Professionisti della sicurezza informatica e sindrome da burnout: cosa fare?
di Elena Accardi, Country Sales Director, Netskope
Si sente sempre più spesso parlare di “sindrome da burnout” anche nella sicurezza informatica. Il termine burnout (che in inglese significa letteralmente “bruciato”, “esaurito”) indica un insieme di sintomi che deriva da una condizione di stress cronico e persistente, legato al contesto lavorativo. Chi ne accusa i sintomi vive una situazione professionale percepita come logorante dal punto di vista psicologico e fisico.
Il ruolo dei professionisti della sicurezza informatica, in particolare dei CISO, sta diventando sempre più cruciale nel garantire la continuità operativa delle aziende. Il loro compito è quello di proteggere le organizzazioni da un'ampia gamma di minacce alla sicurezza informatica, che sono in continua evoluzione e sempre più sofisticate. Lo stress che questi professionisti devono affrontare ogni giorno è quindi facilmente comprensibile e proprio questa condizione sta facendo emergere sempre più casi di burnout. Ne ha parlato recentemente Shamla Naidoo, CSO, Head of Cloud Strategy and Innovation di Netskope, in un articolo per Dark Reading.
Cosa distingue il ruolo del CISO
Come spiega bene Shamla, il team di sicurezza non è certo l'unico ad essere sotto pressione, anche altre funzioni aziendali e altri ruoli dirigenziali devono soddisfare aspettative elevate e sfidanti. Ma ciò che rende unica la posizione del CISO è la relativa “giovinezza” della sua funzione. La maggior parte dei ruoli presenti in un'organizzazione moderna (CEO, CFO e COO) esiste da decenni: si tratta di posizioni consolidate, ben definite, con processi assodati che garantiscano il corretto funzionamento delle loro funzioni.
La funzione di security, invece, nelle aziende è più giovane. Dal CISO in giù, i ruoli della sicurezza informatica sono ancora immaturi rispetto a molte altre posizioni aziendali. Pertanto, il CISO finisce spesso per assumersi la responsabilità di tutto ciò che potrebbe andare storto nella presenza digitale di un'organizzazione. Ciò conferisce al CISO un mandato di un’ampiezza enorme.
Se i dati degli utenti vengono compromessi, se i pagamenti fraudolenti vanno a buon fine, se i macchinari vengono danneggiati o i processi vengono interrotti a causa di un ransomware o di un altro attacco, è un problema del CISO. Se i dipendenti utilizzano servizi cloud all’insaputa dei team sicurezza, è ancora responsabilità del CISO. E se qualche tipo di minaccia nuova e precedentemente sconosciuta compromette i sistemi in modi che nessuno avrebbe potuto prevedere, ancora una volta: è responsabilità del CISO.
Non esiste nemmeno una job description del lavoro che un CISO dovrebbero compiere. In un'azienda, il controllo degli accessi potrebbe rientrare nel dominio del CISO, mentre in un'altra organizzazione potrebbe appartenere al team di rete. Le aziende non gestiscono la sicurezza informatica tutte allo stesso modo. Ciascun CISO è autonomo nel determinare in che modo proteggere un'infrastruttura contro il panorama delle minacce in costante evoluzione.
Le aspettative degli altri
Ad aumentare la pressione si aggiunge il fatto che i vari C-level ritengono che il CISO dovrebbe essere in grado di identificare tutte le possibili lacune di sicurezza e, quindi, colmarle.
Le aspettative dei clienti, poi, in merito non solo alla consegna tempestiva di prodotti e servizi, ma anche alla privacy e alla riservatezza dei dati, tracciano una linea diretta tra l'efficacia del team di sicurezza e le entrate aziendali. E poi c'è l'aspetto normativo: ci si aspetta che i CISO dimostrino l’approccio di security dell'organizzazione alle agenzie regolatorie.
Per alcuni CISO, questi fattori di stress sono aggravati ulteriormente da un sentimento di responsabilità verso la comunità o la nazione. Questo avviene quando il CISO ricopre questo ruolo in organizzazioni quali uffici governativi, strutture sanitarie, infrastrutture critiche. Ecco allora che anche la sicurezza nazionale è all'ordine del giorno del CISO.
Le implicazioni sulla salute mentale
Tutti questi fattori messi insieme creano un clima di costante pressione sui CISO e i team di sicurezza informatica. Sfortunatamente, le funzioni di sicurezza in azienda mancano di una base di conoscenze o strutture di supporto che altre organizzazioni sottoposte ad elevato stress, come le forze armate, hanno costruito nel corso dei secoli. Ciò ha causato in molti CISO problemi di salute mentale, che spesso faticano a riconoscere in tempo e quindi ad esprimere.
La sindrome del burnout digitale non si distingue molto da altre forme di burnout più conosciute. L’eziologia è sempre la stessa, da una prima fase di grande entusiasmo idealistico verso il lavoro, al susseguirsi di fasi come stagnazione, demotivazione, rigidità di pensiero e purtroppo anche di resistenza al cambiamento, con effetti molto negativi sul piano personale e professionale.
Lasciare che i problemi di salute mentale peggiorino può avere ripercussioni disastrose.
Spesso sottovalutata è anche un’altra forma di burnout, più estesa al team, che porta a un'alta percentuale di abbandono o elevato turnover. Inoltre, vediamo che giovani talenti a priori non vogliono intraprendere una carriera nella security perché temono di dover sopportare elevati livelli di stress. Tutto ciò contribuisce ad aumentare la carenza di personale specializzato nella security di cui si parla ormai da tempo.
All'inizio del 2019, prima della pandemia, Forbes ha pubblicato i risultati di un sondaggio in cui 1 CISO su 6 ha ammesso di rivolgersi ad auto-cure o all’alcool per affrontare lo stress da lavoro. E probabilmente molti altri non l’hanno ammesso. E se consideriamo che il livello di stress dei CISO è aumentato durante la pandemia, contestualmente all’aumentare del lavoro da remoto e alla necessità di renderlo sicuro, si può immaginare come lo scenario sia senz’altro peggiorato.
Quali rimedi?
Le aziende devono affrontare questo problema per due motivi: per avere risorse in grado di garantire una risposta adeguata quando è in gioco la sicurezza aziendale e per attrarre e mantenere i migliori talenti della sicurezza informatica in azienda. CEO, CFO e COO devono riconoscere il livello di pressione a cui i CISO con le loro squadre sono sottoposti ogni giorno. Devono promuovere un sano equilibrio tra lavoro e vita privata e devono assicurarsi che l'azienda fornisca un ambiente inclusivo e sicuro per avanzare richieste di supporto e garantire il benessere mentale dei propri dipendenti. È necessario finanziare programmi di sostegno che forniscano ai CISO strumenti semplici per gestire lo stress, senza sottrarre troppo tempo al loro lavoro o penalizzarli in altro modo.
Quelli di noi che non hanno paura di portare la propria testimonianza apertamente e non sono intimiditi dai rischi per la carriera, dovrebbero farlo. Abbiamo un ruolo da svolgere nell'educare i CEO su questa crisi incombente. Occorre sensibilizzare i leader aziendali nel contattare i loro CISO in modo proattivo e senza alcun giudizio di sorta. Gli amministratori delegati dovrebbero riconoscere che questo lavoro è sfidante e molti CISO coi loro di sicurezza stanno affrontando preoccupazioni legittime: non è semplice parlare di queste nuove sfide per la salute mentale. Altri nostri colleghi - e la professione del CISO in generale - hanno bisogno di noi per portare l’attenzione su questo tema.
I CISO che stanno lottando contro questo malessere e non sanno come dover chiedere aiuto, devono sapere che ci sono risorse disponibili. Poiché i nostri lavori sono allo stesso tempo complessi e importanti, i CISO saranno sempre sotto pressione. Lo stress può essere mitigato, esistono strategie che possono aiutarci a gestirlo, a conviverci senza alienarci. Questo è un problema a livello di settore e più comune di quanto si possa pensare.