在瞬息万变的网络安全世界中、在与数字威胁永不停歇的斗争中,网络安全专业人员面临的挑战远不止屏幕上的较量。持续的压力、绩效要求以及不断演变的威胁态势,对他们的心理健康造成显著影响。本文将探讨整个行业内普遍遭遇的心理健康挑战,揭示正念练习如何作为应对这些挑战的有效方法,以及这一实践在预防职业倦怠中所扮演的关键角色。
此外,我们还将探讨个人与企业层面在面临网安从业者心理健康风险时付出的代价。为便于读者理解,我们要首先明确定义心理健康、职业倦怠以及正念的两个方面:正念和无念。
关键概念
世界卫生组织将心理健康定义为“一个人心理幸福安宁且稳定的状态,它使人们能够应对生活中的各种压力,发展自己的各种能力,能够很好地学习和工作,并为社会的进步做出贡献”。这意味着情感、心理和社会的平衡,是社会正常运转的基础。
一家英国心理健康服务提供商Mind给心理健康下了一个定义,即“良好的心理健康意味着能够以你需要和希望的方式思考、感受和应对,从而过好自己的生活。但是,如果你经历了一段心理不健康的时期,你可能会发现自己很难、甚至无法应对自己的想法、感受和反应。这可能和身体疾病一样糟糕,甚至更糟”。
世卫组织还将职业倦怠定义为“一种由长期未得到有效管理的工作压力导致的综合症。它有三个方面的特征:精力枯竭感;精神上疏远工作的加剧,或与工作有关的消极情绪或愤世嫉俗;以及工作效率降低。职业倦怠特指工作环境中的现象,不应用于描述生活中其他领域的经历”。
研究数据
虽然这些现象并不仅仅影响网络安全专业人员,但必须认识到,心理健康和身体疲惫一直是对网络安全人士研究分析的主题。
从全球来看,根据麦肯锡的一份报告,有59%的人面临心理健康的挑战,如果我们进一步考虑代际间的差异,“Z世代”是面临此类问题更多的群体。
在一项研究中,只有47%的网络安全专业人员表示他们的心理健康状况良好,27%的人表示过去一年他们的心理健康状况有所下降,66%的人在工作中感到压力,64%的人认为他们的心理健康状况确实影响了工作效率,51%的人曾经或者正在服用药物调节心理健康。另一份行业报告《网络安全专业人员的生活与时代》指出,55%的网络安全专业人员表示,他们在半数的工作时间中感到压力,其中21%的人因此考虑离开这个行业。同一份研究报告还指出,28%的CISO可能会因为工作倦怠而离职。
根据Deep Instinct的一份报告,51%的安全专业人员可能会因为生成式人工智能带来的压力而在未来几年内离职,其中55%的人表示,由于缺乏完整的或具备必要能力的网络安全团队,他们的压力水平在最近几个月有所上升。所有这些都可以从安全专业人员的情绪状态中反映出来。例如,消极情绪会导致职业倦怠。
导致网络安全专业人员心理健康恶化的因素
这其中有许多因素,但一些因素已被确定为这种隐形敌人的重要诱因。这些因素包括:
持续压力:保护关键系统和数据的持续压力可能会让人喘不过气来。这种外界压力会导致整体心理压力增加。
责任的压力:网络安全专业人员肩负着保护敏感信息和关键信息的重任。过重的责任会导致焦虑。
警报疲劳:持续管理安全警报以及需要评估每个警报的严重性会导致精神疲劳。
威胁的不断演进:网络威胁发展迅速,需要专业人员不断更新知识和技术。
高强度工作文化:在重视持续可用性和长时间工作的工作环境中,可能会出现职业倦怠。随着时间的推移,缺乏边界感会长期侵蚀心理健康。
孤立和缺乏支持:网络安全工作极其重要的性质可能会导致孤立感。缺乏情感和社会的支持会增加专业人员的脆弱性。
犯错后的不确定性和后果:对犯错导致的威胁和潜在后果的持续不确定性会产生犯错的恐惧感,从而影响决策和自信心。
正念:尚未开发的潜能
谈到正念和无念,并不是深奥或刻板的;恰恰相反,它的宝贵贡献和实践建议已经在网络安全领域被发现,是帮助减少人们心灵过度损耗的众多现有机制之一。
正念是不带任何批判地有意识地关注当下的实践。它包括冷静地观察思想和感受,而不执着于它们。培养正念有助于减轻压力,提高思维清晰度,为应对日常挑战提供必要的工具。同样,西方公认的正念概念创造者之一卡巴金(Kabat Zinn)将正念描述为一种以特定方式关注某件事情的实践,不带任何指向或判断。
另一方面,无念或缺乏有意识的关注是指在没有充分意识到的情况下机械地执行行为。无念会自动执行任务,对手头的活动缺乏深刻理解或联系。
如何观察网络安全专业人员的无念和倦怠及其代价
自动化的例行工作:在执行例行任务时,如果不进行有意识的思考,就会导致机械地履行职责,降低效率和对关键细节的关注。
决策中缺乏意识:无念的网络安全专业人员可能会做出冲动的决定或不经过深思熟虑的评估就按照流程行事,从而增加错误的风险。
与工作环境脱节:缺乏有意识的存在感会导致与工作环境和工作团队在情感上的脱节。
持续疲劳:身心疲惫导致精力下降,影响满足工作要求的能力。
对工作态度的改变:玩世不恭和消极怠工是职业倦怠的特征。专业人员可能会表现出对工作的投入和热情下降。
对一般心理健康的影响:从业人员可能会出现焦虑、抑郁和生活质量下降的症状。
员工流失率增加:疲惫不堪的专业人员可能会寻求压力较小的工作环境,从而导致公司在招聘和培训方面的成本增加。
公司声誉:网络安全专业人员的职业倦怠会影响公司对心理健康的关注,这可能会转变为内外部的负面看法。
如何在日常工作中融入正念并防止职业倦怠
正念不仅仅是一种冥想练习,它必须得到积极的实践。举个简单的例子:你在阅读这篇文章的时候与文章之间有连接吗?
以下是一些额外的机会:
日常正念练习:在日常活动中融入日常正念练习,如在日常活动中冥想和正念,可以增强抗压能力防止职业倦怠,从而降低与压力和职业倦怠相关的成本。从早到晚,练习要循序渐进,但要坚持不懈——正念本身不是目标,目标是要沉浸在这种状态中;学习冥想不是目标,目标是对心绪散乱的自己好一点。
参加小组会议:鼓励在网络安全团队中开展集体正念课程,不仅能提高团队凝聚力,还能创造一个分享经验和相互支持的空间,增强集体韧性。
职业倦怠预防培训:提供职业倦怠预防培训以及正念技巧,可以为网络安全专业人员提供预防和治疗工具,从而促进员工队伍的健康。
工作环境的灵活性:促进工作环境的灵活性,例如选择远程工作或更灵活的工作时间,有助于减轻压力和防止职业倦怠,对心理健康产生积极影响,并降低与职业倦怠相关的成本。
《福布斯》文章中专家提出的其他建议:
利用专门的休息时间理清思路。
为您的假期安排一些令人愉快的活动。
向他人倾诉。你不必把一切都憋在心里,其他人很可能也有相同的感受。
一次只专注于一件事。当压力过大时,分清轻重缓急,一步一步来。
得到足够的休息。睡眠对于重塑思维和为工作注入活力非常重要。
善待自己。你可能会做得比你想象的更好。
不要害怕寻求任何形式的帮助。
在数字威胁无处不在的网络安全领域,专业人员的心理健康是一笔宝贵的财富。正念不仅可以抵御给组织带来安全风险的压力和职业倦怠,而且还是降低生产力损失和员工流失相关成本的关键策略。通过采用正念实践和预防职业倦怠,网络安全专业人员不仅能保持自身健康,还能为营造更健康的工作环境、提高网络安全团队的反应能力和效率做出贡献,并确保公司在这一关键技术领域继续取得成功。
网络安全挑战是多维度的。我们不能只从一个维度来管理它们。正念是让我们领先的重要工具。认识到情绪健康在对抗网络攻击中的价值,我们就能建立更强大、更持久的防御。网络安全不仅是一个技术问题,也是一个人文问题,而正念则是这一错综复杂的安全难题中的关键一环。
“数字世界日益推动人类变得更加人性化,那些懂得做人的真谛的人将在这个新世界中将拥有更多的可能性”。
编者按:本文于2023年11月29日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。
作者:Andres Ricardo Almanza, CISO俱乐部vCISO/CGO。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员, 华侨银行信息安全和数字化风险经理。
声明:本文来自ISACA,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
