你為什么需要一個虛擬的首席信息安全官

這是晚上8點。，你懷疑你的公司系統(tǒng)被黑了。你知道該怎么做嗎?

IT World Canada (ITWC)的CIO Jim Love在最近的一次網(wǎng)絡(luò)研討會上說:“對于一個沒有適當(dāng)政策的公司來說，這是一場噩夢?！笔聦嵣希幽么箅[私專員最近的一項調(diào)查發(fā)現(xiàn)，十分之四的公司沒有應(yīng)對安全漏洞的政策。

考慮到加拿大即將實施的新規(guī)定，這是個問題。從11月1日起，《個人信息保護和電子文件法》(PIPEDA)將要求公司報告可能造成重大損害的涉及個人信息的違規(guī)行為。他們還必須保留所有違規(guī)記錄。

“你需要證明你已經(jīng)做了盡職調(diào)查，你知道你的信息在哪里，你已經(jīng)采取了措施來緩解漏洞，”邁克爾·鮑爾(Michael Ball)說，他是一名虛擬的首席信息安全官，在Performance Advantage工作?！叭绻阕霾坏竭@一點，人們就會群起而攻之?！?/p>

Ball說，雇傭一個虛擬的首席信息安全官(vCISO)可能是解決方案，特別是對于那些負擔(dān)不起雇傭全職專家的中小型公司來說。

您的安全計劃需要包括哪些內(nèi)容

為了遵守這些規(guī)定，公司需要做的第一件事就是找到并分類它所保存的所有個人數(shù)據(jù)。該公司還必須建立檢測和記錄違規(guī)行為的機制。

洛夫說，最基本的要求是確保有適當(dāng)?shù)恼吆统绦?，闡明一旦發(fā)生違約應(yīng)采取的步驟。這應(yīng)該包括一個計劃，如何處理最初的發(fā)現(xiàn)和報告的違反，評估是否影響個人信息，步驟，以遏制和消除威脅，計劃恢復(fù)和事后學(xué)習(xí)的情況。詳細的溝通計劃是另一個重要組成部分。

最后，公司需要定期測試和更新他們的計劃，并為員工提供持續(xù)的培訓(xùn)?！叭绻阏J為自己可以在這些政策上游刃有余地，那就再想想吧，”洛夫說。“如果你不能把它們拿給隱私專員看，那你就有大麻煩了?！?/p>

一個虛擬的CISO如何幫助

公司意識到他們需要一個管理角色以及隱私專家,說球,指出CIO和IT經(jīng)理可能沒有這個技能。虛擬CISO與一個公司合作,可以把所有這些必需的元素發(fā)生反應(yīng)計劃的地方,或只是為你處理它。更重要的是，一個虛擬的CISO由一群訓(xùn)練有素、經(jīng)驗豐富的專家組成，他們的技能很難找到?！?/p>

您對虛擬CISO有什么期望?Ball說，在最初的30天里，他們應(yīng)該進行評估和面試，看看你有什么合適的程序，他們是如何工作的。他們將找出差距并采取措施加以解決。他們也會為你的組織制定一個長期的計劃。

在60天內(nèi)，虛擬CISO將為您建立一個信息安全政策框架，Ball說。他們將與您一起實施新的安全措施、訪問管理和事件響應(yīng)程序。還將建立季度指標(biāo)來評估正在進行的進展。

鮑爾說:“新的隱私規(guī)定將影響所有公司，無論其規(guī)?；蛐袠I(yè)?！薄八械墓径夹枰粋€稱職的CISO和事故響應(yīng)計劃?！?/p>