀地了解自身的技術投資和其他安全控制。
• vCISO更加擅長處理不同類型的利益相關者，并就問題與領導團隊、監管機構和其他業務利益相關者進行溝通。
• 通過vCISO服務，企業能夠得到相對完善的風險、治理和合規專家團隊支持。這可確保無縫處理企業業務的各種需求。與聘請獨立顧問相比，這顯然更具優勢。
• vCISO可幫助企業為可能發生的數據泄露、勒索軟件攻擊或其他網絡安全事件做好準備。他們會評估企業安全風險情況，并指導其提高網絡彈性。

不過，這并不是說vCISO是一個能夠解決企業安全問題的萬全之策。在以往的實踐中，也暴露出vCISO主要存在一些缺陷：

• 人始終是安全防護鏈中最薄弱的環節之一，vCISO也會犯錯，對vCISO的依賴可能會讓企業陷入困境。
• 找到一個適合的vCISO可能與招聘一名全職CISO同樣困難。
• vCISO是一個良莠不齊的服務，而且虛擬人物或服務的責任難以明確要求，如果出現問題，vCISO的責任有時會很難認定。
• vCISO服務不能幫助企業開展實施工作。如果企業希望vCISO為他們監控系統、應用程序和基礎架構，并維護安全設備的運營，那么很難通過vCISO服務完成。

如何雇傭理想的vCISO？

企業在聘請vCISO時，需要從以下方面進行考慮：

• 從業者的經驗，并在其職業生涯中擔任過CISO。
• 在信息安全的各個領域擁有經驗，包括信息風險管理、治理和合規性。
• 兼具技術和業務認知，既能與高級管理人員進行溝通，也能與技術員工進行有價值的探討。
• 保持公正和中立(與供應商無關)態度，并提供不支持任何特定產品的建議。
• 了解審計和合規的基礎知識，并能夠與內部和外部審計師打交道。
• 了解業務和商業的基礎知識。
• 對于提供vCISO服務的提供商，則必須具備靈活性，允許企業根據不斷變化的需求來擴大和縮小他們的需求，而不會收取懲罰性費用。

理想情況下，vCISO服務必須基于企業自身的信息安全和業務需求、組織規模及其業務的復雜性，其持續時間可以從每月僅幾個小時到臨時全職CISO。最好尋找一位樂于分享和提供指導意見的vCISO，他們可以幫助組織培養出一批專業的安全人員。

原文鏈接：https://www.cm-alliance.com/cybersecurity-blog/what-is-a-virtual-ciso