调研机构Marlin Hawkk公司跟踪并分析了470名首席信息安全官的资料，以了解这一关键领导职位的动态变化。

研究表明，首席信息安全官的职位相对来说是行业不可知论的——84%的首席信息安全官都有在多个行业工作过的职业历史——如今的首席信息安全官在从技术专家转变为技术专家的过程中，有望为他们的角色带来更广泛的领导能力。

Marlin Hawk管理合伙人James Larkin表示:“如今的首席信息安全官正在承担传统上仅由首席信息官承担的责任，即作为技术部门进入更广泛的业务和外部市场的主要门户。”

“这种范围的扩大要求首席信息安全官熟练地与董事会、更广泛的业务以及股东和客户的市场沟通。通过在沟通、领导和战略等‘软’技能方面的蓬勃发展，首席信息官们正在制定当今新的行业标准，我预测，他们将在未来的董事会中取得进步。”

报告的主要发现包括:

•首席信息安全官的概况发生了巨大变化——36%拥有研究生学位的首席信息安全官获得了工商管理或管理的更高学位。这比去年下降了10%(2021年为46%)。相反，获得STEM学科更高学位的首席信息安全官人数增加到61%(2021年为46%)。

•更多的首席信息安全官正在从内部招聘——全球约62%的首席信息安全官是从其他公司招聘的，这表明内部招聘的首席信息安全官数量略有增加(从内部招聘的比例为38%，而2021年为36%)，但在合适的继任者方面仍存在很大差距。

•首席信息安全官流动率有所下降，但仍然很高，全球45%的首席信息安全官在目前的职位上工作了两年或更短时间，低于2021年的53%，同比流动率为18%。

首席信息安全官的角色继续变得更加复杂

“我会说，如果你不积极捍卫你的组织，你就不应该获得首席信息安全官的头衔;你必须在战壕里，”Yonesy Núñez说，首席信息官，杰克亨利联合公司。“我还觉得，在过去8到10年里，首席信息安全官的角色已经变成了首席信息安全官+角色:首席信息安全官+工程，首席信息安全官+物理安全，首席信息安全官+运营弹性，或者首席信息安全官+产品安全。因此，我们看到多个首席信息安全官在网络安全、融合中心、SOC和领导力方面都做得很好。这为首席信息安全官办公室成为业务推动者和转型技术职能铺平了道路。”

经验丰富的网络安全高管凯文•布朗(KevinBrown)补充说:“目前有100多个国家制定了自己的数据隐私立法，这使得以合规的方式开展全球业务比以往更加棘手。因此，在大多数组织中，我们看到数据官、首席信息安全官、法律团队和营销之间有更紧密的联系和协作精神。首席信息安全官必须了解这些不同业务部门的所有优先事项，以便在制定政策时将其考虑在内——这是一项比以往任何时候都更复杂的工作

越来越多的组织从内部任命首席信息安全官

研究显示，与2021年(64%)相比，去年从外部聘用的首席信息安全官比例有所下降(62%)，这表明组织可能会转向已经在业务内部运营的下一任首席信息安全官。

拉金接着说:“随着信息安全的重要性日益增加，董事会、监管机构和股东都要求加强控制，更好的风险管理，以及更多的人和部门专注于保护公司及其资产。幸运的是，这产生了积极的副作用，为首席信息安全官职位创造了更多的内部继任——组织可以在更多的地方寻找专注于风险和控制的人才，而不仅仅是首席信息安全官办公室。”

拉金补充说:“现在，来自IT风险、运营风险管理、IT审计、技术风险与控制等部门的候选人都被内部提拔为首席信息安全官。”“这不仅让监管机构更放心，因为领导层会多方关注这一问题，而且还大大增加了继任人才库的规模，并有助于整个信息安全行业抵御未来的考验。”

首席信息安全官的离职率仍然很高，原因有几个

Neiman Marcus集团的首席信息安全官shamun Siddiqui分享道，“一个不算秘密的秘密是，没有一个首席信息官能在一两年内完成很多事情。大多数首席信息安全官转换角色是因为以下三个原因之一，”

“首先，他们的技能没有达到标准，他们被公司悄悄地赶了出去。由于对安全领导者的极高需求，通常个人贡献者会被提升到首席信息安全官的角色，他们在几个月内就会不知所措。其次，他们有一个不可逾越的任务和不切实际的期望，缺乏来自同事和公司领导层的支持。该公司可能在网络安全问题上只是嘴上说说，但可能没有足够的前瞻性，无法将其列为优先事项。第三，他们只是被其他地方更好的报价所吸引。安全专业人员和安全领导者非常短缺，以至于公司不断向首席信息安全官提供越来越高的薪水和福利。”

导致高流动率的另一个因素是糟糕的招聘决策，这是招聘过程中缺乏审查和尽职调查的结果。虽然当前的需求可能超过更彻底的审查，但如果有其他更合适的候选人，快速跟踪首席信息安全官的招聘可能会产生不利影响。”