En lektion från frontlinjen

Insikter från cyberförsvarets högborg

Problemet med utbrändhet bland IT-säkerhetschefer är högst verkligt. Branschen tappar erfaren personal som helt enkelt nått sin gräns av trötthet, stress och politiska bråk. IT-säkerhetschefer tycker att deras jobb ställer överväldigande krav på dem, och en alarmerande andel (50 procent) anser att deras arbetsgivare inte ger dem förutsättningar för att lyckas. Det var mitt i allt detta som jag bestämde träff med en vän i branschen som jag kommer att kalla "M".

I skuggan av Ukraina och upplyst av M:s militära bakgrund, utforskade vi det nära sambandet mellan cybersäkerhet och militärt tänkande, med tanke på att var och en handlar om riskkontroll, att nå mål och resurshantering i fientlig miljö.

Konflikten i Ukraina har präglats av förlusten av flera ryska generaler som placerats i aktiva stridszoner med målet att höja moralen och bidra med strategisk kompetens – målsättningar som misslyckats. Man kan fråga sig varför de behövde placeras i skottlinjen. Svaret avslöjar en djupare fråga. Kulturen bland ryska styrkor är att vänta på detaljerade order. Detta skiljer sig markant från många andra militära styrkor som ges befogenhet att anpassa sig baserat på omständigheterna.

När vi undersöker frågan ur ett cybersäkerhetsperspektiv bör vi fråga oss om det är möjligt att IT-säkerhetschefer på samma sätt placeras i en farlig position. En utmaning som de står inför är att stress riskerar att kraftigt påverka deras kapacitet för strategiskt tänkande.

Skulle IT-säkerhetschefer kunna förbättra sin livskvalitet om de i högre utsträckning slutade ägna sig åt de operativa aspekterna av rollen och istället låta personal verka mer självständigt? För att göra detta skulle vi behöva lätta på trycket om ständiga uppdateringar från ledningsgruppen. Vi skulle även behöva stödja de relationer som personalen behöver för att få saker gjorda i ett företag, och ge dem möjlighet att agera med mer auktoritet.

Detta är inte de enklaste målen att uppnå, men att låta bli att göra något alls skulle innebära att IT-säkerhetschefer ständigt dras in i interna konfliketer, vilket ökar stressen och underminerar deras position.

M och jag diskuterade fördelarna med att "distansiera" och återigen delade han sin militära visdom, särskilt hans syn på vikten av resurshantering. Militärt sett, konstaterade M, är det alltid viktigt att ha en reservstyrka för att möjliggöra flexibilitet. Reserven kan förhindra fiendens genombrott och täppa till hål i linjen. Men med dess frånvaro placeras befälhavaren i en svår position.

Återigen är parallellerna med cybersäkerhet uppenbara. Hur många av oss använder alla våra resurser för att hantera förändringar och oväntade incidenter eller för att tänka strategiskt? Om vi vill ha långa karriärer som säkerhetsledare måste vi hantera stressen i rollen. Ta ditt välmående och hälsa på allvar genom att:

• Ge din personal möjlighet att agera självständigt. Ge dem de verktyg, relationer och förtroende de behöver för att agera för organisationens bästa och ge dem sedan utrymme att lära sig genom att ta ansvar för sina egna insikter och handlingar.
• Identifiera och mät din kapacitet, och låt den inte ständigt allokeras till operativa uppgifter. Använd all sparad tid för personliga utvecklingsinitiativ, affärsmedvetenhet och relationsbyggande som kommer att stärka ditt teams förmåga inför framtida utmaningar.
• Slutligen, ta hand om ditt eget fysiska och psykiska välbefinnande. Långa timmar, stressiga styrelsepresentationer och att hålla ett företag säkert kräver energi. Skapa tid för träning, och ge dig själv ledig tid utanför kontoret.

Andrew Rose, Resident CISO, EMEA på Proofpoint

2022-10-18 - Industritorget