Согласно исследованию RED Security, большинство кибератак на промышленные предприятия происходят в периоды низкой активности сотрудников – ночью, в выходные и праздники. Именно в это время увеличивается доля критических инцидентов. Это означает, что стандартные графики работы специалистов по информационной безопасности могут стать недостаточными для оперативного реагирования на возникающие угрозы.
Причины такой закономерности просты:
-
В вечерние и утренние часы сотрудники заняты обычными делами, а служба безопасности нередко функционирует сокращенно или вовсе отсутствует.
-
Выходные и праздники — традиционное время расслабления и отдыха для большинства работников, поэтому защита инфраструктуры ослабевает.
Преступники пользуются этими окнами, зная, что шансы остаться незамеченными гораздо выше.
Таким образом, необходимо пересмотреть текущий подход к организации службы информационной безопасности и уделить особое внимание увеличению покрытия мониторинга и реагирования в период низких нагрузок на производство.
В статье вы узнаете, как организовать эффективный и наиболее комфортный график работы для специалистов центра мониторинга, а также как им не терять концентрацию на 24-часовых рабочих сменах.
Начиная путь построения центра мониторинга и реагирования на инциденты информационной безопасности, многие ограничиваются минимально необходимым функционалом и режимом работы.
Такой подход оптимален: есть альтернативы в виде центров, предоставляющих услуги SOC в различных режимах и вариациях, а также не у всех организаций есть потребность в круглосуточном мониторинге инфраструктуры, расследовании и выявлении причин инцидентов.
Но в какой-то момент может возникнуть потребность в круглосуточном мониторинге, например, из-за требований регулятора; опасения за бизнес из-за успешных взломов, в результате которых коллеги понесут потери; понимания, что безопасность должна быть непрерывной; повышения зрелости центра мониторинга и необходимость в дальнейшем его развитии (например, для предоставления услуг).
Тогда возникнет сразу несколько вопросов:
-
Сколько потребуется людей?
-
Как организовать график смен?
-
И забегая вперед, что делать, чтобы специалисты не выгорали?
Попробуем в них разобраться.
Чтобы ночной мониторинг работал
1. Люди
Если для организации мониторинга в режиме 8х5 будет достаточно трех человек (учитывая задачи по развитию, отпуска, больничные и прочее), то для 24х7 потребуется не менее пяти человек, занимающихся мониторингом, а также руководитель, специалисты, отвечающие за развитие и техническое сопровождение – 2-3 человека (центр мониторинга – постоянно развивающееся направление, как с точки зрения компетенций специалистов, так и с точки зрения технологий и процессов, поэтому, чтобы оставаться в тренде и быть эффективным, потребуются люди, задачи которых связаны с развитием направления). В итоге, минимально потребуется около 10 человек, и это без учета узких специализаций, связанных с расследованием инцидентов ИБ.
2. График
Не в последнюю очередь на процесс мониторинга и реагирования на инциденты ИБ влияет график смен специалистов, так как именно график является механизмом баланса комфорта с одной стороны и производственным процессом и нормами трудового законодательства с другой.
Графики смен могут сильно отличаться в зависимости от численности специалистов и количества самих центров мониторинга.
Рассмотрим различные вариации графиков:
- График – 1-2
Двое специалистов заступают на смену, дежурят сутки (с перерывами на сон), после смены – два дня выходных. Итого получаем в среднем 3 суточные смены в неделю. В таком режиме потребуется не менее 6 человек:
При таком режиме потребуется минимум +2 человека на период отпусков, также специалистам будет достаточно сложно заниматься развитием. Также смена длиной в 24 часа – серьёзная нагрузка на человека, а в пересчете в часы, получается, при нормированной 40-часовой рабочей неделе выработка составит от 48 до 72 часов.
- График – смена по 8 часов
Более оптимальный вариант – задублировать график:
В таком случае нужно будет привлечь в два раза больше людей, но при этом не возникнет проблем с их отсутствием по причине отпуска или больничного. Каждый день не менее 4 человек будет заниматься развитием как своих компетенций, так и центра мониторинга. С точки зрения трудового законодательства, такой вариант позволит выровнять выработку к норме за месяц.
- График – 3 смены
При таком режиме потребуется минимум +1 человек на период отпусков. В отличие от предыдущих графиков, в этом учтена дополнительная смена развития. С точки зрения трудового законодательства, выработка будет учитываться по итогам года, где в случае нехватки или переизбытка часов ее можно выровнять за счет смены развития.
Как и говорилось ранее, графики могут быть разные в зависимости от количества специалистов, разделения на линии и специализации. Отдельно отметим вариации со сменами контроля, где специалист перепроверяет результаты мониторинга за предыдущей сменой.
Исходя из приведенных примеров, мы учитываем, что обозначенные 5 специалистов – это минимальное количество сотрудников для режима 24х7, которое позволит организовать непрерывный мониторинг. Однако важно не только организовать, но и сохранить стабильность работы центра.
Как сохранить то, что уже работает
Порой сохранить работоспособность центра мониторинга сложнее, чем его построить. На это есть 3 весомые причины:
-
Сменный график достаточно специфичен с точки зрения представления работы ИТ-специалистов, и не все готовы к такому режиму работы.
-
Центр мониторинга, как и специалисты, развивается. Причем достаточно быстро нужно адаптироваться как в части процессов и технологий, так и в части людей.
-
Центр мониторинга – это дорого (много людей и сложные системы), поэтому для поддержания экономической целесообразности требуется минимизировать издержки.
Согласитесь, режим работы достаточно специфичен, однако сменный график всё же не такая редкость в сфере ИТ. Это и техподдержка, и мониторинг работоспособности критичных сервисов, простой которых практически невозможен. Как говорилось ранее, для стабильной работы центра мониторинга поможет комфортный график, составленный совместно с самими специалистами. Но несмотря на график, так или иначе ночные смены будут присутствовать.
Специалисты нашего центра мониторинга специально для этой статьи подготовили лайфхаки, что нужно сделать, чтобы во время ночной смены не потерять концентрацию и не пропустить ничего важного:
1. Подготовка к ночной смене
Заранее выспаться перед ночной сменой. Тут можно либо спать как можно дольше, либо проснуться утром и поспать днём или вечером не менее 2 часов. Качество сна напрямую зависит на бодрость ночью.
2. Поддержка концентрации и работоспособности
Пить больше воды, так как жидкость помогает сохранить концентрацию. Помимо воды бодрят чай и кофе, желательно с сахаром.
Также необходимо делать перерывы каждые полчаса и двигаться: ходить и разминаться. Пяти минут достаточно, чтобы снизить усталость и сонливость. Кроме активных действий можно смотреть в окно – перевести взгляд с экрана, чтобы переключить и разгрузить внимание.
Проветривать помещение и умываться холодной водой. Умывания эффективно помогают в моменты пиковой сонливости.
3. Автоматизация рутинных процессов
Скрипты. Для понимания, где можно автоматизировать повторяющиеся задачи, можно подготовить скрипты. В целом, это снижает утомляемость и освобождает время для более важных задач.
Улучшение дашбордов. В ночное время концентрация ниже, чем днем, поэтому рекомендуется адаптировать рабочие инструменты, чтобы фокусироваться на действительно важных вещах.
Настройка уведомлений. В период снижения концентрации уведомления о критичных событиях позволят сохранить скорость реакции.
4. Документирование и фиксация анализа
Фиксировать ход расследования. Такой подход позволит не потерять нить анализа инцидентов, а также упростить передачу информации и сохранить контекст при дальнейшей работе.
Помечать подозрительные события. Это позволит в дальнейшем отсортировать их и пересмотреть на предмет связанности, что поможет при анализе.
В части развития центра и специалистов стоит в первую очередь делать упор на мнение самих специалистов. Человек на смене может лучше знать специфику и понимать, что нужно сделать, чтобы повысить эффективность своей работы.
Специально для этого формируется смена развития, где специалистам выделяется время не только на изучение чего-то нового, но и на автоматизацию текущего. По итогу остается только формализовать новые методы и подходы при мониторинге и реагировании на инциденты.
Такого же подхода стоит придерживаться и в части компетенций специалистов, так как в процессе мониторинга так или иначе формируется понимание дальнейшего направления развития (например, администрирования систем мониторинга, анализ трендов и адаптация правил и прочее). За счет этого, центр мониторинга будет развиваться самостоятельно.
Но обратная сторона медали заключается в том, что центр мониторинга постоянно будет нуждаться в специалистах, либо постоянной и мощной автоматизации, что также будет постепенно приводить к сокращению издержек.
Подведем итоги
Построение и сохранение центра мониторинга и реагирования на инциденты информационной безопасности – задача не из простых.
Ночной мониторинг – серьезный шаг как в рамках организации работы команды, так и в части физического состояния сотрудника в период смены.
Мы рекомендуем учиться на опыте успешных примеров организации центров мониторинга, чтобы предвидеть возможные трудности и избежать неэффективных решений. Это поможет заранее подготовиться и значительно упростить процесс создания собственного центра мониторинга.