Syndrom wypalenia zawodowego to stosunkowo nowy problem. Gdy ludzie stają się zmęczeni wykonywaniem nużących zadań, umysł zaczyna błądzić. W efekcie stają się mniej uważni i skupieni. W każdym obszarze aktywności jest to sytuacja niepożądana i prowadzi do spadku produktywności. Jednak w cyberbezpieczeństwie konsekwencje mogą być katastrofalne — zwłaszcza jeśli taka osoba pracuje w centrum operacji związanych z bezpieczeństwem (ang. Security Operations Center, SOC).
Jeśli chodzi o SOC, firmy mają dwie możliwości: mogą kogoś zatrudnić lub wynająć zewnętrznego zawodowca. My mamy w tym obszarze pewne doświadczenie, ponieważ zarówno mamy własny dział SOC, jak i działamy jako centrum obsługi klienta. Co więcej, nasi eksperci świadczą usługi osobom pracującym w innych firmach w dziale SOC i sprawdzają, jak wygląda sytuacja w innych organizacjach. Ponieważ stosujemy własne, sprawdzone zasady, dzięki którym nasz zespół działa na wysokim poziomie, postanowiliśmy podzielić się naszymi spostrzeżeniami i doświadczeniem w temacie wypalenia.
Zacznijmy od mniej przyjemnej części: praca osoby analizującej zagrożenia zwykle szybko doprowadza ją do zawodowego wypalenia. Co więcej, im lepsza jest sytuacja bezpieczeństwa w firmie, tym ta droga jest krótsza. Zasadniczo praca ta polega na wyszukiwaniu anomalii w odbieranych danych. Po wykryciu czegoś niestandardowego staje się nieco ciekawiej — incydent należy zbadać, zgromadzić dane, oszacować ryzyko i ewentualne szkody. Jednak w przypadku firm posiadających najnowocześniejsze rozwiązania, które zabezpieczają serwery, stacje robocze i całą infrastrukturę informacyjną, takie cyberincydenty nie zdarzają się zbyt często.
Zatem każdego dnia ekspert obserwuje strumienie danych, co przypomina szukanie czarnego kota w ciemnym pokoju. W naszym przypadku zawsze zakładamy, że kot gdzieś tam jest, jednak w praktyce wcale nie zmniejsza to poczucia monotonii. Warto zauważyć, że nasze centrum SOC jest o wiele ciekawszym miejscem pracy niż wewnętrzne centrum w firmie, w której dużo się dzieje. Z racji tego, że mamy wielu klientów, często wydarza się coś, co tłumi codzienną rutynę.
Co dzieje się z wypalonymi pracownikami? Wpadają w letarg, są roztargnieni i ogólnie niezadowoleni z siebie i tego, co ich otacza. Jeśli traktują swoją pracę poważnie (a tak jest w przypadku niemal wszystkich osób pracujących jako SOC), sytuację dodatkowo skomplikuje poczucie opuszczenia swoich kolegów. Gdy uświadomią sobie, że coś jest nie w porządku, szukają w internecie porad psychologów. Zwykle trafiają na stwierdzenia typu: „Musisz przyznać się przed sobą, że w swoją pracę nie wkładasz już serca. Przypomnij sobie, co lubiłeś robić w dzieciństwie. Nie bój się zmienić pracę”. Może niektórzy uznają te stereotypy za przydatne. Jedno zgadza się na pewno — jeśli ktoś jest nastawiony negatywnie, będzie to miało negatywne skutki.
Jak rozwiązać ten problem
Z punktu widzenia firmy największą konsekwencją wypalenia pracownika jest spadek jego wydajności zespołowej. Problem ten można przezwyciężyć na wiele sposobów, chociaż nie wszystkie są humanitarne i nie wszystkie można zastosować w praktyce.
Jeśli jest Ci za gorąco, nie przebywaj w kuchni
Niektóre firmy uważają, że wypalenie to problem osobisty. Wysyłają takiego pracownika na urlop i zapewniają mu opiekę medyczną, a po powrocie ma być jak nowo narodzony. A jeśli wydajność się nie poprawiła? Szkoda, ale trzeba go zwolnić.
Może w niektórych obszarach podejście to jest usprawiedliwione, jednak w przypadku centrum monitorowania cyberbezpieczeństwa tak to nie działa. Analityka z działu SOC należy zastąpić innym specjalistą (co nie jest takie łatwe) i zorganizować mu szkolenie, a zanim wydajność nowego pracownika osiągnie pułap poprzedniego, minie trochę czasu. Czasami firmy stawiają na ludzi bez odpowiedniego doświadczenia, ale z potencjałem. W takiej sytuacji zwolnienie kogoś z powodu wypalenia byłoby stratą całego czasu, energii i zasobów, jakie zostały poświęcone na wyszkolenie tej osoby.
Transfer wewnętrzny
Za bezpieczeństwo informacji odpowiadają nie tylko pracownicy SOC. W firmach działających poza obszarem bezpieczeństwa informacji można znaleźć posadę dla niedoświadczonych analityków, na przykład w zespołach szybkiego reagowania. Zatem rozwiązaniem mogłoby być na przykład przeniesienie kogoś na inną pozycję w organizacji — w ten sposób analityk zostaje oderwany od swojej rutyny, co przynosi ulgę również firmie.
Jeśli chodzi o wydajność osób pracujących w działach operacji związanych z bezpieczeństwem, nie jest istotne, czy pracownik został przeniesiony w obrębie firmy, czy zwolniony; liczba zatrudnionych nadal jest mniejsza o jeden. Warto wspomnieć, że w Kaspersky Lab dzieje się to nieco inaczej — zanim nastąpi wypalenie, inne działy przechwytują pracowników SOC, ponieważ mają już oni doświadczenie praktyczne; nauczyli się, jak odbywają się ataki, i wiedzą, jak im przeciwdziałać.
Automatyzacja rutynowych działań
W miarę rozwoju narzędzi wykrywania i analizy incydentów zadania wykonywane przez ludzi nieuchronnie ulegają zmianom. Osoba, która jeszcze wczoraj pracowała jako analityk SOC na linii frontu, dziś może być kontrolerem jakości nadzorującym pracę robota analizującego, który nigdy się nie męczy, nigdy nie jest wypalony i nigdy nie narzeka. Te nowe funkcje kontroli to całkiem nowe doświadczenie, przynajmniej na początku, dla analityków, które przenosi ich na nowy poziom, zmusza do wyjścia ze strefy komfortu/znudzenia i stymuluje nowe zainteresowanie rozwiązywanymi zadaniami i ogólnie wykonywaną pracą.
O uczeniu maszynowym (ang. Machine Learning, ML) wiele już zostało powiedziane, więc trudno tu czymś zaskoczyć. Wystarczy powiedzieć, że wykorzystujący tę technologię roboty całkiem dobrze wykonują wąski zakres działań o wyraźnych kryteriach jakości. Z pewnością nie zastąpią one pracowników linii pierwszego frontu, jednak zwiększają przepustowość i umożliwiają przesunięcie zasobów ludzkich na inne stanowiska — jako trenerów, kontrolerów i osoby odpowiedzialne za rozwój robotów. W niektórych obszarach uczenie maszynowe może jeszcze brzmieć jak daleka przyszłość, jednak dla nas stanowi już integralną część codziennej pracy.
Rotacja wewnętrzna
Zastąpienie wszystkich ludzi robotami jest niemożliwe i niepożądane, dlatego w naszym SOC prowadzimy system rotacyjny. Analizowanie strumieni danych na punktach końcowych nie jest jedynym zadaniem, jakie wykonuje się w naszym centrum SOC.
Do obowiązków pracowników należy także systematyzacja danych na temat zagrożeń: zdobyta przez analityka wiedza praktyczna po incydencie może i musi zostać użyta, aby się on nie powtórzył. To z kolei łączy się z kolejnym zadaniem: ulepszaniem narzędzi używanych w SOC. Na przykład w naszym centrum działa grupa badawcza oraz specjaliści ds. obsługi i rozwoju infrastruktury. Może się wydawać, że ról tych nie można dowolnie zamieniać, jednak cała nasza aktywność w zakresie rozwoju skupia się na automatyzowaniu działań, zatem doświadczenie praktyczne analityka jest tu absolutnie najważniejsze. Okresowe zmienianie pracownikom zadań pozwala nam minimalizować ryzyko pojawienia się wypalenia i jednocześnie rozwijać zestaw narzędzi SOC oraz pomoc koleżeńską. Z drugiej strony osoby zarządzające mają wgląd w to, które obszary cieszą się największym zainteresowaniem wśród pracowników. Zainteresowanie to jest najważniejsze w osiąganiu dużej efektywności, czyli wydajności całego zespołu.
Niestety metoda ta nie jest uniwersalna. Jeśli w Twoim centrum SOC pracują 2–3 osoby, masz ograniczone możliwości rotacji. Nawiasem mówiąc, to kolejny powód, aby rozważyć zatrudnienie zewnętrznych ekspertów do monitorowania danych. Mimo to zachęcamy do zastanowienia się, w jaki sposób można zróżnicować zadania pracowników. Mogą oni pomóc w rozwiązaniu innych problemów, z jakimi zmaga się firma, co może uchronić ich przed wypaleniem wynikającym z nudy.
Jeśli zdecydujesz się wyszkolić własnego analityka SOC, gorąco zachęcamy, aby nie dać mu tak łatwo odejść. Nie tylko miłość trudno jest znaleźć, łatwo stracić i niemożliwe zapomnieć…