转载

【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓

高水平的CISO具备什么样的能力?他们的能力如何评估?IANS Research开发的 CISO影响力CISO Impact )模型,也许可以揭示成功的CISO背后的秘密。

CISO影响力 模型简介

【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓

CISO影响力模型,是IANS在2014年开发的一个研究框架,用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点,在2015年推出了CISO影响力模型2.0。

这个模型聚焦CISO的两大基本能力:技术能力和组织参与度。其中,技术能力包含8个领域,分别是配置与数据保护、软件与供应商安全、访问控制、安全意识及培训、分析与检测、防御、事件响应、恢复;组织参与度包含7个因素,分别是掌握资产相关事实、让业务主管承担风险责任、将信息安全融入关键流程、将信息安全作为业务运行、建设一支高技术高业务能力团队、传递信息安全的价值、积极组织安排。

【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓

IANS基于此模型并结合1200多名高水平CISO和信息安全团队的意见, 撰写了一篇名为《高水平CISO的5大秘密》(The 5 Secrets of High-Performing CISOs)的报告。该报告细节将在本周的RSA大会上呈现

IANS Research的首席研究员Stan Dolberg表示,互联的世界很危险。因此,CISO和他们的团队必须带领其所在企业,采用安全的业务实践。但是,许多CISO的权力和影响力较小,这点仍是眼下我们面临的挑战。CISO影响力模型,以特定方式,为CISO彰显企业中常见的信息安全领导能力,使其职业发展领先他人。其目标是,让用户了解应在何处加强其技能、实践和技术,并进行情景化和优先级排布。有了这一强大的指南,CISO可将自己的领导力提升至巅峰。

报告概览

简单来说,这篇报告时为了帮助表现欠佳的CISO们,学习高水平CISO的方法,以提升自身的能力。以下,就是成功CISO们的五大秘密:

无权力,仍领导

承担改革推动者的角色

主动融入团体

建设团结的网络骨干力量

获得高影响力,需5-7年

上述每个“秘密”在报告中都有详细讨论,并有研究数据支持。比如,100%的高水平CISO在没有权力的情况下,依然坚持领导,他们采用的方法是“劝说、协商、冲突管理、交流和教育。”只有3%的低水平CISO在这一项获得成功。

关于第二个“秘密”,该报告称,表现优异的CISO了解致力于推动变革所能创造的价值。在CISO影响力的数据中,3/4表现优异的CISO接受了这种方法,而表现欠佳的CISO中只有1/20做到。要接受这一角色,了解业务,了解自己,准备好创造和改变。

第三个秘密并没有很广泛地被高水平CISO采用。CISO影响力数据集中表现优异的CISO中,一半以上都不是等待领导层去顿悟安全的重要性。他们采用模拟等方法,让领导层体会企业遭受重大损失时他们会有的感受。只有不到1%的低水平CISO有类似的做法。

第四个秘密中,高水平的CISO不仅仅会耐心地建立和培训一个团队,他们会培养网络骨干力量。85%的高水平CISO都采用了这种方法,而仅有1.4%的低水平CISO做到了。

第五个秘密告诉我们,成功没有捷径。五至七年是一个门槛,越过这个门槛才能建立信任、制定流程、组建团队,并将信息安全的价值提升至被全面接受的状态。

不足之处

这五个秘密为提高企业安全、帮助CISO职业发展提供了绝佳的建议。但是,作为一项独立研究,这篇报告还是存在一些问题的。第一是,高水平(high performer)和低水平(low performer)之间的区分。第二是,在不同企业当中成为高水平CISO的难易程度并不一致。

坦帕市信息安全官Martin Zinaich评论道,“无权力,仍领导”说得很对。无论从技术,还是从组织业务完整性的角度,都必须这么做。但是,这项研究显示,60%的高水平CISO是向风险和业务主管汇报,这些人是有权力的;而95%的低水平CISO向CIO汇报,这些人是没有权力的。这两项数据恰恰表明,没有权力是很难领导的。

另一个问题在于,一些低水平的CISO到了不同的企业,拥有了更多资源,或者领导层的接受能力比较强,他们的表现可能会有不同。

第五个秘密也有类似的问题,即“获得高影响力,需5-7年”。事实上,很少有CISO会在一个职位上待那么久,可能只有所在公司安全意识高、所在职位前景很好的高水平CISO才会这么做。

不过,这些问题只会影响高低水平CISO的统计差异。上述五个秘密当中包含的道理,对于任何想要更好地维护企业安全、提升职业潜力的CISO来说,都是很好的建议。

IANS Research的这篇报告将在本周的RSA会议上展示,有兴趣的同学可以关注。

*参考来源: securityweek ,FB小编kuma编译,转载请注明来自FreeBuf.COM

原文  http://www.freebuf.com/articles/security-management/126852.html
正文到此结束
Loading...