亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

虛擬安全官市場正在急速增長。過去幾年間，我們已經(jīng)目睹了越來越多的虛擬首席安全官（vCISO），接下來的幾年，我們可以期待一下虛擬數(shù)據(jù)保護官（vDPO）的出現(xiàn)。目前，市場對于這兩者的需求都達到了全所未有的高度，而且這種需求度可能還會持續(xù)增長。

本文將重點探究虛擬安全官的崛起因素，虛擬安全官的角色職責以及虛擬安全官的選擇指南等問題。

虛擬安全官的崛起

對于組織而言，擁有或被視為擁有首席信息安全官（CISO）已經(jīng)變得越來越重要。但是，由于信息安全只是IT行業(yè)中一個相對較新的新增領(lǐng)域，且只占行業(yè)的一小部分，所以人才短缺也就成了不可避免的問題。有證據(jù)表明，信息安全領(lǐng)域存在巨大的技術(shù)缺口，包括思科公司、培訓機構(gòu)ISC2和其他機構(gòu)共計人才短缺約150萬至200萬人，而國際信息系統(tǒng)審計協(xié)會（ISACA）則說這是安全人員”缺失的一代“。

雖然多數(shù)大型企業(yè)現(xiàn)在都自稱擁有CISO、CSO（首席安全官）或信息安全主管，但許多企業(yè)仍然沒有。事實上，通常情況下，公司都是在數(shù)據(jù)泄露之后才任命第一位CISO，比如Target公司在2014年和索尼公司在2011年都是如此。

如今，隨著攻擊者的技術(shù)不斷精進，組織越來越難以保護數(shù)據(jù)免受復雜的網(wǎng)絡(luò)犯罪分子，及資源充足且持久的民族國家行為者的影響。為了應(yīng)對這一危機，美國政府已經(jīng)制定了越來越嚴格的監(jiān)管要求，例如要求組織必須配置一名CISO或網(wǎng)絡(luò)安全負責人。

根據(jù)美國《紐約州金融服務(wù)局》條例（NYDFS-23 NYCRR 500）——2018年2月15日生效，適用于紐約州內(nèi)處理企業(yè)/個人數(shù)據(jù)的所有組織，就規(guī)定：此條例覆蓋的任何實體企業(yè)都應(yīng)該指定一名合格人員，負責監(jiān)管和實施企業(yè)的網(wǎng)絡(luò)安全計劃，并執(zhí)行其網(wǎng)絡(luò)安全政策（也就是指定CISO）。

可是，面對如此緊缺的人才現(xiàn)狀，如果您沒有CISO，該怎么辦呢？

NYDFS條例也為這種資源有限的企業(yè)指明了道路，其規(guī)定稱，組織任命的這個CISO可以從第三方雇傭。事實上，也就是所謂的“虛擬首席信息安全官”（vCISO）。由于這些經(jīng)驗豐富的安全人員通常是通過遠程操作，所以價格合理、隨時可以提供服務(wù)且技術(shù)嫻熟。

除此之外，歐盟《通用數(shù)據(jù)保護條例》（GDPR）第37條也規(guī)定：數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)該指定一名指定數(shù)據(jù)保護官（Data Protection Officer，簡稱DPO）……

需要指定DPO的情形主要包括三類：

1）數(shù)據(jù)處理行為是由公權(quán)力機構(gòu)或主體實施的，但法院行使司法權(quán)的除外；

2）根據(jù)數(shù)據(jù)處理者或數(shù)據(jù)控制者的性質(zhì)、業(yè)務(wù)范圍和目的，數(shù)據(jù)處理行為涉及對數(shù)據(jù)主體進行定期的大范圍、系統(tǒng)性的監(jiān)控；

3）數(shù)據(jù)控制者和數(shù)據(jù)處理者大規(guī)模數(shù)據(jù)處理第9條所涉及的特定種類的數(shù)據(jù)和第10條所涉及的犯罪數(shù)據(jù)。

該條例還明確了DPO的設(shè)置要求，主要包括：

1）企業(yè)集團可以任命一個獨立的DPO，但應(yīng)確保各集團企業(yè)都能與DPO保證通暢的聯(lián)系；

2）一名專家可擔任多家企業(yè)DPO，但DPO應(yīng)保證提供及時、盡責的服務(wù)；

3）企業(yè)組織及機構(gòu)可根據(jù)自身的數(shù)據(jù)組成和規(guī)模，任命一名或多名DPO；

4）DPO可以由企業(yè)從內(nèi)部予以委任，也可以從外部聘任，外聘應(yīng)當訂立服務(wù)協(xié)議。

其中，內(nèi)部委任是指從企業(yè)已有的管理層或員工中挑選，其優(yōu)勢在于內(nèi)部人員更為熟悉企業(yè)的經(jīng)營管理與風險點；外部聘任則是招聘外部專家，其優(yōu)勢在于專家會具備更加扎實的專業(yè)知識和能力，此外，服務(wù)于多家機構(gòu)的外聘專家會對企業(yè)的數(shù)據(jù)風險做到綜合把控。

這一系列具體規(guī)定無疑也為虛擬DPO的出現(xiàn)和發(fā)展鋪平了道路。

除了法律法規(guī)帶來的需求增長之外，人才市場出現(xiàn)的供求失衡也成為促進虛擬安全官加速增長的一大因素——因為市場上根本就沒有足夠的經(jīng)驗豐富的CISO和DPO可以配置給每個公司。對于眾多企業(yè)而言，資源有限且最優(yōu)秀的CISO通常身價昂貴，或者被競爭對手挖走或不斷被獵頭公司追逐。一位知名的CISO曾透露稱，由于其他公司為他提供了非常誘人的待遇，所以他最終選擇了跳槽，而該職位吸引的合格申請人可不止他一個，而是200多名！這整個過程就表明，越來越多優(yōu)秀的CISO正在從中小型企業(yè)往大型和知名企業(yè)轉(zhuǎn)移。

這使得規(guī)模較小的公司越來越難以找到法律和網(wǎng)絡(luò)安全條件所要求的合格安全人員。面對這種困境，虛擬人員就成了最佳解決方案。

虛擬安全官一定會呈現(xiàn)持續(xù)增長的趨勢。就像之前中型企業(yè)缺乏財務(wù)和法律人才的趨勢一樣，他們會轉(zhuǎn)向雇傭虛擬CFO（首席財務(wù)官）和虛擬律師來解決該問題。在許多方面，虛擬安全官與虛擬CFO和律師類似。

首席信息安全官（CISO）

CISO的角色并不簡單。他們必須持有一種思維方式來預(yù)測違規(guī)事件將以何種方式在何處發(fā)生，了解技術(shù)會如何被攻擊對手濫用，同時還需要就風險以及潛在的財務(wù)風險等方面與各利益相關(guān)方（企業(yè)高管、董事會、業(yè)務(wù)部門、客戶以及合作者等）進行有效溝通。

此外，他們還必須能夠展示任何領(lǐng)導者都需要具備的典型“軟”技能……但最困難的部分是，學習如何以一種共鳴的方式與非安全專業(yè)人員談?wù)摪踩皇侨淞⒂嘘P(guān)網(wǎng)絡(luò)安全的模糊和恐懼形象。換句話說，具備這些技能的人才正處于供應(yīng)短缺的現(xiàn)狀，而對于這些人才的需求已經(jīng)遠遠超出了供應(yīng)。

數(shù)據(jù)保護官（DPO）

DPO的兩個關(guān)鍵要求是能夠獨立于安全團隊行事，并對數(shù)據(jù)保護法規(guī)具備深刻的了解。后者并非易事，因為除了GDPR和全球其他國家的法律外，美國每個州都有自己獨立的數(shù)據(jù)保護法規(guī)。

在GDPR第97篇聲明（GDPR共99條正文條款和173篇聲明）中將DPO定義為“具備數(shù)據(jù)保護法律和實踐專業(yè)知識的人，負責協(xié)助數(shù)據(jù)控制者或處理者（主要是CISO）監(jiān)督組織內(nèi)部對于本法規(guī)的遵守情況”。

GDPR還補充道，DPO還需要具備良好的溝通協(xié)調(diào)甚至公關(guān)能力，對其所在的企業(yè)部門和組織機構(gòu)有充分的了解，對上，DPO應(yīng)向高層負責，提升高管的數(shù)據(jù)安全意識，保證其對企業(yè)面臨的隱私挑戰(zhàn)和數(shù)據(jù)泄露風險有所警醒；對下，DPO有義務(wù)組織員工培訓，開展法律法規(guī)教育，使數(shù)據(jù)合規(guī)得到每個人的重視；對外，DPO作為聯(lián)絡(luò)人還必須與監(jiān)管機構(gòu)、客戶乃至社會公眾媒體溝通交流。

此外，DPO還應(yīng)該能夠以獨立的方式行事。鑒于DPO應(yīng)當具備一定獨立性，因此在任職DPO時不得同時兼任CEO、COO、CFO、市場總監(jiān)、HR總監(jiān)、IT總監(jiān)等職位。另外，根據(jù)GDPR第38條，DPO可以履行其他任務(wù)和職責，但數(shù)據(jù)控制者和處理者應(yīng)保證這些任務(wù)和職責不會導致利益沖突。

這就意味著在GDPR合規(guī)性要求下，DPO的角色不能由CISO承擔，而根據(jù)其他規(guī)定，這種情況幾乎肯定也不會出現(xiàn)。它是一個介于法律、安全和IT之間的職位，需要對這三者都具備充分的認知。但是目前，除了個別最大的企業(yè)外，我們很難能夠看到全職DPO的身影。

虛擬安全官的角色

對于中小型企業(yè)——這些公司可能無法在有限的資金條件下尋找到合格的CISO，或是自己公司的CISO剛剛跳槽離開不得不立即尋找到合適人才填補空位——以及需要指定DPO但又不希望負擔全職費用的公司而言，虛擬安全官無疑是個很好的解決方案。

虛擬數(shù)據(jù)安全官（vDPO）是一個新興職位。這是一個由眾多機構(gòu)提供的服務(wù)，但目前還沒有經(jīng)驗豐富的vDPO。不過，虛擬信息安全官（vCISO）領(lǐng)域卻并不是這樣一番景象。舉個例子，在過去4年間，國際社會保障協(xié)會（ISSA）國際總裁Candy Alexander就一直在從事兼職vCISO的職務(wù)。據(jù)悉，她曾是一名聯(lián)邦政府承包商的CISO，并正準備升遷到一個新的職位，卻不幸在最后一刻落空。

當vCISO的概念開始發(fā)展之初，Alexander就把目光瞄準了該領(lǐng)域。在她看來，許多小型企業(yè)并沒有在任何層面上對安全進行投資，他們需要安全策略師——一個同時了解業(yè)務(wù)和安全的人——但可能并不希望以正式員工/全職（FTE）的方式實現(xiàn)。通過使用vCISO，這些企業(yè)就可以按小時或按項目進行支付，同時還能獲得高素質(zhì)、經(jīng)驗豐富的CISO人員，而無需考慮年終獎、獎金等額外支出問題。

而就vCISO自身而言，其能夠同時身兼數(shù)個公司的工作，獲取不低于全職的工資水平，還能享受靈活的辦公時間，且不需要處理復雜的員工關(guān)系，避免許多不必要的內(nèi)部斗爭。

不可否認，不必處理復雜的工作關(guān)系對于許多在職的CISO們具有很大的吸引力。CISO們經(jīng)常會被老板的命令壓得喘不過氣，被同事的某些行為刺激的火冒三丈，而“通勤”也成為壓垮他們的最后一根稻草。如今，越來越多的CISO已經(jīng)決意不再繼續(xù)忍受這種壓力，而出逃就任vCISO。

按照不同的工作模式，大致可以將vCISO工作分為三類：

1）空降模式——直接空降到公司，幫助其完成一個或一組特定的項目后離開；

2）兼職模式——有自己的全職工作，并在戰(zhàn)略層面上幫助他們，當把他們領(lǐng)上道后就將長期運營職務(wù)轉(zhuǎn)交給內(nèi)部人員負責；

3）咨詢模式——只作咨詢顧問服務(wù)。這些模式都允許vCISO可以同時服務(wù)多個客戶，賺取多份酬勞。

說到底，vCISO應(yīng)該是一名安全戰(zhàn)略家，而不是戰(zhàn)術(shù)家——戰(zhàn)略家，能著眼整個戰(zhàn)局，且擁有極強的宏觀意識和長遠的戰(zhàn)略目光，并能全面詳細正確的制定己方的戰(zhàn)略方針并能合理分配使用己方所持有力量與資源，從而引導斗爭的最后勝利；戰(zhàn)術(shù)家則更多的關(guān)注細節(jié)，長于局部分析，計較每一個環(huán)節(jié)和步驟，往往屬于實干——與企業(yè)在職雇員相比，vCISO的優(yōu)勢在于能夠戰(zhàn)略性、全局性地分析問題，不至輕易落入戰(zhàn)術(shù)陷阱中。但是，除非合同要求提供運營支持，否則一定要保持戰(zhàn)略性。另一個關(guān)鍵的成功因素是vCISO的認知廣度和個人網(wǎng)絡(luò)（也可稱為“人類網(wǎng)絡(luò)human network”）——咨詢同事可以使CISO變得更好，而對于vCISO來說，這也是至關(guān)重要的因素。

與全職CISO角色相比，虛擬安全官的一個重要區(qū)別是，不太需要了解組織的業(yè)務(wù)方面。雖然了解企業(yè)業(yè)務(wù)很重要，但對于vCISO而言，與其去了解客戶的業(yè)務(wù)，不如更多地去了解客戶所需運營的安全性、合規(guī)性以及監(jiān)管框架等內(nèi)容。

不需要了解組織業(yè)務(wù)內(nèi)容的原因還在于，大多數(shù)企業(yè)的運作方式基本相同。雖然每個商業(yè)領(lǐng)袖都會認為他們的業(yè)務(wù)是獨一無二的，但事實卻并非如此。一家公司與另一家公司可能存在差別，但業(yè)務(wù)就是業(yè)務(wù)，不論行業(yè)還是細分市場如何，網(wǎng)絡(luò)始終扮演著非常相似的角色，就是幫助企業(yè)實現(xiàn)擴張，或擴展到更大的公司和/或特定行業(yè)中（如醫(yī)療保健、能源等）。

但是這一點（不需要了解組織業(yè)務(wù)內(nèi)容）對于vDPO來說有點不同，因為監(jiān)管環(huán)境往往會對他們的決策產(chǎn)生更大的影響，所以你必須了解特定行業(yè)領(lǐng)域的背景——特別是醫(yī)療、金融或教育等領(lǐng)域。

除此之外，虛擬安全官還需要能夠理解和適應(yīng)不同的企業(yè)文化。在這個領(lǐng)域中，有些企業(yè)已經(jīng)領(lǐng)先一步實現(xiàn)了重視安全和風險管理的企業(yè)文化，還有一些企業(yè)并未實現(xiàn)這一步，成功的網(wǎng)絡(luò)領(lǐng)導者必須能夠理解和適應(yīng)這兩種文化。此外，虛擬安全官還需要能夠在兩個客戶端之間無縫切換，游刃有余地從一個客戶端切換到另一個客戶端。

虛擬安全官選擇指南

在某些情況下，虛擬安全官確實是一個很好的解決方案，但也并非總是所有組織的最佳選擇。如果法律要求組織必須指定一名CISO和/或DPO，則可以通過下述內(nèi)容決定自身究竟適合全職還是虛擬安全官：

1. 成本

對于那些需要專業(yè)指導，卻難以尋找、雇傭和負擔起傳統(tǒng)CISO的中小型企業(yè)來說，虛擬CISO是一個很好的解決方案。較小的組織已經(jīng)信任VAR（增值服務(wù)提供商）、MSP（管理服務(wù)提供商）和MSSP（托管安全服務(wù)提供商）等渠道合作伙伴，來幫助他們構(gòu)建IT解決方案。虛擬CISO是對這些專業(yè)知識的自然延伸，將解決方案架構(gòu)和技術(shù)服務(wù)與圍繞政策、合規(guī)性和報告方面的戰(zhàn)略領(lǐng)導相結(jié)合。

但是，過度地使用虛擬人員會迅速顛覆金融等式。我永遠不會向任何客戶推薦永久性地利用vCISO，其造成的長期成本非常高，而且如果一家公司有需求（合規(guī)需求或其他）為該職位指定人員，大可為該職位招聘一位長期、全職人員。

關(guān)鍵在于認識到何時使用虛擬安全官會實現(xiàn)最大的成本效益，而何時會面臨成本過高的情況。

2. 經(jīng)驗

大多數(shù)申請全職CISO角色的人，對該職位幾乎都沒有任何實際經(jīng)驗，而雇主通常也并不了解該職位需要具備何種能力，更是加劇了該問題的復雜性——許多公司需要CISO的原因僅僅是因為他們還沒有這樣一個角色。

大多數(shù)需要CISO的企業(yè)，實際上還并沒有意識到自己的真實需求，而對于那些確實已經(jīng)意識到自身需要CISO的企業(yè)來說，真正的困難在于明確自己究竟在尋找什么——這就是為什么一些CISO招聘廣告中會列出一些與之無關(guān)的技能、認證或框架。最后，企業(yè)確實也很難理解CISO究竟是什么——這可能會導致一些沒有生產(chǎn)力的成本浪費。

但是，如果企業(yè)選擇現(xiàn)有的且正在實踐中的vCISO，就幾乎可以確保他們具備良好的工作經(jīng)驗。運用這種模式的最大優(yōu)勢在于，您可以在最短的時間內(nèi)獲取到vCISO的最大價值——也就是所謂的“80/20規(guī)則”——簡單來說就是，你20%的付出（外聘vCISO）占你80%的利潤。

這是與“成本”相關(guān)的問題。如果一家公司需要CISO并且無法支付從其他公司“挖墻腳”的高昂費用，就可以選擇虛擬人員的路線。外聘vCISO甚至可以有一項輔助任務(wù)，即幫助企業(yè)培訓安全團隊的現(xiàn)有成員來長期擔任該職位。

3. 響應(yīng)的即時性

GDPR第37條規(guī)定允許vDPO的存在——“企業(yè)集團可以任命一個獨立的DPO，但應(yīng)確保各集團企業(yè)都能與DPO保證通暢的聯(lián)系”。由此可見，能夠隨時聯(lián)系到vCISO是非常必要的因素。vCISO必須隨時準備應(yīng)對危機情況，這些情況顯然無法預(yù)先安排。不可避免地，當意外發(fā)生時，該vCISO可能正在國外出差，雖然可以通過遠程操作完成相關(guān)任務(wù)，但這顯然并不是最理想的方式。

而如果該vCISO的兩名客戶，一個正在經(jīng)歷惡意軟件事件，另一個正在經(jīng)歷入侵者侵襲，那么她/他就會分身乏術(shù)。雖然一些事件可以遠程處理，但許多公司還是希望在遭遇意外事件時可以獲取專家的現(xiàn)場技術(shù)支持。

解決這一問題的方法可能是，堅持與虛擬人員簽訂服務(wù)水平協(xié)議（service level agreement，簡稱SLA）——即在一定開銷下為保障服務(wù)的性能和可靠性，服務(wù)提供商與用戶間定義的一種雙方認可的協(xié)定。通常這個開銷是驅(qū)動提供服務(wù)質(zhì)量的主要因素。一個完整的SLA同時也是一個合法的文檔，包括所涉及的當事人、協(xié)定條款、違約的處罰、費用和仲裁機構(gòu)、政策、修改條款、報告形式和雙方的義務(wù)等。歸根結(jié)底，響應(yīng)即時性應(yīng)該是虛擬安全官需要解決的問題，而不是承包雇傭公司。

4. 忠誠度

雖然承包雇主可能會擔心虛擬安全官對公司的忠誠度，但這可能并不是一個問題。因為虛擬安全官的職業(yè)生涯將取決于現(xiàn)有客戶和過去客戶的客觀評價，為了獲取更好地客戶體驗度，他們也會像全職雇員一樣不遺余力地努力著。

但是，如果該虛擬安全官是第三方公司（如管理服務(wù)提供商MSP或托管安全服務(wù)提供商MSSP）的永久雇員，這時候忠誠度可能就是一個問題了。因為對雇主的忠誠可能會導致業(yè)績壓力。這究竟是怎么一回事呢？

當然，MSSP可以扮演vCISO的角色，這時候就需要格外小心了。我曾經(jīng)見過很多這類“增量銷售”——根據(jù)既有客戶過去的消費喜好，提供更高價值的產(chǎn)品或服務(wù)，刺激客戶做更多的消費——產(chǎn)品或服務(wù)的案例。我建議如果有人想要簽訂vCISO合同，一定要先確保該vCISO所在公司不是一家產(chǎn)品經(jīng)銷商，并將合同內(nèi)容限制在vCISO服務(wù)范圍內(nèi)——不向其他公司獲取任何其他咨詢服務(wù)，避免任何隱藏消費項目的存在。

未來幾年，想要尋找獨立的虛擬安全官可能會變得更加困難。而越來越多的咨詢公司和服務(wù)提供商可能會在未來幾年內(nèi)增加“虛擬安全官雇傭”服務(wù)。這對于傳統(tǒng)的MSP或MSSP而言可能是一個增長領(lǐng)域。同時受益的還有IT顧問，他們希望通過專業(yè)服務(wù)和技術(shù)服務(wù)來擴展自身的服務(wù)組合。

5. 一個或兩個職位？

最后一個考慮因素是，是否可以將一名虛擬安全官同時作為vCISO和vDPO。如果這些職位是永久性的/全職的，則需要分別設(shè)立兩個職位才能符合GDPR法規(guī)要求。根據(jù)GDPR規(guī)定，vDPO必須能夠獨立行事——在職業(yè)崗位方面，安全與合規(guī)之間的利益沖突可能性很大。

但是，單考慮兼職性質(zhì)的虛擬安全官就不會存在這種問題，vCISO可能也可以充當vDPO。在具體實踐中，單個虛擬人員可能會比兩名獨立的虛擬人員更容易找到適合企業(yè)的最佳路徑，因為兩名虛擬人員各自有各自的優(yōu)先事項，無法實現(xiàn)一名虛擬人員的全局性、整體性思維。但是，針對究竟應(yīng)該設(shè)立一名還是兩名虛擬安全官的問題而言，最重要的還是要考慮一名虛擬安全官是否同時具備兩個角色所需的知識范疇。