واقعیت‌های فرسودگی و خستگی شغلی CISOها

میان حملات بی‌وقفه سایبری و کاهش حمایت سازمانی، مدیران ارشد امنیت اطلاعات (CISOها) در سطحی بی‌سابقه از فرسودگی قرار گرفته‌اند؛ وضعیتی که هم زیرساخت‌های حیاتی و هم تاب‌آوری سازمان‌ها را در معرض خطر قرار می‌دهد.

CISOها به دلیل چشم‌انداز تهدیدهای سریع و پیچیده امروز، با چالش‌های بی‌سابقه‌ای در حوزه سلامت روان روبه‌رو هستند. آن‌ها اغلب در صورت وقوع نفوذ یا اختلال مقصر شناخته می‌شوند، و معمولاً پس از چنین رخدادهایی دوره حضور شغلی‌شان به‌شدت کاهش می‌یابد. این فشار دائمی باعث می‌شود که رسیدن به آرامش، چه برسد به خواب راحت، تقریباً ناممکن شود. در همین حال، تهدیدها هر روز سریع‌تر و پیچیده‌تر می‌شوند، اما بودجه‌ها و توجه هیئت‌مدیره در حال کاهش است؛ ترکیبی خطرناک.

طبق گزارش Proofpoint، سطح فرسودگی در میان CISOها به رکورد رسیده است. ۷۶ درصد از CISOها احساس می‌کنند طی ۱۲ ماه آینده در معرض خطر وقوع یک حمله سایبری جدی هستند. یک نظرسنجی دیگر نشان می‌دهد بسیاری از CISOها در محیطی فعالیت می‌کنند که نقش آن‌ها اشتباه درک می‌شود، حمایت کافی ندارند، یا زیر بار انتظارات غیرواقعی قرار گرفته‌اند.

CISO بودن یکی از پرفشارترین نقش‌ها در سازمان‌های مدرن است. آن‌ها به حفاظت از دارایی‌های فکری، داده مشتریان، اعتبار برند، و رعایت الزامات قانونی مشغول‌اند و باید میان فناوری، قوانین، استراتژی کسب‌وکار و مدیریت بحران تعادل برقرار کنند. با این حال، در حالی که اخبار سایبری بیشتر روی رخدادهای بزرگ یا اکسپلویت‌های روز صفر تمرکز می‌کند، کمتر به یک مشکل آرام اما پایدار پرداخته می‌شود: فرسودگی CISO و مشکل عمیق‌تر «خستگی امنیتی».

صرف‌نظر از صنعت—بهداشت، خدمات مالی، انرژی یا حمل‌ونقل—زیرساخت حیاتی همیشه هدف خواهد بود. این تهدید دائمی، خستگی حرفه‌ای را به یک نگرانی امنیت ملی تبدیل می‌کند.

چرا CISOها فرسوده می‌شوند؟

نقش مدیر ارشد امنیت اطلاعات به‌طور چشمگیری تکامل یافته است. طبق گزارش Cybersecurity Dive، CISOهای سراسر جهان اکنون نفوذ و اختیار بیشتری در حاکمیت شرکتی دارند و تعداد بیشتری از آن‌ها به‌طور مستقیم به مدیرعامل گزارش می‌دهند. دوران تمرکز صرف یک CISO روی کارهای فنی گذشته است. امروز بخش بزرگی از کار آن‌ها شامل مدیریت ریسک، برنامه‌ریزی استراتژیک، افزایش درآمد، آموزش کارکنان، امنیت فیزیکی، بازیابی بحران و موارد دیگر است.

نمونه‌ای از کارهایی که CISOها برای موفق شدن باید مدیریت کنند:

۲۴/۷/۳۶۵ – خطر سایبری تعطیل‌بردار نیست. مهاجمان در تمام ساعات شبانه‌روز به‌دنبال نقاط ضعف هستند. برای CISOهایی که زیرساخت‌های حیاتی را مدیریت می‌کنند، بیدارباش دائمی یعنی شب‌های بی‌خواب. اختلال در این حوزه فقط مشکل مالی نیست، بلکه می‌تواند ایمنی عمومی را تهدید کند.

مسئولیت سنگین در برابر کنترل محدود: CISOها هر روز بیشتر تحت حسابرسی قرار می‌گیرند، در حالی که کنترل واقعی‌شان اغلب محدود است. هیئت‌مدیره، نهادهای نظارتی و حتی مقامات ملی، آن‌ها را مسئول رخدادهای امنیتی می‌دانند، اما اجرای امنیت وابسته به تیم‌های OT، سیستم‌های قدیمی، فروشندگان ثالث و رفتار روزمره کارکنان است، که هرکدام ممکن است مسیر نفوذ شوند.

در همین حال، شکاف میان منابع اختصاص‌داده شده و انتظارات از CISOها بزرگ‌تر می‌شود. امنیت موثر نیازمند نیروی کار ماهر، ابزارهای پیشرفته و آموزش‌های مداوم است، اما بسیاری از سازمان‌ها—به‌ویژه نهادهای عمومی—با کمبود بودجه و نیروی انسانی روبه‌رو هستند. نتیجه: CISOها احساس می‌کنند سازمانشان با یک حادثه فاصله دارد.

اضافه‌بار مقرراتی: رعایت الزامات قانونی فشار را تشدید می‌کند. CISOهای زیرساخت حیاتی باید چارچوب‌های متعددی را رعایت کنند: NERC CIP، HIPAA، دستورالعمل‌های TSA, اهداف عملکردی امنیت سایبری از CISA و غیره. حجم زیاد ممیزی‌ها و کاغذبازی وقت و انرژی لازم برای کاهش واقعی ریسک را می‌بلعد.

بازیابی از دل بحران: کار پس از حادثه هم متوقف نمی‌شود. هر حمله یا ممیزی می‌تواند باعث هفته‌ها کار واکنشی شود. بازیابی فقط بازگرداندن داده و سیستم نیست؛ بلکه بازسازی ارتباطات، رفع آسیب‌پذیری‌ها و تحلیل پساحمله را هم شامل می‌شود. در نتیجه، زمان استراحت واقعی وجود ندارد.

انزوا و مدیریت انتظارات: نقش CISO روزبه‌روز منزوی‌تر می‌شود. همکاری با مدیران غیر فنی آسان نیست و نیاز به تلاش مستمر برای ایجاد اعتماد دارد. در عین حال، CISO باید ریسک فنی را به زبان کسب‌وکار توضیح دهد و برای منابع لازم دفاع کند.

نشانه‌های خستگی امنیتی

فرسودگی در سطح فردی و سازمانی نشانه‌های مشخصی دارد:

خستگی شناختی: کاهش تمرکز، ضعف تصمیم‌گیری، تهدید توان راهبردی

مدیریت واکنشی: تمرکز بر خاموش‌کردن آتش به‌جای ساخت زیرساخت بادوام

ترک شغل: از دست رفتن دانش حیاتی

کورشدگی نسبت به ریسک: بی‌توجهی به هشدارها

کاهش نوآوری: عدم توان یادگیری ابزارهای دفاعی جدید مثل Zero Trust یا تقسیم‌بندی شبکه OT

پیامدهای سازمانی و ملی

脆‌کتابری عملیاتی: وابستگی به معدود رهبران امنیتی باعث ایجاد نقاط شکست می‌شود. در زیرساخت حیاتی، این شکنندگی می‌تواند باعث اختلال‌های زنجیره‌ای شود.

ریسک تطبیق: تیم‌های خسته ممیزی‌ها را از دست می‌دهند و کنترل‌های الزامی را اجرا نمی‌کنند.

افزایش احتمال حادثه: تیم‌های واکنشی توان پایش، Patch Management و شکار تهدید را از دست می‌دهند.

کمبود استعداد: شهرت بد در تعادل کار و زندگی باعث فراری دادن نیروهای متخصص می‌شود.

راهکارهای کاهش فرسودگی

تطبیق اختیار با مسئولیت: اگر CISO مسئول امنیت ملی است، باید اختیار و بودجه متناسب داشته باشد.

امنیت به‌عنوان مسئولیت مشترک: همه واحدها باید در امنیت سهیم باشند، مخصوصاً OT و مهندسی.

مدیریت ساختاری بحران: رزمایش‌ها، Playbookها و تفویض اختیار باعث کاهش فشار می‌شود.

تعادل کار و زندگی: شیفت‌های On-call کنترل‌شده، زمان ریکاوری، حمایت روانی و فرهنگ گفت‌وگوی آزاد درباره سلامت روان.

قدردانی: شناخت رسمی از تلاش تیم امنیت، به‌خصوص CISO، به حفظ انگیزه و کاهش فشار کمک می‌کند.

حل این بحران نیازمند اقداماتی در سطح فردی و سازمانی است. سازمان‌ها باید روی انسان‌ها، فرآیندها و اتوماسیون سرمایه‌گذاری کنند تا تیم‌های امنیتی فقط «زنده نمانند»، بلکه بتوانند عملکردی پایدار و موثر ارائه دهند. امنیت پایدار فقط از داده و سیستم محافظت نمی‌کند؛ بلکه از سلامت کسانی که مسئول دفاع از آن‌ها هستند نیز محافظت می‌کند.

در پایان، دفاع از زیرساخت حیاتی فقط مسئله فناوری نیست؛ مسئله تاب‌آوری انسانی است. و تاب‌آوری به مراقبت، تعادل و احترام به این واقعیت نیاز دارد که امنیت سایبری یک «مأموریت انسانی» به همان اندازه که یک «مأموریت فنی» است.

برایان هارل اکنون مدیر ارشد امنیت یک شرکت بزرگ انرژی در ۲۵ ایالت آمریکا است.
دیوید ماسینگتون، CISSP پیش‌تر مدیر اجرایی امنیت زیرساخت در CISA بوده و اکنون استاد دانشگاه مریلند است.