GoUpSec点评:从“小甜甜”到“牛夫人”,曾经风光无限的一线大厂CISO们正在大批出走,原因是权责不对等、缺少高层支持以及不断高企的职业风险。
在美国企业高管层中,首席信息安全官(CISO)正迅速成为最不招人待见的高管职位。高压环境、权责失衡、监管责任扩大,甚至个人法律风险,让这个本该抵御黑客入侵的岗位,变成了“高风险职业”。
一份提着脑袋干活的“危险工作”
George Gerchow曾在Sumo Logic担任首席安全官(CSO)和IT高级副总裁近九年。经历了长期的压力与倦怠之后,他选择“退居二线”,转任MongoDB的信任负责人。然而不久后,该公司的CISO又辞职了。这种现象,Gerchow称之为“CISO多动症”。
“在过去两年里,我从未见过如此多的同行离开CISO岗位。”他说。
根据WatchGuard发布的报告,CISO所承受的远远不只是防范网络攻击的压力,他们还要跨部门博弈争取支持,应对不断增长的安全威胁和监管要求。而这些职责,常常是“没有权力但需负责”。
报告指出,2025年起,CISO还需亲自认证企业网络安全合规性,意味着一旦出事,个人法律风险骤增。
被“架空”的岗位结构
Gerchow指出,CISO的处境与企业内的汇报结构密切相关。许多CISO被层层架空,汇报对象往往是CTO或CFO,而不是CEO。
“我再也不会向CTO或CFO汇报了。如果没有直接参与战略决策,你等于是在把自己交给别人控制。”Gerchow直言。
猎头公司Korn Ferry的顾问Maggie Myers也认为,目前很多CISO的角色设置“已接近不可持续”。她指出,监管压力、公众曝光度、复杂威胁、AI冲击、以及“责任与权力的错位”,正在加速安全领袖的流失。
“CISO常常无法影响那些真正带来风险的业务流程,却又要承担全部后果。”
International Seaways的CIO/CISO Amit Basu进一步指出,CISO们普遍缺乏法律豁免、清晰的治理权限,以及专属的责任保险保护。在没有充分授权的前提下承担企业级风险管理工作,是造成职业倦怠与离职潮的根源。
没资源、没高层支持、还得背锅
WatchGuard的CISO Corey Nachreiner形容得更为直接:“做CISO有时像是一只手被绑住去打闪避球——你得防住所有威胁,但没多少资源和高层支持。”
Nominet的一项调查显示,91%的CISO报告中度至高度压力。Nachreiner 指出:“企业往往把网络安全视为‘必要的负担’,而非业务核心,这让CISO感到‘满是风险,回报稀薄’。”
而欧盟的新法规DORA(数字运营韧性法案)更为CISO增添了合规压力。Gerchow表示,这些新规已令不少公司“喘不过气”。
是岗位问题,还是人的问题?
一些资深安全专家则认为,问题未必出在CISO这一岗位本身。
曾在多家大型企业担任CISO的Patricia Titus,如今在AI安全公司Abnormal AI担任顾问型的“外场CISO”。她认为,“真正的问题,是我们没有处理好人和岗位之间的平衡”。
Titus表示,CISO的职业压力如果缺乏接班人培养、权力分担和高层支持,就会转化为严重的职业伤害。“我曾因工作压力患上严重湿疹,健康一度崩溃。”她回忆道。
她强调,真正的好CISO,应该具备批判性思维、跨部门协调力、对业务的深入理解。“这份工作早已不是二十年前的技术岗,而是全面进化的战略岗位。”
需要一场制度革命
Basu强调,CISO岗位并非因缺乏价值而“变冷”,而是在制度保障缺失下变得“不可持续”。
他正在筹建一个新的组织——CISO专业协会(PAC),目标是将CISO正式化为一门职业,设立统一认证、伦理准则和同业支持网络。
“CISO需要像律师或注册会计师一样,有行业组织和法律保护。”他说,“有标准、有背书的CISO是企业资产;没有保护的CISO,是安全隐患。”
CISO的救赎:沟通与学习
尽管前景挑战重重,仍有不少人看好CISO角色的发展潜力。
Nachreiner表示,CISO职位的核心其实是“人治而非技治”:“你要向董事会解释安全投入的价值,让各部门接受安全措施,甚至鼓励员工养成安全习惯——这比技术难多了。”
Titus也认为,正因每天都在变化、每天都有新技术涌现,CISO的工作充满了“不断学习与成就感”。只要企业愿意提供支持、赋予权限,这个岗位依然是驱动变革的前沿角色。
总之,CISO之所以变得“不受欢迎”,不是因为岗位本身变差了,而是因为外部压力与内部支持之间的鸿沟太大。如果行业不及时修复这道裂缝,那些曾是企业最后防线的安全领袖,将只能选择“主动退出战场”。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
