50%的安全从业者或许会辞职

安全人员的压力通常来自于哪里？首先是在工作中需要时刻面临着海量的告警，以及无处不在的网络攻击，精神常处于紧绷的状态，上文提过，被攻击也是压力，不被攻击也是压力，而最可气的是，一旦发生了安全事件就会被动扮演背锅侠的角色，心理负担可见一斑。

另一方面，网络安全知识体系交叉十分严重，作为安全从业人员，既需要了解网络安全产品、技术等深度专业的知识，又需要了解业务、运维、管理等广域技能，有时还要涉及沟通、形象、外交等软技能，因此极大增加了后续学习提升的难度，同时知识的更新和淘汰非常快，特别是在技术飞速发展的时代里，很可能刚出的系统、软件、解决方案，甚至理念，不久后就会被推翻，这样的更新迭代又会给安全从业者带来巨大的压力。

此外还有一些比较重要的影响因素，包括安全部门缺乏资金支持、团队成员专业技能不足、加班严重、缺乏社交互动、工作家庭界限模糊等。而最有意思的是，业内超过三分之一的安全人员认为，“妄想综合症”是导致他们心理不健康的主要因素，这可能要归因于企业对其不切实际的期望，以及安全团队在应对挑战时，其他部门缺乏相应的同理心。

因此，国外有相关调研指出，网络安全从业者对于工作最大的担忧并非来自复杂的网络攻击威胁，而是来自企业董事会和执行领导层不切实际的期望和目标，此担忧比例高达44%。而除此之外，排名第二的担忧才是勒索软件和恶意软件攻击、数据泄露，占比都是35%。此研究结果指出，对安全人员的心理健康挑战会进一步加剧网络技能危机。

Deep Instinct首席执行官Guy Caspi对此表示，随着社会不断向前发展，层出不穷的网络攻击浪潮可能会变得更加普遍和隐蔽，因此企业和组织要确保安全人员不要对此过度紧张，因为毕竟安全人员都是些将自己的职业和生命奉献于“保家卫国”的关键人员。

而关于改善网络安全人员心理健康的方法，业内一些受访者表示，他们需要更多的资源和工具，还有一些受访者则直言不讳，认为该替换掉那些会导致安全人员产生不良心理的管理人员，这些受访人员一并强调，员工向领导团队提供反馈的机会应该是每个组织的优先事项。

Sekuro 董事总经理Noel Allnutt认为，在新冠疫情、俄乌战争和数字化转型的交织下，网络安全专业人员面临着巨大的责任和压力，为了应对一系列不断演变的网络威胁，该行业受到了严格的审查。相关调查结果清楚地表明，具有网络安全意识的董事会和领导团队在减轻初级团队成员的压力方面十分重要，也意味着良好的“向上管理”可以推动领导加大对网络安全方面的投资。

Gartner表示，大部分安全从业人员因为工作性质而无法平衡自己的工作和生活，特别是在混合办公成为了流行趋势后，因为安全人员需要不断检查公司各方面的系统，还需要常常和公司其他部门进行沟通，而这些工作内容并没有指定时间，很多时候都是穿插在生活中的，这也就分散了安全人员在生活中的注意力。甚至说，如果安全人员完全把工作和生活分割开，这样便会大大降低他们对社会工程的敏感性，因此在应对网络攻击、数据泄露或勒索软件攻击时就会措手不及。

另一方面，从供求关系的角度来看，对专业人员的需求会推动工资上涨，然而大型企业近期的裁员现象却带来了抑制效果，因为这对市场来说意味着更多的“安全专业人员”在流通，所以也就为那些无力供养此类专业人员的公司创造了机会，薪酬的变化也就不明显了。Gartner表示：“人才的市场价格还需要再进行多次审查，虽然积极解决薪酬和福利问题可能有助于留住安全劳动力，但真正顶尖的人才一旦决定退出，就很难被挽留。”

对那些不重视网络安全风险管理的公司来说，接下去将面临更多的安全劳动力流失，在这个互联网环境极其复杂的时代里，这将是件很糟糕的事。而对CISO而言，除了为安全团队争取更好的发展平台和部门福利外，良好的组织文化也是极其重要的，因为积极、具有底蕴的企业文化可以留住更多的安全劳动力。

就像密码学家乔恩·卡拉斯（Jon Callas）说的那样：“组织必须明白，支持CISO对所有人都有利，同时CISO也必须得赢得信任。”

Gartner认为，从长远来看，CISO若在组织内部的参与度有所变化，这将为留住安全劳动力带来积极的影响，其中包括与业务部门、业务利益相关者进行协作设计，委派责任，明确方案的可行性和接下去的发展方向，甚至主营业务的取舍等。

因为在这数字化转型的时代里，数据泄露会给任何公司带来极大的损失，这是一个时代标志，是所有企业都躲不过的规则，因此安全能力需要被视为与盈利能力同等重要的存在，而不是将它视为防止盈利的障碍。CISO应该利用这一概念来改变组织的意识形态，确保安全部门可被视为业务的关键部分。

知名CSO Samira Sarraf表示：“安全部门在工作时的压力源就好比只能防守的球队在打一场永远无法获胜的比赛，因为安全部门只能防守，所以现在我们必须为球队找到机会，让安全部门在比赛中可以‘得分’，而不仅仅是阻挡攻击，因此与业务挂钩是最好的选择。”

目前，就国内现状而言，由于国家战略已经明确了“没有网络安全就没有国家安全”，所以安全行业一定会水涨船高，在安全人才的投资方面也一定会大大增长，但这样的趋势并不代表安全工作就是个“完美饭碗”，因为其所代表“保家卫国”的深意太重了，所以每个在位的安全人员都需要具备足够担当的责任心，因此压力也一定会大。

国内安全专家曾经就美国和中国之间CSO的权责差异做过详细的解读，他说，美国CSO的权利之所以越来越大，很简单的道理，就是企业的CEO不想背责，因此他认为国内CSO如果只向CIO报告，对个人来说未必是件坏事。

这其中的重点在于，真正的背锅并不在乎在遇到安全事件后，企业内部点评时确定是谁的责任，而是企业因为触犯法律要面临破产时，这个锅决定该由谁来背。在美国，CSO的基础年薪虽然高，但公司既然把安全人员放到了C这个地位，那一旦出了什么事，就一定是CSO背责。

也就是说如果一个企业发生了安全事件，安全人员把它分析清楚后，给CIO汇报也好，给CEO汇报也罢，最后这件事情的责任只要被归到了哪个部门或区域，这就叫去责；而如果安全人员负责的是整个信息安全，他一旦遇到安全事件，不管这件事分析到哪个环节了，最后总是安全人员来负责，这叫做追责，追责最后追的都是自己的责任。而这两者所带来的压力是完全不一样的。

因此安全人员要牢记，一旦出事了，安全人员所处的位置不同，所背负的责任就一定不同，如果只是CIO之下的某个部门，那CSO只要把事情报告清楚就没事了，但在美国，CSO的位置是决策层，所以出事了，不是CEO离职就是CSO离职，关键就只看当初是谁做的决策。

而如今的趋势很明了，我们的安全规则在向美国靠近，薪酬、福利越来越好的同时，责任也越来越大，甚至有安全专家曾指出，安全岗位将成为风险岗位，会有更多的法律责任需要安全团队来背负。那在这样的压力下，安全团队更需注意每位成员的心理健康，组织也需在这相应的环境里改善自身的文化，以配合安全团队更好的应对风险和威胁。

对于压力会带来怎样的风险，安全人员又该如何面对，国内安全专家如此建议。

某科技公司安全总监郑太海表示，随着数字化发展的进一步深入，数字汽车、数字家居、数字基因甚至是数字人的出现，会让网络安全或者说信息安全这个行业的压力越来越大。因为只要有新信息的产生，但凡牵扯到数字化的内容就会存在安全问题，而且很多新业态、新场景、新技术的发展速度，要远超传统安全从业者的经验累积和知识储备，例如云原生安全、chatGPT带来的安全问题，都要求从业者对安全行业保持敏锐的嗅觉，需要从业者持续学习、持续思考。加上现在个人隐私保护意识的觉醒，监管机构对数字安全的越来越重视，这对于安全负责人来说可谓是如坐针毡。

“但压力加重的同时也是机会所在，以上所描述的情况也意味着安全行业一直充满了机遇。焦虑源于对面临的情况不了解，所以解决之道就是保持学习，对于我们这些已经躬身入局的人来说，也只有这一条路可走。虽然需要学习的东西是无限的，但这并不意味着我们会陷入无从着手的恐慌之中。安全的本质在于对抗，所以最重要的是了解到对手是谁，他们在做什么，我们需要采取什么反制措施，需要什么技术，针对性的进行学习。还有一点，虽然对手很厉害，但是我们的阵营里，也有很多优秀的同行，向优秀的人看齐，从他们身上学习也是一个很好的办法。其中包括优秀的安全厂商、创新型的产品、优秀的甲方等等，都有很多值得我们学习的经验。”

而某集团安全专家梁龙亭通过自身经历提出，目前而言，压力主要来自内外两个方面，一是学习压力大，信息技术发展太快，让安全从业人员时常担心自己成长的速度跟不上技术的更新速度，比如，当前比较火的ChatGPT，已经被证实可用来实施钓鱼邮件攻击了，而很多人似乎对它还不了解，甚至还没听说过，虽然兵法云：“不知彼而知己，一胜一负。”但很多人最终无缘“一胜一负”，因为兵法又曰：“不知彼不知己，每战必败。”又有多少人敢说做到了”知己“呢？

其次是监管压力大，《网安法》、《数安法》、《个保法》等法规，以及最近发布的跨境数据传输相关规定使得安全从业人员必须格外谨慎，依法依规履行每条应尽的安全责任和义务，必须主动谋划，切实开展各项安全合规工作。“某企业违法违规被罚80余亿，警钟长鸣在耳，余音不绝，敦促我们时刻警醒。”

梁龙亭表示：“世界唯一不变的就是变化，想要以‘不变’应万变去缓解压力，其唯一的方法就是‘持续学习’，而持续学习就是持续拥抱变化，或者更进一步说就是持续优化自己，持续进化自己；同时，我还想对安全从业者说这么句话，当前社会上一直存在的怪现状，大家似乎认为学习应该是在学校才进行的事情，毕业之后，大多数人甚至没有再碎片化地学习过，更遑论系统性地学习，实际上，最终人生已止步于放下书本的彼时彼刻。所以，若想不断突破自己的上线，想更好地见证自己的价值，更有效的管理安全，我们就不得不一直学习下去，这不单是一种精神，也是我们作为读书人该有的认知。”

而某金融科技公司首席安全官蔡俊磊认为，外部互联网环境对企业安全负责人造成了很大的压力。随着数字化时代的到来，企业越来越依赖于互联网和计算机网络来进行业务活动，这也使得企业面临着越来越多的网络安全威胁和攻击。

外部互联网环境可能存在的威胁包括计算机病毒、网络钓鱼、勒索软件、拒绝服务攻击、黑客攻击等等。这些威胁可能会导致企业数据泄露、业务中断、财务损失、声誉受损等问题，严重影响企业的运营和发展。

因此，企业安全负责人需要认真评估和管理企业的网络安全风险，采取有效的安全措施和策略来应对外部互联网环境可能带来的威胁。这包括建立网络安全管理体系、加强员工安全意识培训、使用安全软件和设备、实施访问控制和安全审计等措施。

因此，当企业面临外部互联网环境的安全压力时，蔡俊磊有以下几点建议：

综上所述，蔡俊磊认为企业安全负责人应该根据企业的实际情况，采取有效的安全措施和策略，保障企业的网络和系统安全，缓解外部互联网环境的安全压力。

某企业安全专家刘顺特别强调，安全从业者可谓是压力贼大，造成压力的原因主要来源于以下几方面：

然而，即使面临如此大的压力，刘顺还是说道：“压力就是动力，挑战就是机遇！无论是安全从业者还是安全团队，应始终保持‘专业、自信、特别能战斗’的品质，实时了解前沿动态风险，准确把握监管合规要求，持续提升安全管理能力与技术水平，不断研究攻防新技术，建立良好的向上沟通机制。网络安全无终点，砥砺前行再出发！”

各位专家对安全界所带的压力并该如何良好的应对已经说得很清楚了，而编者认为，除了个人“不畏艰苦、砥节励行”的品质外，企业环境、监管环境、社会环境也应该配合安全从业者，让安全团队在工作时能感受到更好的支持，因为安全或说安全卫生不仅仅是安全人员的责任，这是需要所有参与进互联网的组织、个人都得提高重视的。还是那句话，“没有网络安全就没有国家安全”，而我们要做到的是，不可使为众人抱薪者冻毙于风雪。