Il problema del burnout e della fuga di talenti dal settore della cybersecurity non riguarda più solo i singoli professionisti: sta diventando una questione sistemica che minaccia la tenuta delle organizzazioni. Mentre i CISO hanno visto crescere il proprio prestigio e le proprie responsabilità negli ultimi anni, i responsabili funzionali della sicurezza si trovano schiacciati da aspettative sempre più elevate senza ricevere il giusto riconoscimento economico o professionale. Il risultato è un crescente malcontento che spinge molti manager di medio livello a valutare seriamente l'abbandono del settore, proprio nel momento in cui gli attacchi informatici diventano più sofisticati e difficili da contrastare.
La trappola dell'ipervigilanza permanente
Il modello lavorativo su cui si basa la sicurezza informatica è semplicemente insostenibile. Come spiega Brandyn Fisher, responsabile delle capacità V-CISO presso Centric Consulting, si pretende che i leader della sicurezza abbiano ragione ogni singola volta, mentre a un attaccante basta avere successo una volta sola. Questa premessa crea una cultura dell'ipervigilanza che nessun essere umano può mantenere 24 ore su 24, 365 giorni all'anno.
I team sono reperibili durante festività e weekend, spesso senza compensi adeguati. Quando si verifica un incidente importante, la risposta può richiedere dalle quattro alle sei settimane consecutive, mettendo completamente in pausa la vita personale. Il dato è allarmante: il 66% dei professionisti della cybersecurity afferma che il proprio ruolo è più stressante oggi rispetto a cinque anni fa, secondo il rapporto State of Cybersecurity di ISACA.
Responsabilità senza autorità: il paradosso dei leader funzionali
Monika Malik, ingegnere software specializzata in dati e intelligenza artificiale presso AT&T, va dritta al punto: troppo spesso i responsabili funzionali vengono ritenuti responsabili dei progetti senza ricevere l'autonomia necessaria per prendere decisioni su roadmap, personale e budget. "I leader della sicurezza soffrono di burnout quando devono assumersi tutti i rischi ma non hanno alcuna roadmap", sottolinea Malik.
Fisher rincara la dose: questi professionisti diventano spesso capri espiatori per fallimenti che hanno origine altrove nell'organizzazione. Un semplice clic su un link da parte di un utente, una vulnerabilità introdotta dal team di sviluppo o una decisione sbagliata di un dirigente di alto livello ricadono tutti sulle spalle dei responsabili della sicurezza, che devono difendersi da minacce in ambienti dove hanno visibilità limitata.
Il caos degli strumenti e l'assenza di percorsi di carriera
La proliferazione incontrollata di tecnologie aggrava ulteriormente la situazione. Malik descrive organizzazioni che utilizzano più di 40 strumenti di sicurezza diversi per gestire gli stessi alert, con integrazioni scadenti che moltiplicano il lavoro invece di semplificarlo. A questo si aggiunge il sovraccarico di ruoli, con continui cambi di contesto tra progetti diversi, cicli di audit incessanti e riunioni che lasciano pochissimo tempo per lo sviluppo professionale.
Molte organizzazioni presentano una struttura piatta con un CISO e una serie di "responsabili di X" senza un percorso chiaro per avanzare ai livelli superiori. Come osserva Fisher, i manager ambiziosi della sicurezza guardano verso l'alto e vedono un ruolo che non desiderano: il CISO sepolto da uno stress continuo, personalmente responsabile senza le stesse protezioni degli altri dirigenti, che fatica a trovare tempo per la leadership strategica che il ruolo richiederebbe.
La cybersecurity come centro di costo: un errore strategico
Un nodo cruciale riguarda la percezione della sicurezza informatica all'interno delle organizzazioni. Poiché viene ancora largamente vista come un centro di costo piuttosto che come un abilitatore di business, i budget della cybersecurity sono i primi a essere tagliati mentre il panorama delle minacce cresce esponenzialmente. Questo mette i manager nella posizione impossibile di dover mitigare rischi a livello aziendale senza i fondi necessari per strumenti o talenti.
Carole Lee Hobson, CISO di PayNearMe, evidenzia come le aspettative sui leader funzionali della cybersecurity siano aumentate perché non viene più chiesto loro solo di proteggere i sistemi, ma anche di abilitare risultati di business, gestendo al contempo nuove esigenze normative, architetture tecnologiche complesse e risorse limitate. La superficie di attacco si è espansa con cloud, SaaS e intelligenza artificiale, lasciando i leader responsabili di rischi nelle dipendenze di terze parti che non possono controllare completamente.
Strategie concrete per invertire la rotta
La situazione non è senza speranza, ma richiede azioni concrete da parte dei CISO. Hobson suggerisce che i responsabili della sicurezza si pongano domande difficili: i leader funzionali stanno indossando troppi cappelli con troppe poche opportunità di avanzamento? Stiamo facendo abbastanza per nutrirli e trattenerli? La retention deve essere concepita come un programma che richiede iterazioni continue del modello operativo, non come qualcosa di statico.
Malik propone soluzioni pratiche: implementare strumenti di project management RACI (Responsible, Accountable, Consulted, Informed) e dare ai leader funzionali della sicurezza autorità reale sui loro sistemi. Servono percorsi di carriera chiari con criteri di promozione espliciti e sponsorizzazione — non semplice mentorship — a livello esecutivo, con visibilità e opportunità di presentarsi al consiglio di amministrazione.
Una porzione della retribuzione dovrebbe essere legata ai contributi alla riduzione del rischio, come i tempi di applicazione delle patch, invece che ai fattori di successo o fallimento degli audit. Fisher propone di tracciare il successo attraverso la prevenzione dei tempi di inattività e la protezione dei sistemi, piuttosto che reagendo agli incidenti. In un'azienda dove ha lavorato, quando il team di sicurezza ha iniziato a pubblicare dati sulla riduzione del rischio sulle proprie dashboard, l'engagement è aumentato e il turnover è diminuito.
Ridefinire i percorsi professionali nella cybersecurity
La progressione di carriera nella cybersecurity necessita probabilmente di essere ridefinita, concorda Hobson. Non si tratta solo di scalare una scala ristretta verso il ruolo di CISO — i posti a quel livello sono limitati e il settore sta evolvendo troppo rapidamente perché quello sia l'unico percorso possibile. Esistono molteplici percorsi gratificanti oltre quello tradizionale del CISO, in aree come la governance dell'AI, l'architettura e la gestione del rischio.
La crescita laterale attraverso la specializzazione approfondita in ambiti come privacy, threat modeling e governance dell'intelligenza artificiale può essere altrettanto preziosa e appagante. Il ruolo del CISO è coltivare resilienza, senso di appartenenza e conoscenza in diversi percorsi, in modo che i leader vedano significato nel loro lavoro e rimangano coinvolti.
Come sottolinea Fisher, il compito principale di un CISO non è solo gestire il rischio, ma costruire un'organizzazione resiliente e sostenibile. "Questo inizia proteggendo le nostre persone dal burnout, sostenendo il valore di business della sicurezza in sala consiglio per assicurarsi le risorse necessarie, e mentorando attivamente i nostri manager perché diventino i leader strategici di cui questa industria ha bisogno." La delega significativa è essenziale per prevenire il burnout e dare ai leader funzionali vera autonomia, perché nulla brucia un leader forte più velocemente che essere ridotto a un semplice messaggero.