APAC bölgesindeki siber profesyoneller işle ilgili strese yabancı değil.
Raporlar, bölgedeki siber çalışanların çoğunun tükenmişlik yaşadığını ve 10 çalışandan 9’unun bir düzeyde etkilendiğini belirtti. Tükenmişliğin nedenleri arasında kaynak eksikliği ve uyarı yorgunluğu yer alır ve bu da çalışanların kaygısına veya bağlantısının kesilmesine neden olur.
Avustralyalı siber güvenlik firması Tesserent’in üst düzey yöneticileri, siber güvenlik sektöründe ruh sağlıklarını korumak isteyen CISO’lara bazı tavsiyelerde bulundu. Öneriler Avustralya’nın RU’sunun bir parçası olarak geliyor Tamam mı? Day, bir akıl sağlığı girişimi.
CISO’lar neden siber güvenliğin zihinsel sağlığına odaklanmalı?
Akıl sağlığı sorunları siber endüstrideki birçok mesleğin başına bela oluyor. Özellikle CISO rollerinin, kısmen sürekli ve büyüyen bir tehdit ortamı nedeniyle yüksek stresli pozisyonlar olduğu biliniyor.
Bu stres bazı çalışanların ciddi kariyer hamleleri yapmasına neden oldu. Gartner, dünya çapında siber güvenlik liderlerinin neredeyse yarısının 2025 sonuna kadar işlerini değiştirmesini, bunların yaklaşık dörtte birinin farklı rollere geçmesini bekliyor. Bu arada siber endüstri kuruluşu AustCyber, Avustralya’nın önümüzdeki iki yıl içinde 17.000 güvenlik çalışanı açığının olacağını tahmin ediyor.
Siber profesyonellerin sektörden ayrılmasına neden olan tükenmişlik
Tesserent’in üst düzey yöneticileri Avustralya’da siber güvenlik tükenişine ilk elden tanık oldu.
Yönetilen ve profesyonel hizmetlerin yönetici ortağı Patrick Butler, güvenlik olayı ve müdahale dışında farklı kariyerleri veya siber rolleri seçen, rollerini bırakan “birkaç” CISO tanıdığını söyledi.
Tesserent’in CISO’su Jason Plumridge de diğer CISO’ların maruz kaldığı strese ve baskıya tanık oldu.
“Ortalama olarak CISO’ların ve diğer güvenlik liderlerinin vakaların %50’sinde stres ve destek eksikliği nedeniyle rol değiştirdiğini tahmin ediyorum” dedi. “Ancak küresel istatistikler kaybın daha yüksek olduğunu bildiriyor.”
BAKIN: İşletmeniz bir ruh sağlığı politikasından nasıl yararlanabilir?
Tesserent’in kıdemli ortağı Mark Jones da “birçok insanın tükendiğini ve siber güvenliği bıraktığını” gördüğünü söyledi.
“Amansız baskı çok fazla olduğu için sektörden ayrılan en az beş eski kıdemli profesyonel tanıyorum” dedi. “Çok fazla mesai dışı çalışma yapılması gerekiyor ve bu, ilişkilere ve bireyin refahına kişisel olarak zarar verebilir.”
Bu arada, Tesserent’in saldırı güvenlik hizmetleri kıdemli ortağı Silas Barnes da CISO’ların stres ve baskı nedeniyle ayrıldığını gördü. “Biri istifa etti ve iyileşmek için bir yıl izin aldı” dedi.
CISO’lar zihinsel sağlıklarını nasıl yönetebilirler?
İyi hazırlanın
Butler, 16 yıl önce sektöre girdiğinde siber güvenliğin getirdiği strese karşı “tamamen hazırlıksızdı”.
“Bu stresle nasıl başa çıkacağımı öğrenmem uzun zaman aldı ve şu anda bile tam olarak başarılı olamadım” dedi.
Onun için özellikle bir an öne çıkıyor. 2017’de Butler, ekibinin ağdaki gelişmiş bir tehdit aktörünü simüle etmek için bir haftadan fazla zaman harcadığı bir rakip simülasyon tatbikatının ardından tükenmişlik ve sağlık sorunları yaşadı. Hafta sonuna doğru “tükenmişliğin ve tükenmişliğin üstesinden gelmenin aylar sürdüğünü” söyledi.
Butler, CISO’ların kendi zayıf yönlerini anlamaları, riskleri ölçmeleri ve en kötüsüne hazırlanmaları durumunda stres ve baskıyla daha iyi başa çıkabileceğini söyledi.
“İyi hazırlıklı olmak bir olay sırasındaki stresi azaltır” diye açıkladı. “Kurum genelinde güvenlik riskine ilişkin sorumluluğun paylaşılması önemlidir.”
İşi ve yaşamı bölümlere ayırın
CISO’lar siber güvenlik çalışmalarının stresini kişisel yaşamlarından ayırmalıdır.
Barnes, güvenlik kariyeri boyunca tükenmişlik ve bitkinlik yaşadığını söyledi. Onun için stres ve baskı, uykusunu ve mesai saatleri dışında işten kopma yeteneğini etkiliyordu.
“Kritik sorumluluklar, yüksek baskı ve ihlal olaylarının yıkıcı sonuçlarının birleşimi, yıllık izindeyken bile bağlantının kesilmesini zorlaştırabilir” dedi.
Butler, CISO’lara fiziksel ve zihinsel bölümlendirme yeteneklerini güçlendirmelerini tavsiye ediyor.
“Kişisel zamanınızı korumanın bir yolunu bulun, böylece kapatabilir ve zihninize işten kişisel zamana geçtiğinizi öğretebilirsiniz” diye açıkladı ve bu yaklaşımın siber profesyonellerin “günün sıkıntılarını geride bırakmasına” olanak sağlayabileceğini belirtti. ”
Görevleri devredin
Plumridge, sınırların yaratılması yoluyla işi kişisel yaşamdan ayırmanın kritik olduğunu kabul etti. CISO’ların ayrıca kendi streslerini azaltmak için stratejik olarak görevleri ekip üyelerine devretmeleri gerektiğini söyledi.
Plumridge, “CISO rolü, bir güvenlik olayı durumunda 7/24 iletişim kurulabilmesini gerektirse de, bu, kişisel olarak 7/24 zihinsel ve fiziksel olarak nöbette olmanız gerektiği anlamına gelmez” diye açıkladı.
CISO’lar, zaman ve stresi yönetmek için gereksinimleri risk ve etkiye dayalı olarak değerlendirmeli ve önceliklendirmelidir. “CISO’ların, siz müsait olmadığınızda, meslektaşlarının rolün gerekliliklerini yerine getirme becerilerine güvenmeleri ve her olayı mikro düzeyde yönetmekten kaçınmaları gerekir” dedi.
Temel zihinsel sağlık hijyenini uygulayın
Temel zihinsel sağlık ve sağlıklı yaşam, üst düzey siber profesyonelleri işlerinin zirvesinde tutmak için kritik öneme sahiptir. Barnes, siber profesyonellerin fiziksel aktiviteye zaman ayırmalarını, sağlıklı beslenmelerini ve alkol alımlarına dikkat etmelerini öneriyor.
Örneğin, paraşütle atlamayı işten kopmanın, stresi azaltmanın ve kendini anın içine sokmanın bir yolu olarak benimsedi.
“Uçaklardan atlamanın yanı sıra, kendime tamamen gevşeme şansı vermek için izin alırken makul büyüklükte molalar verdiğimden ve bunun bir veya iki günden uzun olmasını sağladığımdan da emin oluyorum” dedi.
Mükemmelliğe değil sürekli iyileştirmeye odaklanın
Plumridge, CISO rollerinin karmaşık ve kapsayıcı hale geldiğini söyledi. Bu konum, dikkat ve eylem için önemli sayıda rekabet eden öncelikler doğurur. CISO’ların “bunlardan bazılarını kontrol edebileceklerini ve bazılarını kontrol edemeyeceklerini” kabul etmeleri gerektiğini söyledi.
Barnes, CISO’ların yalnızca ellerinden gelenin en iyisini yapabileceklerini açıkladı.
“Mükemmelliği kovalayarak zaman kaybetmeyin ve mükemmel olamadığınız için kendinizi hırpalamayın” dedi. “Bunun yerine kuruluşunuza kattığınız değere ve sürekli ve sürdürülebilir iyileştirmeye odaklanın.”
Sosyal medyanın etkisinin farkına varın
Barnes, güvenlik liderlerinin diğer siber güvenlik profesyonellerinin ve iş liderlerinin ticari sosyal medya platformlarındaki içeriklerini izlemeye ne kadar zaman harcadıklarını değerlendirmeleri gerektiğini, çünkü bunun zihinsel sağlık üzerinde olumsuz etkilere yol açabileceğini öne sürdü.
“Kişisel bir marka geliştirme veya daha geniş bir topluluk tarafından ‘düşünce lideri’ olarak görülme yönündeki artan baskı, günlük işlerine odaklanan kişilerde güvensizlik, yetersizlik ve endişe duygularını beraberinde getirebilir” dedi.
CISO’lar bunun yerine kendi kişisel yolculuklarına odaklanmalı ve kendilerini başkalarıyla karşılaştırmaktan kaçınmalıdır. Barnes, diğer profesyonellerin sosyal medya platformlarında sunduğu resmin sektörde çalışmanın gerçeklerini tam olarak yansıtmadığını belirtti.
Kuruluşlar ruh sağlığını nasıl koruyabilir?
Siber güvenliği ortak bir kurumsal sorumluluk haline getirin
Tesserent yöneticileri, siber güvenliğin bir kuruluştaki herkes tarafından paylaşılan bir sorumluluk olması gerektiğini savunuyor.
Barnes, “CISO, tüm üst düzey liderlik ekibinin desteğini hissetmelidir çünkü siber dayanıklılık ortak bir sorumluluktur” dedi.
Tesserent CEO’su Kurt Hansen, CISO’ların kuruluşu, çalışanlarını ve müşterilerini korumak için ihtiyaç duydukları şeyleri dinlemenin siber güvenlik ekibinin zihinsel sağlığını desteklemeye yardımcı olacağını söyledi.
İyi bir iş yapısı siber güvenlik tehditlerini engelleyebilir
Siber tehditleri kontrol altına alma ve ortadan kaldırma çabalarını 24 saat boyunca yönetmek için sağlam bir iş yapısı gereklidir. Butler, bunun olay müdahale ekipleri veya güvenlik operasyonları merkezinin ötesinde, “büyük bir krizde 7/24 ulaşılabilir olması” gereken BT ve yönetim ekiplerine kadar uzandığını söyledi.
“Organizasyonlar genellikle bunu planlamamıştır, bu da önemli kaynakların mevcut olmaması veya 24 saat çalışan ekiplerde tükenmişlik gibi ciddi risklerle sonuçlanmaktadır” diye açıkladı.
Butler, işverenlerin “çalışanların insan olduğunu kabul etmesi” gerektiğini ve tükenmişlik veya stres riskini en aza indirecek süreçler, yapılar ve stratejiler oluşturması gerektiğini söyledi.
“Bu sadece çalışanlarınız için iyi değil, aynı zamanda risk yönetimi ve tehditleri etkili bir şekilde ortadan kaldırma açısından da kritik önem taşıyor” diye ekledi.
Siber güvenlik teknolojilerine ve yeteneklere yatırım yapın
Kuruluşların mümkün olan en iyi siber güvenlik duruşunu benimsemek için gereken teknolojiye ve yeteneğe yatırım yapması gerekiyor.
Plumridge, birçok CISO için, bir kuruluşun güvenliğini artırmak için siber güvenlik teknolojisine gerekli yatırımı elde edememenin işle ilgili ek strese neden olabileceğini söyledi.
İşverenler ayrıca süreçlerin ve teknik olmayan diğer insan faktörlerinin de güvenlik duruşunu etkilediğini anlamalıdır.
Plumridge, şirketlerin “kuruluşun güvenliği için piyasa oranlarını ödemeye ve ihtiyaç duyduğunuz beceri ve deneyimi elde etmeye hazır olmaları” tavsiyesinde bulundu.
Kaynak: https://www.techrepublic.com/article/tesserent-mental-health-tips-cisos-australia/