La cybersecurity è in burnout: peggio di qualunque attacco hacker

Notizie di furti digitali, attacchi informatici e truffe online sono all’ordine del giorno. Siamo tutti coinvolti nella difesa del nostro perimetro digitale, sia personale, sia lavorativo: lo stress legato alle minacce informatiche è una costante e non può essere ignorato. In particolare, per i lavoratori di questo settore, lo stress legato alle responsabilità, ai ritmi frenetici e alla carenza di risorse sta diventando un vero e proprio fenomeno, con un impatto reale sulla loro qualità della vita.

Il volume di affari della difesa informatica in Europa è più che raddoppiato negli ultimi dieci anni. Diversi studi di mercato, pur utilizzando strumenti di valutazione diversi, stimano una crescita annua intorno al 9/10%, dovuta a tre cause principali.

• La prima è l’oggettivo incremento del numero e della complessità degli attacchi digitali alle infrastrutture informatiche di aziende, enti pubblici e privati.
• La seconda è l’introduzione di norme più stringenti e che hanno scadenze molto vicine, nel presente e nel prossimo futuro, come DORA (Digital Operational Resilience Act), il regolamento europeo che stabilisce requisiti uniformi per la resilienza operativa digitale delle istituzioni finanziarie, e NIS2 (Network and Information Security Directive 2), la direttiva europea che rafforza i requisiti di sicurezza informatica per operatori di servizi essenziali e fornitori di servizi digitali.
• Secondo gli analisti del settore, la terza causa è l’aumento della complessità del perimetro di difesa informatica delle organizzazioni, dovuto alla realizzazione di numerosi progetti di trasformazione digitale e alla migrazione verso il cloud tramite soluzioni SaaS (Software as a Service) e PaaS (Platform as a Service). Questi strumenti e progetti stanno favorendo l’innovazione, con molti vantaggi competitivi, anche in aziende che fino a pochi anni fa non consideravano strategico investire nell’informatica.

Ma qual è il prezzo pagato dalle persone (analisti della sicurezza, consulenti, manager e Chief Information Security Officer, o CISO) che si occupano di difendere il perimetro digitale delle aziende?

Uno studio pubblicato da ISACA (Information Systems Audit and Control Association, organizzazione professionale globale che da oltre 55 anni supporta i professionisti nei settori dell’IT, della sicurezza informatica, della governance, del rischio, della privacy e della conformità) a marzo 2025 ha pubblicato i risultati di una ricerca secondo cui i tre quarti dei professionisti IT europei (circa il 73%) dichiara di aver sperimentato stress lavorativo o burnout.

Sempre secondo questo rapporto, le ragioni dello stress legato alle attività nell’ambito della sicurezza informatica sono molteplici: Il 61% indica un carico di lavoro eccessivo, il 44% cita scadenze troppo strette, Il 43% lamenta una carenza di risorse, il 47% è influenzato negativamente da una gestione difficile o poco collaborativa.

Ai lavoratori del settore sono richieste forti competenze tecniche, ma anche solide qualità personali: è necessario saper comunicare in modo efficace per convincere e trasmettere le informazioni in modo accurato e comprensibile ai non addetti ai lavori; avere fiducia in sé stessi per prendere decisioni sotto pressione e coinvolgere i propri collaboratori; e infine essere resilienti, ovvero sapersi riprendere dagli insuccessi e adattarsi alle nuove sfide, tecnologiche e derivate dall’evoluzione delle normative.

Secondo un recente articolo, redatto da diversi rappresentanti di enti e università statunitensi e dedicato al tema del burnout tra il personale della National Security Agency, “il settore della cybersecurity sta vivendo una crisi di abbandono: fino al 46% dei leader della sicurezza informatica sta valutando di lasciare il proprio ruolo”.

Da molti anni sono a contatto con molti professionisti del settore e posso confermare che spesso la distanza culturale tra il management aziendale e chi si occupa di Information Technology (IT) è una delle principali fonti di stress. L’IT diventa strategica, centrale, indispensabile, quando si tratta di promuovere o mettere in evidenza un progetto di innovazione, ma viene facilmente dimenticato lo sforzo per ottenere risultati, che per molte aziende sono ormai considerati commodity. Quando l’IT non è il core business aziendale, la situazione di stress vissuta da molti professionisti per la mancanza di sostegno e riconoscimento del management è palpabile. Tra la fatica per ottenere il budget per le attività legate alla sicurezza informatica e il timore di subire un attacco non si dormono sonni molto tranquilli.

Per un manager della cybersecurity – che in molte aziende si assume anche responsabilità legali nel rapporto con le autorità – alle difficoltà di confronto con la direzione aziendale si aggiunge quella di trattenere i talenti: le competenze sono sempre più richieste, e i giovani, in particolare, chiedono un migliore equilibrio tra vita privata e lavoro, che le attività del settore spesso non riescono, e talvolta non possono, garantire. Si assiste a un vero e proprio braccio di ferro tra manager e direzione da un lato, e tra manager e collaboratori dall’altro.

I vantaggi di queste professioni – stipendi competitivi e forti motivazioni date dal lavorare in un ecosistema stimolante, tra tecnologie all’avanguardia, psicologia del comportamento delle persone e organizzazione – non impediscono il diffondersi di un malessere diffuso, che in molti casi può sfociare nell’abbandono del ruolo.

Tra i fattori che spingono molti professionisti a lasciare il proprio ruolo figurano le limitate prospettive di crescita, legate al timore di restare confinati nell’ambito della cybersecurity senza possibilità di accedere a posizioni più remunerative o di maggiore responsabilità. A queste si aggiungono la mancanza di allineamento tra i propri valori e quelli dell’azienda e, in alcuni casi, un clima lavorativo poco positivo.

Altre fonti affermano che lo stress dei CISO, e più in generale di chi lavora nella cyber security, può essere ridotto grazie a un maggiore coinvolgimento del management, alla definizione di percorsi di carriera, di mentoring e supporto psicologico, ma anche attraverso iniziative concrete per migliorare il work-life balance, come migliori turni di lavoro, spazi dedicati alla formazione e al recupero delle energie.

Se continuiamo a considerare la cybersecurity solo come un costo inevitabile o come un requisito normativo da spuntare, senza mettere al centro la salute e la motivazione di chi se ne occupa, il vero rischio non sarà l’attacco di un hacker, ma l’abbandono dei professionisti che oggi ci difendono. E allora nessuna tecnologia, per quanto sofisticata, potrà salvarci.

L’articolo che hai appena letto è finito, ma l’attività della redazione SenzaFiltro continua. Abbiamo scelto che i nostri contenuti siano sempre disponibili e gratuiti, perché mai come adesso c’è bisogno che la cultura del lavoro abbia un canale di informazione aperto, accessibile, libero.

Non cerchiamo abbonati da trattare meglio di altri, né lettori che la pensino come noi. Cerchiamo persone col nostro stesso bisogno di capire che Italia siamo quando parliamo di lavoro. 

Sottoscrivi SenzaFiltro

Photo credits: techradar.com