Онбординг и Менторство

В каждом наброске, в каждом черновике

Учитель продолжается в своём ученике

Баста «Сансара»

Как я не раз отмечал, каждый новый сотрудник в операционную команду проходит онбординг прежде чем начинает работать полностью самостоятельно. Далее, перечислю важные моменты.

1. Есть строгая программа онбординга. У нас очень много внутренних особенностей, как минимум, все используемые инструменты (SIEM, IRP, платформа TI, песочница и прочие эмуляторы и т.п.) – собственной разработки. Прежде чем начать всем этим эффективно пользоваться, нужно ознакомиться с имеющейся документацией и\или пройти внутренний тренинг. Документация включает не только описание работы с инструментами, но и множественные внутренние правила и процедуры, накопленные за долгую историю нашей команды.
2. Программа онбординга постоянно пересматривается, обновляется и дополняется. Какого-то выделенного ответственного у нас нет, но ментор (см далее) несет ответственность за адекватность программы для своего подопечного, а так как менторов мы назначаем из числа гиперответственных, на практике такое поддержание актуальности программы онбординга более-менее работает.
3. Программа онбординга состоит из пунктов, каждый из которых аналитик закрывает, предоставляя соответствующее подтверждение (где это требуется).
4. Заполненная индивидуальная программа онбординга сохраняется для истории, истории онбординга данного конкретного аналитика. Фактически это лог подготовки аналитика, к нему можно будет обращаться при каких-либо внутренних расследованиях.
5. Для каждого нового аналитика выделяется ментор из числа опытных аналитиков. Готовность аналитика стать ментором определяется по метрикам его работы: он должен быть эффективным и результативным аналитиком и не допускать ошибок, как минимум, высокой и средней критичности. Ментор является консультантом по всем вопросам, как рабочим, так и бытовым.
6. Ментор – это роль, которая тоже имеет свои КПЭ. В общем случае успешность менторства оценивается по успешности его подопечного (а успешность аналитика оценивается на основе метрик), – т.е. если новый аналитик допускает ошибки, то это негативно отражается на показателях ментора. В итоге, некоторых аналитиков мы не назначаем менторами как раз из-за прошлого негативного опыта, при этом сами, как аналитики, они могут быть достаточно хорошими. А какие-то аналитики, напротив, постоянно являются менторами.
7. Решение о готовности аналитика к полностью самостоятельной работе принимает ментор.

Теперь, когда есть понимание о том, как выглядит онбординг и менторство, поговорим о том почему крайне важно иметь процесс онбординга в SOC.

Нам всем знакомы формальности - подписи рядом "Ознакомлен", "Подтверждаю", "Даю согласие" и т.п. Аналитик собственноручно отмечает пункты программы онбординга как выполненные, что фактически означает его формальное "Ознакомлен" и "Согласен", а с любыми связанными вопросами всегда поможет ментор.

Все мы, люди, – уникальные, многообразие мнений имеет и положительные и отрицательные стороны, а наша задача, как организаторов, – уменьшить ущерб от отрицательных сторон и усилить эффект положительных сторон. В общем случае, многообразие мнений полезно для мозговых штурмов, например, по улучшению внутренних процессов работы, но когда разные аналитики дают оценку той или иной (но одной и той же) подозрительной активности, делают триаж алертов, результат не должен зависеть от субъективного мнения аналитика. Поэтому в SOC много внутренних инструкций и процедур, как бы мы не стремились к их минимальному количеству, не документируя очевидные\логичные\всем понятные вещи. Чтобы разобраться в этом множестве прошлых граблей\залетов и последующих договоренностей\Lessons learned-ов нужно время (онбординг) и нужен ментор, кто пояснит, что не понятно, и ответит на вопрос: «Почему так?», поскольку нам проще что-то делать, когда мы понимаем зачем и действие не выглядит для нас бессмыслицей.

Онбординг не только обеспечивает качество результата, так как имея чеклист проще ничего не забыть, но и ускоряет процесс. Много раз проверено и доказано, что повторять за кем-то успех намного проще, чем самостоятельно понять что такое успех и как до него дойти. За годы и десятки онбордингов мы обнаружили, что особенности работы ментора явно отражаются на работе подопечных: отношение ментора к тем или иным ситуациям (подозрительным событиям, комбинациям алертов\хантов, типам эскалаций и т.п.) впоследствии повторяется в действиях новых аналитиков, банально, ошибки ментора затем наблюдаются в действиях подопечного (по характеру ошибок аналитика, выявленных во время перепроверки, даже не подсматривая в лог онбординга, мы нередко можем догадаться кто выполнял онбординг). Это может показаться смешно, но, действительно, разгильдяй способен подготовить только разгильдяя, поэтому вопрос выбора ментора очень и очень важен - нам нужно культивировать все лучшее и бороться со всем худшим.

Уверенность в поддержке. Нам очень важно осознавать, что нас окружают друзья, которые нас не оставят в трудной ситуации, причем для обретения внутренней уверенности здесь недостаточно просто слов. Далее, команда работает эффективнее, если отношения в коллективе дружеские. Система менторства опосредованно создает описываемые условия взаимопомощи и дружбы: аналитик знает, что он может обратиться к ментору, а ментор готов к этому, так как прекрасно помнит, что когда-то сам был подопечным и заваливал своего ментора не менее удивительными (понимаемыми уже сейчас) вопросами. Подопечные хороших менторов становятся хорошими аналитиками и, в большинстве случаев, хорошими менторами. Так через поколения мы можем попытаться сохранить и приумножить лучшие практики.