Chi resterebbe in una posizione lavorativa in cui è sempre sottopressione, per un motivo o per l’altro? Poche persone, in effetti, e le ricerche e gli studi sui professionisti IT, security e privacy lo evidenziano. Gli altri professionisti lasciano le loro posizioni per evitare condizioni di lavoro proibitive e challenge inarrivabili. Che contribuiscono ad aggravare il turnover e ad aumentare il divario di competenze, tanto da incidere sulla capacità delle organizzazioni di competere nel business. Per questi motivi è necessario ripensare e rivedere la cultura aziendale in fatto di security.
Le ricerche che trattano il burnout e lo stress crescente di C-level nelle professioni IT e nella cyber security, sono numerose e sempre più frequentemente si basano su ricerche e rilevamenti che sottolineano alcune mancanze soprattutto a livello di cultura aziendale: le evidenze risaltano condizioni di lavoro destrutturate, mancanze di tutoring, ma anche spaccature imponenti fra il carico di lavoro e le risorse disponibili, fra i livelli di responsabilità e i budget insufficienti, fra le teoriche deleghe decisionali e le reali conseguenze di decisioni prese dal top management in tema di sicurezza che contrastano con le indicazioni dei ruoli di security.
In altri termini: ciò che andrebbe fatto per stare al sicuro in modo preventivo, non viene fatto per motivi diversi (budget, risorse competenti, decisioni incoerenti rispetto alle indicazioni di security) ma le conseguenze, comunque, si abbattono sui responsabili di security che, quindi, non hanno mezzi di salvataggio.
Si parla di impatti di incidenti di sicurezza, ma anche di impatti legati a mancata compliance che lo ricordiamo, con le recenti normative europee ed italiane prevede anche responsabilità di interdizione temporanea (vedi decreto su adeguamento DORA come esempio).
Dato che l’abbandono o peggio, il ‘quite quitting’ (riduzione delle attività al minimo indispensabile) di questi professionisti provoca l’aggravio nella carenza di risorse e di competenze tecnologiche specialistiche per l’azienda, l’alternativa per i top manager e CEO è prendere coscienza del problema e delle sue cause e collaborare attivamente con i responsabili di security per negoziare insieme una soluzione.
Shamla Naidoo, oggi global CISO e direttore indipendente, già dal 2022 scriveva di questo problema, sottolineando come “fosse necessario riconoscere il livello di pressione a cui i CISO e i loro team sono sottoposti ogni giorno” e auspicando “una educazione dei CEO su questa crisi incombente, riconoscendo che questo lavoro è difficile e molti CISO e i team di sicurezza affrontano preoccupazioni legittime”.
Indice degli argomenti
Cultura aziendale manchevole o mancante
Gartner nel 2023 aveva pubblicato la ricerca ““Predicts 2023: Cybersecurity Industry Focuses on the Human Deal” secondo la quale entro il 2025 quasi la metà dei leader della sicurezza informatica avrebbe cambiato lavoro verso ruoli interni alla propria azienda, ma diversi dalla sicurezza a causa di molteplici fattori di stress correlati al lavoro.
In particolare, sembra che l’impatto psicologico legato alle sole possibilità di essere attaccati o meno, fosse motivo di incidenza sulla qualità delle decisioni e sulle prestazioni.
Un ulteriore sondaggio BlackFog del 2024 aveva rilevato che circa 1 CISO su 4 stava pensando di abbandonare la professione e come motivo determinante di abbandono la stessa ricerca evidenziava lo stress opprimente per il 93%.
Ma per capire correttamente le ragioni di questo stress è necessario fare una premessa: le logiche del lavoro nella security sono tali per cui “se non succede nulla, è un giorno buono” come ha detto Nadav Zafir, il CEO di Checkpoint recentemente, ovvero dal punto di vista della sicurezza informatica, se non ci sono attacchi significa che le azioni di security preventiva svolte sono corrette.
Tuttavia, top manager e colleghi di altre strutture potrebbero non percepire il vero valore di team e dei ruoli di sicurezza, proprio perché dal loro punto di vista non succede nulla (ovvero hanno una scarsa percezione del rischio potenziale di sicurezza che grava sull’azienda).
Senza considerare che il ruolo della security è proprio legato ad operare in modo preventivo e per evitare che un evento avverso accada o che se accade, non si riverberi sul resto dell’azienda contenendo le conseguenze (scarsa percezione del ruolo attivo ma silente di protezione dei team di security per l’azienda).
Quindi nel migliore dei casi, ovvero quando i professionisti di security operano correttamente, non accade nulla, ma la percezione degli altri è distorta negativamente. Viceversa, quando accade l’evento incidente l’organizzazione intera si riversa sui ruoli di security per sollecitare la risoluzione rapida o lamentando impatti insostenibili.
“È decisamente un problema di cultura aziendale” sottolinea Deepti Gopal, direttore analista, Gartner “Il burnout e l’abbandono volontario sono conseguenze di una cultura organizzativa scadente. Sebbene eliminare lo stress sia un obiettivo irrealistico, le persone possono gestire lavori incredibilmente impegnativi e stressanti, in organizzazioni con culture aziendali in cui sono supportate”.
Ed è in questa dinamica che si verifica un aumento del turnover e ad un logoramento dei team in cui i talenti lasciano ruoli in cui il loro impatto non è sentito e apprezzato. Altri motivi per sentirsi bloccati in un lavoro ingrato li spiega Chris Prewitt, CTO/CISO di Inversion6 (fornitore di gestione dei rischi per la sicurezza informatica) il quale osserva che “molte persone che pensano che la sicurezza consista solo nel rallentare le cose quando cercano di fare affari; che si sta osteggiando l’azienda verso la sua spinta di business, o almeno questa è la percezione comune”.
Ulteriori situazioni frequenti possono riguardare il fatto che: i CISO rispondano ai Chief Information Officer (CIO i quali sono misurati sulla efficienza operativa e l’innovazione piuttosto che sulla security direttamente n.d.r.); i ruoli di CISO non apportano reddito, ma sono considerati centri di costo (solitamente da minimizzare n.d.r.); i CISO sono spesso soggetti a reperibilità ma non sempre debitamente remunerati in proposito; per i CISO le aspettative di carriera possono essere limitate, il che impedisce anche il corretto posizionamento di livello gerarchico. Cosa che permetterebbe loro di poter interloquire con il top management, spiegando l’impatto sul business in relazione ad uno o più rischi di sicurezza.
Tutti questi fattori incidono sul senso di impotenza e sulla frustrazione e stress che invece potrebbe cambiare con la giusta cultura interna aziendale.
Aumento dello stress da carico di lavoro eccessivo
Secondo la ricerca di BlackFog, la pressione del carico di lavoro abbatte questi professionisti, tanto che il 98% dichiara di lavorare oltre le ore contrattuali: un CISO medio registra nove ore aggiuntive a settimana con casi estremi, del 15% degli intervistati che lavora più di 16 ore in più rispetto all’orario contrattuale ogni settimana.
Questo sovraccarico di lavoro non è sostenibile e conduce al burnout, con molti responsabili della sicurezza pronti a lasciare il settore, incidendo sul tasso di turnover aziendale, solitamente metro di scarso benessere aziendale.
Anche la più recente ricerca di ISACA State of Privacy 2025 survey report, che riflette la situazione di oltre 1.600 professionisti globali in tutto il mondo, evidenzia che il 63 percento degli impiegati alla data protection afferma di essere più stressato nel proprio lavoro ora, rispetto a cinque anni fa e il 34% significativamente più stressato.
Le cause principali di questo stress sono ricondotte alla rapida evoluzione della tecnologia nel 63% degli intervistati, alle sfide di conformità per il 61% e alla carenza di risorse per il 59%. Dalla stessa ricerca si evince come quasi tre quarti, il 73%, dei professionisti IT europei abbiano sperimentato stress o burnout correlati al lavoro e come il 61% dei professionisti IT in Europa attribuisca lo stress lavorativo ai carichi di lavoro pesanti a scadenze ravvicinate.
Il carico di lavoro maggiorato sembra causato non solo da un maggior numero di cose da fare pro-capite, ma anche dall’assenza di organico competente, motivo per cui il peso del lavoro si ridistribuisce sul personale esistente.
Nonostante il 47% scelga di mantenere il proprio attuale lavoro perché lo trova interessante e ben remunerato, il 30% dei giovani professionisti IT ha affermato che le competenze specialistiche richieste per specifiche aree IT e della sicurezza rappresentano una sfida significativa.
Chris Dimitriadis, Chief Global Strategy Officer di ISACA avverte proprio sulle nuove generazioni: “I professionisti IT più giovani stanno cambiando lavoro a un ritmo molto più elevato, evidenziando la necessità di migliori strategie di fidelizzazione, tra cui chiari percorsi di crescita professionale e un focus sull’equilibrio tra lavoro e vita privata”.
Importante anche il bilanciamento. Continua infatti l’esperto “allo stesso tempo, i professionisti esperti devono ricevere il supporto di cui hanno bisogno per rimanere coinvolti e continuare a contribuire con la loro competenza. Una forza lavoro equilibrata e ben supportata è fondamentale per sostenere la crescita e l’innovazione del settore”.
Un ulteriore problema riguarda la sentita esigenza di tutoraggio (mentoring) e guida nelle professioni ritenuta importante per il 76% degli intervistati della ricerca ISACA. Fra questi, un quarto dei professionisti IT, il 24%, ne sente la mancanza a fronte del solo 15% che ha uno mentore.
Conclude Dimitriadis sottolineando come “il divario di competenze informatiche continua a creare problemi di benessere. Mentre assumere il personale giusto e fornire opportunità di tutoraggio e sviluppo di carriera sono sempre accorgimenti fondamentali per creare una forza lavoro produttiva e soddisfatta”.
L’importanza di premesse necessarie al ruolo del CISO
Per Alessandro Manfredini, presidente Associazione Italiana Professionisti Security Aziendale (AIPSA) “parlare di Burnout per un CISO è un ossimoro. Questo perché il CISO”, spiega “è un professionista che, a titolo personale ha skill di tipo hard e soft che permettono di operare per prevenire in primis, ma anche gestire poi, le situazioni di emergenza, quindi possono esistere momenti di maggiore pressione e criticità ma non si fa sopraffare dagli accadimenti”.
“Lo stesso professionista” continua Manfredini, “nell’organizzazione deve poter contare su alcune premesse fondamentali del ruolo CISO: avere un inquadramento da manager dirigente almeno di primo livello, con risorse di budget e risorse di personale, che possa sedersi al tavolo con i suoi omologhi C-level di altre funzioni e riporti al CEO”.
Guai in vista se tali premesse non esistono. L’esperto avverte che “se il responsabile della sicurezza aziendale non è in questa configurazione, allora la situazione non può che peggiorare e chi si assume una responsabilità in quel ruolo senza tali premesse, subisce tutte le conseguenti storture.
Come sempre, nessuna azienda può avere l’approccio di ‘fare le nozze con i fichi secchi’ e la security non fa eccezione, anzi una simile impostazione è la madre di tutti i disastri. CISO è una figura che concorre al successo del business aziendale e come tale deve poter stare con le altre figure C-level che parlano del business anche per arricchirsi vicendevolmente e di come si influenzino a vicenda.
Sopra a tutto è necessario un CEO che si impegni e prioritizzi i temi di sicurezza, perché questo approccio è parte della soluzione, dato che tutti si sentono responsabilizzati a operare nella stessa direzione; senza tale approccio, è una sfida difficile da vincere”.
Le cause del burnout e come disinnescarle
Nicola Sotira, Head del Cert di poste italiane, in tema di burnout chiarisce che “occuparsi di cybersicurezza richiede spesso di affrontare livelli di stress e burnout, aggravati dalle crescenti minacce informatiche e dalle aspettative regolamentari. Un ruolo stressante a causa della responsabilità diretta per la sicurezza aziendale e della pressione costante da parte di attaccanti”.
La ricetta di Sotira per contribuire a risolvere passa per “la gestione della pressione senza compromettere la sicurezza aziendale”, consigliando di “lavorare sull’automazione, delegare e costruire team coesi e comunicativi e lavorare anche sul diffondere la cultura della sicurezza che deve essere distribuita in azienda e non essere solo un tema delle funzioni di sicurezza”.
Yonesy Núñez, CISO, Independent Board Director e Advisor, spiega che “Il burnout del CISO è reale. Il ruolo del CISO si è espanso ben oltre la sicurezza tecnica e questo aggiunge pressioni legali, normative e aziendali che pochi altri dirigenti devono affrontare. Ma nessun leader può mantenere il successo in modalità ‘crisi per sempre’”.
Quindi osserva come “la pressione per gestire minacce costanti bilanciando le aspettative dei dirigenti, lo peggiori” suggerendo una risoluzione basata sull’auto-tutela: “I responsabili della sicurezza devono stabilire dei limiti, creare team forti e ripensare al modo in cui affrontano la resilienza a lungo termine, sia per le loro organizzazioni che per loro stessi”.
Insomma, quale che sia la radice del problema o un mix delle problematiche (pressione-da-conformità normativa, risorse insufficienti, pressione psicologica sull’incidente o distorsione della percezione da parte di colleghi che non capiscono la sicurezza), l’advisor non ha dubbi: “Una strategia di sicurezza forte inizia con una leadership forte e ciò significa che i CISO devono prendersi cura di sé stessi, non solo delle loro organizzazioni”.
Michael P. Leiter, psicologo organizzativo e coautore di The Burnout Challenge, afferma che “i CISO possono anche ridurre al minimo la frustrazione cercando di equilibrare meglio fra il lavoro che li motiva e gli piace, rispetto alle attività che non sono soddisfacenti”, ma chiunque lavori in una azienda può testimoniare che non è sempre possibile scegliere la priorità delle cose, perché è prerogativa della catena gerarchica.
In altri termini le organizzazioni permettono davvero di porre limiti o cambiare le priorità del CISO? Steve Zalewski, ex CISO per Levi Strauss, suggerisce di negoziare in fase di assunzione sia i termini di budget che di personale, in tal modo “se un’organizzazione sta limitando o riducendo gli investimenti in sicurezza informatica, non può aspettarsi che i CISO a corto di risorse forniscano gli stessi risultati di prima dei tagli e quegli stessi obiettivi dovrebbero essere oggetto di rinegoziazione”.
Non c’è modo di sapere quale sarà la soluzione finale per ogni singola organizzazione, ma una cosa è certa: la coperta è corta e si auspica che ‘si possa allungare’ per il bene di tutte le parti.
