Black Hat USA 2022: Burn-out, een belangrijk probleem

De discussie over de financieringsproblemen binnen de cyberbeveiligingssector is geen nieuw fenomeen; volgens Cybersecurity-ondernemingen, groeide het aantal onvervulde cybersecurity-functies wereldwijd met 350% tussen 2013 en 2021, van 1 miljoen naar 3.5 miljoen. Het artikel splitst dit aantal verder op en schat dat er 1 miljoen cyberbeveiligingswerkers in de VS zijn en vanaf november 2021 ongeveer 715,000 extra, onvervulde vacatures. Deze cijfers vertellen het verhaal van een probleem met middelen; ze vertellen ook het verhaal van een industrie die momenteel draait op ongeveer tweederde van de middelen die ze nodig heeft.

Een presentatie in het Black Hat US 2022-schema door Stacy Rioux, Ph. D. Clinical and Organizational/Business Psychology trok mijn aandacht -Alles proberen te zijn voor iedereen: laten we het hebben over burn-out. Wanneer er zo'n enorm tekort aan talent is in de cyberbeveiligingsindustrie, lopen degenen die in de frontlinie staan ​​mogelijk een burn-out op. Mijn veronderstelling was dat de presentatie een diepe duik zou nemen in de stress waar cyberbeveiligingsteams mee te maken hebben, aan de hand van casestudy's en specifieke voorbeelden, en vervolgens hoe het bestaan ​​van het probleem te herkennen en de stappen die kunnen helpen de pijn te verlichten die iemand lijdt. Helaas was de presentatie een licht voorbeeld, en was het meer een presentatie over het probleem van burn-out, in plaats van het identificeren en verminderen ervan in cyberbeveiligingsomgevingen.

De tekenen van burn-out zijn uiterst belangrijk om te herkennen, en enkele van de veelbetekenende tekenen die werden gepresenteerd, waren onder meer vermoeidheid, cynisme, geen plezier in het werk en mogelijk te veel drinken of eten, niet noodzakelijkerwijs tot het punt van verslaving, maar als een troostmaatregel. Twee –misschien drie– van de vier zijn waarschijnlijk herkenbaar bij bijna alle Black Hat-bezoekers: vermoeidheid door de Vegas-feestcultuur, te veel drinken, it's Vegas, en ten slotte cynisme, lijkt een baanvereiste te zijn in de cyberbeveiligingsindustrie. zijn geconditioneerd niets vertrouwen en alles verifiëren.

Serieuzer: dit is een uiterst belangrijke kwestie, iets waar alle grote en kleine bedrijven zich van bewust moeten zijn en iets aan moeten doen. De definitie van burn-out die door Stacy wordt gepresenteerd, is "Beroepsmatige burn-out wordt klinisch gedefinieerd als een psychologisch syndroom dat optreedt als gevolg van chronische emotionele en interpersoonlijke stressoren op het werk", waarbij "interpersoonlijk" wordt uitgelegd als "met betrekking tot relaties of communicatie tussen mensen".

Burnout-identificaties die in de presentatie aan bod kwamen en die specifiek betrekking hebben op cyberbeveiliging, waren:

• Hoge niveaus van mentale belasting
• Vooruitlopen op cyberaanvallen
• Personeelstekorten en toenemende werkdruk
• Heeft moeite om zijn plaats binnen een organisatie te vinden
• Werk wordt vaak niet gewaardeerd in de organisatie

Er zijn strategieën die kunnen helpen bij het omgaan met burn-out, en ik raad aan de tijd te nemen om ze te onderzoeken om een ​​beter begrip te krijgen. Een bekwame personeelsafdeling of professional moet in staat zijn om werknemers op het juiste spoor te zetten of goed leesmateriaal over het onderwerp te bieden.

Het probleem is naar mijn mening een combinatie van het gebrek aan ervaren getalenteerde mensen, de versnelde digitale transformatie die we de afgelopen twee jaar hebben meegemaakt en het eindeloze spervuur ​​​​van cyberaanvallen waarmee cyberbeveiligingsteams moeten omgaan. Het einde van dit tekort is in zicht; als dat maar waar was! Veel bedrijven eisen van kandidaten dat ze een universitaire opleiding hebben gevolgd en beschikken over een door de branche erkende cyberbeveiliging kwalificatie zoals CISSP en om 3-5 jaar ervaring te hebben. Deze vereisten zijn mogelijk, althans een bijdragende factor, verantwoordelijk voor de onvervulde cyberbeveiligingsposities.

Werkgevers moeten hun diploma- of opleidingseisen voor cyberbeveiligingsbanen verlagen en een aantal van de minder ervaren maar geïnteresseerde en enthousiaste mensen naar de werkplek halen, zodat ze die ervaring kunnen opdoen en het deskundige talent kunnen worden dat nodig is om zich te verdedigen tegen de aanvallen van de toekomst. Het is naar mijn mening ook absoluut noodzakelijk dat cyberbeveiliging wordt ingebakken in alle leerplanonderwerpen in het onderwijssysteem op de middelbare school of jonger. We hebben het over de noodzaak dat cyberbeveiliging wordt overwogen in alle onderdelen van productontwerp, in elk onderdeel van een bedrijfsproces en dergelijke, dus het hoort waarschijnlijk thuis in elk onderwerp dat in de klas wordt onderwezen. Zelfs lessen in creatieve talenten zoals kunst zouden baat hebben bij het verschaffen van inzicht in hoe een NFT te beveiligen: er zijn maar weinig onderwerpen die geen baat zouden hebben bij begrip en waardering op het gebied van cyberbeveiliging.

Het op deze manier normaliseren van cyberbeveiliging zou hopelijk het tekort aan talent van morgen voorkomen, en vooral de burn-out van degenen die voor een carrière in cyberbeveiliging kiezen.