Security Operations Center: la routine può essere pericolosa

25 Gen 2019

La sindrome da burnout o l’esaurimento da lavoro non è un problema poi così recente. Se una persona è stufa di svolgere sempre gli stessi incarichi, la sua mente inevitabilmente inizia a divagare e, di conseguenza, è meno concentrata e attenta ai dettagli. In un qualsiasi settore è un fenomeno che non vogliamo che accada perché implica un calo della produttività; tuttavia, se ci concentriamo sul settore della cybersecurity, tutto ciò può avere delle conseguenze catastrofiche, soprattutto se la persona in questione lavora nel SOC (Security Operations Center).

Quando bisogna formare un SOC, le aziende hanno due opzioni a disposizione: crearne uno in-house o rivolgersi a dei professionisti esterni. Abbiamo una grande esperienza in questo settore, in quanto abbiamo sia un Security Operations Center interno, sia un Client Service Center. Nel corso del tempo, abbiamo elaborato delle formule personali per mantenere il livello di professionalità del nostro staff sempre alto, e per questo abbiamo deciso di condividere con voi il nostro punto di vista e la nostra esperienza circa l’argomento burnout.

Iniziamo con la parte più spiacevole: la natura stessa del lavoro di analista di minacce in un SOC porta quasi inevitabilmente a un burnout; inoltre, quanto più elevato è il livello di sicurezza della compagnia, tanto più la strada verso il burnout sembra diretta. Questo lavoro richiede di andare alla ricerca di anomalie nei dati in entrata, ogni giorno. Se viene individuata un’anomalia, la situazione diventa un po’ più interessante, in quanto bisogna portare avanti alcune indagini sull’incidente, raccogliere dati e infine valutare i rischi e i danni. Tuttavia, quando si lavora in aziende che adottano le migliori soluzioni per proteggere i server, le postazioni di lavoro e l’intera infrastruttura delle informazioni, gli incidenti non sono all’ordine del giorno.

Gli esperti in sicurezza si siedono quindi a fissare i flussi di dati, un’attività che può essere paragonata alla ricerca di un gatto nero in una stanza buia. Nel nostro caso, diamo per scontato che il gatto sia lì da qualche parte, ma questo atteggiamento non serve comunque a spezzare la monotonia. Dobbiamo far presente che il nostro SOC è un posto di lavoro più interessante rispetto a un centro di una compagnia qualsiasi, in quanto abbiamo molti clienti e da qualche parte succede sempre qualcosa che dà un po’ di vita alla nostra routine quotidiana.

Cosa accade ai dipendenti che soffrono un burnout? Diventano sempre più distratti, letargici e in generale non sono contenti della loro situazione e di ciò che li circonda. E se hanno a cuore il proprio lavoro (il che accade praticamente a tutto il personale di un SOC), a ciò si aggiungerà un forte senso di colpa nei confronti dei propri colleghi, perché si pensa di averli delusi. Quando si rendono conto che c’è qualcosa che non va, i dipendenti vanno alla ricerca di opinioni online sull’argomento da parte di psicologi appartenenti a diverse scuole di pensiero. Il consiglio di solito è sempre lo stesso: “Dovete ammettere con voi stessi che non è quello che fa per voi, cercate di ricordare cosa vi piaceva da bambini, non abbiate paura di cambiare tipo di lavoro”. Forse per certe persone questi cliché possono essere d’aiuto, ma in ogni caso una cosa è sicura, un consiglio di questo tipo avrebbe conseguenze negative per un SOC se il dipendente lo seguisse.

Come risolvere il problema

Dal punto di vista dell’azienda, la conseguenza principale di un burnout del proprio staff è un calo delle prestazioni. Ci sono vari modi per superare il problema, anche se non tutti sembrano “umani” o completamente applicabili nella pratica.

O mangi la minestra o ti butti dalla finestra

Alcune aziende ritengono che l’esaurimento sul posto di lavoro sia un problema esclusivamente personale. Possono proporre ai dipendenti dei giorni di ferie o un’assicurazione sanitaria, sempre seguendo quanto detta la normativa vigente del paese in cui si lavora (se ci sono norme in tal senso). Dopo il periodo di riposo, però, ci si aspetta che il dipendente ritorni al lavoro praticamente ringiovanito. Le prestazioni continuano a calare? Peccato, ma la nostra collaborazione lavorativa finisce qui.

Forse in certi settori è un atteggiamento che può essere giustificabile, ma non in un centro di monitoraggio della sicurezza informatica. L’analista di un SOC andrebbe poi sostituito (un compito non così facile), bisogna procedere alla formazione del nuovo arrivato, e in ogni caso ci verrà del tempo prima che il nuovo lavoratore raggiunga le stesse prestazioni del dipendente andato via per colpa del suo burnout. A volte le aziende assumono personale con poca esperienza ma che ha le potenzialità di crescere. Lasciar andar via queste persone per colpa di un burnout significherebbe aver perso tempo, energie e risorse, e la maggior parte delle aziende non vogliono che ciò accada.

Trasferimento all’interno dell’azienda stessa

Il mondo dell’information security non finisce nei SOC; ci sono aziende che non appartengono all’ambito della sicurezza informatica che hanno bisogno di assumere analisti con esperienza, i team di risposta rapida, ad esempio. Una soluzione potrebbe essere, quindi, un trasferimento all’interno dell’azienda stessa, un modo per spezzare la routine dell’analista e per evitare ulteriori grattacapi all’azienda.

Dal punto di vista delle prestazioni del Security Operations Center, che il dipendente venga trasferito da qualche altra parte o licenziato, è praticamente lo stesso, perché manca sempre una persona all’appello. Vale la pena precisare che da noi in Kaspersky Lab funziona un po’ diversamente: gli altri dipartimenti si accaparrano i dipendenti SOC ancor prima che si verifichi il burnout, proprio perché hanno bisogno della loro esperienza pratica accumulata nel tempo, perché sanno come si verificano gli attacchi e sanno come reagire, adottando le contromisure adeguate.

Automatizzazione delle operazioni di routine

Dal momento che i tool per l’individuazione delle minacce e di analisi degli incidenti migliorano sempre di più, nel corso del tempo inevitabilmente si trasformano i compiti svolti dai dipendenti: al giorno d’oggi un analista SOC si occupa di supervisionare il lavoro di un analista robot, che non si stanca mai, né si lamenta.  Ameno all’inizio, questi nuovi compiti di controllo possono essere un’esperienza nuova per l’analista, che deve per forza di cose venir fuori dalla sua zona di sicurezza (che lo porta ad annoiarsi) e lo stimola a rivolgere il proprio interesse verso i nuovi compiti da svolgere e al lavoro in generale.

Si è già detto di tutto sull’apprendimento automatico, per cui è difficile trovare una nuova verità rivelatrice. Però possiamo permetterci di dire che gli strumenti di assistenza basati sull’apprendimento automatico possono essere utili per la gestione di compiti più ristretti che necessitano il rispetto di criteri di qualità ben precisi. Ovviamente ciò non può sostituire i dipendenti che si trovano in prima linea, ma aiuta ad incrementare la velocità e a impiegare le risorse umane a disposizione in altre posizioni, ad esempio come trainer di robot, controller o sviluppatori. L’apprendimento automatico può sembrare ancora fantascienza in alcuni settori ma, per quanto ci riguarda, è già parte integrante delle nostre operazioni quotidiane.

Rotazione interna

Ovviamente è impossibile, e non auspicabile, sostituire tutti i lavoratori con dei robot, per questo optiamo per un sistema di rotazione all’interno del nostro Security Operations Center. Dopotutto, l’analisi dei flussi di dati degli endpoint è sola una parte del lavoro del nostro SOC.

Ad esempio, ci occupiamo della sistematizzazione dei dati delle minacce e le conoscenze pratiche di un analista possono essere utilizzate per evitare che certe situazioni si verifichino di nuovo. Ciò porta a un altro compito da svolgere, ovvero quello di migliorare i tool del SOC. In Kaspersky Lab abbiamo creato un gruppo di ricerca, supportato da infrastrutture e specialisti in sviluppo. Si tratta di posizioni che non sono facilmente intercambiabili, penserete voi, ma tutta la nostra attività di sviluppo mira all’automatizzazione delle operazioni, e per fare ciò l’esperienza pratica di un analista è assolutamente vitale. Grazie alla rotazione dei compiti dei nostri dipendenti, riduciamo il rischio di burnout e al contempo aiutiamo colleghi e miglioriamo il toolkit del SOC. Dall’altro lato, i dirigenti possono rendersi conto di quali siano le aree di effettivo interesse per i propri dipendenti: l’interesse è la base per una maggiore efficienza e per il miglioramento delle prestazioni dell’intero team.

Non è un metodo universale, valido per tutti; ad esempio, se il vostro SOC è composto solamente da 2-3 persone, ovviamente le opzioni di rotazione sono piuttosto limitate, e questo potrebbe essere un altro motivo per prendere in considerazione l’idea di assumere esperti esterni di monitoraggio dati. In ogni caso, consigliamo comunque di pensare a come diversificare le operazioni dei dipendenti, in quanto potrebbero aiutarvi a risolvere altri problemi che ci sono in azienda e, al contempo, verrebbe scampato il pericolo burnout.

In breve, se decidete di formare analisti all’interno del vostro SOC, vi consigliamo caldamente di prendervi cura di loro. Perché in fondo, un buon analista è come l’amore: è difficile trovarlo, è facile perderlo ed è impossibile dimenticarlo!