58% 的 CISO 认为企业无力抵御网络攻击!四大核心难题掣肘安全议程落地
当前,网络攻击已从“是否发生”的疑问,转变为“何时来袭”的必然,这已成为全球企业安全管理者的普遍共识。更为严峻的是,Proofpoint于2025年8月发布的《首席信息安全官之声报告》显示,76%的CISO预判未来12个月企业将面临重大网络攻击威胁,该比例较上一年的70%持续攀升;同时,高达58%的CISO坦言,其所在企业尚未具备有效应对网络攻击的能力。
企业网络安全体系建设推进艰难,首席信息安全官(CISO)主导的安全规划屡屡受阻,其背后究竟存在哪些核心瓶颈?本文结合多位行业安全领袖观点与多项权威调研数据,梳理出制约企业安全议程落地的四大关键问题,并提出针对性破局路径。
团队能力缺位:事务繁杂不堪重负,核心优先级难以锚定
当下,CISO正承受着前所未有的职业压力。Nagomi Security《2025年CISO压力指数报告》数据显示,80%的CISO处于高压或极端高压状态,87%表示过去12个月压力持续攀升,67%甚至每周或每日均存在职业倦怠现象。
安全团队工作任务繁重已成为行业常态,优先级管控遂成为CISO的核心工作内容。但现实困境在于,多数CISO仅自身掌握优先级判定逻辑,未对团队开展系统化培训,导致团队成员无法独立做出契合企业安全战略的决策与行动。
Databricks现场安全业务负责人Omar Khawaja指出,该问题将使CISO陷入事必躬亲的管理困境,既耗费高管核心精力,又大幅拉低团队整体运转效率。
破局思路:CISO需构建清晰的决策支撑体系与优先级判定标准,明确高、中、低风险事项的划分依据,赋能团队成员自主、精准完成工作排序,推动权责下沉,聚焦核心安全任务,释放团队整体效能。
AI发展脱节:业务端加速布局AI,安全防护难以同步跟进
人工智能技术的高速迭代,推动企业纷纷加快技术转型,期望借助AI实现流程革新与降本增效。但与之形成强烈反差的是,多数CISO的安全管控节奏,远滞后于业务部门的AI应用速度。
Cyera《2025年AI数据安全状况报告》针对921名IT与网络安全专业人士的调研结果令人警醒:83%的企业已落地AI应用,但仅13%的企业可清晰掌握AI系统对敏感数据的访问与处理行为,16%将AI作为独立身份主体进行管理,11%可实现高风险AI行为的自动化阻断,仅7%设立了专职AI治理团队。
SANS首席AI官Robert T.Lee表示,诸多CISO因安全顾虑,要么直接否决AI应用场景,陷入“拒绝式安全防御”思维;要么在AI安全评估环节过度滞后,拖慢企业数字化转型节奏。加之企业AI战略频繁调整,进一步导致安全团队防护目标模糊不定。
更为严峻的是,业务部门为快速推进AI落地,常绕过安全部门自主部署,直接催生影子AI、未授权代理与非透明数据流,显著扩大企业攻击面,引发大量安全隐患。
破局思路:CISO需以整体化思维适配企业AI发展,而非采用单点评估模式。先为企业核心数据建立风险档案,简化低风险数据的AI部署评估流程,聚焦中高风险数据的AI场景防护;同时向业务单元派驻安全专员,实时对接AI应用需求,定向培养团队AI项目评估与防护能力,摒弃盲目否定,实现安全管控与技术创新协同发展。
安全运营守旧:AI赋能安全价值凸显,规模化落地仍显迟缓
一方面是安全团队跟不上业务端AI应用步伐,另一方面,CISO自身在将AI融入安全运营的过程中,同样进展缓慢。尽管AI对网络安全的赋能价值已得到行业公认,但真正实现规模化落地的企业仍占少数。
ISC2《2025年网络安全劳动力研究》针对1.6万名企业管理者的调研显示,仅28%的企业已将AI工具融入安全运营体系,19%处于测试阶段,22%仍停留在前期评估阶段。
ISC2首席信息安全官Jon France直言,当前CISO群体在AI安全部署层面普遍处于“追赶状态”。值得关注的是,已应用AI安全工具的企业中,63%表示工作生产力显著提升。在AI对安全运营的短期价值贡献中,40%受访者认为网络监控受益最为突出,其次为安全运营与安全测试(均占30%)、漏洞管理(29%)等领域。
这充分印证,AI在安全运营领域的实用价值已得到验证,应用落地的滞后,直接意味着企业安全运营效率的落后。
人才短板凸显:人员与技能双重缺口,安全建设缺乏人力支撑
人才困境始终是CISO推进安全议程的核心障碍,当下这一问题愈发尖锐,成为企业构建强健安全态势的主要制约因素。埃森哲《2025年网络安全韧性状况报告》显示,83%的IT高管将网络安全人才短缺列为提升安全能力的首要障碍。
ISC2研究进一步揭示人才问题的两大核心矛盾:一是人员供给不足,2025年63%的企业存在不同程度的网络安全人才缺口,虽较2024年的68%略有回落,但形势依然严峻;二是技能结构断层,2025年59%的企业存在关键技能需求缺口,远高于2024年的44%,95%的企业至少存在一项技能短板,其中AI相关技能需求最为迫切(41%),其次为云安全(36%)、风险评估(29%)等。
Omar Khawaja还提出全新视角:当前安全团队不仅缺乏技术能力与软技能,更稀缺“中间技能”,如风险管理、变革管理等。此类技能是推动安全工作与业务深度对齐、引导全员遵守安全规范的关键,技能缺失将导致安全工作推进处处受阻。
破局思路:面对外部人才市场环境,CISO虽无法直接主导,但可制定系统化人才战略,以技能与能力为核心优化招聘方向,精准弥补团队技能缺口;同时强化“中间技能”培养,打造复合型安全人才梯队,以人才优势支撑安全议程高效落地。
企业网络安全体系建设,从来不是CISO的单兵作战,亦非安全团队的孤军奋战,而是需要企业全员协同、技术与人才双轮驱动的系统性工程。上述四大问题看似独立,实则相互关联:团队能力不足源于人才与培训缺失,AI应用滞后受制于能力与视野局限,人才短板又从根本上制约能力提升与技术落地。
对CISO而言,突破安全议程落地困局,需从“单兵作战”转向“体系化建设”:既要完善团队能力培养与决策机制,也要紧跟技术趋势实现AI双向赋能,更要构建适配企业发展的人才梯队。唯有如此,能让企业网络安全建设同步于业务发展节奏,在日趋复杂的网络攻击环境中筑牢安全防线。
