虚拟首席信息安全官的案例

Nicolson Bray顾问主管Bob Nicolson指出，当今的组织面临着日益严峻的网络安全威胁与缺乏内部专业知识来应对挑战的危险组合。较小的公司通常将信息安全责任分配给运营或财务团队的成员，并赋予IT技术网络安全责任。在大多数情况下，这些责任不属于所分配的个人主要角色，从而导致围绕优先次序和利益冲突的问题。

因此，现在通常可以理解，如果公司要充分保护自己免受网络安全威胁的影响，则必须由个人或团队单独负责网络安全。没有这些，组织就常常难以解决构成完整的网络安全框架的相互联系的技术，物理和人员控制的复杂性。

除此之外，还需要有人制定战略安全计划，领导网络安全风险减少活动并在董事会一级提供有意义的报告：这是首席信息安全官（CISO）的职责

招聘CISO

与许多网络安全角色一样，尽管对CISO的需求每天都在增长，但经验丰富且合格的个人的供应却非常有限。自信息系统安全协会谈到信息安全的“缺失一代”以来，已经有很多年了，据指出，该领域估计有30万至100万个空缺的网络安全工作。

此外，保留经验丰富的CISO可能极具挑战性-根据Ponemon的一项研究，高级安全主管平均在工作仅30个月后就离开。

在为您的公司寻找CISO时，所有这些都会带来一些严重的问题。当然，当您没有适当评估CISO所需的安全经验时，要确定某人是否适合您的业务就存在挑战。

输入虚拟CISO

“出租” CISO可能是答案。实际上，签约虚拟CISO可能比雇用全职员工要有效得多。使用虚拟CISO，无需担心收益或每月开销。

对于较小的公司而言，当您可以聘请虚拟CISO并获得制定战略概述并提供全局所需的全部技能时，投资全职CISO根本没有任何意义。

大型组织通常还需要有人临时介入。也许是为您的内部安全团队提供监督和建议，或者只是确保您只为需要的东西付费。

合格的虚拟CISO将完全掌握最新的最佳实践，他们在处理各种场景方面具有丰富的经验，并且可以很好地培训内部人员。

他们可以在您最需要的地方进行填写，从而帮助您的CIO创建或查看您的安全策略，准则和标准。从掌握安全标准或FCA合规性到保持对Portfolio Assets的网络安全风险评估保持领先地位，这可能需要采取任何措施。

虚拟的CISO可能是无价的，不要等到发生违规行为时-预防总比治愈好。