SOC burn-out

januari 25, 2019

Het professionele burn-outsyndroom is geen nieuw fenomeen. Wanneer iemand moe wordt van eentonige taken, begint het brein af te dwalen. Het gevolg is minder aandacht en concentratie. In welke sector dan ook is dit onwenselijk en verlaagt het de productiviteit. Maar in cyberveiligheid kunnen de consequenties rampzalig zijn – vooral als de persoon in kwestie een SOC-werknemer (Security Operations Center) is.

Bedrijven hebben twee manieren om een SOC op te zetten: met in-house of externe professionals. We hebben uitgebreide ervaring op di gebied met ons eigen SOC en een ‘client service center’. Daarnaast doen onze experts ook ervaring op bij SOC’s van andere organisaties en zien ze hoe dingen daar werken. Nu willen we ons eigen arsenaal aan formules voor het behoud van een professioneel niveau met jullie delen, en daarnaast ook onze ideeën en ervaringen over het onderwerp burn-out.

Laten we met het minder aangename deel beginnen: De aard van het werk van een SOC-dreigingsanalist is een pad dat regelrecht leidt naar een burn-out. Sterker nog, hoe beter de veiligheid van een bedrijf, des te korter die weg. Het werk is in feite het zoeken naar abnormale activiteit bij inkomende data, dag in dag uit. Als er iets afwijkends wordt waargenomen, dan wordt het interessanter – dan moet er een incident onderzocht worden, data verzameld en een risico- en schade-assessment gemaakt worden. Maar de bedrijven met moderne oplossingen die servers, werkstations en complete informatie-infrastructuur bewaken, hebben niet vaak te maken met sappige cyberincidenten.

Wat de deskundige doet is staren naar datastromen, een handeling die lijkt op het zoeken naar een zwarte kat in een donkere kamer. In ons geval gaan we ervan uit dat de kat ergens in die kamer zit, maar in de praktijk helpt dat niet de eentonigheid tegen te gaan. Het is belangrijk om te weten dat onze SOC veel wenselijker is dan een intern centrum in een doorsnee bedrijf. Omdat we meerdere klanten hebben, is er altijd wel dat de dagelijkse routine doorbreekt.

Wat gebeurt er met overspannen werknemers? Ze worden traag, afgeleid en normaalgesproken ontevreden over zichzelf en collega’s. Als zij hun werk serieus nemen (in de praktijk doen alle SOC-werknemers dit), worden ze extra belast met het gevoel dat ze hun collega’s teleurstellen. Zodra ze doorhebben dat er iets mis is, zoeken ze online wat psychologen in het vakgebied erover te zeggen hebben. Het meest gangbare advies dat ze vinden is: ”Je moet aan jezelf toegeven dat je je niet lekker voelt, denk aan wat je als kind leuk vond en wees niet bang om een andere weg in te slaan.” Misschien zijn er mensen die deze clichés zinvol vinden, maar één ding is zeker – de SOC zou negatief beïnvloed worden als de werknemers deze adviezen zou opvolgen.

Hoe je het probleem kunt oplossen

Vanuit het oogpunt van het bedrijf is het hoofdzakelijke gevolg van een burn-out een minder hoog prestatieniveau van het team. Er zijn veel verschillende manieren om dit probleem op te lossen, maar ze zijn niet allemaal even menselijk en ze zijn lang niet allemaal haalbaar in de praktijk.

Als je ergens niet tegen kunt, loop dan weg

Sommige bedrijven geloven da teen burn-out een persoonlijk probleem is. Ze geven werknemers vakantiedagen en een medische zorgverzekering, alles volgens de wet (als er zulke wetten zijn in hun land). Na een rustperiode worden de werknemers verwacht weer op volle toeren te kunnen draaien. Nog steeds een lage performance? Helaas, je bent ontslagen.

Misschien valt in sommige sectoren iets te zeggen voor deze aanpak, maar in een centrum voor het monitoren van de cyberveiligheid gaat het niet op. De SOC-analist moet worden vervangen door een andere specialist (lastiger dan het klinkt) die moet worden ingewerkt, en zelfs dan duurt het even voor de nieuwe collega het gewenste performance-niveau (dat van de voorganger) behaalt. Soms nemen bedrijven mensen aan zonder de relevante ervaring, maar met potentieel om een topdeskundige te worden. Om ze vervolgens weer los te laten, omdat een burn-out zonde van het geld, tijd en energie is die nodig zijn voor de ontwikkeling. Daarom doen de meesten het niet.

Interne overplaatsing

Informatie veiligheid gaat niet alleen over SOC’s – verre van. Zelfs bij bedrijven buiten de sector zijn er vacatures voor analisten met ervaring. Zo zijn er rapid-response-teams bijvoorbeeld. Een interne overzetting naar een andere functie binnen het bedrijf kan dus de oplossing zijn. Op die manier wordt de analist uit zijn routine gehaald en blijft de kennis binnen het bedrijf.

Maar wat betreft SOC-performance is het irrelevant of de werknemer intern is overgeplaatst of het bedrijf heeft verlaten; het SOC-team heeft nog steeds iemand minder. Het is het waard om te vermelden dat het bij Kaspersky Lab iets anders aan toe gaat – nog voor een burn-out worden SOC-werknemers door andere afdelingen gekaapt, juist omdat ze praktische ervaring hebben opgedaan; ze weten hoe aanvallen werken en hoe ze kunnen worden tegengegaan.

Routinehandelingen automatiseren

Tools die incidenten detecteren en onderzoeken worden steeds beter, en dat zorgt voor verandering in mensentaken. En de SOC-hoofdanalist controleert vandaag de dag het werk van de robotanalist, die nooit moe is, nooit overspannen raakt en nooit klaagt. Deze nieuwe controlefuncties zijn nieuwe ervaringen, in ieder geval in het begin, voor de analist, die de analist naar een nieuw niveau tillen, door uit de comfortzone te stappen. Nieuwe interesses worden gestimuleerd en op die manier het werk in het algemeen.

Er is al veel gezegd over machinaal leren (ML), dus het is moeilijk om iets baanbrekends te vertellen op dat niveau. Het feit dat assistenten die zich bezighouden met ML erg goed zijn in het afhandelen van smalle taken met duidelijke kwaliteitscriteria. Frontline-medewerkers kunnen simpelweg niet vervangen worden, maar ze stimuleren de doorstroom en personeelszaken kan ze herindelen als robot-trainers, controleurs en ontwikkelaars. ML mag dan hip zijn in sommige sectoren, maar voor ons is het al een wezenlijk deel van onze dagelijkse handelingen.

Interne rotatie

Het is onmogelijk en onwenselijk om alle mensen te vervangen voor robots, en daarom opereren we binnen onze SOC in een rotatie-systeem. Het analyseren van endpoint-data is tenslotte zelden de enige taak binnen onze SOC.

Om te beginnen, is er de systematisering van dreigingsdata; de praktische kennis die een analist opdoet bij incidenten kan en moet worden gebruikt om een nieuw incident te voorkomen. En dit mondt uit in een nieuwe taak: het verbeteren van SOC-tools. Onze SOC heeft bijvoorbeeld een onderzoeksgroep plus ondersteuningsinfrastructuur en ontwikkelingsspecialisten. Je zou denken dat deze functies niet echt inwisselbaar zijn, maar al onze ontwikkelingsactiviteit is gericht op het automatiseren van operaties, dus de praktische ervaring van de analist is van vitaal belang. Door systematisch de werknemerstaken te wisselen, verkleinen we de kans op een burn-out, wordt de SOC-tool verbeterd en worden collega’s geholpen. Tegelijkertijd kan het management meer zicht krijgen op de gebieden waarin werknemers geïnteresseerd zijn; en deze interesse is de hoeksteen van hoge efficiëntie, en dus de performance van het hele team.

Deze methode is niet universeel. Als jouw SOC-team bestaat uit 2 of 3 mensen, dan zijn de mogelijkheden om te roteren nogal beperkt. Dit kan overigens een reden zijn om externe data-monitoringsdeskundigen in te huren. Toch raden we aan om erover na te denken hoe hun taken afwisselender kunnen zijn. Ze zouden zomaar andere lopende zaken kunnen oplossen, wat ook vaak al genoeg is om een burn-out te voorkomen.

In het kort, mocht je je eigen SOC-analisten willen trainen, dan adviseren we om ze in huis te houden. Die liefde is niet alleen moeilijk te vinden, makkelijk te verliezen, maar ook onmogelijk om te vergeten.