Varför är cyberledare missnöjda på jobbet?

Ny forskning från BlackFog indikerar att cyberledare kämpar för att hantera stressen och kraven i sina roller. Dr Darren Williams berättar hur företag kan hjälpa till.

I går (15 oktober) släppte det globala cybersäkerhetsföretaget BlackFog ny forskning som tittar på tillståndet för arbetstillfredsställelse bland IT- och cybersäkerhetsledare.

Rapporten, med titeln Managing Expectations and Job Satisfaction for IT Security Leaders, består av en onlineundersökning bland 400 IT-beslutsfattare i företag med mer än 500 anställda över hela Storbritannien och USA, som genomfördes mellan juli och augusti i år.

Resultaten av undersökningen visade på den höga stress som IT- och cybersäkerhetsledare upplever, med nästan en av fyra (24 st) chefer för informationssäkerhet (CISO) och IT-beslutsfattare som säger att de aktivt söker en ny position i ett annat företag , medan 54 procent av respondenterna är öppna för nya möjligheter. Av dem som överväger att lämna sin roll säger 93 procent att stress och jobbkrav är viktiga skäl till att lämna sina roller.

98 procent av svarande säkerhetsledare rapporterar att de arbetar i genomsnitt nio timmar extra utöver sitt kontrakt per vecka, medan 15 procent säger att de arbetar mer än 16 timmar extra per vecka.

Antalet extra arbetade timmar beror också på typ av bransch, eftersom säkerhetsledare som arbetar inom transport-, el- och telekommunikationssektorerna rapporterar att de arbetar i genomsnitt 13 timmar övertid per vecka.

AI-relaterad stress

Bland IT- och cyberledares största bekymmer är attackmetoder som skadlig programvara, nätfiske och attacker i leveranskedjan, samt en stor oro för cyberbrottslingars användning av AI.

”Med tillkomsten av AI nuförtiden är det vi ser en mycket större mängd dataexfiltrering än vi förmodligen någonsin har sett”, säger BlackFogs grundare och VD, Dr Darren Williams, i ett uttalande med SiliconRepublic.com om rapporten.

”Även om du kan använda det för gott, som vilken ny fantastisk teknik som helst, kan du också använda den för det onda. Och jag tror att det är vad en av sakerna vi har märkt är den stora ökningen av mängden framgångsrika ransomware-attacker, och det har uppenbarligen ökat jobbstressen.”

Rädslan för AI inom cybersäkerhet har ökat på senare tid, särskilt på grund av att AI-teknik kan hjälpa till att minska inträdesbarriären för cyberbrottslighet. ”Inträdesbarriären är låg, och låt oss inse det, det är en mycket låg risk för en cyberbrottsling.”

Williams hänvisade till den senaste iterationen av ChatGPT och påstod att skillnaden i kapacitet jämfört med tidigare versioner är ”dramatisk”, och att cyberbrottslingar utnyttjar denna teknik för att skapa avancerade nätfiskeattacker. Han förklarade att med framväxten av dessa avancerade teknologier, inklusive deepfakes, kan hotaktörer skapa trovärdiga cyberattacker som, med tillräckligt noggranna förberedelser, till och med kan lura experter på området.

”Det är skrämmande den typ av miljö vi befinner oss i just nu,” sa han. ”Men det finns saker du kan göra rätt. Du måste bara vara medveten och ha rätt system på plats.”

Ansvar och budgetar

Ett annat bekymmer för cyberledare som lyfts fram i rapporten, särskilt relevant för USA, är den växande trenden att åtala enskilda säkerhetsledare för deras personliga skuld i cyberbrottsincidenter. Förra året väckte US Securities and Exchange Commission åtal mot mjukvaruföretaget SolarWinds och dess CISO, Timothy Brown, för ”bedrägeri och internkontrollmisslyckanden relaterade till påstådda kända cybersäkerhetsrisker och sårbarheter”. Större delar av denna noggrant bevakade rättegång avslogs till slut av en domare i New York, inklusive påståenden om att Brown vilselett investerare om dess cybersäkerhetspraxis och kända risker.

Enligt BlackFogs rapport tror ungefär hälften av de tillfrågade att personligt ansvar förbättrar ansvarsskyldigheten för säkerhetsledare, medan den andra hälften oroar sig för att det kommer att ”avskräcka motiverade och kompetenta människor från att helt och hållet söka ledande positioner”.

”I grund och botten säger de att varför skulle jag vilja ha det där toppjobbet längre när de kan komma efter mig individuellt, bara för att jag gör mitt jobb?” sa Williams. ”Det är verkligen oerhört. Jag menar, chefer på C-nivå, jag får liksom till en viss punkt att de är skyldiga. Men när det väl är säkerhetsmänniskor verkar det lite rikt.

”Normalt förväntas ett företag tillhandahålla någon form av ansvarsförsäkring eller skydd för den sortens roll, men de gör inte det.”

Enligt rapporten kan skulden ibland riktas helt och hållet mot en säkerhetsledare även om händelsen hade kunnat mildras med teknik som ledaren efterfrågat, men företaget nekade.

Detta belyser en annan stor oro för säkerhetsledare: budgetrestriktioner. 41 procent av de tillfrågade uppgav att de vill ha större budgetar så att de kan skaffa de verktyg som krävs för att hantera cybersäkerhetshot. ”Vi ser ofta att företag inte behandlar cybersäkerhet så seriöst som de förmodligen borde”, sa Williams.

I synnerhet sa han att små och medelstora företag kommer att bli mer ”cyberutmanade” eftersom de varken har budgetkapacitet eller fokus på cybersäkerhet.

Copingmekanismer

Konsekvenserna av höga mängder stress i denna bransch är oroande. Enligt rapportens resultat, medan många beslutsfattare inom IT och säkerhet vänder sig till hobbyer och sportaktiviteter, hävdar 45 pct att de har vänt sig till droger och alkohol för att hantera stress. Vissa har rapporterat att de isolerat sig från sociala aktiviteter.

Med en arbetsstyrka som kämpar under trycket från dagens hotlandskap, hur ska företag och organisationer reagera?

”Att stödja vår arbetsstyrka är avgörande här,” sade Williams.

Han sa att tillsammans med att ha rådgivningstjänster och en lämplig stödinfrastruktur bör företag överväga att upprätthålla en flexibel arbetsmiljö. ”Jag tror att det att vara flexibel som företag ger anställda en slags sinnesfrid att de kan göra jobbet (hur) de vill göra det och göra livet lite trevligt”, sa han. ”Ibland vill man bara komma ut ur huset och gå till ett kontor. Ibland vill man bara vara i huset.”

Han betonade att företag också måste se till att deras cybersäkerhetsproffs har lämpliga resurser och utbildning.

”Låt oss behålla killarna vi har, om vi älskar vem de är, låt oss hjälpa dem att bli bättre på sitt jobb och förbereda dem genom att se till att de har rätt verktyg för att göra sitt jobb, som att titta på olika tekniker och utbilda dem .”

Han sa också att anställda måste vara säkra på att de har stöd från sitt företag.

”Om du känner att du är i båten och du är killen som inte har fått något stöd från resten av laget, tror jag att det blir lite mer stressigt, ärligt talat. Men om du känner att du är en del av en större gemenskap och du har stöd från företaget, tror jag att det räcker långt för att säga ”hej, du är en värdefull medlem av vårt team”.

Williams betonade att företag måste ha en plan på plats, inklusive en bredare företagsstrategi som omfattar flera leverantörer och produkter. ”Annars hamnar vi i en situation som vi var med CrowdStrike under de senaste månaderna, där företag var beroende av en enda leverantör. Även de stora försäljarna är inte immuna mot dåliga processer och avbrott som detta. Nu, om de hade haft flera produkter på plats, kanske de inte hade det här problemet, eftersom de fortfarande skulle vara skyddade.

”Skapa en plan, finansiera den väl, så att du faktiskt kan köpa verktygen för att ge (rätt) skyddsnivå. Det här är inte svårt. Jag menar, det är bara att inse att du har ett problem till att börja med, precis som med vilken sjukdom som helst, att inse att du har ett problem och ha en plan för att hantera det.”