Bu yardımda net güvenlik görüşmesinde, SANS Institute Araştırma Şefi ve Fakülte Başkanı Rob Lee, toksik bir ortamın neye benzediğini ve profesyonellerin yüksek ciro, tükenmişlik ve yaygın bir hata korkusu gibi kırmızı bayrakları nasıl tanıyabileceğini tartışıyor. Bu sorunları erken ele almak, sağlıklı ve etkili bir ekibi sürdürmenin anahtarıdır.
“Toksik siber güvenlik ortamı” nın nasıl göründüğünü açıklayabilir misiniz? Profesyonellerin izlemesi gereken bazı kırmızı bayraklar nelerdir?
Toksik bir siber güvenlik ortamı, bireylerin rollerinde değersiz, desteklenmemiş veya hatta aktif olarak zayıflatılmış hissettikleri ortamdır. Bu genellikle zayıf iletişim, ekip üyeleri arasında güven eksikliği, mikro yönetim ve aşırı bir suç kültürü olarak kendini gösterir. Bu ortamlarda işbirliği acı çekiyor, bu da sessiz ekiplere ve artan verimsizliğe yol açıyor.
İzlenecek kırmızı bayraklar arasında yüksek ciro oranları, ekip üyeleri arasında tükenmişlik, yeterli kaynak olmayan gerçekçi olmayan beklentiler ve yaygın bir korku veya hayal kırıklığı duygusu yer alıyor. Profesyoneller, hataların öğrenme fırsatları olarak muamele görmek yerine sert bir şekilde cezalandırıldığı veya liderlerin endişeleri dinleyemediği bir ortam fark ederse, bunlar toksisitenin açık göstergeleridir.
Siber güvenlikte özellikle zehirli bir ayırt edici özellik, başarıyla tespit edildiklerinde ve ortadan kaldırıldıklarında bile olaylar için “suçlama oyunu” dir. Kötü aktörleri tespit eden ve müdahale eden profesyoneller, işlerini iyi yaptıkları için kutlanmalıdır, ancak bazı ortamlarda, sıfır giriş zihniyeti nedeniyle haksız yere eleştirilirler. Bu zihniyet, çabalarını uygun onay veya ödüllerle tanımak yerine kötü adamları durduran kahramanları suçlamaya yol açabilir.
Sağlıklı bir ortam, gerçekçi olmayan mükemmellik ideallerine odaklanmak yerine, organizasyonlarını tehditlerden savunmak için mükemmel olanlar için takdir ve madalya teşvik eder.
Toksik bir kültürün siber güvenlik uzmanlarının ruh sağlığı ve performansı üzerindeki en yaygın sonuçları nelerdir?
Toksik bir kültürün sonuçları hem bireyler hem de kuruluşlar için şiddetli olabilir. Profesyoneller için kronik stres, kaygı ve tükenmişlik yaygın sonuçlardır. Bu sorunlar sadece ruh sağlığını değil, aynı zamanda fiziksel sağlığı da etkileyerek uykusuzluk ve hipertansiyon gibi koşullara yol açar.
Bireyler karmaşık problemleri çözmede ayrıldıkça ve daha az yaratıcı hale geldikçe performans da acı çeker. Örgütsel bir perspektiften bakıldığında, toksik bir kültür genellikle artan hatalara, kaçırılmış tehditlere, verimliliğin azalmasına ve daha yüksek ciro oranlarına yol açar. Siber güvenliğin başlamak için yüksek basınçlı bir alan olduğunu hatırlamak önemlidir-toksik bir ortam doğal zorlukları şiddetlendirir ve ekiplerin etkili bir şekilde çalışmasını zorlaştırır.
Toksik ortamlara karşı diğerlerinden daha savunmasız belirli roller (örn. SOC analistleri, cisos) görüyor musunuz? Neden?
Siber güvenlikteki bazı roller, kuruluş içindeki sorumluluklarının ve görünürlüğünün doğası nedeniyle toksik ortamlara karşı daha savunmasızdır. Örneğin SOC analistleri, olay tepkisi ve tehdit azaltma gibi yüksek basınçlı durumlarla uğraşan, genellikle ön cephelerdedir. Her zaman “açık” olma beklentisi, özellikle refah üzerindeki çıktıya öncelik veren bir kültürde tükenmişliğe yol açabilir.
Benzer şekilde, Cisos teknik, stratejik ve politik baskıları dengeledikçe benzersiz zorluklarla karşı karşıyadır. Genellikle C-suite’den beklentileri yönetmek ve operasyonel gerçekleri ele almak arasında yakalanırlar. Ciso tükenmişliği çok gerçektir, kısmen rolle ilişkili muazzam sorumluluk ve inceleme ile yönlendirilir. Sürekli baskı, tehditlerin artan karmaşıklığı ile birleştiğinde, birçok Cisos’un pozisyonlarını bırakmasına yol açar, hatta bazıları “Bu işi bir daha asla yapmayacağım”. Kuruluşlar siber güvenlik stratejilerini şekillendirmede kritik bir rol oynayan deneyimli liderleri kaybettikleri için bu eğilim trajiktir.
Hem SOC analistleri hem de CISO’lar, net iletişim, yeterli kaynak ve destek sistemleri olmayan ortamlarda özellikle savunmasızdır.
Liderlerin kuruluşlarındaki toksik unsurları tanımlamak ve ortadan kaldırmak için hangi eyleme geçirilebilir adımlar atabilir?
Liderler, olumlu bir kültürün teşvik edilmesinde önemli bir rol oynarlar ve toksisiteyi ele almak için proaktif adımlar atmalıdır. Açık iletişime öncelik vermeli ve ekiplerinden düzenli olarak aktif olarak geri bildirim talep etmelidirler. Anonim anketler, bire bir toplantılar ve ekip tartışmaları ağrı noktalarının belirlenmesine yardımcı olabilir. Ayrıca duygusal zeka, çatışma çözümü ve işbirliği becerilerini geliştirmek için hem liderlik hem de ekip üyeleri için eğitime yatırım yapmalıdırlar.
Katkıları tanımak ve ödüllendirmek – sadece sonuçlar değil – güven oluşturmak için de uzun bir yol kat eder. Liderler, iş-yaşam dengesini teşvik ederek ve hesap verebilirlik göstererek sağlıklı davranışları modellemelidir. Bireylerin misilleme korkusu olmadan endişeleri dile getirmeye güvende hissettikleri bir kültür yaratmak önemlidir.
Toksisite veya tükenmişlik nedeniyle sektörden ayrılmayı düşünen bir siber güvenlik uzmanına ne tavsiye edersiniz? İyileştirme umudu var mı?
Toksisite veya tükenmişlikle karşı karşıya olan siber güvenlik profesyonellerine, ilk tavsiyem refahınıza öncelik vermektir. Daha sağlıklı bir ortam aramanın-hatta geçici bir adım atmanın-bir başarısızlık değil, gerekli bir öz bakım eylemi olduğunu kabul edin. Ayrıca profesyonelleri zor zamanlarda rehberlik ve destek sağlayabilecek mentorlarla veya akranlarla bağlantı kurmaya teşvik ediyorum.
Endüstrinin bir bütün olarak zihinsel sağlık ve olumlu çalışma kültürlerinin önemini giderek daha fazla tanıdığını belirtmek gerekir. Birçok kuruluş, sağlıklı yaşam programları, mentorluk fırsatları ve daha iyi liderlik eğitimi gibi girişimlerle çevrelerini geliştirmek için ortak çaba sarf ediyor. Benzer düşünen profesyonellerden oluşan bir ağa bağlı kalmak ve değerlerinizle uyumlu organizasyonlar arayan, alana olan tutkunuzu yeniden keşfetmede tüm farkı yaratabilir.