Security Operations Center

Incydenty bez granic – wpływ kultury na zarządzanie incydentami cyberbezpieczeństwa

Incydenty bez granic - wpływ kultury na zarządzanie incydentami bezpieczeństwa

Wstęp

Stwierdzenie, że ludzie różnią się od siebie, to truizm. Każdy z nas jest wyjątkowy – różni nas chociażby temperament czy osobowość. Wpływ ma również środowisko, w którym dorastamy. Naukowcy podkreślają, że nawet bliźnięta jednojajowe nie są identyczne – a co dopiero osoby wychowane w różnych częściach świata.

Mimo tej różnorodności istnieją schematy, które nas łączą. Osoby wychowane w tym samym kraju, systemie edukacyjnym czy religijnym często podejmują decyzje w podobny sposób, mają zbliżone podejście do autorytetów, podobny styl komunikacji czy sposób reagowania na stres. Te wspólne wzorce tworzą kulturę – głęboko zakorzenioną warstwę, która wpływa na nasze zachowania, często poza naszą świadomością.

W międzynarodowych zespołach bezpieczeństwa kultura staje się kluczowym czynnikiem dla skutecznej współpracy. Szczególnie widać to w  modelu „follow the sun”, w którym zespoły z różnych stref czasowych przekazują sobie zadania w cyklu dobowym. W tym przypadku zrozumienie różnic kulturowych okazuje się niezbędne.

Uważam, że świadomość kulturowa to dziś jedna z najważniejszych kompetencji miękkich w zespołach SOC, CSIRT. Zrozumienie, skąd bierze się czyjś styl pracy, sposób komunikacji czy hierarchia wartości, może zaważyć na jakości procesu zarządzania incydentami bezpieczeństwa.

Zanim jednak przejdę do części bardziej praktycznej, warto uporządkować, czym właściwie jest kultura – w jaki sposób można ją opisywać.

Czym jest kultura?

Na co dzień rzadko zastanawiamy się, czym właściwie jest kultura. Używamy tego słowa w różnych kontekstach – mówimy, że ktoś ma wysoką kulturę osobistą, definiujemy kulturę organizacyjną firmy, potrafimy wskazać różnice kulturowe między krajami czy grupami etnicznymi. Ale czy potrafimy precyzyjnie wyjaśnić, czym naprawdę jest kultura?

W naukach społecznych to pojęcie jest bardzo szerokie, do tego stopnia, że nie ma jednej spójnej definicji. Kultura obejmuje wszystko, co kształtuje nasze myślenie, zachowania, wartości i sposób postrzegania świata. Co ważne, to, co zauważamy przy pierwszym kontakcie z obcą nam kulturą – np.  sposób ubierania się, język, rytuały – to zaledwie powierzchnia. Cała reszta, posługując się metaforą góry lodowej, znajduje się pod taflą wody – jest niewidoczna i wymaga „zanurzenia się w kulturze”, by ją zrozumieć.

Model Hofstede

Pionier badań międzykulturowych, Geert Hofstede, określił kulturę jako:
„Zbiorowe zaprogramowanie umysłu, które odróżnia członków jednej grupy ludzi od drugiej”.
Metafora, której użył, odnosi się do wzorców myślenia, postrzegania, wartości i zachowań, które przyswajamy w procesie socjalizacji – od dzieciństwa, przez edukację, aż po życie zawodowe. Mówiąc o „zaprogramowaniu”, Hofstede zwracał uwagę na to, że kultura kształtuje nasze automatyczne reakcje i sposób interpretowania rzeczywistości – często na poziomie nieświadomym.

To, na co warto zwrócić uwagę, to fakt, że nie chodzi tu o indywidualne cechy poszczególnych osób, lecz o wspólne schematy, które są charakterystyczne dla danej grupy – narodowej, etnicznej czy organizacyjnej – i odróżniają ją od innych. To właśnie te różnice są istotne w kontekście współpracy międzynarodowej, zwłaszcza w środowiskach zawodowych, takich jak zespoły bezpieczeństwa. Aby możliwe było porównywanie kultur w sposób bardziej uporządkowany, Hofstede wyróżnił sześć kluczowych wymiarów kultury.

Z perspektywy zespołów bezpieczeństwa – SOC czy CSIRT – największe, praktyczne znaczenie mają, moim zdaniem, cztery pierwsze wymiary: dystans władzy, indywidualizm vs kolektywizm, maskulinizm vs feminizm oraz unikanie niepewności. Uważam, że to właśnie one najczęściej przekładają się na jakość pracy zespołu i jego skuteczność.

Dystans władzy

W jakim stopniu społeczeństwo akceptuje nierówności władzy i hierarchii. W kulturach o dużym dystansie decyzyjność koncentruje się na górze, a kwestionowanie autorytetów jest rzadkością. W kulturach o niskim dystansie powszechna jest otwartość, partnerskie relacje i większe poczucie równości.

Indywidualizm vs kolektywizm

Czy ważniejsza jest autonomia jednostki, czy przynależność do grupy? Kultury indywidualistyczne promują samodzielność, odpowiedzialność osobistą i prywatność. Kultury kolektywistyczne kładą nacisk na lojalność wobec grupy, współdziałanie i unikanie konfliktów.

Maskulinizm vs feminizm

Dominacja wartości rywalizacji, osiągnięć i sukcesu (maskulinizm) kontra orientacja na współpracę, empatię i jakość życia (feminizm). Ten wymiar wpływa na sposób, w jaki postrzegane są role zawodowe, styl zarządzania czy podejście do porażek.

Unikanie niepewności

Stopień, w jakim dana kultura toleruje niejednoznaczność i niepewność. W kulturach o wysokim poziomie unikania niepewności ceni się stabilność, jasne procedury, regulacje i planowanie. W kulturach o niskim poziomie – elastyczność, otwartość na zmiany i mniejszy lęk przed ryzykiem.

Orientacja długoterminowa vs krótkoterminowa

Czy ważniejsze jest myślenie długofalowe (np. inwestowanie w przyszłość, wytrwałość), czy skupienie na „tu i teraz” (np. tradycja, szybkie rezultaty, szacunek dla przeszłości).

Przyzwolenie vs powściągliwość

Stopień, w jakim społeczeństwo pozwala na swobodne wyrażanie emocji, potrzeb i przyjemności, w kontraście do kultur, które te impulsy kontrolują i ograniczają.

Model Hall'a

Z kolei inny badacz, Edward T. Hall, zaproponował podejście skoncentrowane na stylu komunikacji, dzieląc kultury na wysokokontekstoweniskokontekstowe.

kulturach wysokokontekstowych (np. Japonia, Chiny, Ameryka Łacińska ale i też Polska) duża część komunikacji odbywa się pośrednio – poprzez gesty, ton głosu, kontekst sytuacyjny, a niekoniecznie słowa. Znaczenie często ukryte jest „między wierszami”, a rozmówcy przywiązują dużą wagę do relacji, harmonii i domyślnego rozumienia. A propos, polecam Wam film, który oddaje całe sedno tego modelu – „Między słowami” ze świetną grą aktorską Billa Murray’a i Scarlett Johansson.

Z kolei kultury niskokontekstowe (np. Niemcy, Holandia, USA, kraje skandynawskie) stawiają na jasność, bezpośredniość i precyzję. Liczy się konkretna treść wypowiedzi – to, co zostało powiedziane wprost. Ceni się otwartą komunikację, jednoznaczność i formalne ustalenia.

Wpływ kultury na zarządzanie incydentami - model Hofstede

Na podstawie wcześniej opisanego modelu Hofstede’a przyjrzyjmy się, jak konkretne wymiary kultury przekładają się na działanie zespołu bezpieczeństwa – zwłaszcza w sytuacjach kryzysowych, gdy liczy się czas, precyzja i zaufanie.

Dystans władzy

W kulturach o wysokim dystansie władzy (np. Indie) decyzje zazwyczaj podejmuje przełożony, a podwładni rzadko inicjują działanie samodzielnie – nawet jeśli widzą problem. Zespół może opóźniać reakcję, czekając na zgodę „z góry”.

W kulturach o niskim dystansie władzy (np. kraje skandynawskie) członkowie zespołu czują się współodpowiedzialni za efekt i chętniej przejmują inicjatywę. Przełożony to raczej koordynator niż nadrzędny decydent.

W zespołach międzynarodowych warto więc na początku jasno określić kiedy oczekujemy samodzielności, a kiedy decyzje powinny zapadać centralnie.

Indywidualizm vs kolektywizm

W indywidualistycznych kulturach (np. Polska, USA, Wielka Brytania) pracownicy podejmują decyzje samodzielnie i czują się za nie osobiście odpowiedzialni.

W kulturach kolektywistycznych (np. Indie, Japonia) istotne są konsultacje z grupą i zachowanie harmonii. Działanie na własną rękę może być postrzegane jako ryzykowne lub nieodpowiedzialne.

Warto rozważyć podejście, które tworzy przestrzeń dla indywidualnej inicjatywy, nie tracąc jednocześnie korzyści płynących z zespołowego podejmowania decyzji.

Maskulinizm vs feminizm

Kultury maskulinistyczne (np. Indie, USA) koncentrują się na osiągnięciach, rywalizacji i szybkim zamykaniu tematów. To sprzyja dynamice, ale może osłabiać komunikację i relacje.

Kultury feministyczne (np. Szwecja, Norwegia) kładą nacisk na współpracę, równość i dobrą atmosferę. Budują zaufanie, choć mogą działać wolniej.

Spróbuj dążyć do takiego modelu pracy zespołu SOC czy CSIRT, w którym orientacja na wynik równoważona jest troską o ludzi i jakość współpracy.

Unikanie niepewności

W kulturach o wysokim poziomie unikania niepewności (np. Polska, Francja) silna jest potrzeba jasnych procedur i scenariuszy działania. Brak reguł może prowadzić do niepewności i paraliżu decyzyjnego.

W kulturach o niskim poziomie unikania niepewności (np. Dania, Holandia) elastyczność i improwizacja są standardem. Reagowanie „na bieżąco” nie budzi oporu.

Skutecznym sposobem może okazać się łączenie konkretnych procedur z przestrzenią na elastyczne reagowanie.

Wpływ kultury na zarządzanie incydentami - model Hall'a

O ile model Hofstede’a pomaga zrozumieć, w jaki sposób kultura wpływa na strukturę zespołu i podejmowanie decyzji, o tyle model Halla koncentruje się na tym, jak różne kultury przekazują i odbierają informacje. To szczególnie istotne w kontekście zarządzania incydentami, gdzie znaczenie ma nie tylko co mówimy, ale również jak i kiedy to komunikujemy.

Z perspektywy zespołu cyberbezpieczeństwa różnice te mają realne konsekwencje. W kulturach wysokokontekstowych nieporozumienia mogą wynikać z tego, że ktoś nie powiedział czegoś wprost — zakładając, że rozmówca „się domyśli”. W przypadku incydentu może to oznaczać, że osoba z takiego kręgu kulturowego nie zakomunikuje problemu bezpośrednio, lecz jedynie go zasugeruje, licząc na intuicyjne zrozumienie sytuacji.

Z kolei w kulturach niskokontekstowych taki sposób komunikacji może być odebrany jako niejasny, mało profesjonalny lub pasywny. W takich środowiskach oczekuje się, że komunikaty będą konkretne, jasne i dosłowne. Osoba, która nie wyraża się jednoznacznie, może zostać po prostu zignorowana.

Podsumowując, sposób, w jaki komunikujemy się w sytuacjach incydentów bezpieczeństwa, jest głęboko zakorzeniony w kontekście kulturowym. To, co w jednej kulturze uznane zostanie za jasne i odpowiedzialne działanie, w innej może wydawać się nieprecyzyjne lub zbyt bezpośrednie. Różnice te dotyczą nie tylko stylu mówienia, ale także momentu, formy i tonu komunikatu.

Zrozumienie tych niuansów jest kluczowe dla skutecznego zarządzania zespołem wielokulturowym. Przemyślane łączenie stylów, otwartość na odmienne sposoby wyrażania intencji oraz świadome podejście do interpretacji ciszy, opóźnień czy aluzji może przesądzić o tym, czy incydent zostanie odpowiednio zidentyfikowany i rozwiązany na czas.

Współpraca w międzynarodowych zespołach bezpieczeństwa

Z mojego doświadczenia wynika, że w pracy wielokulturowej nie chodzi o zniwelowanie różnic, lecz o świadome i dojrzałe zarządzanie nimi. Różnice kulturowe same w sobie nie stanowią problemu – problematyczne stają się wtedy, gdy udajemy, że ich nie ma i próbujemy wszystkich równać do jednego.

A oto kilka praktycznych wskazówek, które sprawdzają się w zespołach rozproszonych i międzykulturowych:

  1. Zdefiniuj wspólne zasady pracy
    Jasno określ role, sposób podejmowania decyzji, zakres odpowiedzialności i zasady eskalacji. Im mniej niedopowiedzeń, tym większe zaufanie.

  2. Uwzględnij różnice w stylach komunikacji
    Nie każdy powie wprost, że coś nie działa. Milczenie w jednej kulturze może oznaczać zgodę, w innej – brak komfortu. Warto o to dopytywać.

  3. Wprowadzaj briefing i debriefing jako stały rytuał
    Regularne podsumowania pomagają unikać nieporozumień i pozwalają każdemu z członków zespołu lepiej zrozumieć kontekst działania.

  4. Szanuj różne podejścia do autorytetu i hierarchii
    Nie zakładaj, że ktoś zakwestionuje decyzję lidera, jeśli coś budzi wątpliwości. W niektórych kulturach byłoby to uznane za niegrzeczne lub ryzykowne.

  5. Korzystaj z dostępnych narzędzi międzykulturowych
    Takie narzędzia jak Culture Factor, The Culture Map autorstwa Erin Meyer mogą pomóc Ci uporządkować wiedzę o różnicach kulturowych i lepiej przygotować się do współpracy z zespołami z różnych regionów świata.

Podsumowanie

Zarządzanie incydentami bezpieczeństwa to obszar, w którym liczy się precyzja, szybkość, komunikacja i współpraca. W zespołach międzynarodowych – gdzie kultura wpływa na każdy z tych elementów – świadomość międzykulturowa staje się równie ważna jak znajomość technologii.

Z mojego doświadczenia wynika, że zrozumienie, jak kultura kształtuje sposób myślenia i działania innych członków zespołu, to dziś jedna z podstawowych kompetencji każdego lidera i członka zespołu bezpieczeństwa.

Kultura nie musi być barierą. Przeciwnie – może stać się źródłem siły zespołu, jego elastyczności i budowania wzajemnego zaufania. Wszystko zależy czy podejdziemy do niej z otwartością, ciekawością i szacunkiem.

Jeśli podobał Ci się ten wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym. Jeśli chcielibyście nawiązać współpracę napisz do mnie na adres marcin.sikorski@ctrust.me. 

Serdecznie pozdrawiam,

Marcin Sikorski

Bibliografia

Cardon, P. W. (2008). A critique of Hall’s contexting model: A meta-analysis of literature on intercultural business and technical communication. Journal of Business and Technical Communication22(4), 399-428.

Hofstede Insights. (b.d.). National culture. Pobrano 3 sierpnia 2025 z https://www.hofstede-insights.com/models/national-culture/

Meyer, E. (2023). Mapa kulturowa. Jak skutecznie radzić  sobie z różnicami kulturowymi w biznesie.Znak

 
 

Incydenty bez granic – wpływ kultury na zarządzanie incydentami cyberbezpieczeństwa Read More »

Lepszy SOC własnej roboty czy kupny?

Lepszy SOC własnej roboty czy kupny?

Wstęp

Kogo by nie zapytać, to powie, że SOC własnej roboty jest dużo lepszy niż ten ze sklepu. W końcu własny smakuje lepiej. Można go zrobić, z czego się chce, jak się chce, dosłodzić, ba nawet przesłodzić, jednym słowem po swojemu. Dużym plusem jest to, że wiemy dokładnie, z czego nasz SOC został zrobiony. Idealnie byłoby mieć swoje owoce, takie no wiecie, samodzielnie wyhodowane, niepryskane. Cholera, ale te ekologiczne, to jednak kosztują i to bardzo, bardzo dużo.

Inne opcja? SOC ze sklepu? Pytanie brzmi: czy jest gorszy, czy lepszy? Zapewne jest tańszy lub takim się wydaje. Koszty produkcji SOC’u rozłożone są na więcej klientów. Bardziej filozoficzne pytanie, jakie można postawić to: ile w tym SOC’u jest SOC’u? Ile tam marketingu, a ile prawdziwego SOC’u? Minus jest więc taki, że nie do końca wiadomo, co właściwie pijemy i czy ostatecznie nie odbije się nam solidną czkawką?

Efekt NIS2 i UKSC

A teraz trochę poważniej, ale tylko trochę. Analogia do soku jest nieprzypadkowa. Nie wiem jak Wam, ale dla mnie budowanie własnego Security Operations Center vs zakup usługi od dostawcy w modelu Managed Security Service Provider (MSSP) jest właśnie takim wyborem. Mówię o tym, bo już niedługo wejdzie w życie implementacja dyrektywy NIS2 w postaci Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która sporo namiesza, ale myślę, że ostatecznie wyjdzie to wszystkim na dobre.

Wiele opracowań powstało na temat NIS2UKSC, tak więc nie ma sensu się powtarzać. Co jest istotne, to firmy objęte UKSC będą miały obowiązek wdrożenia mechanizmów zapewniających ciągłe monitorowanie systemów i sieci w zakresie, chociażby: wykrywania anomalii sieciowych, analizy zagrożeń w czasie rzeczywistym. Co to w praktyce oznacza? Firmy będą zmuszone w tej czy innej formie uruchomić SOC – mniejsze, większe, własne czy w modelu MSSP. Swoją drogą dla firm świadczących usługi SOC, to może być prawdziwe „socobranie” – pojawi się bowiem spory popyt na te usługi.

Trudna decyzja

Jak więc widzisz, firmy, które muszą dostosować się do NIS2UKSC, a szacuje się, że jest ich około 8 tysięcy, stają przed bardzo trudną decyzją. Budować własny SOC – drogo czy kupić coś na rynku – w sumie to nie wiadomo czy drogo, czy nie? Każda z opcji ma mocne i słabe strony jak to w życiu. Każda opcja niesie ze sobą jakieś konsekwencje. Z każdą związane jest poniesienie nakładów finansowych. Koszty to jedno. Naturalnie są ważne. Raczej ze słabym budżetem żaden CISO czy inny C odpowiedzialny za security daleko nie zajedzie. Załóżmy więc, że finanse nie stanowią dla nas większego problemu, tak żeby ułatwić analizę przypadku, aczkolwiek nie jest tak, że worek z kasą jest bez dna. Przeanalizujmy więc dwie opcje: własny SOC vs MSSP. Którą opcję wybierzecie, ostatecznie pozostawiam Wam.

Własny SOC

Decydując się na własny SOC, będziemy musieli zmierzyć się z pewnymi wyzwaniami, których nie doświadczylibyśmy w takiej samej skali w wariancie MSSP i są to:

  • brak na rynku zmotywowanych pracowników do pracy w SOC,
  • zapewnienie ciągłego monitoringu,
  • rotacja pracowników,
  • wypalenie zawodowe pracowników.

Nie są to wszystkie kwestie, a raczej te, które uważam za istotne. Przeanalizujmy je zatem po kolei. Jeszcze jedna uwaga. Celem tego artykułu nie jest w żaden sposób zniechęcenie Was do budowy własnego SOC, raczej wywołanie refleksji. Żeby nie było. Wariant MSSP, wracając do analogii soku ze sklepu, też nie jest idealny, ale o tym później.

Brak na rynku zmotywowanych pracowników

Panuje przekonanie, że na rynku pracy brakuje specjalistów. Wspominałem o tym problemie  przy okazji wpisu o trwałości zespołu cyberbezpieczeństwa. Dla przypomnienia połowa badanych firm w Polsce boryka się z problemem pozyskania i utrzymania pracowników. Uważam, że właśnie utrzymanie pracownika w dłuższym okresie jest sednem problemu, a nie liczba pracowników na rynku. Specjalistów w obszarze security operations generalnie przybywa. Ja mam przynajmniej takie wrażenie. Może nie pojawiają się jak grzyby po deszczu, ale jest ich coraz więcej. Sądzę więc, że wyzwaniem jest raczej znalezienie takich pracowników, którzy będą zmotywowani wewnętrznie do pracy w SOC ze względu na charakter tej pracy, a nie jest ona łatwa.

Praca analityka SOC

Zapewne wiecie, że jednym z podstawowych zadań analityka SOC jest reagowanie na wszelkiego rodzaju alerty. Co w przypadku gdy tych alertów, dzień w dzień jest spora liczba, a ostatecznie większość z nich okazuje się false positives – fałszywe detekcje? To jest właśnie rzeczywistość SOC, zwłaszcza przy zbyt wyśrubowanych regułach detekcji. Skutek? W przeciągu relatywnie krótkiego czasu może nastąpić znudzenie pracą, a przy braku odpowiednich działań ochronnych ze strony pracodawcy, w dalszej konsekwencji wypalenie zawodowe i odejście z pracy. Warto również pamiętać, że praca w SOC jest obciążająca psychicznie, zwłaszcza w przypadku poważnych incydentów. Dodatkowo praca na zmiany, typowa dla SOC, nie jest dla każdego. Nie każda firma może sobie pozwolić na model „follow the sun” (czyli globalne monitorowanie 24/7).

Oczywiście od każdej reguły jest wyjątek. Tak, wiem. Mogą się zdarzyć i zdarzają się osoby, którym powyższe kwestie kompletnie nie przeszkadzają. I to jest super. Zajdź te osoby i zatrudnij je do SOC, a nie będziesz żałować. Mała dygresja. Warto byłoby, przy okazji zatrudnienia pracowników do SOC, badać ich predyspozycje osobiste do pracy w SOC. Tu polecam skorzystanie z usług profesjonalnych psychologów biznesu, którzy mogą wesprzeć Was w takiej ocenie.

Jak przeciwdziałać ?

  • dbaj o dobrostan pracowników SOC – ich zdrowie psychiczne i fizyczne jest kluczowe,
  • automatyzuj powtarzalne czynności i angażuj pracowników w bardziej ambitne zadania,
  • usprawniaj reguły detekcji, aby zminimalizować liczbę fałszywych detekcji. 

Ciągły monitoring

Dyrektywa NIS2 wymusza na organizacjach, by te objęły ciągłym nadzorem systemy i sieci, co oznacza konieczność pracy zmianowej. Nie ważne w tym momencie czy przyjmiemy klasyczny podział na pierwszą, drugą czy trzecią linię wsparcia, czy inny model i tak będziemy potrzebować odpowiednią liczbą personelu, aby zapewnić nieprzerwaną ochronę. Tu wracamy do pierwszego punktu, czyli dostępności specjalistów na rynku pracy, bo co by nie robić i jak robić i tak na końcu potrzebujesz kogoś, kto będzie w stanie zareagować na alerty.

To, co z pewnością może nam pomóc, zgodnie z filozofią SOC nowej generacji, tak wyczytałem gdzieś w Internecie, chodzi o nazwę, a nie samą koncepcję, jest automatyzacja procesów SOC. Potencjalnie może to pozwolić na zmniejszenie liczby analityków SOC. Wymaga to jednak bardzo dobrego zdefiniowania procesów no i oczywiście możliwości automatyzacji samych procesów. Z kolei będziesz potrzebował dobrego inżyniera od automatyzacji.

Rotacja pracowników

Z punktu widzenia funkcjonowania SOC rotacja pracowników stanowi istotny problem i to z kilku powodów:

  • wdrożenie nowego pracownika to koszt dla organizacji.
  • osiągniecie pełnej gotowości do działania, wymaga czasu i to często bardzo dużo,
  • w okresie nauki nowego pracownika może dochodzić do większej liczby popełnianych przez niego błędów.

Należałoby się zastanowić, dlaczego pracownicy się rotują? Czy to wypalenie zawodowe, chęć rozwoju, kiepska atmosfera w zespole, lepsze pieniądze w innej firmie, a może wszystko po trochu, albo może coś innego? Uważam, że odpowiedź możecie znaleźć w  lekturze moich ostatnich wpisów – trwały zespół cyberbezpieczeństwa czy negatywne zjawiska grupowe w zespole cyberbezpieczeństwa.

Wypalenie zawodowe pracowników

Zjawisko to niestety jest bardzo powszechne i może dotyczyć każdego rodzaju pracy. Niestety praca w SOC sprzyja wypaleniu zawodowemu. Jest kilka czynników, o których warto wspomnieć:

  • Przeciążenie pracą – zbyt duża liczba alertów do obsłużenia, funkcjonowanie w stanie permanentnej niepewności z uwagi na niewystarczającą ilość informacji wymaganych do podjęcia decyzji,
  • Brak kontroli – przestrzeganie procedur może budować w pracownikach poczucie bezrefleksyjnego wykonywania poleceń, na zasadzie rób zgodnie z procedurą i nie dyskutuj. Ma to miejsce zwłaszcza, gdy na przykład przełożony(a) nie liczy się ze zdaniem pracownika. Choć to o czym właśnie napisałem jest samo w sobie patologią.
  • Monotonia w pracy – wiele czynności z czasem jest opanowywanych w stopniu pozwalającym wykonywać je prawie automatycznie, co może wywołać poczucie monotonii.
  • Długotrwały stres – tzw. cichy zabójca. Praca w SOC, zwłaszcza w branżach o podwyższonym ryzyku: sektor finansowy, medyczny, może wywoływać u pracowników SOC długotrwały stres. Stresorów jest długa lista. Oto niektóre z nich:
    • toksyczne relacje w pracy,
    • konieczność podejmowania trudnych decyzji,
    • brak odpowiedniej liczby godzin snu, przemęczenie
    • konieczność nadążenia za nowinkami technologicznymi,
    • konieczność ciągłego szkolenia i podnoszenia swoich kompetencji

Jak przeciwdziałać ?

  • dbaj o optymalizację liczby alertów i wdrażaj automatyzację tam, gdzie jest to możliwe.
  • twórz bardziej zróżnicowane i rozwijające zadania dla pracowników,
  • wspieraj zespół w radzeniu sobie ze stresem poprzez zwykłą rozmowę, zapewnij odpowiednie szkolenia w obszarze radzenia sobie ze stresem,
  • jeśli nawet potrzeba skieruj pracownika do psychologa.

MSSP

No dobrze. Model MSSP staje się coraz bardziej popularnym rozwiązaniem w kontekście wdrażania SOC, zwłaszcza w świetle wymogów wynikających z dyrektywy NIS2 i Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wybór MSSP oznacza outsourcing odpowiedzialności za bezpieczeństwo operacyjne na zewnętrznych dostawców, którzy oferują usługi monitorowania, detekcji i reakcji na zagrożenia w trybie 24/7. Dla firm, które nie mają zasobów lub doświadczenia w budowie i utrzymaniu własnego SOC, MSSP stanowi atrakcyjną opcję, pozwalającą na szybkie wdrożenie systemu ochrony.

Zalety

Jest dużo zalet tego modelu. Praktycznie pozbywamy się problemów, o których wspomniałem wcześniej. Wszystko staje się teraz odpowiedzialnością dostawcy. To nie jest tak, że tych problemów nie ma. Po prostu kupujemy sobie trochę więcej spokoju. Dla firmy korzystającej z MSSP oznacza to odciążenie wewnętrznych zasobów i większy spokój w kwestii ciągłości działań biznesowych.

Wady

Jeśli chodzi o wady, to tracimy częściową kontrolę nad operacjami SOC. To dostawca decyduje o wielu aspektach związanych z codziennym funkcjonowaniem SOC – od ustawień systemów detekcji, przez priorytetyzację zagrożeń, po podejmowane decyzje operacyjne. Co więcej, firmy korzystające z MSSP mogą nie mieć pełnej wiedzy na temat tego, jak efektywnie świadczona jest usługa i czy rzeczywiście odpowiada ona ich oczekiwaniom – co prowadzi do obaw, czy sok dostarczany przez MSSP faktycznie zawiera tyle „soku”, ile firma potrzebuje, a ile w nim jest jedynie marketingu, czyli mowa o poziomie świadczonej usługi.

Wyzwania

W przypadku modelu MSSP firma musi zaufać dostawcy, że zapewni on odpowiednią jakość usług i spełni wszystkie wymagania bezpieczeństwa, na które firma sama nie ma już bezpośredniego wpływu. Brak pełnej kontroli nad operacjami SOC oraz konieczność polegania na raportach i wskaźnikach dostarczanych przez dostawcę może budzić niepewność. Jak w przypadku wcześniej przytoczonej analogii z sokiem – ile w usługach MSSP jest rzeczywistej ochrony, a ile marketingowej narracji? Czy SOC dostarczany przez MSSP rzeczywiście działa tak efektywnie, jak się zakłada, czy jest to tylko „opakowanie”, które na pierwszy rzut oka wydaje się odpowiednie, ale przy bliższej analizie może okazać się mniej skuteczne?

Ważna uwaga na koniec

Na koniec należy pamiętać, że nawet przy tym modelu potrzebne są osoby po stronie organizacji, które:

  • będą w stałym dialogu z MSSP, by kontrolować jakość świadczonej usługi,
  • będą odpowiadały na eskalacje zgłaszane przez MSSP,
  • będą w stanie jak równy z równym wymieniać kwestie techniczne,
  • będą obsługiwały wszystkie pozostałe incydenty, których nie obsłuży MSSP, bo najzwyczajniej w świecie, będą one poza zakresem świadczonej usługi.

Podsumowanie

Decyzja o wyborze między budową własnego SOC a skorzystaniem z modelu MSSP to wyzwanie, które wymaga dokładnego rozważenia wielu czynników. Własny SOC daje pełną kontrolę nad operacjami, ale wiąże się z dużymi kosztami, problemami kadrowymi oraz ryzykiem rotacji i wypalenia zawodowego pracowników. Z kolei model MSSP, choć oferuje elastyczność, szybsze wdrożenie i odciążenie firmy od wielu trudności operacyjnych, wymaga oddania częściowej kontroli w ręce zewnętrznego dostawcy. Kluczowe jest znalezienie równowagi między potrzebą bezpieczeństwa a zasobami, jakimi dysponuje firma. Wybór odpowiedniego modelu SOC, czy to własny, czy zarządzany przez MSSP, powinien być oparty na dokładnej analizie, uwzględniając specyfikę organizacji, jej wymagania oraz długoterminowe cele w zakresie cyberbezpieczeństwa.

Jeśli podobał Wam  się ten wpis, zostawcie komentarz, podzielcie się swoją opinią, udostępnijcie go innym lub napiszcie do mnie na adres marcin.sikorski@ctrust.me. Jestem ciekawy jakie Wy macie spostrzeżenia. Zachęcam również do współpracy.

Lepszy SOC własnej roboty czy kupny? Read More »