Black Hat USA 2022: Burnout, ein wichtiges Thema

Die Diskussion über Ressourcenprobleme im Cybersicherheitssektor ist kein neues Phänomen; entsprechend Cybersecurity Ventures, stieg die Zahl der unbesetzten Stellen im Bereich Cybersicherheit weltweit zwischen 350 und 2013 um 2021 % von 1 Million auf 3.5 Millionen. Der Artikel schlüsselt diese Zahl weiter auf und schätzt, dass es in den USA 1 Million Cybersicherheitsmitarbeiter und ab November 2021 rund 715,000 zusätzliche, unbesetzte Stellen gibt. Diese Zahlen erzählen die Geschichte eines Beschaffungsproblems; Sie erzählen auch die Geschichte einer Branche, die derzeit mit etwa zwei Dritteln der benötigten Ressourcen auskommt.

Eine Präsentation im Zeitplan von Black Hat US 2022 von Stacy Rioux, Ph. D. Clinical and Organizational/Business Psychology, fiel mir auf –Der Versuch, für alle alles zu sein: Reden wir über Burnout. Wenn es in der Cybersicherheitsbranche einen so großen Mangel an Talenten gibt, sind diejenigen, die an vorderster Front stehen, potenziell anfällig für Burnout. Meine Annahme war, dass die Präsentation anhand von Fallstudien und konkreten Beispielen tief in die Belastungen eintauchen würde, unter denen Cybersicherheitsteams leiden, und dann, wie man die Existenz des Problems und die Schritte erkennt, die helfen können, den Schmerz eines Betroffenen zu lindern. Leider war die Präsentation leicht an Beispielen und eher eine Präsentation zum Thema Burnout, anstatt es in Cybersicherheitseinstellungen zu identifizieren und zu mindern.

Es ist äußerst wichtig, die Anzeichen von Burnout zu erkennen, und einige der verräterischen Anzeichen waren Müdigkeit, Zynismus, keine Freude an der Arbeit und möglicherweise zu viel Trinken oder Essen, nicht unbedingt bis zur Sucht, aber als Trostmaßnahme. Zwei – vielleicht drei – der vier sind wahrscheinlich bei fast allen Black Hat-Besuchern identifizierbar: Müdigkeit aufgrund der Vegas-Partykultur, zu viel trinken, es ist Vegas, und schließlich Zynismus, scheint eine Jobanforderung in der Cybersicherheitsbranche zu sein – wir konditioniert sind traue nichts und verifiziere alles.

Im Ernst: Dies ist ein äußerst wichtiges Thema, das alle großen und kleinen Unternehmen kennen und ansprechen müssen. Die von Stacy vorgestellte Definition von Burnout lautet: „Berufliches Burnout ist klinisch definiert als ein psychologisches Syndrom, das aufgrund chronischer emotionaler und zwischenmenschlicher Stressoren am Arbeitsplatz auftritt“, wobei „zwischenmenschlich“ erklärt wird als „in Bezug auf Beziehungen oder Kommunikation zwischen Menschen“.

In der Präsentation behandelte Burnout-Identifikatoren, die sich speziell auf die Cybersicherheit beziehen, waren:

• Hohe geistige Arbeitsbelastung
• Antizipation von Cyberangriffen
• Personalengpässe und steigende Arbeitsbelastung
• Kämpfe darum, seinen Platz in einer Organisation zu finden
• Arbeit wird in der Organisation oft nicht geschätzt

Es gibt Strategien, die beim Umgang mit Burnout helfen können, und ich empfehle, sich die Zeit zu nehmen, sie zu recherchieren, um ein besseres Verständnis zu erlangen. Eine kompetente Personalabteilung oder ein Experte sollte in der Lage sein, die Mitarbeiter auf den richtigen Weg zu bringen oder fundiertes Lesematerial zum Thema bereitzustellen.

Das Problem ist meiner Meinung nach eine Kombination aus dem Mangel an erfahrenen Talenten, der beschleunigten digitalen Transformation, die wir in den letzten zwei Jahren erlebt haben, und der endlosen Flut von Cyberangriffen, mit denen Cybersicherheitsteams fertig werden müssen. Das Ende dieses Mangels ist in Sicht; wenn das nur wahr wäre! Viele Unternehmen verlangen von Kandidaten eine abgeschlossene Ausbildung und eine branchenweit anerkannte Cybersicherheit Qualifikation wie CISSP und 3–5 Jahre Erfahrung. Diese Anforderungen sind möglicherweise zumindest mitverantwortlich für die unbesetzten Stellen im Bereich Cybersicherheit.

Arbeitgeber müssen ihre Qualifikations- oder Bildungsanforderungen für Cybersicherheitsjobs senken und einige der weniger erfahrenen, aber interessierten und eifrigen Mitarbeiter an den Arbeitsplatz bringen, damit sie diese Erfahrung sammeln und zu den Experten werden können, die zur Verteidigung gegen die Angriffe der Zukunft erforderlich sind. Meiner Meinung nach ist es auch unerlässlich, dass Cybersicherheit in alle Lehrplanthemen des Bildungssystems an der High School oder jünger integriert wird. Wir sprechen über die Notwendigkeit, Cybersicherheit in allen Teilen des Produktdesigns, in jedem Teil eines Geschäftsprozesses und dergleichen zu berücksichtigen, also gehört sie wahrscheinlich zu jedem Thema, das im Klassenzimmer gelehrt wird. Sogar Unterricht in kreativen Talenten wie Kunst würde davon profitieren, ein Verständnis dafür zu vermitteln wie man eine NFT sichert: Es gibt nur sehr wenige Themen, die nicht von einem Verständnis und einer Wertschätzung für Cybersicherheit profitieren würden.

Die Normalisierung der Cybersicherheit auf diese Weise würde hoffentlich den Fachkräftemangel von morgen und vor allem das Burnout derjenigen vermeiden, die sich für eine Karriere in der Cybersicherheit entscheiden.