有关中国电科员工痛斥领导安排加班的事情正在发酵,中国电科以及成都工会等作出回应,然而都没有能打消各方的质疑,在这个风口浪尖,一切不合适的敷衍回应,都是在消耗其公信力。各方都不应该糊弄事,应该的事成都反思举一反三,各地反思深入化解基层矛盾,不要等各地接二连三冒出来再去重视。
倦怠是一个日益严重的问题,会伤害人们并威胁有效的安全。
随着网络犯罪和民族国家攻击的增加,经济迫使团队以更少的资源做更多的事情,未来几个月职业倦怠可能会恶化。
什么是倦怠?如何影响你;你能阻止它吗?你能从中恢复过来吗?
其实任何职业,尤其是压力大的职业,都会出现倦怠;但在这里主要讨论网络安全。
世界卫生组织 (WHO) 将职业倦怠描述为一种职业综合症:“职业倦怠是一种概念化的综合症,是由于长期的工作压力尚未得到成功管理而导致的。”
症状是精疲力竭和精神上与职业的距离——结果是工作效率降低。在这里提出的问题是,更好的压力管理是否可以防止倦怠、识别其早期阶段、阻止其发展并从其影响中恢复过来。
值得一提的是——不仅仅是 CISO。安全团队的任何成员都可能会精疲力竭,感觉是疲于奔命。
采煤工作面的景色
“我们的行业正面临前所未有的倦怠程度,”Tanium 端点安全研究主管 Melissa Bischoping 评论道。
JupiterOne 的首席信息安全官 Sounil Yu 补充说:“由于我们在安全方面的工作性质,我们面临着极高的倦怠风险。” “职业倦怠比大多数人意识到的更为普遍。认识到倦怠风险是提供支持并让团队成员知道他们并不孤单的重要方式。”
Vulcan Cyber 的高级技术工程师 Mike Parkin 说:“网络安全专业人员正在处理 5*8 的‘活跃’状态,但7* 24 小时都受到威胁的环境。寻找资源让 SOC 在下班后继续运行可能是一个挑战。”
Bischoping 也承认同样的问题。“听到业内人士说假期和周末是最有可能接到重大活动电话的时间并不少见,因此请确保您在需要时获得正确的随叫随到报道,并且您正在平衡提供时间来恢复和防止倦怠至关重要。”
安全专业人员了解倦怠并了解一些根本原因。通常被描述为心理健康问题。“#burnout”在 LinkedIn 上拥有超过 12,000 名关注者。但它仍然存在,而且——如果有的话——还在增加。现在是仔细研究原因和补救措施的时候了。
心理健康包括情绪、心理和社会福祉,影响认知、知觉和行为。它还决定了一个人如何处理压力、人际关系和决策。
维基百科
心理健康实际上包括所有非特定身体健康的事物。
更广泛的业务范围内的倦怠可能会导致问题——但网络安全团队内部的倦怠可能会导致灾难性的网络妥协。防止倦怠,尤其是在网络安全团队中,不仅是一种道德规范:这是一种商业需要。
因果
Peter Coroneos 是 Cybermindz.org 的创始人,这是一个致力于支持网络社区心理健康的非营利组织。Coroneos 承认职业倦怠不仅限于网络安全行业。“倦怠最终会影响任何部门的任何人,”他告诉SecurityWeek。但他补充说,Cybermindz 已经确定了至少 15 个因素,这些因素结合在一起,使网络团队所承受的压力与几乎所有其他专业团队不同。
“这种组合在数量和质量上都是独一无二的,这就是为什么我们看到网络职业倦怠率超过其他专业群体。” 他举了两个具体的例子。“攻击环境是无情的,没有心理停机时间,因为安全团队永远不确定攻击何时会发生;” “网络团队敏锐地意识到,一次故障的下游影响可能会影响数百万人。”
CISO 也意识到他们是安全故障的潜在替罪羊。董事会很少因未能提供必要的资源而受到惩罚,但 CISO 始终要为未能实现不可能的目标负责。
结果是对肾上腺素的持续需求与肾上腺素的生理和心理目的完全不同步。这是一种天然产生的激素,旨在改善压力下的身心表现——即刻和短期的战斗或逃跑。它不是为持续使用而设计的——持续高水平的肾上腺素,或者没有足够的时间从肾上腺素激增中恢复,都是有害的。
Coroneos 说:“即将发生倦怠的警告信号有三方面:日益愤世嫉俗或人格解体(所谓的‘悄悄戒烟’现象);情绪耗竭;以及职业效能感的丧失(或者你认为自己的工作做得如何)。”
他指出 Cybermindz 的研究表明,“专业效能”指标在网络安全团队中特别高。“网络团队的民意调查结果比一线医护人员差,该指标是辞职意图的可靠预测指标”,鉴于现有的技能差距,这令人担忧。
Immersive Labs 人类科学主管 Bec McKeown 指出,倦怠会影响整个安全团队。“工作角色本身并不重要,”她告诉SecurityWeek。“这就是你所处的情况,如果你一直满负荷运转,你就会一直承受压力。你很忙,你的肾上腺素一直在飙升。这是非常累人的,也是倦怠的重要组成部分。”
她引用了 Yerkes-Dodman 绩效法则。它将性能质量与压力水平相关联,并呈现为倒“U”曲线。无聊会导致冷漠和表现不佳,或生锈——鲜为人知的倦怠相反关系。令人惊讶的是,生锈也会影响安全团队的某些成员——一些常规功能只需要一遍又一遍地重复。
最佳表现伴随着中等(或可控)水平的压力。但在高度焦虑的时候,表现会下降。安全团队的问题是他们需要在长时间的高度焦虑中以高性能水平运行;这只能通过持续高水平的肾上腺素来实现。肾上腺素刺激短期战斗或逃跑的生理目的被持续的需求所取代,以刺激永不停止的心理压力和焦虑。
这是不可持续的,结果是倦怠。主要途径是持续的压力导致持续依赖肾上腺素,几乎没有机会从正常的肾上腺素激增中恢复过来,从而导致倦怠。“来自一个或另一个方向的持续压力会导致倦怠,”McKeown 说。“这不仅仅是一个事件。一个事件可能是压垮骆驼的最后一根稻草,但对于网络安全而言,我认为这是一个常态——受到攻击,受到压力。”
补救措施
CISO 及其团队面临的关键问题是:“倦怠可以预防吗?”和“倦怠可以治愈吗?” 预防总是比治疗更好的选择——而且通常是最简单的解决方案。对于目前的工作来说,“治愈”往往为时已晚——受害者已经筋疲力尽并离开了。治愈通常是完全休息,然后是不同的职业。McKeown 说:“首先通过培养个人的韧性来防止倦怠比在事件发生后试图消除它更有效,”McKeown 说。
预防来自建立复原力。安全专业人士了解他们公司的安全态势需要弹性,但往往无法建立自己的心理压力弹性。
McKeown 相信安全专业人员可以利用 Robertson Cooper 的弹性模型来帮助自己。该模型有四个主要组成部分:对自己处理困难情况的能力的信心;适应不断变化的情况;有明确的目的、价值观、动力和方向;和社会支持。
对于安全团队来说,最后一个是关键,其他的都是建立在这个基础上的。“这意味着建立信任和关系,”她解释道。“当成功时,你就会知道你周围团队的支持。这是建立抵御任何可能发生的坏事的能力的重要组成部分——因为你知道你不是一个人。你有一个会支持你的团队。他们支持你,你也支持他们。这是衡量团队弹性的有力衡量标准。”
当然,对于 CISO 而言,这超出了直接安全团队的范围。CISO 可以通过与业务领导建立信任和关系来增强自己的应变能力。它可以在危机来袭之前提出和回答棘手的问题——当危机来袭时,整个公司都知道如何在最小压力下做什么。
Coroneos 还强调了弹性一词。“在个人层面上,当你情绪低落时,你连自己都无能为力,更不用说你周围可能正在受苦的人了。如果我们能够重建个人的情感资源,让他们对自己感觉更好、更强,他们显然可以为周围的人付出更多。这就是建立复原力、团队心理复原力和幸福感的力量。它可以产生巨大的鼓舞士气的效果。”
他推荐并且他的组织使用由 Richard Miller 博士开发的综合修复 (iRest) 方案。虽然基于古老的瑜伽休息法传统,但它已被改编并用于现代生活的许多领域。它已在美国军队中广泛用于治疗创伤后应激障碍、焦虑、抑郁、失眠和疼痛管理等疾病。在 iRest Institute 的支持下,Cybermindz 在网络安全领域使用它。
他解释说:“通过向个人展示他们自身的根基在哪里,他们可以随时返回并且牢不可破,”他解释说,“它提供了一个与个人正在与之抗争的混乱分开的平台。这意味着他们可以退后一步,喘口气,并知道他们是安全的。”
这不仅仅是瑜伽神秘主义。他补充说:“我们的神经科学显示,由于应用了 iRest 等技术,大脑发生了实际的结构变化。” “在与情绪调节、洞察力、换位思考、内感(或自我监控)和整体冷静相对应的区域中,压力引起的过度活跃区域和细胞生长的减少。”
谁负责防止倦怠?
建立个人韧性是对抗倦怠的关键——但这是一个复杂的过程(尤其是在网络安全团队中),每个人都有责任。一个重要因素是确保每个人都有足够的休息时间从最近的肾上腺素激增中恢复过来。这不仅仅是远离办公桌,而是远离压力。
Teradata 的 CISO Billy Spears 评论道:“重要的是,我团队中的每个人都可以起飞、减压,然后精力充沛地回到工作中。对于作为 CISO 的我来说。我对此过于谨慎了。我认为,如果他们什么都不说,而且我也没有看到人们请假,那么倦怠和疲劳就会成为一个问题。所以,我和他们谈了很多关于界限的问题,确保他们休假,提前计划并确保他们得到他们需要的任何时间。这意味着远离他们的电脑和工作设备,他们不会在晚上回复电子邮件或交流之类的事情。”
他还确保自己有休息时间,并确保他的团队看到他有休息时间。
但工作压力只是我们所感受到的压力的一部分——社会心理压力是另一个因素。现代安全团队的设计本质上是多样化的。这意味着要招募男性和女性、来自不同文化背景和宗教的人、LBGT 和神经多样化的人——以及上班族和远程家庭工作者。这些类别中的每一个都有不同的社会心理压力,这些压力很容易在错误的环境中转化为压力。这会增加日常工作压力并增加倦怠的可能性。
职业倦怠需要全公司的解决方案。高级管理层应该为每个人创造一个开放、透明和包容的工作环境,并且必须认识到对心理健康的危害。在网络安全领域,大部分责任将落在 CISO 身上,需要经常进行团队讨论并以身作则。通过保护团队并践行所宣扬的原则,CISO 也将得到保护。
对于企业而言,任何治愈倦怠的方法通常都为时已晚。伤害已经对人造成了,结果会影响到生意。但是预防——或者至少是最小化——是可能的。关键是确保每个人都能实现现实的生活/工作平衡。