Quando Tony foi afastado do trabalho por burnout em seu cargo de conscientização em cibersegurança em uma grande empresa de e-commerce do Reino Unido, no ano passado, aquilo já era esperado há tempos.
“Muitos de nós que atuamos em cyber colocamos o coração no que fazemos. É uma paixão enorme”, afirma ele.
Com o tempo, Tony começou a ter cada vez mais dificuldade para dormir e até para ir ao escritório.
Ele prefere não revelar seu nome verdadeiro, mas lembra bem do ataque do ransomware Wannacry em 2017.
“Era uma sexta-feira e vi algo no noticiário da BBC. A equipe de segurança entrou em chamada naquela noite e a decisão foi tirar todos os dispositivos da rede.” Tony só conseguiu se desconectar no domingo à tarde.
A empresa não havia sido atingida pelo malware; todo o trabalho foi preventivo.
Hoje, ele vê o mesmo padrão sendo repetido em diversas organizações que tentam se proteger contra os ataques do grupo Scattered Spider, que afetou varejistas e outros negócios ao longo deste ano.
“Nem consigo imaginar o que as equipes do Co-op e do M&S passaram.”
O perigo do burnout é tão real quanto a ameaça dos ataques, alerta Andrew Tillman, ex-chefe de cyber risk da agência de segurança de saúde do Reino Unido.
“Se você acha que pode estar chegando ao burnout, já está no caminho”, afirma.
Segundo ele, trabalhar com cibersegurança pode ser o melhor emprego do mundo, mas quando as coisas desandam, o ambiente pode ficar bastante hostil.
Tillman também enfrentou episódios de burnout durante seus quatro anos na agência. Essa pressão constante começa a aparecer nas pesquisas com profissionais da área.
A ISC2, organização que representa especialistas em cibersegurança, divulgou seu Workforce Study anual com dados preocupantes.
Em 2024, apenas 66% dos entrevistados indicaram ter satisfação no trabalho, queda de quatro pontos percentuais em relação ao ano anterior.
Jon France, CISO da ISC2, considera o burnout “um problema sério” no setor. Ele destaca que os profissionais são cada vez mais cobrados a “fazer mais com menos”, o que só aumenta o estresse e a insatisfação.
“Quase nunca existe um expediente das nove às cinco. Mesmo trabalhando nesse horário, eles ficam de plantão, porque os atacantes não respeitam horário comercial.”
A escalada dos ataques também contribui para isso.
Hackers recentemente tornaram-se mais agressivos, mirando infraestruturas nacionais críticas e até hospitais, usando ransomware para causar caos.
Além disso, grupos patrocinados por estados-nação realizam cada vez mais ataques para espionagem, roubo de propriedade intelectual, desinformação, além de buscar ganhos financeiros.
Um exemplo são os hackers norte-coreanos, que se tornaram mais ativos e sofisticados.
No início deste ano, atribuíram-se a eles o roubo de US$ 1,5 bilhão em tokens digitais da exchange ByBit.
Autoridades americanas estimam que metade da aquisição de moeda estrangeira da Coreia do Norte vem de cibercrimes.
À medida que governos e empresas digitalizam suas operações, as consequências de um ataque ou vazamento de dados tornam-se mais graves.
Tillman ressalta: “Sempre existe a preocupação consciente de ‘se algo der errado, como isso vai impactar as pessoas? Seus empregos? Seu sustento?’”.
Outro ponto crítico é a alta rotatividade, principalmente em cargos iniciais, enfatiza Lisa Ackerman, ex-CISO adjunta da GSK e estratégica líder do CISO Council no Cybermindz, uma ONG que combate o burnout em segurança digital.
O bombardeio contínuo de alertas pode agravar o problema, pois os profissionais precisam analisar uma enorme quantidade de dados em tempo real, o que afeta principalmente os mais jovens, que trabalham nas linhas de frente e nos Security Operations Centers (SOCs).
Mas, como Tillman lembra, quem atua em posições menos operacionais também sofre.
Controlar riscos e garantir conformidade regulatória se torna ainda mais difícil quando outras áreas pressionam para lançar novas aplicações ou serviços sem levar a segurança em consideração.
Segundo Peter Coroneos, fundador do Cybermindz, os profissionais de cibersegurança frequentemente enfrentam uma “cultura de culpa”, em que suas conquistas são pouco visíveis.
Isso gera um “medo constante” que, a longo prazo, afeta a saúde mental dos trabalhadores, sobretudo os mais jovens.
“O cérebro humano ainda se desenvolve até os 20 e poucos anos. Se você coloca esses jovens em empregos muito estressantes, pode estar preparando-os para problemas cognitivos e emocionais no futuro”, alerta.
Para combater isso, o Cybermindz criou um “programa estruturado de treinamento neural”, que ajuda a restaurar a sensação de segurança psicológica.
Coroneos explica: “Dizer para alguém em pânico ‘fica calmo’ não funciona. É preciso trabalhar a neuroquímica”.
No fim das contas, o objetivo é maior que apenas ações isoladas.
“Gostaríamos de ter legislação específica para equipes de cibersegurança, como já existe para controladores de tráfego aéreo, médicos, pilotos e primeiros socorristas – que, na prática, é o papel dos defensores digitais”, pontua Ackerman.
Enquanto isso não acontece, a responsabilidade fica nas mãos das organizações e dos próprios profissionais, para que fiquem atentos aos sinais de estresse antes que a situação se torne grave.
Tillman está mais consciente dos seus próprios alertas pessoais, como mudanças no sono, na alimentação, na atividade física, ou até deixar de passear com o cachorro.
“É quase como um incidente de cyber,” compara. “Você deve pressupor que o burnout está chegando e agir para evitá-lo.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...