53%的網絡安全部門領導考慮離職
根據《2025年IANS網絡安全人員薪酬基準報告》,大多數職能部門負責人(53%)正在考慮在不久的將來更換工作,相比之下,中層管理人員和普通員工的這一比例分別為46%和40%。
“盡管這些考慮并不總是直接轉化為實際的人員流失,但它們預示著潛在的激勵挑戰以及對工作某些方面的不滿。”IANS在報告中寫道。
“現在有很多人想要換工作,提前應對這種情況有助于在市場上出現更多機會時防止人員流失。”IANS的高級研究總監Nick Kakolowski表示,他指出廣泛的不滿情緒正被一個足夠緩慢的就業市場所抵消,從而防止了大規模的人員流動。
“現在正是進行低成本留任投資、提升滿意度并確保高績效員工忠誠度的黃金時期,以避免市場最終開放時招聘新人才的高昂成本。”他說。
合規咨詢公司de Risk Partners的CEO Ravi de Silva認為,如果CISO們想要在2025年留住他們的直接下屬,就必須調整他們的思維方式。
“如果你想要留住那些部門負責人,就要像創始人一樣思考,而不是僅僅像職能主管。賦予他們所有權,而不僅僅是監督權。當人們在建設有意義的事情時,他們會留下來,而不僅僅是保護可能出問題的事物,”de Silva說,他直到去年還是花旗集團的全球合規測試主管,這一職位他擔任了七年。“留任不僅僅關乎福利,它關乎目標。如果你的團隊在塑造安全文化方面沒有發言權,當他們找到一家給予他們發言權的公司時,就不要感到驚訝,他們想要的是自主權,而不僅僅是方向。”
盡管職業倦怠通常被視為工作不滿的驅動力,但de Silva并不認同這一觀點。
“問題不在于職業倦怠,問題在于CISO之下的瓶頸。中層管理人員承擔著風險,卻不被允許領導。如果前進的唯一方式是承受更大的壓力而沒有成長,他們就會離開,”de Silva說,“讓你的頂尖人才投身于云、欺詐或運營領域,這表明了信任,拓寬了他們的能力范圍,并保持了他們的參與度。比起職業倦怠,無聊才是更大的離職風險。”
此外,Kakolowski指出,IANS的研究顯示,企業CISO們如今在崗位上的時間要長得多,這使得有志于成為最高安全主管的副手們不得不等待更長時間,或者到別處尋找機會。
安全領導角色面臨的獨特挑戰
Mike Piekarski指出,一個通常被忽視的留住部門負責人的要素是網絡安全團隊的凝聚力,因為隊友往往是享受工作的關鍵原因。“他們為了彼此而留下。鼓勵他們一起探索事情,這能建立起團隊氛圍,”Piekarski說,他在經營網絡安全咨詢公司BreachCraft之前,曾在迪士尼領導安全工程團隊,并在康卡斯特擔任過類似職位。
“我有一個網絡安全團隊負責人,他負責管理我們SOC的團隊,并作為技術項目的主要工程師。他透露,他不喜歡管理資源,但喜歡指導和教授他們技術技能,而且,他的許多工程任務隨著時間的推移變得重復,所以他開始感到停滯不前,”Piekarski說。“那位負責人向我透露,他對取證和事件響應感興趣,所以我們制定了一個計劃和預算,讓他接受SANS培訓并獲得GCFA(GIAC認證取證分析師)資格,我們為他劃分了領導事件響應流程的職責。”
Piekarski表示,這一舉措有助于開啟一場持續的對話,最終導致將行政職責轉移給另一資源來管理,同時讓該負責人作為團隊的高級技術導師保留下來。
“我還開始征求他對內部戰略的意見,讓他更多地參與到領導決策和流程中來,甚至讓他審核項目計劃,這雖然不是他傳統角色的一部分,但我相信這向他表明了我重視他的意見和專業知識。”他說。
安全認證和培訓公司EC-Council的總裁Jay Bavisi警告說,作為留任策略,培訓有時會產生相反的效果。
“如果培訓是更廣泛的人才發展戰略的一部分,那么在網絡安全領域的培訓通常能提高留任率,”他說,“但如果培訓是孤立的,它可能會通過使員工更具市場競爭力,而同時沒有給他們留下來的理由,從而適得其反。”
減少職能部門負責人不滿的一種方法是避免角色 creep(角色蔓延),AI網絡安全供應商Hal-AI的CEO Marcos Alves說。
“團隊成員被分配超出其正式職位描述的責任是很常見的,這不僅會導致財務上的不滿,還會導致專業上的挫敗感——因為當他們成功時,并沒有得到正式的認可,但當他們犯錯時,嗯,你知道是怎么回事。”Alves說。
“始終確保正式職位角色與實際承擔的責任之間保持一致,”他建議道,“如有必要,與專業人員會面并更新他們的雇傭合同,以反映他們職責范圍的擴大。”
SANS技術學院院長Ed Skoudis看到了一個相關問題:“安全專業人員被提升到領導崗位,但他們感到自己沒有裝備好、沒有得到支持,或者只是不感興趣——然而,在其他地方幾乎沒有晉升的空間。”
更糟糕的是,部門負責人無法控制或影響的業務方向,可能會給他們的工作帶來額外的不滿,Numbers Station AI應用開發公司的創始人Colin Caird說。
“預算凍結、并購事件、離岸外包、董事會優先事項的轉變。這些與績效無關,但它們卻不斷地影響著這個職位,”Caird說,“很難將‘這個季度沒有發生不好的事情’轉化為加薪或晉升的有力理由。”
更糟糕的是,關鍵職位被外包的持續威脅,Caird說。“即使在傳統上以內包為主的財富500強企業中,也有越來越大的壓力將網絡安全功能外包給MDR提供商,這削弱了內部團隊的影響力和工作保障。”
