由于信息安全只是IT行業中一個相對較新的領域，且只占行業的一小部分，所以首席信息安全官(CISO)是一種相對而言較為稀缺的人才，雖然多數大型企業現在都自稱擁有CISO、CSO(首席安全官)或是信息安全主管，但許多企業仍然沒有。畢竟事實上，通常情況下，公司都是在數據泄露之后才任命第一位CISO，比如Target 和TalkTalk以及索尼公司都是如此。

[[222523]]

然而，想要發展成為一名CISO，并且是一名優秀的CISO卻并非易事。有數據表明，信息安全領域存在的技術缺口已達約150萬至200萬人。那么，如果您的公司沒有CISO，該怎么辦呢?這時候，虛擬CISO(vCISO)便應運而生了。虛擬CISO通常為外包的安全從業人員，他們主要通過兼職或遠程操作的形式，隨時為企業提供服務和技術支持。

企業家、CISO顧問兼《InSecurity: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe》一書作者Jane Frankland表示，一個虛擬CISO就是一個在行業中工作多年的人，他們擁有豐富的經驗來處理各種不同的情況，并指導您的企業(機構)進行信息安全管理。他說，“通常這些CISO從事設計企業的安全戰略，有些可能還負責管理實施。許多人還成為董事會成員、主要利益相關者和監管機構人員。“

你需要一名虛擬CISO嗎?

不得不承認，聘請一名虛擬CISO確實有一定實際意義。也許憤世嫉俗者會提出這樣的質疑：既然公司可以簡單地聘用一名長期合同工，為什么還需要虛擬CISO呢?所以，對于到底需不需要聘請虛擬CISO，需要根據企業的具體情況而定。對于初創企業而言，資源有限，最優秀的CISO身價昂貴，他們想要聘請到技能嫻熟的全職CISO并不是一件易事，即便聘請到也存在被競爭對手挖走的可能性。

相比之下，虛擬CISO的優勢就凸顯出來了。讓我們通過下述一組數字了解一下這種優勢：一名全職CISO每年收入是10萬美元以上，如果需要的話，一名兼職CISO可以大幅度降低成本(如果行業標準可信的話，大約只有全職CISO年成本的30%至40%)。

此外，您還可以按一定的工作時間來雇傭一名兼職CISO，或者按項目來雇傭。你甚至可以在需要的時候，雇傭CISO一段時間來做技術支持。簡而言之，這是一種在您需要時獲得最佳網絡安全人才的方式，而且只需付出很少的費用。

雖然不同的虛擬CISO會提供不同的技能組合，但是絕大多數人都能夠承擔從戰術到戰略的各項任務。他們可以直接了解您最緊迫的問題，并且負責從與安全和合規團隊就標準、方針和安全策略進行溝通，到進行企業風險評估，確保其符合PCI和HIPAA等標準的工作。此外，他們還能夠幫助企業招聘，為企業制定并監督實施BYOD政策，培訓新成立的CISO，以及在全職CISO缺席時幫助管理董事會關系。

毫無疑問，這種模式非常適用于初創企業以及發展中的企業。Frankland認為，虛擬CISO最適合大部分中小型企業(SME), 因為大多數中小企業可能沒有預算雇用一名全職安全專業人員，而是需要短期指導，以幫助他們處理中長期的戰術問題和戰略計劃。

Ben De La Salle(曾為Old Mutual Wealth公司CISO，2017年10月離職后創立ICA Consultancy)就是一位虛擬CISO，他也認同中小型企業將是最大的獲益方。“創業公司和成長型企業都是虛擬資源合作模式的最佳人選。大多數此類企業都需要具備擁有高技能的專業人士，能夠清楚地了解企業內的威脅情況，并根據監管要求制定出適合企業發展的戰略路線圖。”

成為一名優秀的虛擬CISO需要具備哪些條件?

Brian Honan是愛爾蘭創業公司BH Consulting的創始人，其公司的業務就是為客戶提供vCISO服務，幫助客戶接觸更多經驗豐富的網絡安全顧問來為他們提供持續的咨詢服務。他說，“對于一名優秀的虛擬CISO來說，首先也是最為重要的一點是，必須成為董事會的良好溝通者。您最終的目的是與來自不同背景和行業的客戶企業合作，因此您需要能夠清楚地溝通與信息安全相關的業務所面臨的業務風險。”

Honan還補充道，“一名優秀的虛擬CISO還需要能夠快速地適應和學習，因為您需要快速掌握客戶組織的獨特業務環境以及該業務的關鍵戰略目標，一旦虛擬CISO了解這些信息后，他們需要具備將信息安全戰略與客戶企業的業務戰略相整合的技術和能力。”

Nic Miller也于去年從歐洲對沖基金管理公司Brevan Howard的全職CISO一職轉為了Aedile Consulting公司的虛擬CISO。他補充道，“作為一名虛擬CISO，其關鍵職責就是識別和解釋企業在信息安全方面存在多大的風險，并制定合適的戰略以降低這些風險級別。企業有責任就他們認為合適的風險水平與虛擬CISO們達成一致。此外，我認為，虛擬CISO自身所具備的經驗應該與其提供服務的企業相匹配，例如，如果您服務的是小型企業，而您自身經驗則是來自銀行或大公司，很顯然您可能無法滿足客戶的需求。當然反之亦然。”

雇傭虛擬CISO時需要注意什么?

可以說雇傭vCISO的危險之一在于，它是一個新生的且未知的領域。正如Miller所言，虛擬CISO是一個良莠不齊的服務，隨便在線搜索一下就會出現眾多您聞所未聞的供應商。試想一想，虛擬CISO也是會犯錯的首席信息安全官，同時這些被雇傭的人才對他們正在服務的企業幾乎沒有忠誠度或上下級關系。所以，在沒有廣泛審計的情況下，你能確保自己得到的會是什么質量的服務嗎?你又如何能夠保證他們可以實現自己所說的任務?

作為愛爾蘭計算機安全事件響應小組(CSIRT) 負責人和歐洲刑警組織顧問的Honan表示，咨詢行業必須要為“虛擬CISO將要做什么”確定一個清晰的定義，然后再與符合所需技能和知識的人員進行接觸，以尋找到適合您的業務類型的且具備相關技能和經驗的人才。

De La Salle表示，企業應該尋找更廣泛的行業經驗，并且需要考慮他們所需的虛擬資源類型(他們需要一種資源還是多種資源)。他說，“理解企業主題很重要，但是理解應用程序的風險偏好更是至關重要。組織往往存在相互沖突的優先事項，這意味著需要在業務最佳和安全理想之間尋找平衡點。然而，單靠行業經驗還遠遠不夠，虛擬資源同時與多個客戶共同運行，他們必須具備快速無縫地在風險偏好和企業文化之間轉換的能力和經驗。”

曾經在英國政府擔任資深信息安全要職的Miller還建議公司可以讓適當的人負責領導并推動項目運行。他表示，“我遇到過最大的一個問題是，我知道公司具備哪些資源可以用來解決問題，也可以確定最高優先級的緩解措施，但是卻難以在業務部門內部尋找到領頭人來牽動項目實施。”

虛擬CISO應該如何與您的團隊合作?

正如Honan所言，虛擬CISO如何與企業團隊進行合作取決于兩者間達成的約定以及現有的資源，但是唯一的要求是，這種整合過程必須是無縫且無痛的。他說，“虛擬CISO的存在完全是為了補充企業現有的能力。所以，虛擬CISO需要整合、利用、發展以及依賴現有的能力來發揮效用。”

長期虛擬CISO Phil Cracknell表示，虛擬CISO如何與他們的團隊合作完全取決于其承擔的角色。他解釋稱，“虛擬CISO可以作為現有資源的補充，但是也可以成為相關職能的領導者，例如，與董事會的溝通職能(現有的CISO對該級別的溝通能力不足)，或是作為導師和高級團隊成員等方面的職能。”

Miller補充道，“虛擬CISO與現有IT團隊有時候可以處得非常好，因為你可以解釋你加入是為了支持他們，并確保他們能夠有足夠的時間和資源來正確地處理他們的工作。知道你不是來批評和懲罰他們之后，他們就能夠更公開地分享他們面臨的挑戰。”但是，他也表示，這種合作同時也存在諸多挑戰，這一點想必是不言而喻的。

成功實踐和挑戰

作為一名虛擬CISO，Honan表示自己已經取得了一些成功，例如，幫助企業增強信息安全團隊的能力以擴大現有安全團隊，以及幫助企業CISO在長期的病假或產假過程中繼續他們的安全計劃等。但是他也承認仍然存在挑戰，而這些挑戰通常是“由于企業的盲目期待或管理不當”造成的。

Honan表示，“造成這種挑戰的原因在于，企業不切實際地期待虛擬CISO能夠在短時間內解決所有問題;或者是由于組織只是盲目地加入虛擬CISO，而不從IT等其他關鍵業務領域入手;亦或是只是聘請虛擬CISO來履行審計要求，而不向他們提供必要的預算、自主權或完成任務所需的權限等。”

他繼續補充道，“虛擬CISO本質上來說并不是一個長期存在的職務，所以如果你想圍繞其作為首席信息安全官(CISO)的角色來建立一個團隊或制定長期的戰略，顯然是不可取的。”

此外，Miller和Frankland也都認為，除了提出建議外，虛擬CISO不應該提供任何東西(如審核客戶或實施更改)，就像律師或稅務專家的服務，由公司決定是否采納他們的建議。

Frankland強調稱，“由于虛擬CISO是在沒有預算的情況下運行的，通常在出現問題的情況下并不會承擔任何責任，因此該角色應該定義為顧問。安全是一項至關重要的任務，如果CISO想要取得進展就必須獲取組織管理層和董事會的認同和重視。對于這一點，虛擬CISO顯然并沒有辦法實現，因為他們是不可見的(遠程工作)卻并不會長期存在。”

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文