As Uitbranding 'n Sekuriteitsrisiko was, sou ons dit reeds opgelos het.

Kubersekuriteit en nakoming was nog altyd goed in een ding: om onsekerheid te neem en dit in struktuur te forseer.

Ons neem iets abstrak, iets bedreigends, en maak dit bestuurbaar. Ons ken waarskynlikheid en impak toe, definieer eienaarskap, implementeer beheermaatreëls en monitor voortdurend. Met verloop van tyd het daardie dissipline kuberrisiko van iets ontasbaars verander in iets wat organisasies aktief kan bestuur.

Uitbranding het dit nie op die meeste risikoregisters gehaal nie, en tog is dit wydverspreid, meetbaar en toenemend goed verstaan. Dit beïnvloed prestasie in rolle waar klein foute buitensporige gevolge het. Dit is nie 'n oorsig nie. Dit weerspieël 'n gaping in hoe organisasies risiko in die eerste plek definieer.

Die aanname waaroor ons nie praat nie

Die meeste sekuriteits- en voldoeningsmodelle is gebou op 'n stil aanname: dat die mense wat hulle bedryf, teen volle kognitiewe kapasiteit funksioneer.

Konsekwent.

In die Verenigde Koninkryk alleen, Swak geestesgesondheid kos werkgewers nou jaarliks ​​£51 miljard, met meer as 22 miljoen werkdae wat elke jaar verlore gaan weens stres, angs en depressie. Byna Die helfte van HR-leiers identifiseer nou uitbranding as die grootste besigheidsrisiko vir 2026In tegnologierolle, soveel as 82% van werknemers rapporteer dat hulle naby uitbranding voel.

Teen daardie agtergrond begin die aanname van konsekwent hoë menslike prestasie minder soos 'n basislyn en meer soos 'n kwesbaarheid lyk.

Soos geestesgesondheidspesialis, Maria Drakoula, dit gestel het: “Organisasies veronderstel perfekte prestasie deur werknemers, wat in beginsel op sigself 'n veiligheidsrisiko is.”

Die meeste sekuriteitsraamwerke is gebou vir 'n werksmag wat teen volle kapasiteit werk. Daardie werksmag bestaan ​​nie.

Uitbranding, hersien as risiko

As organisasies uitbranding met dieselfde dissipline as ander operasionele risiko's sou behandel, dink ek die gesprek sou baie anders lyk. En dit sou, soos alle risikogesprekke doen, met waarskynlikheid begin.

Oor tegnologie- en sekuriteitsfunksies heen is uitbranding nie 'n randkwessie of 'n periodieke piek nie; dit is aanhoudend. ISACA-navorsing het bevind dat 73% van Europese IT-professionele persone werkverwante stres of uitbranding ervaar het, terwyl aparte navorsing bevind het dat 91% van CISO's rapporteer matige of hoë vlakke van stresIn die VK, ongeveer vier uit vyf werknemers sê hulle is naby uitbranding, met hoër konsentrasies in tegniese rolle.

Dit is nie 'n stertrisiko nie. Dit is deel van die bedryfsomgewing.

Die impak is meer konkreet as wat dit dikwels behandel word. Uitbranding beïnvloed drie dinge waarvan sekuriteit afhanklik is: aandag, oordeel en motivering. Wanneer dit afneem, neem die doeltreffendheid van beheermaatreëls ook af. Nie aanvanklik dramaties nie, maar geleidelik; gemiste waarskuwings, stadiger besluite, klein foute, inkonsekwente prosesnakoming.

Die kumulatiewe effek is meetbaar. Produktiwiteit kan met tot 35% daal onder swak geestesgesondheidstoestandeWerknemers verloor byna vyf uur per week weens stresverwante ondoeltreffendheid. Aanwesigheid: mense werk terwyl hulle siek is; kos organisasies twee tot drie keer meer as afwesigheid.

Niks hiervan val gemaklik in 'n "welstand"-kategorie nie. Dit is in werklikheid 'n agteruitgang van die menslike laag binne die beheeromgewing.

Uitbranding kom nie as 'n enkele gebeurtenis nie. Kort sarsies druk, ouditsiklusse en groot voorvalle is hanteerbaar. Maar wanneer daardie toestande voortduur, hou hulle op om uitsonderlik te wees en word hulle struktureel. Sekuriteitspanne, in die besonder, werk onder volgehoue ​​las: konstante waarskuwings, periodieke ouditpieke en reaktiewe reaksiemodelle. Met verloop van tyd lewer dit bekende patrone, waarskuwingsmoegheid, kognitiewe oorlading en proseskortpaaie. Die stelsel kan steeds oudits slaag. Dit kan steeds voldoenend lyk. Maar dit word minder betroubaar.

Wat dit sou beteken om dit ernstig op te neem

Om uitbranding as 'n eersteklasrisiko te erken, sou nie 'n nuwe raamwerk vereis nie. Dit sou vereis dat die een wat reeds bestaan, gebruik word.

'n Uitbrandingsrisikoregister sal nie misstaan ​​saam met ander operasionele risiko's nie. Dit sal in eenvoudige terme die toestande beskryf wat blootstelling skep: volgehoue ​​werklasintensiteit, gefragmenteerde gereedskap, ouditgedrewe stygings en onderbenutte spanne. Dit sal leidende aanwysers dophou, nie net afwesigheid of uitval nie, maar seine wat reeds bekend is aan operasionele leiers:

• stygende agterstande en onopgeloste waarskuwings
• toenemende foutsyfers of herbewerking
• verlengde werksure buite die kontrak
• afnemende betrokkenheid by kritieke prosesse

Die kontroles wat volg, lyk ook merkwaardig bekend:

• werklading- en kapasiteitsmodellering in lyn met bekende risikosiklusse
• waarskuwingsafstemming en prioritisering om geraas te verminder
• outomatisering van herhalende, lae-waarde take
• duideliker eienaarskap oor gefragmenteerde stelsels
• 'n verskuiwing van piekgebaseerde oudits na meer deurlopende benaderings

Die doel is nie om uitbranding te medikaliseer of dit tot 'n maatstaf te reduseer nie. Dit is om dit sigbaar, besitbaar en bestuurbaar te maak, wat presies is wat organisasies reeds doen met elke ander risiko wat hierdie vlak van voorkoms en gevolge dra.

Uitbranding as 'n risikovermenigvuldiger

Ek glo een van die redes waarom uitbranding steeds onderbeheer word, is dat dit selde as 'n alleenstaande mislukking voorkom. Dit versterk ander risiko's.

Soos Maria Drakoula uitlig, “verminder uitbranding aandag, oordeel en motivering, wat die deur oopmaak nie net vir menslike foute nie, maar in uiterste gevalle ook vir kwaadwillige gedrag.” In sekuriteitsterme vertaal dit na goed verstaanbare mislukkingsmodusse:

• vatbaarheid vir sosiale manipulasie, waar moegheid en dringendheid bots
• wankonfigurasies veroorsaak deur kognitiewe oorlading of haastige besluite
• waaksaamheid wat lei tot gemisde of afgewysde dreigemente
• toegangsbeheer-kortpaaie onder druk geneem
• onderbrekings in prosesnakoming

Individueel beskou, is elkeen hiervan bekend. Saam vorm hulle 'n patroon. Uitbranding bring nie nuwe risiko's mee nie. Dit verhoog die waarskynlikheid van dié wat jy reeds het.

Stelsels, nie individue nie

Om uitbranding as 'n individuele kwessie oor persoonlike veerkragtigheid, hantering en welstand te behandel, skuif die probleem uit die stelsel en bestuur na die persoon. Dis 'n ontwerpkeuse, en dis die verkeerde een. Die drywers: ouditmodelle wat onvolhoubare pieke skep, gereedskap wat werkvloei fragmenteer en handmatige inspanning verhoog, bedryfsmodelle wat konstante beskikbaarheid veronderstel, voldoeningsbenaderings wat reaktief eerder as deurlopend bly, sit stewig binne bestuur.

Dit is ontwerpbesluite. En ontwerpbesluite is beheerbaar.

Werk op afstand en verspreide werk het ook verander hoe uitbranding manifesteer eerder as of dit wel gebeur. Soos Maria Drakoula uitwys, "skep isolasie gekombineer met kognitiewe spanning toestande waar foute kan voorkom, versprei en langer onopgemerk kan bly." Vanuit 'n sekuriteitsperspektief is dit minder 'n kultuurkwessie en meer 'n opsporings- en veerkragtigheidskwessie. Die risiko is nie dat mense op afstand werk nie. Dit is dat die stelsel minder natuurlike punte van onderbreking en regstelling het.

Die Breër Ontwerpprobleem

Dit sluit aan by 'n breër argument oor hoe organisasies risiko oor die algemeen bestuur. Dieselfde organisasies wat nie sou droom om 'n enkele jaarlikse sekuriteitsoudit uit te voer en dit deurlopende risikobestuur te noem nie, bestuur hul menslike kapasiteit op dieselfde manier: 'n jaarlikse betrokkenheidsopname, 'n welstandsweek en 'n eenmalige opleidingsiklus.

Die logika van deurlopende monitering, wat van toepassing is op inligtingsekuriteit, dataprivaatheid en KI-beheer, geld ook hier. Menslike prestasie is 'n beheermaatreël. Dit verswak. Dit benodig modellering, nie net kennisneming nie. Wanneer inligtingsekuriteit, privaatheidsverpligtinge en KI-beheer word bestuur as 'n gekoppelde, deurlopende stelsel In plaas van afsonderlike tydstip-oefeninge, word organisasies werklik moeiliker om te ontwrig. Om dieselfde logika na die menslike laag van die beheeromgewing uit te brei, is nie 'n beduidende sprong nie. Dit is dieselfde beginsel, wat konsekwent toegepas word.

Die Vraag vir Leierskap

Sekuriteitsleiers dra reeds verantwoordelikheid vir beheerdoeltreffendheid, regulatoriese nakoming en operasionele veerkragtigheid. Uitbranding kruis al drie. Maar dit verskyn selde binne dieselfde bestuursstrukture, wat 'n kritieke afhanklikheid van menslike prestasie laat, wat grootliks veronderstel word eerder as aktief bestuur word.

Die nuttiger vraag is nie: hoe verminder ons uitbranding nie? Dit is: waar in ons beheeromgewing maak ons ​​staat op volgehoue ​​menslike prestasie wat ons geen gestruktureerde manier het om te modelleer of te bestuur nie.

Om daardie vraag eerlik te beantwoord, is hoe deurlopende risikobestuur eintlik lyk. Nie 'n jaarlikse oorsig nie. Nie 'n welstandsinisiatief nie. 'n Gestruktureerde, eie, gemonitorde afhanklikheid, soos elke ander een in die stelsel.

Kubersekuriteit het ontwikkel deur te leer om stelsels te ontwerp wat veerkragtig bly in die aangesig van mislukking, behalwe in een area. Ons ontwerp steeds asof die menslike laag stabiel, konsekwent en eindeloos aanpasbaar is. Dit is nie.

As uitbranding dieselfde eienskappe as 'n tradisionele kuberrisiko gehad het, naamlik hoë voorkoms, meetbare impak, en toename oor tyd, sou dit reeds gemodelleer, gemonitor en erken word. Die feit dat dit nie is nie, maak dit nie minder werklik nie.

Dit beteken net dat die besluit om dit onbestuur te laat, op sigself 'n risikobesluit is. Een wat die meeste organisasies nie bewustelik geneem het nie.

Brei jou kennis uit

Blog: Kubersekuriteit veg teen 'n geestesgesondheidskrisis – hier is hoe om dit op te los

Blog: Leierskapstrategieë vir die balansering van sekuriteitswerklas en nakomingsukses