你需要一个虚拟的CISO吗?

目前的现金薪酬总额在20.8万美元至33.7万美元之间，招聘首席信息安全官(CISO)可能不太合适预算对于小型或中型组织，特别是那些没有严格监管的组织。

与此同时，这些组织认识到越来越重要的战略，并有一个领导负责项目创建和指导。

“对于这样的组织来说，好消息是Gartner已经看到了我们所说的‘虚拟首席信息官’产品的增加，”副总裁顾问杰弗里·惠特曼(Jeffrey Wheatman)说。“对于那些需要填补领导力需求，但又无法聘请全职且通常成本非常高的合格CISO的组织来说，虚拟CISO——员工扩充、顾问、顾问和战略家的结合——可能是一种选择。”

阅读更多:Gartner 2020-2021年十大安全项目

在最基本的层面上，虚拟CISO产品混合了:

1. 传统员工扩充，包括在会议、活动、运营和战略规划中现场或虚拟存在
2. 谘询参与及管理驱动安全和风险项目工件的创建和实现，例如战略和战术路线图、架构和策略，并运行风险管理和风险评估过程
3. 项目管理架构和部署安全和风险解决方案
4. 辅导或咨询服务培训全职员工如何利用创建的工件，制定沟通计划，并培训下一代安全和风险领导者

这并不是说，没有组织会用一些短视的合理解释来捍卫他们缺乏领导者的事实。看看四种最常见的合理化解释是很有用的，这有助于说明为什么小型企业应该认真考虑引入虚拟CISO角色。

“我们没有受到监管，所以我们不需要首席信息官。”

是的但你也不能幸免不受监管的组织可能没有义务为CISO职位配备人员;然而，这并不意味着它在实现业务目标的过程中没有需要管理的风险。拥有一个规划领导者，以及相关的治理和战略愿景，也提供了可防御性。

“我们很小，我们不是目标。”

也许吧，但你也不是一座孤岛。WannaCry和Petya/NotPetya等大规模勒索软件攻击的急剧增加，意味着没有人能免受攻击。此外，数字商业生态系统的连接性不断增强，也扩大了企业风险，因此，虽然您的组织可能不是目标，但您的合作伙伴可能是目标。

“我们没有任何人想要的东西。”

你确定——绝对确定?如果你没有客户，没有员工，没有知识产权，没有业务流程，没有股东或利益相关者，这种观点可能是正确的——但这也意味着你没有企业。

“我们雇不起一个CISO，所以我们会让工程师(或架构师、管理员或系统管理员)来负责安全。”

小心——这充其量只是权宜之计。理论上，这种战术方法可能在短期内有效，但作为长期方法，将过度强调工具和战术，而对人员和过程不够重视。

工程师、架构师和管理员拥有管理技术成果的特定技能和责任。在实践中，您需要一个专门的、专注的角色来指导项目，并随着时间的推移，确保向更具战略意义的方法的转变，这种方法可以与具有适当级别的业务上下文的业务领导进行沟通。

惠特曼表示:“虚拟首席信息官可以置身于战略性的日常活动之外，提供帮助。”“从那里，他们可以提供愿景和指导，以推动一种更纲领性的方法，明确项目的范围。然后开始转向更多积极的方法安全和风险管理。”