MikeEngle在其職業生涯早期就開始從事首席信息安全官工作，并于21世紀初晉升為雷曼兄弟公司負責信息和企業安全的高級副總裁。

　　Engle認為這條職業道路非常適合，他解釋說，他發現安全技術(例如加密)令人著迷，并且這樣的工作具有挑戰性。

　　他補充說，“我喜歡將解決方案落實到位以阻止壞事發生的那種快感。”

　　但Engle表示，他不喜歡這個職位在其他方面面臨的問題，尤其是在2002年通過《薩班斯-奧克斯利法案》后加強的治理和監管要求任務。

　　他還看到安全負責人面臨的壓力越來越大，并開始感受到每周工作超過60小時已成為常態所帶來的壓力。他說，“我的許多團隊成員后來成為大公司的首席信息安全官，他們面臨巨大的工作壓力，因為威脅水平上升了很多。”

　　Engle于是下定決心另辟蹊徑，辭職創業成為了一名企業家。他創辦了一家專門從事安全跟蹤技術的公司，這一決定部分基于他的經驗和對技術本身的興趣。他后來創辦了BastilleNetworks公司和1Kosmos公司，他現在是這兩家公司的戰略規劃負責人，此外，他還是1414風險投資公司的總經理。

　　Engle承認，他的安全專業知識和管理經驗幫助他在創業方面獲得了成功，但表示他更喜歡創業時面臨的挑戰。

　　他說，“我不認為自己會重新成為首席信息安全官。”

　　首席信息安全官的出路

　　Engle的職業軌跡可能不是企業安全專業人員的典型出路，但很多安全專家表示，將首席信息安全官角色視為從事其他工作的中轉站變得越來越普遍。當然，許多安全專家仍然渴望提升企業安全團隊的級別，成為首席信息安全官，然后在規模越來越大或更復雜的企業中擔任首席信息安全官。但長期提任安全領導者和該領域的其他人表示，越來越多的首席信息安全官正在決定尋求更進一步的職位。

　　獵頭服務商海德思哲公司的合伙人兼全球網絡安全業務負責人MattAiello說，“安全專業人員的職業道路正在發生變化。對于許多人來說，首席信息安全官仍將是其職業生涯的終點。但對于某些人來說，這將是一條不同職業道路的開始。”

　　海德思哲公司在其2021年全球首席信息安全官調查中深入探討了這一動態。該公司指出，首席信息安全官這一職位與其他企業高管職位相比相對較新(許多報告將這個角色追溯到上世紀90年代中期，因此首席信息安全官的職業發展仍然面臨困難)。

　　然而，首席信息安全官們為此規劃了一些路徑：

　　47%的受訪者表示希望成為企業董事會成員。

　　44%的受訪者表示希望成為首席安全官(包括物理安全和信息安全的角色)。

　　18%的受訪者表示希望成為企業家/顧問。

　　16%的受訪者表示希望成為首席風險官。

　　12%的受訪者表示希望成為首席信息官。

　　8%的受訪者表示希望成為私募股權官。

　　3%的受訪者表示希望成為首席執行官。

　　2%的受訪者表示希望成為安全公司的工具開發人員。

　　還有大約5%的受訪者列舉“其他”事項，而3%的受訪者沒有回應，約有9%的受訪者表示希望退休。

　　在談到這些調查和發現時，研究人員得出的結論是，“首席信息安全官感興趣的下一個角色突出表明這是一個不斷發展的角色，職業生涯在下一步的發展尚不清楚。”

　　成熟的角色

　　其他人也有同樣的看法，并表示該職位的歷史在一定程度上限制了首席信息安全官之后的職業發展。例如，他們指出，首席信息安全官職位多年來一直在首席信息官的領導下，而首席信息官本身在歷史上也曾在其他企業高管的管理下任職。他們還指出，首席信息安全官在其存在的大部分時間里一直被視為一個技術性很強的角色，那些擁有這個職位的人員通常是非常有能力的技術專家，但并不是企業的高管。因此，很多企業并沒有理所當然地將首席信息官視為其他高級職務、董事會任命和其他類似高級職務的候選人。

　　但安全領域的領導者表示，隨著安全成為企業董事會層面的關注點以及消費者利益和政府關注的問題，首席信息安全官的職位變得更加關鍵、更加突出以及要求更高。因此，安全主管開發了更廣泛的技能來完成他們的工作。而這反過來又開辟了更多的職業發展機會。

　　卡內基梅隆大學軟件工程研究所的CERT部門首席信息安全官GregoryJ.Touhill說。“在過去的三到五年里，這些額外的路徑已經開辟出來，這是因為角色的日益成熟，以及企業董事會對首席信息安全官角色的理解在那段時間里有了顯著提高。”

　　他補充說：“由于企業董事會將網絡安全作為業務推動者的優先事項，我們看到首席信息安全官的人才和能力得到了越來越多的認可，這些人才和能力遠遠超出了技術范圍，還延伸到了運營領導力。”

　　產生影響

　　Touhill對這一演變有自己的見解：他是美國聯邦政府前首席信息安全官，被前任總統奧巴馬任命為美國聯邦政府的第一位首席信息安全官。他表示，他選擇后續角色的部分原因是希望了解自己可以在哪里發揮最大的作用。

　　然而，這種產生影響的能力往往是安全主管喜歡首席信息安全官職位的原因。

　　正如Engle所說，“作為首席信息安全官，將提供服務，確保客戶安全，這才是真正的意義所在。首席信息安全官必須成為推動者和保護者。這就是我喜歡的原因，試圖找出一種方法讓安全成為業務的推動者。”

　　這也將首席信息安全官吸引到其他職位。

　　轉型或升遷

　　Aiello說，他看到一些安全高管希望辭去他們的首席信息安全官職位，轉而在企業董事會以及初創公司和安全供應商的顧問委員會擔任職位，他們可以在這些職位上產生如此大的影響。

　　這就是SimonHodgkinson所走的道路。

　　Hodgkinson從IT和安全部門晉升，2017年到2020年擔任英國石油公司的首席信息安全官。他目前在RangeForce、Relianceacsn、Semperis和Zscaler等多家企業和組織擔任顧問和執行職務。

　　他表示，他從事首席信息安全官的經歷為目前的工作做好了準備。

　　他說，“作為英國石油公司的首席信息安全官，獲得了與董事會和執行領導層密切合作的機會，以真正了解戰略業務成果、數字化轉型如何成為實現這些目標的關鍵，以及如何適當地管理網絡安全。這種經驗在咨詢角色中非常寶貴。”他補充說，作為一名首席信息官，他每年都接觸數千家公司的高管，能夠分享與首席信息官合作的成功或失敗之處，這是與這些公司分享的寶貴經驗。

　　Aiello說，他看到首席信息安全官也開始從事咨詢工作和風險投資領域的工作，而風險投資尤其因其創造財富的機會而具有吸引力。

　　其他人則認為，首席信息安全官將成為安全供應商的首席風險官、首席信托官以及首席產品官。

　　與此同時，Touhill表示，首席信息安全官非常適合擔任新的、新興的執行角色，負責監督所有網絡安全領域以及物理和人事相關領域。

　　追求激情

　　DawnCappelli說，在她于今年4月從自動化技術提供商羅克韋爾公司首席信息安全官職位上退休之后有多種選擇，當時她決定退休，并放棄作為首席信息安全官所承擔的巨大責任。

　　她承認她的首選計劃是退休，但在一位同事說服她可以發揮更大的作用之后，她重新考慮了自己的目標。

　　Cappelli說，她想成為一名“安全布道者”，但也希望有更多時間陪伴她的家人。她最后擔任了網絡安全服務商Dragos公司的OTCERT兼職主管。

　　她說，“這正好讓我有了更多激情點，我覺得我可以做一些事情來幫助社會。”她解釋說，她負責為工業資產所有者和運營商啟動一個社區資源中心。

　　Aiello說，Cappelli并不是唯一一個重新考慮或正在重新考慮他們的退休計劃的安全高管，首席信息安全官在晉升到企業高管之后將會考慮這些問題。

　　找到合適的人選

　　Aiello和其他人都認為這種思考很重要，因為并非所有可能的選擇都適用于所有人。他們指出，并不是所有企業安全主管都在培養其他一些職位所需的領導技能和商業敏銳度。與此同時，有些人的最終理想可能就是首席信息安全官職位。

　　Touhill說：“我不認為首席信息安全官一定要成為職業的巔峰，但如果是的話，它仍然是一個偉大的職位，它仍然具有偉大的意義。”

　　他補充說：“并非每個首席信息安全官都想成為首席運營官，這一切都是為了找到合適的人選、合適的團隊和正確的使命。”

　　ScottKing曾在SempraEnergy公司擔任首席信息安全官，之后于2017年成為網絡安全供應商Rapid7的網絡安全服務高級總監。他表示，他這樣做的部分原因是為了更多地了解企業如何獲利。

　　安可資本集團副總裁兼首席信息安全官ScottKing說，“我想更多地了解企業的運作方式，我想知道損益表。這真的是我工作的動力。”

　　他解釋說，“我學到了想要了解的關于利潤和損益的知識，所以我想回去應用在安全計劃中學到的東西。這就是我重新成為首席信息安全官的原因。”

　　King表示，他認為首席信息安全官在擔任和退出這一角色時并不總是那么容易，但這為安全專業人士提供了更多機會，同時進一步提升了他們作為執行領導人的聲譽。

　　他說，“這個職業的關注范圍很窄：試圖阻止壞事的發生。但這種情況發生了變化，人們的看法也發生了變化，如果他們愿意的話，現在有更多的人現在能夠轉移到其他職位。”