17.10.2024 11:22
evebelka 0 317 Источник

Как мы здесь оказались

В прошлой статье была затронута тема такого формата взаимодействия для задач, как деловые игры. На самом деле, и у нас, как у компании, и у некоторых наших сотрудников есть своя история и свой опыт в участии и проведении таких игр как для заказчиков, так и внутри.

Эта методика, прежде всего, может быть направлена на обучение людей какому-либо навыку, подготовке к экстренной ситуации или просто для того, чтобы сотрудники внутри команды смогли друг с другом сработаться.

Давайте разберемся с тем, как мы определяем эти игры для себя, а потом я расскажу вам, как мы выстроили этот процесс для себя и не только – даже в вузах для наших студентов.

Ретроспектива

Откуда я об этом знаю? Когда-то давно, несколько лет назад моя коллега взялась проходить обучение и экзамен ради сертификата CISM – и там, среди прочих полезных знаний, встретилось словосочетание tabletop exercises. Формально оно означает собрание круглого стола специалистов, которые потенциально могут столкнуться с, например, инцидентом; в ходе этого собрания люди проговаривают, а иногда и имитируют свое поведение в рамках заданных ролей. Иными словами, это тренировка и воспроизведение сценариев ЧП.

Подобный формат к себе мы применяли часто, особенно, когда речь шла о работе SOC. Участие в таких собраниях принимали люди разного уровня – от обычных аналитиков до топ-менеджмента. Привычные вопросы на повестке – что делать, если нас взломали? Что делать, если данные зашифрованы? Что делать, если нет связи? Что делать, если база утекла к конкурентам? Помимо таких проблем тренировки проводились и с более частными инцидентами, просто сложными на том уровне зрелости заказчика – как реагировать и взаимодействовать внутри департаментов, если у вас DDoS, а вы своими сервисами обеспечиваете здоровье и безопасность людей? Даже если в жизни все вышеперечисленное не происходило (и к счастью), люди были более уверены в том, что они делают.

Заглянем еще подальше в прошлое – когда-то, в рамках подготовки студентов начальных курсов, нам с коллегами пришла в голову мысль о том, как разнообразить рабочий процесс. Тогда мы знать не знали ни о каких методиках и прочем, а действовали интуитивно – и одними из первых мыслей было:

  • дать студентам примерить на себя роли хакеров и защитников. C одной стороны – для развлечения, с другой – в игре гораздо проще запоминаются новые термины и подходы;

  • провести для студентов тренировочные интервью – чтобы они понимали, что примерно будет ждать их, когда они пойдут искать работу. Но тогда уже они будут готовы и к вопросам, и к тому, насколько это может быть волнительно, особенно в первые разы.

Эксперимент был удачным, если судить по результатам экзаменов тех лет и дальнейшему трудоустройству ребят, которых мы обучали. Но, может, это они нам попались такие способные :) Как бы то ни было, этот успешный опыт я старалась воспроизвести везде, где появлялась возможность.

Бизнес для бизнеса

Если поискать информацию о том, что такое эти ваши «деловые игры», то в первую очередь попадутся всякие тимбилдинги и иже с ними. Такие варианты игр нам не подходили по своим целям – доверять друг другу в достаточной мере для решения задач внутри команды мы научились, проблемы возникали именно рабочие, а не личные.

Реже можно встретить обучающие форматы игр для сотрудников, где они могут попробовать себя в новой роли. Эти игры – имитация рабочего процесса и решения рабочих задач. Цели у этого могут быть разные:

  • понять, как работает человек, с которым вы коммуницируете. Тут все просто – вы получаете контекст и мотивацию другого человека. Которые окружают, допустим, вашего системного администратора, и можете лучше понять, почему он отвечает вам так, как отвечает.

  • понять работу менеджера/подчиненного. Здесь несколько сложнее, поскольку погрузить человека целиком в контекст рабочих задач за короткий срок тяжело. В таком случае обычно призывают консультанта по коммуникациям, который учит слушать и слышать, договариваясь, а не споря. Но в случае, если человека хочется повысить до лида, а он сомневается – такой тест-драйв поможет ему определиться.

  • обучение студентов, стажеров и джуниоров. В начале карьерного пути очень сложно получить представление о «внутрянке» той или иной профессии. Как быстро можно понять, подходят ли продажи, внедрение или же поддержка? Главным здесь будет выдержать баланс между «вот твои частые задачи» и «вот твои частые проблемы», поскольку очень легко как романтизировать, так и демонизировать роль.

  • подготовка к редким, но очень важным ситуациям. Здесь контекст не так важен – это может быть как приезд представителей проверяющего органа, так и внезапный серьезный инцидент, о котором я упоминала ранее. Нужно, чтобы каждый сотрудник понимал, что ему предстоит делать, с кем он работает в связке и какими ресурсами ему нужно будет воспользоваться.

  • обучение опытных сотрудников. При внедрении новых процессов, кадровых изменениях и прочих приятных и не очень вещах стоит задача о том, как безболезненно переключить всех на новый лад. Здесь тоже может помочь своевременная подготовка.

  • продуктовая разработка. Про эти цели расскажу еще подробнее, пока лишь замечу, что для разработки какого угодно продукта требуется понять свою целевую аудиторию и то, как вас будет воспринимать пользователь или же бизнес.

Наш скромный вклад

Разработка продуктов

Все знания, которые мы получили или из опыта, или из очень умных и дорогих курсов переквалификации, мы собрали внутри команды и переложили на наши процессы.

В частности, это относится к продуктовой разработке. Направлений для такой работы у нас два: с одной стороны, когда работа только начинается, мы хотим понять наших заказчиков, вычленить из интервью то, что их беспокоит и что можно автоматизировать и универсализировать. А с другой, когда каркас уже готов, нужно обкатать его до того, как передавать заказчикам. Здесь нужно найти баланс между тем, что мы закладываем свою экспертизу и предлагаем свое видение процессов, и тем, что по ту сторону экрана окажутся такие же люди, чей формат решения привычный задач поменялся. Мы ведь хотели упростить чью-то работу, а не усложнить и заставить переобучаться.

Для этого мы, с одной стороны, тренируемся брать интервью – «представь, что ты заказчик и ты делаешь то-то таким-то способом» — это помогает разобраться в пуле дальнейших вопросов, отбросив нерелевантные.

Помимо интервью, это помогает еще и самостоятельно поставить себя в позицию человека, для которого решаемые нами задачи – его рабочая рутина. Мы в целом сами для себя стараемся автоматизировать все вокруг (да, это профдеформация), поэтому уже на данном этапе становится ясно, в какую сторону копать.

А с другой, и это самое интересное, тренируемся пользоваться тем, что сами и создали.

Нередко для разрешения каких-либо проблем, связанных с UI/UX или даже внутренней логикой, мы применяем несколько стратегий:

  • берем нашего коллегу, который ни слухом ни духом о таком продукте. И предлагаем ему игру: мол представь, что ты, товарищ, к примеру, рисковик. И теперь тебе необходимо для своего руководства подготовить расчет по такой-то методике вот в этой системе. Куда ты хочешь нажать? Как ты понял эту кнопку? Или вот например – теперь ты аналитик SOC и это твой первый день работы. Вот это – инцидент. Что ты понял, глядя на карточку?

  • привлекаем человека с релевантным опытом. У нас очень много людей с разнообразным бэкграундом – кто-то был тем самым рисковиком, кто-то пришел к нам из SOC. Обычно такие ребята и так участвуют в разработке продукта, но мы стараемся, наоборот, на последних этапах оставлять хотя бы 1-2 человек, которые могли бы свежим взглядом посмотреть на готовый вариант и попытаться выполнить в нашей платформе свои привычные на прошлых работах функции.

  • дебаг готовых архитектурных решений. Да, иногда мы представляем себя компилятором. Так бывает, это нормально.

  • наконец, мы сами всей командой подходим к тому, что мы делаем, с разных сторон, также играя свои роли уже внутри – это отличный шанс превратиться из аналитика в дизайнера или обратно.

Путем проб и ошибок мы выработали для себя некий алгоритм и роли, которые мы примеряем на себя для того, чтобы лучше понять проблему. Вместо тимбилдингов мы пробуем поменяться местами и нередко такие деловые игры приводят нас к прорывам в части процессных решений.

Обучение

Для самых маленьких и не только!

Здесь тоже есть, что рассказать и чем поделиться. Как я замечала ранее, формат бизнес-игр для тех, кто еще не начал подниматься по карьерной лестнице, важен тем, что человек заранее может попробовать себя в роли кого угодно.

А что, если посмотреть еще на несколько шагов дальше? В частности, когда у нас в компании появилась идея «научить детей кибербезу», в итоге все пришло к тому, чтобы просто познакомить самых маленьких с терминами, максимально упростив всю сферу ИБ до «вас атакуют – вы защищаетесь». Нам показалось, что в дальнейшем это поможет легче влиться в нашу сферу и подружиться с кибергигиеной, не говоря уже о том, что это просто весело.

В конце концов, наши студенты. Нет, мы не сажаем их на лабораторных играть в ThreatGen (хотя мысль была…), но задачи перед ними ставим самые разнообразные, с возможностью побыть то CISO банка, то инженером в попытках применить полученные на лекциях знания в практически боевом формате. Даже на собеседованиях или стажировках мы нередко ставим студентам задачи так, что рассматривать решение они должны с какой-либо несвойственной им позиции, такой себе принудительный out of the box.

На самом деле, мы только в середине нашего длинного пути применения деловых игр для решения текущих проблем. В первую очередь хотелось поделиться своим опытом в этом направлении и, надеюсь, это будет полезно для всего сообщества.

Комментарии (0)