摘要：网络安全是一个高风险、高压力的领域，CISO及其团队需不断应对威胁、合规要求以及业务期望。对全天候保持警惕的需求、复杂的攻击以及专业人才短缺，导致该行业出现了职业倦怠的流行现象。

网络安全是一个高风险、高压力的领域，CISO及其团队需不断应对威胁、合规要求以及业务期望。对全天候保持警惕的需求、复杂的攻击以及专业人才短缺，导致该行业出现了职业倦怠的流行现象。

对CISO而言，这不仅是一个个人问题，也是一个业务风险。一个倦怠的团队效率会降低，更容易出错，也更可能离职，从而造成知识空白，进一步使安全运营承压。那么，CISO可以做些什么来保护自己和团队免受职业倦怠的困扰呢?以下是一个结构化方法。

BH咨询公司的CEO布莱恩·霍南(Brian Honan)告诉Help Net Security：“除了管理网络威胁和应对不断变化的业务挑战外，当今的CISO还必须应对日益繁重的法规负担，如欧盟的《通用数据保护条例》(GDPR)、《网络和信息系统安全指令》(NIS2)和《数字运营韧性法案》(DORA)。这些挑战给CISO们带来了巨大的压力，导致他们及其团队面临更高的压力和职业倦怠风险。”

识别网络安全领域的职业倦怠迹象

职业倦怠不会一蹴而就，而是日积月累逐渐形成的。以下是你和你的团队需要留意的一些警告信号：

• 情绪耗竭——持续的压力、缺乏动力以及无助感。

• 认知疲劳——难以集中注意力、做出决策或跟上新威胁的步伐。

• 身体症状——睡眠问题、头痛，甚至免疫系统问题。

• 脱离工作——冷漠、生产力下降或对安全创新缺乏兴趣。

• 高离职率和缺勤率——如果团队成员频繁请病假或辞职，职业倦怠可能是关键因素。

管理工作量：优先级排序和自动化

安全团队被源源不断的警报、事件和合规要求压得喘不过气来。CISO需要设定现实的工作优先级并利用技术来减轻负担。

• 自动化重复性工作——使用基于AI的工具进行威胁检测、日志分析和补丁管理，以减少手动工作量。

• 采取基于风险的方法——并非每个漏洞或警报都是高优先级的。鼓励团队优先关注关键风险。

• 必要时进行外包——考虑针对如24/7监控等领域使用托管安全服务提供商(MSSP)。

• 强制执行无会议时段——为团队提供专注时间，而不是不断召开状态会议。

建立可持续的值班文化

始终在线的安全运营会导致疲惫不堪。如果安全专业人员得不到休息，他们最终会倦怠或犯错。

• 轮班值班职责——公平地在团队中分配值班责任。

• 确保适当的人员配备——如果团队成员不可用，则提供后备资源，而不是让其他人超负荷工作。

• 设定现实的响应预期——并非每个警报都需要立即在非工作时间作出响应。明确哪些才是真正关键的。

• 使用安全编排、自动化和响应(SOAR)工具——减轻手动分类和响应的负担。

鼓励健康的工作与生活平衡

网络安全专业人员很容易觉得自己永远无法脱离工作。CISO应营造一种平衡的文化，确保团队成员能够休息和充电。

• 鼓励使用带薪休假(PTO)——明确表明休假是必要的，并且不会受到惩罚。

• 设定无电子邮件时段——规定团队成员无需查看电子邮件或Slack消息的时间段。

• 提供灵活的工作时间——只要达到安全目标，就允许员工根据自己的需求调整工作时间。

• 创建无指责文化——避免惩罚犯错的人。相反，应将其视为学习机会。

霍南解释道：“对于负责理解和管理风险的职业而言，许多CISO并不擅长管理职业倦怠可能带来的风险。CISO必须记住，他们的角色是顾问性质的，他们应该为业务决策提供指导，而不是独自承担负担。在工作职责方面设定界限、学会放手、保持身体活跃以及学会委派，对于保持心理弹性至关重要。同时，支持团队也至关重要，因为他们同样面临着日益增长的需求。宣传心理健康意识、确保人们休假、投资培训以及促进同行协作，可以帮助预防职业倦怠。如果不进行主动管理，职业倦怠将对安全和合规工作产生重大负面影响。”

CISO如何避免自身的职业倦怠

CISO也免不了职业倦怠。管理安全风险、争取预算合理性以及回应董事会期望的压力会带来很大负担。

• 委派并信任团队——不要对每个决策都进行微观管理。培养强大的领导力梯队。

• 为自己安排休息时间——留出时间进行深度工作和个人充电。

• 与高管设定界限——并非每个安全问题都需要立即响应;与领导层设定明确的期望。

• 寻求同行支持——加入CISO网络或社区，与理解你挑战的同行讨论问题。

投资心理健康资源

越来越多的网络安全团队正在将心理健康支持纳入其计划中。考虑提供以下资源：

• 心理咨询师和治疗师资源——提供包含心理健康资源的员工援助计划(EAP)。

• 正念和压力管理计划——鼓励冥想、锻炼和保健倡议等实践。

• 定期沟通——领导者应定期关注团队的福祉，而不仅仅是绩效。

来源：季小星