Owen Hughes Seniorredaktør
Owen er seniorredaktør på ZDNet. Med base i London, Storbritannien, dækker Owen softwareudvikling, trends i it-arbejdsstyrken og udviklingen af teknologi og arbejde.
Fuld biografisk den 25. februar 2022 | Emne: Sikkerhed
Udbrændthed er blevet endemisk i teknologiindustrien.
Billede: Westend61/GETTY
Med antallet af databrud i 2021, der stiger forbi 2020, er der endnu mere pres på sikkerhedsteams for at holde virksomhederne sikre i 2022. Men i en tid, hvor styrke og modstandsdygtighed aldrig har været vigtigere, er udbrændthed, lav personalemoral og høj medarbejderomsætning kan sætte virksomhederne på bagfoden, når de forsøger at styre den voksende cybersikkerhedstrussel.
Arbejdsgivere står allerede over for noget af et dilemma, når det kommer til cybersikkerhed i 2022. Ikke alene eskalerer antallet af forsøg på cyberangreb på verdensplan , men arbejdsgivere står over for det ekstra pres fra et strammere ansættelsesmarked og rekordhøje fratrædelser, som også påvirker teknologiindustrien.
Denne kamp om talent kan ramme cybersikkerhed særligt hårdt. Ifølge en undersøgelse blandt mere end 500 it-beslutningstagere foretaget af trusselsintelligensfirmaet ThreatConnect, har 50 % af virksomhederne i den private sektor allerede mangler i grundlæggende, tekniske it-sikkerhedsfærdigheder i deres virksomhed. Desuden overvejer 32 % af it-cheferne og 25 % af it-direktørerne at sige deres job op i løbet af de næste seks måneder – hvilket giver arbejdsgiverne åbent for en kakofoni af spørgsmål på tværs af ansættelser, ledelse og it-sikkerhed.
< stærk>SE: Cybersikkerhed er hårdt arbejde, så pas på udbrændthed
Mange medarbejdere bliver lokket væk af udsigten til bedre løn og mere fleksible arbejdsordninger, men overdreven arbejdsbelastning og præstationspres tager også deres afgift. ThreatConnects forskning viste, at høje niveauer af stress var blandt de tre bedste bidragydere til, at medarbejdere forlod deres job, citeret af 27 % af de adspurgte i undersøgelsen.
Udbrændthed truer cybersikkerheden på flere måder. Først på medarbejdersiden. “Menneskelige fejl er en af de største årsager til databrud i organisationer, og risikoen for at forårsage et databrud eller falde for et phishing-angreb øges kun, når medarbejderne er stressede og udbrændte,” siger Josh Yavor, Chief Information Security Officer ( CISO) hos virksomhedens sikkerhedsløsningsudbyder Tessian.
En undersøgelse udført af Tessian og Stanford University i 2020 viste, at 88 % af databrudshændelser var forårsaget af menneskelige fejl. Næsten halvdelen (47 %) nævnte distraktion som hovedårsagen til at falde for et phishing-svindel, mens 44 % gav træthed eller stress skylden.
“Hvorfor? For når folk er stressede eller udbrændt, er deres kognitive belastning overvældet, og det gør det så meget sværere at opdage tegnene på et phishing-angreb,” siger Yavor til ZDNet.
Trusselsaktører er også kloge på denne kendsgerning: “Ikke kun gør de spyd-phishing-kampagner mere sofistikerede, men de er rettet mod modtagere under eftermiddagens lavkonjunktur, hvor folk er mest tilbøjelige til at være trætte eller distraheret. Vores data viste, at de fleste phishing angreb sendes mellem 14.00 og 18.00.”
Carlos Rivera, hovedforskningsrådgiver hos Info-Tech Research Group, siger, at den rolle, udmattelse spiller for at gøre en virksomhed modtagelig for phishing-angreb, ikke bør trækkes på skuldrene eller undervurderes. Det er derfor god praksis at skabe et simuleret phishing-initiativ som en del af en organisations sikkerhedsbevidsthedsprogram, siger han til ZDNet.
“Dette program kan optimeres ved at håndhæve en times træning om året, som kan skæres ud i fem minutters træningssessioner om måneden, 15 minutter i kvarteret,” siger Rivera.
“For at få størst mulig indflydelse på din træningseffektivitet skal du basere den på emner, der stammer fra aktuelle begivenheder, der typisk manifesterer sig som taktikker, teknikker og procedurer, der bruges af hackere.”
< stærk>SE: Cybersikkerhedstræning virker ikke. Og hackingangreb bliver kun værre
En rapport fra analytiker Gartner hævdede for nylig, at rollen som cybersikkerhedsleder skal “omformuleres” fra en, der overvejende beskæftiger sig med risici i it-afdelingen til en, der er ansvarlig for at træffe beslutninger om informationsrisiko på ledelsesniveau og sikre, at virksomhedsledere har omfattende viden om cybersikkerhed.
Analytikeren forudser, at 50 % af C-niveau ledere vil have præstationskrav relateret til cybersikkerhedsrisiko indbygget i deres ansættelseskontrakter i 2026. Dette ville betyde, at cybersikkerhedsledere vil have mindre direkte kontrol over mange af de it-beslutninger, der falder inden for deres kompetenceområde. i dag.
“Cybersikkerhedsledere er udbrændte, overanstrengte og i 'always-on'-tilstand,” sagde Sam Olyaei, forskningsdirektør hos Gartner. “Dette er en direkte afspejling af, hvor elastisk rollen er blevet i løbet af det sidste årti på grund af den voksende misjustering af forventninger fra interessenter i deres organisationer.”
Yavor siger også, at det er afgørende at overveje, hvordan udbrændthed påvirker sikkerhedsteams og afsmittende virkninger for den bredere organisation. Ifølge Tessian-undersøgelser arbejder sikkerhedsledere i gennemsnit 11 timer ekstra om ugen, hvor en ud af 10 ledere arbejder op til 24 timer ekstra om ugen. Meget af denne tid går med at undersøge og afhjælpe trusler forårsaget af medarbejderfejl, og selv når de har logget af, kæmper omkring 60 % af CISO'erne med at slukke fra arbejdet på grund af stress.
“Hvis CISO'er oplever dette niveau af udbrændthed, så forestil dig hvilken indvirkning dette har på den bredere organisation såvel som de mennesker, de arbejder med. Du kommer til at miste gode mennesker, hvis teams konstant bliver udbrændt.”
Glorificerer overarbejde
Kulturen omkring cybersikkerhed skal også ændres, hvilket Yavor mener fejlagtigt idoliserer overarbejde og ofrer personligt velvære for virksomhedens skyld.
“Som sikkerhedsledere inkluderer nogle af vores mest spændende historier at trække natten over for at forsvare organisationen eller efterforske en trussel. Men vi undlader ofte at erkende, at behovet for heroics normalt indikerer en fejltilstand, og den er ikke holdbar,” han siger.
“Som ledere er det afgørende, at CISO'er går foran med et godt eksempel og sætter deres teams op til bæredygtigt operationelt arbejde. Sørg for, at der er tillid til de grænser, der er sat – når du har fri, er off call – og at hele holdet føler sig støttet.”
Rivera påpeger, at fjernarbejdets voksende popularitet kan øge personalets tendens til at bruge længere arbejdstider, hvilket kan “bidrage til udbrændthed, uforudset fravær og i nogle tilfælde højere end forventet omsætning.”
SE: Tekniske medarbejdere er frustrerede og tænker på at holde op. Her er, hvad der kan overtale dem til at blive
Sikkerheds- og teknologiteam bør arbejde sammen med andre afdelinger for at bringe organisatorisk bevidsthed om spørgsmålet om udbrændthed og overarbejde, siger Rivera, som kan hjælpe ledere med at identificere enkelte punkter i fiasko og indgyde en kultur af modstandsdygtighed i virksomheden.
Denne tilgang inkluderer at adoptere et “venstreskift-tankegang” i udviklingsmiljøet, hvor udbrændthed og stress kan føre til, at fejl glider gennem hullerne og kommer ind i publiceret kode. “Organisationer vil stå over for den mindste risiko, når de introducerer sikkerhed så tidligt som muligt i udviklingsprocessen og udnytter værktøjer til at automatisere og understøtte dette mål,” siger Rivera.
På den tekniske front vil opbygning af en pipeline til løbende forbedringer/kontinuerlig levering (CI/CD) – og implementering af værktøjer såsom et integreret udviklingsmiljø (IDE) – give organisationer den bedste chance for succes. “En IDE vil bestå af en kildekodeeditor, debugger og byggeautomatiseringsværktøjer for at give udvikleren selvbetjeningsmuligheder og identificere fejl i næsten realtid. IDE kombineret med statisk analysesikkerhedstest og open source-scanning automatiseret ind i bygningen pipeline vil give effektiv afhjælpning af defekter,” tilføjer Rivera.
Som enhver jobfunktion er kommunikation også kritisk. CISO'er skal gøre et bedre stykke arbejde med at kommunikere deres kapacitetsbegrænsninger, hvilket Yavor siger vil skabe præcedens inden for den bredere organisation ved at indrømme deres egne begrænsninger.
“Vær komfortabel med at sige, 'det er ikke muligt for mig at gør disse ting med de ressourcer og de begrænsninger, vi har i øjeblikket,'” siger han.
“Der er denne uheldige tendens til heltemod i sikkerhedsindustrien – og den tankegang skal ændres.”
MERE OM CYBERSIKKERHED
< strong>Sikkerhedscenter i Storbritannien opfordrer virksomheder til at øge deres forsvar efter cyberangreb på UkraineCybersikkerhed: 11 skridt at tage, når trusselsniveauet stigerBosser er tilbageholdende med at bruge penge på cybersikkerhed . Så bliver de hacketDette firma blev ramt af ransomware, men behøvede ikke at betale. Sådan gjorde de detCybersikkerhed: Mange ledere vil bare ikke forstå risiciene Security TV | Datastyring | CXO | Datacentre