Procesos básicos de un SOC: montemos un equipo en 24×7

En el post de hoy os traigo como podemos articular un equipo de operaciones para que trabaje en 24×7, es decir, los 365 días del año, las 24 horas del día. Algo que se hace muy habitual con equipos de operaciones y analistas de ciberseguridad. También es algo muy normal en grupos de soporte a usuarios (CAU, helpdesk…), o equipos de soporte IT.

En primer lugar, la siguiente imagen resume a grandes rasgos las cosas que debemos tener en cuenta:

Dónde tenemos:

a) Tamaño del equipo: es importante tener un número mínimo de personas para hacer la rueda. Mi recomendación es que sea mínimo de 8. A lo largo de mi carrera profesional he visto muchos modelos que rozan la ilegalidad en cuanto a tiempos de descanso de los empleados, tanto en jornadas consecutivas como en horario trabajado en un único día. Algunos ejemplos de estos modelos no muy buenos para los empleados son:

  • Con entre 6 y 8 personas, aplicar el siguiente modelo: (3 semanas de trabajo seguidas [1 de mañana, 1 de tarde y una de noche], sumado a una semana de descanso y una semana de disponible para contingencias].
  • Con 6 personas: tener iteraciones de turnos rotativos cada 3 o 4 días independiente que sea día laboral o festivo (esto deja a las personas más trastocadas de lo habitual)

Dicho, esto, el modelo que más suele encajar en equipos pequeños es el que comentaré al final del todo.

b) Análisis de la demanda de trabajo: como todo en esta vida, se puede aplicar la regla del 80-20 a la distribución de los turnos. Y es que, la realidad es que la mayor parte del tiempo los 24×7 tienen una carga muy bajita y es en el horario de oficina extendido (de 07:00 a 19:00 ó 20:00) cuando entra la mayor parte de la actividad a ejecutar. Esto aplica sobre todo sí trabajamos con clientes reales, sí el equipo trata alertas de un sistema o similar, esta distribución puede cambiar al no haber personas por detrás, sino máquinas que no descansan.

Hilando un poco más en este punto, de hecho, en el horario de máxima carga 07:00 – 19:00, existen franjas horarias específicas dónde entra aún más trabajo y el resto se convierte en periodos valle dentro de este tramo horario. En concreto los mayores picos de demanda suelen llegar entre las 09:00 y las 12:00 de manera habitual.

c) Solapes entre los turnos: para el correcto traspaso de información entre analistas y operadores suele ser buena idea que haya cierto grado de solape, y que no todo el mundo entre y salga a la misma hora ya que eso produce cortes en la operación. De hecho, es habitual que uno de los turnos por los que tienen que pasar los analistas u operadores sea en jornada partida, de esta manera este recurso o recursos se encargan de realizar el pegamento entre los dos turnos principales, evitando en parte que se quede la sensación de que se ha parado todo y tiene que arrancar desde cero.

Y cómo último punto de estas líneas, siempre se ha de plantear sí realmente se necesita un 24×7, o habría otro modelo basado en disponibilidades telefónicas con guardias que cubriese la necesidad. Al final, en general a todos nos gusta evitar las noches, sí una máquina puede hacer el trabajo en las duras noches, ¿para qué vamos a tener despierta una persona?

Posibles modelos operativos para un 24×7:

A continuación, os muestro un par de modelos operativos que se podrían utilizar para montar un pequeño equipo de operaciones en horario 24×7:

Modelo 1:

Modelo 2:

Y con esto me despido hasta el siguiente post. Espero que haya sido esclarecedor en algunos puntos =).

¡Propicios días a todos!

Política de Privacidad
Política de cookies
© Cross Mind Technology 2024