Black Hat USA 2022: Wypalenie, poważny problem

Dyskusja na temat kwestii zasobów w sektorze cyberbezpieczeństwa nie jest zjawiskiem nowym; według Cyberbezpieczeństwo, liczba nieobsadzonych stanowisk w obszarze cyberbezpieczeństwa wzrosła o 350% w latach 2013-2021, z 1 miliona do 3.5 miliona. Artykuł przedstawia tę liczbę dalej, szacując, że w USA jest 1 milion pracowników ds. cyberbezpieczeństwa, a od listopada 2021 r. około 715,000 XNUMX dodatkowych, nieobsadzonych stanowisk. Te liczby opowiadają historię problemu z zasobami; opowiadają również historię branży, która obecnie korzysta z około dwóch trzecich potrzebnych zasobów.

Moją uwagę przyciągnęła prezentacja w harmonogramie Black Hat US 2022 autorstwa dr Stacy Rioux. Psychologia kliniczna i organizacyjna/biznesowa –Próbując być wszystkim dla wszystkich: porozmawiajmy o wypaleniu. Kiedy w branży cyberbezpieczeństwa jest tak ogromny niedobór talentów, ci, którzy są na pierwszej linii, są potencjalnie podatni na wypalenie. Założyłem, że prezentacja zagłębi się w stresy, jakie cierpią zespoły ds. cyberbezpieczeństwa, wykorzystując studia przypadków i konkretne przykłady, a następnie, jak rozpoznać istnienie problemu i kroki, które mogą pomóc złagodzić cierpienie kogoś, kto cierpi. Niestety, prezentacja była lekka przykładowa i była bardziej prezentacją na temat wypalenia, a nie identyfikowania i łagodzenia go w ustawieniach cyberbezpieczeństwa.

Niezwykle ważne jest wykrycie oznak wypalenia, a niektóre z widocznych objawów obejmowały zmęczenie, cynizm, brak radości z pracy i być może nadmierne picie lub jedzenie, niekoniecznie prowadzące do uzależnienia, ale jako środek pocieszenia. Dwóch – może trzech – z tych czterech można rozpoznać u prawie wszystkich uczestników Black Hat: zmęczenie z powodu imprezowej kultury w Vegas, nadmierne picie, to Vegas, i wreszcie cynizm, który wydaje się być wymogiem pracy w branży cyberbezpieczeństwa – my są uwarunkowane do niczego nie ufać i wszystko weryfikować.

Mówiąc poważniej, jest to niezwykle ważna kwestia i coś, o czym muszą wiedzieć wszystkie firmy, zarówno duże, jak i małe. Definicja wypalenia przedstawiona przez Stacy brzmi: „Wypalenie zawodowe jest klinicznie definiowane jako zespół psychologiczny, który pojawia się z powodu chronicznych stresorów emocjonalnych i interpersonalnych w pracy” z „interpersonalnym” wyjaśnionym jako „odnoszący się do relacji lub komunikacji między ludźmi”.

Omówione w prezentacji identyfikatory wypalenia, które odnoszą się konkretnie do cyberbezpieczeństwa, to:

• Wysoki poziom obciążenia psychicznego
• Przewidywanie cyberataków
• Braki kadrowe i wzrost obciążenia pracą
• Walczy o znalezienie swojego miejsca w organizacji
• Praca często nie jest doceniana w organizacji

Istnieją strategie, które mogą pomóc w radzeniu sobie z wypaleniem i zalecam poświęcenie czasu na ich zbadanie, aby uzyskać lepsze zrozumienie. Kompetentny dział zasobów ludzkich lub specjalista powinien być w stanie skierować pracowników na właściwą ścieżkę lub zapewnić solidne materiały do ​​czytania na ten temat.

Moim zdaniem problem jest kombinacją ze względu na brak doświadczonych utalentowanych ludzi, przyspieszoną transformację cyfrową, której byliśmy świadkami w ciągu ostatnich dwóch lat i niekończącą się falę cyberataków, z którymi muszą sobie radzić zespoły ds. cyberbezpieczeństwa. Koniec tego niedoboru jest w zasięgu wzroku; gdyby tylko to było prawdą! Wiele firm wymaga od kandydatów wykształcenia na poziomie wyższym, posiadania uznanego w branży cyberbezpieczeństwa kwalifikacje takie jak CISSP i mieć 3–5 lat doświadczenia. Te wymagania są potencjalnie, przynajmniej współautorem, odpowiedzialne za niewypełnione stanowiska w dziedzinie cyberbezpieczeństwa.

Pracodawcy muszą obniżyć wymagania dotyczące poświadczeń lub wykształcenia na stanowiskach związanych z cyberbezpieczeństwem i pozyskać mniej doświadczonych, ale zainteresowanych i chętnych do pracy w miejscu pracy, aby mogli zdobyć to doświadczenie i stać się utalentowanymi ekspertami potrzebnymi do obrony przed atakami przyszłości. Moim zdaniem konieczne jest również, aby cyberbezpieczeństwo zostało włączone do wszystkich tematów programów nauczania w systemie edukacji w szkole średniej lub młodszych. Mówimy o potrzebie uwzględnienia cyberbezpieczeństwa we wszystkich elementach projektowania produktu, w każdej części procesu biznesowego i tym podobnych, więc prawdopodobnie należy do każdego tematu nauczanego w klasie. Nawet lekcje talentów twórczych, takich jak sztuka, przyniosłyby korzyści dzięki zrozumieniu jak zabezpieczyć NFT: jest bardzo niewiele tematów, które nie skorzystałyby na zrozumieniu i docenieniu cyberbezpieczeństwa.

Normalizacja cyberbezpieczeństwa w ten sposób pozwoliłaby, miejmy nadzieję, uniknąć jutrzejszego niedoboru talentów, a co ważne, wypalenia tych, którzy wybierają karierę w cyberbezpieczeństwie.