Starejte se o své kyberbezpečnostní experty. Hrozí jim vyhoření

Vedoucí informační bezpečnosti (CISO) čelí už několik let krizi duševního zdraví, která se v posledních měsících ještě prohloubila. Můžou za to nejen čím dál zákeřnější útoky, ale i mentální zátěž spojená s přesčasy nebo malé rozpočty na IT bezpečnost. V roce 2024 jsme se dostali do bodu, kdy vyhoření hrozí takřka všem manažerům kyberbezpečnosti. Co s tím?

„Kyberbezpečáci nikdy nespí,“ trefně poznamenal už v roce 2019 poradce pro bezpečnostní strategii a CISO Joseph Carson v podcastu CISO Talks. Odpovědnost bezpečnostních týmů podle něj nekončí odchodem z práce – riziko incidentu existuje 24 hodin denně, 7 dní v týdnu. Nízké firemní rozpočty a zdroje pak nutí bezpečnostní experty pracovat nepřetržitě, jen aby udrželi organizaci v chodu, a často za to ani nejsou patřičně oceněni. Když k tomu přidáte skutečnost, že nové typy útoků vznikají čím dál rychleji a navíc automatizovaně, zatímco IT infrastruktury firem nabývají na komplexitě, nikoho nepřekvapí, že sedíme na sudu se střelným prachem.

V říjnu 2024 psal o krizi duševního zdraví u bezpečnostních pracovníků také Forbes, který citoval nedávný výzkum společnosti BlackFog. Ten upozornil na to, že téměř čtvrtina ředitelů CISO a pracovníků s rozhodovací pravomocí v oblasti bezpečnosti IT aktivně zvažuje odchod ze své pozice, přičemž 93 % z nich uvádí jako hlavní příčinu přetížení a stres.

Organizace čelí rostoucímu tlaku ze strany stále sofistikovanějších kybernetických hrozeb, včetně útoků založených na umělé inteligenci. Pro vedoucí informační bezpečnosti to znamená, že pracují déle a s menšími zdroji v poměru k aktuálním hrozbám, jak zmiňuje v podcastu Joseph Carson.

NIS2, umělá inteligence a nové standardy pro hesla. 3 témata, která byste neměli minout

NIS2, umělá inteligence a nové standardy pro hesla. 3 témata, která byste neměli minout

Zobrazit článek

Na pracovníky s rozhodovací pravomocí v oblasti kybernetické bezpečnosti se přitom kladou rozsáhlé požadavky. Jsou zodpovědní nejen za prevenci kybernetických útoků a malwaru, ale také za implementaci řešení, která jsou efektivní, ale zároveň nedemotivují či nezpomalují zaměstnance při práci.

Potřeba vyvážit bezpečnostní opatření s cílem minimalizovat riziko incidentů a praktickou i finanční stránku zvolených bezpečnostních řešení pak navíc často staví vedoucí pracovníky v oblasti bezpečnosti do konfliktu s vrcholným managementem, čímž se k vysoké odpovědnosti za hladký chod celé organizace či bezpečnost citlivých údajů přidává ještě nutnost umět dobře komunikovat.

Rozpočet na kyberbezpečnost: Kolik a do čeho investovat?

Rozpočet na kyberbezpečnost: Kolik a do čeho investovat?

Zobrazit článek

Navíc mají nejvýše postavení lidé ve firmách podle studie BlackFog tendenci zhoršovat situaci tím, že většinu odpovědnosti za případné škody při kyberútoku kladou na bedra bezpečnostních manažerů. Zejména ve Spojených státech je trendem stíhat jednotlivé vedoucí pracovníky bezpečnosti za jejich osobní podíl na incidentech. Potenciální trestní odpovědnost či vysoká pokuta v případě pochybení pak jen přidává další vrstvu vnitřního napětí.

Je to vážnější, než si možná myslíte

Platforma CISO Community Netherland uvádí, že se v listopadu 2024 se symptomy vyhoření potýkalo 74 % odborníků na kybernetickou bezpečnost. Z této skupiny skoro polovina respondentů přiznala, že trpí vážnými duševními i fyzickými obtížemi souvisejícími s vyhořením, a čtvrtina vykazovala středně závažné příznaky.

Samotný syndrom vyhoření (a to nejen kyberbezpečáků) přitom obvykle probíhá v pěti fázích, které provází celá řada příznaků. První fáze vyhoření představuje nadšení, kdy zaměstnanec vykazuje vysoký optimismus, nabírá si hodně práce, a co je důležité: snadno přejímá zmíněnou odpovědnost. V další fázi už ale nadšení střídá stagnace a stres, kdy může docházet k problémům se spánkem, zanedbávání osobních potřeb, zvýšenému krevnímu tlaku a poruchám koncentrace. V následující fázi pak nastupují nemoci a chronické vyčerpání, vyšší tendence k závislostem a řetězení problémů i bludný kruh úzkosti. Tyto příznaky se pak zesilují a kumulují, až dojde k úplnému vyhoření, které charakterizuje chronická duševní i fyzická únava, smutek, deprese, pocit prázdnoty.

Osobní odpovědnost i firemní kultura

Syndrom vyhoření u vedoucích pracovníků CISO zahrnuje dvě úzce provázané roviny: tu první představuje osobní odpovědnost, kterou nese každý člověk za péči o vlastní duševní zdraví. To se týká práce s osobními hranicemi, sebepoznání, případně využití psychoterapie k pochopení vlastních profesních, fyzických a kapacitních limitů a nazření nevědomých příčin, které mu mohou bránit v ochraně sebe sama a vyváženosti. Na straně druhé má ale na tyto pracovníky rovněž velký vliv firemní kultura, která může zásadně ovlivnit jejich pracovní podmínky a přispět k prevenci nadměrné zátěže v této náročné roli.

Téměř 98 % respondentů ve studii BlackFog uvedlo, že pracují nad rámec svých smluvních hodin, přičemž průměrný CISO pracuje navíc devět hodin týdně. V extrémních případech 15 % respondentů pracuje více než 16 hodin týdně nad rámec své smluvní pracovní doby. Toto pracovní přetížení není dlouhodobě udržitelné. A navíc fakt, že je tolik vedoucích pracovníků v oblasti bezpečnosti připraveno z oboru odejít, znamená pro tyto organizace významné problémy.

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

Zobrazit článek

Bezpečnostní experti nejsou jednoduše nahraditelní, na pracovním trhu jich je nedostatek a jejich absence může otevřít prostor pro vznik nových zranitelností ve vašem zabezpečení.

Způsoby, jak podpořit CISO pracovníky

Nabídněte flexibilní pracovní podmínky

Umožněte CISO pracovat flexibilně, například zavedením pružné pracovní doby nebo hybridního pracovního modelu, kdy mohou kombinovat práci z domova a z kanceláře. Tyto podmínky pomáhají snižovat stres a usnadňují vyvážení profesního a osobního života, což je klíčové v tak psychicky náročné roli.

Zvyšte rozpočet a poskytněte více zdrojů

CISO často narážejí na limity svých rozpočtů a nedostatek personálu. Celkem 41 % respondentů uvedlo, že jim nedostatečné rozpočty brání v přístupu k bezpečnostním nástrojům potřebným k efektivnímu výkonu jejich práce, zatímco 40 % respondentů zmiňovaného výzkumu společnosti BlackFog tvrdí, že potřebují více času, aby se mohli věnovat důležitým problémům. Přidělením dodatečných zdrojů mohou organizace částečně zmírnit tlak na pracovní zátěž, což umožní ředitelům CISO přijmout strategičtější přístup ke kybernetické bezpečnosti.

Podporujte otevřenou komunikaci a zdravé hranice

Povzbuzujte CISO, aby komunikovali o svých limitech a prioritách. Umožněte jim říkat „ne“ nebo „potřebuji více času“, když je na ně vyvíjený tlak na řešení neadekvátně velkého množství úkolů. Vytvořte prostředí, kde je nastavování realistických očekávání považováno za profesionální přístup, nikoliv slabost. Umožněte jim, aby si brali volno a mohli se od práce zcela odpojit.

Nastavte realistické cíle a očekávání

Společně s CISO stanovte dosažitelné cíle na základě dostupných zdrojů a kapacit. Vyhněte se stanovování nerealistických očekávání, která vedou k frustraci a vyčerpání. Dobře nastavené cíle podporují efektivitu i motivaci, přičemž udržují pracovní zátěž v přijatelných mezích.

Co si z článku odnést?

• Krize duševního zdraví mezi vedoucími kyberbezpečnosti se prohlubuje, přičemž téměř čtvrtina zvažuje odchod kvůli stresu a přetížení způsobenému nonstop odpovědností za ochranu firem před sofistikovanými útoky.
• Pracovníci často čelí konfliktům s managementem, který na ně přenáší odpovědnost za případné škody při útocích, což zvyšuje stres a riziko vyhoření; navíc mnozí CISO pracují týdně až o 16 hodin navíc.
• Studie BlackFog uvádí, že 74 % odborníků na kybernetickou bezpečnost trpí příznaky vyhoření, což zahrnuje jak duševní, tak fyzické obtíže – od problémů se spánkem po chronické vyčerpání a úzkosti.
• Firmy by měly podpořit CISO flexibilními pracovními podmínkami, vyššími rozpočty a většími zdroji, stejně jako otevřenou komunikací a realistickými cíli, aby se předešlo přetížení a odlivu expertů.
• Nedostatek kvalifikovaných bezpečnostních pracovníků zvyšuje riziko zranitelností, což podtrhuje nutnost změny firemní kultury směrem k větší podpoře duševního zdraví a udržitelnosti práce.

Kateřina Benešová
Marketingový specialista pro B2B