Black Hat USA 2022: Burnout, ένα σημαντικό ζήτημα

Η συζήτηση των θεμάτων παροχής πόρων στον τομέα της κυβερνοασφάλειας δεν είναι νέο φαινόμενο. σύμφωνα με Κυβερνοασφάλεια Ventures, ο αριθμός των ακάλυπτων θέσεων κυβερνοασφάλειας παγκοσμίως αυξήθηκε κατά 350% μεταξύ 2013 και 2021, από 1 εκατομμύριο σε 3.5 εκατομμύρια. Το άρθρο αναλύει περαιτέρω αυτόν τον αριθμό, εκτιμώντας ότι υπάρχουν 1 εκατομμύριο εργαζόμενοι στον τομέα της κυβερνοασφάλειας στις ΗΠΑ και από τον Νοέμβριο του 2021 περίπου 715,000 πρόσθετες, ακάλυπτες θέσεις. Αυτοί οι αριθμοί λένε την ιστορία ενός ζητήματος πόρων. Αφηγούνται επίσης την ιστορία μιας βιομηχανίας που αυτή τη στιγμή λειτουργεί με περίπου τα δύο τρίτα των πόρων που χρειάζεται.

Μια παρουσίαση στο πρόγραμμα Black Hat US 2022 από τη Stacy Rioux, Ph. D. Κλινική και Οργανωτική/Επιχειρηματική Ψυχολογία τράβηξε την προσοχή μου –Προσπαθώντας να είμαστε τα πάντα για όλους: Ας μιλήσουμε για το Burnout. Όταν υπάρχει τόσο τεράστια έλλειψη ταλέντων στον κλάδο της κυβερνοασφάλειας, εκείνοι που βρίσκονται στην πρώτη γραμμή είναι δυνητικά επιρρεπείς σε εξάντληση. Η υπόθεσή μου ήταν ότι η παρουσίαση θα έδινε μια βαθιά βουτιά στο άγχος που υποφέρουν οι ομάδες κυβερνοασφάλειας χρησιμοποιώντας περιπτωσιολογικές μελέτες και συγκεκριμένα παραδείγματα, και στη συνέχεια πώς να αναγνωρίσουμε την ύπαρξη του ζητήματος και τα βήματα που μπορούν να βοηθήσουν στην ανακούφιση του πόνου που υποφέρει κάποιος. Δυστυχώς, η παρουσίαση ήταν ελαφριά ως παράδειγμα και ήταν περισσότερο μια παρουσίαση σχετικά με το θέμα της εξουθένωσης, παρά τον εντοπισμό και τον μετριασμό του σε ρυθμίσεις ασφάλειας στον κυβερνοχώρο.

Τα σημάδια της επαγγελματικής εξουθένωσης είναι εξαιρετικά σημαντικό να εντοπιστούν και μερικά από τα ενδεικτικά σημάδια που παρουσιάστηκαν περιελάμβαναν κούραση, κυνισμό, μη απόλαυση της δουλειάς και πιθανώς υπερβολική κατανάλωση ποτών ή φαγητού, όχι απαραίτητα σε σημείο εθισμού αλλά ως μέτρο άνεσης. Δύο –ίσως τρεις– από τους τέσσερις είναι πιθανώς αναγνωρίσιμοι σε όλους σχεδόν τους συμμετέχοντες στο Black Hat: η κούραση λόγω της κουλτούρας των πάρτι στο Βέγκας, το υπερβολικό ποτό, είναι Βέγκας και, τέλος, ο κυνισμός, φαίνεται να είναι μια απαίτηση εργασίας στον κλάδο της κυβερνοασφάλειας – εμείς υπόκεινται σε όρους μην εμπιστεύεστε τίποτα και να επαληθεύσετε τα πάντα.

Σε μια πιο σοβαρή σημείωση, αυτό είναι ένα εξαιρετικά σημαντικό ζήτημα, και κάτι που όλες οι μεγάλες και μικρές εταιρείες πρέπει να γνωρίζουν και να αντιμετωπίσουν. Ο ορισμός της επαγγελματικής εξουθένωσης που παρουσιάστηκε από τη Stacy είναι «Η επαγγελματική εξουθένωση ορίζεται κλινικά ως ένα ψυχολογικό σύνδρομο που εμφανίζεται λόγω χρόνιων συναισθηματικών και διαπροσωπικών στρεσογόνων παραγόντων στην εργασία» με το «διαπροσωπικό» να εξηγείται ως «σχετικό με σχέσεις ή επικοινωνία μεταξύ ανθρώπων».

Τα αναγνωριστικά Burnout που καλύπτονταν στην παρουσίαση και σχετίζονται συγκεκριμένα με την ασφάλεια στον κυβερνοχώρο ήταν:

• Υψηλά επίπεδα ψυχικού φόρτου εργασίας
• Πρόβλεψη κυβερνοεπιθέσεων
• Ελλείψεις σε προσωπικό και αύξηση του φόρτου εργασίας
• Αγωνίζεται να βρει τη θέση του σε έναν οργανισμό
• Η εργασία συχνά δεν εκτιμάται στον οργανισμό

Υπάρχουν στρατηγικές που μπορούν να βοηθήσουν στην αντιμετώπιση της εξουθένωσης και συνιστώ να αφιερώσετε χρόνο για να τις ερευνήσετε για να κατανοήσετε καλύτερα. Ένα αρμόδιο τμήμα ανθρώπινου δυναμικού ή ένας επαγγελματίας θα πρέπει να είναι σε θέση να θέτει τους υπαλλήλους στο σωστό δρόμο ή να παρέχει κάποιο σωστό αναγνωστικό υλικό για το θέμα.

Το θέμα, κατά τη γνώμη μου, είναι ένας συνδυασμός λόγω της έλλειψης έμπειρων ταλαντούχων ανθρώπων, του επιταχυνόμενου ψηφιακού μετασχηματισμού που έχουμε δει τα τελευταία δύο και πλέον χρόνια και του ατελείωτου μπαράζ κυβερνοεπιθέσεων που καλούνται να αντιμετωπίσουν οι ομάδες κυβερνοασφάλειας. Το τέλος αυτής της έλλειψης είναι ορατό. αν ήταν αλήθεια! Πολλές εταιρείες απαιτούν από τους υποψηφίους να είναι εκπαιδευμένοι σε επίπεδο πτυχίου, να διαθέτουν αναγνωρισμένη στον κλάδο ασφάλεια στον κυβερνοχώρο προσόντα όπως CISSP και να έχουν εμπειρία 3-5 ετών. Αυτές οι απαιτήσεις είναι δυνητικά, τουλάχιστον ένας συνεισφέρων, υπεύθυνοι για τις ανεκπλήρωτες θέσεις ασφάλειας στον κυβερνοχώρο.

Οι εργοδότες πρέπει να μειώσουν τις απαιτήσεις διαπιστευτηρίων ή εκπαίδευσης για θέσεις εργασίας στον κυβερνοχώρο και να προσελκύσουν μερικούς από τους λιγότερο έμπειρους αλλά ενδιαφερόμενους και πρόθυμους στον χώρο εργασίας για να αποκτήσουν αυτή την εμπειρία και να γίνουν το ταλέντο των ειδικών που χρειάζονται για να αμυνθούν από τις επιθέσεις του μέλλοντος. Είναι επίσης επιτακτική ανάγκη, κατά τη γνώμη μου, η κυβερνοασφάλεια να ενσωματωθεί σε όλα τα θέματα του προγράμματος σπουδών στο εκπαιδευτικό σύστημα στο γυμνάσιο ή νεότερους. Μιλάμε για την ανάγκη να λαμβάνεται υπόψη η κυβερνοασφάλεια σε όλα τα μέρη του σχεδιασμού προϊόντων, σε κάθε μέρος μιας επιχειρηματικής διαδικασίας και άλλα παρόμοια, επομένως πιθανότατα ανήκει σε κάθε θέμα που διδάσκεται στην τάξη. Ακόμη και τα μαθήματα δημιουργικών ταλέντων, όπως η τέχνη, θα ωφελούνταν παρέχοντας κατανόηση πώς να εξασφαλίσετε ένα NFT: υπάρχουν πολύ λίγα θέματα που δεν θα ωφεληθούν από την κατανόηση και την εκτίμηση της κυβερνοασφάλειας.

Η ομαλοποίηση της ασφάλειας στον κυβερνοχώρο με αυτόν τον τρόπο, ελπίζουμε, θα αποφευχθεί η έλλειψη ταλέντων αύριο, και κυρίως η εξάντληση όσων επιλέγουν μια καριέρα στον τομέα της κυβερνοασφάλειας.