美国信息安全咨询公司IANS Research开发出一套模型，旨在帮助首席信息安全官维持其职业发展前景：具体而言，即“跨越时间与空间实现关键性资产保护。”

这套名为CISO Impact的模型基于两项基础性能力：技术卓越性与组织参与性。前者涉及从访问控制到事件响应的八个领域; 而后者则包括从业务信息安全到控制业务部门可承担风险的七项因素。

这套模型结合有来自1200多位高水平CISO与信息安全团队的洞察结论，IANS对相关信息加以整理并汇总出这份《高水平CISO获得成功的五个秘密》报告。

IANS Research公司首席研究官Stan Dolberg表示，“互联网世界可谓危机四伏，因此CISO及其团队必须引导所在组织机构采取安全的商业实践方案。但是，众多CISO仍然面临着一系列挑战。CISO Impact诊断方案能够为CISO提供多种独特方案，旨在以具体方法确定信息安全领导技能——这些技能广泛见于企业的成熟发展曲线当中。我们的目标是提供相关信息、背景参考与优先级判断指标，用于指导在哪些技能、实践与技术层面进行投资。在这种强有力的指引之下，CISO将能够更有针对性地绘制适合自己的领导路线。”

简而言之，这份报告的目标在于通过高水平CISO们已经采用的方法以帮助工作成效不佳之CISO的实施成果。实现职业成功的这五项秘密分别为：

不以权威作为领导依据

积极扮演变更代理的角色

不要坐等管理层要求，而应主动引导

建立起一套具备凝聚力的网络领导体系

全面的成效与影响需要五到七年的实现周期 这些“秘密”中的每一项都在报告中进行了具体探讨，并拥有统计研究证据作为支持。例如，100%的高效CISO在管理中并非通过权威施压，而采取“说服、谈判、冲突管理、沟通、教育”等方式处理问题。相比之下，只有3%的低效CISO能够在这方面取得成功。

根据报告阐述，第二项“秘密”为“高水平的CISO们了解参与并推动变革的价值。根据CISO Impact列举的数据，在4位高效CISO中有3位采取这一处理态度。但在20名低效CISO中，采取这一态度的从业者只占1位。要积极接纳这一角色，从业者需要了解业务、了解自身并随时准备实施转变。”

第三项秘密在高效CISO中的采用比例相对较低。“根据CISO Impact数据集显示，超过半数高效CISO不会坐等高管团队自动意识到安全性的重要意义。他们会利用模拟等方式产生失落或者妥协等情感体验，而这正是建立起有吸引力的管理团队的根本所在。相比之下，只有不到1%的低效CISO会采取这种方式。”

在第四项秘密中，“高效CISO会耐心地组建并训练整个网络管理体系及其相关文化，而不仅着眼于单一团队。85%的高效CISO采用这种方法，而低效CISO的采用比例仅有1.4%。”

第五项秘密提醒从业者不要寄希望于快速实现方案。报告指出，“作为建立起信任关系、项目结构、相关团队以及立足于信息安全基础的信息安全价值点的对应时间周期，五到七年可以算是比较现实的时间框架。”

以上五项秘密为有意改善企业安全与CISO职业发展的从业者提供了极好的建议。然而作为一项独立研究成果，这份报告仍然存在几个问题。首先是如何判断高效CISO与低效CISO之间的区别。其次是，某些企业较另一些企业更容易成就高水平CISO。

Martin Zinaich(拥有CSSLP、CRISC、CISSP、CISA以及CISM等认证)为美国佛罗里达州坦帕市信息安全官，他评论称：“绝对不能以权威作为领导依据——这项结论可谓千真万确!大家必须立足技术与业务的有机结合实现这项目标。”他同时指出，“这项研究显示，60%的高水平安全领导者同时扮演风险与商业管理角色(即拥有权威)——而95%的低效CISO需要向CIO进行报告(即不具备权威)。这两项统计显示了一项简单的现实，即管理者事实上很难在不具备权限的情况下执行领导工作。根据我的实际经验，几乎每一家非技术安全企业的CISO都不具备对应权限以执行违规后处理、监管监督或者同审计部门间的协作工作。”

另外值得强调的是，研究统计中的一部分低效CISO完全有可能在其它企业中配合更为充实的资源及/或更为开明的高管团队以转化为高效CISO。

类似的问题在第五项秘密中亦有所体现; 具体来讲，“全面的成效与影响大约需要五到七年的实现周期”。事实上，几乎没有多少CISO能够在同一职位上效力这么多年——只有少数已经在具备安全意识的企业中占据高位的高效CISO才能满足这项条件。

不过，虽然这些关注指标只影响到高效与低效安全领导者间的统计性差异，但这五项秘密中所包含的基本条件仍然值得任何希望更好保护所在企业并提升自身职业潜力的CISO所认真考量。

IANS Research公司称，《高水平CISO获得成功的五个秘密》将在下周召开的RSA大会上正式发布。