Los ciberprofesionales de la región APAC no son ajenos al estrés relacionado con el trabajo.
Los informes han indicado que la mayoría de los trabajadores cibernéticos en la región experimentan agotamiento, y hasta 9 de cada 10 empleados se ven afectados en algún nivel. Las causas del agotamiento incluyen la falta de recursos y la fatiga de alerta, lo que resulta en ansiedad o falta de compromiso de los empleados.
Altos ejecutivos de la empresa australiana de ciberseguridad Tesserent han ofrecido algunos consejos para los CISO que quieran preservar su salud mental en la industria de la ciberseguridad. Las recomendaciones forman parte de la iniciativa RU OK? Day, una iniciativa de salud mental.
Por qué los CISO deben centrarse en la salud mental de la ciberseguridad
Los problemas de salud mental afectan a muchas profesiones dentro de la industria cibernética. Se sabe que los roles de CISO, en particular, son puestos de alto estrés, en parte debido a un entorno de amenazas constante y creciente.
Este estrés ha llevado a algunos trabajadores a tomar cambios profesionales drásticos. A nivel mundial, Gartner espera que casi la mitad de los líderes de seguridad cibernética cambien de trabajo para fines de 2025, y aproximadamente una cuarta parte de ellos lo dejarán para desempeñar funciones diferentes. Mientras tanto, el organismo de la industria cibernética AustCyber estima que a Australia le faltarán 17.000 trabajadores de seguridad en los próximos dos años.
El agotamiento provoca que los ciberprofesionales abandonen la industria
Los altos ejecutivos de Tesserent han visto de primera mano el agotamiento de la ciberseguridad en Australia.
Patrick Butler, socio director de servicios gestionados y profesionales, dijo que conoce a “varios” CISO que dejaron sus funciones y eligieron diferentes carreras o funciones cibernéticas fuera de los incidentes y la respuesta de seguridad.
Jason Plumridge, CISO de Tesserent, también ha sido testigo del estrés y la presión a los que se enfrentan otros CISO.
“Calculo que, en promedio, los CISO y otros líderes de seguridad cambian de roles debido al estrés y la falta de apoyo en el 50% de los casos”, dijo. “Pero las estadísticas mundiales indican que la rotación es mayor”.
VER: Cómo su empresa puede beneficiarse de una póliza de salud mental
El socio principal de Tesserent, Mark Jones, dijo que también ha visto “muchas personas agotarse y abandonar la ciberseguridad”.
“Conozco al menos a cinco exprofesionales de alto nivel que abandonaron la industria porque la presión implacable era demasiada”, dijo. “Se requiere mucho trabajo fuera de horario, y esto puede afectar personalmente las relaciones y el bienestar de un individuo”.
Mientras tanto, Silas Barnes, socio principal de servicios de seguridad ofensiva en Tesserent, también ha visto cómo los CISO se marchaban debido al estrés y la presión. “Uno renunció y se tomó un año entero de descanso para recuperarse”, anotó.
Cómo los CISO pueden gestionar su salud mental
Prepárate bien
Butler estaba “totalmente desprevenido” para el estrés de la seguridad cibernética cuando ingresó a la industria hace 16 años.
“Me llevó mucho tiempo aprender a lidiar con este estrés y ni siquiera ahora lo he logrado del todo”, dijo.
Para él destaca un momento en particular. En 2017, Butler sufrió agotamiento y problemas de salud después de un ejercicio de simulación de adversario, donde su equipo pasó más de una semana simulando un sofisticado actor de amenazas dentro de la red. Dijo que al final de la semana, “tardó meses en recuperarse del puro agotamiento y el agotamiento”.
Los CISO pueden afrontar mejor el estrés y la presión si comprenden sus propias debilidades, miden los riesgos y se preparan para lo peor, afirmó Butler.
“Estar bien preparado reduce el estrés durante un incidente”, explicó. “Es importante compartir la responsabilidad del riesgo para la seguridad en toda la organización”.
Compartimentar el trabajo y la vida
Los CISO deben separar el estrés del trabajo en ciberseguridad de su vida personal.
Barnes dijo que ha sufrido agotamiento y agotamiento durante su carrera en seguridad. Para él, el estrés y la presión afectaron su sueño y su capacidad para desconectarse del trabajo durante sus horas libres.
“La combinación de responsabilidades críticas, alta presión y consecuencias devastadoras de las violaciones pueden dificultar la desconexión, incluso durante las vacaciones anuales”, dijo.
Butler aconseja a los CISO que fortalezcan sus capacidades de compartimentación física y mental.
“Encuentre una manera de proteger su tiempo personal para que pueda desconectarse y enseñarle a su mente que ha pasado del trabajo al tiempo personal”, explicó, señalando que este enfoque puede permitir a los ciberprofesionales “dejar atrás los problemas del día”. “
Delegar tareas
Plumridge estuvo de acuerdo en que es fundamental separar el trabajo de la vida personal mediante la creación de límites. Dijo que los CISO también deberían delegar tareas estratégicamente a los miembros del equipo para aliviar su propio estrés.
“Si bien un rol de CISO requiere estar disponible las 24 horas del día, los 7 días de la semana en caso de un incidente de seguridad, esto no significa que usted tenga que estar personalmente disponible las 24 horas del día, los 7 días de la semana, mental y físicamente”, explicó Plumridge.
Los CISO deben evaluar y priorizar los requisitos en función del riesgo y el impacto para gestionar el tiempo y el estrés. “Los CISO deben confiar en la capacidad de sus colegas para continuar con los requisitos del puesto cuando usted no está disponible y evitar microgestionar cada evento”, dijo.
Practique una higiene básica de salud mental.
La salud mental y el bienestar básicos son fundamentales para mantener a los profesionales cibernéticos de alto nivel en la cima de su juego. Barnes recomienda que los ciberprofesionales dediquen tiempo a la actividad física, sigan una dieta saludable y vigilen su consumo de alcohol.
Por ejemplo, adoptó el paracaidismo como una forma de desconectarse del trabajo, reducir el estrés y sumergirse en el momento.
“Además de saltar de los aviones, también me aseguro de tomar descansos razonables cuando me voy de vacaciones, asegurándome de que duren más de uno o dos días, para tener la oportunidad de relajarme por completo”, dijo.
Centrarse en la mejora continua, no en la perfección
Las funciones de los CISO se han vuelto complejas y abarcadoras, afirmó Plumridge. Esta posición genera un número significativo de prioridades en competencia para la atención y la acción. Dijo que los CISO deberían reconocer que “pueden controlar algunos de estos y otros no”.
Barnes explicó que los CISO sólo pueden hacer lo mejor que pueden.
“No pierda el tiempo persiguiendo la perfección y no se castigue por no ser perfecto”, dijo. “En su lugar, céntrese en el valor que está aportando a su organización y en la mejora continua y sostenible”.
Reconocer el impacto de las redes sociales
Barnes sugirió que los líderes de seguridad deberían evaluar cuánto tiempo pasan viendo contenido de otros profesionales de la seguridad cibernética y líderes empresariales en plataformas de redes sociales empresariales, porque puede tener efectos negativos en la salud mental.
“La creciente presión para desarrollar una marca personal o ser visto como un ‘líder intelectual’ por la comunidad en general puede generar sentimientos de inseguridad, insuficiencia y ansiedad en quienes se concentran en su trabajo diario”, dijo.
En cambio, los CISO deberían centrarse en su propio viaje personal y evitar compararse con los demás. La imagen que otros profesionales presentan en las plataformas de redes sociales no refleja necesariamente la realidad del trabajo dentro de la industria, señaló Barnes.
Cómo las organizaciones pueden proteger la salud mental
Hacer de la ciberseguridad una responsabilidad organizacional compartida
Los ejecutivos de Tesserent sostienen que la seguridad cibernética debería ser una responsabilidad compartida entre todos en una organización.
“El CISO debería sentir el apoyo de todo el equipo directivo superior porque la resiliencia cibernética es una responsabilidad conjunta”, dijo Barnes.
Kurt Hansen, director ejecutivo de Tesserent, dijo que escuchar lo que los CISO dicen que necesitan para proteger la organización, su gente y sus clientes ayudará a respaldar la salud mental de su equipo de ciberseguridad.
Una buena estructura empresarial puede frustrar las amenazas a la ciberseguridad
Se requiere una estructura empresarial sólida para gestionar los esfuerzos de contención y erradicación de las amenazas cibernéticas las 24 horas del día. Butler dijo que esto se extiende más allá de los equipos de respuesta a incidentes o el centro de operaciones de seguridad, hasta los equipos de gestión y TI, que deben estar “disponibles las 24 horas del día, los 7 días de la semana en una crisis importante”.
“A menudo las organizaciones no han planificado esto, lo que genera el riesgo significativo de no tener recursos clave disponibles o de agotamiento en los equipos que trabajan las 24 horas del día”, explicó.
Los empleadores deberían “reconocer que los empleados son humanos”, dijo Butler, y crear procesos, estructuras y estrategias que minimicen el riesgo de agotamiento o estrés.
“Esto no sólo es bueno para su gente, sino también fundamental para gestionar el riesgo y erradicar las amenazas de manera eficaz”, añadió.
Invertir en tecnologías y talento en ciberseguridad
Las organizaciones deben invertir en la tecnología y el talento necesarios para adoptar la mejor postura de ciberseguridad posible.
Plumridge dijo que, para muchos CISO, la incapacidad de obtener la inversión necesaria en tecnología de ciberseguridad para reforzar la seguridad de una organización puede causar estrés adicional en el trabajo.
Los empleadores también deben comprender que los procesos y otros factores humanos no técnicos también afectan la postura de seguridad.
Plumridge aconsejó que las empresas “estén preparadas para pagar las tarifas del mercado por la seguridad de la organización y para obtener las habilidades y experiencia que necesitan”.
