成为高水平CISO的5大秘密，将在RSA揭晓 | RSA 2017专题

高水平的CISO具备什么样的能力？他们的能力如何评估？IANS Research开发的CISO影响力（CISO Impact）模型，也许可以揭示成功的CISO背后的秘密。

CISO影响力模型简介

CISO影响力模型，是IANS在2014年开发的一个研究框架，用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点，在2015年推出了CISO影响力模型2.0。

这个模型聚焦CISO的两大基本能力：技术能力和组织参与度。

其中，技术能力包含8个领域，分别是配置与数据保护、软件与供应商安全、访问控制、安全意识及培训、分析与检测、防御、事件响应、恢复；组织参与度包含7个因素，分别是掌握资产相关事实、让业务主管承担风险责任、将信息安全融入关键流程、将信息安全作为业务运行、建设一支高技术高业务能力团队、传递信息安全的价值、积极组织安排。

IANS基于此模型并结合1200多名高水平CISO和信息安全团队的意见，撰写了一篇名为《高水平CISO的5大秘密》（The 5 Secrets of High-Performing CISOs）的报告。该报告细节将在本周的RSA大会上呈现。

IANS Research的首席研究员Stan Dolberg表示，互联的世界很危险。因此，CISO和他们的团队必须带领其所在企业，采用安全的业务实践。但是，许多CISO的权力和影响力较小，这点仍是眼下我们面临的挑战。

CISO影响力模型，以特定方式，为CISO彰显企业中常见的信息安全领导能力，使其职业发展领先他人。其目标是，让用户了解应在何处加强其技能、实践和技术，并进行情景化和优先级排布。有了这一强大的指南，CISO可将自己的领导力提升至巅峰。

报告概览

简单来说，这篇报告时为了帮助表现欠佳的CISO们，学习高水平CISO的方法，以提升自身的能力。以下，就是成功CISO们的五大秘密：

无权力，仍领导 承担改革推动者的角色 主动融入团体 建设团结的网络骨干力量 获得高影响力，需5-7年

上述每个“秘密”在报告中都有详细讨论，并有研究数据支持。比如，100%的高水平CISO在没有权力的情况下，依然坚持领导，他们采用的方法是“劝说、协商、冲突管理、交流和教育。”只有3%的低水平CISO在这一项获得成功。

关于第二个“秘密”，该报告称，表现优异的CISO了解致力于推动变革所能创造的价值。在CISO影响力的数据中，3/4表现优异的CISO接受了这种方法，而表现欠佳的CISO中只有1/20做到。要接受这一角色，了解业务，了解自己，准备好创造和改变。

第三个秘密并没有很广泛地被高水平CISO采用。CISO影响力数据集中表现优异的CISO中，一半以上都不是等待领导层去顿悟安全的重要性。

他们采用模拟等方法，让领导层体会企业遭受重大损失时他们会有的感受。只有不到1%的低水平CISO有类似的做法。

第四个秘密中，高水平的CISO不仅仅会耐心地建立和培训一个团队，他们会培养网络骨干力量。85%的高水平CISO都采用了这种方法，而仅有1.4%的低水平CISO做到了。

第五个秘密告诉我们，成功没有捷径。五至七年是一个门槛，越过这个门槛才能建立信任、制定流程、组建团队，并将信息安全的价值提升至被全面接受的状态。

不足之处

这五个秘密为提高企业安全、帮助CISO职业发展提供了绝佳的建议。但是，作为一项独立研究，这篇报告还是存在一些问题的。

第一是，高水平（high performer）和低水平（low performer）之间的区分。第二是，在不同企业当中成为高水平CISO的难易程度并不一致。

坦帕市信息安全官Martin Zinaich评论道，“无权力，仍领导”说得很对。无论从技术，还是从组织业务完整性的角度，都必须这么做。

但是，这项研究显示，60%的高水平CISO是向风险和业务主管汇报，这些人是有权力的；而95%的低水平CISO向CIO汇报，这些人是没有权力的。这两项数据恰恰表明，没有权力是很难领导的。

另一个问题在于，一些低水平的CISO到了不同的企业，拥有了更多资源，或者领导层的接受能力比较强，他们的表现可能会有不同。

第五个秘密也有类似的问题，即“获得高影响力，需5-7年”。事实上，很少有CISO会在一个职位上待那么久，可能只有所在公司安全意识高、所在职位前景很好的高水平CISO才会这么做。

不过，这些问题只会影响高低水平CISO的统计差异。上述五个秘密当中包含的道理，对于任何想要更好地维护企业安全、提升职业潜力的CISO来说，都是很好的建议。

IANS Research的这篇报告将在本周的RSA会议上展示，有兴趣的同学可以关注。