Casi la mitad de los líderes de seguridad cibernética planean cambiar de trabajo en los próximos dos años, y la mitad de ellos planean dejar el sector de la seguridad para siempre, citando “múltiples factores estresantes relacionados con el trabajo”, según las estadísticas recopiladas por los analistas de Gartner.
Dijo que las organizaciones que no ven la gestión de riesgos de seguridad como crítica para su éxito, que mantienen programas de seguridad centrados en el cumplimiento, tienen bajos niveles de apoyo en la sala de juntas y una madurez de la industria inferior a la media probablemente experimenten tasas de deserción más altas a medida que los especialistas en seguridad buscan puestos. donde se sienten valorados y pueden tener un impacto real.
La casa de investigación advirtió que dada esta dinámica, así como las oportunidades de mercado masivas para los profesionales de la seguridad, la rotación de talentos llegará a representar una amenaza significativa para los equipos de seguridad en el futuro a corto plazo.
“Los profesionales de la seguridad cibernética se enfrentan a niveles de estrés insostenibles”, dijo Deepti Gopal, analista directora de Gartner. “Los CISO están a la defensiva, con el único resultado posible de que no sean pirateados o lo sean. El impacto psicológico de esto afecta directamente la calidad de las decisiones y el desempeño de los líderes de ciberseguridad y sus equipos.
“El agotamiento y la deserción voluntaria son resultados de una mala cultura organizacional. Si bien eliminar el estrés es un objetivo poco realista, las personas pueden manejar trabajos increíblemente desafiantes y estresantes en culturas donde reciben apoyo”, agregó Gopal.
Mientras que los encargados de la seguridad luchan contra el estrés, el agotamiento y la mala gestión de la seguridad, las personas a las que tienen la tarea de mantener a salvo están desprotegidas, según el informe, con el resultado de que se espera que la falta de talento o el fracaso humano sea un factor contribuyente. en más de la mitad de los incidentes de seguridad cibernética “significativos” a mediados de la década.
Esta tendencia se puede ver claramente en la cantidad de ataques de ingeniería social contra empleados comunes, a quienes muchos actores de amenazas ahora ven como el punto más vulnerable de explotación en la organización.
Un estudio de Gartner producido el verano pasado encontró que el 69 % de los empleados había pasado por alto la guía de seguridad cibernética de su organización de alguna manera durante el período anterior de 12 meses, y el 74 % estaría dispuesto a pasar por alto la guía de seguridad cibernética si creyera que había una buena posibilidad de que ayudaría a ellos o a su equipo a lograr un objetivo comercial.
“La fricción que ralentiza a los empleados y conduce a un comportamiento inseguro es un importante factor de riesgo interno”, dijo Paul Furtado, vicepresidente analista de Gartner.
El último análisis de Gartner predice que la mitad de las medianas y grandes empresas adoptarán programas formales de gestión de riesgos internos en los próximos 22 meses, frente a un insignificante 10 % en el momento de redactar este informe.
Los programas de gestión de riesgos internos enfocados y adecuados para el propósito identificarán de manera proactiva y predictiva el comportamiento de riesgo que puede conducir a la exfiltración de activos corporativos u otras acciones dañinas y, lo que es más importante, deben proporcionar una guía correctiva en lugar de un castigo, dijo Furtado.
Agregó: “Los CISO deben considerar cada vez más el riesgo interno al desarrollar un programa de seguridad cibernética”, dijo Furtado. “Las herramientas tradicionales de seguridad cibernética tienen una visibilidad limitada de las amenazas que provienen del interior”.
Amanda Finch, directora ejecutiva del Instituto Colegiado de Seguridad de la Información (CIISEC), comentó: “No es sorprendente que los equipos de seguridad estén agotados, especialmente dadas las crecientes presiones provocadas por la inminente crisis económica. La propia investigación de CIISec destacó el riesgo de agotamiento en la industria: el 77 % de los profesionales de seguridad cibernética trabajan hasta 50 horas a la semana, mientras que el 12 % trabaja de 51 a 70 horas. Además, un tercio de los profesionales revela que el estrés laboral los desvela. Esto es simplemente insostenible y, a menos que la industria pueda aprender a hacer más con menos, las organizaciones sufrirán.
“Los ataques cibernéticos solo aumentarán a medida que a los equipos de seguridad sobrecargados les resulte más difícil manejar la parte cotidiana del trabajo, lo que crea un círculo vicioso de estrés creciente y potencialmente deja a su empresa expuesta. Al mismo tiempo, la industria necesita no solo atraer a candidatos más diversos, sino también garantizar que los que ya están en el lugar tengan carreras largas y satisfactorias.
“Las organizaciones deben ofrecer trayectorias profesionales claras, que muestren con precisión qué habilidades necesitan los profesionales para desarrollar y progresar. El acceso a la capacitación adecuada es esencial para que los empleados tengan el conocimiento y la experiencia que necesitan para mantenerse al día con las amenazas en evolución. Y las organizaciones deben identificar y abordar los signos de agotamiento desde el principio antes de que afecte a los empleados y sus colegas. Hacer esto ayudará a los profesionales de la seguridad a alcanzar su máximo potencial y progresar en sus carreras, al tiempo que minimiza el estrés diario y evita la escalada”, dijo.