Tükenmişliğin siber güvenlik endüstrisindeki birçok insan için bir sorun olduğunu biliyoruz. Ayrıca olabileceğimiz en güvende olabilmek için, ister tükenmişliğin önlenmesi, ister kariyer ilerlemesi yoluyla olsun, bizi güvence altına alan kişileri desteklememiz gerektiğini de biliyoruz. eSentire EMEA SOC Operasyonları Kıdemli Direktörü Ciaran Luttrell, büyük SOC ekibini destekleme konusunda kişiselleştirilmiş bir yaklaşım benimsiyor. Ciaran ile SOC ekiplerini yönetme, ekip çalışmasının önemi ve Siber Farkındalık Köşesi için kariyer ilerlemesinin neden uzun vadeli bir süreç olduğu hakkında konuştuk.
S: Sorumlu olduğunuz Güvenlik Operasyon Merkezi (SOC) ne kadar büyük?
C: Oldukça büyük bir grubuz, iki lokasyonumuz arasında 100’ün üzerinde güvenlik analistimiz var. Genel olarak SOC’miz, analistler, analist ekip liderleri ve ardından farklı alanlarda uzmanlıklara sahip daha kıdemli uzmanlardan oluşan Üç Katmanlı bir yapı halinde diğerleri gibi yapılandırılmıştır. Ekip liderleri Üç SOC Yöneticimize rapor verir, onlar da daha sonra Avrupa SOC’mizde bana ve Kanada Genel Merkezimizdeki meslektaşıma rapor verir.
Boyutumuz nedeniyle, güvenlik görevlileri için kurs içeriği oluşturmayı ve kursları yapılandırmayı bilen profesyonellerden oluşan özel öğrenme ve geliştirme ekibimize önemli ölçüde yatırım yaptık. Bu yatırımın sonucu olarak güvenlik analistleri için çok iyi organize edilmiş bir işe alım planımız var. Eğitmen liderliğindeki eğitim oturumlarıyla teknolojimizin ve platformumuzun tüm temellerini ele alıyoruz ve ardından her hizmete geçiyoruz. Sınıf mevcutlarını küçük tutuyoruz, ideal olarak beş kişiyi geçmeyecek şekilde. İlki normalde üç hafta sürer ve ardından bir değerlendirmeyle sonuçlanır.
İnsanların kursun bir parçası olan öğrenme çıktılarını karşıladıklarını ve bu dersleri gerçek dünya senaryosunda uygulamaya koyabileceklerini doğrulamak istiyoruz. Onlara test çalışmaları yaptırıyoruz ve tamamlanan dersleri nasıl uyguladıklarını izliyoruz. Bizim için mesele, yeni analistlere belgeleri ve runbook’ları göstermek ve onlardan temel performans göstergelerini karşılamalarını beklemek yerine, daha derinlemesine bir yaklaşım sağlamaktı. Ayrıca bizimle başarılı olacak en iyi yetenekleri işe aldığımızdan emin olmak için işe alım sürecimizi güncellemeye devam ediyoruz.
S: Ekip üyelerinize kariyer ilerlemesi ve kişisel gelişim konusunda yardımcı olmak için neleri uygulamaya koydunuz?
C: Bu konuda önemli çalışmalar yaptık, dolayısıyla iyi yapılandık ve bu da analistlerin tutarlı olmasına gerçekten yardımcı oluyor; çünkü farklı insanlarla, farklı coğrafyalarla, farklı kültürlerle ve her türlü değişkenle uğraşıyorsunuz. Buna yanıt vermek için performansa ilişkin verileri kullanmak istiyoruz, böylece algılayabileceğimizden ziyade gerçekte orada olana baktığımızdan emin olabiliriz. Bunu bu şekilde standartlaştırdığınızda, çok daha organize olur ve analistlerin belirli bir alanda yardıma ihtiyacı olup olmadığını veya gerçekten çok harika işler yapıp yapmadığını tespit etmek çok daha kolaydır.
Kariyer ilerlemesine de uzun vadeli bir süreç olarak baktık; insanlara yatırım yaptık, bu nedenle onları mutlu oldukları ve hem kendileri hem de bizim için doğru sonuçlara ulaştıklarını hissettikleri sürece elimizde tutmak istiyoruz.
S: SOC ekiplerini yönetme konusunda zaman içinde hangi dersleri öğrendiniz?
C: Analistlerin ekip liderlerine oranına baktık. Ekip liderlerimiz, SOC’de sahip olduğumuz insan yöneticileridir ve analistlerin işe alınması, geliştirilmesi ve ilerlemesinde rol alırlar. Ekiplerimize baktığımızda, kadromuzu etkin bir şekilde desteklemek için ekip liderlerinin sayısını artırmamız gerektiğini gördük. Bunun yaptığı, zaman kazanmaktı, böylece tüm ekip liderlerimiz ve onların altındaki analistler için daha tutarlı bir çerçeve oluşturabildik.
Bu, ekibimizin analistlerimizle nasıl çalıştığını, onlarla nasıl etkileşim kurduğunu ve bu konuşmalardan elde edebileceğimiz veri türlerini standartlaştırmamıza yardımcı oldu. Önceden, sorumlu oldukları SOC analistleriyle olan bu etkileşimleri nasıl yakalayacakları her ekibin liderine bağlıydı ve bunlardan bazıları çok daha az yapılandırılmıştı. Bu nedenle, bire bir toplantılar gibi işleri yürütmek için tüm ekip liderleri arasında kullandığımız bir şablon oluşturduk ve bu şablonu geliştirmeye devam ediyoruz.
Bu neden yardımcı oluyor? Konuşmaları ve neyin üzerinde anlaşmaya varıldığını takip etmeyi kolaylaştırır, böylece ölçümleri zaman içinde takip edebiliriz. Bu görüşmelerde ekip lideri ve analist, yürütülen çalışmayla ilgili verilerde, örneğin filtre oranlarında, uyarı oranlarında ve soruşturma denetim verilerinde aykırı değerleri arayacak. Eğer bir aykırı değer varsa, o zaman biraz daha derin bir inceleme yapabilir ve bu aykırı değerin neden var olduğunu öğrenebilirler.
Böylece SOC genelindeki analistlerimizin genel olarak nasıl performans sergilediğini, denetim sonuçlarına göre nasıl performans sergilediğini ve nerelerde daha fazla eğitime ihtiyaç duyulabileceğini görebiliriz. Daha sonra kariyer gelişimine ve ilerleyebilecek SOC analistlerimizin nerede olduğuna da bakabiliriz. Bunu verilere dayandırmak, bu verileri anlama ve ihtiyaç duyduğumuz yerde kullanarak harekete geçme becerisine sahip olmamıza dayanır.
S: Tükenmişliği veya stresi önlemek gibi alanlarda yönetim ve insan becerileriniz üzerinde nasıl çalışabilirsiniz?
Cevap: Bu zor bir iştir. Bu, ilgili kişiye ve onun kişiliğini ve hedeflerinin ne olduğunu anlamasına bağlıdır. Bu, bu tür konuşmalara yaklaşımınızı etkileyecektir. Bazıları için, nasıl ilerlediklerini öğrenmek için onlarla kısa bir sohbete ihtiyacınız olabilir, ardından onlara biraz nefes almak için bir sonraki kısa süre için çalışma planlarını değiştirin veya ihtiyaçları varsa onlara izin verin. . Diğerleri için bu daha derin bir konuşma olabilir.
Mesela SOC’mize tamamen farklı bir sektörden katılan bir kişi vardı. Kariyer değişikliği yapmaya karar vermeden önce marangozluk yapıyordu. Ancak takıma katılırken eski çalışma zihniyetini de yanında getirdi ve o da “İlk senenizde tatil yapmazsınız” idi. İnanılmaz derecede sıkı çalışmaya ama zaman ayırmamaya alışkındı ve başarılı olmak istiyordu ama tükenmişlik riskiyle karşı karşıya olduğunu görebiliyorduk. Onunla olaylara nasıl yaklaştığı hakkında konuştuk ve kendisine izin vermesinin sorun olmadığını bildirdik; aslında zorunluydu. Uzun vadeli bir başarı elde edebilmek için stresi azaltmak için zaman ayırmanın sorun olmadığını duymaya ihtiyacı vardı.
S: Ekibinizi yönetmede veriler ne kadar önemli?
C: Metrik verileri ekibinizi yönetmenize ve insanların yaptığı işleri karşılaştırdığınızdan emin olmanıza yardımcı olur. Ekibimizdeki bazı analistler inanılmaz derecede başarılı oldukları için oldukça hızlı ilerleme kaydettiler, diğerlerinin ise çeşitli kilometre taşlarına ulaşmaları biraz daha uzun sürecek. Bizim açımızdan buna belli bir zaman diliminde yapılması gereken bir şey olarak yaklaşmıyoruz.
Daha çok, niceliksel ve niteliksel olarak mevcut tüm verilerin bütünsel bir görünümüne dayalı olarak gelişiminizi göstermekle ilgilidir. Analistlerle çalıştığınızda, işleriyle ilgili verilere dayanarak konumlarını anlayabilmeleri hoşlarına gidiyor ve kariyer geliştirme programımızda gerçekten başarılı oluyorlar. Bu program, analistlerin ilerleme için uygunluğunu her çeyrekte tanımlanan hedeflere göre değerlendirir; analist performansını gözden geçirmek ve ekip lideri terfi önerilerini onaylamak veya reddetmek için bir komite yaklaşımı kullanılır. Bir analist henüz terfi için hazır değilse, kendisine iyileştirilmesi gereken alanlarla ilgili çok hedefli geri bildirim verilecek ve yeniden değerlendirilmek için uzun süre beklemesi gerekmeyecek. Dahili sertifikaların tamamlanması için daha küçük ve daha düzenli maaş artışları da verilmektedir, böylece analistler ilerlemeyi oldukça hızlı bir şekilde görebilirler.
Analistlerimize bizim gördüklerimizi görebilmeleri için sahip olduğumuz tüm metriklere erişim hakkı veriyoruz ve diğer herkesin metriklerini de birbirlerinin kullanımına sunuyoruz. Her şeyi tamamen şeffaf hale getirmeye ve rekabeti biraz teşvik etmeye karar verdik. Eğer insanlar kendilerini başkalarıyla karşılaştırmak istiyorlarsa bunu yapabilirler. İşlerini seven ve ilgili olan gerçekten iyi analistleri buluyoruz; giriş yapan ve metriklere en çok bakanlar onlar. Veri odaklıysanız, kendinizi bir nevi karşılaştırabilir ve karşılaştırabilirsiniz. Güzelliğin neye benzediğini biliyorsun.
Ayrıca insanların üstlendiği işlerin karışımını da görebiliriz; örneğin, incelemeniz gereken vaka çalışmaları ve olaylar var. Bu güvenlik soruşturmalarından bazıları çok kapsamlı olabilirken, diğerleri daha fazla önceliklendirmeyi ve yanıtları için taleplerin başkalarına iletilmesini gerektirebilir. Personelimizin, bazılarının derinlemesine çalışmayı üstlenmesi ve diğerlerinin daha kolay vakalara bakması yerine, daha dengeli bir iş üzerinde çalıştığından emin olmak istiyoruz.
S: Güvenlik arkadaşlarınızla paylaşmak istediğiniz başka noktalar var mı?
C: İletişim, güvenlik profesyonellerinin geliştirebileceği en büyük becerilerden biridir. Bu tür sosyal beceriler, teknoloji yeterliliğinizi artırabilir, rolünüzde çok daha etkili olmanızı sağlayabilir ve başkalarının hedeflerine ulaşmalarına destek olabilir.
Ancak iletişim bağlama dayalıdır. Bir örnek vereceğim; ekibimiz hem reaktif tehdit tespitini hem de olay müdahalesini ve proaktif tehdit avcılığını kapsamaktadır. SOC ekibimiz bu alanların her ikisini de kapsayabilir ancak analistlerimizin çoğunluğu tepkisel durumlarla başlar. Kariyerini geliştirmek ve tehdit avcılığına daha fazla yönelmek isteyen harika bir analistimiz vardı ve biz de bunu teşvik etmek istedik. Tehdit avcılığına başladıklarında müşteri bildirimini gerektirecek bir şey buldular. Uyarıyı standart şablonlarımızı kullanarak yazıp müşteriye ilettiler ancak tüm iyi niyetimize rağmen müşteri olumlu yanıt vermedi.
Araştırdığımızda, müşterinin gözünde sorunun kendisine bildirilme şeklinin, alıştıkları reaktif güvenlik bildirimleriyle aynı olduğunu ve eyleme geçirildiğini tespit ettik. Bildirim, bunun canlı bir ihlalden ziyade daha fazla araştırmayı gerektiren potansiyel bir sorun olduğunu açıkça ortaya koysa da kafa karışıklığına ve şaşkınlığa neden oldu. Tehdit avlama sonuçları ile tespit ve yanıt uyarıları arasında net bir ayrım yapmak ve beklenen eylemleri açıkça belirtmek için iletişim yaklaşımımızı değiştirmeye karar verdik. Bunu genel iletişim yaklaşımımızı geliştirmek ve analistlerimizin de iletişim becerilerini geliştirmelerine yardımcı olmak için bir fırsat olarak değerlendirdik.