75%的网安从业者考虑换工作

另一方面，ESG和信息系统安全协会（ISSA）的网络安全专业人员也发布了相关报告：the Life and Times of Cybersecurity Professionals v6 。根据这项研究，其中有63%的网络安全专业人士认为，如今的网络安全工作比两年前要困难得多，而近三分之一（32%）的CISO表示，网络安全工作所带来的压力远大于从前；同时非CISO的安全负责人（26%）认为，互联网变得越来越复杂，工作似乎变得难以胜任。

根据ESG/ISSA的研究数据，在网络安全计划方面，比如与董事会合作、满足监管合规性和控制管理预算等，是网络安全工作变得愈发棘手的主要因素。其根本原因在于，过去几年里，CISO的角色已从技术监督员逐渐转变为了“业务护航员”。与此同时，组织在自动化、优化、客户服务和数字化转型方面又极大增加了对IT的依赖。

因此，总结而言，就是CISO在业务战略和实践落地方面的作用越来越大，但同时这些所谓的核心任务也变得越来越难以完成，比如管理网络风险、检测威胁和应对安全事件等。零信任网络安全公司Menlo Security的CISO Devin Ertel对此表示：“许多安全任务现在正变得难以完成，不单单是网络犯罪分子在不断强大，更多的是安全任务的工作量和覆盖面正呈指数级增长，同时合规性要求也是另一个主要压力因素。”

Ertel指出，2023年7月下旬，美国证券交易委员会宣布，上市公司必须在发现安全事故后的四个工作日内，披露任何有所涉及的重大违规行为，而这样的新规定动摇了多个行业的网络安全负责人，让他们不得不开始思考，安全工作是否会影响到自己的正常生活。“谁也不想‘自己所做的工作还有可能面临被起诉的风险’。而安全事故在经过严格的调查后，其违规行为所带来的全部影响，可能需要数月甚至数年的时间才能被定性，因此对于安全从业者来说，大环境可谓无比严苛。”

防御管理平台制造商Interpres的首席战略官Patrick“Pat”Arvidson补充道：“目前，围绕CISO的环境极其动荡，他们个人可能会面临诉讼风险的概率达到了历史最高。而真正危险的地方在于，CISO可能因为其无法控制的事而被起诉。”

而自动化合规和风险管理平台制造商CyberSain的创始人Padraic O'Reilly则表示，从IANS的调查中可以清楚地看出，这种动态不利于CISO。“权利和义务不对等，谁又愿意背负超过自身承受能力的责任风险？显然，所有对安全人员的激励措施一直都不一致，现在仍然不一致。而我们可以看到的是，CISO已经陷入了一种行政困境，他们接触法律或CFO的机会太少，与董事会的接触又时有时无，而且没有任何既定的方式可以让CISO和上层保持联系。所以当越来越多CISO开始抱怨这些事情时，对行业来说将是灾难。”

Kakolowski对此表示赞同：“对企业来说，又有哪个组织想好了‘该如何提升CISO在企业中的地位’或想好了‘该如何给予CISO们相应的补偿’？显然，安全工作变得越来越难，但回报却始终没有。”

ESG/ISSA数据清楚地表明，CISO职位背负着许多不健康的工作压力。其中，62%的CISO声称“他们的工作至少有一半时间是有压力的”。非CISO的安全负责人（52%）则表示，他们几乎就是在压力中工作。Kakolowski认为这是另一个令人担忧的趋势，即安全压力正由上至下蔓延至安全部门的各个岗位。

Kakolowski说：“无论是CISO，还是安全负责人，抑或安全部门的运营岗，他们都会因工作量过大、与业务经理合作，以及为跟上新业务计划的安全要求而倍感压力。值得注意的是，26%的CISO还强调：‘监控与其组织有业务往来的第三方（如供应商、业务合作伙伴、客户）安全状态，这同样是一件吃力不讨好的累活。’，12%的非CISO安全负责人表示，由于身份‘卑微’，监控第三方时会更累。”

第三方通常与业务流程（如供应商、承包商、外包合作伙伴）相关，因此他们与业务部门密切相关。而不幸的是，安全团队往往无法深入了解这些公司，因此并不清楚这些公司的日常安全态势会是怎样的水准。在这种关键性业务相互混合的情况下，加之流程中缺乏了持续监督，CISO们自然会对此焦虑不堪。

所以，巨大的工作量、巨大的工作压力和不断扩大的工作责任，这种种因素相互叠加，就必然会导致一个不可避免的结果：36%的CISO表示，他们很可能会在不久的将来辞掉自己目前的工作。

Kakolowski补充道：“相比之下，非CISO安全人员会辞掉安全工作的比例为26%。另一个采访角度则指出，近一半（46%）的安全人员认为自己会完全离开安全行业。至于原因，65%的受访者表示，网络安全工作带来的压力实在太大了，互联网也确实太复杂了；43%的受访者则认为，自己的工作毫无成就感，因为他们的组织根本不会认真对待网络安全；39%的受访者是因为自己已接近退休年龄，而退休后他们会彻底离开网络安全行业（不会再被返聘去安全行业）。”

这就会带来一个严重的后果，而CEO和公司董事会最应该对此重视：当CISO不断流失，新的安全人员不愿加入，就会导致职位长久空缺，哪怕几年后有幸雇佣到了新的CISO，也需要重新评估企业的安全状况，并制定新的安全计划。而在这段“CISO长久空缺”的日子里，企业的网络风险要怎么办？安全团队要怎么运作？企业数据又该如何安全地运转和利用？这是需要经营者不断去衡量和计算的，因为稍有不慎，公司就会万劫不复。

此前，安在新媒体也对43位甲方从业者做了相关调查：43位甲方亲述网络安全的收入、预算和焦虑。

同样也有许多同僚表达了焦虑、压力、看不到前景等负面情绪。比如某企业安全专家指出：“公司自始至终对安全部门的态度都是不给人、不给钱、不懂安全、乱选产品，因此作为安全部门里的一员，时常会感到头疼和压力。”

某银行科技子公司的安全负责人则表示：“组织经常会给些非本职工作的压力活，所以安全部门的疲态是显而易见的。另一方面，随着外部环境不断变化，科技也在不断发展，比较焦虑的地方在于，安全看不到最新的技术在哪里，也不知道部分看似最新的技术可用在哪儿。”

显然，倦怠是这些从业者的主要情绪，大环境和行业持续走低，业务萎缩，裁员不断，这些都是造成负面情绪的主要因素。就像某券商安全负责人说的那样，接下去的日子里，但求身体健康，不求飞黄腾达，能够平稳过渡、稳中求进，就是最好的现状了。

而某金融企业女性安全负责人总结道：“过度疲劳会影响生活质量，所以希望诸位安全同僚能够平衡工作和生活。对我个人而言，虽一直坚持持续学习，但因为受年龄影响，晋升机会已然不大，所以所谓的压力虽不曾减少，但好在还算稳定。未来，我更多会考虑将多年来所积累的经验归纳整理成一些文章，一方面可将其提供给安全新人作为参考，另一方面，也算是对自己的职业生涯有所总结。”

此外，ESG/ISSA报告还指出，尽管CISO负有C级职责，但在其组织内却难以被其他成员所认可。调查发现，非上市公司中，只有20%的CISO被视为C级高管，而上市公司中，只有15%的CISO被视为C级高管；另一个数据则表示，只有50%的CISO每季度会与董事会接触。

Kakolowski说：“从现实来看，组织需要CISO来承担数字风险。但如果想让CISO做好这一点，组织就需要让其能接触到更多的业务部门，并让更多的部门认可CISO的地位，否则CISO要怎么推动计划？‘又要马儿跑得快，又要马儿不吃草’，董事会自己如果都不重视CISO，那组织还需要安全部门干嘛？”

全球数据安全和备份软件公司Rubrik的CISO Michael Mestrovich补充道：“CISO的职责，是能向董事会阐明网络安全对公司商业战略的作用，如果他们的这层汇报需要通过另一个高管来转述，那其中最真实、最直接的信息很可能会被过滤或淡化，到时万一有什么差错，也和CISO无关。”

研究表明，85%的CISO在调查中表示，他们的董事会应该就“组织的风险承受能力”提供明确的指导，以便CISO采取行动，但事实上，只有36%的董事会认为该这么做。Kakolowski说：“现实中，确实有一些董事会正在解决这类问题，并在关键环节发挥了有效作用。但总的来说，大多数组织里，要么就是董事会层面缺乏可见性，他们没能让CISO始终如一地向董事会报告，要么就是CISO和董事会之间缺乏能进行有效沟通的语言。”

GuidePoint Security的CISO兼顾问Brian Betterton认为，大部分董事会不会给予CISO足够的指导。他说：“除非是一个非常成熟的组织，能够在其风险治理框架内理解和管理风险，否则CISO根本引不起董事会的重视，更不要说绝大多数的董事会根本不在乎安全。在没被黑客搞得家破人亡之前，他们永远不会明白安全有多重要。”

另一方面，ESG/ISSA的研究表明，随着CISO在业务运营、监管合规和维护组织安全之间不断如履薄冰，CISO想要平衡安全工作也变得越来越困难。研究强调，尽管CISO正努力接近业务，但许多CISO仍会受到高管或董事会的指责，同时还得不到领导层的支持。

Betterton指出，高管和董事会成员必须重新评估他们对CISO职位的认知，不要只会按着绩效指标衡量工作结果，要多去评估关系、报告结构、资源、工作量和CISO的心理健康。而鉴于ESG/ISSA的研究，下一代CISO很可能会成为稀有且昂贵的存在。“因此，各组织最好能优化当前CISO的有效性，而不是想着‘有钱能使鬼推磨’，多换几个CISO就行，因为接下去越来越多离开安全行业的人员会站向组织的对立面。”

然而，尽管工作越来越困难，职责也越来越复杂，但还是有不少CISO表示愿意坚持下去。79%的受访者表示，安全工作虽累，但其更像是信仰。由于CISO往往比其他安全人员的经验更丰富，所以他们能更有效地管理压力、职业规划和工作期望。

Kakolowski指出，对CISO来说，他们可能会将职业满意度归因于“企业管理层对网络安全的承诺”，因为在CISO看来，组织能够重视他们的信仰，就是对他们而言最好的回报。“正如大多数安全人员之所以会选择这行，是因为对‘能找到漏洞’‘能守护好系统’这些行为本身有着义无反顾的精神。从根本而言，没人愿意自己被称为‘成本中心’，是因为社会需要，所以他们才会担起责任。”

对于在2024年安全部门可能会遇到怎样的压力，企业和安全负责人又该为此做些什么，国内安全专家如此建议。

owasp广东负责人刘志诚表示，2024年的安全压力会来自三个方面，首先是以大模型为中心的智能化和安全助理，会对传统安全运行带来挑战，因此，如何适应，以及如何主动拥抱持续的学习能力会给安全人员带来压力；二是以网络安全保险为中心的风险转移模式，其在中国的试点建设会带来安全服务模式的变革，而关注全面风险，以及风险多元化处理，会要求安全人员跳出技术思维；三是经济下行的持续压力，降本增效依然是主旋律，作为传统成本中心定位的安全，如何展现业务价值，以及如何保持安全策略与措施的有效性，这都会极大挑战安全从业者的业务思维和跨界沟通能力。

对此，刘志诚建议：“安全负责人首先要做到主动拥抱变化，持续提升跨界学习能力和多元化沟通能力，并在人工智能、金融、通用管理能力方面，加强自身和团队的能力；其次，安全部门需要加强外部资源的合作，避免闭门造车和信息茧房效应的副作用，要利用行业和生态的力量，提升面对vuca时代的不确定和模糊性；三是做好企业业务和高层间的良好沟通通道，保持业务战略与公司战略的高度一致，同时支持企业的战略落实。”

某金融企业安全负责人陈欣炜表示，对现阶段的安全人员来说，压力更多体现在：越来越繁杂的监管需要更多更精准的投入，而公司因经济原因，不得不对安全投入进行一定的限制。两者之间所产生的矛盾让安全部门寸步难行，安全人员不得不在这样的背景下背负极大的压力。

所以他建议道：“安全部门要抓大放小。安全早已脱离了大鸣大放的年代，我们要进行更精准的投入，抱团取暖争取度过寒冬。接下去在日益复杂的互联网环境中，攻击和威胁只会越来越多，源源不断，如果企业只看得到‘安全部门似乎可有可无’，那在某个不经意间，或是勒索攻击，或是数据泄露，就有可能让企业万劫不复。这不是危言耸听，而是每位安全负责人都需要这么传达给公司领导层的。”

某国企公司徐彬对此表示，就安全行业而言，压力主要集中在经济大环境下行，安全预算大幅缩减，较少的安全投入与现有的严峻安全形势之间所带来的矛盾上。而随着法律法规的更新和严格化，企业必须确保在信息安全、生产安全等方面与不断变化的政策要求保持同步，如何处理好监管部门与企业的关系，可能是性价比更高，并行之有效的一种方式。

某医药新零售信息安全负责人孟翔巍表示：“个人觉得，2024年对于安全部门来说，更大的压力会逐步由传统安全转向大模型内生安全。随着chatgpt、sora这样的AI技术突破并广泛应用，企业也逐步开始了引入与实践，从而会内生出一些基于开源的应用产品与模型，可将大模型能力加持到实际的业务应用场景中；同时也会伴生因有意或无意的模型滥用而导致的合规性问题，这将会成为安全部门面临的一个巨大挑战。”

在建议方面，孟翔巍指出，安全部门应该拥抱变化，通过贴合业务的方式，深入企业AI和大模型的实际应用场景，尝试通过算法对抗、模型穷举等方式尽量规避上述的合规性问题，并同步在安全体系中逐步引入大模型能力，以AI化的方式应对AI业务风险，从而实现对企业、对业务的保驾护航。