La serie de Expert Insights de Solutions Review es una colección de artículos contribuidos escritos por expertos de la industria en categorías de software empresarial. Jason Lewkowicz de Optiv celebra la importancia de la salud mental en ciberseguridad, ofreciendo consejos de mejores prácticas para mejorar el ánimo de los empleados. Con otro Mes de Conciencia sobre la Salud Mental en el pasado, debemos celebrar el hecho de que la salud mental finalmente está recibiendo la atención que merece y que el estigma asociado a ella está retrocediendo. A pesar de estos avances, todavía tenemos mucho trabajo por hacer cuando se trata de gestionar la salud mental en la industria de la ciberseguridad, especialmente durante un incidente cibernético, cuando, con demasiada frecuencia, el enfoque puede estar en la respuesta y la solución en lugar del bienestar de los empleados.

Desafíos crecientes en la salud mental en ciberseguridad

Hoy en día, hay una confluencia de factores que obligan a los profesionales de la ciberseguridad en todos los niveles a trabajar más allá de su capacidad normal en cualquier día dado, lo que conduce a un estrés emocional y agotamiento. Estos incluyen, entre otros:

• La continua escasez de talento en ciberseguridad, que ejerce presión sobre los trabajadores existentes para asumir el trabajo de los puestos sin cubrir.
• Reducciones en la fuerza laboral debido a presupuestos ajustados en medio de una economía incierta, lo que nuevamente obliga a los empleados a hacer más con menos.
• Un panorama de amenazas sin precedentes. Mientras que los equipos de ciberseguridad pueden estar estancados o disminuyendo, las amenazas están en aumento.

Dado esta realidad, un día normal para un empleado en ciberseguridad puede ser un desafío. Pero, agregar un incidente cibernético a la mezcla puede elevar significativamente los niveles de estrés.

La responsabilidad recae en los empleadores

Aunque las organizaciones pueden compensar e incentivar a los empleados para que trabajen horas extras, estas recompensas no ocultarán el hecho de que estar sobrecargado de trabajo aún puede llevar al agotamiento y a una mala salud mental. De hecho, una encuesta reciente sobre salud mental en ciberseguridad de Tines encontró que el 64 por ciento de los encuestados afirma que su salud mental afecta su capacidad para realizar su trabajo, pero solo el 54 por ciento dice que su lugar de trabajo prioriza la salud mental. Este último número debería ser mucho más alto.

El primer paso para priorizar la salud mental es tener una discusión al respecto, y estamos avanzando en este sentido. Sin embargo, muchos empleadores se quedan atascados cuando se trata de implementar estrategias para gestionarla en el lugar de trabajo. Debido a que la salud mental es un tema bastante emergente en ciberseguridad, simplemente no saben por dónde empezar.

Una de las formas más efectivas de mantener la salud mental en primer plano, especialmente durante un evento cibernético, es definir procesos que salvaguarden el bienestar de los empleados e incorporarlos en las políticas de la empresa y en los manuales de respuesta a incidentes (IR). Desde una perspectiva de IR, estos procesos deben ser específicos para el equipo de gestión de incidentes y la duración del tiempo que se requerirá para resolver el problema, pero hay algunas mejores prácticas a considerar en general:

• Designar un lugar para que los empleados descansen y se refresquen. Si los empleados están en la carretera lidiando con un problema cibernético que llevará horas o días, es posible que deba reservar habitaciones de hotel para que tengan un lugar al que puedan ir rápidamente para descansar, ducharse y hacer ejercicio. Si se quedan cerca, considere asignar ciertas habitaciones dentro de la oficina para fines de descanso. Desperdiciar tiempo valioso yendo y viniendo del hogar a la oficina.
• Tener un plan para la alimentación. Si los empleados estarán ocupados en una sala de guerra durante horas y horas, considere hacer pedidos y asegúrese de que haya algo para todos, teniendo en cuenta las restricciones dietéticas. De lo contrario, asegúrese de que los empleados tengan la oportunidad de obtener comida y bebidas en intervalos definidos.
• Incluir descansos. Nadie debería trabajar sin parar durante horas y horas, ya que eso es cuando la concentración y la atención a los detalles comienzan a disminuir. Tener tiempos de descanso predefinidos para que el personal pueda desconectarse por un tiempo y recargarse. Idealmente, los descansos deben tomarse cada cuatro a seis horas.
• Establecer un número máximo de horas que los empleados pueden trabajar. Cuando las personas trabajan más de 12 horas, incluso si se incluyen descansos, la productividad comienza a disminuir y se cometen errores. Permítales ir a casa o a la habitación del hotel para una buena noche de sueño.
• Involucrar a los líderes. Asegúrese de que los líderes se comuniquen con los profesionales de seguridad para asegurarse de que tengan lo que necesitan para gestionar un incidente cibernético. Esto incluye asegurarse de que los líderes de ciberseguridad estén al tanto de los signos comunes de que un empleado está luchando (irritabilidad, pérdida de productividad, etc.) y capacitados sobre cómo ayudar a esa persona a retomar el rumbo.
• Dar las gracias. No olvide elogiar a su equipo y expresar gratitud. Si bien la ciberseguridad a menudo es un trabajo ingrato, los seres humanos están programados para buscar validación, por lo que comunicar su aprecio tiene un gran impacto.

Es importante tener en cuenta que, si bien el objetivo de estas mejores prácticas es ayudar a prevenir el estrés y el agotamiento, no pretenden reemplazar a los consejeros profesionales de salud mental para casos más graves. Las organizaciones deben estar preparadas para proporcionar a los empleados los recursos externos que necesitan si los síntomas que experimentan van más allá del estrés y la fatiga.

Una mejor salud mental, un mejor resultado

Los profesionales de la ciberseguridad saben que las largas horas, especialmente durante un incidente cibernético, son parte del trabajo, pero nadie debería esperar sacrificar su salud mental. Esto solo conducirá a renuncias y un rendimiento deficiente, así como a errores y resultados mediocres desde una perspectiva empresarial. Al priorizar estas mejores prácticas e implementar más que sean únicas para su organización, el personal de ciberseguridad tendrá una oportunidad de mantener su salud mental bajo control y lograr un mejor resultado para ellos mismos, su empresa y sus clientes.