Hvis udbrændthed var en sikkerhedsrisiko, havde vi allerede løst den

Cybersikkerhed og compliance har altid været gode til én ting: at tage usikkerhed og tvinge den ind i struktur.

Vi tager noget abstrakt, en trussel, og gør det styrbart. Vi tildeler sandsynlighed og effekt, definerer ejerskab, implementerer kontroller og overvåger løbende. Med tiden har denne disciplin forvandlet cyberrisiko fra noget uhåndgribeligt til noget, som organisationer aktivt kan håndtere.

Udbrændthed har ikke fundet vej til de fleste risikoregistre, men alligevel er det udbredt, målbart og stadig mere forstået. Det påvirker præstationen i roller, hvor små fejl har uforholdsmæssigt store konsekvenser. Det er ikke en forglemmelse. Det afspejler en mangel på forståelse i, hvordan organisationer definerer risiko i første omgang.

Den antagelse, vi ikke taler om

De fleste sikkerheds- og compliance-modeller er bygget på en stille antagelse: at de personer, der betjener dem, fungerer med fuld kognitiv kapacitet.

Konsekvent.

Alene i Storbritannien, Dårlig mental sundhed koster nu arbejdsgivere 51 milliarder pund årligt, med mere end 22 millioner arbejdsdage tabt hvert år på grund af stress, angst og depression. Næsten Halvdelen af ​​HR-ledere identificerer nu udbrændthed som den største forretningsrisiko i 2026I teknologiske roller, Hele 82 % af medarbejderne rapporterer, at de føler sig tæt på udbrændthed.

På den baggrund begynder antagelsen om konsekvent høj menneskelig præstation at ligne mindre en basislinje og mere en sårbarhed.

Som Maria Drakoula, specialist i mental sundhed, udtrykte det: "Organisationer forudsætter perfekt præstation fra medarbejderne, hvilket i princippet er en sikkerhedsrisiko i sig selv."

De fleste sikkerhedssystemer er bygget til en arbejdsstyrke, der opererer med fuld kapacitet. Den arbejdsstyrke findes ikke.

Udbrændthed, omformuleret som risiko

Hvis organisationer behandlede udbrændthed med samme disciplin som andre operationelle risici, tror jeg, at samtalen ville se meget anderledes ud. Og den ville begynde, som alle risikosamtaler gør, med sandsynlighed.

På tværs af teknologi- og sikkerhedsfunktioner er udbrændthed ikke et sideproblem eller en periodisk stigning; det er vedvarende. ISACA-forskning viste, at 73 % af europæiske IT-professionelle har oplevet arbejdsrelateret stress eller udbrændthed, mens separat forskning viste, at 91% af CISO'er rapporterer moderate eller høje niveauer af stressI Storbritannien, omtrent Fire ud af fem ansatte siger, at de er tæt på udbrændthed, med højere koncentrationer i tekniske roller.

Dette er ikke en halerisiko. Det er en del af driftsmiljøet.

Virkningen er mere konkret, end den ofte bliver behandlet. Udbrændthed påvirker tre ting, som sikkerhed afhænger af: opmærksomhed, dømmekraft og motivation. Når disse ting forringes, forringes kontrollernes effektivitet også. Ikke dramatisk i starten, men gradvist; ubesvarede advarsler, langsommere beslutninger, små fejl, inkonsekvent procesoverholdelse.

Den kumulative effekt er målbar. Produktiviteten kan falde med op til 35 % under dårlige psykiske helbredstilstandeMedarbejdere mister næsten fem timer om ugen på grund af stressrelateret ineffektivitet. Nærvær: folk arbejder, mens de er syge; koster organisationer to til tre gange mere end fravær.

Intet af dette passer komfortabelt ind i en "velvære"-kategori. Det er i realiteten en forringelse af det menneskelige lag i kontrolmiljøet.

Udbrændthed opstår ikke som en enkeltstående begivenhed. Korte perioder med pres, revisionscyklusser og større hændelser er håndterbare. Men når disse forhold varer ved, holder de op med at være exceptionelle og bliver strukturelle. Især sikkerhedsteams opererer under vedvarende belastning: konstant alarmering, periodiske revisionstoppe og reaktive responsmodeller. Over tid skaber det velkendte mønstre, alarmtræthed, kognitiv overbelastning og procesgenveje. Systemet kan stadig bestå revisioner. Det kan stadig se kompatibelt ud. Men det bliver mindre pålideligt.

Hvad det ville betyde at tage dette alvorligt

At anerkende udbrændthed som en førsteklasses risiko ville ikke kræve en ny ramme. Det ville kræve at bruge den, der allerede eksisterer.

Et register over risikoen for udbrændthed ville ikke se malplaceret ud sammen med andre operationelle risici. Det ville i klare vendinger beskrive de forhold, der skaber eksponering: vedvarende arbejdsbelastningsintensitet, fragmenterede værktøjer, revisionsdrevne stigninger og teams med for få ressourcer. Det ville spore ledende indikatorer, ikke kun fravær eller afgang, men signaler, der allerede er kendte for operationelle ledere:

• stigende efterslæb og uløste advarsler
• stigende fejlrater eller omarbejde
• udvidet arbejdstid ud over kontrakten
• faldende engagement i kritiske processer

De følgende kontroller ser også bemærkelsesværdigt velkendte ud:

• arbejdsbyrde- og kapacitetsmodellering afstemt med kendte risikocyklusser
• alarmjustering og prioritering for at reducere støj
• automatisering af gentagne opgaver med lav værdi
• tydeligere ejerskab på tværs af fragmenterede systemer
• et skift fra spidsbelastningsbaserede revisioner til mere kontinuerlige tilgange

Målet er ikke at medikalisere udbrændthed eller reducere det til en måleenhed. Det er at gøre det synligt, ansvarligt og styrbart, hvilket er præcis, hvad organisationer allerede gør med alle andre risici, der bærer denne grad af udbredelse og konsekvenser.

Udbrændthed som risikomultiplikator

Jeg tror, ​​at en af ​​grundene til, at udbrændthed stadig er underreguleret, er, at det sjældent fremstår som en selvstændig fiasko. Det forstærker andre risici.

Som Maria Drakoula fremhæver, "forringer udbrændthed opmærksomhed, dømmekraft og motivation og åbner døren ikke blot for menneskelige fejl, men i ekstreme tilfælde også for ondsindet adfærd." Sikkerhedsmæssigt kan det omsættes til velforståede fejltilstande:

• modtagelighed for social engineering, hvor træthed og hastværk mødes
• fejlkonfigurationer forårsaget af kognitiv overbelastning eller forhastede beslutninger
• årvågen træthed, der fører til oversete eller afviste trusler
• Genveje til adgangskontrol taget under pres
• brud i procesoverholdelse

Når man tager disse hver især, er de velkendte. Sammen danner de et mønster. Udbrændthed introducerer ikke nye risici. Det øger sandsynligheden for dem, du allerede har.

Systemer, ikke individer

At behandle udbrændthed som et individuelt problem vedrørende personlig modstandsdygtighed, mestring og velvære flytter problemet ud af systemet og styringen og ind i personen. Det er et designvalg, og det er det forkerte. Drivkræfterne: revisionsmodeller, der skaber uholdbare toppe, værktøjer, der fragmenterer arbejdsgange og øger den manuelle indsats, driftsmodeller, der antager konstant tilgængelighed, compliance-tilgange, der forbliver reaktive snarere end kontinuerlige, er solidt forankret i styringen.

Dette er designbeslutninger. Og designbeslutninger kan styres.

Fjernarbejde og distribueret arbejde har også ændret, hvordan udbrændthed manifesterer sig, snarere end hvorvidt det gør. Som Maria Drakoula påpeger, "skaber isolation kombineret med kognitiv belastning forhold, hvor fejl kan opstå, sprede sig og forblive uopdagede i længere tid." Fra et sikkerhedsperspektiv er dette mindre et kulturelt problem og mere et spørgsmål om detektion og modstandsdygtighed. Risikoen er ikke, at folk arbejder eksternt. Det er, at systemet har færre naturlige punkter til afbrydelse og korrektion.

Det bredere designproblem

Dette knytter an til en bredere diskussion om, hvordan organisationer håndterer risici generelt. De samme organisationer, der ikke ville drømme om at køre en enkelt årlig sikkerhedsrevision og kalde det kontinuerlig risikostyring, bruger deres menneskelige kapacitet på samme måde: en årlig engagementsundersøgelse, en trivselsuge og en engangsuddannelsescyklus.

Logikken bag kontinuerlig overvågning, som gælder for informationssikkerhed, databeskyttelse og AI-styring, gælder også her. Menneskelig ydeevne er en kontrol. Den forringes. Den skal modelleres, ikke bare noteres. Når Informationssikkerhed, privatlivsforpligtelser og AI-styring administreres som et forbundet, kontinuerligt system I stedet for separate øvelser på bestemte tidspunkter bliver organisationer virkelig sværere at forstyrre. At udvide den samme logik til det menneskelige lag af kontrolmiljøet er ikke et betydeligt spring. Det er det samme princip, der anvendes konsekvent.

Spørgsmålet om lederskab

Sikkerhedsledere har allerede ansvar for kontroleffektivitet, overholdelse af regler og operationel robusthed. Udbrændthed krydser alle tre. Men det forekommer sjældent inden for de samme styringsstrukturer, hvilket efterlader en kritisk afhængighed af menneskelig præstation, som i vid udstrækning antages snarere end aktivt styres.

Det mere nyttige spørgsmål er ikke: hvordan reducerer vi udbrændthed? Det er: hvor i vores kontrolmiljø er vi afhængige af vedvarende menneskelig præstation, som vi ikke har nogen struktureret måde at modellere eller styre?

At besvare det spørgsmål ærligt er, hvordan kontinuerlig risikostyring rent faktisk ser ud. Ikke en årlig gennemgang. Ikke et velværeinitiativ. En struktureret, ejet, overvåget afhængighed, ligesom alle andre i systemet.

Cybersikkerhed har udviklet sig ved at lære at designe systemer, der forbliver robuste i lyset af fejl, undtagen på ét område. Vi designer stadig, som om det menneskelige lag er stabilt, konsistent og uendeligt tilpasningsdygtigt. Det er det ikke.

Hvis udbrændthed havde de samme egenskaber som en traditionel cyberrisiko – høj prævalens, målbar effekt og stigende over tid – ville den allerede være modelleret, overvåget og anerkendt. At den ikke er det, gør den ikke mindre reel.

Det betyder blot, at beslutningen om at lade det være uforvaltet i sig selv er en risikobeslutning. En beslutning, som de fleste organisationer ikke bevidst har truffet.

Udvid din viden

Blog: Cybersikkerhed kæmper mod en mental sundhedskrise – sådan løser du den

Blog: Lederskabsstrategier til at balancere sikkerhedsarbejdsbyrden og succes med compliance