Tesserent предлагает советы по психическому здоровью для австралийских руководителей служб информационной безопасности
15 августа 2024 г.Киберспециалисты в регионе Азиатско-Тихоокеанского региона не понаслышке знакомы со стрессом, связанным с работой.
Отчеты показали, что большинство кибер-работников в регионе испытывают выгорание, при этом на том или ином уровне страдают 9 из 10 сотрудников. Причины выгорания включают нехватку ресурсов и усталость, что приводит к тревоге или отстраненности сотрудников.
Старшие руководители австралийской компании по кибербезопасности Tesserent дали несколько советов для руководителей служб информационной безопасности, которые хотят сохранить свое психическое здоровье в индустрии кибербезопасности. Рекомендации являются частью австралийского дня R U OK?, инициативы по психическому здоровью.
Почему директора по информационной безопасности должны сосредоточиться на вопросах кибербезопасности и психического здоровья
Проблемы с психическим здоровьем преследуют многие профессии в кибериндустрии. Роли CISO, в частности, известны как высокострессовые должности, отчасти из-за постоянной и растущей среды угроз.
Этот стресс заставил некоторых работников сделать резкие карьерные шаги. Gartner ожидает, что в глобальном масштабе почти половина руководителей по кибербезопасности сменят работу к концу 2025 года, и около четверти из них уйдут на другие должности. Между тем, организация кибериндустрии AustCyber оценивает, что в Австралии в течение следующих двух лет будет не хватать 17 000 работников безопасности.
Выгорание заставляет киберпрофессионалов покидать отрасль
Руководители высшего звена Tesserent в Австралии столкнулись с проблемой выгорания в сфере кибербезопасности.
Патрик Батлер, управляющий партнер по управляемым и профессиональным услугам, сказал, что он знает «несколько» руководителей служб информационной безопасности, которые оставили свои должности, выбрав другую карьеру или киберроль за пределами реагирования на инциденты безопасности.
Джейсон Пламридж, директор по информационной безопасности Tesserent, также стал свидетелем стресса и давления, которым подвергаются другие директора по информационной безопасности.
«Я бы подсчитал, что в среднем CISO и другие руководители служб безопасности меняют роли из-за стресса и отсутствия поддержки в 50% случаев», — сказал он. «Но глобальная статистика сообщает, что отток выше».
СМОТРИТЕ: Какую пользу может принести вашему бизнесу политика в области психического здоровья
Старший партнер Tesserent Марк Джонс сказал, что он также видел, как «многие люди выгорали и уходили из сферы кибербезопасности».
«Я знаю по крайней мере пятерых бывших старших специалистов, которые покинули отрасль, потому что постоянное давление было слишком сильным», — сказал он. «Требуется много работы вне рабочего времени, и это может сказаться на личных отношениях и благополучии человека».
Тем временем, Сайлас Барнс, старший партнер по наступательным службам безопасности в Tesserent, также видел, как CISO увольнялись из-за стресса и давления. «Один уволился и целый год отдыхал, чтобы восстановиться», — отметил он.
Как директора по информационной безопасности могут управлять своим психическим здоровьем
Подготовьтесь хорошо
Когда 16 лет назад Батлер пришел в эту отрасль, он был «совершенно не готов» к стрессу, связанному с кибербезопасностью.
«Мне потребовалось много времени, чтобы научиться справляться со стрессом, и даже сейчас мне это не совсем удалось», — сказал он.
Один момент особенно запомнился ему. В 2017 году Батлер пережил утомление и проблемы со здоровьем после учений по моделированию злоумышленников, в ходе которых его команда провела более недели, моделируя сложного злоумышленника внутри сети. Он сказал, что к концу недели «на то, чтобы оправиться от полного изнеможения и выгорания, потребовались месяцы».
Батлер отметил, что руководители служб информационной безопасности смогут лучше справляться со стрессом и давлением, если поймут свои слабые стороны, оценят риски и будут готовы к худшему.
«Хорошая подготовка снижает стресс во время инцидента», — пояснил он. «Важно разделить ответственность за риск для безопасности в рамках всей организации».
Разделяйте работу и жизнь
Директора по информационной безопасности должны отделять стресс от работы в области кибербезопасности от своей личной жизни.
Барнс сказал, что он страдал от выгорания и истощения во время своей карьеры в сфере безопасности. Для него стресс и давление повлияли на его сон и способность отключаться от работы в нерабочее время.
«Сочетание критических обязанностей, высокого давления и разрушительных последствий инцидентов с утечкой данных может затруднить отключение, даже если вы находитесь в ежегодном отпуске», — сказал он.
Батлер советует директорам по информационной безопасности укреплять свои физические и умственные способности к разделению.
«Найдите способ защитить свое личное время, чтобы вы могли отключиться и дать своему разуму понять, что вы перешли от работы к личному времени», — пояснил он, отметив, что такой подход может позволить киберспециалистам «оставить позади дневные проблемы».
Делегировать задачи
Пламридж согласился, что разделение работы и личной жизни посредством создания границ имеет решающее значение. Он сказал, что директора по информационной безопасности также должны стратегически делегировать задачи членам команды, чтобы снять собственный стресс.
«Хотя роль CISO требует круглосуточной связи в случае инцидента безопасности, это не означает, что вы должны быть лично на связи 24 часа в сутки, 7 дней в неделю как морально, так и физически», — пояснил Пламридж.
CISO должны оценивать и расставлять приоритеты в требованиях на основе риска и воздействия, чтобы управлять временем и стрессом. «CISO должны доверять способности своих коллег продолжать выполнять требования роли, когда вас нет, и избегать микроменеджмента каждого события», — сказал он.
Соблюдайте основные правила гигиены психического здоровья
Базовое психическое здоровье и благополучие имеют решающее значение для поддержания старших киберспециалистов на вершине своей игры. Барнс рекомендует киберспециалистам выделять время на физическую активность, придерживаться здорового питания и контролировать потребление алкоголя.
Например, он воспринял прыжок с парашютом как способ отвлечься от работы, снять стресс и полностью погрузиться в настоящий момент.
«Помимо прыжков с самолета, я также стараюсь делать разумные перерывы, когда беру отпуск, стараясь, чтобы он длился больше одного-двух дней, чтобы дать себе возможность полностью расслабиться», — сказал он.
Сосредоточьтесь на постоянном совершенствовании, а не на совершенстве
Роли CISO стали сложными и всеобъемлющими, сказал Пламридж. Эта позиция порождает значительное количество конкурирующих приоритетов для внимания и действий. Он сказал, что CISO должны признать, что они «могут контролировать некоторые из них, а некоторые — нет».
Барнс объяснил, что руководители служб информационной безопасности могут делать только то, что в их силах.
«Не тратьте время на погоню за совершенством и не корите себя за то, что вы несовершенны», — сказал он. «Вместо этого сосредоточьтесь на ценности, которую вы приносите своей организации, и на постоянном и устойчивом совершенствовании».
Осознайте влияние социальных сетей
Барнс предложил руководителям служб безопасности оценить, сколько времени они тратят на просмотр контента других специалистов по кибербезопасности и руководителей предприятий на платформах деловых социальных сетей, поскольку это может привести к негативным последствиям для психического здоровья.
«Повышенное давление, связанное с необходимостью развивать личный бренд или быть воспринятым обществом как «лидер мнений», может вызвать у тех, кто сосредоточен на своей повседневной работе, чувство неуверенности, неадекватности и тревоги», — сказал он.
Вместо этого директорам по информационной безопасности следует сосредоточиться на своем личном пути и избегать сравнения себя с другими. Картина, которую другие специалисты представляют на платформах социальных сетей, не обязательно отражает реалии работы в отрасли, отметил Барнс.
Как организации могут защитить психическое здоровье
Сделайте кибербезопасность общей организационной ответственностью
Руководители Tesserent утверждают, что кибербезопасность должна быть общей ответственностью всех членов организации.
«Директор по информационной безопасности должен чувствовать поддержку всей команды высшего руководства, поскольку киберустойчивость — это общая ответственность», — сказал Барнс.
Курт Хансен, генеральный директор Tesserent, заявил, что прислушивание к мнению руководителей служб информационной безопасности о том, что им необходимо для защиты организации, ее сотрудников и клиентов, поможет поддержать психологическое здоровье их команды по кибербезопасности.
Хорошая структура бизнеса может предотвратить угрозы кибербезопасности
Для управления круглосуточным сдерживанием и искоренением киберугроз требуется прочная бизнес-структура. Батлер сказал, что это выходит за рамки групп реагирования на инциденты или центра операций по безопасности, а также ИТ-отделов и управленческих групп, которые должны быть «доступны 24/7 в условиях крупного кризиса».
«Часто организации не планируют это, что приводит к значительному риску нехватки ключевых ресурсов или выгорания в командах, работающих круглосуточно», — пояснил он.
Работодатели должны «признать, что сотрудники — это люди», сказал Батлер, и создавать процессы, структуры и стратегии, которые сводят к минимуму риск выгорания или стресса.
«Это не только полезно для ваших людей, но и имеет решающее значение для эффективного управления рисками и устранения угроз», — добавил он.
Инвестируйте в технологии и таланты кибербезопасности
Организациям необходимо инвестировать в технологии и кадры, необходимые для принятия наилучшего возможного уровня кибербезопасности.
Пламридж отметил, что для многих руководителей служб информационной безопасности невозможность получить необходимые инвестиции в технологии кибербезопасности для укрепления безопасности организации может стать причиной дополнительного стресса, связанного с работой.
Работодатели также должны понимать, что процессы и другие нетехнические человеческие факторы также влияют на состояние безопасности.
Пламридж посоветовал компаниям «быть готовыми платить рыночные ставки за безопасность организации и получение необходимых навыков и опыта».
Оригинал