根據Sophos公司最近的一份報告，在成功抵御勒索軟件攻擊后，CISO職位得以保留的概率僅為四分之一。行業專家表示，無論CISO是否被認定有過失，或是否有實質性權力阻止此類攻擊，該報告的調查結果都給CISO們敲響了警鐘。

“這一數據并不令人意外，但它反映出，無論這種判斷是否公正，當安全部門未能取得成效時，董事會層面的挫敗感與日俱增，”Info-Tech研究集團的技術顧問Erik Avakian表示，“即使攻擊來自他們無法直接控制的因素，利益相關者仍然期望CISO能夠防止任何最壞情況的發生。”

Avakian補充說，在勒索軟件攻擊后罷免CISO，有時是必要且恰當的，但企業往往過快做出解雇決定。

“解雇CISO對CIO或董事會來說，看似是必要的重新開始，但并不總是戰略之舉。如果遵循了事件響應計劃，檢測工具發揮了作用，且恢復工作在服務水平協議(SLA)范圍內完成，那么替換CISO往往會在內部傳遞錯誤信號，”Avakian堅持認為，“這表明安全角色更注重表面功夫而非實質內容，但如果忽視了基本的安全措施——例如沒有進行網絡分段、沒有備份、沒有進行桌面推演——那么進行人事變動可能是合理的。”

IDC安全部門集團副總裁Frank Dickson認同Avakian的看法，但他補充說，一些CISO在勒索軟件攻擊后選擇主動離職，導致替換率上升。

“應對勒索軟件事件極其耗費精力，安全人員可能因過度勞累而選擇離職，或因修復過程中產生的沖突(而非攻擊本身)而被要求離職。”Dickson說。

權威之問

Dickson還認為，CISO的權威應得到重視，如果決策是在業務線(LOB)層面做出的，且可能違背了CISO的建議，那么將責任歸咎于CISO是否合理?

他說，有些人“認為勒索軟件攻擊是CISO的錯，CISO是領導者，但不是唯一的領導者，漏洞是許多人決策模式的結果。”

Info-Tech的Avakian將企業的這種反應比作房主因自身過錯導致房屋燒毀，卻責怪消防部門。

“你上次見到消防隊長因火災發生而被解雇，或他們的團隊被指責是什么時候?是他們響應了火災、減輕了損失、進行了教育，并幫助降低了未來火災發生的風險，”Avakian說，“看看那邊的安全團隊，包括你的CISO，他們就是你的消防員。無論何時發生事件，他們都會支持你，并隨時提供幫助。”

Dickson還強調，許多企業業務部門——甚至一些首席執行官(CEO)和首席運營官(COO)——出于擔心CISO會減緩某些業務流程的考慮，會故意不邀請他們參加關鍵會議，從而繞過CISO。

“他們會主動決定不將安全部門納入考慮范圍，”Dickson說，“我告訴[那些高管]，‘如果你不想要你的CISO，別人會要的。’”

Sophos的報告指出，勒索軟件攻擊后的取證調查經常發現CISO忽視或本應知曉的問題。

“連續第三年，受害者指出，在總體32%的攻擊中，被利用的漏洞是勒索軟件事件滲透組織的最常見根本原因。盡管使用這種方法發動的攻擊比例從2024年的29%降至2025年的23%，但受損憑證仍是第二大常見攻擊途徑，”報告稱，“電子郵件仍是主要攻擊途徑，19%的受害者報告惡意郵件是根本原因，另有18%的受害者提到網絡釣魚——這一比例較去年的11%顯著上升。”

Sophos董事兼全球現場CISO Chet Wisniewski表示，公司研究顯示，40%的受訪者表示勒索軟件攻擊源于“一個我們已知但未解決的漏洞”。

“如果你遭遇了價值數百萬美元的事件，這將是很難挺過去的一關。”他說。