CESIN tarafından yapılan bir araştırmaya göre, üyelerinin %61’i sağlıkları üzerinde zararlı sonuçlar doğurabilecek düzeyde strese sahiptir. Dolayısıyla, iş güvenliğine yönelik bir sonraki büyük tehdit, yeni bir kötü amaçlı yazılım türünde veya siber suçlular tarafından benimsenen yenilikçi taktikler, teknikler ve süreçlerde olmayabilir. Gerçekten de bilgi sistemleri güvenlik yöneticilerinin (RSSI) günlük olarak karşı karşıya kaldıkları baskı nedeniyle zihinsel sağlıklarından kaynaklanabilir.
Şirketler içinde baskı altında olan tek kişi güvenlik ekibi değil. Farklı işlevleri yerine getiren çalışanlar, bazen ulaşılması bile imkansız olan çok katı hedeflere ve gereksinimlere de uymak zorundadır. Ancak CISO’nun işini benzersiz kılan şey, modern bir organizasyonun diğer işlevlerinin çoğu on yıllardır varken ve bu nedenle nispeten iyi tanımlandığında görece yeni olmasıdır.
Belirsiz sorumlulukları olan bir rol
BT güvenlik yöneticisi, genellikle çok büyük bir sorumluluk olan bir kuruluşun dijital varlığıyla ilgili herhangi bir başarısızlıktan kendisini sorumlu bulur. Tüketici verilerinin gizliliği ihlal edilirse, CISO sonuçta ortaya çıkan uyumluluk, müşteri hizmetleri ve marka etkilerinden sorumlu tutulabilir. Hileli ödemeler yapılırsa, ortaya çıkan mali sonuçlardan veya makinelerin zarar görmesi veya bir saldırı sonucu süreçlerin kesintiye uğraması durumunda da sorumlu tutulabilir. Ayrıca, çalışanlar verileri bulut tabanlı bir sisteme aktarırsa, ekipleri farkında olmasa bile CISO’nun sorumluluğu yine de büyük olasılıkla üstlenir. Ve daha önce bilinmeyen yeni bir tehdit türü, sistemleri kimsenin tahmin edemeyeceği şekilde tehlikeye atıyorsa, bir kez daha: bu onların hatasıdır.
Gerçekte, kurumsal güvenlikle ilgili her şey sorumluluk açısından daha belirsizdir. Şirketteki hiyerarşik düzeyden bağımsız olarak, güvenlik rolleri yenidir ve şirketteki diğer işlevlere kıyasla standart bir iş tanımından nadiren yararlanır. Örneğin, erişim kontrollerini yönetmek, bir kuruluşta CISO’nun sorumluluğunda olabilirken, diğerinde ağ ekibinin sorumluluğunda olacaktır.
Dış beklentiler
Yönetim, CISO’nun ve ekibinin şirketin verilerini ve uygulamalarını koruma becerisine ilişkin gerçekçi beklentilere sahip olmadığı için baskı daha da büyüktür. CEO’lar, CFO’lar, COO’lar ve Baş Hukuk Müşaviri, güvenliği genellikle matematiksel bir denklem olarak düşünür. Güvenlik yöneticisinin olası tüm boşlukları tespit edip ardından kapatabileceğine inanırlar. Teklif kulağa basit geliyor, ancak gerçekte büyük ve dinamik bir kurumsal altyapıyı güvence altına almak kolay bir alıştırmadan başka bir şey değil.
Ek olarak, yönetim ekibi ve yönetim kurulu, CISO’nun sahip olabilecekleri herhangi bir soruya anında yanıt vermesini bekler. Kişi T anında yanıt veremiyorsa, profesyonel performansının doğrudan veya dolaylı olarak sorgulanması muhtemeldir. Yine de kuruluş, yıllar içinde birikmiş birkaç yüz uygulamayı ve aracı kullanabilir. Bu nedenle, bir konuyu ele almanın ve buna göre araştırma yapmanın zaman alması şaşırtıcı değildir.
Ayrıca alışveriş deneyimi ve hizmet kalitesi açısından müşteri beklentileri, aynı zamanda mahremiyet ve veri gizliliğine saygı, güvenlik ekibi üzerinde ek bir baskı oluşturmaktadır. Nitekim, memnun olmayan tüketiciler, satın alımlarından vazgeçmekten veya sosyal ağlarda şikayet etmekten çekinmeyeceklerdir; Bu, organizasyonun cirosunu ve itibarını doğrudan etkiler. Son olarak, CISO’ların günlük zihinsel yükünde düzenleyici ortam ihmal edilmemelidir: birçoğu, şirketlerinin belirli alanlarda güvenliği garanti ettiğini çok sayıda yetkili organa göstermelidir.
Bazı CISO’lar için, verilen görevlere topluma veya ulusa karşı bir sorumluluk duygusu eklendiğinde, bu stresörler ağırlaşıyor. Petrol boru hatlarından devlet kurumlarına ve sağlık tesislerine kadar tümü, yakın zamanda fidye yazılımlarından etkilenen kritik altyapılardır. Ulusal güvenlik artık güvenlik yöneticilerinin gündeminde, göz ardı edilemeyecek, ancak eğitim almadıkları bir konu.
Akıl sağlığı üzerindeki sonuçları
Tüm bu faktörler, birçok CISO ve güvenlik ekibi arasında önemli bir endişe yaratıyor ve bu endişeyi artırıyor. Aynı zamanda, bilgisayar korsanları sürekli olarak bu profesyonellerin becerilerini teste tabi tutarlar ve kendi çıkarları için kullanabilecekleri en ufak bir hatayı ararlar. Akıl sağlığı açısından bakıldığında, bedeli ağırdır. Ancak – örneğin, benzer baskılara maruz kalan ordunun aksine – güvenlik ekipleri, görev ve destek yapısı konusunda netlikten yoksundur; yüzyıllar boyunca silahlı kuvvetler tarafından elde edilmiştir.
Birçok CISO, son yıllarda zihinsel sağlık sorunlarından etkilenmiştir. Ancak birçoğu bu konuda konuşmaktan çekiniyor. Gerçekten de, daha iyi kârlılığı destekleyen rakamları tartışarak yönetimden ek kaynaklar veya araçlar istemek kolaysa, psikolojik desteği haklı çıkarmak daha zordur. CISO’lar ayrıca bunun bir beceri eksikliği olarak algılanacağına ve konuyla ilgili bir tartışmanın işlerini yapmaya uygun olmadıklarına işaret ettiğine inanıyor.
Bununla birlikte, akıl sağlığı sorunlarının iltihaplanmasına izin vermek, güvenlik personeli eksikliğinin yanı sıra feci sonuçlara yol açabilir:
- CISO’ların mesleki tükenmesi (tükenmişliği), birçoğunun zaten bir dereceye kadar bildiği bir fenomen;
- Bazı yeni mezunların tercihi, güvenlik alanında kariyer yapmamayı tercih ediyor çünkü bunun stresini yaşamak istemiyorlar.
- Yüksek ciro. Aslında, ThreatConnect’in araştırması, yüksek stres düzeylerinin, yanıt verenlerin %27’si tarafından belirtilen, çalışanların işten ayrılmasının ilk üç nedeni arasında olduğunu gösteriyor.
- Kendi kendine ilaç ve alkol yoluyla stres yönetimi; zihinsel sağlığı çevreleyen tabunun çok endişe verici bir etkisi. 2019’un başlarında, pandemiden önce Forbes, 6 CISO’dan 1’inin işle ilgili stresle başa çıkmak için bu seçeneklere yöneldiğini kabul ettiği bir anketin sonuçlarını yayınladı. Ancak, o sırada benzer bir durumda olduklarını kabul etmemeleri muhtemelen çok daha muhtemeldi.
Ancak, tele-çalışmanın uygulanması ve her zaman dijital kaynaklara erişim ihtiyacı nedeniyle CISO’ların stres seviyesi pandemi sırasında arttı; bu da uzlaşma ve aksama riskini artırdı. Tüm bu aksama ve üretkenliği artırma ihtiyacı, siber güvenlik liderlerinin ruh sağlığına zarar verdi ve siber suçlular için bir nimet. Daha az ihtiyatlı bir CISO, gerçekten de büyük bir güvenlik riskidir.
Ne yapalım ?
İşletmelerin, hem kurumsal güvenlik tehlikede olduğunda rasyonel bir yanıt sağlamak hem de siber tehditlerle başa çıkmak için üst düzey yetenekleri eğitmek, çekmek ve elde tutmak için ruh sağlığı kriziyle mücadele etmesi gerekiyor. Bunu yapmak için yönetim, CISO’ların ve ekiplerinin günlük olarak maruz kaldığı baskı seviyesinin farkında olmalıdır. Amaç, bu ekipler arasında sağlıklı bir iş-yaşam dengesini teşvik etmek ve şirketin ruh sağlığı yardımı aramak için güvenli bir ortam sağlamasını sağlamaktır. CISO’lar için ne zaman alıcı ne de cezalandırıcı olan stresi yönetmek için basit araçlar koymak da gereklidir.
Bir şirkette, yöneticilerin her an ortaya çıkabilecek bu krizden haberdar olmalarında herkesin rolü vardır, böylece bu işin zor olduğunu ve birçok CISO’nun akıl sağlığı sorunlarını tartışma olasılığı konusunda meşru endişeleri olduğunu anlarlar. İş liderlerine proaktif olarak ve yargılamadan BT güvenlik görevlilerine ulaşmaları hatırlatılmalıdır. Çünkü CISO’lar karmaşık ve önemli görevleri nedeniyle her zaman baskı altında olacak olsa da, bu stresi hafifletmeye yardımcı olabilecek yöntemler vardır.