【RSA 2017專題】成為高水平CISO的5大秘密,將在RSA揭曉

高水平的CISO具備什麼樣的能力?他們的能力如何評估?IANS Research開發的CISO影響力(CISO Impact)模型,也許可以揭示成功的CISO背後的秘密。

CISO影響力模型簡介

CISO影響力模型,是IANS在2014年開發的一個研究框架,用以調查研究高效的信息安全團隊。IANS基於CISO影響力模型的上萬個數據點,在2015年推出了CISO影響力模型2.0。

這個模型聚焦CISO的兩大基本能力:技術能力和組織參與度。其中,技術能力包含8個領域,分別是配置與數據保護、軟體與供應商安全、訪問控制、安全意識及培訓、分析與檢測、防禦、事件響應、恢復;組織參與度包含7個因素,分別是掌握資產相關事實、讓業務主管承擔風險責任、將信息安全融入關鍵流程、將信息安全作為業務運行、建設一支高技術高業務能力團隊、傳遞信息安全的價值、積極組織安排。

IANS基於此模型並結合1200多名高水平CISO和信息安全團隊的意見,撰寫了一篇名為《高水平CISO的5大秘密》(The 5 Secrets of High-Performing CISOs)的報告。該報告細節將在本周的RSA大會上呈現。

IANS Research的首席研究員Stan Dolberg表示,互聯的世界很危險。因此,CISO和他們的團隊必須帶領其所在企業,採用安全的業務實踐。但是,許多CISO的權力和影響力較小,這點仍是眼下我們面臨的挑戰。CISO影響力模型,以特定方式,為CISO彰顯企業中常見的信息安全領導能力,使其職業發展領先他人。其目標是,讓用戶了解應在何處加強其技能、實踐和技術,並進行情景化和優先順序排布。有了這一強大的指南,CISO可將自己的領導力提升至巔峰。

報告概覽

簡單來說,這篇報告時為了幫助表現欠佳的CISO們,學習高水平CISO的方法,以提升自身的能力。以下,就是成功CISO們的五大秘密:

無權力,仍領導

承擔改革推動者的角色

主動融入團體

建設團結的網路骨幹力量

獲得高影響力,需5-7年

上述每個「秘密」在報告中都有詳細討論,並有研究數據支持。比如,100%的高水平CISO在沒有權力的情況下,依然堅持領導,他們採用的方法是「勸說、協商、衝突管理、交流和教育。」只有3%的低水平CISO在這一項獲得成功。

關於第二個「秘密」,該報告稱,表現優異的CISO了解致力於推動變革所能創造的價值。在CISO影響力的數據中,3/4表現優異的CISO接受了這種方法,而表現欠佳的CISO中只有1/20做到。要接受這一角色,了解業務,了解自己,準備好創造和改變。

第三個秘密並沒有很廣泛地被高水平CISO採用。CISO影響力數據集中表現優異的CISO中,一半以上都不是等待領導層去頓悟安全的重要性。他們採用模擬等方法,讓領導層體會企業遭受重大損失時他們會有的感受。只有不到1%的低水平CISO有類似的做法。

第四個秘密中,高水平的CISO不僅僅會耐心地建立和培訓一個團隊,他們會培養網路骨幹力量。85%的高水平CISO都採用了這種方法,而僅有1.4%的低水平CISO做到了。

第五個秘密告訴我們,成功沒有捷徑。五至七年是一個門檻,越過這個門檻才能建立信任、制定流程、組建團隊,並將信息安全的價值提升至被全面接受的狀態。

不足之處

這五個秘密為提高企業安全、幫助CISO職業發展提供了絕佳的建議。但是,作為一項獨立研究,這篇報告還是存在一些問題的。第一是,高水平(high performer)和低水平(low performer)之間的區分。第二是,在不同企業當中成為高水平CISO的難易程度並不一致。

坦帕市信息安全官Martin Zinaich評論道,「無權力,仍領導」說得很對。無論從技術,還是從組織業務完整性的角度,都必須這麼做。但是,這項研究顯示,60%的高水平CISO是向風險和業務主管彙報,這些人是有權力的;而95%的低水平CISO向CIO彙報,這些人是沒有權力的。這兩項數據恰恰表明,沒有權力是很難領導的。

另一個問題在於,一些低水平的CISO到了不同的企業,擁有了更多資源,或者領導層的接受能力比較強,他們的表現可能會有不同。

第五個秘密也有類似的問題,即「獲得高影響力,需5-7年」。事實上,很少有CISO會在一個職位上待那麼久,可能只有所在公司安全意識高、所在職位前景很好的高水平CISO才會這麼做。

不過,這些問題只會影響高低水平CISO的統計差異。上述五個秘密當中包含的道理,對於任何想要更好地維護企業安全、提升職業潛力的CISO來說,都是很好的建議。

IANS Research的這篇報告將在本周的RSA會議上展示,有興趣的同學可以關注。

*參考來源:securityweek,FB小編kuma編譯,轉載請註明來自FreeBuf.COM


推薦閱讀:

新手必看:黑客入門技能表
又遇偽基站釣魚,這一次,我想做個英雄
SecWiki周刊(第172期)
Apache爆「OptionsBleed」出血漏洞,設置不當可導致內存信息泄漏
apache特性繞過雲鎖sql注入防護

TAG:互联网 | 信息安全 |