Профессиональное выгорание в центре мониторинга ИБ

Синдром профессионального выгорания — проблема не новая. Люди устают, пресыщаются однообразием задач, думают о чем-то своем. Как результат — становятся менее собранными, внимательными. Для любой сферы деятельности это крайне неприятно и влечет за собой падение производительности. Но в кибербезопасности — и вовсе чревато катастрофой. Особенно когда речь идет о сотрудниках центров мониторинга информационной безопасности (SOC).

Есть два варианта организации центра мониторинга информационной безопасности: можно создать его у себя или подключить профессионалов из стороннего центра. У нас есть достаточно уникальный опыт в этой сфере: у нас есть и собственный SOC, и центр, предоставляющий услуги клиентам. Более того, наши специалисты оказывают услуги также сторонним SOC и видят, как организована работа там. Поэтому у нас есть свои рецепты того, как можно сберечь профессионализм сотрудников. Так что мы решили поделиться своим опытом и соображениями по вопросу выгорания.

Начнем с неприятного: сама по себе работа «угрозного аналитика» в SOC — прямая дорога к профессиональному выгоранию. При этом чем лучше в компании дело обстоит с безопасностью, тем короче эта дорога. По сути, специалист день за днем ищет аномалии в поступающих данных. Если эти аномалии обнаруживаются, то вот тут не заскучаешь — нужно расследовать инцидент, собирать дополнительные данные, оценивать риски и ущерб. Но, прямо скажем, в компании, где стоят современные решения, защищающие серверы, рабочие станции и информационную инфраструктуру, в целом киберинциденты случаются не так часто.

Так что эксперт сидит и смотрит в потоки данных. Очень похоже на поиски черной кошки в темной комнате. Правда, в нашем случае мы исходим из гипотезы, что она всегда есть, но на практике от этого не легче. Тут сразу нужно отметить, что наш центр мониторинга кибербезопасности для специалиста предпочтительнее, чем внутренний центр какой-нибудь компании. Именно за счет того, что у нас много клиентов. У кого-то что-то да произойдет, и это разбавит повседневную рутину.

Что произойдет с «выгорающим» сотрудником? Он станет вялым, на работе будет часто отвлекаться, и в целом у него будет расти недовольство собой и окружающими. Если при этом он человек ответственный (а в SOC другие попадают редко), то его начнет тяготить осознание того, что он подводит коллег. Поняв, что происходит что-то не то, он полезет в Интернет читать, что рекомендуют психологи разной степени доморощенности. А их советы достаточно шаблонны: «Признайте, что вы занимаетесь не своим делом, вспомните, что вам нравилось в детстве, смените сферу деятельности, не бойтесь перемен». Я не знаю, может быть, человеку эти советы действительно помогут. А центру мониторинга явно пойдут во вред.

Методы решения проблемы

С точки зрения компании, основное следствие выгорания сотрудников — падение эффективности работы всей команды. Методов решения этой проблемы много. Не все из них гуманны и не все из них применимы на практике.

Вы не справляетесь, до свидания

Некоторые компании считают, что выгорание — это личная проблема каждого человека. Они же обеспечивают своих сотрудников отпусками и медстраховками, все по закону. Пусть отдыхают и возвращаются к работе. Эффективность упала? Очень жаль, вы нам больше не подходите.

Может быть, в каких-то сферах деятельности такой подход и оправдан, не берусь судить. Но в центре мониторинга кибербезопасности он неприменим. Хорошего аналитика SOC еще надо найти (а это ох как непросто), обучить, а потом пройдет еще немало времени, прежде чем эффективность работы новичка сравняется с давно работающими сотрудниками. Иногда мы берем человека без опыта такой работы, но с достаточной интуицией и хваткой, чтобы воспитать из него классного эксперта. И отказываться от него из-за того, что он «выгорает», мы не будем, особенно после того, как мы потратили столько сил, времени и ресурсов на его воспитание.

Переход на другую должность

ИБ — это ведь далеко не только SOC. Даже в компании, которая не работает в сфере информационной безопасности, есть позиции, на которых пригодятся опытные аналитики. Отделы оперативного реагирования, например. Так что, по сути, предложение перехода на другую должность — метод верный. И человека для компании сберегает, и мозг человеку.

Но мы сейчас говорим с точки зрения эффективности SOC. Не столь важно, куда ушел сотрудник — в соседний отдел или прочь из компании. В центре мониторинга все равно минус 1 сотрудник. У нас, правда, своя специфика — у нас и без всякого выгорания периодически переманивают сотрудников в другие отделы. Именно за счет того, что он набрался практического опыта, знает, как происходит атака, понимает, как ей противодействовать.

Автоматизация рутинных операций

Постоянное совершенствование инструментов обнаружения и расследования инцидентов неизбежно приводит к трансформации задач последнего, и вчерашний аналитик первой линии SOC превращается уже в контролера качества работы автоаналитика, который, кстати, не устает, не выгорает и всегда любит свою работу. Эти новые контрольные функции аналитика поначалу уже не являются рутиной и поднимают аналитика SOC на новый уровень развития, заставляя его выходить из зоны комфорта, что неизбежно стимулирует новый интерес к конкретным решаемым задачам и своей работе вообще. Последнее время много сказано про машинное обучение, поэтому написать что-либо удивительное здесь сложно. Отмечу лишь, что ML-помощники неплохо решают некоторые узкие задачи с понятными критериями качества, что, конечно же, не приводит к необходимости отказаться полностью от сотрудников первой линии, но позволяет обслуживать новые объемы более эффективно, а человеку — отвести функцию обучения, контроля и развития этих роботов. Если для кого-то машинное обучение — это хайп, то для нас это уже неотъемлемая часть повседневной работы.

Ротация внутри SOC

Но нельзя всех людей заменить роботами, поэтому наш метод — это организация ротации внутри SOC. Ведь и кроме анализа потоков данных с конечных точек там есть еще чем заняться. Во-первых, систематизацией накопленных данных об угрозах. По сути, практические знания, полученные аналитиком из инцидентов, могут и должны быть использованы для предотвращения их повтора. А отсюда вытекает и еще одна задача — совершенствование инструментов SOC. У нас, например, внутри SOC есть группа исследований, есть люди, которые занимаются поддержкой инфраструктуры, есть специалисты, которые занимаются разработкой. Казалось бы, не совсем взаимозаменяемые должности, однако вся разработка у нас направлена на автоматизацию операционной деятельности, поэтому практический опыт аналитика здесь крайне необходим. Так что, периодически меняя задачи сотрудников, мы сводим проблему выгорания к минимуму, одновременно совершенствуя методы SOC и помогая коллегам. Руководству же это позволяет понять, какое направление сотруднику действительно интересно, а интерес — залог его высокой эффективности, а следовательно, эффективности всей команды.

Разумеется, это метод не универсальный. Если в вашем SOC работают всего 2-3 сотрудника, то ротацию там организовать сложно. Это, кстати, еще один повод задуматься о том, что анализом данных мониторинга могут заниматься и сторонние специалисты. Однако мы бы все-таки рекомендовали подумать над тем, как сделать их задачи более разнообразными. Может оказаться и так, что они смогут решать какие-то другие ваши проблемы, одновременно «лечась» от выгорания.

Короче говоря, если уж вы решили воспитывать своих аналитиков для центра мониторинга кибербезопасности, то мы бы советовали беречь их. Как принято говорить в соцсетях, их сложно найти, легко потерять и невозможно забыть.