Equipe, alocação de recursos, análises inadequadas de dados e filtragem são problemas que as empresas enfrentam quando implementam um SOC próprio.

Um SOC – Security Operations Center, é uma parte essencial da estratégia de mitigação de riscos e ameaças das empresas. Estudos apontam que ter um SOC associado a sua operação melhora em até 43% a habilidade de conter as ameaças. Neste artigo, destrinchamos 8 desafios que podem acometer pessoas, processos e tecnologias quando a empresa resolve contar com um SOC próprio.

 

Pessoas

SOCs podem ter enormes desafios relacionados a pessoas. Os três principais são:

1 Falta de Pessoal

As reclamações sobre a dificuldade de encontrar pessoal experiente e treinado vêm de muito tempo na segurança. A rápida mudança para novas formas de operação, infraestruturas em nuvem e aplicações cloud-native apenas aumentaram esse problema.

2 Falta de Conhecimento Técnico necessário

Falta de conhecimento técnico também é um problema. Quando a empresa não consegue contratar para ocupar os gaps na skill que a equipe possui, a equipe que já está lá precisa resolver esse problema. 

Por exemplo, se o SOC não pode usar ferramentas de monitoramento e gestão com expertise para intervir nas ameaças rapidamente, as respostas a incidentes serão atrasadas e potencialmente com mais falhas e danos à empresa.

3 Falta de Experiência (conhecimento + prática)

Falta de experiência é muito próximo e relacionado à falta de conhecimento técnico. Contudo, ainda que o funcionário seja bem instruído, treinado, receba incentivos para boas certificações, a experiência vai moldar esse profissional. Sem a devida experiência na prática, mesmo o funcionário mais bem instruído está sujeito a cometer erros de operação e decisão, podendo esses erros serem muito danosos à empresa.

Processos

4 Demora dos processos

A demora nos processos possui dois pontos: sistemas e humanos. Os sistemas enfrentam demora se o SOC não evolui de acordo com as mudanças e demanda que está monitorando. A parte humana é que o cenário evolui mais rapidamente que os profissionais aprendem e tornam-se capacitados e enfrentá lo.

A consequência disso é que os processos do SOC não são um framework compreensível de ações como deveria ser. A equipe limitada gasta seu tempo improvisando e costurando novos processos, que resultam em respostas incompletas e problemas.

5 Alocação de orçamento feito com premissas erradas

A alocação errada de recursos do orçamento é um clássico da cybersecurity. As empresas acabam investindo na aquisição de tecnologia sem antes ter um plano elaborado de continuidade da operação de segurança. Acabam comprando soluções que não precisam, ou esquecem de contabilizar na aquisição o custo de gestão da solução, o famoso TCO.

 

Tecnologia

6 Falta de ferramentas adequadas

Relacionado ao problema de alocação errada de recursos. O SOC precisa se planejar pensando em médio e longo prazo, de forma a ter e adquirir as soluções necessárias para sua operação, não só para a necessidade imediata, mas também para o futuro. 

7 Analytics e filtros inadequados

Analytics e filtros são ferramentas necessárias para o SOC, mas muitas vezes são inadequadas. Levar uma inundação de alertas falsos-positivos, principalmente quando a equipe é reduzida, é um problema enorme. Ferramentas automatizadas, aliadas a um excelente conhecimento técnico são essenciais para reconhecer esse tipo de problema, entre outros.

Na outra ponta, a falta de um correlacionamento adequado pode deixar de acionar um alerta importante,  que em último caso pode se tornar um ataque bem sucedido.

8 Falta de automação e integração

Transformar o humano sentado no SOC em um ponto de integração é um convite a uma série de erros gravíssimos. Ao trancar a equipe em tarefas repetitivas, a empresa aumenta a exaustão mental e o burnout e limita a resposta a incidentes à escala humana. Automação e integração são essenciais para evitar esse erro.

As circunstâncias apontam que a necessidade de uma operação de segurança, evidenciada por um SOC, vai continuar existindo. Mas as empresas precisam enfrentar esses desafios, ou trabalhar com um SOC inteiramente ou parcialmente terceirizado, para garantir que o risco está sendo mitigado.