Кадровое обеспечение работы SOC: поиск и подбор персонала, формирование и развитие команд

На прошедшем SOC Forum 2019, в исследованиях SANS SOC 2018 и SANS SOC 2019 поднималась проблема кадрового обеспечения. На сегодняшний день это одна из самых актуальных проблем в сфере информационной безопасности. В данной статье мы рассмотрим основные задачи, проблемы и трудности, с которыми можно столкнуться при формировании команды SOC, а также способы их решения.

Автор: Ксения Темникова, к.э.н., доцент кафедры “Информационная безопасность” Московского политехнического университета, эксперт ООО “Профконсалт ИСМ”, консультант в области систем менеджмента информационной безопасности, систем менеджмента непрерывности бизнеса, Thomas International (РРА)

Согласно модели адаптивной архитектуры безопасности, разработанной Gartner, для того чтобы организация могла успешно бороться с киберпреступностью в современной среде угроз, ее команда SOC должна уметь прогнозировать, предотвращать и обнаруживать угрозы, а также эффективно реагировать на них и прогнозировать будущие атаки¹.

Основные проблемы кадрового обеспечения

Отсутствие квалифицированного персонала является наиболее распространенной причиной неэффективной работы, ограничивая возможности SOC².

Вакансии в командах SOC размещены на многих сайтах и в специализированных группах в социальных сетях. Зачастую они получают достаточное количество просмотров, но остаются без откликов. Например, вакансия руководителя центра информационной безопасности (SOC), выбранная автором в качестве объекта наблюдения, в течение двух месяцев с момента публикации так и осталась открытой. Однако подобная проблема кадрового рынка в сфере SOC не единственная.

Другая проблема заключается в том, что многие SOC не тратят время на исследование эффекта выгорания сотрудников и не создают среду для профилактики этого явления. Между тем в исследовании SANS SOC 2019 подчеркивается, что с растущей нехваткой специалистов в области кибербезопасности вопрос сохранения кадров, сейчас работающих в SOC, будет становиться все более важным.

Следующая проблема связана с отсутствием кадрового резерва, а зачастую и со сложностями его формирования.

При оценке команды SOC внимание фокусируется, как правило, на обеспеченности персоналом и уровне его квалификации. Используются следующие метрики: количество пройденных аналитиками SOC тренингов и процент эффективных Playbook.

Но такой подход не позволяет ответить на следующие вопросы:

1. Является ли команда SOC сплоченной, подготовленной и мотивированной?
2. Способна ли команда SOC адаптироваться под меняющиеся требования регуляторов и стандартов (становиться более зрелой; охватывать больше систем; использовать новые методы выявления атак³)?
3. Каким образом деятельность команды SOC влияет на обеспечение непрерывности бизнеса?

Если игнорировать три вышеназванные проблемы, то можно столкнуться с неверными данными и выводами о результатах работы SOC, это приведет к ошибочным управленческим решениям. Как следствие, рано или поздно возникнет вопрос об окупаемости инвестиций в SOC.

С чего начать решение проблем?

Как подступиться к решению проблем кадрового обеспечения работы SOC?

Ключ к решению этой задачи – прямой и обоснованный ответ на два вопроса.

1. Зачем нужен SOC?
2. Какой подход будет применяться для кадрового обеспечения SOC: подход "закрытия" вакансий или ответственный подход к формированию и развитию сплоченной, подготовленной и мотивированной команды?

В зависимости от ответов на эти вопросы должны определяться дальнейшие шаги.

Диагностический аудит SOC

Диагностический аудит кадрового обеспечения SOC необходим для обоснованного пересмотра подходов к структурированию SOC, чтобы добиться долгосрочного успеха, приносящего пользу как человеку, так и организации.

Для создания и развития SOC нужны сотрудники, обладающие глубокой экспертизой, знаниями и достаточным опытом, техническими, цифровыми и когнитивными навыками. Анализ больших объемов данных, выбор направления для дальнейшего расследования требуют специальных знаний и навыков для борьбы с постоянно меняющимися угрозами.

Диагностический аудит поможет выявить разрыв между текущим состоянием кадрового обеспечения и целевым значением.

При создании SOC, как правило, прорабатываются вопросы кадрового обеспечения, организационной структуры, но не вопросы формирования команды. Анализ технических заданий на создание SOC говорит о том, что в целях и задачах проектов по созданию SOC отсутствуют задачи по созданию и развитию команды SOC, формированию системы управления знаниями. В такой ситуации потребуется корректировка действий по кадровому обеспечению вновь созданного SOC.

Для подбора команды важно соблюдать принцип "при выборе из близких по уровню кандидатов ключевой фактор – личные качества каждого"⁴. Для этого потребуется применение оценок по системе Thomas International, а именно:

• профильный анализ личности (PPA);
• оценка 360.

Может также потребоваться формирование/корректировка профиля должности.

Диагностический аудит займет не более одного месяца. Полученные результаты послужат основой для управленческих решений, обоснования текущих и будущих инвестиций, формирования дорожной карты и развития команды SOC, установления KPI.

Важное значение имеют выявление и устранение проблем, которые снижают эффективность работы SOC (непродуктивная работа, ошибки). К числу таких проблем относятся⁵:

• недостаточная автоматизация (аналитики вынуждены тратить время на рутинные операции, которые могут быть автоматизированы);
• отсутствие интеграции (использование узкопрофильных инструментов, не интегрированных друг с другом; аналитики вынуждены переключаться между различными инструментами и панелями управления);
• избыток оповещений (переизбыток информации приводит к тому, что некоторые уведомления остаются без внимания);
• отсутствие общего представления о происходящем на предприятии (команда SOC не видит полную картину событий);
• отсутствие контекстных данных (недостаточное понимание мотивации, тактик и методов, используемых атакующими, может помешать команде SOC правильно приоритизировать инциденты для расследования).

Вполне вероятно, что потребуется анализ коренных причин несоответствий/ происшествий (АКП, англ. – Root Cases Analyses, RCA). После этого можно переходить к выстраиванию процессов.

Пути решения

Проблема нехватки квалифицированных кадров, в том числе узких специалистов, не может быть решена одной мерой. Потребуется комплекс последовательных и взаимосвязанных мер, включая проведение диагностического аудита кадрового обеспечения SOC, выявление и устранение проблем, которые снижают эффективность работы команды SOC, определение целевого состояния и существующего разрыва, формирование/корректировку текстов вакансий, профиля должности и т.п.

Для формирования и развития сплоченной, подготовленной и мотивированной команды SOC важное значение имеет работа с профильными факультетами университетов, в том числе подготовка кадров в магистратуре по специально разработанным программам. Критерием выбора университета для развития стратегического сотрудничества является проектная деятельность студентов начиная с самого первого курса. Только в этом случае студенты готовы к командной работе, что является обязательным условием работы в SOC.

Привлечению новых высококвалифицированных специалистов и, что не менее важно, удержанию имеющихся членов команды SOC будет способствовать выстраивание процессов, внедрение и совершенствование системы финансовой и нефинансовой мотивации, применение методик Thomas International (оценка 360, PPA и др.), анализ коренных причин несоответствий, управление знаниями, управление талантами.

Для того чтобы команда SOC глубоко и всесторонне понимала контекст деятельности, подходы к приоритизации угроз, целесообразно повышать осведомленность в отношении политики и целей системы менеджмента информационной безопасности в соответствии с международным стандартом ISO/IEC 27001:2013, а также в отношении политики и целей системы менеджмента непрерывности бизнеса в соответствии с международным стандартом ISO 22301:2019, проводить обучение команды SOC передовым методам борьбы с киберугрозами, включая специализированные курсы повышения квалификации, экспертные тренинги, и, что особенно важно, проводить учения по непрерывности бизнеса.

Проблема сохранения членов команды, которые уже работают в SOC, может быть решена за счет:

• проведения дополнительных мероприятий, направленных на выявление высокопрофессиональных специалистов, способных и готовых обучать молодое поколение, разрабатывать новые методики обучения;
• ротации кадров, распространения практики "дополнительных" проектов⁶, а также проведения специальных тренингов для предотвращения выгорания, по командообразованию с фокусом на деятельность SOC;
• развития навыков внешней и внутренней коммуникации с фокусом на деятельность SOC, помощи в совершенствовании устного и письменного английского языка по тематике информационной безопасности и непрерывности бизнеса с фокусом на деятельность SOC.

Меры, направленные на решение первых двух проблем, будут способствовать решению проблемы формирования кадрового резерва. Так, например, привлечение выявленных в действующей команде SOC высокопрофессиональных специалистов, способных и готовых обучать молодое поколение, к обучению студентов и новых членов команды на основе специально разработанных новых методик обучения, очень быстро даст стабильно высокий результат (при условии работающей системы финансовой и нефинансовой мотивации).

Решению задач формирования кадрового резерва SOC будет способствовать развитие взаимодействия с университетами, а именно: проектная деятельность, стажировки, чтение открытых лекций для студентов, разработка и запуск совместно с университетом специальных магистерских программ, программ дополнительного профессионального образования (ДПО), сфокусированных на работу SOC.

Подтверждение успешной работы команды SOC

В заключение следует отметить, что есть немало примеров успешного развития команд SOC.

Приведем пример, когда успешная работа SOC получила подтверждение на международном уровне. BSI, компания по улучшению бизнеса, провела ресертификационный аудит системы менеджмента информационной безопасности операционного центра реагирования на кибератаки Сбербанка на соответствие требованиям международного стандарта ISO/IEC 27001:2013 с помощью технологии смарт-очков⁷. В этом примере интересен не столько опыт применения иммерсивных технологий, сколько опыт работы команды SOC.

Важно, чтобы примеров успешной работы SOC становилось больше. Создание сплоченной, подготовленной и мотивированной команды SOC – это стратегическая задача управления талантами в условиях цифровизации.

1. https://media.kaspersky.com/ru/business-security/enterprise/brochure-soc-powered-by-kl.pdf 
2. The Definition of SOC-cess? SANS 2018 Security Operations Center Survey. P. 15.
3. https://www.pwc.ru/ru/services/technology/cyber-security/soc.html 
4. https://antalrussia.ru/candidates/thomas-test/ 
5. Источник: Составлено по данным: Решение “Лаборатории Касперского" для центров анализа событий ИБ (SOC) [Электронный ресурс] URL: https://media.kaspersky.com/ru/business-security/enterprise/brochure-soc-poweredby-kl.pdf (дата обращения: 20.10.2020).
6. https://soc-forum.ib-bank.ru/files/files/SOC2019/31%20Zlobin.pdf 
7. https://www.bsigroup.com/ru-RU/About-BSI/media-centre/BSI-CISNews/2020/october/bsi-cis-recertified-sberbank-soc-iso-iec-27001-smart-glasses/