فراز و فرود روحیه افراد در SOC و امنیت سایبری

سالها کار در امنیت خصوصا SOC من را با ابعاد فنی و غیر فنی این محیط مانوس کرده است لذا در صحبت با دوست روانشناسم ابعادی از روحیه تیم های امنیت رو در این سالها بررسی کرده ام . در سلسله مقالاتی اونها رو مینگارم .

بسیاری از کارکنان امنیت و SOC در لحظه بحران فوق‌العاده عمل می‌کنند-تصمیم سریع، تمرکز بالا، هماهنگی تیمی-اما پس از خروج از بحران دچار اضطراب منتشر، نشخوار فکری یا حساسیت بیش‌ازحد به محرک‌های ساده می‌شوند. این پدیده تناقض نیست؛ بلکه پیامد طبیعی فیزیولوژی استرس و ویژگی‌های شخصیتی افرادی است که معمولاً در SOC جذب می‌شوند.

در زمان بحران، سیستم عصبی سمپاتیک فعال می‌شود. آدرنالین و نورآدرنالین افزایش می‌یابد، تمرکز تیز می‌شود و مغز وارد حالت «عملیات» می‌شود. در این وضعیت، آمیگدال تهدید را شناسایی می‌کند و قشر پیش‌پیشانی منابع خود را بر تصمیم‌گیری سریع متمرکز می‌کند. برای بسیاری از تحلیلگران، این حالت حتی لذت‌بخش است؛ چون وضوح هدف، حس کنترل و معنا ایجاد می‌کند. بحران، محیطی ساختارمند و دارای فوریت می‌سازد-چیزی که ذهن تحلیلی به‌خوبی با آن کار می‌کند.

اما پس از پایان بحران، بدن وارد مرحله بازگشت (down-regulation) می‌شود. سطح هورمون‌های استرس کاهش می‌یابد، اما سیستم هشدار بلافاصله خاموش نمی‌شود. این فاصله زمانی همان جایی است که «اضطراب پس‌بحران» ظاهر می‌شود. ذهن که عادت کرده در حالت جستجوی تهدید باشد، همچنان به اسکن ادامه می‌دهد. در نتیجه، محرک‌های ساده- یک آلارم کم‌اهمیت، ایمیل مبهم، یا حتی فکر «نکند چیزی را ندیده باشم»- می‌تواند پاسخ اضطرابی ایجاد کند.

در SOC چند عامل این چرخه را تشدید می‌کند. اول، ماهیت کار مبتنی بر عدم قطعیت است. هیچ تحلیلگری هرگز ۱۰۰٪ مطمئن نیست که همه چیز را دیده است. دوم، پیامد تصمیم‌ها بالقوه بزرگ است: قطع سرویس، از دست رفتن داده یا آسیب اعتباری. این مسئولیت شناختی باعث می‌شود مغز در حالت hypervigilance باقی بماند. سوم، فرهنگ قهرمان‌محور در برخی تیم‌ها- که بحران را با افتخار و آدرنالین بالا مدیریت می‌کنند- گاهی اجازه پردازش هیجانی بعد از رخداد را نمی‌دهد. احساسات سرکوب می‌شوند و بعداً به شکل اضطراب منتشر بازمی‌گردند.

از نظر شناختی، چند سوگیری در این مرحله فعال می‌شود: سوگیری تأیید («اگر یک IOC دیگر پیدا شود، یعنی ما اشتباه کردیم»)، فاجعه‌سازی («اگر یک لاگ را از دست داده باشیم چه؟»)، و مسئولیت‌پذیری افراطی. این الگوها به‌تدریج می‌توانند به اضطراب فراگیر شبیه شوند، به‌ویژه اگر بحران‌ها مکرر باشند و فرصت بازیابی وجود نداشته باشد. همچنین «خستگی تصمیم» پس از رخداد شدید می‌تواند آستانه تحمل فرد را پایین بیاورد، طوری که مسائل کوچک بزرگ به نظر برسند.

نکته مهم این است که عملکرد عالی در بحران لزوماً نشانه تاب‌آوری بلندمدت نیست. برخی افراد به دلیل ویژگی‌هایی مثل کمال‌گرایی، وجدان کاری بالا و حساسیت به تهدید، در لحظه بحران درخشان‌اند؛ اما همین ویژگی‌ها آن‌ها را در معرض نشخوار پس‌بحران قرار می‌دهد. اگر این چرخه بدون مداخله تکرار شود، ممکن است به فرسودگی شغلی یا اضطراب مزمن منجر شود.

راهکارها دو سطح دارند: فردی و سازمانی. در سطح فردی، آموزش تنظیم هیجان (تنفس آهسته، بازسازی شناختی، زمان‌بندی نگرانی) و پذیرش «ریسک صفر وجود ندارد» حیاتی است. داشتن چک‌لیست خاتمه رخداد (Incident Closure Checklist) به مغز سیگنال پایان می‌دهد و نشخوار را کاهش می‌دهد. در سطح سازمانی، After Action Review در فضای غیرتنبیهی، چرخش شیفت‌ها، و حمایت همکاران (Peer Support) بسیار مؤثر است. همچنین رهبران SOC باید به‌صراحت درباره «افت انرژی پس از بحران» صحبت کنند تا عادی‌سازی شود.

در جمع‌بندی، مغز انسان برای تهدید کوتاه‌مدت طراحی شده، نه برای حالت آماده‌باش مزمن. مدیریت حرفه‌ای SOC فقط مدیریت لاگ و آلارم نیست؛ مدیریت چرخه استرس تیم نیز هست. وقتی این چرخه شناخته و تنظیم شود، هم عملکرد در بحران حفظ می‌شود و هم سلامت روان بلندمدت تیم.