Il problema del burnout dei CISO (Chief Information Security Officer) è quanto mai reale e il settore sta perdendo personale esperto che ha semplicemente raggiunto il proprio limite di stanchezza, stress e lotte politiche. I CISO ritengono che il loro ruolo richieda requisiti eccessivi e addirittura il 50% sostiene che il proprio datore di lavoro non li metta nelle condizioni giuste per avere successo.
Per toccare un tema quanto mai attuale, potremmo delineare un parallelo tra lo scenario militare e la responsabilità della cyber security in azienda, sottolineando la stretta connessione tra questi due mondi, entrambi incentrati su controllo dei rischi, conseguimento degli obiettivi e gestione delle risorse in ambienti complessi.
Indice degli argomenti
La posizione della leadership
Il compito di un leader, ovviamente, è quello di essere una guida. Tuttavia, ci sono molti modi per farlo, alcuni meno stressanti di altri.
Il conflitto in Ucraina è stato segnato dalla morte di diversi generali russi che si sono trovati in zone di combattimento con l’intento di supportare militarmente i propri soldati, dirigere le azioni e sollevare il morale. Hanno fallito in ogni obiettivo.
Ci si potrebbe chiedere perché si trovassero in prima linea, nonostante il grado ricoperto. La risposta rivela una questione più profonda. La cultura delle forze russe è quella di aspettare ordini dettagliati, diversamente da quella di molte altre forze militari, alle quali vengono dati sia gli obiettivi che la licenza di adattarsi e agire in base alle circostanze. L’assenza di questa responsabilizzazione e fiducia nei confronti dei generali che si trovano in “trincea” richiede che Mosca debba necessariamente mantenersi in contatto con le prime linee.
Esaminando il problema dal punto di vista della sicurezza informatica, dovremmo chiederci se è possibile che anche i CISO si stiano mettendo in una posizione critica. Una delle sfide che devono affrontare è legata a stress e sovraccarico di lavoro che potrebbero esaurire la loro capacità di pensiero e di azione strategica. Spesso ciò può essere attribuito al loro coinvolgimento negli aspetti operativi – risposta agli incidenti, monitoraggio dei problemi e gestione di molte decisioni, anche di piccola entità, – in materia di sicurezza.
I CISO potrebbero migliorare la loro qualità di vita se prendessero maggiori distanze dal coinvolgimento nelle prime linee informatiche (a differenza del modello militare russo) e lasciassero al personale operativo la libertà di lavorare in modo indipendente, entro certi limiti.
Per farlo, dovremmo gestire la situazione sia in alto che in basso. In alto, per alleggerire la pressione del CIO/COO/CEO che desidera costantemente aggiornamenti giornalieri, magari creando un calendario tramite il quale il personale possa allinearsi. E in basso per stabilire i parametri di azioni indipendenti ed escalation, per sostenere le relazioni di cui il personale operativo ha bisogno per portare a termine gli obiettivi e autorizzarlo ad agire.
Non sono obiettivi così semplici da raggiungere, ma l’assenza di questa struttura comporta il coinvolgimento continuo del CISO in prima persona in “scontri a fuoco”, aumentandone lo stress e minando il suo status di C-level, sostenendo la percezione del CISO come “esecutore” invece di leader.
La protezione e l’allocazione delle risorse
Quali sono i vantaggi del “distanziamento”, in particolare quando si tratta di ottimizzare la gestione delle risorse? In termini militari, è sempre importante mantenere una forza di riserva per consentire flessibilità. La riserva può impedire lo sfondamento totale da parte del nemico, tappare falle nella linea o consolidare i successi. Per questi motivi, la sua assenza mette il comandante in una posizione complicata.
Se accade qualcosa di contrario al piano o alle aspettative, il leader deve riallocare le risorse già assegnate e questo può avere molteplici effetti negativi: interrompere la concentrazione, richiedere tempo per riallinearsi, indebolire le iniziative esistenti e sottoporre a maggiore stress le risorse riassegnate, che vengono allontanate dal loro settore specifico per coprire un’esigenza immediata.
Anche in questo caso, il parallelo con la cyber security è evidente. Quasi tutti noi utilizziamo le nostre risorse ogni giorno, sia personali che organizzative, senza risparmiare nulla per far fronte a cambiamenti, incidenti imprevisti o per pensare in modo strategico. È un aspetto che conosco bene. Tutta la mia energia e il mio tempo erano dedicati a rispondere prontamente alle esigenze immediate, lasciando i fine settimana come unica “isola” di tranquillità. Non riconoscevo l’importanza della “riserva” né per il mio team, né per me stesso.
Pianificare le proprie mosse in anticipo
Dal parallelo tra sicurezza informatica e militare discendono una serie di concetti chiave che può valere la pena evidenziare.
Se vogliamo avere una lunga carriera come leader nel campo della sicurezza, è necessario gestire lo stress e prendere sul serio la cura di se stessi:
- Dare al personale la possibilità di agire in modo indipendente. Fornire loro strumenti, relazioni e fiducia di cui hanno bisogno per procedere nel migliore interesse dell’organizzazione, e lasciare loro lo spazio per imparare, assumendosi la responsabilità delle proprie intuizioni e azioni. Forse faranno degli errori, ma si starà costruendo un team molto più capace, individuando anche dei probabili futuri leader.
- Identificare e tracciare le capacità aggiuntive come una metrica e non permettere che vi vengano costantemente assegnati compiti operativi. Utilizzare il tempo risparmiato per iniziative di sviluppo personale, attività di sensibilizzazione ed esperienza aziendale e per la creazione di relazioni che rafforzeranno la capacità del team di affrontare le sfide future.
- Infine, prendersi cura del proprio benessere fisico e mentale. Lunghe ore di lavoro, presentazioni stressanti al consiglio d’amministrazione e la protezione della sicurezza dell’azienda peseranno molto. Programmare del tempo per l’esercizio fisico e prendersi del tempo lontano dall’ufficio.
