一个快乐的团队能让CISO也感到快乐,从而减少各级员工的倦怠和流失率。以下是一些顶尖专业人士采取的低成本方法来缓解压力。
从事网络安全工作正变得越来越艰难。网络犯罪分子不断升级他们的手段,而安全团队则疲于应付各种攻击战术和技术。企业对安全部门提出了近乎不可能的要求,却往往几乎不提供或完全不提供支持。
网络安全领域的许多角色(从安全运营中心(SOC)分析师到事件响应人员再到CISO)都需要“随时待命”,这经常干扰他们的良好睡眠,而安全专业人员也很少能有足够的高质量休息时间。许多CISO担心下一次数据泄露会导致自己被解雇,而数据泄露事件却接连不断、来势汹汹。
随着工作压力的增加,倦怠也随之加剧。在如此紧张的劳动力市场中,这只会使资源不足的安全部门陷入恶性循环,这也是各级安全专业人员压力的主要来源。
“各级网络安全专业人员都在经历倦怠。我们的研究表明,这种情况正在恶化,”前行业分析师、《信息系统安全协会(ISSA)第7届年度‘安全专业人员的生活与时代’报告》的作者Jon Oltsik表示。“大部分压力都与技能短缺有关,因此10个人的团队要做13个人的工作。今年,我们看到预算削减和更多的紧缩措施,这只会让问题持续下去。”
在ISSA的调查中,369名受访者中有近65%表示他们的工作变得越来越难,他们列举了复杂性和工作量的增加、更多威胁和更大的攻击面、合规压力以及人员短缺等作为主要压力源。报告还指出,绝大多数(81%)表示有压力的受访者经常考虑辞职,而对工作满意的受访者中只有17%有此想法。
四步打破倦怠和压力的循环
幸运的是,安全领导者即使资源有限,也能打破这个恶性循环,提高自己和团队的满意度,但必须主动出击——这涉及与安全团队成员沟通、倾听、包容、赋权和激励。
但为了帮助缓解团队的压力,网络安全领导者首先必须降低自己的压力水平。幸运的是,这两者相辅相成,因为员工更快乐往往会留下来,从而减少CISO的一大压力源。
以下,专家们分享了他们在不增加企业资源的情况下,提高网络安全团队各层级和角色士气的最佳建议。
与同行分享
无论是巩固与业务经理的合作关系、改变企业文化还是纠正犯错员工,同行的意见都是宝贵的。无论哪种情况,其他安全领导者很可能都经历过相同或相似的情况,因此他们的意见、同理心和建议都是无价的。
“我对抗倦怠的方法之一是与同行保持一致的沟通,因为我们遇到的问题都相对一致。”前Netflix信息安全负责人、即将就任ISSA国际主席的Jimmy Sanders表示。
“现在,我们讨论的一个巨大压力源是AI,特别是当管理层外出购买AI并告诉员工他们将裁员因为AI可以做他们的工作时,如何为管理层设定现实的期望,然后他们期望看到结果,即使我们必须制造这些结果。对于安全领导者和他们的团队成员来说,倦怠是真实存在的。”
因此,Sanders和他的一些同行正在制定模板,帮助业务领导者在收购AI等新技术时做出明智的决策,例如价值与成本、准确性、新风险以及管理这些风险的成本,以及安装和维护解决方案所需的人力等。
“我们的工作就是告诉业务领导者,‘我与我的同行交流过,他们说他们只看到40%的回报,’”Sanders表示。“这是同行小组的目的之一,而且这表明你支持采用变革性技术来实现业务成果。”
与业务领导者分享
信息灵通的领导者更有可能支持并将安全纳入新举措中,这是文化的重要转变,即从将安全视为负担到将安全视为重要的业务工具。这种转变大大减少了CISO面临的另一大压力源——缺乏管理层的支持。
在一个以安全为中心的企业中,所有角色的团队成员都不会因为没有资源而感到压力山大,而且,CISO无需与领导者争夺资源,从而有更多时间来了解和管理员工。
PROs Holdings的CISO Susanne Senoff感到很幸运能在一家以安全为先的公司工作。PROs是一个由AI驱动的销售和定价优化平台,收入超过3亿美元。但她对有毒且不支持的高管领导并不陌生,她在过去的一些工作中就经历过。
她回忆起在之前的一家公司,当她的导师离职时,高管们拒绝了他提名她接任CISO的提议,而是将一位同事放在了这个位置上,并告诉她要支持他。她没有待很久。
不过,一切都解决了。那位导师推荐她担任了现在在PROs的角色,这里有着强大的安全文化,她立刻就感受到了公司领导层的支持。
与你的团队分享
Senoff面临的真正挑战是将倦怠、功能失调的超级明星转变为一个可持续的高绩效团队。“当我加入时,我原以为团队中的每个人都会辞职。他们热爱这家公司,但从事安全工作对他们来说很糟糕。他们不堪重负,工作时间过长。这些人都很有才华、很棒,每个人都很优秀,但他们无法很好地合作。我的老板和我一致认为,我最重要的成功因素就是照顾好团队。”
她开始每周进行一对一会议,以了解员工的压力源、了解他们并理解他们的角色,这样,如Senoff所说,她就能帮助他们“找到自己的目标”。
由于过去的经历,她补充道,“团队成员害怕犯错。而且他们的角色很混乱,所以会互相踩脚,这造成了内部竞争。当我了解他们后,我给他们划分了职责范围,向他们表明我会支持他们,我们都在一条船上,每个人都有自己的角色,这些角色相互协调并支持其他角色。”
在一对一会议中,她积极地对团队成员表示同理心,并赋权他们自行解决问题,比如当一位员工认为另一位员工在针对自己时。她指导他们如何直接与那位团队成员沟通以尝试解决问题,并表示如果需要,她会介入,但她相信他们能够解决。“有能力解决自己的问题,再加上强大的支持,真的有助于防止倦怠。”
她还通过强调“快速失败”(团队正试图将其改名为更积极的名称)来消除团队成员对失败的恐惧心态。她这样描述这个概念:“安全工作是艰难的、模糊的,而且我们经常要解决新问题。我们并不总是能做对,这没关系。失败是分析瘫痪。成功是‘我尝试了,我学到了,我进步了’。”
她还鼓励大家做自己,或者如她所说,“不要觉得在工作上如履薄冰。”
分享奖励、认可和休息时间
Senoff在她所在企业的最高层面为她的团队发声,并与公司领导分享团队的成就,公司领导则会直接或通过Senoff来认可和奖励团队成员。她表示,认可可以提升个人和团队的士气和动力。“我很感激并珍惜我上方有优秀的领导支持我和我的团队。我尽量让他们的工作变得轻松。”
而且,由于个人压力也会影响倦怠,她鼓励团队成员在她的一对一会议或团队会议上分享他们的个人压力源,这样他们就能得到支持。也许他们只是需要时间休息放松一下,但在安全领域,不保持24/7在线的污名让人们不敢休息,即使这是他们应得且值得的。当她发现有压力过大的员工即将陷入倦怠时,Senoff经常会鼓励他们断开连接并充电,想休多久就休多久。
如ISSA调查所报告,快乐的员工通常会待得更久,这最终有助于防止安全领导者的倦怠。
“对于CISO来说,人员配置可能是一个主要的压力源,尤其是当涉及管理我们可能无法控制的团队和情况时,”虚拟CISO Renee Guttmann表示。“作为CISO,重要的是要专注于我们能控制的事情——比如招聘人才和确保团队获得公平的报酬——这样我们就能减轻压力,并为自己和团队的长远成功做好准备。”
