אבטחת סייבר ותאימות תמיד היו טובות בדבר אחד: לקחת אי ודאות ולכפות אותה על המבנה.
אנחנו לוקחים משהו מופשט, איום, והופכים אותו לניתן לניהול. אנחנו מקצים סבירות והשפעה, מגדירים בעלות, מיישמים בקרות ומנטרים באופן רציף. עם הזמן, משמעת זו הפכה את סיכון הסייבר ממשהו בלתי מוחשי למשהו שארגונים יכולים לנהל באופן פעיל.
שחיקה לא נכנסה לרוב רשימות הסיכונים, אך היא נפוצה, מדידה ומובנת יותר ויותר. היא משפיעה על הביצועים בתפקידים שבהם כשלים קטנים גורמים לתוצאות גדולות מדי. זו לא חוסר תשומת לב. היא משקפת פער באופן שבו ארגונים מגדירים סיכון מלכתחילה.
ההנחה שלא מדברים עליה
רוב מודלי האבטחה והתאימות בנויים על הנחה שקטה: שהאנשים המפעילים אותם מתפקדים במלוא יכולתם הקוגניטיבית.
באופן עקבי.
בבריטניה לבדה, בריאות נפשית לקויה עולה כעת למעסיקים 51 מיליארד ליש"ט בשנה, עם יותר מ-22 מיליון ימי עבודה שאובדים מדי שנה עקב לחץ, חרדה ודיכאון. כמעט מחצית ממנהלי משאבי אנוש מזהים כעת שחיקה כסיכון העסקי הגדול ביותר לשנת 2026בתפקידים טכנולוגיים, עד 82% מהעובדים מדווחים על תחושה של שחיקה.
על רקע זה, ההנחה של ביצועים אנושיים גבוהים באופן עקבי מתחילה להיראות פחות כמו קו בסיס ויותר כנקודת תורפה.
כפי שאמרה מריה דראקולה, מומחית לבריאות הנפש: "ארגונים מניחים ביצועים מושלמים של עובדים, וזה, כעיקרון, מהווה סיכון ביטחוני בפני עצמו."
רוב מסגרות האבטחה בנויות עבור כוח אדם הפועל במלוא קיבולתו. כוח אדם זה אינו קיים.
שחיקה, ממוסגרת מחדש כסיכון
אם ארגונים היו מתייחסים לשחיקה באותה דיסציפלינה כמו לסיכונים תפעוליים אחרים, אני חושב שהשיחה הייתה נראית שונה מאוד. והיא הייתה מתחילה, כמו כל שיחת הסיכונים, בסבירות.
בתחומי הטכנולוגיה והאבטחה, שחיקה אינה בעיה שולית או עלייה חדה תקופתית; היא מתמשכת. מחקר ISACA מצא כי 73% מאנשי ה-IT האירופיים חוו לחץ או שחיקה הקשורים לעבודה, בעוד שמחקרים נפרדים מצאו כי 91% מעובדי CISO מדווחים על רמות לחץ בינוניות או גבוהותבבריטניה, בערך ארבעה מתוך חמישה עובדים אומרים שהם קרובים לשחיקה, עם ריכוזים גבוהים יותר בתפקידים טכניים.
זה לא סיכון זנב. זה חלק מסביבת ההפעלה.
ההשפעה קונקרטית יותר ממה שלעתים קרובות מתייחסים אליה. שחיקה משפיעה על שלושה דברים שבהם תלויה האבטחה: קשב, שיקול דעת ומוטיבציה. כאשר אלה יורדים, כך גם יעילות הבקרות יורדת. לא באופן דרמטי בהתחלה, אלא בהדרגה; התראות שהוחמצו, החלטות איטיות יותר, טעויות קטנות, היענות לא עקבית לתהליכים.
ההשפעה המצטברת ניתנת למדידה. הפרודוקטיביות יכולה לרדת עד 35% תחת תנאים של בריאות נפשית לקויהעובדים מאבדים כמעט חמש שעות בשבוע עקב חוסר יעילות הקשור ללחץ. נוכחות: אנשים עובדים בזמן שהם לא בריאים; עולה לארגונים פי שניים עד שלושה יותר מהיעדרות.
שום דבר מזה לא נכנס בנוחות לקטגוריה של "רווחה". למעשה, זוהי הידרדרות של השכבה האנושית בסביבת הבקרה.
שחיקה אינה מגיעה כאירוע בודד. פרצי לחץ קצרים, מחזורי ביקורת ואירועים גדולים ניתנים לניהול. אך כאשר תנאים אלה נמשכים, הם מפסיקים להיות יוצאי דופן והופכים למבניים. צוותי אבטחה, בפרט, פועלים תחת עומס מתמשך: התראות מתמידות, שיאי ביקורת תקופתיים ומודלים של תגובה תגובתית. עם הזמן, זה מייצר דפוסים מוכרים, עייפות התראות, עומס יתר קוגניטיבי וקיצורי דרך בתהליכים. המערכת עדיין עשויה לעבור ביקורות. היא עדיין עשויה להיראות תואמת. אך היא הופכת פחות אמינה.
מה המשמעות של לקחת את זה ברצינות
הכרה בשחיקה כסיכון מהשורה הראשונה לא תדרוש מסגרת חדשה. היא תדרוש שימוש בזו שכבר קיימת.
רישום סיכוני שחיקה לא ייראה לא במקום לצד סיכונים תפעוליים אחרים. הוא יתאר, במילים פשוטות, את התנאים היוצרים חשיפה: עוצמת עומס עבודה מתמשכת, כלים מקוטעים, קפיצות חדות המונעות על ידי ביקורת וצוותים חסרי משאבים. הוא יעקוב אחר אינדיקטורים מובילים, לא רק היעדרות או נשירה, אלא אותות שכבר מוכרים למנהיגים תפעוליים:
- צבירי עומס גוברים והתראות לא פתורות
- הגדלת שיעורי השגיאות או עיבוד חוזר
- שעות עבודה מורחבות מעבר לחוזה
- ירידה במעורבות בתהליכים קריטיים
גם הפקדים הבאים נראים מוכרים להפליא:
- מידול עומס עבודה וקיבולת המותאם למחזורי סיכון ידועים
- כוונון ותעדוף התראות להפחתת רעש
- אוטומציה של משימות חוזרות ונשנות בעלות ערך נמוך
- בעלות ברורה יותר על פני מערכות מקוטעות
- מעבר מביקורות מבוססות שיא לגישות רציפות יותר
המטרה אינה להפוך שחיקה למדינית או לצמצמה למדד. אלא להפוך אותה לגלויה, ניתנת לבעלות וניתנת לניהול, וזה בדיוק מה שארגונים כבר עושים עם כל סיכון אחר הנושא רמת שכיחות והשלכות כזו.
שחיקה כמכפיל סיכונים
אני מאמין שאחת הסיבות לכך ששחיקה נותרה חסרת שליטה היא שהיא כמעט ולא מופיעה ככישלון עצמאי. היא מגבירה סיכונים אחרים.
כפי שמריה דראקולה מדגישה, "שחיקה פוגעת בקשב, בשיפוט ובמוטיבציה, ופותחת את הדלת לא רק לטעויות אנוש, אלא, במקרים קיצוניים, להתנהגות זדונית." במונחים של אבטחה, זה מתורגם לאופני כשל מובנים היטב:
- רגישות להנדסה חברתית, שבה עייפות ודחיפות מתנגשות
- תצורות שגויות הנגרמות כתוצאה מעומס קוגניטיבי או החלטות חפוזות
- עייפות ערנית המובילה לאיומים שהוחמצו או נדחו
- קיצורי דרך לבקרת גישה שננקטו תחת לחץ
- תקלות בהיענות לתהליכים
כל אחד מאלה, כל אחד בנפרד, מוכר. יחד, הם יוצרים דפוס. שחיקה אינה מציגה סיכונים חדשים. היא מגדילה את הסבירות לסיכונים שכבר קיימים.
מערכות, לא יחידים
התייחסות לשחיקה כנושא אישי הנוגע לחוסן אישי, התמודדות ורווחה מעבירה את הבעיה אל מחוץ למערכת ולממשל אל תוך האדם. זוהי בחירה עיצובית, והיא הבחירה הלא נכונה. הגורמים המניעים: מודלים של ביקורת שיוצרים שיאים בלתי בני קיימא, כלים שמפצלים זרימות עבודה ומגדילים את המאמץ הידני, מודלים של תפעול המניחים זמינות קבועה, גישות תאימות שנשארות ריאקטיביות ולא רציפות, יושבים היטב בתוך הממשל.
אלו הן החלטות עיצוב. והחלטות עיצוב ניתנות לשליטה.
עבודה מרחוק ומבוזרת שינתה גם את האופן שבו שחיקה מתבטאת, ולא את השאלה האם היא אכן מתבטאת. כפי שמציינת מריה דראקולה, "בידוד בשילוב עם עומס קוגניטיבי יוצר תנאים שבהם שגיאות יכולות להתרחש, להתפשט ולהישאר בלתי מזוהות למשך זמן רב יותר". מנקודת מבט ביטחונית, מדובר פחות בבעיה תרבותית ויותר בבעיה של גילוי וחוסן. הסיכון אינו שאנשים עובדים מרחוק. אלא שלמערכת יש פחות נקודות טבעיות של הפרעה ותיקון.
בעיית העיצוב הרחבה יותר
זה מתחבר לטיעון רחב יותר לגבי האופן שבו ארגונים מנהלים סיכונים באופן כללי. אותם ארגונים שלא היו חולמים על עריכת ביקורת אבטחה שנתית אחת ולקרוא לה ניהול סיכונים מתמשך, מפעילים את יכולותיהם האנושיות באותו אופן: סקר מעורבות שנתי, שבוע רווחה ומחזור הכשרה חד פעמי.
ההיגיון של ניטור מתמיד, החל על אבטחת מידע, פרטיות נתונים וממשל בינה מלאכותית, חל גם כאן. ביצועים אנושיים הם בקרה. הם מתדרדרים. הם זקוקים למידול, לא רק לרישום. כאשר אבטחת מידע, התחייבויות פרטיות וממשל בינה מלאכותית מנוהלים כמערכת מחוברת ורציפה במקום תרגילים נפרדים בנקודת זמן, ארגונים הופכים להיות קשים יותר לשיבוש. הרחבת אותה לוגיקה לשכבה האנושית של סביבת הבקרה אינה קפיצה משמעותית. זהו אותו עיקרון, המיושם באופן עקבי.
השאלה למנהיגות
מנהיגי אבטחה כבר נושאים באחריות על יעילות הבקרה, עמידה ברגולציה וחוסן תפעולי. שחיקה מצטלבת עם שלושתם. אך היא מופיעה לעיתים רחוקות בתוך אותם מבני ממשל, מה שמותיר תלות קריטית בביצועים אנושיים, הנשענת במידה רבה ולא מנוהלת באופן פעיל.
השאלה השימושית יותר אינה: כיצד אנו מפחיתים שחיקה? אלא: היכן בסביבת הבקרה שלנו אנו מסתמכים על ביצועים אנושיים מתמשכים שאין לנו דרך מובנית לדמות או לנהל?
מענה כנה לשאלה הזו הוא איך נראה ניהול סיכונים מתמשך בפועל. לא סקירה שנתית. לא יוזמה של רווחה. תלות מובנית, בבעלות ובפיקוח, כמו כל תלות אחרת במערכת.
אבטחת סייבר התפתחה על ידי למידה לעצב מערכות שנשארות עמידות בפני כישלון, למעט בתחום אחד. אנחנו עדיין מתכננים כאילו השכבה האנושית יציבה, עקבית וניתנת להתאמה ללא סוף. היא לא כזו.
אם לשחיקה היו אותן תכונות כמו לסיכון סייבר מסורתי - שכיחות גבוהה, השפעה מדידה, עלייה לאורך זמן - היא כבר הייתה מעוצבת, מנוטרת ומקבלת אחריות. העובדה שהיא לא כזו לא הופכת אותה לפחות אמיתית.
זה פשוט אומר שההחלטה להשאיר את זה ללא ניהול היא, כשלעצמה, החלטה של סיכון. כזו שרוב הארגונים לא קיבלו במודע.
הרחב את הידע שלך
בלוג: אבטחת סייבר נאבקת במשבר בריאות הנפש - כך תפתרו אותו
בלוג: אסטרטגיות מנהיגות לאיזון עומס עבודה באבטחה והצלחה בתאימות
