De cybersecuritysector kampt met een ongekende geestelijke gezondheidscrisis, terwijl teams en specialisten dag en nacht werken om de groeiende stroom aan agressieve, op kunstmatige intelligentie gebaseerde cyberdreigingen te bestrijden. Dit blijkt uit talloze studies die een somber beeld schetsen van het geestelijk welzijn van cybersecurityexperts.
A enquête uitgevoerd Uit een onderzoek van het Chartered Institute of Information Security bleek dat 55% van de beveiligingsprofessionals moeite heeft met slapen vanwege lange werkdagen, en 39% gaf aan dat de angst voor een cyberaanval hun vermogen om thuis te ontspannen belemmert. Een studie Uit onderzoek van cybersecuritybedrijf Splunk blijkt dat 35% van de Britse Chief Information Security Officers (CISO's) zich regelmatig gestrest en overwerkt voelt. 23% van hen is daarom momenteel op zoek naar een nieuwe baan.
Naast lange werkdagen kunnen cybersecurityprofessionals stress en burn-outs ervaren door een gebrek aan vrije tijd, werkgevers die hen niet steunen, de voortdurende noodzaak om op de hoogte te blijven van het snel veranderende cyberdreigingslandschap, interne vaardigheidstekorten en nog veel meer. Het resultaat is dat cybersecurityprofessionals moeite hebben om hun werk effectief uit te voeren, waardoor organisaties een groter risico lopen op inbreuken en hacks. Dus, wat kunnen ze doen om hun personeel beter te ondersteunen?
Hoge niveaus van burn-out en stress
Volgens Peter Coroneos, oprichter van de non-profitorganisatie Cybersecurity, neemt de geestelijke gezondheid in de cybersecuritysector snel af als gevolg van het 24/7 cyberdreigingslandschap, door AI aangestuurde cyberaanvallen en de groeiende verwachting dat cybersecurityprofessionals altijd direct beschikbaar moeten zijn om deze bedreigingen aan te pakken. Cybermindz.
Vanwege het onrealistische karakter van een altijd-aan-werkcultuur en de burn-out die dit veroorzaakt, waarschuwt hij dat veel cybersecurityprofessionals het gevoel kunnen hebben dat ze niet effectief presteren. Coroneos beschrijft dit als "een belangrijke voorspeller van ontslagneiging", wat kostbaar kan zijn voor een sector die al geplaagd wordt door een veelgerapporteerd tekort aan vaardigheden.
Tegelijkertijd komt het imposter-syndroom steeds vaker voor in de cybersecuritybranche. Coroneos schrijft dit toe aan het onvermogen van sommige cybersecurityprofessionals om carrièresuccessen en mijlpalen te erkennen – of te vieren – waardoor ze twijfelen aan hun vaardigheden en zich ontoereikend voelen. Hij zegt dat dit meestal gebeurt wanneer cybersecurityprofessionals zich onzichtbaar voelen door een werkcultuur waarin incidentpreventie de absolute focus is en prestaties niet worden erkend.
Coroneos vertelt ISMS.online: "Als gevolg hiervan kunnen zelfs zeer competente personen het gevoel krijgen dat ze niet aan de verwachtingen voldoen, wat hun gevoel van professionele effectiviteit verder ondermijnt en het risico op burn-out vergroot."
Wanneer cybersecurityprofessionals vermoeid raken door een constante stroom aan dreigingsmeldingen en denken dat ze hyperalert moeten zijn om hun rol te vervullen, volgen angst en uitputting al snel. Dit kan enorme gevolgen hebben voor werkgevers. Coroneos legt uit: "Het netto-effect is een personeelsbestand dat moeite heeft om bij te blijven en het risico loopt fouten te maken die ernstige gevolgen kunnen hebben."
Een andere grote uitdaging in de cybersecuritysector is de vage grens tussen professioneel en privéleven, waarschuwt Max Rogers, senior directeur van het Threat Operations Centre op het Endpoint Detection and Response-platform jagerin.
Nu cybercriminelen 24 uur per dag en overal ter wereld actief zijn, werken IT-beveiligingsprofessionals even uitputtend om de toenemende cybercriminaliteit tegen te gaan. Hierdoor ervaren veel specialisten volgens Rogers een verstoord slaapritme, wat bijdraagt aan burn-outs.
Geniet je van dit artikel?
Deze podcastaflevering vind je misschien ook leuk
Kunstmatige intelligentie (AI) is een belangrijke oorzaak van deze problemen en heeft een tweeledige impact. Ten eerste vrezen veel cybersecurityprofessionals dat ze in de nabije toekomst vervangen zullen worden door AI-systemen – een veelvoorkomende zorg in alle sectoren. Ten tweede stelt de opkomst van AI-tools kwaadwillenden in staat hun aanvallen op te schalen en maakt het ze moeilijker te detecteren, wat de werklast van de toch al overbelaste cybersecurityteams vergroot.
Nivedita Murthy, principal security consultant bij applicatiebeveiligingsbedrijf Black Duck, zegt dat cybersecurityprofessionals door AI-gestuurde aanvallen geen andere keuze hebben dan constant alert te zijn en op de hoogte te blijven van de nieuwste technieken die hackers gebruiken. Ze vervolgt: "Dit veroorzaakt veel stress en kan soms leiden tot het imposter-syndroom."
Het veelvuldig voorkomen van ontslagen en herstructureringen in de industrie draagt ook bij aan de toenemende stress die cybersecurityprofessionals ervaren, zegt Pierre Noel, field CISO van EMEA bij Managed Detection and Response Experts Verdrijven.
Hij omschrijft de cybersecuritysector als "veeleisend" en zegt dat mensen met een baan in de cybersecurity vaak moeite hebben om tijd voor zichzelf te vinden, omdat ze constant lange uren maken. En wanneer cybersecurityprofessionals er dan eindelijk in slagen een welverdiende vakantie te nemen of een familie-evenement bij te wonen, waarschuwt Noel dat ze waarschijnlijk op een gegeven moment weer aan het werk moeten.
Het identificeren van worstelende werknemers
Om de mentale gezondheid van cybersecurityteams te verbeteren, is een essentiële eerste stap dat managers inzicht krijgen in de meest voorkomende tekenen en symptomen van een slechte mentale gezondheid. Coroneos van Cybermindz dringt er bij managers op aan om te letten op gedragsveranderingen bij hun medewerkers, zoals prikkelbaarheid, stemmingswisselingen, minder sociale contacten en fysieke klachten zoals regelmatige hoofdpijn en vermoeidheid.
Hopeloosheid, angst en burn-out voelen is ook een veelvoorkomende emotionele toestand bij mensen met een slechte geestelijke gezondheid, voegt Coroneos toe. Deze mentale en fysieke tekenen kunnen gepaard gaan met slechte prestaties. Dat is vaak duidelijk wanneer werknemers deadlines missen en werk van slechte kwaliteit inleveren.
Dit gevoel wordt gedeeld door Rogers van Huntress, die teamleiders adviseert om de kern van de problemen te achterhalen die ervoor zorgen dat beveiligingsprofessionals na werktijd de deur uit gaan. Ze zouden zich moeten afvragen of hun monitoringsystemen uitgebreid genoeg zijn om de nieuwste cybersecuritybedreigingen te identificeren, of teams redelijke werktijden hebben en of er single points of failure (SOC's) zijn.
Aanpak van slechte geestelijke gezondheid
Zodra cybersecuritymanagers weten waar ze op moeten letten, kunnen ze proactieve stappen ondernemen om personeel te ondersteunen en uiteindelijk een werkplek te creëren waar iedereen zich kan ontwikkelen. Voor Cybermindz' Coroneos zouden deze stappen duidelijke werktijden, ononderbroken vakantieverlof en veilige ruimtes moeten omvatten "waar gesprekken over mentale gezondheid kunnen worden genormaliseerd en niet worden gezien als een teken van persoonlijke zwakte of falen".
Gezien de groeiende werkdruk van cybersecurityprofessionals, vraagt Rogers van Huntress managers om te overwegen of geautomatiseerde tools en waarschuwingen voor bedreigingsdetectie kunnen worden gebruikt om "stress te verlichten" en "de zekerheid te bieden dat kritieke problemen worden geïdentificeerd en adequaat worden geëscaleerd". Investeren in dergelijke technologieën stelt bedrijven in staat om 24/7 cyberbeveiliging te handhaven en ervoor te zorgen dat cybersecurityprofessionals ook buiten kantooruren kunnen rusten.
Natuurlijk zullen er momenten zijn waarop organisaties te maken krijgen met grote cyberincidenten op ongewone tijdstippen en alle hens aan dek nodig hebben om de systemen weer operationeel te krijgen. In dat geval, zegt Rogers, moeten werkgevers hun personeel voldoende rustpauzes, eten en flexibiliteit bieden, zodat ze energiek zijn om moeilijke taken uit te voeren.
Maar zelfs vóór cyberaanvallen plaatsvinden, moeten bedrijven duidelijke incidentresponsplannen implementeren en duidelijke grenzen stellen aan de afhandeling van incidenten op afroep. Zo kunnen medewerkers "effectief bijdragen zonder de constante druk om altijd bereikbaar te zijn", beweert hij.
Bij eSentire, een bedrijf gespecialiseerd in detectie en respons, is het essentieel om voldoende leidinggevenden te hebben om analisten te ondersteunen, voor een gezond en effectief Security Operations Center. Ciaran Luttrell, die als vicepresident Global SOC Operations bij eSentire leiding geeft aan deze inspanningen, zegt dat de teamleiders van het bedrijf een cruciale rol spelen in de cybersecurityafdeling door personeel te werven, te coachen, te ondersteunen en te begeleiden. Het bedrijf zet zich ook in voor carrièreontwikkeling en continue verbetering binnen het SOC.
En cruciaal is dat alle medewerkers verplicht zijn om hun jaarlijkse vakantie op te nemen, zodat ze hun batterijen kunnen opladen en burn-out kunnen voorkomen. Luttrell zegt: "De beveiliging kan een 'heldencultuur' hebben – we houden ervan om degenen te zijn die de boel redden en het bedrijf verdedigen – maar dit kan ertoe leiden dat mensen te veel tijd besteden aan hun werk en niet de tijd nemen om te herstellen en te ontstressen."
Communicatie is ook van cruciaal belang. Matt Wilson, UK Wellbeing Lead bij IT-ondersteuningsprovider Computacenter, moedigt cybersecuritymanagers aan om regelmatig te controleren hoe hun personeel zich voelt. Hij vertelt ISMS.online: "Eén keer contact opnemen is nuttig. Regelmatig contact houden laat zien dat je om ze geeft, helpt de verbinding te behouden en benadrukt dat de ondersteuning doorlopend is, niet een eenmalige aanbieding."
De implementatie van een professioneel raamwerk zoals ISO 27001 kan ook het mentale welzijn van IT-beveiligingsmedewerkers verbeteren door hen te helpen de kritieke risico's te prioriteren en eenvoudige, administratieve taken te automatiseren. Noel van Expel noemt het zelfs "een krachtige" tool die "ervoor zorgt dat beveiligingsteams niets onbenut laten".
Blijf op de hoogte van de headlines met de IO-nieuwsbrief
Ontvang maandelijks een overzicht van alle informatie, privacy- en cyberbeveiligingsnieuws, rechtstreeks in uw inbox.
Persoonlijke stappen
Hoewel werkgevers een verantwoordelijkheid hebben ten aanzien van het welzijn van hun personeel, zijn er ook manieren waarop cybersecurityprofessionals op eigen kracht een gezond mentaal welzijn kunnen bevorderen en behouden. Een daarvan is de techniek van Integrative Restoration (iRest), die volgens Coroneo van Cybermindz mensen veerkrachtiger maakt.
"iRest is een gestructureerd, evidence-based protocol dat mensen helpt stress te beheersen, de slaapkwaliteit te verbeteren en hun emotionele veerkracht te vergroten", legt hij uit. "Oorspronkelijk toegepast in militaire omgevingen en nu aangepast voor de cybersecuritysector, is aangetoond dat iRest stressindicatoren vermindert en het algehele welzijn verbetert."
Murthy van Black Duck raadt cybersecurity-experts daarentegen aan om een hobby te zoeken om van hun vrije tijd te genieten. Het helpt ook om in contact te komen met gelijkgestemden op branchebijeenkomsten en contacten te leggen buiten de sector.
Rogers zegt dat medewerkers van het Huntress SOC in hun eigen tijd prioriteit geven aan zowel hun fysieke als mentale gezondheid. Hij zegt dat dit essentieel is voor "het behoud van een veerkrachtig en effectief beveiligingsteam".
Door steun te zoeken bij een non-profitorganisatie zoals Cybermindz krijgen cybersecurityprofessionals ook de middelen die ze nodig hebben om zich te bewegen in een snel veranderende sector. Noel van Expel legt uit: "Ze kunnen cybersecurityprofessionals zeker helpen om stress te beheersen en tegelijkertijd van hun werk te genieten."
Over het algemeen is de geestelijke gezondheid in cybersecurity op een historisch dieptepunt. Gezien het toenemende aantal geavanceerde cyberaanvallen waarmee SOC's en hun teams te maken krijgen, is dit begrijpelijk. Maar wanneer cybersecurityteams daardoor uitgeput en ineffectief zijn, laten organisaties hun waakzaamheid verslappen en zijn ze vatbaarder voor cybercriminaliteit.
Dat kunnen ze zich simpelweg niet veroorloven. Daarom moeten organisaties hun cybersecurityspecialisten voldoende vrije tijd geven om uit te rusten, interne vaardigheidstekorten op te vullen en een transparante werkcultuur te creëren waarin mensen openlijk hun problemen kunnen bespreken en effectieve oplossingen voor deze problemen kunnen vinden. Een uitgebreid incidentresponsplan en automatisering zijn eveneens essentieel.
