Siber güvenlik ve zihinsel sağlığın kesişimine odaklanan bir psikiyatrist olan Dr. Ryan Louie, tıp öğrenciliği günlerinden siber güvenlik uygulayıcılarının alakalı bulabileceği değerli bir dersi hatırlıyor: “Hastanedeki klinik stajyerliklerimden birinde, ekibimizin sahada uzman doktoru Rotasyonun ilk gününde ‘Biz bir takımız ve herkesin elinde çok fazla iş olduğunu hissettiğinde ya da yardıma ihtiyacı olduğunda bunu söylemekten çekinmemesi gerektiği’ vurgulandı. Ekipteki tıp öğrencileri ve asistanların değerlendirmelerinin etkileneceği konusunda endişelenmemeleri gerekiyor. Gerçek bir psikolojik güvenlik vardı” diyor.
Ancak birçok siber güvenlik uygulayıcısı için işleri gizlilik ve gizlilik ihtiyacıyla dolu, bu da psikolojik güvenliğe ulaşmayı zorlaştırıyor. Bu rekabetçi ortamda kırılganlığı ifade etmek ve duyguları paylaşmak pek sık gerçekleşmez. Bu açık iletişim eksikliği, genellikle hiç bitmeyen krizler ve iş döngüleri ile birleştiğinde, siber güvenlikte yüksek düzeyde tükenmişliğe yol açıyor.
Tükenmişlikle ilgili tartışmalar neredeyse on yıldır sürüyor ve endüstri bu sorunu daha iyi anlıyor ancak tükenmişliği ele almaya ve önlemeye yönelik gerçek stratejiler hâlâ eksik.
Malcolm Harkins, yüksek stresli siber güvenlik alanının taleplerine yabancı değil. Hidden Layer’ın baş güvenlik ve güven sorumlusu (ve güvenlik şirketlerindeki diğer geçmiş yönetici pozisyonlarının yanı sıra Intel’in eski baş güvenlik ve gizlilik sorumlusu), kendisi Sık sık tükenmişlikten bahsediyorözellikle bilgi güvenliği şefleri (CISO’lar) için. Yakın zamanda yapılan bir Gartner Akran Topluluğu araştırması, BT ve güvenlik liderlerinin %62’sinin tükenmişlik yaşadığını ve birçok CISO’nun, Gartner’ın “benzersiz stres etkenleri” olarak adlandırdığı şeyler nedeniyle işlerini veya kariyerlerini bırakmayı planladığını ortaya çıkardı.
Harkins’e göre siber güvenlikteki tükenmişlik kişisel bir meselenin ötesinde, dijital güvenliğin temellerini baltalayabilecek sistemik bir sorundur. Siber güvenlik tükenmişliğinin kökeninin, güvenlik ekiplerinin sıkı aylık süreler içinde yazılım açıklarını düzeltmek için çabaladığı Salı Yaması’nda tanıtılanlar gibi, taleplerin aralıksız temposunda derinden yattığını söylüyor.
Harkins, “Bütün bu yama işlerine sahip olurdunuz; sanırım tükenmişlik hissi döngülerinin çoğunu yönlendiren iş yükü buydu” diyor.
Salı Yaması 20 yılı aşkın bir süredir ortalıkta olsa da, gece geç saatlere kadar ve hafta sonları çalışma baskısı tarihi bir dipnot değil; güvenlik profesyonellerini zorlamaya devam eden günümüzün bir gerçeğidir. Ve hiç bitmeyen iş döngülerinin sonuçlarının olumsuz sonuçlar doğurduğunu doğrulayan anket üstüne anket bulmak zor değil. A Sophos anketinin bulguları Altı Asya-Pasifik ülkesinden ankete katılanların %85’i tükenmişlik yaşadıklarını söylüyor ve %90’ı geçen yıl tükenmişliğin arttığını bildiriyor. Mimecast’ten bir anket Siber güvenlik çalışanlarının %56’sının her yıl artan iş stresi yaşadığını ve ankete katılanların %54’ünün şunu söylediğini tespit ettik: fidye yazılımı tehditleri ruh sağlıklarını olumsuz etkiliyor.
Harkins, bunun siber güvenlik profesyonellerinin yöneldiği iki temel “savaş alanından” kaynaklandığını söylüyor: bilgisayar korsanlarından ve siber suçlulardan gelen dış tehditler ve bütçelerin, bürokrasilerin ve kurumsal davranışların neden olduğu iç zorluklar. Bu faktörler bir araya gelerek en dayanıklı bireyleri bile yıpratabilecek amansız bir eziyet yaratır.
CISO: En Yalnız Yönetici
Bir güvenlik programını yürütmenin izolasyonu, siber güvenlik sektörüne özgü tükenmişliğin bir başka faktörüdür. Harkins’e göre sorunun özü sadece iş hacminde değil, aynı zamanda siber güvenlik sektöründeki şirketlerin organizasyonel ve kültürel yapılarında da yatıyor. CISO gibi üst düzey güvenlik yöneticileri bu baskılara karşı bağışık değildir ve aslında yönettikleri ekipten daha da yalnızdırlar.
Netskope’ta bulut stratejisi ve inovasyon başkanı Shamla Naidoo, CISO’nun ve güvenlikten sorumlu diğerlerinin yalnızlığına da dikkat çekiyor; bu, CISO’ları genellikle potansiyel destek sistemlerinden izole eden gizlilik ve mahremiyetle birleşen bir duygu.
CISO’ların “bir gizlilik bulutu altında faaliyet göstermeye teşvik edildiğini ve mahremiyete bağlı kaldığını” söylüyor ve beklentinin, stres ve zihinsel sağlık hakkında açık tartışmaları teşvik eden toplumsal normlarla çeliştiğine dikkat çekiyor. Geleneksel ofis ve veri merkezi güvenliğinden hibrit ve uzak iş gücünün yönetimine doğru genişleme, siber güvenlik rolünün karmaşıklığını ve stresini önemli ölçüde artırdı.
Naidoo, “2013’te iş zordu” diyor. “O günden bu yana işler daha da zorlaştı. Sürekli değişim ve artan beklentilerle birlikte, uzak bir iş gücünü güvence altına almak gibi şeylerden hibrit bir iş gücünü güvence altına almaya kadar baskılar artıyor.”
Louie, çalışmalarının kendisini sektörde daha geniş bir anlayışa ve proaktif önlemlere yaygın bir ihtiyaç olduğu sonucuna varmasına yol açtığını söylüyor.
“CISO rolü baskıyı artırdı ve zaten unvanın içine yerleştirilmiş durumda: CISO’da dört harf var; CEO veya CFO gibi üç harfli rollere kıyasla fazladan bir harf” diyor. “Onlar şef olmakla görevlidir. Bilgiden sorumludurlar. Güvenlikten sorumludurlar. Ve memur olmaktan da sorumludurlar. Bunların hepsi CISO’yu farklı yöne çekebilecek çok büyük sorumluluklardır. Zaten çok stresli bir ortamın üstüne.”
Rolün benzersiz sorumlulukları, daha yüksek düzeyde izolasyona ve strese katkıda bulunur ve CISO’lar genellikle zorluklarını özgürce ve güvenli bir şekilde tartışabilecekleri bir destek sisteminden yoksundur. Bu, Louie’nin “akıl sağlığı saldırı yüzeyi” olarak adlandırdığı şeye yol açıyor ve siber güvenlik açıklarına benzer şekilde zihinsel sağlık açıklarının potansiyel olarak kötü niyetli olarak istismar edilebileceği uyarısında bulunuyor.
Louie, “Tükenmişlik ve akıl sağlığına yalnızca kendimize bakmakla ilgili bakmamalıyız, aynı zamanda bir adım daha ilerisini ve ötesini de düşünmeliyiz: Akıl sağlığı kötü niyetli kişiler tarafından istismar edilebilir mi?” diyor Louie.
İletişim: Tükenmişliğin Panzehiri
Harkins, güvenlik yöneticilerinin dertlerini paylaşmak istediklerini düzenli olarak duyduğunu ancak ekibinin en üst düzey üyesi olarak bunun zor olabileceğini söylüyor. Birçoğu kendini yalnız hissediyor çünkü zirvede yardım isteyebilecekleri başka hiçbir yer yok.
“Kurulun dışında, daha yüksekte gidecek hiçbir yer yok. Ancak CISO’ların bu yönetim kurulu ilişkisini farklı bir şekilde kullandığı açık” diyor.
Harkins, güvenlik profesyonellerinin tükenmişlikten kaçınmak için amaç, tutku ve kararlılık duygusu hissetmelerine yardımcı olabileceğini umduğu hayat derslerine dayanarak “İnanıyorum, Aittim, Önemliyim” olarak bilinen bir çerçeve oluşturdu. Ayrıca, ihlallere yalnızca ortaya çıktıkça tepki vermek yerine, şirketlerin karşı karşıya olduğu maddi riskleri anlamaya ve ele almaya yönelik bir hamle ile siber güvenliğe nasıl yaklaşılacağı konusunda bir değişime ihtiyaç duyulduğunu düşünüyor; bu, yalnızca hiç bitmeyen iş döngüsüne katkıda bulunur.
“Güvenliğin yalnızca ölçümlere değil, tasarım hedeflerine de sahip olmasını sağlamamız gerekiyor” diyor.
Netskope’tan Naidoo, topluluk oluşturmanın ve CISO’ları yargılamadan zorlukları ve çözümleri paylaşabilecekleri destek ağları ve küçük gruplar oluşturmaya teşvik etmenin sağlam bir ilk adım olduğunu öne sürüyor. Diğer öneriler arasında CISO tartışmaları için endüstri güvenli alanları ve tüm şirket seviyelerinde güvenlik için ortak sorumluluk kültürünü teşvik eden ve CISO ile güvenlik ekibinin izolasyonunu hafifleten kültürel değişimler yer alıyor.
“Kültür, tipik bir CISO portföyünün başarılı olması için her şeydir” diyor.
Tekrar tıbbi eğitim günlerine değinen Louie, ekibi içindeki açık iletişim ve psikolojik güvenlik modelinin etkili işbirliğine ve stres yönetimine yol açtığını söylüyor. Benzer uygulamaların siber güvenlik alanında, özellikle de CISO’lar gibi yüksek stresli pozisyonlarda çalışanlar için dönüştürücü olabileceğini düşünüyor. Siber güvenlik ekipleri içinde ruh sağlığı konusunda açık diyalogun teşvik edilmesi, tükenmişliği azaltan ve ekibin genel dayanıklılığını artıran destekleyici bir ortamı teşvik edebilir.
“Kuruluşlar insanlardan oluşur. Bir bireyin stresi, tükenmişliği ve ruh sağlığının, organizasyonun stresi, tükenmişliği ve ruh sağlığına da yansıdığına inanıyorum” diyor.
Louie, CISO rollerinin işletmelerde nasıl algılandığı ve entegre edildiği konusunda bir değişiklik öngörüyor. CISO’ların ne yaptığı konusunda daha fazla farkındalık yaratılmasını ve diğer departmanların işlevleri hakkında bilgi edinme fırsatlarının sağlanmasını savunuyor; bu da bir kuruluşun tüm seviyelerinde daha entegre ve etkili siber güvenlik uygulamalarına yol açabilir.
“Günlük uygulamamıza bir siber güvenlik zihniyeti yerleştirmeliyiz” diyor ve ekliyor: “Alanımız ve uygulama kapsamımız dahilinde bunun sorumluluğunu üstlenmeliyiz.”