Новое исследование «ответственной» кибербезопасности, проведенное Университетом Ланкастера, показывает, что благополучие сотрудников, занимающих должности в сфере кибербезопасности, должно стать ключевым фактором при разработке стратегий безопасности компаний из-за высокого уровня выгорания среди сотрудников, работающих на должностях с высоким уровнем стресса.

Новое исследование, опубликованное в Information Systems Frontiers, основано на 20 подробных интервью с ведущими специалистами по кибербезопасности из различных организаций и секторов. Исследователи используют свои выводы, чтобы описать новую модель для организаций, которая иллюстрирует несколько уровней кибербезопасности, необходимых в современной фирме.

Используя ответы и идеи участников, имеющих от пяти до 30 лет опыта работы в секторе кибербезопасности, исследовательская группа под руководством профессора Ники Пантели из Школы менеджмента Ланкастерского университета (LUMS) и при поддержке доктора Бойнело Нтубу, также из LUMS, и доктора Константиноса Мерсинаса из Ройял Холлоуэй, Лондонского университета, выделила пять различных «уровней» ответственной кибербезопасности, необходимых для того, чтобы организация действовала ответственно и была надлежащим образом защищена.

Эти слои включают в себя:

1. Техноцентричность: обеспечение безопасности систем организации с самого начала и включение вопросов безопасности в каждый аспект разработки ИТ-системы — от архитектуры до развертывания.
2. Ориентированность на человека: обеспечить не только индивидуальную безопасность сотрудников и ответственное использование ИТ-систем, но и ответственное отношение компаний к благополучию тех, кто выполняет функции кибербезопасности. Необходимо принять меры для поддержки тех, кто выполняет функции кибербезопасности, как морально, так и физически, чтобы поддерживать их эффективность в условиях высокого давления и избегать рискованного поведения из-за выгорания и усталости, а также повысить разнообразие и инклюзивность сектора кибербезопасности, решив проблему нехватки женщин на этих должностях.
3. Внутриорганизационный: разработать сильную культуру и изменить мышление, которое охватывает тот факт, что кибербезопасность является общей ответственностью всех заинтересованных сторон, а не только проблемой ИТ. Это должно быть поддержано гибкими политиками, четкими путями подотчетности и программами обучения и повышения осведомленности.
4. Межорганизационный подход: подчеркнуть ответственность организации и ее влияние на кибербезопасность других компаний, включая ее цепочку поставок.
5. Социально-ориентированные перспективы: рассмотрение более широких социальных и общественных последствий киберугроз.

Ники Пантели — профессор цифрового бизнеса в Школе менеджмента Ланкастерского университета. Она сказала: «Наше исследование выявило интересные выводы для сектора кибербезопасности, но, возможно, больше всего беспокоит уровень выгорания, о котором сообщали наши опрошенные, и риски, которые это представляет не только для здоровья отдельных лиц, но и для организаций и общества в целом».

«Наши данные свидетельствуют о том, что если компании хотят действовать ответственно в вопросах кибербезопасности, им крайне необходимо сформировать культуру, в которой на первом месте стоит благополучие сотрудников и баланс между работой и личной жизнью , чтобы специалисты по кибербезопасности могли работать максимально эффективно, не ставя под угрозу свое здоровье».

Исследователи также подчеркивают необходимость признания компаниями более широкой ответственности за безопасность, которая выходит за рамки их собственных систем и может влиять на цепочку поставок и общественность в целом.

«Кибератаки не просто затрагивают отдельные компании, на которые они нацелены, они могут вызывать волновые эффекты, которые ощущаются во всех цепочках поставок и могут затронуть все уголки общества», — продолжает профессор Пантели. «И в эту эпоху расширяющейся цифровизации, когда мы видим растущую зависимость от облачных вычислений и бум гибридной работы, поддержание надежной кибербезопасности является необходимостью.

«Границы ответственной безопасности меняются, и нам нужно, чтобы компании признали это и немедленно отреагировали. Как предполагают участники этого исследования, это должно быть направлено сверху вниз, при этом высшее руководство должно взять на себя ведущую роль в реализации ответственной кибербезопасности, но при этом необходимо сформировать культуру, в которой кибербезопасность рассматривается как коллективная ответственность каждого».

Исследователи утверждают, что их новая структура может служить для организаций инструментом создания позитивной культуры безопасности.