租一個首席安全官?
隨著網(wǎng)絡(luò)安全威脅越來越復(fù)雜和普遍,現(xiàn)在非常缺乏經(jīng)驗豐富的技術(shù)精湛的安全領(lǐng)導(dǎo)者。企業(yè)應(yīng)該怎么做呢?其中一種方法是考慮“租”一個首席信息安全官(CISO)或其他安全高管。
專家稱,現(xiàn)在,當企業(yè)無法找到合適的全職安全領(lǐng)導(dǎo),或者他們負擔不起安全高管的職位時,很多企業(yè)都會聘請臨時安全領(lǐng)導(dǎo)。
根據(jù)研究公司Frost & Sullivan和國際信息系統(tǒng)安全認證協(xié)會(ISC)2的最新報告顯示,在安全領(lǐng)域存在顯著的人才短缺。
根據(jù)這項調(diào)查顯示,在2014年接受在線調(diào)查的14000全球企業(yè)中,近三分之二(62%)的企業(yè)稱其企業(yè)沒有足夠的安全專業(yè)人員。相比之下,在2013年的調(diào)查中,這個數(shù)據(jù)為56%。
安全人才短缺的主要原因是沒有足夠的合適人選。該報告預(yù)測,在未來五年內(nèi),全球安全人才短缺將會達到150萬。
對于一些企業(yè)來說,解決方案就是租安全高管和人員。
“我們看到企業(yè)會選擇臨時首席安全官,”安全和新興技術(shù)領(lǐng)域的高管獵頭公司Benchmark Executive Search總裁Jeremy King表示,“臨時CISO的優(yōu)點是讓企業(yè)可以基于該CISO的專業(yè)知識來采取一些行動來構(gòu)建信息安全方案以及制定安全路線圖。”
缺點就是,通常很難構(gòu)建和維持全面的信息安全計劃,因為臨時CISO無法與其他利益相關(guān)者建立持久的關(guān)系。
租用CISO的概念對于較小型企業(yè)特別具有吸引力,因為他們通常缺乏內(nèi)部安全資源。
Threshold Enterprises公司IT主管[注]Charlie Muller稱,他們公司選擇從Arctic Wolf Networks公司引進安全力量是因為其業(yè)務(wù)增長很快,并且超過了傳統(tǒng)的增量方法來提高網(wǎng)絡(luò)服務(wù)和提供安全性。
Muller表示:“我們的安全挑戰(zhàn)已經(jīng)成倍增長,我們面臨著復(fù)雜的高風險網(wǎng)絡(luò)環(huán)境,而我們的小團隊很難應(yīng)對。”
Threshold公司需要快速有效地解決這個挑戰(zhàn),第一步是找到合適的合作伙伴關(guān)系,除了安全合作伙伴,他們意識到還需要外包其安全計劃的項目管理。
Arctic Wolf Networks公司專門為沒有CSO或CISO的中型企業(yè)提供支持,其安全團隊針對安全架構(gòu)、最佳做法、政策審查、滲透測試、連續(xù)監(jiān)控審查、事件響應(yīng)和其他服務(wù)提供技術(shù)指導(dǎo)意見。
雖然該公司并沒有將其安全專家稱為“CISO”,但他們?yōu)榭蛻籼峁┩暾陌踩笇?dǎo)。
通過部署安全信息和事件管理(SIEM)等技術(shù)以及提供持續(xù)的專業(yè)知識,Arctic Wolf Networks幫助了Threshold公司更好地分析和解決安全威脅。該公司幫助Threshold評估和部署安全工具和服務(wù),這些都是基于不斷變化的安全威脅和漏洞以及該公司的技術(shù)預(yù)算。
現(xiàn)在越來越多的公司開始租用CISO,這方面的業(yè)務(wù)正在不斷增長。MAFAZO Digital Solutions公司總裁Max Aulakh是多位客戶的“虛擬CISO”,在提供此服務(wù)之前,他在私營部門和美國政府的網(wǎng)絡(luò)安全部門工作。
盡管這種需求正在增加,但由于行業(yè)的技能精確,很難擴大這項服務(wù)。持續(xù)的網(wǎng)絡(luò)攻擊在推動這種增長,而網(wǎng)絡(luò)安全已經(jīng)成為很作小型和大型企業(yè)董事會級的關(guān)注問題。
如何租用CISO這取決于客戶的需求,但Aulakh表示:“一般的經(jīng)驗法則時,他們會購買時間段。我們幫助他們構(gòu)建路線路、管理技術(shù)團隊、向高管提供風險相關(guān)信息(以他們能夠理解的語言)等。”
此外,Aulakh還會幫助客戶了解安全事故帶來的經(jīng)濟影響,以及如何緩解風險。對于大型企業(yè)而言,臨時CISO只是過渡的作用,但對于較小型企業(yè),這是持續(xù)的關(guān)系,因為他們負擔不起全職的CISO。
租用CISO可以給企業(yè)帶來好處(+微信關(guān)注網(wǎng)絡(luò)世界),因為他們肯幫助確定風險以及合規(guī)問題,在某些情況下,還有經(jīng)驗與董事會成員來交談。
租用臨時CISO是否是一個好主意呢?這取決于項目的時間表、公司的組織結(jié)構(gòu)、公司的文化以及財務(wù)狀況,但最重要的是公司信息安全狀況和風險情況。例如,有些公司為了滿足聯(lián)邦法規(guī)的某些規(guī)定,他們在啟動任何合同或維持合同義務(wù)之前,需要有系統(tǒng)安全計劃。其他公司可能是因為剛剛遭遇了數(shù)據(jù)泄露事故,但仍然沒有準備好或者負擔不起全職安全人員。
如果企業(yè)不打算對其安全態(tài)勢進行任何內(nèi)部變更,則不應(yīng)該租用CISO。很多時候,公司聘請臨時CISO,而不愿意分配任何資源,這可能給企業(yè)帶來負面影響,因為他們已經(jīng)確定了責任問題,但選擇不采取任何措施。
同時,如果企業(yè)不愿意與其他公司分享自己的時間,或者如果他們沒想過部署信息安全作為其戰(zhàn)略計劃的一部分時,則也不應(yīng)該租用CISO。
安全顧問或者托管安全服務(wù)提供商可能可以為你提供服務(wù),但如果你想要全面的長期計劃,則應(yīng)該聘請臨時CISO。他們將成為你公司的一部分,了解你的文化,并且,當你想要添加新工具或技術(shù)以及升級安全技術(shù)時,他們可以幫助你節(jié)省時間。