从高级恶意软件到零日漏洞的持续压力,很容易使员工产生职业倦怠和引发潜在危险后果。我们该如何排解这些压力呢?
网络安全是IT职位中唯一一种总是有人24小时试图全天候不间断毁掉你美好一天的工种。2018年一份对全球1600名IT人员的问卷调查发现,26%的受访者将高级恶意软件和零日漏洞列为安全从业者职业压力的首要来源。其他主要问题包括预算限制(17%)和安全人才短缺(16%)。
作为安全从业者,随时 (即便是在周末深夜) 都有可能接到电话告诉你说:你维护的环境已经被攻破,客户数据已经被公布在网上。如今,数据泄露已经不再是什么最坏设想,而是什么时候发生的问题,是压在每个人身上的严重后果——从威胁分析师到CISO都承担着这沉重的压力。
心理健康影响
从高级恶意软件到零日漏洞的持续压力,很容易使员工产生职业倦怠和引发潜在危险后果:
安全人员可能会变得“漫不经心”,忽略可引发严重安全事件的重要线索。
持续的压力可能会造成某些员工离职或者休个长假——这倒未必是件坏事儿。暂时脱离安全工作,可以有机会去探索新的兴趣,然后精神满满地回归。了解自己什么时候扛不住日常安全工作的折磨,是保证职业生涯长青和自身心理健康的关键。
公司可以做点什么?
公司可以采取一些关键的预防措施来辅助缓解网络安全人员的压力,帮助他们保持心理健康。
1. 增设安全主管
不要只设置一位安全主管。独自承担安全压力很容易让人崩溃。更糟的是,如果唯一的主管离开,支持团队就不得不自己试着收拾残局。需有多名主管共同分担压力,处理特定问题。
2. 为安全团队开辟禅意休息区
安全行业中为员工设置社交与游戏区是很常见的现象。确保团队每两个小时可以远离屏幕,有助于他们保持冷静,敏锐和活力满满。过劳的安全从业者很容易犯错,也会更快失去工作积极性。
3. 召唤支援
内部安全团队很快就会不堪重负。有限的资源有时候会让从业人员身兼数职。测试、预防,甚至响应工作都可以外包给托管安全服务提供商。外部资源可承担耗时琐碎的工作,或者专注安全危机时的关键缓解操作,给你的团队以支持。多几双手帮忙,能给你的内部安全团队一片完全不同的天空。
4. 培训与准备
网络战场景中的安全人员必须保持冷静而团结。为事件的强度和速度做好准备,可以在最坏场景发生时更容易保持专注。最重要的是,安全团队手边要有最新的现成操作手册,能在混乱中参考最近的训练经验。给高管们准备一份相应的手册,确保与公共关系(PR)部门和通讯团队步调一致,同样可以令公司能够安然应对安全事件。
如果你是公司首席级高管或者管理着安全团队,你就必须考虑到自己团队所承担的压力,思考该如何帮助他们管理压力。公司安全成熟度水平、团队可用工具与培训,以及可以帮助自己的合作伙伴及其帮助的有效性,也是你应该考虑的问题。
作为安全从业者,须敢于说出自己的精神健康状况和承受的压力水平。要有自我意识,不要害羞。要让主管知道你需要什么资源、支持和培训,才可以更好地发挥你的能力,做好工作。这种上下通达的透明性,能极大提升你的工作质量和个人生活质量。
2018全球IT人员问卷调查: