El estrés laboral es la nueva amenaza de la ciberseguridad
Los miles de profesionales de ciberseguridad que se reúnen en Black Hat, una conferencia masiva que se celebra en el calor abrasador de Las Vegas cada verano, se encuentran con un tipo de conferencia diferente este año. Una nueva "comunidad" está ofreciendo charlas sobre una variedad de problemas en el lugar de trabajo que enfrentan los defensores que luchan para proteger al mundo de un ciberataque.
Con títulos como "Hacks para la salud mental: combate la fatiga, la depresión y los pensamientos suicidas en la comunidad hacker" y "Aguantar una noche más: adicción en Infosec", varias de las sesiones abordarán las presiones sobre los equipos de seguridad y el impacto negativo que estos pueden tener en el bienestar de los trabajadores.
"Mucha gente en este espacio cree firmemente en querer proteger a sus usuarios", dice Jamie Tomasello de Duo Security, quien es uno de los oradores. "Cuando esto se convierte en un desafío es cuando las personas están bajo alto estrés sostenido". Eso aumenta el riesgo de depresión y enfermedad mental ".
El impacto en la vida de los defensores cibernéticos es profundamente preocupante, así como las implicaciones más amplias para la seguridad. A pesar de un impulso para una mayor automatización, muchas tareas en defensa cibernética aún requieren mucha mano de obra. Los trabajadores que experimentan problemas de salud mental tienen más probabilidades de cometer errores y de tener problemas de rendimiento que requieren que sus colegas recarguen la atención, aumentando la probabilidad de que también cometan errores.
Alta presión, apuestas altas
Esto es más importante que nunca, dado que lo que está en juego ha aumentado dramáticamente en el mundo de la ciberseguridad. Los hackers no solo están deslizando detalles de tarjetas de crédito y registros digitales de salud; están atacando sistemas que gobiernan redes eléctricas, instalaciones de fabricación y otra infraestructura sensible.
Por supuesto, el estrés en el lugar de trabajo no es exclusivo de la ciberseguridad. Hay muchos otros trabajadores, incluidos los equipos de primeras respuestas, los soldados y los cirujanos, que se enfrentan a una intensa presión en sus trabajos. Otros roles de TI, como los relacionados con el mantenimiento y la ejecución de redes y bases de datos, también pueden ser estresantes.
Pero expertos de la industria, dicen que varios factores se combinaron para crear un problema particular en ciberseguridad. Uno de ellos es el hecho de que los sistemas de TI de todo tipo están siendo atacados constantemente , lo que significa que no hay una línea de llegada obvia al trabajo. "Nunca hay un tiempo de inactividad. No se detiene y todos los días son una batalla ", dice Andrea Little Limbago, ejecutiva de la firma de seguridad cibernética Endgame, que ha escrito sobre el tema del estrés en el ciberespacio.
La velocidad a la que los malos están innovando también crea presiones únicas. "Los desafíos para mantenerse al día son una locura", dice Jack Daniel, cofundador de BSides, otra conferencia de seguridad que ha destacado los problemas de salud mental.
Escasez de mano de obra
Para empeorar las cosas, la industria enfrenta una escasez de trabajadores calificados. Según una estimación, alrededor de 300,000 puestos de ciberseguridad solo en los Estados Unidos permanecen vacantes. Eso significa trabajo adicional y presión para aquellos que cubren roles no cumplidos.
Una encuesta global de 343 ejecutivos de seguridad cibernética publicada en noviembre de 2017 por Enterprise Strategy Group e Information Systems Security Association descubrió que casi el 40 por ciento de ellos dijo que la falta de habilidades estaba causando altas tasas de agotamiento y rotación de personal. "Realmente existe una necesidad urgente de investigaciones más serias sobre esto", dice Daniel.
Solo obtener una referencia para medir los niveles de estrés en la fuerza laboral cibernética sería útil. Dos investigadores de la Agencia de Seguridad Nacional de Estados Unidos, Celeste Lyn Paul y Josiah Dykstra, han llevado a cabo estudios internos en la organización, cuyo personal a menudo se encuentra en situaciones estresantes. Han desarrollado una encuesta de estrés que puede usarse para un estudio único o como un punto de referencia en curso. Los investigadores discutirán esto en Black Hat y dicen que planean ponerlo en línea el 13 de agosto para que cualquiera pueda acceder a él.
¿IA al rescate?
Aunque sería más útil contar con más evidencia empírica, las empresas ya pueden tomar medidas para abordar los problemas relacionados con el estrés, asegurando que los defensores cibernéticos tengan tiempo libre regularmente, se les anime a compartir cualquier preocupación sobre la presión en el lugar de trabajo con los gerentes y se les dé acceso a fuentes de asesoramiento y consejos sobre problemas de salud mental.
La tecnología también podría ayudar a mejorar las cosas. Los horrores de los proveedores de software de ciberseguridad están adoptando las herramientas de aprendizaje automático como una forma de automatizar más y más tareas. Eso eventualmente podría quitarle parte de la tensión a los empleados con exceso de trabajo, pero antes de que eso ocurra a escala, se necesitarán muchos más humanos en las líneas fronterizas cibernéticas.