Высокий уровень выгорания среди специалистов по кибербезопасности давно не секрет. Профессионалов этой сферы отличает постоянное давление и необходимость соответствовать ежедневно растущим требованиям. Тому есть множество причин, но главная — это сам подход к обеспечению безопасности. Хорошая новость: если вы распознаете деструктивное мышление, вы можете его изменить и обеспечить успех как себе, так и своей команде.
Кибербезопасность — это высокотехнологичная область, в некотором смысле — точная наука. Однако она также сильно зависит от психологии и моральных принципов. Эффективность IT-безопасности в конечном итоге определяется мышлением и убеждениями специалистов и лиц, принимающих решения в этой сфере.
Если вы замечаете за собой одно из следующих шести видов мышления, пора работать над этим, чтобы создать более здоровую среду безопасности.
1. «Безопасность — это цель»
Особенно коварное заблуждение — представление о безопасности как о пути с четко определенной начальной и конечной точками. К этому (надеемся) не приходят сознательно — профессионалы понимают, что это непрерывная задача. Однако подсознательно это может приводить к временной бездеятельности, как только определенные задачи были выполнены.
Это лишь увеличивает ненужный стресс для всей команды. Ведь когда видишь конец пути, возникает тонкое чувство разочарования или даже неудачи, как только становится ясно, что работы еще много. Спокойствие придет к вам (и вашей команде) только тогда, когда вы примете тот факт, что безопасность — это непрерывный процесс.
2. «IT-безопасность — только для профессионалов»
Мнение, что безопасность находится исключительно в руках соответствующих специалистов, приводит к двум печальным последствиям:
- Все остальные сотрудники — по крайней мере, на подсознательном уровне — освобождаются от ответственности.
- Специалисты по безопасности тонко подталкиваются к роли одинокого воина.
Разработчики программного обеспечения должны помнить о безопасности на каждом этапе жизненного цикла, а не только перед поставкой. Это касается и всех остальных сотрудников компании: только при наличии осведомленности можно минимизировать риск кибератак.
Разумеется, эксперты по безопасности играют ведущую, руководящую роль в этом отношении. Однако в конечном итоге каждый сотрудник должен чувствовать себя способным внести вклад в общую безопасность компании. Кроме того, совместная задача укрепляет чувство общности.
3. «Безопасность становится все сложнее»
Мало что может так демотивировать, как классическая работа Сизифа. Однако такое впечатление может легко возникнуть, когда речь идет о безопасности: киберпреступники становятся все более изощренными и используют все более совершенные инструменты, в то время как цифровая инфраструктура, которую необходимо защищать, становится все более обширной, сложной и взаимосвязанной.
На самом деле, борьба между «белыми» и «черными» шляпами — это постоянный процесс взаимных уступок и наступлений. Феномен программ-вымогателей — хороший тому пример: какое-то время казалось, что шифровальщики становятся настоящей чумой, но теперь индустрия безопасности соответствующим образом развилась и показала измеримый отпор.
Принимая циклическую природу IT-безопасности, вы обретаете способность занимать позицию, которая находит правильный баланс между расслабленностью и бдительностью. Психическое равновесие — ключ к долгосрочному (безопасному) успеху.
Хотите прочитать больше интересных статей по IT-безопасности? Наша бесплатная рассылка доставит вам всю необходимую информацию для лиц, принимающих решения, и экспертов по безопасности прямо в ваш почтовый ящик.
4. «Безопасность — это продукт»
IT-безопасность часто рассматривается как отдельная функция или дополнительный продукт, который «накладывается» на базовую инфраструктуру, или как конкретная «вещь», которую нужно завершить и поставить. Это немного похоже на прежнее отношение к качеству в целом как к самостоятельной, отдельной составляющей вещей. Как сказал Аристотель: «Качество — это не действие, а привычка».
Безопасность, как и качество, — это не готовый продукт, а (как уже отмечалось) непрерывная дисциплина. Рассмотрение безопасности как практики, которую необходимо постоянно совершенствовать, высвобождает необходимую для этого энергию. Вам следует считать благом работу в области, которая постоянно предоставляет возможности для роста и позволяет полностью раскрыть свои навыки. Если вы усвоили это мышление, важно поделиться им со всей компанией.
Безопасность ни в коем случае не должна поставляться как продукт, потому что она не является сопутствующим явлением или вспомогательным средством. Скорее, она должна быть движущей силой культуры и осознанных действий. Короче говоря: IT-безопасность должна быть частью повседневной деятельности — как на индивидуальном, так и на организационном уровне.
5. «Преступники диктуют правила безопасности»
Специалисты по безопасности, постоянно занятые «тушением пожаров», могут прийти к убеждению, что киберпреступники контролируют игру. Такой реактивный взгляд на IT-безопасность вызывает фрустрацию и чувство бессилия.
В действительности, компании держат все в своих руках: ведь именно их активы являются привлекательной целью для преступников. Хотя нападающих в большинстве случаев нельзя недооценивать, именно бизнес определяет необходимость обеспечения безопасности.
6. «100 процентов — это максимум»
Хорошая безопасность требует измеримых показателей. Метрики, такие как «среднее время обнаружения» (MTTD), позволяют отслеживать ситуацию и оценивать эффективность программ. Проблемы возникают, когда вы начинаете считать, что все индикаторы должны постоянно двигаться в положительном направлении — или, что еще хуже, находиться в «идеальной» зоне. Такое нереалистичное ожидание открывает дверь для искаженных измерений.
Вместо этого следует рассматривать метрики скорее как указатели, которые могут привести вас к цели. Однако ключ к успеху — в предпринятии необходимых шагов и внедрении мер для направления событий в правильное русло. Это делает честную работу с измерениями абсолютно необходимой. (fm)
Автор – Matthew Tyson
