Деловые игры рыцарей круглого стола
Как мы здесь оказались
В прошлой статье была затронута тема такого формата взаимодействия для задач, как деловые игры. На самом деле, и у нас, как у компании, и у некоторых наших сотрудников есть своя история и свой опыт в участии и проведении таких игр как для заказчиков, так и внутри.
Эта методика, прежде всего, может быть направлена на обучение людей какому-либо навыку, подготовке к экстренной ситуации или просто для того, чтобы сотрудники внутри команды смогли друг с другом сработаться.
Давайте разберемся с тем, как мы определяем эти игры для себя, а потом я расскажу вам, как мы выстроили этот процесс для себя и не только — даже в вузах для наших студентов.
Ретроспектива
Откуда я об этом знаю? Когда-то давно, несколько лет назад моя коллега взялась проходить обучение и экзамен ради сертификата CISM — и там, среди прочих полезных знаний, встретилось словосочетание tabletop exercises. Формально оно означает собрание круглого стола специалистов, которые потенциально могут столкнуться с, например, инцидентом; в ходе этого собрания люди проговаривают, а иногда и имитируют свое поведение в рамках заданных ролей. Иными словами, это тренировка и воспроизведение сценариев ЧП.
Подобный формат к себе мы применяли часто, особенно, когда речь шла о работе SOC. Участие в таких собраниях принимали люди разного уровня — от обычных аналитиков до топ-менеджмента. Привычные вопросы на повестке — что делать, если нас взломали? Что делать, если данные зашифрованы? Что делать, если нет связи? Что делать, если база утекла к конкурентам? Помимо таких проблем тренировки проводились и с более частными инцидентами, просто сложными на том уровне зрелости заказчика — как реагировать и взаимодействовать внутри департаментов, если у вас DDoS, а вы своими сервисами обеспечиваете здоровье и безопасность людей? Даже если в жизни все вышеперечисленное не происходило (и к счастью), люди были более уверены в том, что они делают.
Заглянем еще подальше в прошлое — когда-то, в рамках подготовки студентов начальных курсов, нам с коллегами пришла в голову мысль о том, как разнообразить рабочий процесс. Тогда мы знать не знали ни о каких методиках и прочем, а действовали интуитивно — и одними из первых мыслей было:
дать студентам примерить на себя роли хакеров и защитников. C одной стороны — для развлечения, с другой — в игре гораздо проще запоминаются новые термины и подходы;
провести для студентов тренировочные интервью — чтобы они понимали, что примерно будет ждать их, когда они пойдут искать работу. Но тогда уже они будут готовы и к вопросам, и к тому, насколько это может быть волнительно, особенно в первые разы.
Эксперимент был удачным, если судить по результатам экзаменов тех лет и дальнейшему трудоустройству ребят, которых мы обучали. Но, может, это они нам попались такие способные:) Как бы то ни было, этот успешный опыт я старалась воспроизвести везде, где появлялась возможность.
Бизнес для бизнеса
Если поискать информацию о том, что такое эти ваши «деловые игры», то в первую очередь попадутся всякие тимбилдинги и иже с ними. Такие варианты игр нам не подходили по своим целям — доверять друг другу в достаточной мере для решения задач внутри команды мы научились, проблемы возникали именно рабочие, а не личные.
Реже можно встретить обучающие форматы игр для сотрудников, где они могут попробовать себя в новой роли. Эти игры — имитация рабочего процесса и решения рабочих задач. Цели у этого могут быть разные:
понять, как работает человек, с которым вы коммуницируете. Тут все просто — вы получаете контекст и мотивацию другого человека. Которые окружают, допустим, вашего системного администратора, и можете лучше понять, почему он отвечает вам так, как отвечает.
понять работу менеджера/подчиненного. Здесь несколько сложнее, поскольку погрузить человека целиком в контекст рабочих задач за короткий срок тяжело. В таком случае обычно призывают консультанта по коммуникациям, который учит слушать и слышать, договариваясь, а не споря. Но в случае, если человека хочется повысить до лида, а он сомневается — такой тест-драйв поможет ему определиться.
обучение студентов, стажеров и джуниоров. В начале карьерного пути очень сложно получить представление о «внутрянке» той или иной профессии. Как быстро можно понять, подходят ли продажи, внедрение или же поддержка? Главным здесь будет выдержать баланс между «вот твои частые задачи» и «вот твои частые проблемы», поскольку очень легко как романтизировать, так и демонизировать роль.
подготовка к редким, но очень важным ситуациям. Здесь контекст не так важен — это может быть как приезд представителей проверяющего органа, так и внезапный серьезный инцидент, о котором я упоминала ранее. Нужно, чтобы каждый сотрудник понимал, что ему предстоит делать, с кем он работает в связке и какими ресурсами ему нужно будет воспользоваться.
обучение опытных сотрудников. При внедрении новых процессов, кадровых изменениях и прочих приятных и не очень вещах стоит задача о том, как безболезненно переключить всех на новый лад. Здесь тоже может помочь своевременная подготовка.
продуктовая разработка. Про эти цели расскажу еще подробнее, пока лишь замечу, что для разработки какого угодно продукта требуется понять свою целевую аудиторию и то, как вас будет воспринимать пользователь или же бизнес.
Наш скромный вклад
Разработка продуктов
Все знания, которые мы получили или из опыта, или из очень умных и дорогих курсов переквалификации, мы собрали внутри команды и переложили на наши процессы.
В частности, это относится к продуктовой разработке. Направлений для такой работы у нас два: с одной стороны, когда работа только начинается, мы хотим понять наших заказчиков, вычленить из интервью то, что их беспокоит и что можно автоматизировать и универсализировать. А с другой, когда каркас уже готов, нужно обкатать его до того, как передавать заказчикам. Здесь нужно найти баланс между тем, что мы закладываем свою экспертизу и предлагаем свое видение процессов, и тем, что по ту сторону экрана окажутся такие же люди, чей формат решения привычный задач поменялся. Мы ведь хотели упростить чью-то работу, а не усложнить и заставить переобучаться.
Для этого мы, с одной стороны, тренируемся брать интервью — «представь, что ты заказчик и ты делаешь то-то таким-то способом» — это помогает разобраться в пуле дальнейших вопросов, отбросив нерелевантные.
Помимо интервью, это помогает еще и самостоятельно поставить себя в позицию человека, для которого решаемые нами задачи — его рабочая рутина. Мы в целом сами для себя стараемся автоматизировать все вокруг (да, это профдеформация), поэтому уже на данном этапе становится ясно, в какую сторону копать.
А с другой, и это самое интересное, тренируемся пользоваться тем, что сами и создали.
Нередко для разрешения каких-либо проблем, связанных с UI/UX или даже внутренней логикой, мы применяем несколько стратегий:
берем нашего коллегу, который ни слухом ни духом о таком продукте. И предлагаем ему игру: мол представь, что ты, товарищ, к примеру, рисковик. И теперь тебе необходимо для своего руководства подготовить расчет по такой-то методике вот в этой системе. Куда ты хочешь нажать? Как ты понял эту кнопку? Или вот например — теперь ты аналитик SOC и это твой первый день работы. Вот это — инцидент. Что ты понял, глядя на карточку?
привлекаем человека с релевантным опытом. У нас очень много людей с разнообразным бэкграундом — кто-то был тем самым рисковиком, кто-то пришел к нам из SOC. Обычно такие ребята и так участвуют в разработке продукта, но мы стараемся, наоборот, на последних этапах оставлять хотя бы 1–2 человек, которые могли бы свежим взглядом посмотреть на готовый вариант и попытаться выполнить в нашей платформе свои привычные на прошлых работах функции.
дебаг готовых архитектурных решений. Да, иногда мы представляем себя компилятором. Так бывает, это нормально.
наконец, мы сами всей командой подходим к тому, что мы делаем, с разных сторон, также играя свои роли уже внутри — это отличный шанс превратиться из аналитика в дизайнера или обратно.
Путем проб и ошибок мы выработали для себя некий алгоритм и роли, которые мы примеряем на себя для того, чтобы лучше понять проблему. Вместо тимбилдингов мы пробуем поменяться местами и нередко такие деловые игры приводят нас к прорывам в части процессных решений.
Обучение
Для самых маленьких и не только!
Здесь тоже есть, что рассказать и чем поделиться. Как я замечала ранее, формат бизнес-игр для тех, кто еще не начал подниматься по карьерной лестнице, важен тем, что человек заранее может попробовать себя в роли кого угодно.
А что, если посмотреть еще на несколько шагов дальше? В частности, когда у нас в компании появилась идея «научить детей кибербезу», в итоге все пришло к тому, чтобы просто познакомить самых маленьких с терминами, максимально упростив всю сферу ИБ до «вас атакуют — вы защищаетесь». Нам показалось, что в дальнейшем это поможет легче влиться в нашу сферу и подружиться с кибергигиеной, не говоря уже о том, что это просто весело.
В конце концов, наши студенты. Нет, мы не сажаем их на лабораторных играть в ThreatGen (хотя мысль была…), но задачи перед ними ставим самые разнообразные, с возможностью побыть то CISO банка, то инженером в попытках применить полученные на лекциях знания в практически боевом формате. Даже на собеседованиях или стажировках мы нередко ставим студентам задачи так, что рассматривать решение они должны с какой-либо несвойственной им позиции, такой себе принудительный out of the box.
На самом деле, мы только в середине нашего длинного пути применения деловых игр для решения текущих проблем. В первую очередь хотелось поделиться своим опытом в этом направлении и, надеюсь, это будет полезно для всего сообщества.
