一些不当行为会让高管陷入困境。违法和不道德的行为最显而易见，这类行为通常会让高管丧失就业机会。大多数专业人士都明白，如果想继续职业生涯，就必须避免这些行为。

据高管、职业教练和高管顾问表示，还有许多其他失误也会阻碍职业晋升，其中一些并不那么明显，因此更难避免。此外，安全领导者还面临一些特定的担忧或行为模式，也可能成为职业发展的绊脚石。

以下是10种可能使安全领导者的职业生涯“短路”的表现。

1. 未能将安全与业务优先级对齐

这是当前安全领导者的首要要求之一，如果做不到，就会被边缘化。

软件公司Benevity的CISO James Carder表示：“安全已经从最终目标转变为业务赋能职能，这意味着安全战略、沟通、规划和执行都必须与业务成果保持一致。如果安全工作不能带来有意义的ROI，那么CISO很可能做错了。安全不应只是成本中心，如果我们的行为或汇报让人觉得它是成本中心，那就是在失职。”

Carder指出，那些尚未将安全与业务战略对齐的CISO必须做出“根本性的思维转变”。

“首先要接受角色已经改变的事实。我们不再是把关人，而是进步的推动者。”他说。

2. 只做技术专家，而不是业务高管

前沃尔玛迪士尼公司和Costco Wholesale的CISO Ryan Knisley指出，要让安全与企业战略保持一致，安全从业者也必须成为业务领导者。

许多CISO依然难以做到这一点，他们往往通过安全部门逐级晋升，而不是通过业务部门，这种职业路径导致他们缺乏将风险与营收挂钩的能力，或用业务指标衡量安全成效的能力。

“结果，他们的角色被边缘化，被看作是额外负担。”Knisley说。如今，他是科技公司Axonius的首席产品战略官。

他建议CISO通过寻找网络安全之外的职业导师、积累安全领域之外的工作经验，来提升业务能力。

3. 停留在“拒绝”，而未能走向“是”

CISO通常都明白，安全部门不能是“否决部门”。

Transcend公司驻场CISO、前UnitedHealth Group的CISO Aimee Cardwell指出，有些人没能真正做到“说是”，这同样意味着他们未能为企业提供价值，并可能因此阻碍职业发展。

要做到“说是”，CISO需要理解企业的风险容忍度，从而在安全控制与业务对速度和便利性的需求之间找到平衡。

NCC Group的高级顾问兼安全总监Tim Rawlins解释说：“那些能够说出‘是的，我会帮你安全、稳妥、具备更强韧性地去实现目标’的CISO，才更有可能推动自己的职业发展。”

4. 画“红线”

Rawlins最近与一位CISO合作时发现，当该CISO听到业务同事提出一个高风险想法时，直接回应：“这是我的红线。”

Rawlins建议避免这样做，因为这表明CISO并没有真正聚焦业务需求。

“CISO不能划出一道红线说‘绝对不行’，因为如果这件事对业务很重要，他们必须找到一个安全、可靠的实现方式。否则，业务会绕过你。”Rawlins说。

5. 过于死板地执行规则

同样，过于死板地遵循规则的CISO也会损害企业和自身职业前景，Cardwell表示。

她举了一个实际案例：在她所在的企业里，一名团队成员起初拒绝批准一款第三方应用的使用，理由是安全策略禁止此类应用。

Cardwell与该员工进一步分析，发现这款应用只会在两台机器上运行两个月，而且对某个业务项目至关重要。

最终，他们决定在安全策略上做出例外，并采取相应控制措施，例如创建服务工单，确保项目结束时卸载该应用，从而为业务承担一个可控风险。

Cardwell指出，这种做法展现了安全作为业务赋能者的角色，确保CISO和安全团队被视为合作伙伴，而不是需要绕开的障碍。

6. 对AI做出错误判断

随着AI的普及，CISO必须不断加深对这项技术的理解，才能合理地保障其安全，否则，他们会被视为“前AI时代的遗留产物”。

Tiro Security的虚拟CTO兼CISO、同时也是ISACA(一个专注于IT治理的专业协会)的网络安全专家Jenai Marinkovic指出，许多安全从业者依旧把AI“当作一种普通的技术工具，而不是一个新的环境”。

“AI是一种环境修正器，”她说，“它改变了对抗格局、决策循环，甚至改变了企业内部对‘真相’的认知。如果专业人士继续把AI仅仅视作一种功能，他们就会误读环境，并提出针对已不存在威胁类型的解决方案，他们的逻辑会在实时中失效。”

她补充说：“未来注定失败的职业，并不是因为懒惰或无能，而是因为仍然在依赖过时的知识体系。”

7. 缺乏对资产和依赖关系的可见性

如果CISO无法全面掌握需要保护的一切资产，他们就难以在岗位上取得成功。

“如果他们缺乏可见性，无法阐述控制措施的有效性，那么他们将失去公信力，领导层对他们的信任也会逐渐流失。”Knisley表示。

Marinkovic指出，如今“可见性”的范围比以往更加广泛，那些未能对几乎所有组织中存在的隐性依赖关系进行建模的CISO，正在为失败埋下伏笔。

“在混合系统中——无论是生物、数字、运营还是地缘政治，最具灾难性的故障往往出现在未建模的耦合点。”她说，“如果你看不到自己的控制逻辑(无论是技术还是管理)如何与不可见的系统(如监管、文化、经济)交互，你就无法治理它。你的职业变得脆弱，并非因为缺乏技能，而是因为缺乏综合感知能力。”

8. 只顾自己

在各个领域，专业人士的成长部分依赖于帮助他人完成工作，成为同事值得信赖的合作伙伴，并在组织内部建立关系。有些人善于社交，而某些岗位则需要通过协作来形成这种职场纽带。

但许多企业中的安全职能往往不具备这种天然优势。即便如此，关系建设对安全项目的成功和个人职业发展同样重要，All-Star Executive Coaching创始人Kimberly Roush指出。

因此，安全从业者必须主动创造机会。Roush建议，可以通过以下方式与同事建立联系：主动沟通和提问，认可他人的成就，安排会议向他人学习。“如果你希望在本部门之外产生影响力，那你绝对应该去做这些事情。”

9. 吝惜时间和注意力

毫无疑问，CISO的时间极为紧张，但他们必须避免因为过于忙碌而无法认真倾听他人的关切。

“你不想用尖锐的回应把别人推开，因为一旦这样做，你就永远失去了那个人;这会让对方觉得，‘我不想再和这个CISO合作了’。”Cardwell说。

在这种情况下，人们会绕过安全部门，把安全问题或漏洞隐瞒在心里。

“我很清楚，如果我第一次拒绝了某人，那将是他们最后一次向我提出问题，所以如果有人带问题来，我会心怀感激地接纳。”Cardwell补充道。

她强调，即便是一些微小的抱怨或担忧，也可能揭示重大安全问题，如果被忽视，最终会对安全团队和其领导层造成不良影响。“这就是为什么当有人带着问题来找你时，你应该对他们所说的内容保持好奇，因为它可能暴露出一些非常有价值的情况。”

10. 错误处理数据泄露

CISO并不是唯一清楚“安全事件不是是否发生，而是何时发生”的人，如今，他们的高管同僚同样很清楚这一点。

因此，数据泄露事件本身已不再是职业“致命伤”。

“过去，发生过泄露会成为CISO的污点。”Cardwell说，“但现在情况几乎反过来了。如果一个CISO从未经历过泄露，我反而不太愿意雇佣他们，因为我更希望他们已经在别的地方经历过危机，从中吸取了教训，然后带着这种经验加入我的组织，对韧性建设有更清晰的认识。”

但如果CISO在事件响应中处理不当，危机依然可能摧毁他们的职业生涯。

“真正能毁掉职业的，不是泄露本身，而是应对不力。”Rawlins说。

他强调，CISO必须具备一套经过充分演练的事件响应计划，以便在危机中果断执行，遏制损害，并迅速推动恢复。他们需要冷静、清晰地沟通，并展现出掌控力。

“当然，这可能仍意味着你在这家雇主的任期即将结束，我们仍然看到，经历重大泄露的CISO往往还能再坚持大约18个月。”Rawlins说，“但这并不一定会毁掉你的职业生涯。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。