По мере того, как киберугрозы становятся все более частыми и сложными, они наносят ощутимый, измеримый ущерб репутации и финансовым показателям организаций. Но этим дело не ограничивается. Утечки данных — или, по крайней мере, угроза их возникновения — оказывают влияние на психическое здоровье IT-специалистов и сотрудников служб безопасности компаний.
Согласно новым данным, IT-специалисты и сотрудники служб безопасности сталкиваются с настоящим кризисом психического здоровья на рабочем месте. Недавнее исследование Object First, проведенное среди 500 IT-специалистов и специалистов по безопасности, показало, что 84% испытывают сильный стресс на работе из-за рисков, связанных с IT-безопасностью. В исследовании также сообщается, что 78% опасаются, что их лично обвинят в инцидентах безопасности, независимо от обстоятельств.
Эти цифры должны встревожить любого директора по информационной безопасности, чьи сотрудники несут ответственность за защиту наших систем от киберугроз. Корпоративный сектор справедливо уделяет особое внимание созданию позитивной, продуктивной культуры, чтобы помочь сотрудникам процветать и выполнять свою работу наилучшим образом. Но эти последние данные показывают, что сотрудники напряжены и обеспокоены последствиями, которые могут возникнуть в результате IT-угроз.
Другие цифры в этом же исследовании должны вызвать еще более громкую тревогу. Почти три пятых всех специалистов по кибербезопасности/IT говорят, что они рассматривали или активно начали искать новую работу из-за давления, связанного с их ролью. Кроме того, почти половина сообщает, что чувствует давление со стороны руководства, требующего “все исправить” после инцидента безопасности, в то время как почти каждый пятый (18%) говорит, что чувствует себя “безнадежно и подавленно” во время и после инцидента.
Как технический директор, тесно сотрудничающий с командами безопасности, чтобы подготовить их к успеху, эти данные вызывают у меня дрожь. Так много наших лучших профессионалов чувствуют себя настолько уязвимыми из-за киберстресса, что готовы уйти и искать новую работу. Это больше, чем кошмар для отдела кадров; это вызов устойчивости бизнеса.
Выгорание усиливается
Любой директор по информационной безопасности или CISO знает, что выгорание в секторе кибербезопасности — не новая тема. Еще в начале 2000-х годов, когда кибербезопасность превратилась в формальную дисциплину, лидеры открыто говорили о стрессе, который испытывали специалисты по безопасности, вынужденные быть “всегда на связи”. В течение следующих двух десятилетий опросы показали, что большинство сотрудников служб безопасности чувствуют себя выгоревшими, и многие подумывают об уходе из профессии.
Хотя проблема не нова, недавние отчеты подтверждают, что выгорание в нашем секторе, похоже, усиливается.
“Специалисты по кибербезопасности на всех уровнях выгорают. Наши исследования показывают, что ситуация только ухудшается”, — говорит Джон Олтсик, бывший отраслевой аналитик и автор седьмого ежегодного отчета Ассоциации специалистов по безопасности информационных систем (ISSA) “Жизнь и времена специалистов по безопасности”.
В опросе ISSA говорится, что работа специалистов по кибербезопасности становится все сложнее, и в качестве основных факторов стресса называются возросшая сложность и рабочая нагрузка, больше угроз и большая поверхность атак, давление со стороны нормативных требований и нехватка персонала. В отчете также указывается, что подавляющее большинство (81%) респондентов, заявивших, что они испытывают стресс, регулярно рассматривают возможность ухода с работы, по сравнению с 17% тех, кто доволен своей ролью.
Gartner также высказался по этому вопросу в начале этого года, включив выгорание в сфере кибербезопасности в число шести главных тенденций в кибербезопасности на 2025 год.
“Выгорание в сфере кибербезопасности и его влияние на организацию должны быть признаны и устранены для обеспечения эффективности программы кибербезопасности”, — сказал Алекс Майклс, старший аналитик-консультант Gartner. “Наиболее эффективные лидеры SRM не только уделяют первостепенное внимание управлению собственным стрессом, но и инвестируют в общекомандные инициативы по обеспечению благополучия, которые заметно повышают личную устойчивость”.
Поиск квалифицированных специалистов по кибербезопасности по-прежнему является сложной задачей. Наем нового IT-специалиста или специалиста по безопасности обычно обходится в полтора-два раза дороже годовой зарплаты его предшественника, и до 28% всех вакансий в сфере кибербезопасности остаются незаполненными, согласно отчету Boston Consulting Group “Отчет о рабочей силе в сфере кибербезопасности за 2024 год: преодоление нехватки рабочей силы и дефицита навыков“.
Трудно подобрать навыки, которыми обладает надежный, талантливый специалист по безопасности. Невозможно — по крайней мере, в краткосрочной перспективе — заменить институциональные знания, которые этот же специалист приобретает, работая внутри вашей организации, помогая отражать IT-угрозы в течение значительного периода времени.
Корни киберстресса
Сотрудники, занимающиеся кибербезопасностью, могут испытывать давление по ряду причин. Многие чувствуют, что должны постоянно сохранять бдительность, чтобы выявлять любые фишинговые, программы-вымогатели и угрозы социальной инженерии. Многие опасаются, что один неверный щелчок — ими или коллегой — может скомпрометировать компанию и поставить под угрозу их работу. Другие испытывают чувство “перегрузки требованиями соответствия”, сталкиваясь с многократными изменениями паролей, шагами MFA и обучением осведомленности о безопасности.
Более половины респондентов опроса Object First заявили, что их большая рабочая нагрузка и нехватка персонала являются основными причинами стресса, за которыми следуют опасения по поводу кибератак и давление, направленное на поддержание времени безотказной работы и доступности услуг. Почти все (85%) испытывали стресс, связанный с безопасностью, на каком-то уровне, в то время как 31% заявили, что сталкиваются с постоянным стрессом не реже одного раза в неделю.
Такой устойчивый стресс подрывает мотивацию, вызывает умственную усталость, провоцирует проблемы с физическим здоровьем и в целом снижает чувство цели работников до такой степени, что это вредит их общей производительности. Находящиеся в состоянии стресса, уставшие работники с большей вероятностью совершают ошибки и подвергают организации большему риску утечек и безопасности.
Компании, которые уделяют приоритетное внимание благополучию и психическому здоровью сотрудников, имеют наилучшие шансы решить эту проблему. Проблема в том, что не все это делают. Согласно опросу Object First, 50% IT-специалистов и специалистов по безопасности считают, что их компании делают недостаточно для решения растущего кризиса психического здоровья.
Директора по информационной безопасности, конечно, не могут решить проблему выгорания в одиночку. Компаниям необходимо сделать проблему выгорания в сфере кибербезопасности приоритетной для своих советов директоров и для всего высшего руководства. Но директора по информационной безопасности и директора по информационным технологиям играют важную роль. Вот некоторые шаги, которые они могут предпринять, чтобы снизить давление, которое испытывают их сотрудники.
- Создайте безопасную культуру: Защита организации от киберинцидентов — это пугающий процесс, и сотрудники постоянно сталкиваются со страхом, что инциденты обострятся, и их обвинят. Директора по информационной безопасности должны создать процессы, в которых поощряется эскалация, а обсуждения после инцидентов сосредоточены на способах улучшения работы всей команды. Поощрение раннего обнаружения, а не только сдерживания инцидентов, улучшит производительность и уменьшит напряженность.
- Уменьшите шум: Выгорание часто может быть вызвано структурными проблемами, которые не соответствуют действительности: слишком много работы, слишком мало персонала, слишком много шума от неотфильтрованных оповещений, неисправные системы и слишком большое давление от необходимости быть на связи. Директора по информационной безопасности должны пересмотреть операции и методы работы, чтобы убедиться, что сотрудники не перегружены работой и не слишком сосредоточены на реактивных задачах.
- Предоставьте ресурсы: Стресс может сказаться на психическом здоровье. В то время как HR должен взять на себя ведущую роль в предоставлении программ по охране психического здоровья и повышению устойчивости, директора по информационной безопасности должны предоставлять рекомендации и следить за признаками того, что сотрудники нуждаются в индивидуальном внимании.
- Убедитесь, что члены команды чувствуют себя “замеченными”: Признание — в форме наград или просто совместного обсуждения хорошо выполненной работы — может значительно снизить долгосрочный, коллективный стресс. Некоторые директора по информационной безопасности организуют регулярные встречи 1:1 или групповые занятия, на которых они призывают специалистов по кибербезопасности делиться примерами стрессовых ситуаций на работе. Когда директора по информационной безопасности видят, что сотрудники приближаются к выгоранию, побуждение их отключиться и перезарядиться часто может снизить стресс до управляемого уровня.
Кризис психического здоровья в сфере кибербезопасности — это реальность. Давление, связанное с тем, чтобы быть последней линией киберзащиты, серьезно сказывается на психическом здоровье и производительности труда профессионалов, и пришло время оказать им большую поддержку. Директора по информационной безопасности могут послать мощный сигнал о том, что благополучие не является чем-то необязательным — оно необходимо для того, чтобы бизнес оставался устойчивым перед лицом все более частых и сложных киберугроз.
Эта статья опубликована в рамках сети экспертов-авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Sterling Wilson
