压力使人倦怠，倦怠让安全漏洞百出

原创 管窥蠡测 安在 2024-03-20 18:06

安全工作常常伴随着巨大的压力，特别是在当下威胁不断演变、攻击者不断增多的时代里，各行各业都面临风险问题。因此安全部门的工作压力日益膨胀，每位安全人员都会对工作产生倦怠心理，更不要说数字化转型步伐不断前进，安全人员正可谓背负着让人无法想象的责任和重担。

在这不可预测、不断变化的环境中，安全人员并没有明确的解决方案可用来抵挡日益复杂的攻击，他们会为此承受长时间的工作压力。许多安全团队人手不足、时间紧迫、缺乏资源，这些现实状况会让压力进一步加剧。盖洛普首席执行官Jon Clifton对此表示，每天只要一浏览关于网络安全的新闻，就会冒出大量和安全人员压力有关的内容，这在当下似乎已经见怪不怪了。

Clifton说：“在过去的十年里，压力、悲伤、痛苦、担忧等负面情绪增加了10%。如果说我们将这一数值替换成全球失业率将会如何？毋庸置疑，失业将会在明天引爆世界上每个国家的头条新闻。但如今此数值只是关乎压力，所以它被轻易忽视，因为没有人会真正关注员工的感受。”

盖洛普最新全球工作场所状况报告和研究显示，44%的员工认为他们的工作会给自己带来极大的压力，其中网络安全人员的占比最高。而自该公司2009年开始衡量员工生活水平以来，他们发现，大部分员工对自己的生活水平感到悲观，约33%的员工在工作中经历了愤怒、压力和悲伤。

01

压力会使决策能力受损

盖洛普研究指出，压力对我们的决策能力有着重大影响。国外某学术论文曾阐明，压力会降低一系列认知功能，比如注意力、工作记忆和执行功能等，而这些功能对决策的有效性至关重要。显然，这样的损害可能会使得人们处理信息的能力不断下降。

此外，研究还发现，压力会对我们的情绪决策产生影响，即压力往往会使决策转向更情绪化的思维，而不是理性思维。这种情绪偏见会导致冲动或考虑不周等问题。

对网络安全行业来说，压力也会影响安全人员对风险的认知，比如在实际工作中，会让安全人员认为所预估的风险比现实情况严重得多。而这种风险认知的改变，可能会使相关决策变得更为保守。

02

对网络安全的影响

安全公司Hadamard的研究表明，压力除了对生产力、员工敬业度和忠诚度等皆有影响外，也会对网络安全产生极其重大的负面影响。

该公司访问了来自英国各地的网络安全从业人员，所得出的结论与盖洛普研究相似。比如，超过一半的受访者表示，自己在网络安全工作中感到压力、疲惫和沮丧。因此，研究人员认为，在工作中犯错是不可避免的，随之而来的工作倦怠和最终的辞职同样不可避免。而考虑到该行业已经面临了严重的技能短缺，所以就现阶段而言，压力问题是安全行业的重中之重。

Hadamard解释道：“网络安全人员通常是热情高涨的，他们有强烈的个人责任感，所以才会选择该行业，才会保护自己的组织，他们在工作中的表现往往会超越自己的职责。然而，如果没有适当的支持和资源，他们与生俱来的激情反而会害了他们，并会让他们成为最无辜的受害者。对安全团队来说，他们往往人手不足，因此许多网络安全人员会背负报告的压力，和其他部门相处的压力，以及不可持续的压力。在这样的背景下，安全从业人员犯下错误的可能性会大大增加，最后会导致他们对安全工作的积极性也越来越低。”

研究指出，超过40%的网络安全从业人员认为自己无法充分应对他们所面临的各种威胁；另有43%的受访者表示，公司令他们几乎没有能力去应对潜在威胁。事实上，近1/4的安全从业人员觉得，由于网络安全事件的类型太多，只让他们自己去应对好这各式各样的威胁，是几乎不可能的。

03

减轻压力的一些建议

那么，怎样才能减轻安全从业人员的压力呢？Hadamard和Clifton所在团队提出了以下建议。

首先是要寻找更多元化的安全团队。Clifton表示，这不仅可以给团队带来新的想法，而且通过更广泛的领域和角度，安全部门更有可能填补现阶段的技能缺口。“当人们具备不同的维度、地域、文化、年龄、宗教和种族时，我们可以看到，团队在文化和适应度方面会有不同的启发，多元化的队伍能带来不一样的文化特色，同时他们也会提供更多新的想法和观点。而在这个维度上，我们需要思考的是在哪里可以找到这些人才？如何确保他们能得到适当的培训？”

其次是要试着减轻安全人员的负担。Hadamard认为，管理者要认识到安全团队所承受的压力，并对工作量进行合适的分配，以避免安全人员产生倦怠。而对安全团队来说，其压力来源主要体现在三方面：业务、上级领导、监管机构。

所以管理者可以从这三个方面来减少安全团队自身的压力：

1、让业务部门和安全部门之间有效地配合，必要时可让安全部门为业务做科普；

2、在安全部门向上级领导汇报时，可要求双方都掌握彼此能接受的沟通语言；

3、对监管机构所提的各种要求，予以安全部门足够的支持。

Clifton指出，引入正确的技术也能减轻安全部门的负担，更重要的是，安全团队可以获得正确的工具来有效地完成工作。“但这对于企业而言无疑是全新的成本，所以，向企业领导层阐述清楚安全投入一样是关键所在。技术、工具和产品是为了让安全部门更有效地工作，也是为了让安全部门能更好地为业务护航。”

Hadamard团队赞同这样的观点：“团队预算不可避免是有限的，因此从战略上分配资源，以应对重大的威胁和漏洞是非常重要的。当然，企业应根据业务需求和风险评估结果，确定网络安全工作的优先级，对于关键业务和核心资产，应投入更多的资源进行重点防护，确保这些关键部分的网络安全得到充分保障。同时，企业也要确保每个岗位都有合适的人选，针对不同的安全任务，应有专门的团队或人员去执行。”

此外，当下的威胁格局在不断演变，公司应定期重新评估、更新安全战略，以应对新出现的挑战。而这样的评估必须由公司领导层牵头，否则就会额外增添安全部门的劳动力和压力。安全计划只有从上至下实施，企业的其他部门才愿意配合，否则只让安全部门提要求，就只会加剧部门之间的协作矛盾。

另一方面，盖洛普的研究表明，员工对工作的喜爱可以很好地缓冲压力，因此给予安全从业人员足够的晋升机会很重要，这也包含了由公司出资为安全人员提供专业课程培训。安全行业是非常需要学习和发展的，因为外部威胁环境不会等你成长，不法分子每天都在绞尽脑汁攻破各行各业的系统，所以企业的整体安全离不开安全从业人员的发展和提升。

相对应地，促进全体员工的福祉也是很好的选择。Clifton建议，公司应优先考虑包括安全部门在内的全体员工的福利，实施工作与生活相互平衡的政策和实践。员工只有在身心健康的环境下，才能做出对公司有利的行为和选择。

同时，企业应建立积极、健康、开放的企业文化，鼓励员工参与决策，尊重员工的意见和想法，并提供必要的支持和帮助，使员工感受到重视和支持。企业也要关注员工心理健康，提供必要的心理支持和辅导。这包括解决部门之间的沟通问题，提供心理咨询，帮助员工处理人际关系等。

04

让团队发挥作用

在减轻人员压力方面，阿拉伯联合酋长国沙迦大学的研究指出，若安全团队能共同协作以发挥作用，那即使工作任务艰巨，彼此之间也会得到安慰，并因此减少压力。相关研究人员表示：“生活在一个多元文化的环境之下，人们会在与他人的交流中调整自己的行为，有时即使他们正面临着巨大的挫折，但适宜的交流会让人重新振作。”

研究人员指出，团队成员之间交流时，三点内容很重要：1、表达的直率性；2、分享知识的开放性；3、共同的任务方向。
该研究表明，当企业各个部门的团队在共享知识时，最好是开放的，因为这有助于在同事之间建立信任。此外，使用清晰的沟通方式可以增加讨论的有效性，并使决策过程变得更为顺利。

研究人员建议，团队成员在沟通时，要耐心倾听他人的观点和意见，尊重他人的立场，不要轻易打断或争论；同时，团队负责人要鼓励成员发表自己的观点和建议，创造一个开放、平等的沟通氛围，让每个人都有机会发言；接着，在沟通过后，要及时反馈和跟进，确认沟通结果和下一步行动计划，确保任务得到有效执行。这代表着，每一次的沟通不能漫无目的，团队负责人需要记录几次重要沟通的效果和内核。

当然，能制定团队内部的沟通规范和流程则最好，这可以明确沟通的方式和时间，确保沟通有序进行；而通过不断地沟通和协作，就能有效培养出团队之间的默契和信任，使团队成员更加了解彼此的工作方式和习惯，最后形成团队文化，让每个人都找到归属感。

另一方面，迪肯大学的研究还表明，以正确的方式构建团队至关重要，这样团队成员才能获得正确的信息和资源，从而茁壮成长。研究人员认为，当所有参与者都能获得相关信息和资源时，团队才会处于最佳状态。然而，他们也认为，需要设计工作流程，以便团队成员能够有效地合作。

05

国内安全专家的建议

对于在压力之下，会带来怎样的负面状况，而作为安全负责人，又该如何减轻安全团队的压力，国内安全专家如此建议。

某金融行业安全经理姚俊先
表示：“个人认为，随着外部网络安全威胁形势日益严峻，各种勒索攻击和数据泄露事件频繁，同时安全监管又在不断加强，网络安全工作需要承担面对业务保障和监管合规等多重压力。而在这样的背景下，一方面对安全人员的综合能力提出了更高要求，除技术能力方面外，还需要学会协调统筹各业务和各技术线等工作。另一方面，对于安全人员来说，相关权责利不对等，会导致安全骨干人员流失，这是各组织需要引起警惕的。”

此外，姚俊先的意思是，有压力才有动力，有动力才有荣誉。所以他建议团队要树立统一的奋斗目标，共同成长，内部做好对应分工协作机制，建立安全团队人才梯队，培养和储备骨干，才能长期应对压力带来的挑战。同时，安全负责人也需要将安全实施推动，完善对组织其他部门的安全培训，因为外部所带来的压力不能由安全部门独自承受，而是要让组织从上到下都重视起安全，这样压力才会被分摊，安全团队才能有更多的精力去应对威胁。

而
某金融企业IT负责人胡峰
指出，网络安全工作对员工确实存在一定的压力。随着网络攻击和威胁的不断演变，安全从业者需要时刻保持警惕，不断学习和更新知识。这种持续的压力可能导致员工疲劳、焦虑、工作质量下降等情况，甚至可能影响员工的身心健康。

胡峰说，作为安全负责人，减轻安全团队的压力是至关重要的，因此他建议：

（1）合理分配资源：确保团队拥有足够的资源（如人员、时间和技术）来应对安全挑战。合理分配资源有助于减轻团队的工作负担；

（2）提供培训和支持：定期为团队成员提供培训和技能提升的机会，使他们能够跟上安全领域的最新发展。同时，提供必要的支持和协助，帮助他们解决工作中遇到的问题；

（3）建立良好的沟通机制：促进团队内部以及与其他部门的沟通与合作，确保信息畅通，减少重复工作和不必要的压力；

（4）实施适当的压力管理措施：鼓励员工采取健康的生活和工作方式，如合理安排时间、进行适当的锻炼、保持良好的作息等。提供一些放松和缓解压力的活动，如团队建设活动、健康讲座等；

（5）营造积极的工作环境：创造一个积极向上、支持和鼓励团队成员的工作环境。关注员工的工作满意度和心理健康，及时给予关注和关怀；

（6） 认可与反馈：及时、公正地对团队成员的工作进行评价和反馈，对他们的努力和成果给予认可，可以提高他们的工作满意度，减少压力；

（7） 工作生活平衡：鼓励员工在工作之外有自己的生活，如进行运动、阅读、旅行等，这样可以放松身心，减少工作压力。

“通过以上措施，可以有效地减轻安全团队的压力，提高他们的工作质量和效率，同时也有利于维护员工的身心健康。”

此外，
某互联网企业安全负责人白玉堂
从个人经历出发，他表示安全工作的压力非常大，就负面状况而言，根本没有自己的时间与精力整理解决思路，感觉自己越来越像机器人。“等到AI被完全应用于安全行业，估计又有一大波人会失业，只要AI能在策略上给出方向，就一定会断送大多数安全从业人员的上升道路。”

但就目前而言，白玉堂建议，作为安全负责人，在安排任务时，要尽可能将任务合理分派，有效分解。紧抓关键性节点的同时，也要给团队一定的自由度。同时，可以多向兄弟部门、上级领导反馈项目进度与难点，使得大家对此有一定共识。“说到底，就是安全压力分摊到组织的各个层面，而不是由安全部门一人来承担。”

白玉堂说，从现状和形势来看，安全行业已不是一个好的去处，他并不建议IT行业的人才选择网络安全。“道理很简单，安全是很难体现工作产出的，这是一直以来的问题，即我们要如何证明我们已经做好了安全？平时布置一大堆产品，说是要保护公司核心资产，而往往导致的结果是，要么一直不出事，要么一旦出事就是大问题，搞得好像我们平时都不作为一样。所以在当前的经济形势下，很难有不错的工作前景。”

原文地址：

https://cybernews.com/editorial/stressed-employees-cybersecurity-risks/

作者：

Adi Gaskell   

Cybernews的作家

END

点击这里阅读原文