Свой среди чужих: насколько токсична рабочая среда безопасника?

В прошлом году мы опросили ^[1] больше 300 ИБ-специалистов про уровень стресса ^[2] на работе, и больше половины (53%) выбрали значения выше среднего. Выгорание – популярная тема обсуждений и реальная проблема в отрасли. Почему так происходит?

Разбирались по следам интервью ^[3] Роба Ли, руководителя отдела исследований и заведующего кафедрой в SANS Institute (это крупнейший в мире учебный и сертификационный центр в ИБ, заодно известный своими исследованиями). Он рассказал про особый сорт токсичности в инфобезе. Это когда окружение человека специально или случайно манипулирует им, проявляет пассивную агрессию, скидывает на него вину или просто регулярно жалуется на жизнь – с поправкой на страх ^[4] ошибок «на передовой», ответственность перед топ-менеджментом и регуляторами и нехватку рук. Далее – о том, как такая атмосфера отражается на ментальном здоровье ИБ-специалиста, и что можно исправить, чтобы вернуть ИБ-командам эффективность (и нормальную жизнь).

Вы говорите о некой особой «токсичной среде» в кибербезопасности. Можете описать, как это выглядит? На какие тревожные знаки стоит обратить внимание ^[5] ИБ-специалистам?

Токсичная среда в кибербезопасности – это среда, в которой ИБ-специалисты не могут адекватно работать, потому что чувствуют себя недооцененными или лишенными поддержки. Это часто проявляется в плохой коммуникации, отсутствии доверия между членами команды, микроменеджменте и чрезмерной культуре обвинения. В таких условиях снижается эффективность и появляется разобщенность команд.

К тревожным сигналам, которые указывают на токсичную атмосферу, относятся: высокая текучесть кадров, выгорание, повсеместное чувство страха или нереалистичные ожидания без наличия достаточных ресурсов. Также явным признаком опасной рабочей среды является то, что руководители игнорируют проблемы подчиненных и жестко наказывают их за ошибки ^[6]. Вместо этого неудачи стоит использовать как возможность для обучения ^[7].

Особенно ядовитой чертой кибербезопасности является перекладывание ответственности за инциденты. Даже если они успешно обнаружены и устранены. ИБ-специалистов следует хвалить за хорошо выполненную работу. Но вместо этого сотрудники иногда подвергаются несправедливой критике из-за установки на невмешательство (прим ^[8].: ситуация, при которой общая ИБ-система организации малоэффективна, а за случившиеся инциденты руководители винят подчиненных).

Здоровая атмосфера способствует признанию заслуг тех, кто хорошо защищает свою организацию от угроз, вместо того чтобы стремиться к нереалистичным идеалам совершенства.

Как такая токсичная корпоративная культура влияет на ИБ-специалистов?

Последствия серьезны и для отдельных сотрудников, и для организаций. У профессионалов часто возникают хронический стресс ^[9], тревожность и выгорание. Эти проблемы влияют на психическое и физическое здоровье. Приводят к бессоннице и гипертонии. Производительность также снижается, поскольку сотрудники становятся менее вовлеченными и креативными в решении сложных задач.

В контексте организации такая культура – это увеличение количества ошибок, упущенных угроз, снижение производительности и рост текучести кадров. Важно помнить, что ИБ – сфера с высоким уровнем стресса ^[10]. А плохая рабочая атмосфера усугубляет существующие проблемы и затрудняет эффективное функционирование команд.

Считаете ли вы, что на отдельных позициях в ИБ (например, аналитики SOC, CISO) люди больше страдают от токсичности, чем другие? Почему?

Да. Некоторые должности в ИБ более уязвимы к плохим взаимоотношениям в коллективе из-за характера их обязанностей и заметности в организации. Например, аналитики SOC часто находятся на «передовой» и сталкиваются с напряженными ситуациями: реагируют на инциденты и устраняют угрозы. Необходимость всегда быть «в строю» может привести к выгоранию. Особенно в культуре, где производительность важнее личного благополучия.

По такому же принципу CISO сталкиваются с уникальными проблемами, балансируя между техническим, стратегическим и политическим давлением. Они часто разрываются между необходимостью соответствовать ожиданиям топ-менеджмента и решать операционные задачи.

Поэтому выгорание CISO вполне реально. Отчасти из-за огромной ответственности и пристального внимания, связанных с этой должностью. Постоянное давление вместе с усложняющимися угрозами приводит к тому, что многие CISO не выдерживают и увольняются. Некоторые даже клянутся, что «никогда больше не будут заниматься этой работой». Такая тенденция трагична. Организации теряют опытных руководителей, которые играют важнейшую роль в формировании стратегий кибербезопасности.

И для аналитиков SOC, и для CISO особенно чревато работать в условиях отсутствия четкой коммуникации, достаточных ресурсов и систем поддержки.

Какие практические шаги могут предпринять руководители, чтобы выявить и устранить токсичные элементы в своих организациях?

Руководители играют решающую роль в формировании позитивной культуры и должны превентивно бороться с токсичностью. Они должны отдавать приоритет открытому общению, активно и регулярно запрашивать обратную связь от своих подчиненных. Выявить болевые точки помогут анонимные опросы, личные встречи и командные обсуждения.

Топ-менеджерам также следует инвестировать свое время в обучение сотрудников, чтобы развивать эмоциональный интеллект ^[11], навыки разрешения конфликтов и сотрудничества.

Признание и поощрение вклада, а не только результатов, также укрепляет доверие. Руководители должны подавать пример здорового поведения ^[12], поощрять баланс между работой и личной жизнью, демонстрировать ответственность. Важно создать культуру, в которой люди будут чувствовать себя в безопасности и смогут высказывать опасения, не опасаясь возмездия.

Какой совет вы бы дали ИБ-специалисту, который хочет уйти из отрасли из-за токсичности или выгорания? Есть ли надежда на улучшение ситуации?

Подумайте о себе и о своем благополучии. Осознайте, что поиск более здоровой среды – или даже временный шаг назад – это не провал или трагедия, а необходимый акт заботы. Я также призываю общаться с более опытными коллегами, они могут дать рекомендации и поддержать в трудные времена.

Стоит отметить, что отрасль все больше осознает важность психического здоровья и позитивной рабочей атмосферы. Многие организации стараются улучшить условия труда при помощи оздоровительных программ, наставничества и лидерских тренингов. А общение с единомышленниками и поиск организации, которая соответствует вашим ценностям, поможет вновь обрести страсть к работе.

А вы чувствуете на себе эту самую «токсичную среду» в кибербезе? Поделитесь, что думаете, и оцените, насколько «горите» на работе.