ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
デジタルトランスフォーメーションイニシアチブの増加からリモートワークの台頭まで、組織は過去2年間で大きく変化しました。最高情報セキュリティ責任者(CISO)は、組織がデータやアプリケーションをクラウドに移行するにつれて、現代の労働力を保護するためのテクノロジーを導入し、これらの変化の最前線に立ってきました。しかし、最近私たちが働く場所や働き方が変化したことは、CISOにとって祝福であると同時に呪いでもあります。
一方で、ほとんどの組織は、セキュリティ戦略を主導するCISOが必要であることを理解しています。一方、CISO の役割の拡大を後押ししているのと同じ仕事のシフトが、攻撃対象領域も拡大しています。また、悪意のある攻撃者がこれを悪用しています。昨年、組織の 85% が少なくとも1回のサイバー攻撃に見舞われました。これは、CISOによると過去最高の数値です。 2022年サイバー脅威対策レポート。CISOは、落ち着いて冷静さを保ちながら侵害を処理する専門家かもしれませんが、他の人と同じように、ストレスの影響を受けやすいことを覚えておくことが重要です。頻繁に発生している侵害を軽減することと、将来どのようなセキュリティ侵害が発生するのかを考えることの間で、CISOの役割は確かにストレスの多いものです。
Menlo SecurityのCISOであるDevin Ertel氏は次のように述べています。「次のインシデントがいつ発生するのか常に気になっていて、いつでもすぐにスピンアップする必要があるかもしれません。「あなたはいつもそのことを考えています。たくさんあるよ。」
ストレス要因から回復するための適切な時間とスペースがないままストレスが多すぎると、最も熟練したCISOでさえ燃え尽きてしまう可能性があります。
燃え尽き症候群の定義と予測因子に関する研究のパイオニアであり、燃え尽き症候群の測定に最も広く使用されている機器であるマスラッハ・バーンアウト・インベントリーの作成者であるクリスティーナ・マスラッハ博士は、「マラソンに参加しているときには、スプリントを走っていることになります」と述べています。「それを続けるわけにはいきません。人間の心は、回復せずに慢性的なストレスを乗り越えるようには設計されていません。」
慢性的な仕事のストレス要因を適切に管理せずに乗り越えようとすると、燃え尽き症候群の最初の段階である疲労状態に陥りやすくなります。 マスラック博士によると。次はシニシズムで、それは自分の仕事に対する非人格化や嫌悪感を特徴とするものだ。燃え尽き症候群のこの段階の従業員は、最低限の努力を払い、解雇されないように一生懸命働きます。ついに、従業員は自分の仕事だけでなく、自分自身についても否定的に感じ始めます。燃え尽き症候群は、仕事が気に入らないことよりもはるかに深刻で、心臓病やうつ病や不安などの精神障害のリスクが高まる可能性があります。
そうならないためには、仕事量、自律性、報酬、職場のコミュニティ、公平性、意義、自分の仕事がどれほど価値があると感じるかなど、6 つの重要な領域で自分の仕事と足並みを揃えることが重要です。マスラッハ博士によると、では、CISOは燃え尽き症候群にならないように、これらの分野にどのように取り組むことができるのでしょうか。以下に、実践的な戦略を示す「すべきこと」と「すべきでないこと」を示します。
CISOの時間は重要であり、招待されたすべての会議に出席することは、まったく持続不可能です。Maslach博士が指摘したように、「私たちは会議を追加する傾向がありますが、不要な会議を差し引こうとはしません。」どの会議を他の場所で仕事に費やしたほうがよいかを判断することが重要です。ある時点で、会議に時間をかけすぎると、生産性だけでなくメンタルヘルスにも悪影響を及ぼします。1 日を会議に費やさないようにして、仕事は夜のために取っておきましょう。
代わりに、Ertelは「鷹のように」カレンダーを見て、仕事量と自律性を自分の手に委ねることを提案しています。彼は自分の仕事が忙しいことをチームに知らせるために、仕事を終わらせる必要があるときはカレンダーに時間を割り当てています。休暇中やダウンタイム中は、Ertel 氏は完全に業務を停止します。彼が言うように、「次のセキュリティ侵害がいつ発生するかわからないため、ノンストップで仕事をしなければならない」からです。自分の時間の境界線を作り、それを尊重することが重要です。
メンタルヘルスを最大限に高める方法で時間を過ごす場合、カレンダーを保護することは解決策の半分にすぎません。元気を取り戻し、仕事から離れるのに役立つアクティビティをおろそかにしないでください。
リモートワークの台頭により、自宅と仕事の境界が曖昧になり、これらの活動を行うことがますます困難になっています。セルフケアに向けて慎重な措置を講じることがこれまで以上に重要になっています。Ertel は、1 日に 1 時間のワークアウトを遮断し、その間は仕事用のメールは使わないようにすることで、こうした対策を講じています。それとは別に、エルテルは瞑想と一般的なセルフケアの時間を割くのが好きです。ポイントは、特定のアクティビティを行うことではなく、プラグを抜き、ストレスを解消し、空間を作る努力をすることです。
有能なCISOは、必要に応じてストレスを乗り越えることができますが、押し通しても効果があるのはそれほど長くありません。マスラック博士によると、小さなストレス要因、つまり「靴の中の小石」が常にそこにあると、気づかないうちに圧倒されてしまうのです。手遅れになるまで、こうしたストレス要因を悪化させておくのは、燃え尽きやすい方法です。
だからこそ、自分自身と向き合うことが大切なのです。セントルイスにあるワシントン大学の精神科医であるジェシー・ゴールド博士によると、厳密なスケジュールや特定の形をとる必要はないが、定期的に時間を取って、肉体的にも精神的にもどのように感じているかを自問することは、CISOの役割による慢性的なストレスを軽減するのに大いに役立ちます。自分の精神状態を自然に認識していると仮定するだけでは十分ではありません。
小さなストレス要因が時間の経過とともに蓄積され、疲れ果ててしまうのと同じように、回復力を高め、メンタルヘルスを強化するには小さなステップしか必要ありません。その小さなステップの 1 つが、仕事に対する自分の気持ちを正直に話せるように、気持ちのいい同僚と友情を築くことです。そうした感情に関しては、一人で取り組むべきではありません。
ゴールド博士によると、私たちはしばしば職場で前線に立ち、それがうまくいかないまではすべてがうまくいくように振る舞います。会社や同僚を中傷するようなことはせずに、自分の役割のマイナス面について仕事上の友人と正直に話し合うと、そうした考えにしがみつくことはできないような形で、現実にあなたを根付かせます。 ゴールド博士は、「自分の人生の物語を全部話さなくてもいい」と言いました。「『ねえ、疲れた』と言うのと同じくらい簡単です。調子はどう?」
仕事に必要なものを手に入れるのを手伝ってくれる人が誰なのかをはっきりさせないでください。不確実性にはストレスがたまり、仕事に対する自主性が損なわれる可能性があります。リソースが必要なときに誰に頼めばよいかわからないと、必要なツールをすべて集めて、セキュリティ戦略の主導権を握ることができなくなります。
Ertel は、組織図をコミュニケーションの線として捉え、経営幹部のサポートを育むことの重要性を強調しています。ワークフローを簡素化し、プロジェクトを前進させるためには、部下の幹部や部下のチームメンバーと良好な関係を築くことが最も重要です。クリーンなエスカレーション、つまり選択肢がなくなった後にのみ問題を報告構造に昇格させることは、経営幹部を味方につけ、余計な労力をかけないようにするための鍵です。上と下の両方でしっかりとしたコミュニケーションラインを持つことは、SOCチームから集められたありふれた技術情報をCEOに説明しようとすることによる頭を悩ませる効果(Ertelではこれを「バンジージャンプ」と呼んでいます)を減らすのに大いに役立ちます。
侵害を乗り越えるのに、自分の経験だけに頼らないでください。それだけでは十分ではありません。避けられない攻撃に対処するには、しっかりとしたゲームプランが必要です。しかし、だからといって、強迫観念に陥るほど準備しすぎるべきだという意味ではありません。
ゴールド博士は次のように説明しています。「トップにいる多くの人は、何も悪いことは起こらないと想像したがります。「失敗は避けられないから大丈夫でなければならない。」完璧主義者の考え方に対抗する最善の方法は、失敗は必ず起こるという事実を認め、失敗が避けられないときにどう対処するかを考えることです。これは、サイバー脅威への対応戦略だけでなく、自分のメンタルヘルスへの対処にも当てはまります。ストレスの多い状況から脱力し、方向性を取り戻すための計画が必要です。
「失敗が避けられないことを受け入れておく必要があります。」
ドクター・ゴールド
セキュリティ侵害を世界の終わりと見なさないでください。侵害への対処は職務内容の一部です。CISOは良いインシデントを無駄にする必要はありません。
エルテルは、キャリアの早い段階で特にストレスの多い出来事を思い出しました。SOCチームのメンバーが「これが私たちのスーパーボウルだ、これが私たちの生きがいだ!」と叫んだときです。そのシンプルなコメントが、ストレスや恐怖から、自信や熱意まで、部屋全体の雰囲気を変えました。エルテルは同僚が正しいことに気づき、それ以来、エルテルはインシデントを学習の機会として捉えようと努めてきました。
「これが私たちのスーパーボウルです。これが私たちの生きがいです!」
これらの戦略は単純ですが、万能ではないことを覚えておくことが重要です。メンタルヘルスの管理は人によって異なるからです。自分の戦いを選び、目的のある小さなステップを踏めさえすれば、自分の仕事がメンタルヘルスに影響しないことを確認できます。
