2025-12-26 01:35:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文讲述了四位前CISO将职业痛点转化为创业机遇的经历。他们分别针对云安全、漏洞管理、高管数字保护及云协作数据泄露问题创立公司。文章强调了从防御转向创造的重要性，指出安全是建立客户信任的核心，并分享了创业中的思维转变、文化塑造及抗压经验。 综合评分： 84 文章分类： 云安全,数据安全,漏洞分析,解决方案

cover_image

专访4位CISO：如何化挫败为机遇

走狗是狗哥

安在

2025年12月25日 15:55 上海

前首席信息安全官（CISO）们分享了成功创办安全公司后的经历。《首席安全官》（CSO）杂志采访了保罗·哈迪（Paul Hadjy）、乔·席尔瓦（Joe Silva）、克里斯·皮尔森（Chris Pierson）和迈克尔·科茨（Michael Coates）。

几乎在所有地方，担任首席信息安全官都意味着要应对预算有限、优先级冲突、工具与问题不匹配等诸多限制。大多数安全领袖会选择适应，在这些约束范围内尽力保护自己的组织。

但对少数人来说，仅仅适应和将就现有资源是不够的。这些限制不再是需要回避的问题，而是打造新事物的机遇。

转行的动机各不相同。有些人是为了填补多年来一直困扰他们的安全漏洞，有些人是为了摆脱企业惯性，还有些人则是为了证明安全可以为业务创造价值。

他们的共同点是渴望创造，而不仅仅是防御。保罗·哈迪、乔·席尔瓦、克里斯·皮尔森和迈克尔·科茨就是四位实现了这一转变的安全领袖。以下是他们打造的事业以及在此过程中学到的经验。

保罗·哈迪：创业的混乱与值得

2016年，保罗·哈迪在亚洲担任高级安全领袖时，注意到很少有厂商关注云安全。就像美国早期一样，各国政府和企业对拥抱云技术都持犹豫态度。

“我在亚洲工作了几年后，加入了一家公司。和许多其他公司一样，这家公司也很难找到能够满足其公有云安全需求的厂商和解决方案，”他回忆道。

“当时专注于这一领域的产品或服务提供商寥寥无几，我看到了一个巨大的机遇，可以创办一家公司专门解决这个问题。”哈迪曾在新加坡的Grab、帕兰提尔技术公司（Palantir Technologies）和阿雷特联合公司（Arete Associates）担任安全相关职务。

这个机遇最终催生了霍兰吉公司（Horangi）——哈迪创办这家云安全公司，旨在解决他作为首席信息安全官时遇到的种种挫败。

“作为高级安全领袖，往往很难获得必要的资源和管理层支持来应对紧迫的挑战，”他说。“当我创办自己的公司时，我希望确保安全永远不会被视为事后补救的事情。”

从一开始，哈迪就将安全定为霍兰吉公司文化的核心部分。每个人都分担责任，每个人都被视为潜在的攻击目标。

他强调，安全不仅仅是保护，更是建立客户信任。“在许多企业中，安全仍然不被视为销售推动力，这是我一直以来的一大困扰，”哈迪说。

在霍兰吉，他转变了这种观念，坚信清晰、健全的安全实践能够建立推动收入增长所需的信任，并以此为业务基石。

“我们很早就意识到，展示强大的安全实践能够建立信任，尤其是在企业客户中。保护公司和客户的数据能够增强信心，并最终成为一种竞争优势。”

保罗·哈迪

从首席信息安全官到云安全创业者的经验之谈

从首席信息安全官转变为创业者，需要一种全新的思维模式。最艰难的思维转变并非关乎技术或市场，而是学会果断排序。

有限的资源迫使公司不断做出取舍，霍兰吉常常需要自行寻找克服困难的方法。2016年，软件即服务（SaaS）仍处于起步阶段，例如，公司不得不依靠工程团队和服务团队打造的自有平台及定制流程来保障自身环境的安全。

“那段经历让我们深刻认识到，从零开始创业时，适应能力和创新能力至关重要。”

哈迪承认，作为企业家，有过一些前景黯淡的时刻。霍兰吉曾不止一次濒临资金耗尽的边缘，资金周转期一度缩短至仅几个月。

这些经历迫使公司在压力下融资的同时，进行痛苦的成本削减。“坚韧不拔的精神，以及从经验教训中培养出的抗压能力，最终推动我们前进，”他说。

“那些时刻考验了我们，但也教会了我们如何在压力下保持自律和专注。”

2023年，比特梵德公司（Bitdefender）收购了霍兰吉，这一结果证明了哈迪的理念是正确的。哈迪在比特梵德找到了一种“安全优先”的文化，这印证了他的信念：通过安全建立的信任可以成为企业的差异化优势。

回首往事，哈迪承认，创业初期的混乱虽然充满压力且孤立无援，但也带来了极大的回报。不过他表示，有时候担任首席信息安全官比当创始人更具挑战性。

“每个人都有自己的看法……难点在于，他们可能在项目层面是正确的，但往往缺乏公司层面的全局视野，”他说。

创业之旅教会了他如何应对不同的观点，做出艰难的决策，并始终关注大局。“这段旅程充满了挑战，但也给了我宝贵的经验，让我有机会与优秀的人共事，”哈迪说。

“虽然过程并不容易，但这段经历具有变革性，对我来说，创业的混乱绝对是值得的。”

乔·席尔瓦：打破“土拨鼠日”式的循环

对乔·席尔瓦来说，从网络防御转向创办公司的决定，并非源于某个单一的决定性时刻。

相反，这源于他在不同组织担任首席信息安全官的经历——他不断遇到同样的问题和挑战。在各个组织中，领导层想要的漏洞防护状态与他们愿意为此付出的成本之间，始终存在着这种矛盾。

“没有某个特定的事件促使我做出这个决定，”席尔瓦在回忆自己创办漏洞管理公司斯佩克申公司（Spektion）的决定时说。“但这绝对是源于一种‘土拨鼠日’般的感觉。”

席尔瓦曾担任仲量联行（JLL）和环联公司（Transunion）的首席信息安全官，他说，这种似曾相识、无休止地在风险状态和成本之间寻求平衡的感觉，激发了他尝试新道路的渴望。

席尔瓦作为首席信息安全官的挫败感，不仅是理念上的，更是结构性的。他回忆说，很多时候，首席信息安全官们不得不将漏洞管理工作推给技术部门的同事，因为他们没有可用的工具直接管理风险。

斯佩克申公司成立于2024年，提供基于云的运行时漏洞管理平台，帮助组织发现软件风险并确定优先级，尤其是在第三方和软件供应链组件中。

“斯佩克申专注于以更好的方式主动管理漏洞风险，这无疑是受我的经历影响——无论是处理与第三方软件相关的漏洞，还是为安全领袖提供更多管理漏洞风险的自主权，”席尔瓦说。

“我们看到了一个机遇，让漏洞风险管理不再是一项政治挑战，而更像是一项工程挑战。”

席尔瓦承认，有些人可能认为这一市场领域“过时”且“缺乏吸引力”。他说，初创公司往往倾向于追求光鲜、面向未来的问题，而忽视了安全领袖和团队每天都要应对的这些长期存在的现实问题，比如软件漏洞管理。

从一开始，席尔瓦就确保问责制成为斯佩克申公司文化和运营的核心部分。许多早期员工都有企业安全背景，他们亲眼目睹了缺乏明确问责制如何阻碍组织实现其期望的网络安全目标。

“作为领导者，你的每一个行动都会塑造文化，你需要意识到这一点，同时不能虚伪行事。”

除了问责制，席尔瓦还注入了另一个他作为首席信息安全官一直秉持的原则：“如果你只是在逐步改进，那你就是在落后。相对于网络威胁，你不仅无法跟上步伐，更不用说取得进展了，”他说。

“如果你满足于每天只取得一些小进步，总体来说你就是在倒退。”

乔·席尔瓦

创业的自由

从为组织防御转变为打造一家公司，需要一种完全不同的思维模式。“当你加入一家公司时，已经存在一种文化，”他解释道。

“当你创办一家公司时，你并不是进入一种已有的文化，也不能凭空创造出一种文化。”你的每一个决定、每一次招聘、每一个行动，都需要有助于塑造文化。

创办公司还带来了一些意想不到的自由。他指出，其中最大的自由之一是能够随心所欲地做事，不必自我审查，也不用担心可能会打破什么规则。

“当你重新创办一家公司时，你需要不断提醒自己，你可以直接去做想做的事……这非常令人解脱。”

席尔瓦并不完全排除有一天重返首席信息安全官岗位的可能。但目前，他非常享受自己的新角色。

“作为创始人兼首席执行官，虽然绝非易事，但这是我做过的最好的工作，”席尔瓦说。“我感觉我们每天都在主动出击——规划、打造和交付解决方案。我无法想象现在再回到防御的状态。”

克里斯·皮尔森：

保护防火墙之外的数字生活

2018年，克里斯·皮尔森创办黑斗篷公司（BlackCloak）时，目标是填补一个他目睹日益扩大的空白——企业投入大量资源用于内部防护，但对高层管理人员的个人生活却几乎没有任何安全保障。

他注意到，攻击者不再局限于企业防火墙。他们越来越多地在个人生活中针对高价值高管、董事会成员和风险投资家。

其动机包括财务盗窃、声誉攻击、知识产权盗窃，而且常常通过入侵家庭设备或网络，进而渗透到企业环境中。

“在创办黑斗篷公司之前的十多年里，我目睹了网络罪犯和国家行为体在个人生活中攻击高价值目标，”皮尔森说。他曾担任苏格兰皇家银行（Royal Bank of Scotland）首席隐私官，还两次担任金融科技公司的首席信息安全官。

攻击者已经意识到，入侵防御严密的企业网络，远比通过防护薄弱的家庭环境针对高管进行攻击要困难得多。

但尽管威胁非常明确，应对这些威胁的工具却很分散：这里一个虚拟专用网络（VPN），那里一项身份盗窃监控服务。“没有任何工具是专门为与这些威胁行为者正面抗衡而设计的，”皮尔森回忆道。

这一认知催生了黑斗篷公司。该公司为企业领袖及其家人提供一系列数字高管保护服务，包括在线隐私保护、个人设备安全、家庭网络安全，以及针对网络攻击、身份盗窃和金融欺诈等威胁的快速事件响应。

皮尔森打造黑斗篷公司的方法，得益于他非比寻常的职业生涯。“多年来，我担任过许多角色，从程序员到网络安全和隐私法专家、首席隐私官、总法律顾问、首席信息安全官等等，”他说。

“一路走来，我形成了一个核心宗旨：帮助好人击败坏人、国家行为体和网络罪犯。”无论是应对数据泄露、实施隐私控制框架、反洗钱控制、身份盗窃预警规则，还是网络安全计划，所有这些工作都围绕着一个共同的主题：预防伤害。

正是这些不同领域的经验结合在一起，成为皮尔森打造和领导黑斗篷公司团队的宝贵财富。

皮尔森一直致力于将一个原则融入黑斗篷公司的文化：设计符合业务需求的方案。另一个原则是认识到隐私和安全密不可分。

隐私在黑斗篷公司处于核心地位——九位高管中有三位持有国际隐私专业协会（IAPP）认证，其中一些人的认证时长已近二十年。“隐私是我们的核心，”皮尔森说。

“说你热爱隐私或隐私是核心原则，与证明隐私一直是你的北极星，这两者是不同的。”

克里斯·皮尔森

那些他发现自己热爱的事

从首席信息安全官转变为首席执行官，需要做出调整。作为安全和隐私领域的领袖，皮尔森热衷于日常协作和解决问题。

“通过产品、工程和其他部门的投入，共同打造合适的控制措施，这让我感到无比满足，”他说。“我非常享受这种能够充分沟通我们正在做的事情、为什么要做这些事情，并提前建立沟通渠道的能力。”

看到自己领导的项目顺利通过审核和尽职调查，尤其让他感到欣慰，因为这验证了背后付出的努力。

现在这样的机会变少了。他曾经与同行参加的那些小型、仅限邀请的活动已经无法参加，而且参与方案打造的机会也变得不那么直接。

“作为一家网络安全公司的首席执行官，我有时会怀念那些大型项目和方案打造工作，”他说。现在，他的重点是“在我和团队的工作中，继续传递首席信息安全官的视角和需求。”

迈克尔·科茨：

从推特首席信息安全官到风险投资家

2014年至2018年，迈克尔·科茨在推特（Twitter）担任首席信息安全官的四年间，深度融入了旧金山的初创企业生态系统。

他的职位让他能够近距离观察快速演变的安全格局，并接触到现代技术的潜力与漏洞。正是这种视角，最终激发了他创办自己事业的渴望。

科茨选定的技术领域，瞄准了一个紧迫的空白。当时，各组织正越来越多地采用谷歌云端硬盘（Google Drive）和Box等云协作平台，但往往没有考虑到数据意外泄露的风险。

企业几乎无法了解员工在分享什么、与谁分享，以及敏感文档是否意外暴露给了未授权用户。

从推特的工作视角出发，科茨发现，企业缺乏有效的方法来监控文件共享活动、实施适当的访问控制，或检测机密数据何时被意外公开。他意识到，企业需要一个能够实时监控文档共享、安全权限和敏感数据泄露情况的平台。

2018年，科茨离开推特，创办了阿尔蒂ude网络公司（Altitude Networks）。该公司打造了一个平台，通过应用程序接口（API）直接连接到云协作工具，实时扫描和分析每一份文档、共享权限和安全控制措施。

这项技术能够立即标记敏感数据的不当共享行为，并在潜在安全问题升级为数据泄露之前将其识别出来。这也标志着云安全态势管理（CSPM）市场的开端。

“当时市场存在一个空白，我知道这是在正确的时间解决正确的问题，”科茨在谈到自己选择专注于云安全的决定时说。

他的直觉被证明是正确的。公司很快就获得了初步进展：民主党全国委员会（DNC）成为了客户，随后各大电影制片厂、加密货币公司和医疗保健公司也纷纷签约。

这些早期的成功验证了阿尔蒂ude公司的技术正在解决首席信息安全官们面临的关键问题。“我们打造的不仅仅是一个可有可无的功能，”科茨指出。“它帮助首席信息安全官们区分哪些是需要关注的关键风险，哪些是可以暂缓处理的事情。”

迈克尔·科茨

从首席信息安全官到首席执行官及创业新挑战

从首席信息安全官转变为初创公司首席执行官，带来了新的挑战。“作为首席信息安全官，重点是全面覆盖。作为创始人，你面临着持续的取舍——是在一个领域深耕，还是扩大覆盖范围？”科茨说。

例如，早期，他的团队曾面临一个根本性的决策：首先支持哪个云协作平台？是从他们最熟悉的平台入手，还是选择潜在用户群最大的平台？

虽然快速获得用户的诱惑很大，但真正的优先事项是打造一个可扩展、稳健的解决方案，能够随着时间的推移有效发展。

科茨的首席信息安全官背景不仅塑造了他的安全理念，也塑造了他在阿尔蒂ude公司打造的文化。“担任首席信息安全官的经历让我们不那么浮夸，不那么倾向于夸大其词，”他反思道。

“我们的文化以事实为基础，而非修饰。”公司从成立第一天起就获得了SOC 2认证。开发人员立即接受了安全编码培训。架构设计从一开始就以用户为中心。

2022年，阿尔蒂ude公司被CoinList收购。科茨在过渡期间留任，后来创办了七山风险投资公司（SevenHill Ventures）——这是一只基于他作为创始人和首席信息安全官双重经验的风险投资基金。

该基金专注于帮助企业家应对创办风险投资支持企业的挑战，提供实用指导和运营支持。他的第一只基金为合伙人带来了2.5倍的投资回报。

谈到创业的情感现实，科茨直言不讳。“今天一切都很顺利，你感觉站在世界之巅。明天就可能一落千丈，而实际上什么都没有改变。”

他自嘲地说，创始人的日常就是凌晨4点醒来，担心薪资发放、法律问题，还要充当首席问题解决者。

考虑转行的首席信息安全官们，应该充分利用当前的职位做好准备，重新建立与同行的联系，并尽早与潜在客户和投资者沟通。

“你的背景给了你一定的优势，但进入初创企业是一个完全不同的世界。你必须利用自己已有的知识，快速建立新的人脉，”科茨说。但最终，这些努力都是值得的。

“创新是混乱且不完美的，但正是那些勇于跨越的人，让不可能成为可能。”

原文链接：https://www.csoonline.com/article/4084574/the-security-leaders-who-turned-their-frustrations-into-companies.html

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

左滑了解更多详情

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

左滑了解更多详情

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在走狗是狗哥《专访4位CISO：如何化挫败为机遇》