網絡安全是一個極具發展前景的職業方向,根據IANS和Artico Search發布的2025年基準報告,網絡安全人才需求旺盛,薪酬水平也相當可觀,領先職能崗位的平均底薪超過15萬美元。
然而,網絡安全工作也面臨著諸多挑戰,這些挑戰在招聘信息、媒體報道甚至行業活動中往往被輕描淡寫,而這些挑戰會逐漸消磨網絡安全從業者的熱情。具體而言,IANS和Artico Search發現,盡管職能崗位員工普遍對工作持積極態度,但資深從業者對自身處境的滿意度較低。在評價當前職業狀況時,中層管理人員和部門負責人中持負面評價和正面評價的人數不相上下。
為了深入了解網絡安全從業者對職業不滿的根源,我們與業內人士進行了交流,他們的觀點揭示了網絡安全領域常被忽視的現實,以及他們認為有效的應對策略。
網絡安全,機會雖多卻非人人平等
Forward Networks的CISO Mike Morrato表示,進入網絡安全領域的首要障礙就是入行難,這主要歸因于行業內長期存在的準入限制,他以自己的經歷為例進行了說明。
“曾經,我認為必須掌握基本的網絡技能,沒有這些知識,就無法成為一名高效的安全從業者。”他說道。
Morrato現在認識到,網絡安全涵蓋多個領域,但他認為業內許多人仍持有這種狹隘的觀點。“在網絡安全行業,很多人仍然認為網絡安全就是防火墻、入侵防御系統(IPS)和虛擬專用網絡(VPN),這從根本上來說是錯誤的。”他說道。
因此,領導層和人力資源團隊在招聘時往往只關注擁有特定學歷或專業證書的候選人,這些證書通常來自思科、瞻博網絡或Palo Alto等供應商。盡管Morrato理解網絡安全招聘成本高昂,但他認為這種做法不公平地排除了許多有能力的人,而在過去,這些人本會有更多機會。
他回憶起自己的職業道路:大學輟學后,他從一份可以邊工作邊學習的崗位起步,最終獲得了認證網絡管理員(CNA)證書。
為了消除招聘中的偏見,Morrato親自參與招聘流程,他親自撰寫所有職位描述,并直接與人力資源部門一起篩選簡歷。“我們會一起審閱前15、20、30份簡歷,無論數量多少,然后,我會與招聘人員或人力資源部門溝通,指出哪些人是我想要的,哪些人不是。”他說道。
他還特別關注那些可能因非傳統背景而被忽視的候選人,例如神經多樣性人群。“在開發領域,多樣性人才很多,在網絡安全領域也是如此,如果我忽視這些人,就會錯過很多人才。”他說道。
對Morrato而言,學歷和證書只是在其他條件相同的情況下,用來區分候選人的因素。他堅持認為,盡管大型企業的CISO可能無法深度參與招聘,但高級總監仍可以做到。他的方法為他招攬到了許多職業生涯中最優秀的員工,而這些人在傳統招聘流程中很可能會被淘汰。
Morrato還鼓勵網絡安全領導者考慮具有“相關技能”的申請人。
“如果有一個網絡技術人員想從網絡信息技術崗位轉向網絡安全崗位,這將非常合適,他們可能不了解我的所有技術,但他們了解驅動我技術的基礎。”他解釋道。
對于求職者,Morrato建議不要僅靠簡歷脫穎而出。定制化的求職信能產生真正的影響,而面對面建立人脈關系仍然非常有效。
“參加這些活動可能極其無聊,但那里有人,你可以在那里結識他人,最終,這些人也能為你打開機會之門。”他說道。
網絡安全團隊重系統保護而輕人文關懷
費盡心力進入網絡安全領域后,從業者往往會發現,所在團隊并不友好或缺乏支持。
Forrester研究總監Jinan Budge專注于賦能CISO和其他技術領導者,她認為,大多數網絡安全職業發展路徑的結構設計是造成這一現象的原因之一。由于大多數團隊管理者都是從技術崗位晉升而來,他們往往缺乏領導力和人際交往能力,難以培養健康的團隊文化或有效管理利益相關者關系。
這種文化脫節對個人產生了切實的影響。“從事安全工作的人員并不總是感到安全——心理上的安全。”Budge解釋道。
Forrester最近的研究表明,心理安全感低與組織問題(如缺勤、溝通不暢,更嚴重的是,安全漏洞風險增加)之間存在緊密聯系。
“在某些情況下,團隊心理安全感越低,遭受安全漏洞攻擊的可能性就越高,是(心理安全感高團隊)的三到四倍。”Budge說道。她鼓勵身處這種環境的網絡安全從業者進行誠實的自我反思。“重要的是要審視:這是真正的‘有毒’環境嗎?這是我能夠影響的事情嗎?我能夠改變嗎?這是我的問題,還是企業本身的問題,是我老板的問題?”她說道。
在思考這些問題時,Budge建議尋求員工援助計劃、高管教練甚至心理學家的幫助。如果問題出在企業本身,她強烈建議考慮離職。
盡管如此,許多專業人士仍不愿離開“有毒”的工作環境,擔心短暫的任職經歷會影響未來的求職前景。Budge認為這是一種普遍擔憂,她指出,許多人僅僅為了達到任意的12至18個月最低任期要求,而留在不健康的環境中。Budge認為,在招聘時,這種對過往任期長度的僵化思維已不再適用。“我覺得那種日子已經一去不復返了。”她說道。
為了降低不匹配的風險,Budge建議在評估潛在雇主時進行盡職調查,尤其是領導崗位。“假設你去一家律師事務所工作,而他們只希望CISO負責ISO 27001合規工作。”她說,“如果你希望成為變革型領導者,那這份工作就不適合你。”她強調,要將個人優勢和動機與公司的整體方向保持一致。
IDIQ的CTO Patrick Glennon補充道,職能崗位員工也應尋找能讓自己充滿活力的工作。例如,那些熱衷于調查的人可能會發現,梳理Web應用防火墻日志并將其與系統訪問日志相關聯,以發現有意義的模式,能讓自己重煥活力。“我會專注于最初吸引你進入這個領域的事情。”他總結道。
網絡安全被污名化為業務阻礙者
Trend Micro現場CTO Bharat Mistry指出,CISO可能會采取零風險心態,在未與關鍵利益相關者溝通的情況下實施全面控制,這會使網絡安全在常常已經獨立運作的IT部門中進一步被孤立。
“你有網絡團隊、服務器團隊、IT應用團隊,然后安全團隊位于鏈條的最后。”Mistry說道。他補充道,這種孤立最終塑造了網絡安全的內部聲譽。“由于他們常被視為一個只會拒絕的部門,因此該團隊的聲譽就是‘他們是業務阻礙者,而非推動者’。”他說道。
為了克服內部脫節,Mistry建議舉辦活動,讓網絡安全團隊有機會分享對更廣泛威脅形勢和企業當前態勢的見解,同時邀請其他部門提出意見。
“我們希望了解你們的工作方式、面臨的挑戰以及需要應對的新法規,然后,讓我們攜手制定聯合戰略,探討如何讓你們更好、更快、更高效地開展工作。”他說道。
這種對話有助于消除一個長期存在的誤解。“網絡安全被視為一個技術問題,在大多數組織中,人們認為它屬于IT團隊的職責范圍,但現實是:這是一個全公司的問題。”Mistry說道。
為了強調這一點,Mistry鼓勵培養網絡安全倡導者——來自人力資源、市場營銷和法務等部門的志愿者,他們可以幫助同事了解網絡安全、提高對相關風險的認識并推廣良好的網絡安全習慣。
Gartner副總裁分析師Richard Addiscot看到,這些非正式角色正越來越多地被正式化為業務信息安全官(BISO)等職位,這反映了在業務的各個層面嵌入安全性的需求日益增長。
“這些職位旨在成為安全職能與業務部門之間的橋梁,以確保業務部門想要實現的目標能夠得到妥善管理。”他說道。
即使有這些倡導者,Addiscot仍強調溝通必須從高層開始。CISO必須明確闡述他們的工作如何與更廣泛的業務目標保持一致,然而,要實現這種一致可能很困難。“業務部門期望的溝通與CISO實際傳達的信息之間往往存在脫節。”Addiscot解釋道。他指出,這種差距通常源于CISO的技術背景。
“對于任何希望成為真正的首席級CISO的中級安全經理來說,培養商業頭腦、了解業務運作方式,而非僅僅成為技術專家,是一個至關重要的轉變。”他說道。
Mistry表示,網絡安全團隊還必須重新思考他們處理風險的方式,因為僅依賴嚴格、一刀切的控制措施已不再可行,相反,他主張采用一種更靈活、更貼合業務需求的框架,該框架應考慮整體風險暴露情況,而不僅僅是技術漏洞。
“我能接受這種風險嗎?我不能接受這種風險嗎?我能采取什么措施來降低風險?我能轉移風險嗎?這是一個關于風險的對話,而不是關于‘速度和性能’的對話。”他說道。他強調,網絡安全領導者必須積極與整個組織建立關系,以使這種對話成為可能。
如果不做出這些努力,網絡安全的孤立狀態就會對從業者的職業體驗產生負面影響。
利益相關者期望從業者成為“達芬奇式”全才
Exterro的CISO Anthony Diaz指出了網絡安全職業生涯的另一個殘酷現實:技術變革的步伐永不停歇。
“威脅行為者學習迅速,不斷尋找新角度,并利用最新創新成果,包括AI的快速發展。這就要求我們作為防御者,必須不斷學習、不斷適應,這相當具有挑戰性。”Diaz說道。
這不僅僅是學習更多知識的問題,還意味著要做更多工作,根據IANS和Artico Search的報告,61%的網絡安全人員跨多個領域工作。例如,在架構與工程領域的專業人員中,23%也參與身份和訪問管理,26%參與應用安全,近一半(48%)參與產品安全。
這些期望在領導層面更為強烈,Forrester的Budge稱之為“達芬奇謬誤”。
“人們期望CISO成為掌握網絡安全、技術、戰略、財務、人員管理和溝通等多方面技能的專家,這對任何領導者,尤其是安全領導者來說,都是一個沉重的期望負擔。”她說道。
為了滿足對網絡安全從業者日益增長的需求,Diaz主張開展培訓計劃,不僅要涵蓋網絡安全的基本要素,還要融入風險管理。“這包括定期進行逼真的風險評估,并制定切實可行的緩解策略,既要考慮技術方面,也要考慮人為因素。”他說道。
他還倡導建立導師制度,將經驗豐富的專業人士與新團隊成員配對,以傳授風險評估技能和核心知識。
盡管網絡安全專業人士可能面臨比大多數知識工作者更陡峭的學習曲線,但IDIQ的Glennon認為,發展機會是一個強大的激勵因素,他以會議為例,指出專業人士可以通過會議了解與新興技術相關的最佳實踐。
“你參與這類活動越多,就越能保持活力,更好地投入工作,并對正在發生的事情感到興奮,這既能留住員工,又能促進員工發展。”他說道。
時刻保持警惕帶來的情感代價
Aptos的CIO Jason James指出,網絡安全專業人士沒有休息時間,他們必須時刻準備應對攻擊——不是會不會發生,而是何時發生。“你長時間保持警惕,這確實會讓人在情感上感到疲憊。”James說道。他更喜歡用“工作與生活和諧”這一術語,它允許注意力轉移,而“工作與生活平衡”則暗示了兩者之間的虛假平等。
對James而言,實現工作與生活和諧需要真正脫離工作、放松身心,去做能帶來快樂和開闊視野的事情。對他來說,這意味著閱讀非商業類書籍,如回憶錄,以及與家人一起旅行,比如最近和孩子們一起乘坐迪士尼游輪。他還有意采取措施,確保團隊也能做到這一點,他會定期查看團隊成員使用了多少帶薪休假(PTO),并且從不拒絕帶薪休假申請。
作為一名全球領導者,他特別關注文化差異,尤其是美國員工往往不愿休假。“作為一名領導者,你需要查看他們的帶薪休假情況,然后問,‘嗯,他們休了多少假?’有些人會說,‘不,我不想休假。’這時你要說,‘不,你需要休假。’”他說道。
為了更清楚地了解整個組織的工作與生活和諧情況,James告誡其他技術領導者不要僅依賴直接下屬過濾后的溝通信息。為了保持聯系和了解情況,他定期舉行跨層級會議,這使他能夠直接與直屬管理團隊以外的員工交流。
“這是為了表明你并未脫離業務,沒有坐在象牙塔里。領導的理念不是位居頂層,而是走在前列。”他說道。
James還強調了繼任計劃的重要性,以確保團隊成員在休假時無需擔心工作連續性。
IDIQ的Glennon也持類似觀點,他解釋說,通過影子學習和知識共享進行交叉培訓,有助于在各個崗位建立冗余,從而在關鍵人員休假時降低風險。
“我們的一位主要員工剛剛去歐洲度了兩周假,我覺得他只檢查了一兩次工作,我們能夠做到這一點,是因為我們有兩個人在代班。”他說道。
James承認,盡管新技術有助于抵御不良行為者,但保持工作與生活和諧同樣至關重要。
“我們有很多AI技術來保護我們的環境,但歸根結底,我領導的是人員,管理的是服務,因此,我有責任確保我也保護著那些保護我們的人。”他說道。
