Garantire l’efficienza delle risorse umane nei SOC (Security Operation Center) è uno degli aspetti fondamentali nella gestione delle HR in cyber security.
Nell’organizzazione aziendale, è il CISO (Chief Info security Officer) ad essere responsabile di questo aspetto dalla cui corretta gestione può dipendere il successo o meno di un programma di Security Operations (SecOps).
Durante un recente meeting con un Gruppo di CISO del segmento Fortune avvenuto a Londra e organizzato da due importanti Venture Capital specializzati in cyber security, mi è capitato di acquisire alcuni dei desiderata di questi professionisti, nonché di alcune idee su quali dovrebbero essere le aree di maggior focus nell’organizzazione dipartimentale delle Security Operations (SecOps). Di seguito alcuni punti di possibile interesse.
Indice degli argomenti
Gestione risorse umane nei SOC: il problema del turnover
Diciamocela tutta: gli operatori SOC di livello 1 e, in alcuni casi, anche di livello 2, se non opportunamente stimolati, vengono in poco tempo risucchiati nella routine operativa. L’esperienza dei CISO intervistati è comune e tutti concordano che per mantenere basso il turnover occorre focalizzarsi su quattro aree:
- compensi,
- carriera,
- formazione
- ambiente di lavoro.
Se si investiga ulteriormente il tema, i tre componenti di maggior rilievo nelle Security Operations sono:
- persone;
- processi;
- tecnologie.
I processi possono essere disegnati e documentati, le tecnologie acquistate ed implementate, ma le persone sono molto spesso l’X factor nell’equazione.
Chiunque abbia lavorato in SecOps sa che le persone possono rendere un team estremamente vincente o disgregarlo in fretta. Il problema è maggiormente sentito in Italia, dove un security analyst di un profilo moderatamente avanzato viene pagato a peso d’oro e, sempre più spesso, accetta offerte all’estero. Dette offerte di mercato aumentano in maniera proporzionale agli skills e all’esperienza del candidato medesimo.
Viene automatico considerare come cruciale il fattore della cosiddetta “employee retention”, cioè della capacità di un’azienda di trattenere al loro interno i talenti con skills superiori alla media. La capacità di un CISO di fare retention è inserita sempre più frequentemente nei suoi KPI, in quanto la perdita di un analista ha di solito un impatto sia in termini economici diretti sia di rischio operativo.
Si tratta, quindi, di gestione del cosiddetto “skill shortage” che, nel caso delle SecOps, non si rapporta solo alla mancanza di figure neutre per riempire una sedia, ma di una potenziale vulnerabilità nell’organizzazione. Vediamo come ovviare a tutto ciò.
Gestione risorse umane nei SOC: la compensation
È il termine elegante per definire il pacchetto di stipendio e incentivi. Sicuramente non è l’unico fattore di soddisfazione per un professionista. Tuttavia, non si può definire secondario.
È ormai una prassi consolidata, specie in aziende mature, quella di garantire remunerazioni competitive con la concorrenza. In alcuni casi (fortunati, direi), le aziende riescono a mantenere questa competitività, magari operando anche leggermente sopra il benchmark dell’industria a cui appartengono.
Alla paga base vengono quindi aggiunte una serie di componenti aggiuntive, tra cui bonus (anche in natura) e wellness aziendale di vario genere. Quest’ultimo è un metodo di retribuzione alternativa, utile quando non è possibile un aumento di stipendio di tipo convenzionale e si preferisce orientarsi su un piano di incentivi che rientra nella categoria dei cosiddetti “reward program”.
Gestione risorse umane nei SOC: avanzamenti di carriera
Specie nelle aziende di grandi dimensioni, i CISO intervistati confermano la tendenza di offrire, ai propri impiegati ambiziosi e produttivi, dei percorsi di crescita verso la managerialità.
Non sempre ciò è bene accetto dagli impiegati stessi, specie quando essi appartengono ad un’audience tecnica; pertanto questa è un’alternativa che non dovrebbe essere garantita di default ad ogni componente del team.
Le alternative di successo sperimentate sul campo sono quelle di prevedere un investimento sugli skills tecnici (per esempio formazione avanzata) che non necessariamente portino a promozioni verso la gestione di risorse. A volte la promozione sbagliata può sortire l’effetto contrario.
Se ne desume un ruolo sempre più importante delle Risorse Umane che, dietro input dei CISO, devono avere una visibilità certa sulle caratteristiche dei singoli membri del security team, in modo tale da disegnare su questi ultimi un percorso di carriera tangibile e misurabile da entrambe le parti.
Gestione risorse umane nei SOC: il training
Proprio per quanto descritto finora, il training è sicuramente critico per le aziende e le sotto-organizzazioni al loro interno.
Per le Security Operations, il training non può essere solo tecnico o solo organizzativo. Sicuramente lo sviluppo degli skills tecnologici riveste un ruolo prioritario, specie con l’aumento degli strumenti a disposizione di un SOC, per esempio.
Tuttavia, un training differenziato che possa fornire degli stimoli ben precisi agli operatori, gioca un ruolo fondamentale nella employee retention. Lo ripetiamo: gli operatori di un SOC (ma anche di un Computer Incident Response Team, a dire il vero) hanno un livello di sofisticazione molto alto, di solito proporzionale alla tendenza di ricercare nuovi stimoli mentali per uscire dalla routine. Le aziende dovrebbero tenere questo fattore sempre in conto per assicurare un livello alto di retention dei propri operatori.
Questi ultimi amano anche socializzare in ambito professionale. Prevedere un budget per conferenze, sessioni di training e soprattutto eventi rappresenta un modo molto efficace per mantenere alto il livello di partecipazione (e di skills) del team di sicurezza.
Non sempre ciò risulta possibile su larga scala, in quanto spesso le aziende non hanno budget dedicato per queste finalità, magari perché esso non risulta neanche contemplato nella contabilità industriale dell’azienda stessa. Alcuni player cercano di ovviare a questo problema inserendo la partecipazione a dette iniziative come forma di incentivo o ricompensa per le performances dimostrate.
A tal proposito, durante l’incontro è stato sottolineato che un’altra sfida potenziale è rappresentata dal fatto che, specie nelle Security Operations, non è sempre possibile allontanarsi per troppo tempo dalla sede aziendale per seguire eventi o conferenze esterni. Le strutture più grandi creano delle opportunità di eventi interni che, specie in realtà multinazionali, sono in grado di sopperire anche ad eventuali problematiche organizzative legate ad eventi esterni. Quest’ultimo trend risulta essere anche valido in quanto contribuisce alla creazione e al mantenimento delle relazioni tra team, specie in un’ottica multinazionale.
Invero, non sempre è necessario avere delle sessioni in presenza. Sono sempre più frequenti, infatti, le attività di tipo virtuale dove team anche multinazionali partecipano ad interazioni anche di una certa complessità. Ciò risulta essere particolarmente apprezzato, specie dalle audience di tipo tecnico.
Environment: l’importanza del fattore ambientale
Come direbbe qualcuno: non tutti lavorano in Google. Ma ci sono numerosi elementi, in una strategia di retention, che possono risultare più attraenti rispetto ai soliti free bar e tavoli da pingpong della Silicon Valley.
Nelle SecOps, il personale è pragmatico: ha bisogno di processi e tecnologie abilitanti che riducano drasticamente il loro carico di lavoro, specie su attività di tipo routinario. Da un punto di vista di processo, la documentazione e la struttura di quest’ultimo garantisce l’efficacia e la ripetibilità.
La tecnologia, se implementata correttamente, può fornire un supporto notevole, soprattutto per ridurre il carico di lavoro e lo stress degli operatori del SOC. In questo caso l’automazione aiuta molto. Sono molti gli studi effettuati sull’impatto dell’automazione nelle SecOps, soprattutto sugli operatori di livello 1 e 2. Gli use cases sono, in questo ambito: riduzione del tempo per allarme e moltiplicazione della produttività per singolo analista.
Va ribadito: mai come in questo caso la tecnologia è abilitante, riduce il carico di lavoro e, indirettamente, l’esposizione lato compliance dei CISO. Stiamo parlando, in questo caso, sia a livello di task management sia di processo di gestione del SOC.
Per ambiente/environment si intende anche la parte di spazio lavorativo. Nei SOC si tratta di un concetto di una certa importanza in quanto, a prescindere dalle implicazioni di sicurezza sul lavoro, un ambiente ben progettato riveste una particolare importanza. Bisogna tener conto, infatti, che gli operatori trascorrono turni di 8 ore a scalare, con varie notti davanti a uno o più monitor. In SOC di una certa grandezza, la mancanza di un supporto adeguato dal punto di vista di layout dei locali può dar luogo anche a vertenze di tipo sindacale. Per questo motivo, specie negli Stati Uniti, alcuni CISO iniziano a vedere di buon grado lo smart working per alcune tipologie di operatore.
