美國信息安全咨詢公司IANS Research開發出一套模型,旨在幫助首席信息安全官維持其職業發展前景:具體而言,即“跨越時間與空間實現關鍵性資產保護。”
這套名為CISO Impact的模型基于兩項基礎性能力:技術卓越性與組織參與性。前者涉及從訪問控制到事件響應的八個領域; 而后者則包括從業務信息安全到控制業務部門可承擔風險的七項因素。
這套模型結合有來自1200多位高水平CISO與信息安全團隊的洞察結論,IANS對相關信息加以整理并匯總出這份《高水平CISO獲得成功的五個秘密》報告。
IANS Research公司首席研究官Stan Dolberg表示,“互聯網世界可謂危機四伏,因此CISO及其團隊必須引導所在組織機構采取安全的商業實踐方案。但是,眾多CISO仍然面臨著一系列挑戰。CISO Impact診斷方案能夠為CISO提供多種獨特方案,旨在以具體方法確定信息安全領導技能——這些技能廣泛見于企業的成熟發展曲線當中。我們的目標是提供相關信息、背景參考與優先級判斷指標,用于指導在哪些技能、實踐與技術層面進行投資。在這種強有力的指引之下,CISO將能夠更有針對性地繪制適合自己的領導路線。”
簡而言之,這份報告的目標在于通過高水平CISO們已經采用的方法以幫助工作成效不佳之CISO的實施成果。實現職業成功的這五項秘密分別為:
不以權威作為領導依據
積極扮演變更代理的角色
不要坐等管理層要求,而應主動引導
建立起一套具備凝聚力的網絡領導體系
全面的成效與影響需要五到七年的實現周期 這些“秘密”中的每一項都在報告中進行了具體探討,并擁有統計研究證據作為支持。例如,100%的高效CISO在管理中并非通過權威施壓,而采取“說服、談判、沖突管理、溝通、教育”等方式處理問題。相比之下,只有3%的低效CISO能夠在這方面取得成功。
根據報告闡述,第二項“秘密”為“高水平的CISO們了解參與并推動變革的價值。根據CISO Impact列舉的數據,在4位高效CISO中有3位采取這一處理態度。但在20名低效CISO中,采取這一態度的從業者只占1位。要積極接納這一角色,從業者需要了解業務、了解自身并隨時準備實施轉變。”
第三項秘密在高效CISO中的采用比例相對較低。“根據CISO Impact數據集顯示,超過半數高效CISO不會坐等高管團隊自動意識到安全性的重要意義。他們會利用模擬等方式產生失落或者妥協等情感體驗,而這正是建立起有吸引力的管理團隊的根本所在。相比之下,只有不到1%的低效CISO會采取這種方式。”
在第四項秘密中,“高效CISO會耐心地組建并訓練整個網絡管理體系及其相關文化,而不僅著眼于單一團隊。85%的高效CISO采用這種方法,而低效CISO的采用比例僅有1.4%。”
第五項秘密提醒從業者不要寄希望于快速實現方案。報告指出,“作為建立起信任關系、項目結構、相關團隊以及立足于信息安全基礎的信息安全價值點的對應時間周期,五到七年可以算是比較現實的時間框架。”
以上五項秘密為有意改善企業安全與CISO職業發展的從業者提供了極好的建議。然而作為一項獨立研究成果,這份報告仍然存在幾個問題。首先是如何判斷高效CISO與低效CISO之間的區別。其次是,某些企業較另一些企業更容易成就高水平CISO。
Martin Zinaich(擁有CSSLP、CRISC、CISSP、CISA以及CISM等認證)為美國佛羅里達州坦帕市信息安全官,他評論稱:“絕對不能以權威作為領導依據——這項結論可謂千真萬確!大家必須立足技術與業務的有機結合實現這項目標。”他同時指出,“這項研究顯示,60%的高水平安全領導者同時扮演風險與商業管理角色(即擁有權威)——而95%的低效CISO需要向CIO進行報告(即不具備權威)。這兩項統計顯示了一項簡單的現實,即管理者事實上很難在不具備權限的情況下執行領導工作。根據我的實際經驗,幾乎每一家非技術安全企業的CISO都不具備對應權限以執行違規后處理、監管監督或者同審計部門間的協作工作。”
另外值得強調的是,研究統計中的一部分低效CISO完全有可能在其它企業中配合更為充實的資源及/或更為開明的高管團隊以轉化為高效CISO。
類似的問題在第五項秘密中亦有所體現; 具體來講,“全面的成效與影響大約需要五到七年的實現周期”。事實上,幾乎沒有多少CISO能夠在同一職位上效力這么多年——只有少數已經在具備安全意識的企業中占據高位的高效CISO才能滿足這項條件。
不過,雖然這些關注指標只影響到高效與低效安全領導者間的統計性差異,但這五項秘密中所包含的基本條件仍然值得任何希望更好保護所在企業并提升自身職業潛力的CISO所認真考量。
IANS Research公司稱,《高水平CISO獲得成功的五個秘密》將在下周召開的RSA大會上正式發布。
京公網安備 11010502049343號