Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Affaticamento e burnout nel mondo della Cybersecurity. Ma una soluzione forse c’è e parte dai Leader

Daniela Farina : 8 Novembre 2023 07:51

Lo stress può condizionare la nostra vita, ma può anche aiutarci nella stessa.

Le moderne condizioni di vita spingono spesso le persone a confrontarsi con stimoli e situazioni che mettono a dura prova il nostro organismo, causando un alto livello di stress negativo.
Anche se ogni persona possiede una propria capacità di rispondere adeguatamente allo stress (resilienza), è possibile individuare fattori emotivi e situazionali che causano una maggiore vulnerabilità allo stress negativo.

Lo stress e il troppo lavoro stanno mettendo a rischio la Cybersecurity, lo conferma l’ottavo rapporto annuale Global Incident Response Threat Report di Wmware, pubblicato in occasione del Black Hat Usa 2022.

Supporta Red Hot Cyber attraverso

Uno dei settori nel quale è stato registrato un alto livello di casi di “stress da lavoro correlato” è stato proprio quello Cyber che negli ultimi anni ha dovuto fronteggiare una continua crescita di attacchi informatici.

Complessità, alto rischio, risorse limitate, stati prolungati di allerta creano un ambiente perfetto per l’insorgere dello stress e del burnout.

Prima di poter affrontare la tematica dello stress lavorativo bisogna introdurre la parola “stress” all’interno di un quadro complessivo che illustri quest’ultima come un fenomeno adattivo nonché disadattivo con i suoi elementi e le varie tipologie che lo contraddistinguono.

Cos’è lo stress

Uno dei grandi protagonisti della società moderna e dello stile di vita contemporaneo è senza dubbio lo stress. Il termine preso in prestito dalla fisica indica la pressione esterna che può danneggiare un oggetto o fargli perdere la sua forma.

Lo stress è dunque una forza che può causare delle vere e proprie modificazioni a livello fisico. Dal punto di vista psicologico lo stress, o Sindrome Generale di Adattamento, viene definito come la risposta messa in atto da un organismo di fronte a qualsiasi richiesta proveniente dall’ambiente.

Così come esistono fattori di stress (stressor) negativi, che mettono in tensione il nostro organismo, riducendo anche le sue capacità immunitarie (distress), allo stesso modo possono esistere anche forme benefiche, che attivano positivamente l’organismo (eustress).

Stress buono e stress cattivo

Lo “stress buono”(eustress) indica un’alterazione non patologica dell’omeostasi individuale che svolge una funzione adattiva, utile nello spingere l’individuo a far fronte agli ostacoli utilizzando le proprie risorse. Mentre, “lo stress cattivo” (distress) viene indicato come un turbamento patologico dell’omeostasi individuale oppure un modo sbagliato di affrontare lo stress, e può avere conseguenze dannose per l’individuo causando l’insorgenza di malattie .

Gli effetti negativi o positivi possono dipendere dal rapporto di due fattori: la gravità dell’evento stressante e dal modo con cui la persona può affrontare lo stress.

Se questo rapporto risulta sproporzionato può diventare dannoso. Infatti, quando si è sottoposti a un livello eccessivo di stress, non solo l’organismo subisce un attacco dall’interno, ma diminuiscono anche le sue capacità di difesa dal mondo esterno.

La mente e il corpo di una persona diventano maggiormente vulnerabili.

Effetti dello stress

Tra gli effetti sull’individuo evidenziamo quelle che sono le reazioni emotive, come gli aumenti della tensione, l’irritabilità e il malumore. Anche le reazioni d’ansia insorgono frequentemente soprattutto quando il soggetto si rende conto di non essere più all’altezza di affrontare alcune responsabilità e incorre in errori, ritardi o dimenticanze significative. Tutti questi sintomi sono transitori quando la situazione si mantiene a livelli minimali, ma possono strutturarsi in sintomi quando il livello di stress e la sua durata non ne consentono il recupero.

Le più comuni reazioni emotive del soggetto sono: paura costante; incapacità di prendere decisioni; tensione e nervosismo; maggiore predisposizione al pianto; paura di sbagliare; frustrazione e aggressività; sensazione di vuoto mentale; sensazione di trovarsi sotto pressione; istinto di fuggire; difficoltà di concentrazione.

Stress nel personale della Cybersecurity

Come testimonia una ricerca di Trend Micro intervistando 2300 professionisti della sicurezza informatica di 21 Paesi, lavorare nella cyber security può essere stressante ed emotivamente impegnativo, a causa della grande quantità di alert da gestire e di minacce informatiche in continua crescita.

Molti professionisti hanno sostenuto di non riuscire a rilassarsi, di essere spesso irritabili con parenti e amici, di sentire la necessità di doversi allontanare dal computer perché sopraffatti dal lavoro.

Per quale ragione accade tutto ciò?

Un attacco informatico, oltre agli stop dell’operatività ed agli enormi esborsi di denaro necessari a ripristinare i sistemi può mettere sotto pressione il personale .

La natura specifica del lavoro, infatti, richiede particolare attenzione ai dettagli, interventi in orari extra lavorativi per far fronte a situazioni di crisi, spesso in autonomia e senza strumentazione adeguata.

Inoltre nella sicurezza il tempo è la fonte principale dello stress in quanto è il tempo di reazione che fa la differenza.

Il personale specialistico si trova spesso quindi sotto pressione per ripristinare il sistema e per garantire la sicurezza informatica dell’azienda. Deve comunicare con il Management, spiegando la situazione e soprattutto deve fornire un continuo aggiornamento sul ripristino del sistema. Può lavorare quindi molte ore, consecutivamente, in condizioni di “distress”.

Vive così dei veri e propri giorni di fuoco e corre sempre contro il tempo!

L’ansia e la paura

Le persone spesso si sentono il capro espiatorio perfetto laddove i meccanismi di verifica e di controllo sono inesistenti o male implementati e le procedure non sono chiare o non sono state comunicate.

Da qui ansia e paura si trasformano in una miscela esplosiva che mina la salute psico fisica dei singoli e dell’ambiente circostante.

Steven Stone ha dichiarato : “I cyber attacchi continuano a produrre un forte impatto sulle organizzazioni globali, con effetti che si stanno via via aggravando. Oltre all’aumento della frequenza e dell’impatto degli eventi informatici, sono gli individui in prima linea che subiscono un colpo psicologico al loro benessere.

La fiducia è diminuita e l’ansia è aumentata.

Senza un approccio proattivo e affidabile per difendersi dalle moderne minacce informatiche e rafforzare la fiducia nella capacità di un’organizzazione di risolvere questi eventi informatici, questi impatti – sia umani che organizzativi – continueranno a peggiorare e ad alimentarsi a vicenda”.

Fattori di stress

  • Ambiente di lavoro: scarsa illuminazione, alta temperatura, freddo eccessivo, cattiva ventilazione, correnti d’aria, rumori, spazi insufficienti, scarse condizioni igieniche;
  • Pianificazione e progettazione dei compiti: mancanza di varietà, cicli di lavoro brevi, lavoro frammentario o privo di significato, ripetitività, sottoutilizzo delle capacità e delle abilità, delle strutture e delle attrezzature di lavoro, incertezza elevata;
  • Cultura e funzione organizzativa: una scarsa comunicazione, bassi livelli di sostegno per la risoluzione dei problemi, la mancanza di definizione di obiettivi aziendali;
  • Ruolo nell’organizzazione: ambiguità del ruolo e conflitti di ruolo, responsabilità di persone;
  • Sviluppo di carriera: stagnazione e incertezza della carriera, promozione al di sopra o al di sotto delle proprie aspettative e capacità, bassa retribuzione, precarietà del posto di lavoro, basso valore sociale del lavoro;
  • Carico di lavoro/ritmo di lavoro: carico di lavoro eccessivo o scarso, mancanza di controllo sul ritmo, livelli elevati di pressione in relazione al tempo.
  • Orario di lavoro: lavoro per turni, orari di lavoro non flessibili, orari imprevedibili, lunghi o impossibili, superamento dell’orario ordinario.
  • Continuo aggiornamento: formazione continua sulle nuove tendenze e sulle tecniche e tattiche utilizzate dagli aggressori.

L’importanza della formazione continua

La formazione in cybersecurity non è solo una scelta strategica, ma spesso è un obbligo normativo. Molte normative nazionali e internazionali richiedono che coloro che lavorano nel settore dimostrino di essere costantemente aggiornati e competenti, attraverso l’attestazione dei corsi seguiti. La formazione continua da una parte è un’arma di difesa vincente per aumentare la consapevolezza e la sensibilizzazione sui rischi legati alle minacce online, nota come “cyber awareness”. Dall’altra è un fattore di stress in quanto non può limitarsi ad un evento isolato o sporadico. 

Il ruolo del leader

I leader costituiscono i più significativi “climatizzatori” e/o “stressatori” dei loro ambienti organizzativi.

I climi diffusi in un’organizzazione sono spesso il sintomo dei climi indotti dai pochi leader altamente influenzabili e la psicologia del leader contribuisce alla micro antropologia del suo ambiente di lavoro.

Il compito dei leader è ovviamente quello di essere una guida. Tuttavia ci sono molti modi per farlo.

Un leader non è solo un capo, oltre a dirigere un’azienda, si distingue per la capacità di supportare e motivare i collaboratori, guidandoli verso il raggiungimento di un obiettivo.

Vediamo insieme quali sono le principali competenze che dovrebbe avere e soprattutto cosa dovrebbe fare per contenere il livello di stress del proprio team.

Elenco delle competenze

  • Condivisione di vision e mission al team
  • Dare l’esempio
  • Comunicare ai dipendenti in modo efficace
  • Saper ascoltare
  • Assumersi le responsabilità
  • Saper coinvolgere il proprio team
  • Gestire lo stress (proprio e degli altri)
  • Prendersi cura del proprio benessere fisico e mentale

Incoraggiare il team a rallentare il ritmo lavorativo

Gli hacker non lavorano dalle 9 alle 17 ed i professionisti IT e della sicurezza delle informazioni generalmente non si riposano abbastanza, afferma Itumeleng Makgati, responsabile della sicurezza delle informazioni di gruppo presso Standard Bank.

I nostri ruoli ci richiedono di essere vigili, produttivi ed energici”, afferma. “Non potete fare tutto questo se non vi riposate abbastanza”.

Può sembrare contro intuitivo, ma richieste maggiori richiedono maggiori sforzi per prendersi cura della salute mentale.

Incoraggiare il monotasking

La definizione chiara e una tantum delle priorità delle attività e la definizione di traguardi che non si sovrappongono possono aiutare i team a ridurre al minimo lo stress.

Anche evitare la trappola di confondere l’urgente con l’importante è un ottimo modo per mitigare lo stress inutile.

Il multitasking e il non essere pienamente presenti, in realtà, rendono un’azienda più suscettibile all’ingegneria sociale.

Me ne sono resa conto quando ho fallito uno dei nostri test di simulazione di phishing interni. Ho creduto all’e-mail di phishing, non perché non conoscessi i pericoli dell’ingegneria sociale o perché non sapevo come individuare i segnali di allarme, ma perché ero distratta.

Ero multi-tasking e leggermente ansiosa in quel momento”(Anna Collard sviluppatore e fondatore di contenuti creativi per la consapevolezza della sicurezza)

Esercitare empatia e comprensione

Avere il giusto “cyber thinking” e il giusto processo decisionale in una sala riunioni può avere un impatto immenso sulla prevenzione di situazioni stressanti.

La costruzione di una cultura della sicurezza riguarda più la psicologia umana e la scienza comportamentale che la tecnologia.

Pertanto, i leader IT devono comprendere le motivazioni e le aspettative delle persone e creare un meccanismo di supporto per massimizzare il potenziale individuale e di squadra.

Conclusione

Il rafforzamento del fattore umano e soprattutto la prevenzione ed il supporto per la corretta gestione del controllo emotivo deve diventare la giusta mentalità per efficientare i processi produttivi delle aziende.

Un cambio di passo doveroso in uno scenario come quello attuale

La sicurezza informatica è una responsabilità condivisa tra chi progetta i sistemi, chi fornisce i requisiti di sicurezza da implementare, chi ne esercisce le funzionalità; chi le utilizza e chi è manager.

La regola di base per prevenire e governare lo stress risiede nella consapevolezza delle cause da parte di tutti.

L’adozione di politiche aziendali orientate al benessere e un equilibrio sostenibile tra lavoro e vita privata può aiutare a fronteggiare il crescente livello di stress a cui sono sottoposti gli specialisti, al netto della passione per il proprio lavoro che spesso accomuna molti professionisti e che costituisce un requisito imprescindibile per lavorare in questo settore.

Daniela Farina
Laureata in Filosofia e Psicologia, counselor professionista, appassionata di work life balance e di mindfulness, a supporto di un team di cyber security tester in TIM S.p.a.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009