預防資安壓力與倦怠的五項建議

91%的CISO面臨中高程度的壓力，本文將說明幾種有助於緩解的方式。

前​資訊安全長 Karen Worstell 樂於與大家分享她的倦怠(cybersecurity burnout)歷程，讓它成為業界的警世故事。大概十年前，經歷一場令人精疲力盡的合併案後，她離開AT&T Wireless的風險管理副總裁一職，展開為期兩周的假期，再投人新角色，擔任微軟的CISO。在老闆向她宣布今年的執行效能指標是「沒有駭客入侵、沒有外洩」時，她的轉職就落入無疑艱辛與極度壓力的新文化。

自我懷疑稍稍展開，她尋求心理醫生的協助，醫生認為她沒有問題。或許只是睡眠被剝奪了吧，她表示。醫生遞給她三張處方箋，接著留下一句令人憂心的評論：「你不曉得我在這裡看妳多少同事。」她五個月後離職了。

這和她做過有始有終的IT專案不同，「資安挑戰無法控制。」如今擔任 W Risk Group 執行長與針對科技業女性所設的 MOJO Maker 創辦人Worstell如此表示。「當你進入高壓且不可控的環境時，那就像它擁有自已的生命。一如無法醒來的最糟夢饜。」

壓力，無疑就是時下CISO及其團隊心理健康衰弱與職涯倦怠的因素之一。據近期一份由Nominet安排，408位CISO對大型美國與英國企業組織進行資安監督的調查報告指出，有91%的CISO表示面臨「中上」等級的壓力，而有60%「極少」脫離他們的工作角色。更令人警惕的是，有17%的受訪者表示他們轉而尋求藥物與酒精的協助，處理這類壓力。

情況還可以更糟，手機上幾乎每日不斷跳出的頭條新聞，警告著資安專家們最新的外洩事件與攻擊者。這就是在訴說「你的戰友們正紛紛在這場戰役中墜落在你身邊。」Worstell表示。

雪城大學(Syracuse University)資訊研究教授Jeffrey M. Stanton表示，這樣持續防禦的狀態導致了疲憊，或其他更糟的狀況。他的研究重點在工作相關壓力與組織行為和技術之間的關係上。「資安專業的基礎論點便在於防禦。這樣的性質將人們推入一種心理警戒狀態、對威脅保持警惕。」Stanton表示。「這樣的警戒與警惕，持續一段冗長時間，便成為不可控的壓力。」

資安倦怠誰該負責？

據研究報告指出，加諸於CISO們的壓力，部份來自於CXO高階主管與董事會缺乏參與。約有三分之一(32%)的美國CISO們認為，他們的執行層管理團隊「不」瞭解也「不」接受資安漏洞的無法避免。這些執行高層認為，若不是(1)沒人留意到他們的公司，所以這件事不會發生在他們身上；就是(2)CISO可以，而且應該保護公司免於所有資料外洩。有超過四分之一(29%)的CISO認為，若發生外洩事件，他們會遭官方警告，甚至可能失去工作。

北達科他大學(University of North Dakota)資安教授 Bill Souza博士指出，就資安事務而言，普遍人才短缺與企業內人手不足，通常是導致倦怠的主因。「這樣的短缺，可能意謂著你工作過度負荷，有太多工作讓你忙得不可開交。」他表示。

無疑，這樣的壓力確實存在，但防止資安倦怠有其方法。CISO及經理人必須先覺察自已本身與員工倦怠的警訊，進而培養一個不那樣神經緊繃的環境。

識別倦怠警訊

許多情況與行業的實際狀況也是如此：尋找行為上意義重大的變化，像是意外或無預警爆怒，Stanton表示。「若這看來就像某人性格產生變化，就有可能他們正承受工作相關壓力。」生理徵兆與症狀，例如因缺乏睡眠而導致的那些，也可能是個指標。

最好認的行為模式是憤世嫉俗的態度。「當你聽聞有人用憤世嫉俗的態度談論管理或生活時，那就是紅燈。」Worstell說道。「那代表壓力與苦難，一種人們覺得沒有任何型式的媒介，能影響他們所承擔的後果。」

出勤主義 (Presenteeism)是另一個壓力指標，員工出席只為了做足夠的工作就好，而不是全心參與並在細節上充份注意。「他們覺得工作品質不是真正的重點。」

壓力與倦怠，是真實存在與潛在的嚴重境況。不會有一體適用的緩解方式，但確實有方式可以客觀審視這種失控的資安本質。

以下是針對管理層與CISO如何協助預防壓力與倦怠的五項建議。

一、盡可能堅持管控

這是在管理上能真正創造差異的地方，Worstell表示。他們可以加入選擇性控制點與檢查點，讓資安團隊有機會在事前提供他們的專業，避免事後帶來的災難。

例如，M&A專案時期，Worstell發現她的企業組織正在收購一間公司，其產品具有內在、無法改正的不安全性質。M&A的條款及條件是那樣的產品將會被整合到她企業產品套件裡，這是她無法控制的狀況。

「我們必須說，『現在就必須加入事前階段檢查點，才能在這個處理階段的初期將這些輸入。』此舉擴大了影響範圍，讓我們得以控制結果。」她表示。

二、考量輪調安全性職務

每個被要求必須警戒與監控威脅的人，都必須要求休止時間，Stanton表示。試想救生員的狀況。「一個營運良好的機構，救生員會每15至20分鐘輪調角色或位置。理由就在於這必須在心理上保持警覺與注意力，勝於壓力與倦怠因素，不過同理可證。」資安領導者應考量實施職務的輪調，讓那些必須監控網路威脅的人定期移轉到其他角色上，也就是能讓他們脫離警戒狀態的休止時間，他表示。「他們在偵測與緩解威脅上深入的專業經驗，在身為訓練師或其他『背景』網路角色的工作(暫時性)上，可以成為有力的幫助。」

三、提供認可及訓練

若沒有資源能減輕資安團隊的工作負擔，領導階層就應該照顧他的員工，Souza表示。「來自領導者與同儕，非金錢層面認可他們工作表現優異，能激發個人自我評價。」他表示。提供訓練認證，有助於領導者用兩個不同角度處理相同問題，他補充說明。「認證，有助於緩解知識的短缺，提升自我價值，」並且可能減少憤世嫉俗的態度。最重要的是，領導者本身必須檢視自已的領導型態，他如此說道。「領導者必須瞭解如何管理人手不足的企業組織。」

四、探討壓力

壓力過大的工作者，應同時向工作伙伴與家人坦言他們的壓力等級，倫敦大學學院(University College London)的商業心理學家暨講師Dimitrios Tsivrikos博士表示。「你會驚訝於能在官方與非官方管道所得到的支援與幫助。」
員工們選擇仰訴的同事與家人絕對必須有同理心，Worstell說道。「聽聞痛苦，不會轉身離開或輕視它。」

五、要求完全休止時間

「我們沒必要成為肩負宇宙重量的救世主(就資安專家而言)，」Worstell表示。CEO有自已的假期，CISO(及其所有資安同事)應該也有相同待遇，不必持續處於待命狀態，她如此說道。「有時是我們自找的，但我們必須願意表示『我現在要切斷一切。我已經盡可能完成合理範圍該作的一切、我離開時有人可以負責、我要休息，我回來時會查看。』不過，這對我們這個行業的人來說，真的很難。」

（文／Stacy Collett 譯／Nica Liu）