文章总结： 文章指出网络安全核心问题在于管理不善而非资金匮乏。认知偏差与部门壁垒常阻碍CISO推进项目。建议CISO入职初期侧重建立信任与协同，避免陷入技术执行陷阱。通过将安全转化为业务赋能者，构建安全业务联动机制，可突破治理困境，实现安全与发展的双向奔赴。 综合评分： 88 文章分类： 安全建设,网络安全

网络安全最大的问题并非投入不足，而是管理不善

管窥蠡测 管窥蠡测

安在

2026年2月3日 19:57 上海

当下，围绕网络安全预算的行业讨论，始终锚定“说服董事会”这一核心目标，其衍生出两类主流论证路径：一类依托财务模型核算投资回报率，另一类聚焦风险量化呈现防护价值。二者均以数据为支撑，遵循理性推演的底层逻辑。但这类自下而上的论证思路，真的契合企业决策的真实逻辑吗？Corix Partners创始人JC Gaillard结合实践经验给出否定答案，他直言，这类方法与企业实际运营存在三大核心冲突。

从决策深受认知偏差影响、资金审批多由风险事件驱动，到CISO手握预算自主权却困于项目落地，种种矛盾的背后，是企业治理结构、文化短视与安全领导力短板的叠加效应。而更值得深思的是，一边是CISO与厂商频频喊“渴”，另一边是安全意识觉醒的高管层有意加大投入，这种供需脱节究竟从何而来？答案或许藏在CISO入职的前100天里，藏在超越技术与预算的组织协同与信任构建之中。

所谓的冲突

Corix Partners的创始人JC Gaillard表示，以他的经验来看，这些方法与企业实际运营的三个方面存在冲突：

首先，企业层面的决策表面上来看是理性行为，实则深受认知偏差的影响——这一点已由 Daniel Kahneman及其学术流派的研究所证实。在网络安全领域，这一现象尤为明显，由此引出了Gaillard的第二个观点：任何在安全行业深耕多年的人都遇到过类似情况：此前一直未获批的资金，往往会在监管调查启动、审计报告不合格、安全事件发生、出现未遂风险事件，或是竞争对手遭遇同类事件时，突然被补充到位（许多CISO都对那个经典问题耳熟能详：“这事会不会发生在我们身上？”）。在这些情形下，投资回报率和风险降低这两个指标完全不会被提及，高管们只希望看到相关事项全部落实，以确保一旦发生严重的数据泄露，自己能够拿出已经履职尽责的证据。如果后续执行不到位，就会有人为此担责，而这个人往往就是CISO，他们甚至被戏称为“首席背锅官”。

更值得注意的是，如今许多董事会都已认清网络攻击“早晚会发生”这一现实：在近二十年网络攻击事件频发的背景下，恐怕很难找到一位不了解其商业影响的董事会成员。这就引出了Gaillard的第三个观点：Gaillard曾与多位首席信息官深入交流，他们都坦言，在网络安全预算的制定上，自己几乎拥有“充分的自主权”，但核心难题在于如何有效推进相关网络安全项目的落地。

一边是众多CISO和厂商声称资源紧张，另一边是日益具备网络安全意识、希望加大投入以保护企业的高管层——这种脱节，究竟从何而来？

预算迷思：

为什么断言网络安全其实并不缺乏资金

事实上，网络安全项目之所以复杂艰巨，往往是因为其需要跨越企业内部的部门壁垒与地理边界，为业务提供有效的安全防护。而大型企业的本质，几乎就是各自为政且充满权力博弈的，因此此类跨域协作对安全实施而言本就极为困难。

除了结构性障碍，CISO自身的特质也是一个关键因素：绝大多数CISO出身于技术背景，过去十年间，他们始终忙于应对各类突发安全事件，根本无暇构建和推行任何长期战略。如今，企业高层虽已将目光聚焦于网络安全，但这些CISO却普遍缺乏岗位所需的管理经验、政治手腕与个人影响力。

不少人认为，网络安全领域长期投资不足是其成熟度低下的根源。但实际上，问题的核心更多源于企业普遍存在的短视行为所导致的执行不力：一旦实现“快速见效”或满足合规报告上的指标，相关项目就容易被搁置；只要有高管入职或离职，项目方向就可能随之调整；只要市场出现动荡，各类举措便可能被叫停。这些现象恰恰说明，治理模式与企业文化层面的缺陷，才是大型企业网络安全成熟度长期停滞的真正原因。

对那些未能洞察这些文化因素、且几乎被排除在决策圈之外的CISO而言，这种环境会滋生强烈的挫败感；挫败感又会导致任期缩短（很多人的任期仅为两到三年）；而任期过短则进一步加剧了管理与领导力的断层——在如此短暂的时间内，想在大型企业中推动真正具有变革性的举措，几乎是不可能的。

对企业高管来说，CISO的“频繁更迭”同样令人沮丧：他们见证了太多CISO上任时带着耗资巨大的宏伟蓝图，却在短短几年后便离职，留下一系列半途而废的项目。

前100天是建立信任、决定成败的关键期

事实上，当前网络安全领域的种种脱节，往往在CISO入职的前100天就已埋下伏笔。

许多CISO带着先入为主的观点入职——这些观点有时在面试阶段就已形成，比如在其他地方行之有效的方法、个人偏好的议题，或是过往合作过的厂商与顾问。也有不少人认为，自己必须在入职前100天证明专业能力，但这是一个误区。因为此时你的能力其实是被默认的，真正的挑战在于其他方面。

前100天的核心，是证明你融入企业组织结构、胜任领导角色的能力。在Gaillard看来，这首先要从倾听开始：倾听利益相关者与支持者的声音，了解他们的期望与痛点，弄清过去哪些做法可行、哪些不可行及其原因，理解该公司的安全前任经历过什么……有时，一句“我能帮你做些什么？”就是最恰当的开场。

这一过程应当开启一段共同构建网络安全叙事，或者更进一步说，是共同构建企业网络安全战略的旅程。若能同利益相关方共享目标，执行中的摩擦就会减少，久而久之，就会出现主动传递网络安全叙事的业务拥护者。他们会这样做，并非因为这是CISO的任务，而是因为这事已成了所有人共同的目标。

这个过程也能使得CISO快速融入企业的治理架构。通过真正的倾听，识别并顺应内部的文化趋势、利益联盟，以及真正的决策发生地，即那些非正式的信任网络，CISO才能成为业务领导者眼中值得信赖的伙伴。到那时，预算讨论将不再是需要说服对方的对抗场景，而会成为信任伙伴之间的双向沟通。

相反，那些在入职前100天就急于从战术层面证明自己的CISO，很可能最终会陷入运营层面的应急处理而难以脱身——这种困境极少有人能摆脱。他们或许会被视为可靠的执行者，却很难进入战略决策的核心圈层。

正如Gaillard在《CISO角色是否已失效？》一文中所主张的，在这种情况下，企业可能就需要设立CSO职位，在更高层面统筹业务防护，确保所有监管义务得到履行。但这并非必然结局。

归根结底，网络安全领导力的未来，将属于那些认清一个原则的CISO：建立影响力与信任，必须先于行动与投资。董事会已无需再被说服网络风险的重要性——他们需要的是自信、契合企业文化的领导者，能够驾驭复杂的组织动态，与所有利益相关方建立信任，并统筹跨部门的落地工作。

前100天奠定了基调：关键不在于技术展示或预算之争，而在于倾听、协同，共同构建一个能让业务领导者产生主人翁意识的网络安全叙事。唯有如此，CISO才能从恳求资源的角色，转变为参与战略制定的真正高管——不再是守在一旁的应急消防员，而是置身企业核心的韧性架构师。

以“业务赋能”重构安全价值

另一方面，CISO也需跳出“风险防守者”的单一认知，主动将网络安全转化为业务增长的赋能器，这是突破当前困境的关键补充维度。多数CISO习惯于向业务侧强调“不能做什么”以规避风险，却忽略了向高管层和业务部门传递“安全能支撑什么”——例如，合规的安全架构可帮助企业顺利进入高监管门槛的新市场，完善的数据安全体系能提升客户信任度、促进长期合作，弹性的安全防护能力可保障数字化转型项目（如远程办公、供应链协同平台）平稳落地。

具体而言，CISO可建立“安全-业务”联动机制：主动参与业务规划会议，提前摸清新业务、新项目的核心诉求与潜在安全痛点，将安全方案嵌入业务流程设计之初，而非事后补救；针对核心业务场景（如客户数据管理、供应链数据交互），量化安全带来的业务价值——比如通过优化数据加密方案，降低客户信息泄露风险，间接提升客户留存率；通过搭建轻量化安全培训体系，为业务团队提供贴合其工作场景的安全技能支持，减少因人为操作失误导致的业务中断。

这种“业务导向”的安全思维，既能化解跨部门协作的壁垒（让业务部门不再将安全视为“阻碍”），也能让董事会和高管层看到安全投资的双重回报——不仅是风险损失的规避，更是业务拓展的支撑。当安全从“成本中心”的标签中脱离，成为与业务共生的“价值中心”，CISO的战略地位将自然巩固，预算争议与执行阻力也会随之大幅减少。

结语

数字时代的浪潮下，网络安全的边界正不断拓展，它不再仅仅是企业运营的“防护线”，更是衡量组织敏捷性与可持续性的核心标尺。安全治理的终极突破，从来不止于个体角色的转型或单一机制的优化，而在于构建一种“全员共生”的安全生态——让安全意识穿透层级壁垒，成为每个部门、每个岗位的内生自觉，让安全实践融入日常运营的每一个环节，而非仅在风险发生时才被提及。

这种生态的构建，既需要CISO跳出“技术与管理”的二元框架，以更开放的视野链接行业资源、预判新兴风险，也需要企业打破“短期绩效”的桎梏，将安全文化的培育视为长期战略投资。当安全不再是某一岗位的专属责任，而是渗透在决策逻辑、业务流程、人才培养中的底层基因，所谓的“执行困境”“协作壁垒”便会自然消解。

网络安全的成熟度，终究映照的是企业的综合治理能力与长远格局。它无关一时的资金投入多寡，而在于是否能将安全理念转化为组织的集体行动，将风险意识沉淀为可持续的文化惯性。在技术迭代与风险演化加速的今天，唯有以生态思维重构安全价值，以长期主义培育安全能力，企业才能在不确定的数字环境中筑牢信任根基，真正实现安全与发展的双向奔赴。这既是对每个网络安全从业者的时代要求，也是企业在数字浪潮中基业长青的核心密码。

原文地址： https://www.csoonline.com/article/4104251/cybersecurity-isnt-underfunded-its-undermanaged.html

作者：

JC Gaillard  Corix Partners创始人

加入诸子云知识星球 解锁完整资料合集

除上述资料外，安在新媒体还专门准备了“安全意识资料合集”。涵盖各类安全主题，面向企业、政府、校园等不同受众，包含图文、视频、动画漫画等各种内容。立即加入，一键解锁。

（老用户续费可扫描尾页图片享专属优惠）

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《网络安全最大的问题并非投入不足，而是管理不善》