Burnout no Centro de Operações de Segurança!

21 fev 2019

A síndrome de burnout profissional não é um problema novo. Quando as pessoas se cansam de tarefas monótonas, a mente começa a sobrecarregar. Como resultado, todos começam a ficar menos atentos e menos focados. Em qualquer campo de atividade, isso é indesejável e leva a uma queda considerável na produtividade. Mas na cibersegurança, as consequências podem ser catastróficas – especialmente se a pessoa em questão for um trabalhador do Centro de Operações de Segurança (da sigla em inglês, SOC).

Para instalar um SOC, as empresas têm duas opções: criá-lo com recursos internos ou contratar profissionais externos. Nós temos uma vasta experiência nesta área, tendo nosso próprio SOC e um Centro de Atendimento ao Cliente. Além disso, nossos especialistas fornecem serviços para SOCs terceirizados e assim conseguem visualizar como as coisas funcionam em outras organizações. Munidos com nossas próprias fórmulas para manter o profissionalismo da equipe, decidimos compartilhar nossas experiências em relação ao burnout.
Vamos começar pela parte desagradável: a própria natureza do trabalho de um analista de ameaças de um SOC é uma rota direta para o esgotamento profissional. Além disso, quanto melhor a situação de segurança na empresa, mais curta é a estrada. O trabalho basicamente implica procurar anomalias nos dados recebidos, dia após dia. Quando uma é detectada, as coisas ficam um pouco mais interessantes – há um incidente para investigar, dados para coletar, avaliações de riscos e danos a serem feitas. Acontece que em empresas com soluções de última geração, que protegem servidores, estações de trabalho e toda a infraestrutura de informação, ciberincidentes interessantes não são tão comuns assim.

Logo, o especialista se senta e começa a analisar fluxos de dados, uma atividade não muito diferente de procurar um gato preto em um quarto escuro. No nosso caso, sempre assumimos que o gato está lá, em algum lugar, mas na prática isso não ajuda a aliviar a monotonia. Ainda assim, devemos ter em mente que nosso SOC é um local de trabalho preferível do que um centro interno, localizado dentro de uma empresa medíocre. E como temos muitos clientes, algo sempre estará prestes a acontecer em algum lugar para apimentar a rotina diária.

O que acontece com os funcionários que estão esgotados? Eles se tornam letárgicos, distraídos e geralmente descontentes com eles mesmos e com as pessoas ao seu redor. Se levarem seu trabalho a sério, o que a maioria faz, serão ainda mais sobrecarregados com a sensação de ter deixado seus colegas para baixo. Ao perceber que algo está errado, pesquisam online o que os psicólogos de várias áreas têm a dizer sobre o assunto. O conselho é o seguinte: “você tem que admitir para si mesmo que o seu coração não está mais batendo forte, lembre-se do que você gostava na infância e não tenha medo de mudar sua área de trabalho”. Talvez algumas pessoas achem esses clichês úteis. No entanto, uma coisa é certa, se o funcionário os seguissem o SOC seria afetado negativamente.

Como resolver o problema?

Do ponto de vista da empresa, a principal consequência do burnout dos funcionários é a queda no desempenho da equipe. Há muitas maneiras de superar esse problema, embora nem todas sejam humanizadas e aplicáveis na prática.

Se você não aguenta, caia fora

Algumas empresas acreditam que o burnout é um problema pessoal. Os empregadores fornecem aos funcionários tempo de férias e plano de saúde, tudo de acordo com a legislação (caso tais leis existam em seu país). Depois de um descanso, espera-se que os funcionários voltem ao trabalho no ápice do desempenho. No entanto, mesmo assim, os resultados continuam baixos? É uma pena, mas você está fora.

Talvez em alguns campos essa abordagem seja justificada, mas em um Centro de Monitoramento de Cibersegurança, não cola. O analista do SOC precisa ser substituído por outro especialista (mais difícil do que parece) e ser treinado, e mesmo assim vai demorar um pouco até que o desempenho do recém-chegado seja igual ao do funcionário anterior, ainda que o mesmo estivesse esgotado. Às vezes, as empresas contratam pessoas sem experiência relevante, mas com o potencial de serem transformadas em especialistas de alto desempenho. Então, depois de todo esse investimento, abandoná-las por causa de uma crise de burnout seria um desperdício de tempo, energia e recursos gastos em seu desenvolvimento, razão pela qual a maioria não o faz.

Transferência interna

Segurança da informação não é apenas sobre SOCs – longe disso. Mesmo em empresas fora da área de TI, há posições para analistas experientes. Equipes de resposta rápida, por exemplo. Assim, uma transferência para outro cargo dentro da organização poderia ser a solução ideal. Dessa forma, o analista é retirado da sua rotina e a empresa não sofre com a evasão de talentos.

Porém, em termos de desempenho do SOC, é irrelevante se o funcionário foi transferido internamente ou demitido; o número de colaboradores continuará reduzido em um. Vale a pena mencionar que na Kaspersky Lab isso acontece de forma um pouco diferente – antes de qualquer burnout, outros departamentos “sequestram” funcionários do SOC, precisamente porque acumularam experiência prática; e aprenderam como os ataques ocorrem, sabendo perfeitamente como neutralizá-los.

Operações de rotina automatizadas

À medida que as ferramentas de detecção e investigação de incidentes se tornam melhores, as tarefas humanas são inevitavelmente transformadas e o analista de SOC da linha de frente passa a ser o controlador de qualidade que supervisiona o trabalho do analista de robôs, que nunca se cansa, nunca se queixa, nunca têm burnout. Essas novas atividades de controle são uma experiência nova, pelo menos para o analista, elevando-o a um outro nível no qual é necessário sair da zona de conforto/tédio, e estimular o interesse nas tarefas que estão sendo resolvidas e em seu trabalho em geral.

Muito já foi dito sobre o aprendizado de máquina (AM), por isso é difícil chegar a qualquer revelação que abale essa temática. Basta dizer que os assistentes baseados em AM são muito bons em lidar com algumas tarefas restritas com critérios de qualidade claros. Eles certamente não podem substituir os funcionários da linha de frente, mas aumentam a taxa de transferência e permitem que os recursos humanos sejam redistribuídos como treinadores de robôs, controladores e desenvolvedores. O AM ainda pode ser hype em algumas organizações, mas para nós já é parte integrante do fluxo de trabalho diário.

Rotação interna

É impossível e indesejável substituir todas as pessoas por robôs, por isso, operamos um sistema de rodízio dentro do nosso SOC. Afinal, analisar os fluxos de dados do endpoint dificilmente será a única tarefa disponível para ser executada.

Para começar, há a sistematização dos dados de ameaças; o conhecimento prático adquirido por um analista em incidentes pode e deve ser usado para evitar a recorrência. E isso segue para outra tarefa: aprimorar as ferramentas do SOC. Nosso SOC, por exemplo, inclui um grupo de pesquisa, além de especialistas em suporte e desenvolvimento de infraestrutura. Não são posições totalmente intercambiáveis, mas toda a nossa atividade de desenvolvimento tem como objetivo automatizar as operações, de modo que a experiência prática do analista seja absolutamente vital. Ao alterar periodicamente as tarefas dos funcionários, minimizamos o desgaste, aprimorando simultaneamente o kit de ferramentas SOC e ajudando os colegas. Ao mesmo tempo, a gerência consegue entender quais áreas genuinamente detêm o interesse dos funcionários; essa forma de trabalhar, potencializa a eficiência das operações, portanto, o desempenho de toda a equipe.

Este método não é universal. Se o seu SOC emprega de duas a três pessoas, as opções de rotação serão limitadas. Esse é outro motivo para considerar a contratação externa de especialistas em monitoramento de dados. No entanto, ainda assim recomendamos que você pense em como tornar suas tarefas mais diversificadas. Os funcionários podem estar aptos a resolver outros problemas, o que pode ser suficiente para salvá-los do esgotamento relacionado ao tédio.

Resumindo, se você decidir treinar seus próprios analistas do SOC, recomendamos enfaticamente que tente mantê-los no quadro de funcionários. Não é só o amor que é difícil de encontrar, fácil de perder e impossível de esquecer.