网络安全是一个极具发展前景的职业方向，根据IANS和Artico Search发布的2025年基准报告，网络安全人才需求旺盛，薪酬水平也相当可观，领先职能岗位的平均底薪超过15万美元。

然而，网络安全工作也面临着诸多挑战，这些挑战在招聘信息、媒体报道甚至行业活动中往往被轻描淡写，而这些挑战会逐渐消磨网络安全从业者的热情。具体而言，IANS和Artico Search发现，尽管职能岗位员工普遍对工作持积极态度，但资深从业者对自身处境的满意度较低。在评价当前职业状况时，中层管理人员和部门负责人中持负面评价和正面评价的人数不相上下。

为了深入了解网络安全从业者对职业不满的根源，我们与业内人士进行了交流，他们的观点揭示了网络安全领域常被忽视的现实，以及他们认为有效的应对策略。

网络安全，机会虽多却非人人平等

Forward Networks的CISO Mike Morrato表示，进入网络安全领域的首要障碍就是入行难，这主要归因于行业内长期存在的准入限制，他以自己的经历为例进行了说明。

“曾经，我认为必须掌握基本的网络技能，没有这些知识，就无法成为一名高效的安全从业者。”他说道。

Morrato现在认识到，网络安全涵盖多个领域，但他认为业内许多人仍持有这种狭隘的观点。“在网络安全行业，很多人仍然认为网络安全就是防火墙、入侵防御系统(IPS)和虚拟专用网络(VPN)，这从根本上来说是错误的。”他说道。

因此，领导层和人力资源团队在招聘时往往只关注拥有特定学历或专业证书的候选人，这些证书通常来自思科、瞻博网络或Palo Alto等供应商。尽管Morrato理解网络安全招聘成本高昂，但他认为这种做法不公平地排除了许多有能力的人，而在过去，这些人本会有更多机会。

他回忆起自己的职业道路：大学辍学后，他从一份可以边工作边学习的岗位起步，最终获得了认证网络管理员(CNA)证书。

为了消除招聘中的偏见，Morrato亲自参与招聘流程，他亲自撰写所有职位描述，并直接与人力资源部门一起筛选简历。“我们会一起审阅前15、20、30份简历，无论数量多少，然后，我会与招聘人员或人力资源部门沟通，指出哪些人是我想要的，哪些人不是。”他说道。

他还特别关注那些可能因非传统背景而被忽视的候选人，例如神经多样性人群。“在开发领域，多样性人才很多，在网络安全领域也是如此，如果我忽视这些人，就会错过很多人才。”他说道。

对Morrato而言，学历和证书只是在其他条件相同的情况下，用来区分候选人的因素。他坚持认为，尽管大型企业的CISO可能无法深度参与招聘，但高级总监仍可以做到。他的方法为他招揽到了许多职业生涯中最优秀的员工，而这些人在传统招聘流程中很可能会被淘汰。

Morrato还鼓励网络安全领导者考虑具有“相关技能”的申请人。

“如果有一个网络技术人员想从网络信息技术岗位转向网络安全岗位，这将非常合适，他们可能不了解我的所有技术，但他们了解驱动我技术的基础。”他解释道。

对于求职者，Morrato建议不要仅靠简历脱颖而出。定制化的求职信能产生真正的影响，而面对面建立人脉关系仍然非常有效。

“参加这些活动可能极其无聊，但那里有人，你可以在那里结识他人，最终，这些人也能为你打开机会之门。”他说道。

网络安全团队重系统保护而轻人文关怀

费尽心力进入网络安全领域后，从业者往往会发现，所在团队并不友好或缺乏支持。

Forrester研究总监Jinan Budge专注于赋能CISO和其他技术领导者，她认为，大多数网络安全职业发展路径的结构设计是造成这一现象的原因之一。由于大多数团队管理者都是从技术岗位晋升而来，他们往往缺乏领导力和人际交往能力，难以培养健康的团队文化或有效管理利益相关者关系。

这种文化脱节对个人产生了切实的影响。“从事安全工作的人员并不总是感到安全——心理上的安全。”Budge解释道。

Forrester最近的研究表明，心理安全感低与组织问题(如缺勤、沟通不畅，更严重的是，安全漏洞风险增加)之间存在紧密联系。

“在某些情况下，团队心理安全感越低，遭受安全漏洞攻击的可能性就越高，是(心理安全感高团队)的三到四倍。”Budge说道。她鼓励身处这种环境的网络安全从业者进行诚实的自我反思。“重要的是要审视：这是真正的‘有毒’环境吗?这是我能够影响的事情吗?我能够改变吗?这是我的问题，还是企业本身的问题，是我老板的问题?”她说道。

在思考这些问题时，Budge建议寻求员工援助计划、高管教练甚至心理学家的帮助。如果问题出在企业本身，她强烈建议考虑离职。

尽管如此，许多专业人士仍不愿离开“有毒”的工作环境，担心短暂的任职经历会影响未来的求职前景。Budge认为这是一种普遍担忧，她指出，许多人仅仅为了达到任意的12至18个月最低任期要求，而留在不健康的环境中。Budge认为，在招聘时，这种对过往任期长度的僵化思维已不再适用。“我觉得那种日子已经一去不复返了。”她说道。

为了降低不匹配的风险，Budge建议在评估潜在雇主时进行尽职调查，尤其是领导岗位。“假设你去一家律师事务所工作，而他们只希望CISO负责ISO 27001合规工作。”她说，“如果你希望成为变革型领导者，那这份工作就不适合你。”她强调，要将个人优势和动机与公司的整体方向保持一致。

IDIQ的CTO Patrick Glennon补充道，职能岗位员工也应寻找能让自己充满活力的工作。例如，那些热衷于调查的人可能会发现，梳理Web应用防火墙日志并将其与系统访问日志相关联，以发现有意义的模式，能让自己重焕活力。“我会专注于最初吸引你进入这个领域的事情。”他总结道。

网络安全被污名化为业务阻碍者

Trend Micro现场CTO Bharat Mistry指出，CISO可能会采取零风险心态，在未与关键利益相关者沟通的情况下实施全面控制，这会使网络安全在常常已经独立运作的IT部门中进一步被孤立。

“你有网络团队、服务器团队、IT应用团队，然后安全团队位于链条的最后。”Mistry说道。他补充道，这种孤立最终塑造了网络安全的内部声誉。“由于他们常被视为一个只会拒绝的部门，因此该团队的声誉就是‘他们是业务阻碍者，而非推动者’。”他说道。

为了克服内部脱节，Mistry建议举办活动，让网络安全团队有机会分享对更广泛威胁形势和企业当前态势的见解，同时邀请其他部门提出意见。

“我们希望了解你们的工作方式、面临的挑战以及需要应对的新法规，然后，让我们携手制定联合战略，探讨如何让你们更好、更快、更高效地开展工作。”他说道。

这种对话有助于消除一个长期存在的误解。“网络安全被视为一个技术问题，在大多数组织中，人们认为它属于IT团队的职责范围，但现实是：这是一个全公司的问题。”Mistry说道。

为了强调这一点，Mistry鼓励培养网络安全倡导者——来自人力资源、市场营销和法务等部门的志愿者，他们可以帮助同事了解网络安全、提高对相关风险的认识并推广良好的网络安全习惯。

Gartner副总裁分析师Richard Addiscot看到，这些非正式角色正越来越多地被正式化为业务信息安全官(BISO)等职位，这反映了在业务的各个层面嵌入安全性的需求日益增长。

“这些职位旨在成为安全职能与业务部门之间的桥梁，以确保业务部门想要实现的目标能够得到妥善管理。”他说道。

即使有这些倡导者，Addiscot仍强调沟通必须从高层开始。CISO必须明确阐述他们的工作如何与更广泛的业务目标保持一致，然而，要实现这种一致可能很困难。“业务部门期望的沟通与CISO实际传达的信息之间往往存在脱节。”Addiscot解释道。他指出，这种差距通常源于CISO的技术背景。

“对于任何希望成为真正的首席级CISO的中级安全经理来说，培养商业头脑、了解业务运作方式，而非仅仅成为技术专家，是一个至关重要的转变。”他说道。

Mistry表示，网络安全团队还必须重新思考他们处理风险的方式，因为仅依赖严格、一刀切的控制措施已不再可行，相反，他主张采用一种更灵活、更贴合业务需求的框架，该框架应考虑整体风险暴露情况，而不仅仅是技术漏洞。

“我能接受这种风险吗?我不能接受这种风险吗?我能采取什么措施来降低风险?我能转移风险吗?这是一个关于风险的对话，而不是关于‘速度和性能’的对话。”他说道。他强调，网络安全领导者必须积极与整个组织建立关系，以使这种对话成为可能。

如果不做出这些努力，网络安全的孤立状态就会对从业者的职业体验产生负面影响。

利益相关者期望从业者成为“达芬奇式”全才

Exterro的CISO Anthony Diaz指出了网络安全职业生涯的另一个残酷现实：技术变革的步伐永不停歇。

“威胁行为者学习迅速，不断寻找新角度，并利用最新创新成果，包括AI的快速发展。这就要求我们作为防御者，必须不断学习、不断适应，这相当具有挑战性。”Diaz说道。

这不仅仅是学习更多知识的问题，还意味着要做更多工作，根据IANS和Artico Search的报告，61%的网络安全人员跨多个领域工作。例如，在架构与工程领域的专业人员中，23%也参与身份和访问管理，26%参与应用安全，近一半(48%)参与产品安全。

这些期望在领导层面更为强烈，Forrester的Budge称之为“达芬奇谬误”。

“人们期望CISO成为掌握网络安全、技术、战略、财务、人员管理和沟通等多方面技能的专家，这对任何领导者，尤其是安全领导者来说，都是一个沉重的期望负担。”她说道。

为了满足对网络安全从业者日益增长的需求，Diaz主张开展培训计划，不仅要涵盖网络安全的基本要素，还要融入风险管理。“这包括定期进行逼真的风险评估，并制定切实可行的缓解策略，既要考虑技术方面，也要考虑人为因素。”他说道。

他还倡导建立导师制度，将经验丰富的专业人士与新团队成员配对，以传授风险评估技能和核心知识。

尽管网络安全专业人士可能面临比大多数知识工作者更陡峭的学习曲线，但IDIQ的Glennon认为，发展机会是一个强大的激励因素，他以会议为例，指出专业人士可以通过会议了解与新兴技术相关的最佳实践。

“你参与这类活动越多，就越能保持活力，更好地投入工作，并对正在发生的事情感到兴奋，这既能留住员工，又能促进员工发展。”他说道。

时刻保持警惕带来的情感代价

Aptos的CIO Jason James指出，网络安全专业人士没有休息时间，他们必须时刻准备应对攻击——不是会不会发生，而是何时发生。“你长时间保持警惕，这确实会让人在情感上感到疲惫。”James说道。他更喜欢用“工作与生活和谐”这一术语，它允许注意力转移，而“工作与生活平衡”则暗示了两者之间的虚假平等。

对James而言，实现工作与生活和谐需要真正脱离工作、放松身心，去做能带来快乐和开阔视野的事情。对他来说，这意味着阅读非商业类书籍，如回忆录，以及与家人一起旅行，比如最近和孩子们一起乘坐迪士尼游轮。他还有意采取措施，确保团队也能做到这一点，他会定期查看团队成员使用了多少带薪休假(PTO)，并且从不拒绝带薪休假申请。

作为一名全球领导者，他特别关注文化差异，尤其是美国员工往往不愿休假。“作为一名领导者，你需要查看他们的带薪休假情况，然后问，‘嗯，他们休了多少假?’有些人会说，‘不，我不想休假。’这时你要说，‘不，你需要休假。’”他说道。

为了更清楚地了解整个组织的工作与生活和谐情况，James告诫其他技术领导者不要仅依赖直接下属过滤后的沟通信息。为了保持联系和了解情况，他定期举行跨层级会议，这使他能够直接与直属管理团队以外的员工交流。

“这是为了表明你并未脱离业务，没有坐在象牙塔里。领导的理念不是位居顶层，而是走在前列。”他说道。

James还强调了继任计划的重要性，以确保团队成员在休假时无需担心工作连续性。

IDIQ的Glennon也持类似观点，他解释说，通过影子学习和知识共享进行交叉培训，有助于在各个岗位建立冗余，从而在关键人员休假时降低风险。

“我们的一位主要员工刚刚去欧洲度了两周假，我觉得他只检查了一两次工作，我们能够做到这一点，是因为我们有两个人在代班。”他说道。

James承认，尽管新技术有助于抵御不良行为者，但保持工作与生活和谐同样至关重要。

“我们有很多AI技术来保护我们的环境，但归根结底，我领导的是人员，管理的是服务，因此，我有责任确保我也保护着那些保护我们的人。”他说道。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。