Геймификация SOC

Ева Беляева, Руководитель Отдела развития Security Vision

Причины геймификации

Нередко в потоке рабочей рутины и при постоянном погружении в процесс опытный руководитель может сразу подметить первые признаки усталости и выгорания среди аналитиков и операторов SOC. С еще большей частотой команды, непрерывно, замотивированно и с энтузиазмом работающие над сложными или однообразными задачами, замечают свое «нерабочее» состояние уже по факту.

В сухом остатке получается, что команда преобразилась в группу бесконечно уставших людей, которым не помогают ни отпуск, ни деньги, и которые готовы прямо завтра «бросить это ваше ИБ» и уйти в закат. Казалось бы, работа в целом и не связана с помогающими профессиями, однако постоянный интеллектуальный труд, отягощаемый переработками, все же сказывается на состоянии работников вопреки отрицанию проблемы.

Выходы из таких ситуаций могут быть разные (менеджеры, тимлиды и HR подскажут), но на самом деле таких ситуаций можно или избежать, или как минимум освежить рабочую рутину, добавив в нее элементы игр, балансируя на тонкой грани между работой и развлечениями.

Какие бывают игры

Игровые практики, применяемые в таких командах, бывают разнообразны и многогранны. Конечно, стоит изначально выявить несколько определяющих факторов для выбора формата мероприятий:

1. насколько вы серьезны как SOC;

2. чего стоят послабления в процессе реагирования;

3. каким опытом обладают сотрудники;

4. нередко важен возрастной порог. 

Но на самом деле по большей части все упирается в первый пункт.

Игры для решения серьезных проблем

Игры, подходящие, к примеру, для коммерческих SOC, и играми-то сложно назвать, однако по сути своей, если слегка откалибровать отношение к рабочим активностям (а еще к их результатам), то выходит, что пентест и SOC не просто проводят Red/Blue team соревнования, а решают сложные ИБ-ориентированные головоломки на время. Панацеей от сложных задач и кипящего мозга такой переворот не станет, но как раз-таки уменьшение серьезности хорошо скажется на моральном состоянии, главное не забывать об ответственности и о том, что вокруг все-таки работа.

Не такие уж большие сложности

По крайней мере, здесь есть где разгуляться фантазии, когда всех проблем – одинаковые задачи, одинаковые люди и одинаковые проблемы. Все не критичное, нигде не горит, просто работы много и никуда от нее не деться. Когда недостает разнообразия, можно развернуть околоSOC-деятельность, переняв из игровой сферы как минимум достижения и нарративно-ролевую модель за круглым столом киберучений.

Применение на практике

Что же делать, если решение о разнообразии или снижении градуса стресса рабочих процессов принято? Заручившись согласием всех причастных, приниматься за внедрение практик.

Встраивание в работу

Методы могут также разниться от шуточных до официальных: даже простая смена визуального «поля боя» может задать правильное настроение игрокам: например, «хакерские» терминалы unix, секретное общение с коллегами по настоящей рации и перемещение в новый кабинет или уголок опен-спейса для отработки ключевых задач.

Киберучения, как и рутинная обработка кейсов, могут преобразиться сразу же, на дашбордах – один заказчик добавлял отдельную вкладку с турнирной таблицей рабочей смены. Со временем в аналитиках просыпался азарт, и периодами некритичные/известные/задублированные инциденты закрывались с удвоенной силой. Если вспомнить достижения, то другой заказчик в своей самописной BI-платформе предусмотрел один маленький, но забавный элемент игры – выскакивающая «ачивка» при преодолении командой нового порога в количестве инцидентов или в скорости их обработки.

Не каждый заказчик обладает возможностью переделать визуал под работников. Но организоваться внутри команды можно и самостоятельно.

Встраивание рядом с рабочим процессом

Если рабочий инструмент формален и серьезен, не спасает отпуск и соревнования с учениями доводят до тахикардии и сильных переживаний, можно как временный инструмент использовать нарратив. Команда одного из интеграторов, поработав в аутсорс-SOC пару лет, на третий год переключилась с формального подхода к работе на неформальный: аналитики трансформировались в детективов, процесс расследования и реагирования – в увлекательное кинематографичное приключение. От этого, впрочем, слегка преобразились отчеты – сухой деловой стиль стал новеллистской детективной историей, рассказы о реальных инцидентах для руководства наполнялись мемами, а визуализация вместо красных крестов и зеленых галочек предлагала плачущих и одобряющих котов. Однако, хоть это и звучит странно, такие меры действительно помогли.

Плоды

Вовремя примененная и использованная геймификация, как «здесь и сейчас», так и в долгую, позволяет команде SOC на время переключиться и почувствовать себя в другой роли, изменить перспективу работы и посмотреть на свои задачи с новой, более увлекательной стороны.

Подходящая атмосфера и общие шутки, соревнования на интерес оказываются лучше любого искусственного тимбилдинга: если команда победила серебряного или золотого дракона в поисках украденного билета (а какие еще ассоциации вызывает Kerberos) – все остальное им точно по плечу.