El Impacto Humano del Ransomware: Los Profesionales de TI Están Siendo Llevados al Límite

La amenaza del ransomware sigue en aumento, con el 66% de las empresas habiendo experimentado al menos un ataque de ransomware en los últimos dos años.  

Mientras que la discusión sobre el impacto de estos ataques se centra a menudo en cómo afecta a los negocios, nuevas investigaciones de Object First muestran que el impacto humano es igualmente significativo. El 84% de los profesionales de TI encuestados afirmaron que se sienten incómodamente estresados en el trabajo debido a los riesgos de seguridad informática, mientras que el 78% teme ser culpado personalmente por incidentes de seguridad.  

Estas cifras son impactantes, pero es igual de importante que veamos a los individuos detrás de estas estadísticas.  

Por eso, en este blog, profundizaremos en la investigación con más detalle, así como en algunos comentarios de profesionales de TI individuales en la comunidad en línea de Spiceworks para ver cómo están lidiando con el agotamiento en TI. 

Los trabajadores de TI sienten una responsabilidad extrema 

Una de las primeras preguntas que surge al leer las estadísticas anteriores es: ¿de dónde proviene todo este estrés?  

Un dato apunta a una posible respuesta: el 55% de los encuestados identificaron las cargas de trabajo pesadas y los equipos con falta de personal como las principales fuentes de estrés en sus roles, seguidas de las preocupaciones sobre ciberataques y la presión para mantener el tiempo de actividad y la disponibilidad del servicio.  

Si bien los posibles impactos financieros y reputacionales de un ataque de ransomware en un negocio son enormes, la supervivencia y recuperación de una organización es una carga extrema que se coloca sobre equipos que a menudo pueden consistir solo en un puñado de personas. En una reciente encuesta comunitaria sobre preocupaciones por el ransomware, el usuario de Spiceworks Guvna dejó claro que siente la presión: 

“La seguridad de TI termina conmigo, y a pesar de hacer todo lo posible para mitigar tales riesgos, en última instancia, solo se necesita que los actores maliciosos encuentren UNA forma de entrar, y ya están dentro. Ransomware, exfiltración, dolor, problemas. ¿Y a quién se le señala inmediatamente? Incluso con copias de seguridad aisladas, alguien tiene que asumir la culpa por algo.” 

Liderazgo y TI en páginas diferentes 

Si bien no se trata necesariamente de una cuestión de culpa, tanto nuestra investigación como nuestro alcance apuntan a que los trabajadores de TI sienten una presión significativa por parte de la alta dirección. El 47% de los encuestados informa sentir presión por parte del liderazgo para “arreglar todo” tras un incidente de seguridad.  

Sin embargo, no es solo durante la recuperación posterior al ataque que los profesionales de TI sienten la presión. Hay una sensación real entre aquellos con los que hablamos de que la alta dirección no siempre es consciente de la importancia del ransomware, o no está convencida del valor de protección ante ransomware, hasta que algo sale mal.     

Esto deja a muchos profesionales de TI no solo sintiéndose ignorados, sino que también les hace sentir que están enfrentando la lucha solos. En esa misma encuesta, según el usuario de Spiceworks MerlinYoda: 

“Solo después de que las cosas realmente van mal, la alta dirección ve cuán grandes eran los problemas de los que fueron advertidos. Hasta que no esté figurativamente en su puerta, la probabilidad del riesgo se juzga como no tan grande, por lo que cualquier costo asociado con mitigar ese riesgo se pesa en consecuencia.” 

La complejidad excesiva del sistema crea una carga adicional 

Más allá del entorno laboral, los datos muestran que las herramientas que los profesionales de TI utilizan pueden contribuir también al agotamiento en TI. 

El 74% dijo que sus herramientas de recuperación de datos son demasiado complejas para ser utilizadas sin experiencia en seguridad, y el 67% cree que soluciones de respaldo más rápidas y de mayor rendimiento que minimicen el tiempo de inactividad aumentarían significativamente la productividad y la confianza en la respuesta a ciberataques.  

En algunos casos, la tecnología no solo es compleja, sino también obsoleta. Sin embargo, obtener el apalancamiento adecuado para aumentar el gasto en nuevas tecnologías es a menudo difícil, especialmente sin una amenaza tangible, como señala el usuario de Spiceworks Nonya: 

“Experimentar [un ataque] […] es la única forma real de obtener algún gasto en seguridad... Esto también se puede aplicar a fallos de hardware, puedes advertir a los ejecutivos un millón de veces que nuestra infraestructura está obsoleta y en sus últimas etapas, pero hasta que finalmente implosione, nunca obtendrás apalancamiento…” 

El bienestar y la salud mental están subpriorizados 

Está claro que todos los elementos anteriores combinados están teniendo un costo emocional significativo en la fuerza laboral de TI, con uno de cada cinco (18%) sintiéndose “sin esperanza y abrumado” durante y después de un incidente de seguridad. Pero hay evidencia de que la salud mental y el bienestar también están subpriorizados en tiempos “normales”.  

El 50% de los encuestados siente que sus empresas no priorizan consistentemente el bienestar y la salud mental de los empleados, y incluso aquellos que nunca han pasado por un ataque están preocupados por el impacto en su salud, en ellos mismos y en quienes los rodean. Según el usuario de Spiceworks Iwan.W.Kanten: 

“A pesar de que nunca he experimentado un ataque activo, todavía estoy preocupado. He visto las secuelas. La seguridad mejorada, el estrés, el PTSD leve en el departamento de TI… es real.” 

El agotamiento en TI amenaza la resiliencia empresarial 

Esto nos lleva a una última estadística impactante en nuestra investigación: el 59% de los encuestados ha considerado o ha comenzado activamente a buscar nuevos trabajos debido al estrés laboral. El usuario de Spiceworks Guvna no lo endulza: 

 “Este [estrés por ransomware] es la razón número 1 por la que estoy considerando seriamente simplemente rendirme con TI y pasar a otro oficio […] La ansiedad está empeorando cada vez más. Quizás sea hora de dejar que alguien más tome las riendas y se dedique a pintar cercas para ganarse la vida.” 

Es un sentimiento que plantea amenazas reales para la industria de TI en general, y el momento no podría ser peor. David Bennett, CEO de Object First, señala:   

"El estrés creciente sobre los profesionales de TI y ciberseguridad no es solo un problema de recursos humanos; es un desafío para la resiliencia empresarial. Nuestra investigación muestra que la presión para ser la última línea de defensa cibernética está teniendo un serio impacto en la salud mental y el rendimiento laboral de estos profesionales. A medida que las amenazas cibernéticas continúan aumentando en frecuencia y sofisticación, el riesgo de productividad comprometida y pérdida de talento clave por agotamiento podría dejar a las organizaciones más vulnerables que nunca.” 

No podemos continuar la lucha contra el ransomware sin las habilidades, conocimientos y dedicación invaluables de los trabajadores de TI. Entonces, ¿qué se necesita hacer? 

Pequeños pasos para combatir el agotamiento en TI 

No podemos detener el ransomware de la noche a la mañana, ni podemos abordar de inmediato todas las causas del agotamiento en TI que muchos profesionales de la industria están enfrentando.  

Sin embargo, podemos dar a los profesionales de TI las herramientas que necesitan para ayudar a gestionar la presión y el estrés en el lugar de trabajo.  

Object First ha colaborado con Cybermindz, una organización sin fines de lucro con sede en San Francisco centrada en la resiliencia mental para la comunidad de TI y ciberseguridad, para lanzar un breve video que explora el estrés y el agotamiento en TI, pasos prácticos de recuperación y el papel del liderazgo en la salud mental.   

Junto con el video, ofrecen recursos como herramientas para identificar el agotamiento en TI, cómo gestionar la presión en el lugar de trabajo y medir el estrés, así como acceso gratuito al Protocolo iRest® de Cybermindz—una práctica simple, respaldada por investigaciones, de 10 pasos que se puede completar en 10–20 minutos para ayudar a reducir el estrés, restaurar el enfoque y mejorar el sueño. 

Para apoyo inmediato, hay recursos adicionales disponibles: 

• Línea de ayuda para suicidio y crisis: Si estás en los Estados Unidos, marca 988. Fuera de EE. UU.: Visita www.findahelpline.com para líneas directas específicas de cada país. 
• Alianza Nacional por la Salud Mental (NAMI): Llama al 1-800-950-6264 o envía un mensaje de texto con NAMI al 62640.