Обсуждение выгорания среди специалистов по безопасности касается не только психического здоровья: когда наступает выгорание, это может представлять серьезный бизнес-риск. — computerweekly.com
Выгорание среди директоров по информационной безопасности (CISO) — это не просто личная катастрофа для самих специалистов. Это также представляет собой высокий и дорогостоящий риск для бизнеса. Но в условиях растущих угроз и ограниченных ресурсов проблема «серьезнее, чем большинство людей осознают, пока сами не окажутся на этом месте», — говорит Мартин Эстли. Он является CISO в компании 24/7 Home Rescue, предоставляющей услуги центрального отопления, и активным сторонником психического здоровья. Например, согласно отчету Proofpoint 2025 Voice of the CISOreport, ошеломляющие 63% руководителей по кибербезопасности за последний год либо лично столкнулись с выгоранием среди своих коллег, либо стали его свидетелями. Ключевая проблема здесь, по словам Эстли, заключается в том, что роль CISO «тихо превратилась в пять должностей в одной», что значительно больше, чем в большинстве других профессий. Эти роли включают стратега, оператора, советника правления, кризисного менеджера, руководителя по комплаенсу и оказание эмоциональной поддержки команде. Что еще хуже, круглосуточный характер инцидентов, а также постоянное давление аудита и регуляторных требований затрудняют для CISO возможность «отключиться». Хроническая нехватка кадров и вытекающее из нее влияние на доступные ресурсы команды также играют свою роль. «Угрозы ускоряются, включая мошенничество с использованием ИИ и дипфейков, поверхность атаки продолжает расширяться, а ожидания растут быстрее, чем бюджеты и штатная численность», — говорит Эстли. Но есть и другие движущие силы этой проблемы. «CISO несут ответственность за риски в масштабах всего предприятия, но многие до сих пор не обладают влиянием в масштабах всего предприятия», — добавляет он. «Это несоответствие разрушительно и превращает работу в постоянную ответственность без постоянного контроля».
Выгорание как предсказуемая человеческая реакция
Питер Коронеос, основатель и исполнительный председатель благотворительной организации по обучению устойчивости Cybermindz, согласен. «Речь идет о прогнозировании того, как управлять вещами, которые не полностью находятся в вашей зоне ответственности», — говорит он. «Это означает, что у вас может быть ответственность, но вы не в состоянии управлять всеми факторами риска, включая то, что кто-то в организации перейдет по ссылке, особенно если он работает из дома». Еще одним способствующим фактором является отсутствие контроля, который многие CISO имеют над бюджетами, доступными им для реализации стратегии. Это означает, что они могут оказаться в «постоянной борьбе за ресурсы» с другими функциями. Эта ситуация, как правило, особенно сложна, если у совета директоров нереалистичные ожидания, требующие от них подхода «нулевого инцидента», а не подхода управляемого риска. Однако, если произойдет утечка, говорит Коронеос, именно CISO придется справляться с последствиями. Но их также могут сделать «козлами отпущения», особенно если в организациях существует культура обвинения, и им нужен «жертвенный агнец». «CISO нанимают для защиты активов организации, и когда они это делают, никто этого не замечает, и их успех остается невидимым», — говорит он. «Но неудача широко освещается и может попасть на первые полосы газет, с привлечением совета директоров, регуляторов и даже Парламента». Учитывая эту сложную ситуацию, Коронеос считает, что неудивительно, что многие CISO испытывают хронический, неуправляемый стресс, который приводит к выгоранию. «С этими людьми нет ничего принципиально не так, и они часто превосходны в том, что делают», — говорит он. «Но если кто-то подвергается воздействию угроз, которые превышают его возможности по управлению и адаптации, выгорание становится предсказуемой человеческой реакцией».
Опасность коротких сроков пребывания в должности
Как отмечает Эстли, выгорание — это серьезная проблема, и не только из-за вреда, который оно наносит отдельным лицам и их благополучию. Еще одна ключевая проблема — это «реальный риск», который оно создает для организации, «когда начинают колебаться принятие решений, доверие и преемственность руководства», — говорит он. Это означает, что если работодатели не решат эту ситуацию, будут серьезные последствия. Одним из наиболее очевидных является текучесть кадров среди CISO. Средний срок пребывания руководителей по кибербезопасности составляет от 18 месяцев до трех лет по сравнению со средним показателем в 5,2 года среди членов высшего руководства компаний из списка S&P 500. Стивен Бойс — директор отдела цифровых расследований в Magnet Forensics. Он указывает, что когда некоторые CISO уходят со своих постов, они просто переходят на менее напряженные должности или меняют направление деятельности, переходя на внештатные, консультационные позиции или позиции поставщиков. Но многие теперь предпочитают вообще покинуть и без того недоукомплектованную профессию, в том числе выбирая ранний выход на пенсию. Кэролайн Хьюз — генеральный директор консалтинговой компании Conscious Leadership Development. Она считает, что большая проблема при столь низких средних показателях текучести кадров заключается в том, что у организаций не хватает времени на проведение эффективного планирования преемственности или даже на формирование подходящего кадрового резерва. «Это проблема устойчивости руководства как на индивидуальном, так и на организационном уровне», — говорит она. «Если вы постоянно заменяете людей, это очень дестабилизирует с точки зрения команд и управления — и как вы можете вселить в исполнительный комитет уверенность в долгосрочной стратегии, если существует постоянная краткосрочная текучесть кадров?» Эстли согласен: «Более серьезная проблема [чем уход людей из профессии] — это кадровый резерв. По сообщениям, почти у половины CISO нет адекватного внутреннего преемника, что говорит о том, насколько тонка скамейка запасных».
Бизнес-риски выгорания CISO
Еще один момент, о котором он предупреждает, заключается в том, что короткие сроки пребывания в должности едва дают действующим CISO достаточно времени для надлежащей оценки рисков, не говоря уже о реализации многолетних трансформационных инициатив. Результатом, как правило, становятся реактивные и фрагментированные «программы безопасности в режиме «старт-стоп»», которые вынуждают команды находиться в «постоянном режиме «перезагрузки»». Другие проблемы включают «пробелы в контроле, задержки проектов и снижение устойчивости», — говорит он. «Риск не теоретический: злоумышленники используют сбои и отвлекающие факторы, а текучесть кадров вызывает именно это». Но выгорание имеет последствия даже тогда, когда CISO все еще находятся на своих постах. Коронеос указывает на три основных показателя, сигнализирующих о надвигающихся проблемах: эмоциональное истощение, цинизм и падение профессиональной эффективности. В то время как последствия первых двух носят более личный характер, заставляя все ощущаться как тяжелая работа, последние два являются ключевыми предикторами намерения уволиться, говорит он. Это связано с тем, что они влияют на причины, по которым CISO занимаются своей работой. Бойс, тем временем, считает, что риски этой ситуации «накапливаются». «Выгорание приводит к пропуску сигналов и усталости от принятия решений, что со временем ведет к отстраненности, замедлению принятия решений в кризисных ситуациях и снижению качества коммуникации о рисках», — говорит он. «Другими словами, качество снижается, а давление на команды возрастает, что подрывает устойчивость. Проблема здесь в том, что киберустойчивость напрямую связана с устойчивостью бизнеса». Эстли согласен. По его мнению, ключевые организационные риски включают «замедление развития реагирования на инциденты, ослабление управления, непоследовательность решений о принятии рисков и снижение доверия со стороны аудиторов, страховщиков и регуляторов», — говорит он. «И когда руководитель службы безопасности выгорает, это часто каскадом распространяется на команду, что порождает более широкую проблему удержания кадров».
Прямые издержки выгорания CISO
Но, неизбежно, с каждой из этих проблем связаны и издержки. Джон Скиппер, эксперт по цифровому доверию и кибербезопасности в PA Consulting, подсчитал, что общие финансовые последствия выгорания CISO для индекса FTSE 100 могут достигать 200 миллионов фунтов стерлингов в год, или в среднем 2 миллиона фунтов стерлингов на компанию. Например, по данным сайта с вакансиями Indeed, средняя базовая зарплата руководителя по кибербезопасности в Великобритании составляет 117 000 фунтов стерлингов. Рекрутинговые агентства, как правило, взимают от 25% до 30% от этой зарплаты за поиск и проверку новых сотрудников, что быстро накапливается, если это происходит каждые 18 месяцев. Но в период, предшествующий увольнению выгоревшего CISO, маловероятно, что он работал продуктивно, в результате чего бизнес не получает отдачи от вложенных средств. Возможно, ему также пришлось взять оплачиваемый отпуск по состоянию здоровья. Другие прямые издержки для организации включают необходимость выплачивать зарплату временному или исполняющему обязанности заместителю, которому неизбежно потребуется время, чтобы войти в курс дела, что приведет к дальнейшему снижению производительности. Затем следуют пакеты при приеме на работу, адаптация, обучение и расходы на переход, связанные с новым сотрудником. «Вероятно, вы столкнетесь с прямыми затратами в размере от 600 000 до 700 000 фунтов стерлингов, плюс потенциальные расходы на любой инцидент», — говорит Скиппер. «Однако скрытые издержки также очень значительны и, вероятно, даже затмевают прямые затраты».
Косвенные издержки выгорания CISO
Эти косвенные издержки включают потерю институциональных знаний, особенно если процессы не были должным образом задокументированы. Принятие решений, вероятно, будет отложено, а проекты отложены из-за нехватки опыта в области безопасности — или, что еще хуже, безопасность может просто отойти на второй план. Еще одна распространенная проблема связана с более высокими страховыми премиями по киберстрахованию или даже отказом страховых компаний покрывать претензии в некоторых случаях. Бойс объясняет: «Многие андеррайтеры принимают во внимание, если в компаниях есть кто-то, кто может снизить вероятность претензии. Но если они заметят «вращающуюся дверь» каждые 12–36 месяцев, они обратят на это внимание, и когда придет время продления, это приведет к увеличению премий». Но есть и другие проблемы, говорит Эстли. К ним относятся «повышенная вероятность и влияние инцидентов, текучесть кадров в команде безопасности [из-за низкой морали], замедление работы всего ИТ-отдела и снижение уверенности на уровне совета директоров». В результате он считает, что общие затраты на замену CISO могут составить более 200% от оклада, «если учесть потерю производительности и сбои». Но, добавляет он, большинство организаций недооценивают ситуацию, поскольку такие расходы распределяются между различными отделами, такими как HR, ИТ, риски и юристы, и разными временными рамками. Поэтому Эстли говорит: «Следствие предсказуемо: компании недостаточно инвестируют в профилактику, такую как поддержка, структура и штатная численность, и переплачивают позже за текучесть кадров и инциденты». Неудивительно, учитывая нынешнюю неустойчивую ситуацию, он ожидает, что больше руководителей по кибербезопасности будут брать на себя «портфельные карьеры» в качестве внештатных CISO, консультантов и на срочные контракты, чтобы защитить свое физическое и психическое здоровье. Таким образом, «организации, которые не создают кадровый резерв, будут продолжать страдать от последствий текучести кадров», — предупреждает он. Что касается того, что могут сделать работодатели, Эстли считает, что теперь крайне важно спроектировать эту работу так, «чтобы она была выполнимой». Это означает установление реалистичных ожиданий и четкого объема полномочий. Это означает обеспечение того, чтобы CISO имели реальный авторитет и достаточно сотрудников для реализации стратегии. Это также означает предоставление им «прикрытия на уровне руководства, а не только ответственности». «Организации, которые рассматривают безопасность как настоящую бизнес-функцию и обеспечивают надлежащую поддержку, улучшат удержание кадров и результаты», — говорит он. «Но те, кто продолжает рассматривать CISO как амортизатор для каждого риска, будут продолжать выжигать людей, а затем удивляться, когда они уходят».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cath Everett