روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ سندروم فرسودگیِ شغلی معضل تازهای نیست. وقتی افراد از امور و وظایف یکنواخت خسته میشوند، ذهنشان سیال میشود. در نتیجه، دیگر کمتر حواسشان جمع خواهد بود و تمرکز خود را از دست خواهند داد. این فرسودگی در هر حوزهای میتواند ناخوشایند باشد و به ناکارمدی مزمن منجر شود. اما در حوزهی امنیت سایبری پیامدهای این سندروم میتواند فاجعه بیافریند- خصوصاً اگر فرد مورد نظر کارمند [1]SOC (مرکز عملیات امنیتی) باشد.
وقتی صحبت از راهاندازی یک مرکز عملیات امنیتی به میان میآید، شرکتها دو راه بیشتر ندارند: 1. افراد در خانه فعالیت کنند، 2. افراد خارج از خانه کار کنند. ما در این حوزه تجربهی بسیاری داریم (هم در خصوص مرکز عملیات امنیتی خودمان و هم مرکز خدمات مشتری). علاوه بر این، متخصصین ما به مراکز عملیات امنیتی طرفسوم نیز خدمات میدهند و همیشه ساز و کاز این مراکز در سایر سازمانها را نیز زیر نظر قرار میدهند. ما در بخش نگهداری کارمندان حرفهایمان، خود را به فرمولهای خاص خود مجهز کردهایم. بنابراین در این مقاله تصمیم گرفتهایم در خصوص فرسودگی مرکز عملیات امنیتی تجربات و نظرات خود را با شما به اشتراک بگذاریم، پس با ما همراه باشید.
بیایید از ناخوشایندترین بخش آن شروع کنیم: ماهیت کار یک تحلیلگر تهدید SOC مستقیماً با فرسودگی شغلی در ارتباط است. علاوه بر این، هرچه شرایط امنیتی بهتر باشد، بالطبع مسیر کوتاهتر خواهد بود. کار چنین تحلیلگری، بررسیِ روز به روزِ ناهنجاریها در اطلاعات دریافتی است. اگر ناهنجاریای شناسایی شود کار این تحلیلگر جالبتر نیز میشود: بررسی رخداد، جمعآوری دادهها، ارزیابی خسارات و خطرات و غیره. اما برای شرکتهایی که راهحلهای نوین دارند، محافظت از سرورها، ایستگاههای کار، کل زیرساخت اطلاعاتی و رخدادهای سایبری جدید چندان هم کار متداول و معمولی نیست.
بنابراین، چنین متخصصی مینشیند و به جریانات اطلاعاتی چشم میدوزد؛ چیزی مثل گشتن به دنبال گربهای سیاه در اتاقی تاریکی. ما خودمان همیشه فرض را بر این میگذاریم که این گربهی سیاه جایی همین حوالی است اما در عمل، این یکنواختی همچنان سر جایش خواهد بود. همچنین به این نکته نیز باید اشاره کنیم که SOC ما در مقایسه با مرکز داخلی یک شرکت معمولی فرق دارد؛ مرکز عملیات امنیتی ما جایی خوشایندتر است. زیرا ما مشتریان زیادی داریم و این خود کمی روزمرگی و یکنواختی را از میان برده و بدان زنگ میزند.
چه بر سر کارمندان فرسوده میآید؟ آنها ملالزده شده و حواسشان پرت میشود. اگر بخواهیم کلی بگوییم آنها دیگر گویی بین خود و دیگران مرزی میبینند. اگر شغلشان را جدی بگیرند (که در عمل همهی کارمندان SOC این کار میکنند) علاوه بر این از اینکه همکارانشان را هم مأیوس کردند ناراحت میشوند و این، بارشان را از قبل سنگینتر میکند. آنها وقتی متوجه میشوند یک جای کار میلنگد آنلاین میشوند تا ببینند نظر روانشناسان در این خصوص چیست و در ادامه با چنین توصیههایی مواجه میشوند: «میبایست اعتراف کنید که دلتان با این کار نیست؛ آنچه در کودکی دوست داشتید را به یاد آورید؛ از اینکه خط کاری خود را عوض کنید نترسید».
البته شاید هنوز هم کسانی باشند که این جور توصیههای کلیشهای را مفید بدانند. با این حال یک چیز، حتمی است- اگر کارمند این راهکارهای کلیشهای را دنبال کند SOC به طرز بسیاری منفیای تحتالشعاع قرار میگیرد.
چطور این مشکل را حل کنیم؟
از نظر شرکت، پیامد اصلی فرسودگی شغلیِ کارمندان، افتِ عملکرد تیمی است. اما برای فایق آمدن بر این مشکل راههای بسیاری وجود دارد؛ گرچه شاید همهشان هم کاربردی و مفید نباشند.
اگر تاب حرارت نداری، از آشپزخانه بیرون بیا
برخی شرکتها بر این باورند که فرسودگی شغلی، یک مشکل شخصی است که تنها به خود کارمند ربط دارد. از این رو طبق قانون (البته اگر چنین قانونی در کشورشان وجود داشته باشد)، به کارمندان خود زمانی برای اوقات فراغت و استراحت میدهند و همچنین آنها را بیمهی درمانی هم میکنند. کارمندان بعد از استراحت و گذراندن یک دوره تعطیلات دوباره با انرژی دوچندان به کار خود باز میگردند. حال اگر باز هم این فرسودگی ادامه داشت چه؟ چه حیف، دیگر وقت بیرون آمدن است.
شاید این رویکرد در برخی حوزهها قابل توجیه باشد اما در بخش مرکز نظارتی امنیت سایبری هیچ جایی ندارد. متخصص دیگری باید جایگزین تحلیلگر SOC شود (سختتر از آن چیزیست که به نظر میرسد). متخصص جدید باید آموزش ببیند و تا بخواهد خود را به لحاظ عملکرد با نیروی قبلی (که البته فرسودگی شغلی آزارش میداد) سازگار کند زمان میبرد. برخی اوقات شرکتها افراد را بدون هیچ تجربهی مرتبطی استخدام میکنند؛ به شرط آنکه پتانسیل خود را برای متخصصی حرفهای بودن نشان داده باشند. در غیر این صورت آنها نیز دوباره دچار فرسودگی شغلی میشوند و این برای سازمانها اتلاف وقت، انرژی و منابع محض است.
انتقال درونسازمانی
امنیت اطلاعات تنها به SOCها مربوط نمیشود. حتی در شرکتهایی که خارج از حوزهی امنیت اطلاعاتی فعالیت دارند نیز منصبهایی برای تحلیلگران مجرب وجود دارد. برای مثال، تیمهای پاسخگویی سریع. بنابراین انتقال درونسازمانی فرد به منصبی دیگر میتواند یکی از راهحلها باشد. بدینترتیب تحلیلگر از روتین جدا گشته و شرکت نیز از یکی از دردسرهای خود خلاص میشود.
اما به لحاظ عملکرد SOC این که کارمندبه صورت درونسازمانی منتقل شده یا از شرکت اخراج شده مهم است. شایان ذکر است که این موضوع در لابراتوار کسپرسکی کمی متفاوت پیش میرود- پیش از هر فرسودگی شغلیای، سایر دپارتمانها کارمندان SOC را روی هوا میقاپند، زیرا آنها تجربهی عملی بسیاری دارند و دیگر بخوبی یاد گرفتهاند حملات سایبری چطور اتفاق میافتند و راههای مقابله با آنها را میدانند.
خودکارسازی عملیات روتین
با ارتقای ابزار شناسایی و بررسی حادثهی سایبری، وظایف انسانی نیز ناگزیر دستخوش تغییراتی شده است. تحلیلگر SOC دیروز، ناظر کیفی امروز شده است که کارش بررسی بخش کیفی عملکرد رباتهاست. رباتهایی که گرفتار ملال میشوند، نه فرسوده... حتی زبانی هم برای گلایه و شکایت ندارند. در مقالات خود از فناوری یادگیری ماشین زیاد گفتهایم. در این مقاله تنها به این گفته بسنده میکنیم که دستیارهای مبتنی بر فناوری یادگیری ماشین خوب بلدند چطور امور را با نهایت کیفیت انجام دهند. آنها یقیناً نمیتوانند جای کارمندان زبده را بگیرند اما در نهایت میتوانند به این افراد کمک کنند تا کار را به آنها سپرده و خود تنها نقش نظارتی رویشان داشته باشند. شاید این فناوری هنوز در خیلی از بخشها بکار گرفته نمیشود اما در حوزهی امنیت سایبری، یادگیری ماشین رکن اصلی امور روزانه به حساب میآید.
چرخش درونسازمانی
اینکه همهی کارمندان یک شرکت را برداریم و جایشان ربات بگذاریم نه ممکن است و نه خوشایند. بنابراین داخل SOC یک سیستم چرخشی اعمال میکنیم. از اینها گذشته، تحلیل جریانات اطلاعات اندپوینت تنها کار SOC ما است. ابتدا از تقسیمبندی دادههای تهدید شروع میکنیم؛ دانشی عملی که یک تحلیلگر از پسِ حوادثی که رخ میدهد بدست آورده است. برای جلوگیری از بروز دوبارهی این وقایع داشتن چنین دانشی الزام است. SOC ما شامل یک گروه تحقیقاتی به اضافهی تیم پشتیبانی زیرساختاری و متخصصین توسعه میشود. شاید با خود بگویید این منصبها را نمیتوان تغییر داد و جایگزین کرد اما هدف همهی فعالیتهای توسعهی ما اتوماتیزه کرده عملیاتهاست تا بدینترتیب تجربهی عملی تحلیلگر همچنان عنصر مهم و حیاتیای باقی بماند. با چرخش منصبها به صورت دورهای از فرسودگی شغلی جلوگیری میشود و همزمان کیتابزاری SOC ارتقا داده شده و همکاران نیز دست به دست به همدیگر کمک میکنند. در این حین، مدیریت نیز باید بداند کدام کارمندان به کدام حوزهها علاقمندند. این علاقمندی سنگ بنای بازدهیِ بالاست.
این روش، همهگیر و جهانی نیست. اگر SOC شما تنها 2 تا 3 نفر را استخدام میکند، گزینههای چرخشی نیز محدودتر خواهد بود. به طور کلی اگر تصمیم گرفتید به تحلیلگران SOC خود آموزش دهید، شدیداً توصیه میکنیم آنها را نگه دارید. تنها عشق نیست که به سختی پیدا میشود و وقتی از دستش دهید دیگر پیدایش نخواهید کرد. پیدا کردن کارمندی مناسب که شرایط سازمانی را درک کند نیز به همان اندازه سخت است.
[1] security operations center
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
