Odnotowuje się częste rotacje pracowników działu cyberbezpieczeństwa. Towarzyszy im wypalenie zawodowe. Co leży u podstaw kryzysu kadry odpowiedzialnej za bezpieczeństwo organizacji?
- Duża presja na pracownikach odpowiedzialnych za cyberbezpieczeństwo
- Ogromna odpowiedzialność CISO
- Kryzys kadrowy
- Wspólna odpowiedzialność odpornej organizacji
Duża presja na pracownikach odpowiedzialnych za cyberbezpieczeństwo
Wraz ze wzrostem skali i złożoności cyberzagrożeń rośnie znaczenie osób odpowiedzialnych za cyberbezpieczeństwo, które czuwają nad ciągłością działania organizacji. Choć znaczenie cyberbezpieczeństwa dla funkcjonowania organizacji stale rośnie, osoby odpowiedzialne za ten obszar - takie jak CISO (Dyrektor do spraw Bezpieczeństwa Informacji) - często mierzą się z dużą presją, ograniczonym wpływem na strategiczne decyzje i odpowiedzialnością wykraczającą poza ich realne kompetencje. Zdaniem ekspertów Palo Alto Networks rosnąca presja i odpowiedzialność sprawiają, że obecny model roli CISO staje się coraz mniej zrównoważony, prowadząc do wypalenia zawodowego i dużej rotacji wśród managerów.
Za rosnącą presją na osoby odpowiedzialne za cyberbezpieczeństwo stoi również szerszy problem, który dotyczy dziś całej kadry zarządzającej. Według raportu Hays Poland tylko 31% liderów deklaruje, że otrzymuje wsparcie od swoich przełożonych, a 65% wskazuje brak realnego wpływu na kluczowe decyzje jako źródło frustracji. W efekcie 39% menedżerów przyznaje, że w kolejnej roli chciałoby zrezygnować z zarządzania ludźmi. W przypadku osób odpowiedzialnych za cyberbezpieczeństwo: brak wsparcia i realnego wpływu na strategiczne decyzje szybko prowadzi do przeciążenia, wypalenia zawodowego i częstych rotacji na tym stanowisku.
Ogromna odpowiedzialność CISO
Gdy dochodzi do poważnego incydentu, CISO przejmuje koordynację działań całej organizacji i działa pod ogromną presją czasu oraz odpowiedzialności. Musi podejmować kluczowe decyzje w oparciu o niepełne dane, współpracując z zespołami prawnymi, do spraw komunikacji i zespołami utrzymania, mając świadomość, że każda minuta zwłoki może zwiększać straty wizerunkowe i finansowe. Gdy sytuacja zostaje opanowana, jego wpływ na strategiczne decyzje często zostaje ograniczony, choć odpowiedzialność za ewentualne konsekwencje nieoptymalnych decyzji nadal pozostaje po jego stronie.
Kryzys kadrowy
Efektem tej presji jest narastający kryzys kadrowy. Średni czas pełnienia funkcji CISO skrócił się do zaledwie 18–26 miesięcy, a aż 9 na 10 managerów deklaruje umiarkowany lub wysoki poziom stresu. Sytuację dodatkowo pogarsza fakt, że szczyt kariery zawodowej takich ekspertów często przypada na wymagający etap życia prywatnego, związany m.in. z opieką nad starzejącymi się rodzicami czy obowiązkami rodzinnymi, co dodatkowo obniża ich odporność na długotrwały stres.
– Współczesne cyberbezpieczeństwo jest znacznie bardziej złożone niż jeszcze dekadę temu, a ataki wspierane przez sztuczną inteligencję wymagają reakcji w czasie rzeczywistym. Obecny model, w którym odpowiedzialność za cyberbezpieczeństwo spoczywa na jednej osobie, jest systemowo niewydolny i stanowi ryzyko dla organizacji. W takich realiach organizacje powinny przestać postrzegać specjalistów ds. cyberbezpieczeństwa wyłącznie jako ekspertów technicznych. Budowanie realnej odporności wymaga, aby mieli oni stałe miejsce przy stole decyzyjnym i byli włączani w kluczowe procesy biznesowe, takie jak fuzje i przejęcia, transformacja cyfrowa czy wdrażanie strategii wykorzystania sztucznej inteligencji – wskazuje Tomasz Pietrzyk, dyrektor techniczny w Palo Alto Networks w Europie Środkowo-Wschodniej.
Wspólna odpowiedzialność odpornej organizacji
Odporność organizacji wymaga podejścia, w którym odpowiedzialność za bezpieczeństwo jest wspólna, a nie jest przypisana wyłącznie do jednej roli. Kluczowe staje się wsparcie osób odpowiedzialnych za cyberbezpieczeństwo poprzez wprowadzanie automatyzacji i sztucznej inteligencji, które pomagają ograniczyć nadmiar informacji operacyjnych i pozwalają skupić się na zarządzaniu ryzykiem, a nie codziennej obsłudze potoków informacji. Jak podkreślają eksperci, wraz ze wzrostem presji na osoby odpowiedzialne za cyberbezpieczeństwo coraz większego znaczenia nabierają nie tylko kompetencje techniczne, ale też umiejętność współpracy, komunikacji i działania pod presją. W praktyce to one mają dziś kluczowe znaczenie dla odporności i stabilności całej organizacji.
Źródło: Palo Alto