随着2021年数据泄露数量再创新高,2022年安全团队的压力势必会加剧。对于组织来说,试图管理日益增长的网络安全威胁棘手的还不止这些,员工离职率高也给了他们致命的打击。2022年,雇主在网络安全方面陷入两难——一方面,全球网络攻击数量持续激增;前所未有的水平。人才争夺战可能对网络安全造成特别严重的打击。根据威胁情报公司ThreatConnect对500多名IT决策者的调查,50%的私营部门公司已经存在关键的IT安全技能(基础和技术)差距。更重要的是,32%的IT经理和25%的IT高管正在考虑在未来六个月内离职,这也让雇主在招聘、管理和IT安全方面面临一系列问题。许多员工被更高的薪水和更灵活的工作安排所吸引,但过多的工作量和绩效压力也造成了人员流失。根据ThreatConnect的研究,27%的受访者表示,高压力是导致员工离职的三大因素之一。倦怠威胁网络安全倦怠以多种方式威胁网络安全。首先,在员工方面:“人为错误”是组织中数据泄露的最大原因之一,当员工压力过大和筋疲力尽时,数据泄露或网络钓鱼攻击的风险只会进一步增加。Tessian和斯坦福大学2020年的一项研究发现,88%的数据泄露是由人为错误造成的。近一半(47%)将“分心”列为网络钓鱼诈骗的首要原因,而44%则归咎于疲劳或压力。为什么疲倦和压力如此强大?因为当人们感到压力或疲惫时,他们的认知负荷就会不堪重负,这也使得发现网络钓鱼攻击的迹象变得更加困难。威胁行为者也知道这一点,不仅增加了鱼叉式网络钓鱼活动的复杂性,而且还选择在员工人数较少的下午发起攻击。数据显示,大多数网络钓鱼攻击是在下午2点到6点之间发起的。Info-TechResearchGroup的首席研究顾问卡洛斯里维拉(CarlosRivera)表示,不应忽视或低估职业倦怠在增加企业遭受网络钓鱼攻击风险方面的作用。因此,创建网络钓鱼模拟程序作为组织安全意识计划的一部分是一种很好的做法。Rivera表示,“该计划可以通过每年实施一小时的培训来优化,也可以分为每月5分钟或每季度15分钟的培训课程。为了最大限度地提高培训效果,建议根据时事安排课程。分析公司Gartner最近的一份报告认为,网络安全领导者的角色需要从“主要处理IT部门内部风险”调整为“负责制定执行级别的信息风险决策并确保业务领导者拥有全面的网络安全知识。”Gartner预测,到2026年,50%的C级高管将在其雇佣合同中包含与网络安全风险相关的绩效要求。这意味着网络安全领导者在未来对许多IT决策的直接控制将减少。Gartner研究总监SamOlyaei表示,“网络安全领导者一直在超负荷运行,几乎处于‘永远在线’模式。造成这种现象的部分原因是组织内利益相关者的期望在过去十年中有所提高。不一致的是,网络安全领导者必须变得越来越有弹性。”根据Tessian的研究数据,安全领导者平均每周加班11小时,十分之一的领导者每周加班24小时。他们将大部分时间用于调查和补救员工错误造成的威胁。即使当现在是下班时间,多达60%的CISO因压力而被迫加班。现在是组织关注倦怠对安全团队和更广泛组织的连锁反应的时候了。试想一下,如果CISO正在经历这种程度的倦怠,这将对更广泛的组织和与他们一起工作的人产生什么影响。如果你的团队不断地倦怠,你就会在关键时刻失去人。在“美化”中过度劳累不得不说围绕网络安全的文化也需要改变,这是在错误地宣扬“加班文化”并为了业务而牺牲个人福祉。作为安全领导者,一些最令人兴奋的故事涉及到p通宵保卫一个组织或调查一个威胁。但我们往往不愿意承认,英雄主义的需要往往预示着一种不可持续的失败状态。作为领导者,CISO需要以身作则,围绕“可持续运营”的目标构建团队。当你离开时,你就离开,并努力让整个团队都能感受到这种可持续发展文化。里维拉指出,远程工作的日益普及可能会加剧员工工作时间延长的趋势,这可能导致倦怠、不明原因的缺勤,在某些情况下,员工流失率高于预期。为此,安全和技术团队应该与其他部门合作,让组织意识到倦怠和过度工作的危险,这可以帮助管理人员在公司内部灌输一种有弹性的文化。缓解建议缓解网络安全倦怠的方法包括在开发环境中采用“左移心态”。倦怠和压力会让错误潜入已发布的代码中,在开发过程的早期引入安全性并利用工具来自动化和支持这一目标可以降低组织面临的风险。在技??术方面,构建持续改进/持续交付(CI/CD)管道和部署集成开发环境(IDE)等工具将为组织带来巨大机遇。IDE将由源代码编辑器、调试器和构建自动化工具组成,为开发人员提供自助服务功能并近乎实时地识别错误。IDE结合静态分析安全测试和自动进入构建管道的开源扫描将提供有效的漏洞缓解解决方案。与任何其他工作职能一样,沟通很重要。CISO需要阐明在他们目前拥有的资源和限制条件下不能做什么,为更广泛的组织树立先例,并推动组织范围内的“可持续发展文化”。安全行业中存在这种“英雄主义”的不幸倾向——这种心态必须改变。本文翻译自:https://www.zdnet.com/article/cybersecurity-burnout-is-real-and-its-going-to-be-a-problem-for-all-of-us/如有转载,请注明原文地址。
