2021年3月1日
2021年3月1日
贡献者:Robert Snow
认识到安全领导者的价值,但负担不起传统CISO的组织应该考虑虚拟选择。
目前的现金薪酬总额在20.8万美元至33.7万美元之间,招聘首席信息安全官(CISO)可能不太合适预算对于小型或中型组织,特别是那些没有严格监管的组织。
与此同时,这些组织认识到越来越重要的战略,并有一个领导负责项目创建和指导。
“对于这样的组织来说,好消息是Gartner已经看到了我们所说的‘虚拟首席信息官’产品的增加,”副总裁顾问杰弗里·惠特曼(Jeffrey Wheatman)说。“对于那些需要填补领导力需求,但又无法聘请全职且通常成本非常高的合格CISO的组织来说,虚拟CISO——员工扩充、顾问、顾问和战略家的结合——可能是一种选择。”
这并不是说,没有组织会用一些短视的合理解释来捍卫他们缺乏领导者的事实。看看四种最常见的合理化解释是很有用的,这有助于说明为什么小型企业应该认真考虑引入虚拟CISO角色。
是的但你也不能幸免不受监管的组织可能没有义务为CISO职位配备人员;然而,这并不意味着它在实现业务目标的过程中没有需要管理的风险。拥有一个规划领导者,以及相关的治理和战略愿景,也提供了可防御性。
也许吧,但你也不是一座孤岛。WannaCry和Petya/NotPetya等大规模勒索软件攻击的急剧增加,意味着没有人能免受攻击。此外,数字商业生态系统的连接性不断增强,也扩大了企业风险,因此,虽然您的组织可能不是目标,但您的合作伙伴可能是目标。
你确定——绝对确定?如果你没有客户,没有员工,没有知识产权,没有业务流程,没有股东或利益相关者,这种观点可能是正确的——但这也意味着你没有企业。
小心——这充其量只是权宜之计。理论上,这种战术方法可能在短期内有效,但作为长期方法,将过度强调工具和战术,而对人员和过程不够重视。
工程师、架构师和管理员拥有管理技术成果的特定技能和责任。在实践中,您需要一个专门的、专注的角色来指导项目,并随着时间的推移,确保向更具战略意义的方法的转变,这种方法可以与具有适当级别的业务上下文的业务领导进行沟通。
惠特曼表示:“虚拟首席信息官可以置身于战略性的日常活动之外,提供帮助。”“从那里,他们可以提供愿景和指导,以推动一种更纲领性的方法,明确项目的范围。然后开始转向更多积极的方法安全和风险管理。”
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
你是否可以,是否应该引入一个虚拟的CISO?作者:杰弗里·惠特曼等。
*请注意,有些文档可能不是所有Gartner客户都能获得。