Nós dependemos da conectividade para praticamente todos os aspectos de um negócio, isso coloca as empresas em risco de sofrerem uma infinidade de ataques como malware, phishing, ransomware, DDoS entre outros. É mais importante do que nunca para as empresas investir e otimizar a segurança para mitigar os riscos e as ciberameaças.

Como vimos no último Relatório de Segurança da Verizon e o Estudo Sobre Custo dos Incidentes de Segurança Ponemon, os ataques mais do que cresceram exponencialmente nos últimos seis anos, eles aumentaram o custo de danos para as empresas significativamente. Incrementar a segurança de sua empresa se tornou uma prioridade para empresas de todos os setores. Nessa estratégia, contar com um SOC para centralizar as defesas, coordenar e gerir pessoas, processos e tecnologias é algo vital para os gestores de segurança das empresas.

Por quê um SOC?

Um SOC é arquitetado para dar poder à equipe de segurança, possibilitando que ela possa, de forma contínua, prevenir novos ataques, dar visibilidades aos gestores e atuar na mitigação de riscos às empresas. As equipes do SOC também respondem à ameaças e lidam com os incidentes de segurança que podem estar em progresso. Dentre os benefícios de contar com um SOC, estão:

  • Velocidade de Resposta: O SOC permite que o analista responda rapidamente a malwares que possuem habilidade de se espalhar rapidamente, seja danificando, roubando ou criptografando os arquivos no caminho.
  • Recuperação: O SOC permite que sua empresa se recupere rapidamente ou bloqueie um DDoS, vazão de dados, e outros incidentes antes de grandes danos ou interrupção do negócio.
  • Monitoramento: O SOC possibilita o monitoramento contínuo, em tempo real, dos logs e ativos presentes na infraestrutura, o que é essencial para mitigar e responder a ataques.
  • Auditoria: A inteligência gerada por um SOC facilita processos de auditoria internos ou externos.
  • Análise: O SOC fornece as ferramentas essenciais para a equipe de resposta a incidentes, permitindo análise forense do incidente e a mitigação contra riscos futuros.

In-house ou Terceirizado

Podemos dizer existem essencialmente duas formas de seguir com um SOC: In-house ou Terceirizado; cada uma delas possui suas vantagens e desvantagens.

Ter um SOC in-house é obviamente mais caro, devido ao investimento necessário tanto em estrutura física quanto em equipe. Contudo, funcionários dedicados que conhecem cada parte do ambiente, melhor do que terceirizados, podem customizar as soluções mais eficientemente em seu ambiente.

A contrapartida disso é que é mais difícil para eles descobrirem ameaças que podem ser óbvias para uma empresa especializada em segurança. Além disso, bons profissionais capacitados para operar em um SOC estão cada vez mais difíceis de achar.

Um SOC terceirizado, fornecido por uma MSSP (provedora de Serviços Gerenciados de Segurança) utilizará controles, processos, hardware, software e os especialistas da MSSP. Ele possui a vantagem de contar com analistas experientes, que monitoram outros ambientes e que operam por meio de processos maduros e funcionais. Além disso, a MSSP fornece o serviço com base em SLA’s, de forma que a empresa que contrate o serviço tenha um claro entendimento do que esperar e quando esperar do serviço de segurança fornecido.

Seja in-house ou terceirizado, o importante é que o SOC esteja bem equipado. A segurança padrão hoje em dia requer múltiplas camadas de proteção, o que gera por si só uma série de complexidades.

Uma das razões pelas quais o Estudo Global Sobre o Estado da Segurança PWC mostrou que um grande número de CIO e CSO estão buscando soluções de forma terceirizada é justamente devido a essa complexidade. O número de analistas e experts que entendem o universo da segurança e as tecnologias envolvidas, como elas se integram e funcionam é reduzido.

Exigir que uma equipe pequena de segurança além de tudo seja versada em resposta a incidentes, pesquisa de malware, diferentes ferramentas e soluções é algo difícil de ser atingido, contudo, é essencial para que a empresa consiga de fato mitigar os riscos ao negócio.

O maior catalisador para desenvolver as habilidades do SOC é o fato de que 60% das PME’s que vivenciam um incidente de segurança grave acabam fechando as portas em 6 meses ou menos, dados da National Cyber Security Alliance.

Também vimos nos últimos anos que grandes empresas como Target, Yahoo, Home Depot, Sony e outras passaram por grandes problemas após os incidentes, incluindo insatisfação dos clientes e danos à marca. o fato é que podemos todos concordar que os ataques estão crescendo em volume e complexidade, o que consequentemente causa aumento de complexidade das soluções de segurança e as integrações necessárias.

Centralizar as pessoas, processos e tecnologias para otimizar sua segurança é importante, independente se o processo é conduzido internamente, de forma terceirizada ou mista.

Questões importantes para se fazer

Ao se decidir entre uma opção in-house, algumas perguntas importantes precisam ser consideradas:

In-house: como construir um SOC

  • Sua empresa possui funcionários com skill suficiente para gerenciar um SOC?
  • Você vai documentar todo o processo?
  • Você vai desenvolver um programa de treinamento para sua equipe?
  • Quem vai desenhar a arquitetura física do SOC?
  • Sua empresa é capaz de reter os melhores profissionais?
  • Você possui orçamento adequado para um SOC interno?

Terceirizado: como escolher o melhor SOC

  • Qual é a reputação da MSSP?
  • Como os atuais clientes avaliam a empresa?
  • Qual é o índice de retenção?
  • Qual é a experiência dos funcionários?
  • Há quantos anos a empresa está no mercado de segurança?
  • A empresa possui os processos documentados?
  • Qual a comparação de custos com um SOC in-house?
  • O SOC é auditado por alguma instituição independente?
  • Você já visitou o SOC dos fornecedores?

As respostas para essas questões fornecem para você as informações fundamentais para que sua empresa tome uma decisão bem informada nessa questão.