25% of Cybersecurity Leaders Will Pursue Different Roles Entirely Due to Workplace Stress
By 2025, nearly half of cybersecurity leaders will change jobs, 25% for different roles entirely due to multiple work-related stressors, according to Gartner, Inc.
“Cybersecurity professionals are facing unsustainable levels of stress,” said Deepti Gopal, Director Analyst, Gartner. “CISOs are on the defense, with the only possible outcomes that they don’t get hacked or they do. The psychological impact of this directly affects decision quality and the performance of cybersecurity leaders and their teams.”
Given these dynamics as well as the massive market opportunities for cybersecurity professionals, talent churn poses a significant threat for security teams. Gartner research shows that compliance-centric cybersecurity programs, low executive support and subpar industry-level maturity are all indicators of an organization that does not view security risk management as critical to business success. Organizations of this type are likely to experience higher attrition as talent leaves for roles where their impact is felt and valued.
“Burnout and voluntary attrition are outcomes of poor organizational culture,” said Gopal. “While eliminating stress is an unrealistic goal, people can manage incredibly challenging and stressful jobs in cultures where they’re supported.”
Humans Are the Chief Cause of Security Incidents
Gartner predicts that by 2025, lack of talent or human failure will be responsible for over half of significant cyber incidents. The number of cyber and social engineering attacks against people is spiking as threat actors increasingly see humans as the most vulnerable point of exploitation.
A Gartner survey conducted in May and June 2022 among 1,310 employees revealed that 69% of employees have bypassed their organization’s cybersecurity guidance in the past 12 months. In the survey, 74% of employees said they would be willing to bypass cybersecurity guidance if it helped them or their team achieve a business objective.
“Friction that slows down employees and leads to insecure behavior is a significant driver of insider risk,” said Paul Furtado, VP Analyst, Gartner.
To confront this rising threat, Gartner predicts that half of medium to large enterprises will adopt formal programs to manage insider risk by 2025, up from 10% today. A focused insider risk management program should proactively and predictively identify behaviors that may result in the potential exfiltration of corporate assets or other damaging actions and provide corrective guidance, not punishment.
“CISOs must increasingly consider insider risk when developing a cybersecurity program,” said Furtado. “Traditional cybersecurity tools have limited visibility into threats that come from within.”
25% ของผู้บริหารฯ จะหันไปสู่บทบาทการทำงานที่แตกต่างอย่างสิ้นเชิง เหตุจากความเครียดในที่ทำงาน
การ์ทเนอร์ อิงค์ คาดการณ์ว่าภายในสองปีข้างหน้านี้ (พ.ศ. 2568) เกือบครึ่งหนึ่งของผู้บริหารความปลอดภัยทางไซเบอร์ (Cybersecurity Leaders) จะเปลี่ยนงาน โดยที่ 25% จะทำงานในบทบาทที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อันเป็นผลมาจากปัจจัยความกดดันหลากหลายที่เกี่ยวข้องกับการทำงาน
ดีฟติ โกพอล ผู้อำนวยการฝ่ายวิจัยของการ์ทเนอร์ กล่าวว่า “คนทำงานด้านความปลอดภัยไซเบอร์กำลังเผชิญกับความเครียดในระดับที่แตกต่างกันออกไป โดยผู้บริหาร CISOs อยู่ในโหมดที่ต้องปกป้ององค์กรโดยมีผลลัพธ์ที่เป็นไปได้อย่างเดียวคือต้องไม่โดนแฮกหรือไม่ทำให้เกิดช่องโหว่เสียเอง ผลกระทบทางจิตวิทยาของสิ่งนี้ส่งผลโดยตรงต่อคุณภาพการตัดสินใจและประสิทธิภาพการทำงานของทั้งผู้นำและทีมงานไซเบอร์ซีเคียวริตี้”
ด้วยพลวัตเหล่านี้รวมถึงโอกาสในตลาดที่มีอยู่อย่างมหาศาลสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ทำให้การเปลี่ยนย้ายบุคลากรที่มีทักษะความสามารถกลายเป็นสัญญาณอันตรายต่อทีมงานความปลอดภัย จากการวิจัยของการ์ทเนอร์ชี้ให้เห็นว่าโปรแกรมการรักษาความปลอดภัยทางไซเบอร์ที่เน้นปฏิบัติตามกฎระเบียบ การที่ผู้บริหารให้ความร่วมมือต่ำและเกณฑ์มาตรฐานความปลอดภัยที่ต่ำกว่าในอุตสาหกรรม ล้วนเป็นปัจจัยชี้วัดไปยังองค์กรที่ไม่เห็นว่าการจัดการความเสี่ยงด้านความปลอดภัยนั้นมีความสำคัญต่อความสำเร็จ โดยองค์กรประเภทนี้มีแนวโน้มที่จะเผชิญกับปัญหาพนักงานที่มีความสามารถในตำแหน่งต่างๆ เพิ่มสูงขึ้นผันแปรไปตามผลกระทบที่มีต่อความรู้สึกและคุณค่าในการทำงานของพวกเขา
“ภาวะหมดไฟ (Burnout) และการทำงานแบบจำยอมคือผลลัพธ์ของวัฒนธรรมองค์กรที่แย่ แม้การขจัดความเครียดของการทำงานให้หมดไปจะเป็นเป้าหมายที่ดูเป็นไปไม่ได้ แต่พนักงานก็สามารถจัดการงานที่ท้าทายและมีความกดดันได้อย่างเหลือเชื่อหากพวกเขาเชื่อมั่นและสนับสนุนวัฒนธรรมองค์กรที่ทำงานอยู่” โกพอล กล่าวเพิ่มเติม
มนุษย์เป็นต้นเหตุหลักของเหตุการณ์ด้านความปลอดภัยต่าง ๆ
การ์ทเนอร์คาดว่าภายในปี 2568 ปัญหาการขาดบุคลากรหรือความผิดพลาดของมนุษย์มีส่วนรับผิดชอบโดยตรงต่อเหตุการณ์ทางไซเบอร์สำคัญ ๆ มากกว่าครึ่ง โดยตัวเลขการโจมตีทางไซเบอร์และการหลอกลวงแบบวิศวกรรมทางสังคม (หรือ Social Engineering) ต่อผู้คนจะเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากผู้โจมตีมองว่ามนุษย์คือจุดเปราะบางที่สุดในการแสวงหาผลประโยชน์
การสำรวจของการ์ทเนอร์เมื่อเดือนพฤษภาคมและมิถุนายน ปี 2565 สำรวจพนักงานจำนวน 1,310 ราย พบว่าในช่วง 12 เดือนที่ผ่านมา 69% ของพนักงานนั้นละเลยคำแนะนำด้านความปลอดภัยทางไซเบอร์ขององค์กร และยังพบว่า 74% ของพนักงานกล่าวว่า พวกเขาเต็มใจที่จะละเลยคำแนะนำด้านความปลอดภัยไซเบอร์นั้น ถ้ามันจะช่วยให้พวกเขาหรือทีมบรรลุเป้าหมายทางธุรกิจ
พอล เฟอทาโด รองประธานฝ่ายวิจัยของการ์ทเนอร์ กล่าวว่า “แรงเสียดทานที่เป็นตัวถ่วงการทำงานของพนักงานและนำไปสู่พฤติกรรมที่สร้างความไม่ปลอดภัย คือ ปัจจัยขับเคลื่อนสำคัญที่ก่อให้เกิดความเสี่ยงจากภายในองค์กร”
เพื่อรับมือกับภัยคุกคามที่เพิ่มขึ้นนี้ การ์ทเนอร์คาดการณ์ว่า ภายในปี 2568 ครึ่งหนึ่งขององค์กรขนาดกลางถึงขนาดใหญ่จะใช้โปรแกรมที่ต้องมี (Formal Programs) เพื่อจัดการความเสี่ยงจากภายในองค์กร เพิ่มขึ้นจาก 10% ณ ปัจจุบัน โดยโปรแกรมการจัดการความเสี่ยงนี้ควรมุ่งเน้นไปที่การระบุและคาดการณ์พฤติกรรมต่าง ๆ ของทีมงานแบบเชิงรุกที่อาจทำให้เกิดการรั่วไหลทางทรัพย์สินขององค์กรหรือการกระทำที่เป็นอันตรายด้านอื่น ๆ นอกจากนี้ยังต้องสามารถให้คำแนะนำเพื่อการแก้ไข ไม่ใช่เป็นเพียงบทลงโทษ
“ผู้บริหาร CISOs ต้องเพิ่มการพิจารณาความเสี่ยงจากภายในมากขึ้น เพื่อพัฒนาโปรแกรมความปลอดภัยไซเบอร์ ซึ่งเครื่องมือรักษาความปลอดภัยไซเบอร์แบบดั้งเดิมนั้นยังมีข้อจำกัดในการมองเห็นภัยคุกคามที่มาจากข้างใน” เฟอทาโด กล่าวสรุป