近年来,首席信息安全官(CISO)的工作变得越来越忙碌而繁杂:既要应对越来越多的新型安全威胁,还要和信息化部门保持沟通,帮助他们保持敏捷、加快开发速度、转向远程工作。此外,CISO要更加充分利用迅速减少的安全预算,兼顾远程访问和企业安全合规。当工作压力越来越大时,CISO们的倦怠感也随之而来,通常会出现以下表现:常常感觉疲惫,觉得孤立无援,消极悲观,自我怀疑,工作拖延,需要更长的时间完成工作,觉得不堪重负。
CISO的心理健康很重要,调查数据显示,在巨大的工作压力下,全球大中型企业CISO的平均任职时间只有26个月。然而,CISO的压力并非不可避免,关键是找到更加合适的资源和方法,夯实工作流程和职责目标,设定合理的期望,并确保有合适的技术来应对挑战。那么,CISO们该从何处着手,应对工作中的压力呢?
1. 尽早关注并消除压力
焦虑、失眠、乏力或丧失工作热情是压力过大的早期症状,长期承受压力会使人疲惫不堪。缓解压力过大应尽快采取相应的行动,比如立即寻求帮助或找他人倾诉,利用合适的时间管理工具对自己的工作量和完工期限进行规划,这有助于消除压力的早期信号。CISO应该对自己的工作量和完工期限有所控制,利用合适的工具优化完成工作的方式,这都有助于消除倦怠的早期征兆。
2. 通过沟通交流释放压力
所有人都会有压力,但如果压力过大且无法调整心态时,应该向他人寻求帮助。通过与人力资源、首席执行官或信得过的其他高管建立良好的交流,可以改善心理健康;而实用的工具,比如压力风险评估或制定幸福计划也可以帮助CISO减轻压力。
如果CISO发现压力过大时,又觉得无法采取相应的行动,应该及时找人力资源、首席执行官或其他高管谈谈情况。有时稍稍改变工作方式就能收到成效,在早期尤为如此。
3. 保持健康的工作、生活习惯
养成健康的习惯并持之以恒对自己很有必要。当我们全身心扑在工作中,常常忽视了健康和生活,而饮食、运动和睡眠是最好的放松方式。营养饮食结合运动可以显著振奋情绪、减轻压力和焦虑、提高专注力和提升自尊心,睡眠可以增强认知能力,包括解决问题、记忆力、创造力、判断力和情绪管理,这些都有助于CISO承担要职。散步、游泳和跑步等锻炼可以显著提振情绪,减轻压力和焦虑,提高专注力,并提升自尊心。找到适合日常生活的运动,比如骑车或步行上班。
4. 设定工作职责的界限
我们需要设立合理实际的工作界限,确保自己不会被逼到极限。一旦职责不明,倦怠就开始出现;CISO的工作繁忙时,要对额外的工作时间和责任说不。如果为整个公司提供IT服务不是职责所在,CISO及其团队就应该明确的说不,尽量减少干扰,采取有效的时间管理,由注重活动转为注重结果。
5. 多种方式提升团队能力
很难找到训练有素、完全合格,又有兴趣加入网络安全团队的新人,尤其在预算紧张的情况下。然而,招人不是打造强大团队的唯一方法,还有其他方法可以找到为CISO排忧解难的人。
首先,应该培训有学习需求的员工,企业通过开展安全培训和渗透演练,让员工更快地适应工作。其次,如果预算允许,可以在短期内找第三方专家填补技能和能力方面的缺口,比如,个体承包商或托管服务提供商。通过可靠的专业知识培训和购买技术资源获得信息安全的指导和帮助。
6. 提升全员的安全意识
CISO 的工作很重要,网络安全团队的工作也很重要,要让公司上下清楚地了解CISO的团队所做的工作以及为公司带来的投资回报率很有必要。因为,安全团队不仅要处理DDOS等外部攻击,还要面临各种内部风险。要意识到网络安全不仅仅是安全团队的工作,更要普及网络安全人人有责的观念,以此减轻CISO的压力,并且奖励和表彰企业中安全贡献较大的人员。
7. 部署合适的工具
部署合适的工具对于维持最佳安全标准非常重要,有些可以使CISO的工作更加轻松。这些工具有明显的安全投资回报,可节省CISO宝贵的时间,自动化处理报告和安全警报的质量,提升员工满意度,并降低成本。比如,物色可清晰地洞察警报的防火墙工具和攻击分析工具,力求更少的误报和可付诸实践的洞察力,提供明确的补救方法。
8. 设定合理的预期
不明确、未定义或不实际的期望必会导致CISO压力。量化整个组织的责任和目标为领导团队的其他成员阐明优先事项和总体战略,避免模棱两可和责任不清,并将愿景、角色和方法记录下来讲给团队成员听,这是培养安全第一的文化和设定期望的重要环节。