GoUpSec点评：从“小甜甜”到“牛夫人”，曾经风光无限的一线大厂CISO们正在大批出走，原因是权责不对等、缺少高层支持以及不断高企的职业风险。

在美国企业高管层中，首席信息安全官（CISO）正迅速成为最不招人待见的高管职位。高压环境、权责失衡、监管责任扩大，甚至个人法律风险，让这个本该抵御黑客入侵的岗位，变成了“高风险职业”。

一份提着脑袋干活的“危险工作”

George Gerchow曾在Sumo Logic担任首席安全官（CSO）和IT高级副总裁近九年。经历了长期的压力与倦怠之后，他选择“退居二线”，转任MongoDB的信任负责人。然而不久后，该公司的CISO又辞职了。这种现象，Gerchow称之为“CISO多动症”。

“在过去两年里，我从未见过如此多的同行离开CISO岗位。”他说。

根据WatchGuard发布的报告，CISO所承受的远远不只是防范网络攻击的压力，他们还要跨部门博弈争取支持，应对不断增长的安全威胁和监管要求。而这些职责，常常是“没有权力但需负责”。

报告指出，2025年起，CISO还需亲自认证企业网络安全合规性，意味着一旦出事，个人法律风险骤增。

被“架空”的岗位结构

Gerchow指出，CISO的处境与企业内的汇报结构密切相关。许多CISO被层层架空，汇报对象往往是CTO或CFO，而不是CEO。

“我再也不会向CTO或CFO汇报了。如果没有直接参与战略决策，你等于是在把自己交给别人控制。”Gerchow直言。

猎头公司Korn Ferry的顾问Maggie Myers也认为，目前很多CISO的角色设置“已接近不可持续”。她指出，监管压力、公众曝光度、复杂威胁、AI冲击、以及“责任与权力的错位”，正在加速安全领袖的流失。

“CISO常常无法影响那些真正带来风险的业务流程，却又要承担全部后果。”

International Seaways的CIO/CISO Amit Basu进一步指出，CISO们普遍缺乏法律豁免、清晰的治理权限，以及专属的责任保险保护。在没有充分授权的前提下承担企业级风险管理工作，是造成职业倦怠与离职潮的根源。

没资源、没高层支持、还得背锅

WatchGuard的CISO Corey Nachreiner形容得更为直接：“做CISO有时像是一只手被绑住去打闪避球——你得防住所有威胁，但没多少资源和高层支持。”

Nominet的一项调查显示，91%的CISO报告中度至高度压力。Nachreiner 指出：“企业往往把网络安全视为‘必要的负担’，而非业务核心，这让CISO感到‘满是风险，回报稀薄’。”

而欧盟的新法规DORA（数字运营韧性法案）更为CISO增添了合规压力。Gerchow表示，这些新规已令不少公司“喘不过气”。

是岗位问题，还是人的问题？

一些资深安全专家则认为，问题未必出在CISO这一岗位本身。

曾在多家大型企业担任CISO的Patricia Titus，如今在AI安全公司Abnormal AI担任顾问型的“外场CISO”。她认为，“真正的问题，是我们没有处理好人和岗位之间的平衡”。

Titus表示，CISO的职业压力如果缺乏接班人培养、权力分担和高层支持，就会转化为严重的职业伤害。“我曾因工作压力患上严重湿疹，健康一度崩溃。”她回忆道。

她强调，真正的好CISO，应该具备批判性思维、跨部门协调力、对业务的深入理解。“这份工作早已不是二十年前的技术岗，而是全面进化的战略岗位。”

需要一场制度革命

Basu强调，CISO岗位并非因缺乏价值而“变冷”，而是在制度保障缺失下变得“不可持续”。

他正在筹建一个新的组织——CISO专业协会（PAC），目标是将CISO正式化为一门职业，设立统一认证、伦理准则和同业支持网络。

“CISO需要像律师或注册会计师一样，有行业组织和法律保护。”他说，“有标准、有背书的CISO是企业资产；没有保护的CISO，是安全隐患。”

CISO的救赎：沟通与学习

尽管前景挑战重重，仍有不少人看好CISO角色的发展潜力。

Nachreiner表示，CISO职位的核心其实是“人治而非技治”：“你要向董事会解释安全投入的价值，让各部门接受安全措施，甚至鼓励员工养成安全习惯——这比技术难多了。”

Titus也认为，正因每天都在变化、每天都有新技术涌现，CISO的工作充满了“不断学习与成就感”。只要企业愿意提供支持、赋予权限，这个岗位依然是驱动变革的前沿角色。

总之，CISO之所以变得“不受欢迎”，不是因为岗位本身变差了，而是因为外部压力与内部支持之间的鸿沟太大。如果行业不及时修复这道裂缝，那些曾是企业最后防线的安全领袖，将只能选择“主动退出战场”。