211service.com
La nueva amenaza insidiosa de la ciberseguridad: el estrés laboral
Nico Ortega
Los miles de profesionales de ciberseguridad que se reúnen en Black Hat, una conferencia masiva que se lleva a cabo en el calor abrasador de Las Vegas cada verano, se encuentran con un tipo diferente de sesión este año. Una nueva pista comunitaria ofrece charlas sobre una variedad de problemas en el lugar de trabajo que enfrentan los defensores que luchan para proteger al mundo de un ataque de piratería.
Con títulos como Mental Health Hacks: Fighting Burnout, Depression and Suicide in the Hacker Community y Holding on for Tonight: Addiction in Infosec, varias de las sesiones abordar las presiones sobre los equipos de seguridad y el impacto negativo que estos pueden tener en el bienestar de los trabajadores.
Mucha gente en este espacio siente que quiere proteger a sus usuarios, dice Jamie Tomasello de Duo Security, quien es uno de los oradores. Donde esto se convierte en un desafío es cuando las personas están bajo un alto estrés sostenido. Eso aumenta el riesgo de depresión y enfermedad mental.
El impacto en la vida de los ciberdefensores es profundamente preocupante, al igual que las implicaciones más amplias para la seguridad. A pesar de un impulso por una mayor automatización, muchas tareas en defensa cibernética aún requieren mucha mano de obra. Los trabajadores que experimentan problemas de salud mental tienen más probabilidades de cometer errores y de tener problemas de desempeño que requieren que sus colegas tomen el relevo, lo que aumenta la probabilidad de que ellos también cometan errores.
Alta presión, mucho en juego
Esto es más importante que nunca, ya que lo que está en juego ha aumentado drásticamente en el mundo de la ciberseguridad. Los piratas informáticos no solo roban los datos de la tarjeta de crédito y los registros de salud digitales; están atacando los sistemas que rigen las redes eléctricas, las instalaciones de fabricación y otras infraestructuras sensibles.
Sin duda, el estrés en el lugar de trabajo no es exclusivo de la ciberseguridad. Hay muchos otros trabajadores, incluidos socorristas, soldados y cirujanos, que enfrentan una intensa presión en sus trabajos. Otros roles de TI, como los relacionados con el mantenimiento de redes y bases de datos clave en funcionamiento, también pueden ser estresantes.
Pero los expertos de la industria dicen que varios factores se han combinado para crear un problema particular en la ciberseguridad. Uno es el hecho de que los sistemas de TI de todo tipo ahora están constantemente bajo ataque, lo que significa que no hay una meta obvia para el trabajo. Nunca hay un tiempo de inactividad. Es continuo y cada día es una batalla, dice Andrea Little Limbago, ejecutiva de la firma de seguridad cibernética Endgame que ha escrito sobre el tema del estrés en el lugar de trabajo cibernético.
La velocidad a la que los malos están innovando también crea presiones únicas. Los desafíos para mantenerse al día son una locura, dice Jack Daniel, cofundador de BSides, otra conferencia de seguridad que ha destacado los problemas de salud mental.
Escasez de mano de obra
Para empeorar las cosas, la industria enfrenta una escasez de trabajadores calificados. Según una estimación , unos 300.000 puestos de seguridad cibernética solo en los EE. UU. siguen vacantes. Eso significa trabajo adicional, y presión, para aquellos que cubren roles vacantes.
Una encuesta global de 343 ejecutivos de ciberseguridad publicado en noviembre de 2017 por Enterprise Strategy Group y Information Systems Security Association encontró que casi el 40 por ciento de ellos dijo que la escasez de habilidades estaba causando altas tasas de agotamiento y rotación de personal. Realmente hay una necesidad urgente de una investigación más seria sobre esto, dice Daniel.
Sería útil simplemente obtener una línea de base a partir de la cual medir los niveles de estrés en la fuerza laboral cibernética. Dos investigadores de la Agencia de Seguridad Nacional de Estados Unidos, Celeste Lyn Paul y Josiah Dykstra, han realizado estudios internos en la organización, cuyo personal a menudo se encuentra en situaciones estresantes. Han desarrollado una encuesta de estrés que se puede utilizar para un estudio único o como un punto de referencia en curso. Los investigadores discutirán esto en Black Hat y dicen que planean ponerlo en línea el 13 de agosto para que cualquiera pueda acceder a él.
¿IA al rescate?
Si bien se agradecería más evidencia empírica, las empresas ya pueden tomar medidas para abordar los problemas relacionados con el estrés asegurándose de que los ciberdefensores tengan tiempo libre regular, se les aliente a compartir cualquier inquietud que tengan sobre la presión en el lugar de trabajo con los gerentes y se les dé acceso a fuentes de asesoramiento. y asesoramiento sobre problemas de salud mental.
En última instancia, la tecnología también podría ayudar a mejorar las cosas. Hordas de proveedores de software de ciberseguridad están adoptando herramientas de aprendizaje automático como una forma de automatizar cada vez más tareas. Eventualmente, eso podría aliviar parte de la tensión de los empleados con exceso de trabajo, pero antes de que eso suceda a gran escala, se necesitarán muchos más humanos en la primera línea cibernética.