高水平的CISO具備什么樣的能力？他們的能力如何評估？IANS Research開發的CISO影響力（CISO Impact）模型，也許可以揭示成功的CISO背后的秘密。

CISO影響力模型簡介

CISO影響力模型，是IANS在2014年開發的一個研究框架，用以調查研究高效的信息安全團隊。IANS基于CISO影響力模型的上萬個數據點，在2015年推出了CISO影響力模型2.0。

這個模型聚焦CISO的兩大基本能力：技術能力和組織參與度。其中，技術能力包含8個領域，分別是配置與數據保護、軟件與供應商安全、訪問控制、安全意識及培訓、分析與檢測、防御、事件響應、恢復；組織參與度包含7個因素，分別是掌握資產相關事實、讓業務主管承擔風險責任、將信息安全融入關鍵流程、將信息安全作為業務運行、建設一支高技術高業務能力團隊、傳遞信息安全的價值、積極組織安排。

IANS基于此模型并結合1200多名高水平CISO和信息安全團隊的意見，撰寫了一篇名為《高水平CISO的5大秘密》（The 5 Secrets of High-Performing CISOs）的報告。該報告細節將在本周的RSA大會上呈現。

IANS Research的首席研究員Stan Dolberg表示，互聯的世界很危險。因此，CISO和他們的團隊必須帶領其所在企業，采用安全的業務實踐。但是，許多CISO的權力和影響力較小，這點仍是眼下我們面臨的挑戰。CISO影響力模型，以特定方式，為CISO彰顯企業中常見的信息安全領導能力，使其職業發展領先他人。其目標是，讓用戶了解應在何處加強其技能、實踐和技術，并進行情景化和優先級排布。有了這一強大的指南，CISO可將自己的領導力提升至巔峰。

報告概覽

簡單來說，這篇報告時為了幫助表現欠佳的CISO們，學習高水平CISO的方法，以提升自身的能力。以下，就是成功CISO們的五大秘密：

無權力，仍領導

承擔改革推動者的角色

主動融入團體

建設團結的網絡骨干力量

獲得高影響力，需5-7年

上述每個“秘密”在報告中都有詳細討論，并有研究數據支持。比如，100%的高水平CISO在沒有權力的情況下，依然堅持領導，他們采用的方法是“勸說、協商、沖突管理、交流和教育。”只有3%的低水平CISO在這一項獲得成功。

關于第二個“秘密”，該報告稱，表現優異的CISO了解致力于推動變革所能創造的價值。在CISO影響力的數據中，3/4表現優異的CISO接受了這種方法，而表現欠佳的CISO中只有1/20做到。要接受這一角色，了解業務，了解自己，準備好創造和改變。

第三個秘密并沒有很廣泛地被高水平CISO采用。CISO影響力數據集中表現優異的CISO中，一半以上都不是等待領導層去頓悟安全的重要性。他們采用模擬等方法，讓領導層體會企業遭受重大損失時他們會有的感受。只有不到1%的低水平CISO有類似的做法。

第四個秘密中，高水平的CISO不僅僅會耐心地建立和培訓一個團隊，他們會培養網絡骨干力量。85%的高水平CISO都采用了這種方法，而僅有1.4%的低水平CISO做到了。

第五個秘密告訴我們，成功沒有捷徑。五至七年是一個門檻，越過這個門檻才能建立信任、制定流程、組建團隊，并將信息安全的價值提升至被全面接受的狀態。

不足之處

這五個秘密為提高企業安全、幫助CISO職業發展提供了絕佳的建議。但是，作為一項獨立研究，這篇報告還是存在一些問題的。第一是，高水平（high performer）和低水平（low performer）之間的區分。第二是，在不同企業當中成為高水平CISO的難易程度并不一致。

坦帕市信息安全官Martin Zinaich評論道，“無權力，仍領導”說得很對。無論從技術，還是從組織業務完整性的角度，都必須這么做。但是，這項研究顯示，60%的高水平CISO是向風險和業務主管匯報，這些人是有權力的；而95%的低水平CISO向CIO匯報，這些人是沒有權力的。這兩項數據恰恰表明，沒有權力是很難領導的。

另一個問題在于，一些低水平的CISO到了不同的企業，擁有了更多資源，或者領導層的接受能力比較強，他們的表現可能會有不同。

第五個秘密也有類似的問題，即“獲得高影響力，需5-7年”。事實上，很少有CISO會在一個職位上待那么久，可能只有所在公司安全意識高、所在職位前景很好的高水平CISO才會這么做。

不過，這些問題只會影響高低水平CISO的統計差異。上述五個秘密當中包含的道理，對于任何想要更好地維護企業安全、提升職業潛力的CISO來說，都是很好的建議。

IANS Research的這篇報告將在本周的RSA會議上展示，有興趣的同學可以關注。

*參考來源：securityweek，FB小編kuma編譯，轉載請注明來自FreeBuf.COM