El agotamiento se ha vuelto endémico en la industria tecnológica. Imagen: Westend61/GETTY
Con el número de filtraciones de datos en 2021 superando el de 2020, existe aún más presión sobre los equipos de seguridad para mantener las empresas seguras en 2022. Pero en un momento en que la fuerza y la resiliencia nunca han sido más importantes, el agotamiento, la baja moral del la rotación de empleados podría hacer retroceder a las empresas al intentar gestionar la creciente amenaza de ciberseguridad.
Los empleadores ya se enfrentan a un dilema en lo que respecta a la ciberseguridad en 2022. No solo está aumentando la cantidad de intentos de ciberataques en todo el mundo, sino que los empleadores enfrentan la presión adicional de un mercado de contratación más ajustado y niveles récord de renuncias que también están afectando a la industria tecnológica. .
Esta batalla por el talento podría afectar particularmente a la ciberseguridad. Según una encuesta de más de 500 tomadores de decisiones de TI realizada por la empresa de inteligencia de amenazas ThreatConnect, el 50 % de las empresas del sector privado ya tienen brechas en las habilidades técnicas básicas de seguridad de TI dentro de su empresa. Además, el 32 % de los gerentes de TI y el 25 % de los directores de TI están considerando dejar sus trabajos en los próximos seis meses, lo que deja a los empleadores abiertos a una cacofonía de problemas relacionados con la contratación, la administración y la seguridad de TI.
VER: La ciberseguridad es un trabajo duro, así que tenga cuidado con el agotamiento
Muchos empleados están siendo atraídos por la perspectiva de mejores salarios y arreglos de trabajo más flexibles, pero las cargas de trabajo excesivas y las presiones de desempeño también están pasando factura. La investigación de ThreatConnect encontró que los altos niveles de estrés se encontraban entre los tres principales factores que contribuyen a que los empleados dejen sus trabajos, citados por el 27 % de los encuestados.
El agotamiento amenaza la ciberseguridad de múltiples formas. En primer lugar, por el lado de los empleados. «El error humano es una de las mayores causas de filtraciones de datos en las organizaciones, y el riesgo de causar una filtracion de datos o caer en un ataque de phishing solo aumenta cuando los empleados están estresados y agotados», dice Josh Yavor, director de seguridad de la información ( CISO) en el proveedor de soluciones de seguridad empresarial Tessian.
Un estudio realizado por Tessian y la Universidad de Stanford en 2020 encontró que el 88 % de los incidentes de violación de datos fueron causados por errores humanos. Casi la mitad (47 %) citó la distracción como la principal razón para caer en una estafa de phishing, mientras que el 44 % culpó al cansancio o al estrés.
«¿Por qué? Porque cuando las personas están estresadas o agotadas, su carga cognitiva se ve abrumada y esto hace que detectar los signos de un ataque de phishing sea mucho más difícil», dice Yavor a MarketingyPublicidad.es.
Los actores de amenazas también son conscientes de este hecho: «No solo están haciendo que las campañas de phishing selectivo sean más sofisticadas, sino que también se dirigen a los destinatarios durante la depresión de la tarde, cuando es más probable que las personas estén cansadas o distraídas. Nuestros datos mostraron que la mayoría de los phishing los ataques se envían entre las 2 p. m. y las 6 p. m.».
Carlos Rivera, principal asesor de investigación de Info-Tech Research Group, dice que el papel que juega el agotamiento en hacer que una empresa sea susceptible a los ataques de phishing no debe ignorarse ni subestimarse. Por lo tanto, es una buena práctica crear una iniciativa de phishing simulada como parte del programa de concientización sobre seguridad de una organización, le dice a MarketingyPublicidad.es.
«Este programa se puede optimizar mediante la aplicación de una hora de capacitación por año, que se puede dividir en sesiones de capacitación de cinco minutos por mes, 15 minutos por trimestre», dice Rivera.
«Para tener el mayor impacto en la efectividad de su capacitación, basela en temas derivados de eventos actuales que generalmente se manifiestan como tácticas, técnicas y procedimientos utilizados por piratas informáticos».
VER: La formación en ciberseguridad no está funcionando. Y los ataques de piratería solo empeoran
Un informe del analista Gartner argumentó recientemente que el rol del líder de seguridad cibernética debe «reformularse» de uno que se ocupe predominantemente de los riesgos dentro del departamento de TI a uno que sea responsable de tomar decisiones de riesgo de información a nivel ejecutivo y garantizar que los líderes comerciales tengan una visión integral. conocimientos de ciberseguridad.
El analista predice que el 50 % de los ejecutivos de nivel C tendrán requisitos de rendimiento relacionados con el riesgo de ciberseguridad incorporados en sus contratos de trabajo para 2026. Esto significaría que los líderes de ciberseguridad tendrán menos control directo sobre muchas de las decisiones de TI que estarían dentro de su competencia. Este Dia.
«Los líderes de ciberseguridad están agotados, con exceso de trabajo y en modo ‘siempre activo'», dijo Sam Olyaei, director de investigación de Gartner. «Este es un reflejo directo de cuán elástico se ha vuelto el rol durante la última década debido a la creciente desalineación de las expectativas de las partes interesadas dentro de sus organizaciones».
Yavor también dice que es fundamental considerar cómo el agotamiento afecta a los equipos de seguridad y las repercusiones para la organización en general. Según la investigación de Tessian, los líderes de seguridad trabajan un promedio de 11 horas extra por semana, y uno de cada 10 líderes trabaja hasta 24 horas extra por semana. Gran parte de este tiempo se dedica a investigar y remediar las amenazas causadas por los errores de los empleados, e incluso cuando se han desconectado, alrededor del 60 % de los CISO tienen dificultades para desconectarse del trabajo debido al estrés.
«Si los CISO están experimentando este nivel de agotamiento, imagine el impacto que esto tiene en la organización en general, así como en las personas con las que trabajan. Perderá buenas personas si los equipos se queman constantemente».
Glorificando el exceso de trabajo
La cultura en torno a la ciberseguridad también debe cambiar, ya que Yavor cree que idolatra erróneamente las horas extra y sacrifica el bienestar personal por el bien de la empresa.
«Como líderes de seguridad, algunas de nuestras historias más emocionantes incluyen trabajar toda la noche para defender a la organización o investigar una amenaza. Pero a menudo no reconocemos que la necesidad de actos heroicos generalmente indica una condición de falla y no es sostenible», dijo. dice.
«Como líderes, es fundamental que los CISO prediquen con el ejemplo y configuren sus equipos para un trabajo operativo sostenible. Asegúrese de que haya confianza en los límites que se establecen: cuando está fuera de servicio, está fuera de servicio, y que todo el el equipo se siente apoyado».
Rivera señala que la creciente popularidad del trabajo remoto podría estar aumentando la tendencia del personal a trabajar más horas, lo que puede «contribuir al agotamiento, las ausencias no contabilizadas y, en algunos casos, una rotación superior a la esperada».
VER: Los trabajadores tecnológicos están frustrados y pensando en renunciar. Esto es lo que podría persuadirlos para que se queden
Los equipos de seguridad y tecnología deben trabajar con otros departamentos para concienciar a la organización sobre el problema del agotamiento y el exceso de trabajo, dice Rivera, lo que puede ayudar a los gerentes a identificar puntos únicos de falla e inculcar una cultura de resiliencia dentro de la empresa.
Este enfoque incluye la adopción de una «mentalidad de cambio a la izquierda» dentro del entorno de desarrollo, donde el agotamiento y el estrés pueden conducir a que los errores se deslicen a través de las brechas y lleguen al código publicado. «Las organizaciones enfrentarán el menor riesgo cuando introduzcan la seguridad lo antes posible en el proceso de desarrollo y aprovechen las herramientas para automatizar y respaldar este objetivo», dice Rivera.
En el frente técnico, la creación de una tubería de mejora continua/entrega continua (CI/CD), y la implementación de herramientas como un entorno de desarrollo integrado (IDE), brindará a las organizaciones la mejor oportunidad de éxito. «Un IDE consistirá en un editor de código fuente, un depurador y herramientas de automatización de compilación para proporcionar al desarrollador capacidades de autoservicio e identificar errores casi en tiempo real. IDE junto con pruebas de seguridad de análisis estático y escaneo de código abierto automatizado en la compilación tubería proporcionará una mitigación efectiva de defectos», agrega Rivera.
Como cualquier función laboral, la comunicación también es fundamental. Los CISO deben hacer un mejor trabajo al comunicar sus limitaciones de capacidad, lo que, según Yavor, sentará un precedente dentro de la organización en general al admitir sus propias limitaciones.
«Siéntase cómodo al decir, ‘no me es posible hacer estas cosas, con los recursos y las limitaciones que tenemos actualmente'», dice.
«Existe esta desafortunada tendencia de heroísmo en la industria de la seguridad, y esa mentalidad debe cambiar».
