Para el cuarto año de nuestra encuesta de investigación “El futuro de la ciberseguridad en Asia Pacífico y Japón”, Sophos encargó a Tech Research Asia que formulara preguntas sobre un tema diferente y algo tabú: los efectos de los problemas de salud mental en el campo de la ciberseguridad. Los resultados fueron sorprendentes: más de cuatro de cada cinco encuestados informaron de algún grado de agotamiento o fatiga y casi la mitad de las respuestas citaron un factor determinante (falta de recursos / carga de trabajo abrumadora).
El sencillo proceso de preguntar a nuestros encuestados cómo están (junto con su organización), concretamente sobre el grado de desarrollo de su cultura de ciberseguridad y si la fatiga o el agotamiento se han convertido en un problema, dio lugar a algunas conversaciones interesantes. Irónicamente, quizá la más interesante de esas conversaciones fue la falta de comunicación entre los profesionales de la ciberseguridad y su dirección o consejo de administración. Esta brecha sugiere una serie de problemas endémicos que tienen un impacto directo en el mantenimiento de una postura de seguridad institucional adecuada, por no mencionar el impacto en los atribulados equipos encargados de la tarea.
Lo que sabemos
El 85% de los encuestados declaró que sus empleados habían sufrido, o sufrían actualmente, fatiga y agotamiento (dos mitades de un todo, según la redacción de la encuesta). La enorme complejidad del sector de la ciberseguridad y las conclusiones de este informe subrayan dramáticamente el impacto que el estrés endémico tiene en las personas que forman los equipos que esperamos que nos defiendan. De nuevo, eso es estrés endémico, antes incluso de que se haya producido un incidente. El estrés situacional es probablemente un subproducto inevitable de las situaciones de crisis, pero si la crisis es interminable, el estrés se convierte en endémico.
Profundizando en el informe, algunas de las razones principales de estos abrumadores niveles de fatiga y agotamiento no sorprenderían a la mayoría: el 48% dijo que su agotamiento y fatiga estaban causados por la falta de recursos, mientras que el 41% citó la monotonía de las actividades rutinarias. En general, los encuestados percibieron que el tiempo perdido por fatiga o agotamiento por empleado y semana asciende a una media de 4,1 horas, una décima parte de la semana laboral “normal”, si es que puede decirse que tal cosa existe realmente en la ciberseguridad.
Las encuestas miden la percepción, y aunque el hecho de que más de 900 personas respondieran a nuestra encuesta constituye una base estadística razonable, la percepción puede ser difícil de traducir en hechos. Aun así, estadísticas como estas deberían suscitar un nivel de preocupación que, como mínimo, invocara un sentido del deber de cuidado: vigilar a aquellos que podrían estar muy agotados y, potencialmente, luchando por mantenerse al día con el volumen diario de esfuerzos. El mero volumen de datos e incidentes es una fuente de estrés y preocupación, por supuesto, pero una de las conclusiones más inquietantes de la encuesta es que no se trata solo del estrés que causan los atacantes y la propia tecnología. La llamada, en definitiva, bien puede venir de dentro de casa.
Como ya se ha mencionado, la falta de recursos y la apatía laboral son problemas clave en torno a la fatiga cibernética de nuestros defensores. Una parte notable de ambos problemas puede derivarse de malas prácticas de contratación. Si escuchamos a los medios de comunicación, los gobiernos, los responsables políticos y las organizaciones, oímos el tema común de que muchos luchan por encontrar y retener el “talento” en nuestro vasto sector. También es demasiado habitual oír hablar de candidatos que trabajan para entrar en la “cibernética” y luego descubren que el puesto que ocupan no es lo que esperaban. Pero, ¿se les consultó, de forma preceptiva, sobre cuáles serían sus funciones? ¿Cuántas descripciones de puestos publicadas representan realmente el trabajo que espera al candidato seleccionado? Ingeniería de detección, cazador de amenazas, análisis forense: todas son especializaciones técnicas profundamente arraigadas en nuestro sector. Sin embargo, ¿definimos claramente estas funciones y responsabilidades cuando necesitamos a alguien desesperadamente?
Como industria, no creo que lo hagamos, y eso es un problema. Contratar erróneamente a especialistas cibernéticos en funciones que no se ajustan a sus aptitudes o a sus objetivos profesionales es una forma segura de dejar a la gente en la estacada. En el mejor de los casos, tendrán que ponerse al día rápidamente en una nueva especialidad; en el peor, les habrás preparado para el fracaso, con toda la fatiga y el agotamiento que les causará no solo a ellos, sino también a los compañeros que inevitablemente se verán afectados.
En el peor de los casos, es aquí donde empieza a aparecer la apatía: “Esto es aburrido. No me apunté para esto”. Es fácil deducir que esta puede ser una de las razones por las que un profesional de la ciberseguridad en activo empiece a rechazar su nueva función: se le ha arrojado a lo más hondo y se espera que nade sin entrenamiento ni orientación, ya que ahora es el responsable de esa función, independientemente de que coincida o no con sus objetivos e intereses profesionales más amplios. Esta falta de apoyo y de recursos genera más fricción e impide una defensa operativa fluida contra las amenazas, hasta el punto de que el 19% de los encuestados declaró que estos problemas contribuyeron a una brecha.
¿Por qué no fomentamos que nuestros equipos de ciberdefensores hagan más de lo que más les gusta y les orientamos hacia la adquisición de mayores capacidades?
Lo que hay que hacer
Este sector necesita desesperadamente una mejor actitud hacia una cibercultura más sana y debe fluir desde lo más alto de la cadena hasta los profesionales individuales. En general, el 49% de los encuestados afirmaron que los miembros del consejo de administración de su empresa no comprendían plenamente los requisitos en torno a la ciberresiliencia; el 46% dijo lo mismo de sus ejecutivos. Esto es preocupante, ya que estas son precisamente las personas que deben rendir cuentas. El riesgo empieza y termina con ellos. Tienen el poder de escuchar. Tienen el poder de priorizar los esfuerzos de la empresa para abordar el problema, ya sea utilizando las capacidades y presupuestos actuales del personal o, si es necesario, optando por reasignar recursos para realizar los cambios necesarios.
Desgraciadamente, los encuestados informaron de que la norma son las palabras vacías y los indicadores no comprometidos de las Altas esferas, y que la falta de comprensión de su responsabilidad conduce a una expectativa incorrecta de la seguridad general de la empresa. Y la falta de comprensión a ese nivel no es por falta de información; en general, el 73% de las empresas informan a sus consejos de administración sobre asuntos de ciberseguridad al menos una vez al mes, y el 66% de las direcciones generales también lo hacen al menos con la misma frecuencia.
Esta crisis de personal es, francamente, una cuestión de gestión adecuada del riesgo. Puede que el hecho de exponer este argumento ante el comité ejecutivo y el consejo de administración haga que la situación cobre sentido: estrés -> fatiga y agotamiento -> rotación de personal, o algo peor. Todos hemos leído historias de cómo pequeñas y grandes empresas han caído víctimas de ciberataques debido a errores de los empleados (o, de nuevo, algo peor). Veamos estas experiencias vividas como punto de partida para ayudar a educar e impulsar un cambio de actitud hacia la ciberresiliencia.
De hecho, en los casos en que se han impuesto multas reglamentarias a directores, miembros del consejo de administración y ejecutivos, puede ser útil pensar en ese tipo de impacto legal y reglamentario como una forma de reasignar el estrés de las bases a la parte superior del organigrama. Plantearlo así puede ayudar mucho a restablecer el nivel de responsabilidad esperado de la dirección y a impulsar el cambio. Los encuestados estarían sin duda de acuerdo; cuando preguntamos si la legislación y los cambios normativos que imponen responsabilidades y obligaciones en materia de ciberseguridad a los consejos de administración de las empresas habían aumentado la atención prestada a la ciberseguridad a nivel de consejo de administración o dirección, el 51% dijo que había ayudado un poco y otro 44% dijo que había ayudado mucho.
Los jefes de equipo y los mandos intermedios serán cruciales para identificar dónde se está imponiendo una carga excesiva a los empleados y, como mínimo, para empezar a mantener conversaciones sobre cómo aliviar y evitar el estrés. Sin embargo, ten en cuenta que se necesitan habilidades de gestión refinadas, ya que limitarse a entrar y preguntar “¿cuál es el problema?” agobiará aún más al empleado.
No existe una solución rápida para el estrés generalizado en el lugar de trabajo. Las actitudes hacia una mejor gestión del estrés, y de hecho hacia la mejora de otras cuestiones culturales problemáticas en la ciberseguridad, se han movido tradicionalmente a un ritmo glacial. Pero al menos se están moviendo, y los líderes tecnológicos pueden mover la aguja en las organizaciones individuales aunque no estén en la cima de la cadena corporativa. Incluso pasos relativamente pequeños pueden reforzar sus equipos de ciberdefensores. Considera los elementos más básicos de su trabajo diario: si tu gente está equipada con la tecnología adecuada para ayudar a minimizar el ruido y las tareas repetitivas, y dotada de procesos que les ayuden a guiarse a través de la identificación y comunicación de riesgos, tendrán una gran base sobre la que construir.
Mantén una cadencia regular de comunicación con los miembros de tu equipo y comprende si se está formando el más mínimo signo de fatiga o agotamiento. Puede ser difícil para los directivos ver esos pequeños factores de estrés individualmente, sobre todo porque muchos defensores se enorgullecen de su capacidad para “aguantar” las malas situaciones laborales, pero los efectos acumulativos del estrés son una auténtica vulnerabilidad. Y aprende también a reconocer los signos de estrés en ti mismo y en tus compañeros. Los trabajos de gestión pueden ser especialmente estresantes, sobre todo para aquellos cuyo papel actual puede incluir menos tecnología y más administración de lo que les gustaría.
La gestión del estrés, y la vulnerabilidad humana que conduce a él potencialmente a todos y cada uno de nosotros, es una habilidad de la que carecen muchas organizaciones. Reconocer el estrés y tomar medidas correctivas para minimizarlo o mitigarlo es una base sólida para construir una gran cultura de ciberseguridad. Esperamos que el simple hecho de preguntar cómo están nuestros colegas (y de normalizar las conversaciones en torno a un tema que a menudo se evita, o se celebra como señal de seriedad en el trabajo, o incluso se trata como tabú) pueda ayudar a los directivos de la infoseguridad a impulsar mejor los resultados positivos en torno a la ciberresiliencia.
