olly - Fotolia
Cómo los CISO pueden lidiar con el estrés y el agotamiento de la ciberseguridad
Ser paramédico y trabajar en ciberseguridad le enseñó al CISO Rich Mogull cómo evitar el estrés y el agotamiento. Consulte sus consejos para mantener la salud mental en roles de alto estrés.
Trabajar en servicios médicos de emergencia, o SME, y la ciberseguridad no son tan diferentes como se podría pensar, según Rich Mogull, director ejecutivo de Securosis, una firma de investigación y consultoría de seguridad ubicada en Phoenix, y CISO de DisruptOps, una firma de gestión de automatización de seguridad en la nube, especialmente cuando se trata de salud mental y manejo del estrés.
Mogull ha sido paramédico durante 30 años y ha estado en el campo de la ciberseguridad durante 20. Cuando comenzó como paramédico a principios de la década de 1990, se suponía que cualquiera que ingresara al campo se agotaría en siete años, y la educación sobre el bienestar de la salud mental era poco común.
Las conversaciones sobre estrés y salud mental en ciberseguridad se han vuelto más frecuentes recientemente, y Mogull dijo que la industria de la seguridad puede aprender mucho de SME. Mogull presentó el tema en Black Hat 2020.
Nota del editor: Esta entrevista ha sido editada por motivos de extensión y claridad.
¿Cuáles son algunos de los conceptos para ayudar a lidiar con el estrés y el agotamiento de la seguridad cibernética?
Rich Mogull: Una de las grandes tendencias es el concepto de resiliencia versus antifragilidad. Mucha gente dice que tienes que ser resiliente, compartimentar, cerrarlo. [La idea es] que la resiliencia se trata de cuántos golpes puedes recibir.
La antifragilidad es un concepto diferente: absorba el golpe y aprenda de él. Con resiliencia, no necesariamente debes cambiar. Puedes solo soportar el dolor. Con antifragilidad, lo absorbes y extraes lecciones [de él].
Por ejemplo, yo duermo bien por la noche, pero una gran parte de eso es que, cuando veo algo que desencadena algo en mí, [me pregunto:] ¿Por qué eso me desencadenó? ¿Qué puedo aprender? ¿Necesito salir de la situación? ¿Necesito aclarar mi cabeza mentalmente?
He tenido que hacer eso en seguridad probablemente más de lo que lo he hecho en medicina.
¿Qué recomendaciones daría para las organizaciones que están configurando los procesos para identificar y evitar el agotamiento?
Mogull: Hay tres medidas en el Inventario de Agotamiento de Maslach. Hay extenuación: cuanto más extenuación, más es un indicador de agotamiento. El siguiente es el cinismo: no el escepticismo, sino una perspectiva cínica y negativa de las cosas. El tercero es la autoeficiencia percibida, que es: ¿Estoy haciendo una diferencia?
Esas son las cosas que, como organización, realmente puede mirar. Incluso puede utilizar burnoutindex.org, donde puede realizar un test. Si cree que tiene agotamiento sistémico, puede incorporar personas a su organización para medirlo y ayudar a determinar la causa raíz.
¿Cuál es la mejor manera para que los CISO y los profesionales de la seguridad aprendan a lidiar con la salud mental?
Mogull: Hay cosas bien conocidas que puede hacer para protegerse, comenzando con opciones de estilo de vida saludables. Eso es un factor enorme. Está bien tomar una copa. No está bien beber en exceso todas las noches. Tómese un tiempo libre y tómese unas vacaciones. Trate de evitar rotar demasiado los turnos porque cambiar su horario de sueño puede tener un gran impacto en la salud.
Asegúrese de cambiar de contexto: el trabajo está en el trabajo, el hogar está en casa. Algunas de las personas que se agotan son los investigadores realmente agresivos u obsesivos que pasan todo su tiempo trabajando en seguridad y no tienen distracciones externas que les ayuden a aclarar sus mentes.
Encuentre un grupo de compañeros que sea positivo y no tóxico. Esto es algo en lo que no somos geniales todo el tiempo, y en seguridad hay elementos realmente tóxicos de nuestra cultura. Por lo tanto, elija en qué parte de la comunidad invierte su tiempo y energía.
¿Cómo pueden las organizaciones evitar las culturas tóxicas?
Mogull: Una de las mejores cosas que pueden hacer las organizaciones es fomentar la "cultura justa".
La cultura justa es lo opuesto a la cultura de la culpa. En seguridad, somos terribles en esto. Nos gusta culpar a la gente. Si hay una falla de seguridad, usted se equivocó o culpa a los usuarios.
La cultura justa considera: ¿Cuál es el problema sistémico aquí? Nuestros usuarios son inteligentes y nuestros empleados son inteligentes, entonces, ¿por qué toman esta decisión? Pregunte por qué ocurrió este error. A veces, es que alguien fue imprudente o alguien violó las políticas. Pero, incluso entonces, querrá preguntarse: ¿Por qué violaron esa política? Muchas veces, es el sistema.
Un ejemplo desde la seguridad son las TI en las sombras. Odio ese término. La mayoría piensa que significa 'nuestros usuarios están haciendo cosas que no deberían estar haciendo, así que tenemos que bloquearlas'. Mi definición [de TI en las sombras] es: cosas que mis empleados necesitan para hacer su trabajo y que no les estamos dando.
Lo hacen porque tienen un trabajo que hacer y no sentían que podían hacerlo de la forma autorizada, así que se fueron a otro lugar. En la cultura justa, tratamos de averiguar por qué fueron a otro lugar y resolvemos esa parte del problema.
¿Cómo pueden las personas separar el trabajo del hogar ahora que tantos trabajan desde casa?
Mogull: Si su oficina es solo una esquina de su casa, está bien. Apague el monitor; apague la computadora; cierre la tapa; y no revise su correo electrónico. Yo también he revisado mis correos electrónicos fuera de las horas de trabajo, pero si siento que estoy empezando a agotarme, lo que ha sucedido, los reviso menos y me concentro en hacer otras cosas. En lugar de eso, juegue videojuegos en una computadora diferente a la de su trabajo, o salga a caminar o a pasear. Limpie su cabeza.
Esto es algo que el lugar de trabajo puede respaldar. Si su gerente le está pegando a todas horas, eso no es correcto. Podría tener reglas: ningún contacto fuera del horario de oficina oficial para la región geográfica o zona horaria de los empleados, a menos que se trate de una verdadera emergencia, por ejemplo.
Busque un rincón de su casa y designe que allí es donde está el trabajo, no donde está el resto de la casa. Estamos haciendo esto con nuestros hijos para la escuela. Compramos escritorios baratos de $ 50 en Amazon y los colocamos en las esquinas de la casa, y ahí es donde los niños hacen sus deberes. Está justo al lado de donde juegan, pero saben la diferencia entre los dos.
Por último, active la función No molestar [en su teléfono]. Tiene que poner esas barreras.