Advertisement

Romboló feszültségek

|

Elég gyakori a kiégés a kiberbiztonságiak körében, minthogy a védelemért felelős szakembereket olyan pozíciókba kényszerítik, amelyekben eleve kudarcra vannak ítélve. Ennek elkerülése érdekében a biztonság nem tekinthető lehetőségnek vagy akadálynak, túl kell lépni a hősi megközelítésen.

Mely jelek utalnak az információbiztonsággal foglalkozó alkalmazottak kiégésére? Mitchell Parker, a CSO magazin tíz évig IT-biztonsági vezetőként tevékenykedő munkatársa cikkében saját tapasztalatai alapján csokorba szedte azokat a kommunikációs és kulturális problémákat, amelyekre a CIO-knak és az üzleti vezetőknek oda kell figyelniük, hogy megóvják cégüket a súlyosabb következményektől.

Hirdetés

Munka helyett kifogások
Ha olyan csapattagokkal dolgozunk, akik nem tesznek semmit a biztonság javítása érdekében, folyton kifogásokat találnak, és nyíltan másoktól várják el, hogy végezzék el az ő munkájukat, akkor komoly, összetett problémával szembesülünk. Egyrészt nem kockázatalapú megközelítést követnek a vállalatnál, másrészt az emberek saját prioritásaikat a szervezet céljai elé helyezik. Ha ezt eltűrjük, súlyos biztonsági problémák elé nézünk, nem tudjuk kontrollálni a részlegünket, végső soron hozzájárulunk ahhoz, hogy a biztonsági szakemberek tétlenül töltsék munkaidejüket.

Minden nagyobb cégnél működik belső auditáló csapat, amelynek feladata, hogy segítsen a potenciális buktatók felderítésében. A problémák megoldása azonban nem az ő feladatuk. Ugyanez a helyzet, amikor a biztonsági részleg kockázatelemzést végez: attól, hogy felfedeznek egy sebezhetőséget, még nem feltétlenül az ő dolguk ennek befoltozása. A biztonság csapatsport, a szervezeteknek egységes fellépéssel kell kiküszöbölniük a kockázatokat, nem lehet a feladatot egyetlen személyre hárítani.

Nincs kockázatelemzés
Ha a kockázatelemzés komoly sebezhetőséget talál, s ezt nem vesszük figyelembe, tétlenül várunk, minket terhel a felelősség, ha történik valami. Például az egészségügyi szervezetek felügyeletét ellátó amerikai hatóság nem szab ki büntetést pusztán azért, mert egy vállalat adatlopási incidens áldozatává vált. Akkor viszont igen, ha az érintett szervezet nem végzett kockázatelemzést, vagy nem javította ki a felfedezett hibákat. Ha egy szervezet bizonyítani tudja, hogy minden szükséges óvintézkedést megtett, a büntetés kiszabásának valószínűsége jelentős mértékben csökken.

Gumiszabályok
Gyakran fordul elő, hogy a felsővezetés megérti a kockázatokat, elfogadja az elhárításukhoz szükséges biztonsági intézkedéseket, a középvezetők ugyanakkor megpróbálják csökkenteni a biztonságra költött összegeket, vagy kellő gondosság nélkül vezetnek be védelmi megoldásokat. Előfordul ilyen hozzáállás a vállalatvezetés egyes tagjai körében is, de sokkal ritkábban, mint gondolnánk.

A középvezetőknek, akik ezt a cikket olvassák, három dolgot kell tudniuk. Először is, a felsővezetés nagy valószínűséggel messziről kiszagolja majd, ha gondatlanul járnak el. Másodszor, szinte biztos, valaki felhívja majd a vezetők figyelmét arra, hogy áthágják a szabályokat, és ezt egy vezetőségi tagra hivatkozva teszik. Végül, ha valamit összebuherálnak, hogy előnyös színben tüntessék fel a tevékenységüket, majd nem tudnak válaszolni a vezetőség kérdéseire, le fognak bukni.

Ha felsővezetőként olvassa a cikket, és megengedi ezt a viselkedést akár aktívan, akár passzívan, komoly biztonsági kockázatoknak teszi ki vállalatát. Megszegi a védelmi szabályokat, ami további problémákat okoz majd a szervezetnek, így például távozhatnak a jó szándékú és hozzáértő biztonsági szakemberek. Ráadásul megteremti a favoritizmus, sumákolás és hátbaszúrás kultúráját, ami egyáltalán nem támogatja a munkatársak cég iránti elköteleződését és a közöttük lévő bizalom kiépülését, továbbá a szervezet hatékony működését.

Hit a hősi kultúrában
Egyike a legelfogadottabb nézeteknek, hogy a sikeres vállalatok egy szuperember köré épülnek. A néhai Steve Jobs, Elon Musk, Larry Ellison, Bill Gates, Michael Bloomberg és Mark Zuckerberg olyan egyedülálló hősök, akik saját erejükből birodalmakat építenek, és hegyeket mozgatnak meg. Bár valóban briliáns elmék és sikeres emberek, mindannyiuk mögött áll egy csapat, amely az irányításukkal minden korábbinál nagyobb eredményeket ért el. Jobs sehol sem tartott volna Steve Wozniak nélkül, Larry Ellison pedig Bob Miner nélkül. Az összes legendás vezető csapatnak köszönheti sikereit. Bár Bill Gates rengeteg kódot írt és jelentős termékeket fejlesztett (például az eredeti Tandy laptopok operációs rendszerét), egy idő után felhagyott vele, átadta a munkát Dave Cutlernek és Mark Russinovichnak.

Tévedünk, ha azt hisszük, hogy a biztonsági feladatokat teljesen rábízhatjuk egy nagyon okos emberre, aki majd - korlátozott erőforrásokkal - megoldja a problémákat, ahogy ez vagy az a híresség rakétákat, okostelefont vagy adatbázist hozott létre. Az eredmény frusztrált nagyon okos ember lesz, aki elmenekül a vállalattól, mert kiég, és elege lesz mindenből.

Ha pedig arra vállalkozunk, hogy mindent magunk csinálunk, mikromenedzseljük a csapatunkat annak bizonyítására, hogy épp olyan szuperemberek vagyunk, mint Elon Musk, annak szintén katasztrofális következményei lehetnek. Először is elüldözzük a vállalattól a feltörekvő embereket, mivel megölünk minden ambíciót. Másodszor, minden esélyét leromboljuk annak, hogy normális életet éljünk, mivel mi végezzük el a többiek munkáját is. Harmadszor, azt sugalljuk az embereknek, hogy nem lehet megbízni bennük, minek következtében a tehetségesebbek ki fognak lépni. Negyedszer, meghonosítjuk a hátbaszúrás mérgező kultúráját, mivel a munkatársak egymást fogják bemártani pusztán azért, hogy jobb színben tűnjenek fel a főnök előtt.

Mindezek hosszan tartó káros hatást gyakorolnak a részleg egészére, mivel az informatikusokat és a biztonsági csapatot nem egyenrangú, hanem alárendelt félként fogja kezelni a többi alkalmazott. Ez marginalizálja az IT-részleget, és lehetetlenné teszi a biztonságiak számára a sikeres munkát, mivel megkerülhetők a CIO felhívásával.

Ami még ennél is fontosabb: komoly kockázatokat okoz, hogy elhallgattatunk minden objektív álláspontot vagy eltérő véleményt, és semmibe vesszük a saját csapatunktól érkező figyelmeztetéseket. Bármennyire tájékozottak vagyunk, nem lehet igazunk az esetek 100 százalékában.

Túlterhelés
Kimeríti a munkavállalók energiáit, ha a nap 24 órájában, a hét minden napján dolgozniuk kell. Amennyiben a szervezet nem ösztönzi a munka és magánélet egészséges egyensúlyának megvalósulását, nem vezet be ezt támogató folyamatokat és stratégiákat, akkor ennek a munkavállalók kiégése lesz a következménye.

Az elképzelés, hogy mindannyian hősök vagyunk, rendkívül káros hatással van a tehetséges szakemberek életére és karrierjére. Olyan vállalati kultúrára van szükség, amely támogatja az egészséges tevékenységeket, a sportolást, a minőségi táplálkozást és a hasznos pihenőidőt. Tiszteletben kell tartanunk a szabadidőt és a munkaórákat. Érdemes feltennünk a kérdést, valóban olyan fontos-e a napirendre tűzött teendő, vagy várhat? Muszáj azonnal elvégezni?

Nem vagyunk szuperemberek, nem várható el tőlünk, hogy azok legyünk. Ha mégis ezt követelik meg, nem alakítható ki egészséges munka/magánélet egyensúly, és az alkalmazottak kiégnek, vagy kilépnek. A túlságosan magas szintű elvárások, annak közvetítése, hogy a gyengeség jele, ha valaki nem fordítja minden idejét munkára, mérgező hatással van nemcsak az alkalmazottakra, hanem családjukra és barátaikra is. Attól, hogy valaki hős akar lenni, még nem kell másokat is feláldoznia.

Végszó
A biztonsági kockázatok hátterében gyakran nem technológiai jellegű problémák állnak. Az alkalmazottak kiégéséhez vezetnek az olyan vállalati kultúrák, amelyek megengedik a kifogások mögé bújást, a munka átpasszolását másoknak, a kockázatok semmibe vételét, a mikromenedzselést, valamint a megbízótól függő gumiszabályok alkalmazását.

Ha feltesszük a kérdést, hogy biztonsági szakembereink miért égnek ki és távoznak, először a vállalatot magát kell górcső alá venni. A fentebb leírt helyzetek megadják a választ, és a problémák oka nem feltétlenül a finanszírozás vagy az erőforrások hiánya lesz.

- Hirdetés
Hirdetés
X
0 mp. múlva automatikusan bezár Tovább az oldalra » Advertisement

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.