Bagaimana FirstBank menyembuhkan kelelahan dalam tim keamanannya

San Francisco – Ketika berpikir tentang kelelahan, salah satu anekdot yang menonjol untuk Brendan Smith, Kepala Petugas Keamanan Informasi (CISO) di FirstBank di Lakewood, Colorado, adalah saat pelanggan menyetor uang tunai dan sedikit kokain di salah satu ATM bank.

“Kami tidak benar -benar mengambil deposito itu, meskipun kami berada di Colorado,” kata Smith kepada audiensi di Konferensi RSAC di San Francisco minggu ini. Konferensi ini adalah salah satu yang paling menonjol di ruang keamanan siber.

Bank menghubungi polisi, yang keluar dan menyelidiki insiden itu. Mereka dengan cepat melakukan penangkapan, berdasarkan informasi tentang siapa yang melakukan setoran. Namun, mereka meninggalkannya ke FirstBank untuk membuang obat -obatan terlarang.

“Mereka bersikeras itu masalah kita dan bukan milik mereka,” kata Smith.

Bank menelepon departemen pemadam kebakaran dan perusahaan sampah, dan tidak ada yang mengatakan mereka bisa membantu. Akhirnya, FirstBank menemukan perusahaan yang membuang kokain dan zat ilegal lainnya dengan aman. Yang harus dilakukan Smith hanyalah mengarahkan obat ke lokasi pembuangan – semoga tanpa departemen kepolisian lain menariknya dan mengangkat alis di kokain.

“Kami memang menyelesaikannya, tapi itu semacam hal yang berkontribusi pada kelelahan saya,” pungkasnya.

CISO FirstBank berurusan dengan melawan kelelahan sebanyak siapa pun di timnya yang terdiri dari 16 kontributor individu, dua setengah manajer dan Direktur Keamanan Bank, Emy Dunfee, yang berbicara di RSAC bersama Smith tentang bagaimana bank mencegah kelelahan. (Anekdot kelelahannya, dari pekerjaan sebelumnya, adalah tentang pusat data yang terbakar setelah dibanjiri.)

Terlepas dari semua tantangan, Smith mengatakan dia tidak memiliki pengunduran diri yang tidak diinginkan dari timnya sejak akhir 2022, dan tidak ada yang terkait dengan kelelahan. Prestasi ini dicapai meskipun ada kekhawatiran luas di seluruh industri keamanan siber dalam beberapa tahun terakhir tentang kelelahan dan retensi karyawan – keduanya topik hangat pada konferensi RSAC tahun lalu.

Strategi utama yang disoroti oleh Dunfee dan Smith dalam pembicaraan mereka adalah waktu yang fleksibel, yang berbeda dari waktu luang yang dibayar (PTO); memungkinkan tim keamanan untuk mendapatkan kemenangan melawan tim merah yang berkelanjutan; menawarkan pengembangan profesional; membina mentalitas tim yang kuat; menjadi transparan dalam proses penerimaan risiko; dan menyuntikkan kekonyolan dan penghargaan ke hari kerja reguler.

Menawarkan (dan menegakkan) waktu fleksibel

Salah satu alat utama yang digunakan FirstBank untuk memerangi kelelahan, terutama untuk karyawan yang terlibat dalam respons insiden, adalah waktu yang lentur. Ini mirip dengan PTO tetapi tidak mengurangi keseimbangan PTO karyawan.

“Konsep waktu fleksibel bukanlah hal baru … tapi kami benar-benar memanfaatkan waktu fleksibel sebagai opsi anti-pembakaran bagi karyawan kami,” kata Dunfee. Misalnya, jika sebuah tim bekerja sepanjang malam dengan sebuah insiden, orang -orang itu bersepeda dan diberi waktu fleksibel untuk sisa hari itu dan sebagian hari berikutnya untuk beristirahat.

FirstBank memiliki aturan khusus untuk memperoleh waktu fleksibel. Untuk setiap lima jam waktu kejadian bekerja, seorang karyawan menerima waktu penuh waktu penuh, dan melakukan insiden selama akhir pekan menghasilkan seorang karyawan dua hari penuh waktu fleksibel.

Tidak hanya orang mendapatkan waktu libur ini; Bank memastikan bahwa mereka benar -benar mengambilnya juga.

Dunfee menekankan pentingnya menjaga batas ketat di sekitar waktu yang fleksibel dan memastikan karyawan benar -benar memutuskan hubungan.

“Saya tidak ingin melihat Anda di Slack. Saya tidak ingin melihat email,” katanya kepada karyawannya. “Aku ingin kamu menjalani kehidupan terbaikmu.”

Sementara waktu fleksibel menawarkan pengakuan segera dan dapat digunakan secara fleksibel, termasuk secara bertahap, penting untuk mendorong karyawan untuk menggunakan PTO reguler mereka juga untuk mencegah penimbunan dan memastikan mereka mengambil liburan yang tepat, kata Dunfee.

Pengujian Tim Merah Berkelanjutan memungkinkan “kemenangan” yang bermakna

Meminta tim keamanan untuk terus -menerus meninjau peringatan keamanan yang pada akhirnya menyebabkan tidak ada yang seperti membuat anjing mengejar pointer laser.

Mungkin lucu untuk menonton pengejaran anjing di sekitar sedikit lampu merah, yang merupakan sesuatu yang dikatakan Smith yang dulu dia lakukan dengan salah satu anjingnya. Namun, setelah pertandingan tampaknya mengirim anjingnya ke dalam keadaan kecemasan yang konstan setelah sebulan, dia berhenti, dan dia tidak melakukannya dengan anjingnya sejak itu.

Menurut American Kennel Club, “Ini adalah permainan tanpa akhir tanpa penutupan untuk anjing karena mereka tidak pernah bisa menangkap sinar cahaya itu, seperti yang mereka bisa ketika mengejar mainan atau makanan.” Organisasi itu mengatakan permainan penunjuk laser ini bisa “sangat mengecewakan untuk anjing dan dapat menyebabkan masalah perilaku.”

Tim keamanan – “tidak mengatakan tim kami adalah anjing,” Smith mengklarifikasi – dapat menghadapi dinamika yang sama dalam mengejar petunjuk yang berakhir dengan tidak ada. Pekerjaan cybersecurity penuh dengan positif palsu – peringatan keamanan yang tampaknya mendesak pada awalnya tetapi ternyata tidak mengancam. Ini dapat membuat tim keamanan frustrasi, cemas dan kurang penutupan setelah situasi yang penuh tekanan.

Sebagian untuk menangkal ini, FirstBank menggunakan pengujian tim merah berkelanjutandi mana peretas profesional dipekerjakan untuk mensimulasikan ancaman nyata terhadap sistem bank. Ini memberi karyawan penyerang sungguhan untuk berburu dan kesempatan untuk mencapai “kesimpulan” atau “menang” ketika mereka mendeteksi dan menghentikan tim merah, kata Smith.

Keterlibatan FirstBank dengan tim merah telah menjadi upaya jangka panjang, multi-tahun. Tidak seperti tes jangka pendek tradisional, tim merah berkelanjutan beroperasi sepanjang tahun dan berwenang untuk menyerang organisasi kapan saja. Pendekatan ini secara lebih realistis meniru musuh yang gigih yang mungkin membutuhkan waktu berbulan -bulan atau bertahun -tahun untuk melanggar suatu organisasi.

Seperti yang dilaporkan sebelumnya, tim FirstBank pergi tiga tahun sebelum tim merah berhasil mencapai hak administrator domain. Keberhasilan ini difasilitasi oleh faktor-faktor termasuk mengeksploitasi kerentanan nol-hari pada perangkat IoT dan serangan phishing yang melintas kontrol internal.

Tim berhasil mendeteksi tim merah dan meningkatkan kemampuan mereka telah memberikan pelajaran yang sangat berharga dan meningkatkan moral tim di FirstBank.

“Ketika tim Anda menangkap tim merah, mereka bisa merayakannya,” kata Smith. Dia memastikan bahwa karyawan yang sukses diakui, bahkan melaporkan prestasi mereka dengan nama kepada Dewan Direksi.

Peaming merah berkelanjutan bisa mahal dan berpotensi membuat stres, tetapi mondar -mandir pengujian berdasarkan kapasitas tim dan memiliki komunikasi terbuka dengan tim merah membantu mengelola stres. FirstBank juga menggabungkan pengujian tim ungu, di mana para pembela tahu mereka bekerja dengan para penyerang, untuk mengurangi stres dan memungkinkan anggota tim untuk melihat di balik tirai.

Memungkinkan pengembangan profesional

Dunfee menyoroti peluang pengembangan profesional sebagai cara lain untuk mengakui upaya dan memfasilitasi pertumbuhan karyawan, terutama setelah insiden stres tinggi seperti menanggapi upaya yang menargetkan eksekutif.

Peluang ini dapat berkisar dari webinar gratis dan grup pengguna hingga konferensi. Mereka dapat berhubungan langsung dengan suatu insiden, membantu analis mengisi kesenjangan pengetahuan, atau menutupi bidang -bidang yang sama sekali berbeda seperti AI atau pengkodean, yang memungkinkan karyawan untuk “menyebarkan sayap mereka.”

“Sangat mudah … untuk mengirim seseorang ke webinar atau kelas pelatihan. Tidak semuanya harus menjadi kehadiran konferensi multi-ribu dolar,” kata Dunfee.

Menawarkan peluang seperti itu menunjukkan investasi dalam karyawan sebagai aset jangka panjang, bukan hanya seseorang yang menanggapi peringatan.

Membina mentalitas tim yang kuat

Smith menekankan pentingnya kepemimpinan memiliki wawasan mendalam tentang pola pikir tim, melampaui wawancara keluar standar SDM untuk memahami mengapa karyawan mungkin mempertimbangkan untuk pergi.

Aspek kunci dari mentalitas tim mereka adalah memegang departemen keamanan ke standar yang lebih tinggi dalam organisasi, mengingat akses mereka ke informasi sensitif. Standar ini membangun kepercayaan dan kepercayaan diri di antara anggota tim, mengetahui bahwa mereka dapat mengandalkan kolega mereka.

Yang sama pentingnya adalah mengadvokasi secara agresif untuk tim. Smith berbagi contoh intervensi ketika seorang anggota tim harus berinteraksi dengan kolega yang sulit dan agresif di departemen lain. Memperjelas bahwa manajemen mendukung dan membela tim sangat penting dalam peran stres tinggi, katanya.

Transparansi dalam penerimaan risiko

Frustrasi dapat muncul ketika tim keamanan mengidentifikasi risiko atau kerentanan yang tidak segera diperbaiki. Smith menjelaskan bahwa mendidik staf tentang proses penerimaan risiko formal bank membantu mengurangi frustrasi ini.

Dengan menjelaskan bahwa lini bisnis dapat secara resmi menerima risiko setelah mendapat informasi penuh, staf keamanan memahami bahwa pekerjaan mereka bermakna bahkan jika itu tidak menghasilkan perbaikan langsung.

“Menjadi transparan tentang itu adalah langkah kunci juga dalam kelelahan,” kata Smith.

Menyuntikkan kekonyolan dan apresiasi

Akhirnya, Smith dan Dunfee menekankan pentingnya meringankan suasana hati dan menunjukkan apresiasi yang tulus. Ini termasuk metode yang tidak konvensional seperti kupon pesta pizza yang ironis dan ironis untuk manajer yang mencapai tugas “mustahil”.

Meluangkan waktu untuk kegiatan kelompok yang tidak bekerja, seperti klub buku, permainan kartu atau saluran kendur khusus untuk meme dan hobi, membantu karyawan terhubung dan bersantai. Menyediakan makanan dan minuman adalah cara sederhana, berbiaya rendah untuk menunjukkan penghargaan untuk karyawan di kantor dan jarak jauh.

Kuncinya adalah untuk mengetahui karyawan Anda dan dinamika tim mereka, kata Dunfee, karena pendekatan satu ukuran untuk semua tidak akan berhasil. Baik itu pesta pizza, permainan trivia, atau hanya membeli kopi, gerakan kecil ini dapat secara signifikan meringankan suasana hati setelah menantang periode. Dunfee memperingatkan agar tidak hanya mengandalkan kegiatan menyenangkan ini tanpa juga membahas kompensasi dan bentuk pengakuan lainnya.

“Jangan terbakar dengan, ‘kami hanya mendapatkan pesta pizza; kami tidak pernah mendapatkan kenaikan gaji,’ percakapan,” kata Dunfee.