Saiba quais são os sinais que levam ao desgaste dos funcionários nesta área

Autor: Mitchell Parker, da Indiana University Health*

burnout (nome dado à síndrome de esgotamento físico e mental) acontece muito no campo da segurança da informação, pois colocamos os profissionais responsáveis ​​por isso em posições em que eles estão configurados para falhar. Para consertar isso, precisamos parar de tratar a segurança como uma opção ou obstáculo, e deixar de lado a abordagem da “cultura do herói”, que praticada no ambiente de negócios e tecnologia.

 

Quais são os sinais que levam ao desgaste dos funcionários na segurança da informação? Sou CISO há 10 anos. Trabalhei em segurança da informação por 15 anos e em tecnologia muito mais do que isso. Eu vi colegas de trabalho e de outras empresas se esgotarem e saírem do setor em todos os níveis. Essa é uma questão endêmica, de acordo com o artigo de Kelly Sheridan em Dark Reading: “Burnout, Culture, Drive Talent Security Out The Door”.

 

Isso não é escrito para os CISOs ou pessoas de segurança. Ele foi escrito para os CIOs e gerentes que podem ajudar a conter a grande questão. Muitas das quais meus colegas e eu observamos que levam as pessoas ao burnout, na verdade, não são de natureza técnica. São questões de comunicação e culturais.

Dar desculpas em vez de gastar tempo com segurança

Quando você tem membros da equipe e gerentes que se recusam a fazer qualquer coisa para melhorar a segurança, dão desculpas e depois solicitam abertamente o trabalho de outras pessoas, então você tem um problema complexo. Ou melhor, dois problemas. O primeiro é não usar uma abordagem baseada em risco para trabalhar e lidar com riscos abertos. O segundo é permitir que os gerentes ponham suas próprias prioridades à frente da missão da organização. Em ambos os casos, se você permitir isso, estará se abrindo para problemas graves de segurança e não terá controle sobre a sua organização, apesar do que pensa. Você também contribuirá para que as pessoas de segurança sejam desativadas.

 

Pensar em segurança vai fazer tudo por você

Toda grande empresa tem uma equipe de auditoria interna cujo trabalho é auxiliar na descoberta de possíveis armadilhas. No entanto, não é seu trabalho abordá-la. Quando a Segurança da Informação realiza uma avaliação de risco, as mesmas regras se aplicam. Só porque descobrem um risco não significa que agora o possuem e precisam consertá-lo. Segurança é uma atividade de equipe e precisa ser tratada em conjunto. As organizações precisam trabalhar juntas para lidar com os riscos. Se você não está lidando com seus riscos, que é o objetivo da auditoria interna, você não está contribuindo para evoluções, está estagnado.

 

Ignorando ou não fazendo uma avaliação de risco ou plano de gerenciamento de risco

Se a avaliação de risco indica que algo é de alto risco e você a ignora, não faz nada a respeito, você será responsável caso algo aconteça. Lembre-se de que se sua equipe de segurança da informação não tiver o poder de fazer uma avaliação de risco ou criar e executar colaborativamente um plano para tratar dos riscos, será responsabilizado quando algo acontecer.

Pensando que a “cultura do herói” funciona para a segurança/microgestão

Uma das ideias mais difundidas é que as empresas são construídas em torno de super-homens ou super-mulheres. Steve Jobs, Elon Musk, Larry Ellison, Bill Gates, Michael Bloomberg e Mark Zuckerberg são vistos como heróis singulares que construíram impérios e moveram montanhas por conta própria. Steve Jobs, em particular, destaca-se por sua ênfase no design e em acertar as coisas. Eles são ou foram brilhantes, pessoas bem-sucedidas, e que contaram e contam com equipes por trás deles. Essas equipes planejaram e executaram e foram motivadas por suas lideranças para chegar a lugares que não tinham antes.

 

Não pense que você pode levar segurança e entregá-la a uma pessoa realmente inteligente e dizer a ela para descobrir com recursos limitados, porque fulano de tal fez e construiu foguetes, um smartphone ou um banco de dados. Você terá sim um profissional muito inteligente, mas descomprometido, que irá embora porque vai se cansar e se esgotar. Motivação só leva você até certo ponto.

 

Não ter uma cultura de bem-estar individual

A prevalência da ideia de que devemos estar em nosso trabalho 24/7/365 está nos matando. Se uma organização não apoia e incentiva um equilíbrio saudável entre a vida profissional e não coloca em prática políticas, procedimentos, equipes e estratégias que a apoiam, você terá problemas. A ideia de que todos nós temos de sermos heróis está prejudicando a vida de bons profissionais e suas carreiras.

É importante ter uma cultura que promova atividades saudáveis, exercícios, boa alimentação e lazer. Também é importante respeitar o tempo pessoal e as horas de trabalho e fazer a pergunta “Isso é realmente importante ou isso pode esperar? Isso precisa ser feito agora?

 

Nós não somos robôs. Não podemos esperar que sejamos. Se a expectativa é de que não há equilíbrio entre trabalho e vida pessoal, as pessoas boas vão adoecer ou sair. Definir a expectativa de que qualquer coisa menos que um esforço heroico de 100% do tempo seja um sinal de fraqueza é tóxico e destruirá não apenas a vida dos funcionários, mas também suas famílias e amigos. Só porque você quer ser o herói não significa que tenha de sacrificar os outros para fazê-lo.

 

Os problemas de segurança geralmente têm suas causas principais em problemas não técnicos, mais ligados à cultura e à forma como é implementada a gestão. Demorei alguns anos para descobrir isso. Se você está fazendo a pergunta de por que sua equipe de segurança está se esgotando e saindo do campo, talvez seja melhor analisar sua empresa primeiro e, então, encontrará a resposta.

*Artigo publicado no portal CSO Online (EUA)

 

Fonte: Computer World