文章总结： 文章驳斥CISO不懂业务的行业偏见。指出三十年前角色初立时确有脱节，但如今通过教育完善与认证成熟，多数CISO已成技术与商业复合型领导者，在争取预算与董事会沟通中表现卓越。现存困境多源于安全价值难量化等系统性问题而非个人能力缺失，应停止此类标签化指责。 综合评分： 84 文章分类： 安全建设

安全圈一大胡扯，总说“CISO不懂业务”

原创

Ross Haleliuk Ross Haleliuk

安全喵喵站

2026年3月12日 09:01 广东

在安全行业里，有太多被反复念叨、却根本站不住脚的说法。

“安全是一个只会说不的部门”（真相往往相反，安全更常被别人对着说“不”）。

“网络安全存在人才短缺”（确实缺的是高阶、专业化人才，但初级岗位早已严重过饱和）。

“安全是最拥挤的市场”（差得远了，营销技术、金融科技等领域的工具数量是安全的 5–10 倍）。

“攻击者只需要成功一次，防守者却要次次正确”（恰恰相反——攻击者必须长期不被发现，而一次失误就可能前功尽弃）。

“60% 的小企业在被黑后 6 个月内倒闭”（我朋友 Adrian Sanabria 曾在 USENIX 上专门拆解过这个，以及其他几个类似的神话）。

我们早就知道，这个行业里充斥着大量胡扯。过去十年里，我们也开始正面挑战这些说法。甚至已经有一本专门的书，叫《Cybersecurity Myths and Misconceptions: Avoiding the Hazards and Pitfalls that Derail Us》，作者是 Eugene Spafford、Leigh Metcalf 和 Josiah Dykstra。重点在于：方向是对的，我们正在往前走。

但仍然有一些神话顽固得惊人。多年过去，它们依旧被当作事实广泛接受。

在之前的一篇文章里，我拆解过其中两个：“我们的安全水平并没有比以前更好”（不成立），以及“安全工具实在太多了，我们需要更少的工具”（同样不成立）。

而这周，我准备再戳破一个格外离谱的谎言——“大多数 CISO 根本不懂业务，无法把风险转化为业务语言”，诸如此类。

二十年前，几乎没有 CISO 拥有成熟的业务领导履历

“CISO 不是业务型领导者”“CISO 不会把风险转化成业务语言”“CISO 说的都是黑话，董事会根本听不懂他们在讲什么”……这些说法其实都属于同一套叙事：CISO 过于沉迷细节、陷在技术泥潭里，因此无法成为优秀的领导者。

三十年前，也就是 1995 年，Steve Katz（1942–2023）被花旗集团（Citicorp）任命为一个全新设立的职位——CISO。这是历史上第一次有企业专门雇佣一名 CISO。随后，越来越多的公司开始把安全职责交给专职负责人，并将其提升为 C 级高管（至少在名义上）。但与很多人想象的不同，这一转变过程并不轻松。Steve Katz 被请进 CISO 角色，并不是因为 Citicorp 突然意识到技术需要被保护。相反，大约在 1994 年，市场上开始流传 Citicorp 遭到黑客入侵的传闻，真假无人知晓。最终事实证明，Citicorp 的系统确实被攻破，俄罗斯黑客从银行盗走了超过 1000 万美元。这也清楚地表明，从一开始，CISO 这个角色就是为了承担最棘手的问题而存在的。

当越来越多公司开始招聘 CISO 时，市场上显然并不存在一个既精通网络安全、又成熟老练的业务高管人才库。一方面，这个角色本身是新的，没有“前任经验”可供参考；另一方面，企业自身也没有招聘或共事 CISO 的经验，无法清晰界定对这个角色的期待，以及他们该如何在岗位上取得成功。结果就是，认为所有人都在边干边学：CISO 需要摸索如何理解损益表（P&L）、制定战略、与董事会打交道；而招聘 CISO 的公司，则需要学习如何划清其他高管角色与 CISO 之间的职责边界。

情况进一步复杂化的原因在于，不同公司招聘 CISO 的动机差异极大。有的希望找到一个能够提供风险建议、帮助业务提升韧性的合作伙伴；有的则只是需要一个在事情不可避免地出问题时可以承担责任的人。更糟的是，许多被当作“替罪羊”聘用的 CISO，既没有资源，也没有高层支持，根本不可能真正改变局面。换句话说，他们从一开始就被设计成失败。我无法判断当年有多少 CISO 岗位符合这种描述，但我很清楚，不少安全领导者在早期的 CISO 经历中都变得相当幻灭。

早期选择担任 CISO 的人，往往在头衔上获得了显著晋升（薪酬和实际权责未必如此，但那是另一个话题）。对于大多数原本只是资深经理或总监的人来说，头衔里多了一个 “C”，当然是一件值得兴奋的事。那他们是否已经准备好把这份工作做好了？这是个反问，但同时也值得追问：真的有人能“完全准备好”吗？一名资深工程经理在成为 CTO 时，真的准备好了吗？一名高级财务负责人在成为 CFO 时，就一定完全就绪了吗？

答案在大多数情况下都是否定的，而 CISO 的确还有大量功课要补。多数人既没有 MBA，也没有系统的商业背景，差距客观存在。假如你在 25 年前说：“CISO 不是业务型领导者”“CISO 不会把风险转化成业务语言”“CISO 说的都是黑话，董事会听不懂”，我认为当时的大多数 CISO 自己都会点头认同。

但时间快进到 2026 年，世界已经完全不同了。

当下的 CISO，被期望成为兼具业务与技术能力的复合型领导者

对一些人来说，这或许有些出乎意料，但自 1994 年以来，无论是整个世界，还是安全行业本身，都已经发生了翻天覆地的变化。互联网普及、社交媒体、智能手机、物联网、云计算、人工智能——这些我就不展开了，说多了反而显得居高临下。

但有几点与安全直接相关的变化，必须点出来：

2000 年之前担任 CISO 的那一代人，大多已经退休，或转型为风险与战略顾问、董事会成员等角色。

如今寻求安全行业入门岗位的很多人，出生时间甚至晚于 Steve Katz 成为 CISO 的那一年。

今天的基础设施，与当年完全不同；今天企业的运作方式，与当年完全不同；今天人们的工作方式，也与当年完全不同——而这样的变化清单几乎可以无限延伸。

结论只有一个：世界变了，CISO 这个角色也已经被彻底重塑。

今天的 CISO，并不是还在摸索“该怎么干这份工作”。他们已经具备了把事情做好所需的全部要素。CISO 有卡内基梅隆这样的正式教育项目，有 Professional Association of CISOs 这样的行业组织，有 The CISO Tradecraft 这样的资源平台，有 CISO Series 这样的播客，还有几乎数不清的其他支持体系。我见过不少拥有 MBA 的安全领导者，也见过更多拥有安全领导力相关硕士学位的人。市面上还有大量高质量书籍，覆盖风险框架、领导力建议和管理能力等主题（例如 Assaf Keren 最近出版的《Lessons from the Frontlines》，以及 Ross Yong 去年发布的《Why Most Budgets Go to Waste》）。如果说二十年前，几乎没人真正知道 CISO 这个角色意味着什么，那么今天，安全领导者手里的建议和资源，已经多到可能用不过来。

与此同时，CISO 本人也极度渴望成长。我看到越来越多的 CISO 通过考取 NACD.DC、DDN QTE 等认证，为未来的董事会角色做准备；他们担任初创公司的顾问，参与非营利组织的治理。看看如今大量高质量的 CISO 会议、圆桌、播客，就会发现，这是一群渴望承担更多责任的人。

当然，还必须提到一个关键因素：高管层和董事会的支持。这是任何 CISO 能否把工作做好不可或缺的前提。显然，说每一位安全领导者都已经具备成功所需的一切，那是夸张的；现实远没有这么理想。依然有不少组织把 CISO 当作“责任防火墙”，依然有很多公司不愿意真正投入安全，也不愿意去做安全能力成熟化所必然伴随的艰苦工作。即便如此，越来越多的企业已经意识到安全的重要性，并愿意投入资源把它做好。与此同时，在不少组织中，CISO 已经赢得了直接与董事会沟通的空间，这也显著放大了他们的影响力。

我强调这些变化，并不是说学商科的人通过读 MBA 来转行当 CISO。我说的是那些资深技术人员，在持续成长为领导者。今天的 CISO，被期待成为真正意义上的复合型领导者——既懂业务，也懂技术；只擅长其中一边，已经远远不够了。

当下的大多数 CISO，早已是兼具业务与技术能力的复合型领导者

每当我听到“CISO 太技术、太钻细节”或“CISO 不会和董事会沟通”这类说法时，都会感到格外沮丧。因为这些判断，建立在一个早已不存在的过去之上。现实是，绝大多数当下的 CISO，本身就是相当成熟的业务与技术双栖型领导者。

不妨先想想安全预算这件事。我们身处的现实是：每一美元投向安全，都会与销售、市场、工程等增长型投入直接竞争，而安全依旧被视为一个“成本中心”，且下行风险高度不对称。即便如此，仍有大量 CISO 能够争取到预算，用于采购新工具、扩充团队（虽然这件事更难），并确保端点、云、身份、网络等关键领域得到充分覆盖。你真的认为，在 CFO 和 CEO 决定预算去向时，CISO 能拿到钱，是因为他们靠一堆技术黑话和 “CVE-2024-XXXX” 把人忽悠住了吗？如果你真这么想，那恐怕需要再认真想一想。投向网络安全的每一美元，都是没有投向增长、扩张或其他创收型战略项目的一美元。我甚至会认为，在全面压缩成本、强调收入增长的环境下，仍能说服高管团队为新的安全项目买单的 CISO，本质上都是顶级的沟通者、谈判者和布道者。

再说说与董事会打交道这件事。任何第一次走进董事会会议室的人——无论是 CEO、CTO、CRO 还是 CISO——都需要时间去理解董事会真正关心什么、不关心什么。有没有 CTO 走进会议室，以为会被问技术路线图，结果却被要求解释下一代产品将如何影响公司利润率？

当然有。CISO 会不会也有人误判，觉得董事会更关心安全团队做了多少具体工作？我相信是有的。但与流行看法不同的是，CISO 并不会走进董事会去讨论 CVE-2024-XXXX（至少我见过的 CISO 都不会，而我见过的并不少）。他们谈的是业务影响、监管风险、运营韧性、品牌与客户信任，以及其他董事会真正关心的议题。把 CISO 贴上“太技术”的标签，忽视了一个事实：在 2026 年，能走到 CISO 这个位置，早已意味着掌握的远不只是技术处置能力。

指望个别 CISO 去修复安全领域的系统性问题，本身就不现实

如果说所有问题都已经解决了，那显然是夸大其词。事实并非如此。安全依然很难。尽管我们用了三十年时间去演进 CISO 这个角色，也在重塑整个安全行业的运作机制，但仍有一些问题顽固存在。这些往往是系统性问题，而不是可以指望某个 CISO 单独解决的事情。

首先，确实有不少公司聘请 CISO，只是为了在出事时应付监管、转移责任。我并不是说这种情况很普遍，但我确实亲眼见过一些 CISO，身处既没有资源、也没有高管支持的岗位中。可以肯定的是，确实存在极少数（可能 1%）的人，是因为“太沉迷细节”或“说不清安全价值”而陷入困境；但绝大多数，只是运气不好。有时候，再漂亮的表达能力和再清晰的战略思维，也不足以改变现实（经历过的人自然明白我在说什么）。

其次，安全的价值本身就很难被清晰表达，因为它很难被量化。风险降低要如何衡量？那些因为安全控制到位而“没有发生”的攻击，节省了多少成本、创造了多少回报（ROI）？这些问题本身就是反问，但当 CISO 为关键项目争取预算时，却必须正面面对。公平地说，这并不只是 CISO 才有的困境。人力与文化负责人（HR）同样很难把投入直接映射到结果；市场负责人也常常无法把销售额准确归因到某个具体活动上。“良好的企业文化”如何量化？“品牌价值”又该如何衡量？

第三，太多组织对安全领导者设定了不切实际的标准。董事会渴望确定性，高管层依然用“没有发生安全事件”来衡量安全是否成功，而不是看韧性。尽管安全团队往往只能就风险提出建议，真正的控制实施却很少由他们直接掌握，一旦风险真的变成事故，CISO 却被要求为结果负责。这也是态势管理类工具迅速流行的原因之一：虽然 CISO 们嘴上说已经厌倦了“更多可视化工具”，但现实是，很多时候安全团队唯一被赋予的权力，就是看清楚所有糟糕的事情——却没有人真正给他们修复问题的权限。

结语

CISO 这个角色已经存在了三十年，变化确实巨大，但有些问题依然存在。我们当然需要持续讨论这些问题，并不断让实践走向成熟。但与此同时，也该是时候彻底抛弃那个懒惰的标签——“CISO 是不懂业务、沟通能力差的人”。这些人能走到今天的位置，靠的绝不只是处理漏洞和告警的能力。

现实要复杂得多，也远没有那么方便：安全难以衡量、难以论证，更不可能在绝对意义上“获胜”。那些能够坚持下来，尤其是真正取得成功的 CISO，正是因为他们学会了如何在这种复杂性中前行。而这，正是安全领域中“业务型领导力”的真正含义。

原文链接：

https://ventureinsecurity.net/p/the-lazy-myth-that-cisos-dont-understand

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站 Ross Haleliuk Ross Haleliuk《安全圈一大胡扯，总说“CISO不懂业务”》