Desgaste en el SOC

25 Ene 2019

El síndrome de desgaste profesional no es un problema nuevo. Cuando las personas se cansan de tareas monótonas, la mente empieza a divagar y, como resultado, se vuelven menos atentos y se concentran menos. Esto es indeseable en cualquier campo de actividad, pues conlleva una bajada de la productividad. Pero en ciberseguridad, las consecuencias pueden ser catastróficas, en especial si la persona en cuestión es un trabajador de un centro de operaciones de seguridad (SOC).

Las empresas tienen dos opciones cuando se trata de instalar un SOC: crear uno in-house o contratar profesionales externos. Tenemos una amplia experiencia en esta área, ya que contamos con nuestro propio SOC y con un centro de servicios al cliente. Es más, nuestros expertos proporcionan sus servicios a los SOC de terceros y comprueban cómo van las cosas en otras organizaciones. Armados de fórmulas que nos permiten mantener la profesionalidad de nuestros empleados, decidimos compartir nuestras reflexiones y experiencias sobre este síndrome.

Empecemos por lo desagradable: la naturaleza del trabajo de un analista de amenazas en un SOC es un camino directo hacia el desgaste profesional. Además, cuanto mejor sea la seguridad de una empresa, más corto será el camino. El trabajo consiste en buscar anomalías de información entrante, día tras día. Si se detecta alguna anomalía, la situación se vuelve algo interesante, pues hay un incidente que investigar, información que recopilar y evaluación de riesgos y daños que hacer. Pero en las empresas que usan soluciones de vanguardia para proteger los servidores, los equipos y toda la infraestructura de información, los ciberincidentes no son comunes.

En consecuencia, los expertos se sientan a examinar los flujos de información, una actividad que se asemeja a buscar un gato negro en una habitación oscura. En nuestro caso, siempre damos por hecho que el gato está en alguna parte, pero en la práctica eso no ayuda a contrarrestar la monotonía. Deberíamos tener en cuenta que nuestro SOC es un lugar de trabajo más preferible que un centro interno en una empresa común, ya que como tenemos muchos clientes, siempre termina sucediendo algo que rompe la rutina.

¿Qué sucede con los empleados exhaustos? Se vuelven lentos, se distraen y, normalmente, se desconectan de sí mismos y de los demás. Si se toman enserio su trabajo (cosa que todos los empleados de SOC hacen), además tendrán que cargar con el sentimiento de haber dejado colgados a sus compañeros. Al darse cuenta de que algo va mal, buscan en Internet opiniones de psicólogos en la materia y los consejos suelen ser: “tienes que admitir que el trabajo no te apasiona, recuerda lo que te gustaba de pequeño, no tengas miedo de cambiar tu línea de trabajo”. Puede que algunos piensen que estos clichés sean de ayuda, pero hay algo seguro: el SOC se vería negativamente afectado si el empleado los siguiera.

Cómo solucionar el problema

Desde el punto de vista de la empresa, la principal consecuencia de este síndrome es el bajo rendimiento del equipo. Hay muchas formas de solucionar el problema, aunque no todas son compasivas ni todas aplicables en la práctica.

Si no soportas la presión, evítala

Algunas empresas creen que este desgaste es un problema personal. Proporcionan a los empleados un período vacacional y un seguro médico, todo de acuerdo con la ley (si es que existe en su país). Tras un descanso, se espera que los trabajadores vuelvan al trabajo con más energía y, si el rendimiento sigue siendo bajo, es una pena, pero se va a la calle.

Puede que en algunos campos se justifique este modo de proceder, pero en un centro de monitorización de ciberseguridad, no vale. El analista del SOC debe ser remplazado por otro especialista (cosa que es más difícil de lo que parece) y ser formado; aun así, pasará tiempo hasta que alcance el nivel de rendimiento del anterior especialista, aunque este llegara a estar exhausto. Algunas empresas contratan trabajadores sin gran experiencia, pero con potencial de convertirse en grandes expertos. Por eso, deshacerse de ellos por este motivo sería una pérdida de tiempo, energía y recursos invertidos en su desarrollo y, debido a esto, muchas empresas no siguen este proceder.

Traslado interno

La seguridad de la información no trata solo de SOCs, ni de lejos. Hasta en las empresas que no se dedican al sector de la seguridad de la información existen puestos para analistas con experiencia. Equipos de respuesta rápida, por ejemplo, por lo que un traslado a otro puesto en la misma organización podría ser la solución. Así, el analista rompe con su rutina y la empresa no sufre una fuga de cerebros.

Pero en lo que al rendimiento del SOC se refiere, es irrelevante si ha sido trasladado o despedido; al SOC le sigue faltando una persona. Cabe destacar que en Kaspersky Lab esto sucede de un modo algo diferente: antes de llegar al desgaste, otros departamentos se llevan a los empleados del SOC, en especial porque han acumulado experiencia práctica; han aprendido cómo suceden los ataques y saben cómo contrarrestarlos.

Automatización de operaciones rutinarias

A medida que mejoran las herramientas de detección e investigación de incidentes, las tareas desarrolladas por personas cambian y lo que ayer era el trabajo de un analista de SOC, hoy es el trabajo de un controlador de calidad que supervisa el trabajo de un robot analista. Estas nuevas funciones de control son experiencias nuevas, al menos al principio, para el analista y lo conducen a un nuevo nivel, lo que les obliga a salir de su zona de confort/aburrimiento para interesarse por la resolución de tareas y su trabajo en general.

Ya se ha dicho mucho sobre el aprendizaje automático, por lo que es complicado discernir nuevas afirmaciones sobre el tema. Basta con decir que los asistentes basados en aprendizaje automático son muy buenos para gestionar algunas tareas angostas con criterios claros. Definitivamente, no pueden remplazar a los empleados de primera línea, pero aumentan el rendimiento y permiten a los recursos humanos ser reubicados como formadores de robots, controladores y desarrolladores. El aprendizaje automático puede que siga siendo novedad en algunos lugares, pero para nosotros ya es una parte integral de las operaciones diarias.

Rotación interna

Es imposible e indeseable reemplazar a todas las personas con robots y, por ello, contamos con un sistema de rotación en nuestro SOC. Después de todo, analizar los flujos de datos endpoint no es la única tarea de nuestro SOC.

Para empezar, está la sistematización de la información de amenazas; el conocimiento práctico obtenido por un analista tras los incidentes puede y debe usarse para impedir que vuelvan a suceder. Y ello conlleva otra tarea: mejorar las herramientas del SOC. Nuestro SOC, por ejemplo, cuenta con un grupo de investigación y con especialistas en soporte de sistema y desarrollo. Pensarás que no son puestos del todo intercambiables, pero toda nuestra actividad de desarrollo gira en torno a la automatización de operaciones, por lo que la experiencia práctica del analista es vital. Al cambiar periódicamente las tareas de los empleados, minimizamos el riesgo de padecer este síndrome a la vez que mejoramos las herramientas del SOC y ayudamos a compañeros. A su vez, la dirección comprende qué áreas son de interés para sus empleados; este interés es la piedra angular del alto rendimiento y, por ello, del rendimiento de todo el equipo.

Este método no es universal. Si tu SOC cuenta con solo 2-3 personas, las opciones de rotación serán limitadas, lo que supone otra razón para considerar la contratación de expertos externos en monitorización de datos. No obstante, seguiríamos recomendando la diversificación de tareas. Quizá puedan encargarse de otros problemas, lo que quizá les libraría de padecer este síndrome.

En resumen, si decides formar a tus propios analistas de SOC, te recomendamos que no los dejes escapar. El amor no es lo único difícil de encontrar, fácil de perder e imposible de olvidar.