SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Геймификация и управление персоналом

Геймификация и управление персоналом
18.07.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Ева Беляева, Security Vision

 

Введение

 

В прошлой статье, мы рассматривали геймификацию применительно к ИБ-сфере, с учетом соответствующей специфики. Теперь же хочется обсудить то, что уже в каком-то виде существует во многих компаниях, которые могут относиться не только к ИБ, но все же используют игровые методики в своей работе. Какие эти игры, для чего их внедряют в работу?

 

Игры в рабочем процессе

 

Цели и задачи игр

 

Начнем с того, зачем вообще понадобилось переводить формализованные процессы внутри компании в формат игры. В каких-то случаях процесс нужно или ускорить, или упростить (для сотрудника). Когда же речь идет о том, чтобы что-то объяснить сотруднику быстро и доступно, индивидуальный подход может быть формализован и представлен в игровой форме.

 

Игра также может применяться с целью дополнительной мотивации и обратной связи от коллег или начальства (положительная оценка работы будет восприниматься в более позитивном ключе, а отрицательная – в менее негативном). Дальше на примерах рассмотрим это чуть подробнее.


Изначально, когда об играх на рабочем месте было только слышно, речь шла об обучении сотрудников чему-то новому, давая им примерить на себя новые роли в сымитированной рабочей ситуации.


Игра может использоваться в том числе для того, чтобы разнообразить рабочий процесс (это тоже скорее про мотивацию) и получить бо́льшую отдачу уже от своей работы и рутинных задач.


Если объединить все цели для создания одной игры, получится полноценная система поиска признаков раннего выгорания у сотрудников, отслеживающие эмоциональный и рабочий фон в ходе общения между сотрудниками, кросс-оценкой и многим другим.


Интересно то, что на данный момент игры используются только «во благо» и имеют исключительно положительное подкрепление для пользователя. По крайней мере, с обратным мы не сталкивались.


Где обитают игры

 

В разных компаниях разных сфер используются разные паттерны для внедрения игрового процесса; однако, некоторые из них похожи и можно объединить их в определенные группы.


В первую очередь рассмотрим необходимость внедрения игр в целом. То, как меняется рабочий процесс в сторону ухода от формального представления, зависит от нескольких факторов:


  -  Сфера деятельности компании - например, разные подходы есть у банков и у телекома; их процессы, актуальные только среди себе подобных, одними из первых приобретают геймифицированный вид (например, внедрение этого элемента в банковские приложения или внутренние игры для продаж аппаратов сотовой связи).


  -  Формализованность внутренних процессов - иногда игровые техники внедряют везде, а иногда - выборочно в процессы приема на работу/увольнения, поскольку они требуют усиленного внимания ввиду большого количества сотрудников, через них проходящих.


  -  Необходимость в развитии скиллов сотрудника при отсутствии более сложных задач – тогда такие задачи имитируются в игровой форме и могут хотя бы подготовить человека к решению подобных проблем в будущем.


  -  При росте команды менеджеру становится все сложнее отслеживать в реальном времени общее состояние подчиненных; легко упустить первые признаки выгорания или разочарования в компании.


  -  Игры ради игр. Рутинные процессы, в том числе те, которые пока невозможно, сложно или дорого автоматизировать, может быть проще представить в формате игры.


Разберем наиболее популярные активности из тех, что уже внедрены в компаниях.


Виды игр

 

Игры для новых сотрудников

 

Когда новый человек, даже очень компетентный, приходит на рабочее место, наибольшую сложность для него составляют сложившиеся внутренние процессы компании.


К кому обращаться, кому правильно задавать вопросы – все это без игр можно получить несколькими способами:


   ·  Обращаться к HR. Да, в компании может быть принято именно так, особенно, если компания небольшая. Но отделов может быть много, и у каждого своя специфика, а еще HR на всех не хватит.


   ·  Обращаться к своему менеджеру или наставнику. Это классическая история, в которой руководитель или более опытный сотрудник проводят новичков по уже отработанному в отделе процессу (в том числе ответы на все вопросы могут быть заранее готовы и описаны в какой-нибудь Wiki). Но от всех вопросов избавиться все равно не получится.


   ·  Спрашивать коллег. Наиболее вероятен честный и соответствующий действительности ответ, но работа сама себя не сделает и отвлекать людей так часто не получится.


Во многих компаниях (почему-то чаще всего это банковский сектор) уже функционируют игры для новичков, которые построены как квест-достижение вершины, где высшая точка – прохождение испытательного срока.

 

рис 1.jpg

 

Также вместе с игрой или отдельно сотрудник получает доступ к чат-боту, который как раз и будет отвечать на любые вопросы, будь то отпуск или эскалация рабочих задач.


Предметы-достижения мотивируют сотрудника сделать базовые вещи: подписать все необходимые бумаги, посмотреть видео про awareness или познакомиться с определенными коллегами.


Игра с milestone для текущих сотрудников


Здесь по нашей внутренней статистике впереди всех коллеги из телеком-сектора. Внешне игра чем-то похожа на предыдущую, только никогда не кончается (это если не увольняться, конечно).


В подобных играх собраны все повторяющиеся в течение года HR-процессы, в которых задействован сотрудник: отпуска, прохождение обучений по технике безопасности и прочему, повышение осведомленности и другое.


Несмотря на то, что участвовать в этих активностях нужно всем без исключения, в игры привнесен соревновательный элемент и награды, если все будет сделано точно в срок.


Прокачка персонажа


Данный вид игр может быть как мотивационной частью предыдущего, так и самостоятельным элементом ежедневной работы, внедренным «рядом» с остальными процессами.


  • Баллы от коллег или за выполнение задач. Сейчас много где можно встретить применение игровой валюты компании для того, чтобы сотрудники могли или помериться рейтингом, или купить какой-нибудь мерч на «спасибо» за выполненную просьбу.


  • Викторины с призами. Время от времени сотрудникам предлагается ответить на вопрос, который так или иначе связан с компанией или их непосредственной работой. С одной стороны, это еще один способ набрать баллы, а с другой – возможность в моменте отвлечься от текучки и немного отдохнуть в течение рабочего дня.


  • Level up по soft skills – можно поднять себе уровень в том, что чаще всего формализовать сложно. Например, если речь идет о hard skills, отследить по ним свое развитие можно с помощью сертификатов или просто с добавлением новой системы или языка программирования себе в резюме. Но как-то объективно оценить навыки делового общения, креативности, адаптивности и командной работы несколько затруднительно. Или это может сделать человек из команды HR, но это трудоемко. Тогда на помощь приходит игровой формат с обратной связью сразу от нескольких коллег.


  • Формат внутренних нотификаций - из-за внешнего сходства с достижениями в видеоиграх ачивки-нотификации могут как давать ощущение полученного достижения, так и попросту информировать сотрудника об элементе рабочего процесса.


Процесс увольнения сотрудника


Что забавно, в одной из компаний, с которой довелось иметь дело, геймифицирован был именно процесс увольнения сотрудника, вместо процесса онбординга.


В целом, может, это и правильно, потому что здесь за короткий срок (и это не всегда две недели), нужно успеть подготовить ряд важных документов, ничего не забыть и нигде не напутать. В местах, где это поставлено на поток – и это уже не о компаниях, а о, например, вузах, где студенты в большом количестве выпускаются – такой процесс просто необходим.


Вместо листка с номерами кабинетов и списком документов или иного сотрудник получает приложение, доступное в том числе ответственным лицам, которые сразу могут отметить и подтвердить сданный пропуск, оборудование и остальное.


Тимбилдинги


Игры внутри сложившейся команды могут быть «аналоговыми», что не делает их хуже полноценной мобильной или десктопной игры. Тимбилдинг, зачастую, это не часть работы, а регулярные, выездные или не очень мероприятия, которые нацелены на формирование доверия между членами команды.


Однако, какие-то элементы тимбилдинга в том числе встраиваются в рабочие процессы и повседневные задачи, например, брейнстормы перед сложной инженерной задачей можно выстроить так, что это будет больше похоже на игру, чем на работу.


Деловые игры


Игры для бизнеса – это наиболее знакомый опытным сотрудникам формат игры. Что интересно, такой формат применяется не только в обучении уже взрослых людей с работой, а также для школьников и студентов – имитация судебного заседания или политических дебатов нередко проводится как часть обучающего процесса, где участники примеряют на себя различные роли.


Точно также и здесь – в деловых играх можно поставить себя на место поставщика или клиента, директора или подчиненного. Побыть маркетологом или креативщиком, будучи на самом деле кем-то другим.


Такие игры применяются или для устранения разногласий, понимания ценности и артефактов другой профессии, или для подготовки и обучения человека его новой роли (например, когда рядовой сотрудник становится менеджером или когда аналитику L3 SOC нужно быть готовым к сложным атакам).


Итоги

 

По мере того как растут и развиваются компании, геймификация становится неотъемлемой частью процессов. В ближайшем будущем это скорее всего станет новым стандартом работы.


Пользу, которая приходит с внедрением игр в рабочий процесс, можно с одной стороны измерить (например, скорость погружения нового сотрудника в процессы), а с другой – получить в виде обратной связи от сотрудников.

 

Практика ИБ Управление ИБ Подкасты ИБ

Рекомендуем

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Принципы информационной безопасности
Принципы информационной безопасности
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Рекомендуем

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Принципы информационной безопасности
Принципы информационной безопасности
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Похожие статьи

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Уязвимости
Уязвимости
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Похожие статьи

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Уязвимости
Уязвимости
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика