Sviluppo di talenti nelle operazioni di sicurezza

Una conversazione con Tom Avant, Director of AWS Security Operations

Il punto di vista di un leader sullo sviluppo dei talenti nelle operazioni di sicurezza

Nel mondo delle operazioni di sicurezza ad alta posta in gioco e orientato alla precisione, trovare il talento giusto è fondamentale. Scopri il dietro le quinte con Tom Avant, direttore dell'AWS Security Operations Center (SOC), mentre svela i suoi metodi per identificare, formare e fidelizzare i talenti della sicurezza informatica per il SOC AWS.

Trascrizione della conversazione

Con Tom Avant, Director di AWS Security Operations e Clarke Rodgers, Director di Enterprise Strategy presso AWS

Assumere personale per le operazioni di sicurezza: mentalità e competenze desiderate

Clarke Rodgers:
Quando vuoi assumere, che si tratti di risorse interne o esterne, quali sono alcune delle caratteristiche che cerchi per il ruolo di analista SOC o per altri ruoli all'interno dell'organizzazione? Stai cercando una mentalità specifica o delle competenze particolari? In cosa consiste?

Tom Avant:
All'interno della nostra organizzazione ci sono 12 famiglie professionali diverse. Quindi molte persone dicono: “Come? Lavori in un'organizzazione con 12 famiglie professionali diverse?” Certo che sì. Includono tutti, dai PM ai TPM, dagli ingegneri di supporto agli ingegneri di sistema. Abbiamo piccoli team di sviluppo tattici. Quindi, abbiamo ingegneri di sviluppo software, SDM, ingegneri della sicurezza. Insomma, ce ne sono tanti. E questo è solo un esempio.

Quindi, in generale, a seconda del lavoro che si andrà a svolgere, esiste una certa serie di BQ, ovvero qualifiche di base o requisiti specifici. Tuttavia, quando si parla di lavorare nella nostra organizzazione nel suo insieme, cerchiamo persone con un alto livello di competenza. Cerchiamo persone abituate a operare in situazioni ambigue. Lavoriamo con persone che hanno una naturale predisposizione a fare la cosa giusta e... Non vorrei dire persone che vanno a cercare le situazioni difficili e i progetti problematici, perché non mi piace questa espressione; tuttavia si tratta di persone che affrontano le situazioni difficili, dopo averle valutate a fondo per essere sicure di affrontarle nel modo giusto.

Quindi, stiamo cercando quel tipo di persone, che sono già predisposte a reagire e che vogliono avere una missione più ambiziosa, indipendentemente dalla posizione che occupano.

► Ascolta il podcast: Building a Diverse and Empowered Security Organization

Clarke Rodgers:
E immagino che cerchi anche un certo livello di curiosità e un approccio del tipo “Come posso fare le cose al meglio in modo da assicurarmi che non ci debba rilavorare?”

Tom Avant:
Assolutamente sì. E anche persone che non vogliono fare sempre le stesse cose, perché anche se questo fa parte di ciò che accade quando si gestisce un centro operativo globale 24 ore su 24, 7 giorni su 7, si rischia la monotonia. Voglio le persone che si mettano sempre in gioco. Voglio persone che dicano: “Lo sto facendo da sei settimane? Non voglio farlo più.” E che poi propongano modi per uscirne o modi più innovativi per risolvere il problema o per automatizzare le soluzioni, oppure che dicano: “Forse possiamo provare questo processo in un altro modo.”

Queste sono le persone che cerco. Quelle che vogliono chiedersi: “Perché lo facciamo così?” E se ha senso, sono d'accordo con la loro proposta. E se non ha senso, allora collaborano con gli altri per trovare un modo per non farlo più. Questo è ciò che cerco.

Combattere il burnout nelle operazioni di sicurezza 24 ore su 24, 7 giorni su 7

Clarke Rodgers:
Quindi, hai detto che è un servizio aperto 24 ore su 24, 7 giorni su 7. Questo può essere molto stressante per una persona che ci lavora per parecchio tempo. Come affronti la situazione dal punto di vista della gestione del personale per assicurarti che i tuoi dipendenti non si esauriscano, che abbiano la possibilità di alternarsi in una o più di quelle 12 famiglie professionali e di avere una carriera soddisfacente senza stressarsi troppo ogni giorno al lavoro?

Tom Avant:
Molti di noi, del mio team dirigenziale, provengono da carriere diverse, in cui lo sviluppo della carriera era una pietra miliare fondamentale per il funzionamento delle stesse. All'inizio, quando sono subentrato anni fa in questo settore, non avevamo questa possibilità. Ma era qualcosa che ritenevo importante integrare per assicurarmi che le persone vedessero un percorso da seguire.

Non solo in base al livello. Non si tratta di passare al livello successivo, ma di sviluppare competenze, sviluppare ruoli, comprendere il business. È grazie a conversazioni di questo tipo che siamo passati dal semplice spazio fisico a quello spazio di fusione tra fisico, cibernetico e logico, giusto? Dicendo: “Come possiamo far crescere queste persone che stanno già ottenendo buoni risultati? Come possiamo offrire loro maggiori opportunità? Come possiamo abbinarle ad altri team? Come possiamo trovare più opportunità per aiutarle a crescere e a imparare? Come possiamo assumere e far crescere i migliori?” È la parte “far crescere i migliori” che richiedeva un'attenzione particolare. Quindi è proprio su questo punto che ci siamo concentrati.

Sviluppare analisti di sicurezza con una gamma completa di competenze

Tom Avant:
Il panorama delle minacce cambia costantemente e più velocemente di quanto la maggior parte delle persone possa immaginare. Quindi, se ci limitiamo a formare esperti di sicurezza che sono bravi solo in un settore, non riusciremo mai a stare al passo con i rapidi cambiamenti che avvengono nel mondo.

Pertanto, in collaborazione con il mio team dirigenziale, abbiamo iniziato a pensare a come possiamo creare quello che chiamo “un analista della sicurezza con una gamma completa di competenze”. Come possiamo formare una persona che sia ben preparata in una disciplina e che inizi a costruire e sviluppare competenze in un'altra disciplina? E abbiamo iniziato assumendoci piccole responsabilità. Così abbiamo partecipato ad alcuni corsi di formazione, abbiamo lavorato con diversi programmi di formazione, corsi di vendita, cose di questo tipo. Alla fine abbiamo deciso che avremmo iniziato a occuparci di alcune delle attività svolte dagli altri team, perché operiamo molto bene su larga scala.

L'aspetto positivo del SOC è che, anche se siamo supportati dal nostro personale, il nostro primo obiettivo è automatizzare sempre le soluzioni. Il ricorso alle risorse umane è l'ultima opzione. E questo approccio sta alla base del nostro modo di agire, ad esempio, quando ci sono alcuni carichi di lavoro per i quali, nonostante le migliori intenzioni dell'automazione, è necessario un individuo con un alto livello di competenza per poter intraprendere alcune azioni. Ma in alcuni casi abbiamo individui con competenze diverse. Non è il caso di prendere un individuo super qualificato e dargli qualcosa che non richiede l'uso completo delle sue capacità, perché non è un buon uso di quella risorsa

► Guarda il video: The Human Side of Security: Advice for Managing Your Security Team

Quindi, se ci pensi, si tratta della gestione delle risorse. Dopo averne discusso, ci siamo detti: ”Possiamo sfruttare alcune di queste cose, costruendo la capacità del nostro personale di operare in tutti i settori.” E poi, allo stesso tempo, liberare alcune risorse per i miei colleghi dell'altra parte dell'organizzazione in modo che possano affrontare i compiti più difficili.

Per quanto riguarda le attività quotidiane, vogliamo assolutamente assicurarci di poter fare piccole cose semplici, come avere a disposizione uno snack bar. È sorprendente che molte persone che hanno lavorato in centri operativi prima, pensino che sia davvero difficile quando...

Clarke Rodgers:
La pizza aiuta molto.

Tom Avant:
La pizza aiuta molto. Pizza, un paio di drink, delle patatine. Le persone sono felici. Non lo dico per scherzare, ma voglio dire che...

Clarke Rodgers:
Sì, certo. È una cosa reale.

Tom Avant:
È una cosa reale. Sei al centro operativo e a volte sei così immerso in quello che sta succedendo che alzi lo sguardo e ti accorgi che stai gestendo un problema da quattro ore di fila. Non te ne sei nemmeno accorto, vero? È necessario avere a disposizione un po' di carburante per andare avanti.

Ci assicuriamo inoltre che le persone abbiano l'opportunità, come ho detto, di cambiare ruolo in modo da avere i requisiti per passare a un ruolo diverso.

Abbiamo anche un servizio di reperibilità. La reperibilità è inevitabile quando si gestisce un sistema globale. Ma in molti posti siamo riusciti a passare a un sistema globalizzato, in cui facciamo un passaggio di consegne, un'altra squadra interviene e poi continuiamo il giro.

Non rifiutiamo il lavoro, lo passiamo: si tratta di passaggi di consegne senza interruzioni tra i team

Clarke Rodgers:
In preparazione per questa intervista, ho esaminato il wiki del tuo team interno e hai pubblicato i tuoi principi e i principi che utilizziamo in AWS per aiutare le persone a ricevere indicazioni quando non c'è qualcosa di prescrittivo per ogni particolare situazione. Quindi, è il modo in cui si opera. E prima ne hai citato uno: “Il ricorso alle risorse umane è l'ultima opzione”, e ovviamente vuoi puntare sull'automazione laddove è opportuno e poi l'uomo può prendere le decisioni in base al rischio. Ce ne sono altri due di cui mi piacerebbe che parlassi perché penso che siano fantastici.

Tom Avant:
Sì, certo.

Clarke Rodgers:
Il primo è “Non rifiutiamo il lavoro, lo passiamo.”

Tom Avant:
Esatto.

Clarke Rodgers:
Parlami di questo.

Tom Avant:
Molte volte abbiamo visto persone impegnate, con tante cose da fare, e la prima cosa che qualcuno dice, di solito all'inizio della carriera, è: “Non è il mio lavoro”. E ciò non va detto ai clienti, né interni né esterni. Se non siamo noi a occuparcene, allora andiamo ad aiutarti a trovare la persona giusta che se ne occupa e diamo un passaggio di consegne gentile e cordiale. Non ci limitiamo a dire “Non me ne occupo io” e poi rifiutiamo il lavoro.

E questo vale anche per le attività interne. Se hai bisogno del team A e chiami il team C, il team C non ti dice che se ne occupa il team A. Il team C si confronta con il team A e chiede: “Team A, te ne puoi occupare? Tutto a posto?” Mi sono trovato in questa posizione, e dopo la seconda o la terza volta che vieni trasferito da una parte all'altra, ti chiedi: “Ma che succede con questa organizzazione?”

Clarke Rodgers:
Già, “Ma non lavorano nella stessa azienda? Come fanno a non parlare tra loro?”

Tom Avant:
Come fanno a non parlare tra loro? Esatto. Ed è esattamente quello che abbiamo fatto.

Demistificare la sicurezza informatica: tutti sono benvenuti e incoraggiati a porre domande

Clarke Rodgers:
Ed è bellissimo. E poi l'altro principio, che potrebbe richiedere un po' di spiegazioni: “La sicurezza non è una società segreta.” Di cosa si tratta?

Tom Avant:
Penso che molte persone che non hanno un background informatico o non hanno lavorato in settori altamente tecnologici, pensino che sia davvero intimidatorio. Dicono: “Oh mio Dio, non posso impararlo” o “Non so programmare”. E io dico: “La maggior parte delle persone che conosco non sa programmare.” E conosco anche molte persone che sanno programmare a meraviglia.

Ce ne sono di entrambi i tipi, ma nel settore della sicurezza informatica sono necessari tutti i tipi, come ben sappiamo. Se metti insieme due militari, soprattutto se dello stesso servizio, in circa cinque minuti di conversazione parlano una lingua diversa a causa degli acronimi che usano, delle basi che non hai mai sentito nominare e delle parole diverse che usano per il viaggio per servizio temporaneo e schieramento e così via.

La stessa cosa accade nel settore della sicurezza informatica. Quindi, ci sono persone che ci lavorano e usano tutti questi nomi in codice e acronimi, e se chiedi cosa significa, ha perfettamente senso. Ma se non lo sai e stai solo ascoltando, suona come R2-D2, un miscuglio di lettere. Ed è così intimidatorio che le persone dicono: “Oh, non posso farlo.” E in realtà non c'è niente di più sbagliato.

Quindi, cerchiamo di demistificare, di dire: “Sapete una cosa? Creiamo un ambiente in cui si possa imparare. Creiamo un ambiente che non sia un ambiente di paura.” Fate domande! E io lo dimostro nelle riunioni che, se dite un acronimo e non l'ho mai sentito prima, ve lo chiedo. Non mi sento in imbarazzo a chiedere: ”Cosa significa? Che cos'è?” Ora lo so e ora posso dirlo a qualcuno. Saresti sorpreso di quante volte l'ho chiesto e una persona mi ha risposto: “Oh, non lo so.”

Clarke Rodgers:
Lo usano tutti.

Tom Avant:
Tutti si abituano all'acronimo. Quindi si tratta di cose di questo tipo. E poi, l'altro aspetto importante non è solo quello di essere più precisi con il linguaggio che usiamo, ma anche di capire quali termini e parole usiamo e come li usiamo. In questo modo, si crea un ambiente in cui più persone si sentono benvenute e in grado di contribuire. E il vantaggio di questo, e lo dico per davvero, è che c'è qualcuno che conosce la risposta o qualcuno che ha pensato a qualcosa a cui noi non abbiamo pensato. E se l'unica cosa che trattiene le persone è il timore di essere imbarazzate o di essere guardate in modo strano perché non sanno niente, io voglio che parlino. Voglio sapere di cosa si tratta, perché potrebbe cambiare completamente il nostro modo di fare business.

► Guarda il video: How to Hire and Develop Security Assurance Talent

Clarke Rodgers:
Potrebbe aiutare AWS e i clienti di AWS e forse anche di più, giusto?

Tom Avant:
Potrebbe aiutare il mondo.

Clarke Rodgers:
Potrebbe aiutare il mondo.

Tom Avant:
Certamente.

Clarke Rodgers:
È stato un vero piacere Tom. Sono molto contento del tempo che ci hai dedicato. Grazie!

Tom Avant:
Grazie a te per l'invito. Sono molto contento anche io.

Ascolta l'episodio del podcast

Questa intervista è disponibile anche nel podcast AWS Executive Insights. Ascoltalo selezionando il link che preferisci per i podcast:

Ascolta ora

Ascolta ora

Ascolta ora
  • Data di pubblicazione
  • Ordine alfabetico (A-Z)
  • Ordine alfabetico (Z-A)
 Nessun risultato corrispondente alla ricerca. Prova a effettuare una ricerca diversa.
Ulteriori informazioni…