你为什么需要一个虚拟的首席信息安全官

这是晚上8点。，你怀疑你的公司系统被黑了。你知道该怎么做吗?

IT World Canada (ITWC)的CIO Jim Love在最近的一次网络研讨会上说:“对于一个没有适当政策的公司来说，这是一场噩梦。”事实上，加拿大隐私专员最近的一项调查发现，十分之四的公司没有应对安全漏洞的政策。

考虑到加拿大即将实施的新规定，这是个问题。从11月1日起，《个人信息保护和电子文件法》(PIPEDA)将要求公司报告可能造成重大损害的涉及个人信息的违规行为。他们还必须保留所有违规记录。

“你需要证明你已经做了尽职调查，你知道你的信息在哪里，你已经采取了措施来缓解漏洞，”迈克尔·鲍尔(Michael Ball)说，他是一名虚拟的首席信息安全官，在Performance Advantage工作。“如果你做不到这一点，人们就会群起而攻之。”

Ball说，雇佣一个虚拟的首席信息安全官(vCISO)可能是解决方案，特别是对于那些负担不起雇佣全职专家的中小型公司来说。

您的安全计划需要包括哪些内容

为了遵守这些规定，公司需要做的第一件事就是找到并分类它所保存的所有个人数据。该公司还必须建立检测和记录违规行为的机制。

洛夫说，最基本的要求是确保有适当的政策和程序，阐明一旦发生违约应采取的步骤。这应该包括一个计划，如何处理最初的发现和报告的违反，评估是否影响个人信息，步骤，以遏制和消除威胁，计划恢复和事后学习的情况。详细的沟通计划是另一个重要组成部分。

最后，公司需要定期测试和更新他们的计划，并为员工提供持续的培训。“如果你认为自己可以在这些政策上游刃有余地，那就再想想吧，”洛夫说。“如果你不能把它们拿给隐私专员看，那你就有大麻烦了。”

一个虚拟的CISO如何帮助

公司意识到他们需要一个管理角色以及隐私专家,说球,指出CIO和IT经理可能没有这个技能。虚拟CISO与一个公司合作,可以把所有这些必需的元素发生反应计划的地方,或只是为你处理它。更重要的是，一个虚拟的CISO由一群训练有素、经验丰富的专家组成，他们的技能很难找到。”

您对虚拟CISO有什么期望?Ball说，在最初的30天里，他们应该进行评估和面试，看看你有什么合适的程序，他们是如何工作的。他们将找出差距并采取措施加以解决。他们也会为你的组织制定一个长期的计划。

在60天内，虚拟CISO将为您建立一个信息安全政策框架，Ball说。他们将与您一起实施新的安全措施、访问管理和事件响应程序。还将建立季度指标来评估正在进行的进展。

鲍尔说:“新的隐私规定将影响所有公司，无论其规模或行业。”“所有的公司都需要一个称职的CISO和事故响应计划。”