91%的CISO面臨中高程度的壓力,本文將說明幾種有助於緩解的方式。
前資訊安全長 Karen Worstell 樂於與大家分享她的倦怠(cybersecurity burnout)歷程,讓它成為業界的警世故事。大概十年前,經歷一場令人精疲力盡的合併案後,她離開AT&T Wireless的風險管理副總裁一職,展開為期兩周的假期,再投人新角色,擔任微軟的CISO。在老闆向她宣布今年的執行效能指標是「沒有駭客入侵、沒有外洩」時,她的轉職就落入無疑艱辛與極度壓力的新文化。
自我懷疑稍稍展開,她尋求心理醫生的協助,醫生認為她沒有問題。或許只是睡眠被剝奪了吧,她表示。醫生遞給她三張處方箋,接著留下一句令人憂心的評論:「你不曉得我在這裡看妳多少同事。」她五個月後離職了。
這和她做過有始有終的IT專案不同,「資安挑戰無法控制。」如今擔任 W Risk Group 執行長與針對科技業女性所設的 MOJO Maker 創辦人Worstell如此表示。「當你進入高壓且不可控的環境時,那就像它擁有自已的生命。一如無法醒來的最糟夢饜。」
壓力,無疑就是時下CISO及其團隊心理健康衰弱與職涯倦怠的因素之一。據近期一份由Nominet安排,408位CISO對大型美國與英國企業組織進行資安監督的調查報告指出,有91%的CISO表示面臨「中上」等級的壓力,而有60%「極少」脫離他們的工作角色。更令人警惕的是,有17%的受訪者表示他們轉而尋求藥物與酒精的協助,處理這類壓力。
情況還可以更糟,手機上幾乎每日不斷跳出的頭條新聞,警告著資安專家們最新的外洩事件與攻擊者。這就是在訴說「你的戰友們正紛紛在這場戰役中墜落在你身邊。」Worstell表示。
雪城大學(Syracuse University)資訊研究教授Jeffrey M. Stanton表示,這樣持續防禦的狀態導致了疲憊,或其他更糟的狀況。他的研究重點在工作相關壓力與組織行為和技術之間的關係上。「資安專業的基礎論點便在於防禦。這樣的性質將人們推入一種心理警戒狀態、對威脅保持警惕。」Stanton表示。「這樣的警戒與警惕,持續一段冗長時間,便成為不可控的壓力。」
資安倦怠誰該負責?
據研究報告指出,加諸於CISO們的壓力,部份來自於CXO高階主管與董事會缺乏參與。約有三分之一(32%)的美國CISO們認為,他們的執行層管理團隊「不」瞭解也「不」接受資安漏洞的無法避免。這些執行高層認為,若不是(1)沒人留意到他們的公司,所以這件事不會發生在他們身上;就是(2)CISO可以,而且應該保護公司免於所有資料外洩。有超過四分之一(29%)的CISO認為,若發生外洩事件,他們會遭官方警告,甚至可能失去工作。
北達科他大學(University of North Dakota)資安教授 Bill Souza博士指出,就資安事務而言,普遍人才短缺與企業內人手不足,通常是導致倦怠的主因。「這樣的短缺,可能意謂著你工作過度負荷,有太多工作讓你忙得不可開交。」他表示。
無疑,這樣的壓力確實存在,但防止資安倦怠有其方法。CISO及經理人必須先覺察自已本身與員工倦怠的警訊,進而培養一個不那樣神經緊繃的環境。
識別倦怠警訊
許多情況與行業的實際狀況也是如此:尋找行為上意義重大的變化,像是意外或無預警爆怒,Stanton表示。「若這看來就像某人性格產生變化,就有可能他們正承受工作相關壓力。」生理徵兆與症狀,例如因缺乏睡眠而導致的那些,也可能是個指標。
最好認的行為模式是憤世嫉俗的態度。「當你聽聞有人用憤世嫉俗的態度談論管理或生活時,那就是紅燈。」Worstell說道。「那代表壓力與苦難,一種人們覺得沒有任何型式的媒介,能影響他們所承擔的後果。」
出勤主義 (Presenteeism)是另一個壓力指標,員工出席只為了做足夠的工作就好,而不是全心參與並在細節上充份注意。「他們覺得工作品質不是真正的重點。」
壓力與倦怠,是真實存在與潛在的嚴重境況。不會有一體適用的緩解方式,但確實有方式可以客觀審視這種失控的資安本質。
以下是針對管理層與CISO如何協助預防壓力與倦怠的五項建議。
一、盡可能堅持管控
這是在管理上能真正創造差異的地方,Worstell表示。他們可以加入選擇性控制點與檢查點,讓資安團隊有機會在事前提供他們的專業,避免事後帶來的災難。
例如,M&A專案時期,Worstell發現她的企業組織正在收購一間公司,其產品具有內在、無法改正的不安全性質。M&A的條款及條件是那樣的產品將會被整合到她企業產品套件裡,這是她無法控制的狀況。
「我們必須說,『現在就必須加入事前階段檢查點,才能在這個處理階段的初期將這些輸入。』此舉擴大了影響範圍,讓我們得以控制結果。」她表示。
二、考量輪調安全性職務
每個被要求必須警戒與監控威脅的人,都必須要求休止時間,Stanton表示。試想救生員的狀況。「一個營運良好的機構,救生員會每15至20分鐘輪調角色或位置。理由就在於這必須在心理上保持警覺與注意力,勝於壓力與倦怠因素,不過同理可證。」資安領導者應考量實施職務的輪調,讓那些必須監控網路威脅的人定期移轉到其他角色上,也就是能讓他們脫離警戒狀態的休止時間,他表示。「他們在偵測與緩解威脅上深入的專業經驗,在身為訓練師或其他『背景』網路角色的工作(暫時性)上,可以成為有力的幫助。」
三、提供認可及訓練
若沒有資源能減輕資安團隊的工作負擔,領導階層就應該照顧他的員工,Souza表示。「來自領導者與同儕,非金錢層面認可他們工作表現優異,能激發個人自我評價。」他表示。提供訓練認證,有助於領導者用兩個不同角度處理相同問題,他補充說明。「認證,有助於緩解知識的短缺,提升自我價值,」並且可能減少憤世嫉俗的態度。最重要的是,領導者本身必須檢視自已的領導型態,他如此說道。「領導者必須瞭解如何管理人手不足的企業組織。」
四、探討壓力
壓力過大的工作者,應同時向工作伙伴與家人坦言他們的壓力等級,倫敦大學學院(University College London)的商業心理學家暨講師Dimitrios Tsivrikos博士表示。「你會驚訝於能在官方與非官方管道所得到的支援與幫助。」
員工們選擇仰訴的同事與家人絕對必須有同理心,Worstell說道。「聽聞痛苦,不會轉身離開或輕視它。」
五、要求完全休止時間
「我們沒必要成為肩負宇宙重量的救世主(就資安專家而言),」Worstell表示。CEO有自已的假期,CISO(及其所有資安同事)應該也有相同待遇,不必持續處於待命狀態,她如此說道。「有時是我們自找的,但我們必須願意表示『我現在要切斷一切。我已經盡可能完成合理範圍該作的一切、我離開時有人可以負責、我要休息,我回來時會查看。』不過,這對我們這個行業的人來說,真的很難。」
(文/Stacy Collett 譯/Nica Liu)