Cybersäkerhet och regelefterlevnad har alltid varit bra på en sak: att ta osäkerhet och tvinga fram den i struktur.

Vi tar något abstrakt, ett hot, och gör det styrbart. Vi tilldelar sannolikhet och påverkan, definierar ägarskap, implementerar kontroller och övervakar kontinuerligt. Med tiden har den disciplinen förvandlat cyberrisker från något immateriellt till något som organisationer aktivt kan hantera.

Utbrändhet har inte hamnat på de flesta riskregister, men ändå är det utbrett, mätbart och alltmer förstådd. Det påverkar prestationer i roller där små misstag får oerhört stora konsekvenser. Det är inte ett misstag. Det återspeglar en lucka i hur organisationer definierar risk från första början.

Antagandet vi inte pratar om

De flesta säkerhets- och efterlevnadsmodeller bygger på ett tyst antagande: att de personer som använder dem fungerar med full kognitiv kapacitet.

Konsekvent.

Bara i Storbritannien, Dålig psykisk hälsa kostar nu arbetsgivare 51 miljarder pund årligen, med mer än 22 miljoner arbetsdagar som förloras varje år på grund av stress, ångest och depression. Nästan Hälften av HR-cheferna identifierar nu utbrändhet som den största affärsrisken för 2026I teknikroller, så många som 82 % av de anställda rapporterar att de känner sig nära utbrändhet.

Mot den bakgrunden börjar antagandet om konsekvent hög mänsklig prestation se mindre ut som en baslinje och mer som en sårbarhet.

Som Maria Drakoula, specialist på psykisk hälsa, uttryckte det: ”Organisationer förutsätter perfekta prestationer från sina anställda, vilket i princip är en säkerhetsrisk i sig.”

De flesta säkerhetsramverk är byggda för en arbetsstyrka som arbetar med full kapacitet. Den arbetsstyrkan existerar inte.

Utbrändhet, omformulerad som risk

Om organisationer behandlade utbrändhet med samma disciplin som andra operativa risker, tror jag att samtalet skulle se väldigt annorlunda ut. Och det skulle börja, som alla risksamtal gör, med sannolikhet.

Inom teknik- och säkerhetsfunktioner är utbrändhet inte ett marginellt problem eller en periodisk topp; det är ihållande. ISACA-forskning fann att 73 % av europeiska IT-proffs har upplevt arbetsrelaterad stress eller utbrändhet, medan separat forskning visade att 91 % av CISO:er rapporterar måttliga eller höga stressnivåerI Storbritannien, ungefär fyra av fem anställda säger att de är nära utbrändhet, med högre inriktningar inom tekniska roller.

Detta är inte en svansrisk. Det är en del av driftsmiljön.

Effekten är mer konkret än den ofta behandlas. Utbrändhet påverkar tre saker som säkerhet är beroende av: uppmärksamhet, omdöme och motivation. När dessa försämras, försämras även kontrollernas effektivitet. Inte dramatiskt till en början, utan stegvis; missade varningar, långsammare beslut, små fel, inkonsekvent processföljsamhet.

Den kumulativa effekten är mätbar. Produktiviteten kan minska med upp till 35 % vid dålig psykisk hälsaAnställda förlorar nästan fem timmar i veckan på grund av stressrelaterad ineffektivitet. Närvaro: människor arbetar medan de är sjuka; kostar organisationer två till tre gånger mer än frånvaro.

Inget av detta passar bekvämt in i en "välbefinnande"-kategori. Det är i själva verket en försämring av den mänskliga nivån i kontrollmiljön.

Utbrändhet uppstår inte som en enskild händelse. Korta perioder av press, revisionscykler och större incidenter är hanterbara. Men när dessa förhållanden kvarstår slutar de att vara exceptionella och blir strukturella. Säkerhetsteam, i synnerhet, arbetar under ihållande belastning: konstanta varningar, periodiska revisionstoppar och reaktiva responsmodeller. Med tiden skapar det bekanta mönster, varningströtthet, kognitiv överbelastning och processgenvägar. Systemet kan fortfarande klara revisioner. Det kan fortfarande se kompatibelt ut. Men det blir mindre tillförlitligt.

Vad det skulle innebära att ta detta på allvar

Att erkänna utbrändhet som en förstklassig risk skulle inte kräva ett nytt ramverk. Det skulle kräva att man använder det som redan finns.

Ett register över risker för utbrändhet skulle inte se malplacerat ut tillsammans med andra operativa risker. Det skulle i enkla ordalag beskriva de förhållanden som skapar exponering: ihållande arbetsbelastningsintensitet, fragmenterade verktyg, revisionsdrivna toppar och underresursförsörjda team. Det skulle spåra ledande indikatorer, inte bara frånvaro eller avgång, utan signaler som redan är bekanta för operativa ledare:

  • ökande eftersläpningar och olösta varningar
  • ökande felfrekvenser eller omarbetningar
  • förlängd arbetstid utöver avtalet
  • minskande engagemang i kritiska processer

Kontrollerna som följer ser också anmärkningsvärt bekanta ut:

  • arbetsbelastnings- och kapacitetsmodellering anpassad till kända riskcykler
  • varningsjustering och prioritering för att minska brus
  • automatisering av repetitiva uppgifter med lågt värde
  • tydligare ägarskap över fragmenterade system
  • en övergång från toppbaserade revisioner till mer kontinuerliga metoder

Målet är inte att medikalisera utbrändhet eller reducera den till ett mått. Det är att göra den synlig, ägd och styrbar, vilket är precis vad organisationer redan gör med alla andra risker som har denna nivå av förekomst och konsekvenser.

Utbrändhet som riskmultiplikator

Jag tror att en av anledningarna till att utbrändhet fortfarande är understyrd är att det sällan framstår som ett fristående misslyckande. Det förstärker andra risker.

Som Maria Drakoula betonar, ”försämrar utbrändhet uppmärksamhet, omdöme och motivation, vilket öppnar dörren inte bara för mänskliga fel utan, i extrema fall, för skadligt beteende.” Säkerhetsmässigt kan det översättas till väl förstådda fellägen:

  • mottaglighet för social ingenjörskonst, där trötthet och brådska möts
  • felkonfigurationer orsakade av kognitiv överbelastning eller förhastade beslut
  • vaksam trötthet som leder till missade eller avfärdade hot
  • genvägar för åtkomstkontroll vidtagna under press
  • brister i processefterlevnad

Var och en av dessa är bekant. Tillsammans bildar de ett mönster. Utbrändhet introducerar inte nya risker. Det ökar sannolikheten för de du redan har.

System, inte individer

Att behandla utbrändhet som en individuell fråga om personlig motståndskraft, coping och välbefinnande flyttar problemet ut ur systemet och styrningen och in i personen. Det är ett designval, och det är fel val. Drivkrafterna: revisionsmodeller som skapar ohållbara toppar, verktyg som fragmenterar arbetsflöden och ökar manuell ansträngning, verksamhetsmodeller som förutsätter konstant tillgänglighet, efterlevnadsmetoder som förblir reaktiva snarare än kontinuerliga, sitter fast i styrningen.

Det här är designbeslut. Och designbeslut är styrbara.

Distansarbete och distribuerat arbete har också förändrat hur utbrändhet manifesterar sig snarare än huruvida den gör det. Som Maria Drakoula påpekar skapar ”isolering i kombination med kognitiv belastning förhållanden där fel kan uppstå, spridas och förbli oupptäckta längre.” Ur ett säkerhetsperspektiv är detta mindre en kulturfråga och mer en fråga om upptäckt och motståndskraft. Risken är inte att människor arbetar på distans. Det är att systemet har färre naturliga punkter för avbrott och korrigering.

Det bredare designproblemet

Detta kopplar samman med ett bredare argument om hur organisationer hanterar risker överlag. Samma organisationer som inte skulle drömma om att genomföra en enda årlig säkerhetsrevision och kalla det kontinuerlig riskhantering, hanterar sin personalkapacitet på samma sätt: en årlig engagemangsundersökning, en välbefinnandevecka och en engångsutbildningscykel.

Logiken bakom kontinuerlig övervakning, som gäller informationssäkerhet, dataskydd och AI-styrning, gäller även här. Mänsklig prestation är en kontroll. Den försämras. Den behöver modelleras, inte bara noteras. När Informationssäkerhet, integritetsskyldigheter och AI-styrning hanteras som ett sammankopplat, kontinuerligt system snarare än separata tidpunktsövningar blir organisationer genuint svårare att störa. Att utvidga samma logik till den mänskliga nivån i kontrollmiljön är inte ett betydande steg. Det är samma princip, tillämpad konsekvent.

Frågan för ledarskapet

Säkerhetschefer har redan ansvar för kontrolleffektivitet, regelefterlevnad och operativ motståndskraft. Utbrändhet överlappar alla tre. Men det förekommer sällan inom samma styrningsstrukturer, vilket skapar ett kritiskt beroende av mänsklig prestation, som till stor del antas snarare än aktivt hanteras.

Den mer användbara frågan är inte: hur minskar vi utbrändhet? Den är: var i vår kontrollmiljö förlitar vi oss på hållbar mänsklig prestation som vi inte har något strukturerat sätt att modellera eller hantera?

Att svara ärligt på den frågan är vad kontinuerlig riskhantering faktiskt ser ut. Inte en årlig översyn. Inte ett välbefinnandeinitiativ. Ett strukturerat, ägt, övervakat beroende, som alla andra i systemet.

Cybersäkerhet har utvecklats genom att vi lärt oss att designa system som förblir motståndskraftiga även när det uppstår misslyckanden, förutom på ett område. Vi designar fortfarande som om den mänskliga nivån är stabil, konsekvent och oändligt anpassningsbar. Det är den inte.

Om utbrändhet hade samma egenskaper som en traditionell cyberrisk – hög prevalens, mätbar påverkan och ökande över tid – skulle den redan modelleras, övervakas och tas ansvar för. Att den inte är det gör den inte mindre verklig.

Det betyder bara att beslutet att lämna det ohanterat i sig är ett riskbeslut. Ett som de flesta organisationer inte medvetet har fattat.

Utöka din kunskap

Blogg: Cybersäkerhet kämpar mot en psykisk hälsokris – så här löser du den

Blogg: Ledarskapsstrategier för att balansera säkerhetsarbetsbelastning och efterlevnadsframgång