Improving efficiency in digital high reliability organization

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
School of Business | Master's thesis
Date
2020
Major/Subject
Mcode
Degree programme
Information and Service Management (ISM)
Language
en
Pages
54+4
Series
Abstract
Security Operations Center (SOC) aims to find abnormal and malicious events from a mass of data. Security analysts investigate hundreds of alerts per day, which have been correlated from billions on single events by Security Information and Event Management (SIEM) systems. Several manual mundane tasks are required before starting mindful investigation. Those mundane tasks are affecting employee satisfaction and efficiency of the SOC operations. This research studies which tasks are the most fitting to be automated and how large proportion of the operations are mundane tasks. Automation should not risk high reliability. Digital High Reliability Organizations (HRO) is a less researched area. Access to the HROs is usually blocked because of confidentiality and security reasons. This research provides information how a digital HRO aims to minimize false negatives, which are incidents that went unnoticed. Characteristics of traditional HROs are compared to the digital HRO studied in this research. Previous research about epistemic and pragmatic actions, and mindful and mindless actions is reviewed in the literature section. Those classifications of actions were used when ten hours of direct observation of SOC Tier 1 security analyst work was documented and categorized. Total of 113 security alerts investigations by five security analysts were observed, and the analysts also answered a semi-structured questionnaire about satisfaction with the current systems, their competence with the most important technology and how they would develop the systems. Hierarchical Task Analysis (HTA) was used to draw a complete picture from the operations to get detailed information about the most problematic areas. HTA was created by analyzing the observed security incidents bottom-up, one by one. Number of steps and used time needed to make decisions in security alerts were calculated between the analysts and between different alert categories. HTA and calculations using the direct observation data revealed some differences in alert handling process between the analysts. Standardizing the process could produce more constant quality of the investigations. Multiple tasks were identified that could be automated to improve efficiency by reducing overhead. Those tasks were repetitive in all the of observed security alerts and with all the observed analysts. In the shortest investigations the proportion of manual mundane tasks was the highest, so the value add of automation is also the highest.

Tietoturvavalvomo pyrkii löytämään epänormaaleja ja vihamielisiä tapahtumia tietomassasta. Tietoturva-analyytikot tutkivat päivittäin satoja hälytyksiä, jotka Security Information and Event Management (SIEM) -järjestelmä on korreloinut miljardeista yksittäisistä tapahtumista. Tarvitaan useita tylsiä, käsin tehtäviä toimia ennen tietoista tutkintaa. Tylsät tehtävät vaikuttavat negatiivisesti työntekijöiden tyytyväisyyteen sekä operoinnin tehokkuuteen. Tässä tutkimuksessa pyritään löytämään tehtävät, jotka sopivat parhaiten automatisoitaviksi sekä kuinka iso osuus operoinnista on tylsiä tehtäviä. Automaation ei tulisi riskeerata korkeaa luotettavuutta. Digitaaliset korkean luotettavuuden organisaatiot on vähemmän tutkittu alue. Kyseisiin organisaatioihin on yleensä vaikeaa päästä turvallisuuteen ja luottamuksellisuuteen liittyvien syiden vuoksi. Tämä tutkimus antaa tietoa miten digitaalinen korkean luotettavuuden organisaatio pyrkii minimoimaan vääriä negatiivisia tapahtumia, jotka ovat huomaamatta jääneitä tapahtumia. Perinteisten korkean luotettavuuden organisaatioiden ominaisuuksia verrataan tässä työssä tutkittuun digitaaliseen organisaatioon. Aiempaa tutkimusta episteemisistä ja pragmaattisista sekä tietoisista sekä järjettömistä toimista käydään läpi kirjallisuusosiossa. Kyseisiä toimien klassifiointeja käytettiin kun 10 tuntia tietoturvavalvomon 1-tason analyytikon työtä seurattiin, dokumentoitiin ja kategorisoitiin. Yhteensä 113 tietoturvahälytyksen tutkintaa viiden analyytikon tekemänä seurattiin. Analyytikot vastasit myös teemahaastattelussa kysymyksiin tyytyväisyydestä nykyisiin järjestelmiin, heidän kompetensseistaan tärkeimpiin teknologioihin ja kuinka he kehittäisivät järjestelmiä. Hierarkkista tehtäväanalyysia (HTA) käytettiin piirtämään kokonaiskuva operoinnista sekä saamaan yksityiskohtaista tietoa ongelma-alueista. HTA luotiin analysoimalla seurattuja tietoturvahälytyksiä alhaalta ylöspäin yksi kerrallaan. Päätöksiä edellyttäneiden työvaiheiden määrää ja analysointiin käytetty aikaa verrattiin analyytikoiden sekä eri hälytyskategorioiden välillä. HTA sekä seurannasta saadun datan vertailu paljasti joitain eroja analyytikoiden välillä hälytystenkäsittelyprosessissa. Prosessin standardointi voisi tuottaa tasaisempaa laatua tutkimuksiin. Tutkimuksessa löydettiin useita tehtäviä, joiden automatisoinnilla voitaisiin parantaa tehokkuutta. Kyseiset tehtävät toistuivat jokaisen analyytikon jokaisessa seuratussa hälytyksessä. Lyhimmissä tutkimuksissa tylsien tehtävien osuus oli suurin, jolloin automaation tuoma hyöty on niissä suurin.
Description
Thesis advisor
Penttinen, Esko
Keywords
automation, SOAR, SOC, HRO
Other note
Citation