Imagine la escena. El jefe de seguridad de TI en un negocio importante acaba de administrar a su equipo a través de varias semanas de trabajo agotador en contención y recuperación después de lo último ransomware ataque. Sus sistemas críticos están de vuelta en línea, pero después de un tiempo constante y noches de insomnio, el equipo se está deshilachando visiblemente; La moral es baja, la ansiedad es alta y hay más de un escritorio vacío donde el personal mayor ha tomado una licencia por enfermedad extendida.
Este tipo de escenario rara vez llama la atención en la prensa, donde el enfoque de los ataques cibernéticos está en ganancias y pérdidas, el impacto en los clientes y los resultados. Pero los ataques serios también afectan a los equipos de seguridad, y las consecuencias pueden persistir durante meses, dejando a la organización aún más vulnerable a las amenazas futuras.
La verdadera resiliencia cibernética, entonces, no puede medirse únicamente por los sistemas restaurados o descifrados de datos; también debe tener en cuenta las personas cuyo bienestar determina no solo cuán rápidamente se recupera una organización sino si puede resistir el próximo ataque digital.
CEO y fundador de BlackFog.
El impacto interno oculto de un ataque
El impacto de un ataque generalmente se pesa por el tiempo de inactividad del sistema, los negocios perdidos y el daños potenciales de reputación, legal y regulatoria. Las estrategias cibernéticas exitosas se miden en términos de métricas clave como el tiempo medio para detectar y responder a los incidentes.
Pero cuando el humo se despeja y los sistemas están de vuelta en línea, el costo humano para el personal que lidia con el ataque rara vez se fija en los informes de las partes interesadas.
Un estudio histórico de Rusi y la Universidad de Kent encontraron que ciberseguridad El personal con frecuencia experimenta síntomas similares a TEPT, desde ataques de pánico hasta insomnio, mucho después de que se haya resuelto una crisis.
Esto da como resultado una segunda ola de interrupción como licencia por enfermedad y disminución de la moral a través del departamento y continúa afectando al resto de la compañía. Los equipos de seguridad de TI y de seguridad lucharán para mantener la línea de base de la compañía seguridadaumentando aún más su exposición al riesgo.
Una importante firma de servicios financieros en el estudio de la Universidad de Kent reflejó que colocar a sus ingenieros agotados en la licencia de jardinería inmediatamente después de una crisis de ransomware podría haber evitado “meses y meses” de la posterior ausencia de enfermedad y ahorró a la organización los costos ocultos del agotamiento.
En resumen, los ataques graves como el ransomware no solo poseen datos de datos; También atrapan a las personas en un ciclo de agotamiento y miedo. Si las organizaciones tratan el bienestar del personal como una ocurrencia tardía en lugar de un elemento clave en la defensa de primera línea, corren el riesgo de permitir que el capital humano se convierta en el vínculo más débil en su estrategia de resistencia cibernética.
La creciente crisis de liderazgo cibernético
Si bien el personal en la primera línea de la respuesta y la contención de incidentes sufren de estrés y exceso de trabajo, las cosas a menudo son aún peores más alto en la cadena. Los CISO y otros líderes de seguridad de alto nivel generalmente son responsables por cualquier incapacidad de prevenir o contener una violación, y es una responsabilidad que pesa mucho.
Los líderes pueden ser responsables personalmente de las crisis que pueden carecer del presupuesto, el personal o la influencia organizacional para abordar. Además de la tensión, el éxito en este campo con frecuencia permanece invisible: un CISO y su equipo pueden detener cientos de intentos de ataque diario sin fanfarria, pero una sola violación puede significar una catástrofe de fin de carrera.
Poner en horas adicionales para mantenerse al tanto de esta carga de trabajo es una práctica estándar y nuestra investigación encontró que el 98% de los líderes de seguridad admiten registrar rutinariamente nueve horas adicionales a la semana además del tiempo contratado mientras intentan mantenerse a la vanguardia, con un 15% más allá de dieciséis horas.
Subcibinadamente, más de la mitad de los encuestados dijeron que están explorando activamente nuevos roles. Esta sería una estadística preocupante para cualquier industria, pero es especialmente perjudicial en el campo de ciberseguridad con una sequía de habilidades a largo plazo. Cuando se va un líder de seguridad de TI, toman años de experiencia y conocimiento ganados con esfuerzo con ellos, dejando la seguridad de la compañía en una base menos estable.
Las organizaciones deben proteger su talento de seguridad
Si las personas responsables de sus defensas están agotadas, no cortafuegos puede evitar efectivamente la implacable marea de agotamiento. Las empresas deben integrar la resiliencia humana en su marco de respuesta a incidentes, un proceso que comienza mucho antes de que se active una alerta.
Sin embargo, no tiene por qué ser un ejercicio de recursos pesados para la organización. Por ejemplo, nuestra investigación encontró que el 65% de las organizaciones ya ofrecen horas flexibles y el 62% permite el trabajo híbrido o remoto como estándar. Medidas simples como este Grant del personal un sentido de control y espacio para recargar.
A mayor escala, las empresas deben asegurarse de que tengan un marco para proteger al personal de seguridad, especialmente los roles de liderazgo donde cae la carga más pesada. Los CISO deben sentirse empoderados en un nivel estratégico con las herramientas y la influencia para proteger adecuadamente a la empresa, no de que la izquierda luche por hacerlo.
Cuando ocurre un incidente, las secuelas y la fase de recuperación deben centrarse en conversaciones con visión de futuro sobre lo que sucedió y lo que se puede mejorar la próxima vez. Este apoyo es aún más importante ya que vemos una tendencia creciente hacia la responsabilidad personal y la responsabilidad legal cuando no se siguen los procedimientos para informar.
Eliminar el estigma del estrés de seguridad
Junto con procesos de seguridad específicos, también hay un elemento psicológico fuerte aquí también. La naturaleza de alto estrés de la ciberseguridad debe ser reconocida y acomodada abiertamente, no tratada como una carga que CISOS debería ocultar. Las conversaciones sobre la salud mental deben normalizarse, y las empresas deben considerar los controles de bienestar para detectar señales de advertencia temprana de agotamiento.
La comunicación es una parte clave de esto. Durante un incidente, el equipo de seguridad debe sentirse conectado con la compañía que está protegiendo, no de forma aislada, y debe tener un proceso de informes para alimentar los desafíos y las preocupaciones si necesitan apoyo adicional.
Cuando se ha resuelto un ataque, un cheque de bienestar del equipo debe ser una parte estándar del proceso posterior a la incidente. No todos los miembros del equipo tendrán la misma resistencia frente a una crisis estresante, y no todos los incidentes afectarán lo mismo. Las empresas deben ser conscientes de quién está luchando y brindarles apoyo según sea necesario.
Resiliencia más allá de la recuperación
El ransomware puede ser un problema de seguridad, pero su verdadero impacto se desarrolla en términos humanos: noches de insomnio, nervios deshilachados y el éxodo de talento que sigue a un agotamiento no abordado.
Al incorporar las medidas de las personas primero en su estrategia de resiliencia cibernética, puede asegurarse de que su organización no se debilitará desde adentro después de una violación. La verdadera prueba de resiliencia no debe tratarse únicamente de restaurar los sistemas rápidamente; También debe evaluar cuán efectivamente protege y preserva a las personas que las defienden.
Enumeramos el mejor firewall para pequeñas empresas.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
