O problema de um SOC mal estruturado
Muitas empresas encaram a estruturação de um centro de operações de segurança (em inglês, security operations center – SOC) como a solução para todos os seus problemas de segurança da informação. Essa abordagem, no entanto, pode decepcionar, pois nem sempre um SOC é estruturado da maneira certa para atender às necessidades do negócio.
Atualmente a maioria dos SOCs depende, principalmente, de um grande número de softwares complexos e sofisticados, entre os quais cada um é responsável por tratar um mal específico. A compra dessas soluções, no entanto, não garante um ambiente seguro e, muitas vezes, não agregam nada à estratégia de segurança, tornando-se apenas desperdício de dinheiro.
Além de trazer baixo retorno de investimento, essa abordagem ainda gera uma estratégia de segurança ineficiente devido à complexidade que gera no ambiente.
Soluções sem uso no ambiente
Quantas vezes já não vimos uma empresa comprar produtos de segurança e simplesmente deixá-los no datacenter “tomando pó”? É comum vermos, por exemplo, empresas que adquirem capacidades de inteligência em segurança, sem nem contar com uma estratégia de monitoramento ou com processos definidos de resposta a incidentes; ou ainda negócios que adquirem soluções sofisticadas de segurança sem nem precisar usá-las ou sem os profissionais necessários para lidar com a tecnologia.
Em um SOC, frequentemente vemos dispositivos de monitoramento com erros de configuração ou simplesmente desligados, mesmo que sua implementação e manutenção tenham tido e sigam tendo impactos reais no budget de segurança, que poderia ter sido investido em outras melhorias operacionais.
Alguns desses sistemas geram tantos alertas que tornam impossível para qualquer equipe de seres humanos conseguir analisar todos os dados produzidos – ou, pior ainda: os dispositivos podem não produzir nenhum dado válido, pois não foram instalados corretamente.
Além disso, várias das soluções que vêm junto de um SOC produzem um número tão grande de alertas que exigem um árduo trabalho de triagem por parte dos profissionais. Como algumas dessas ferramentas produzem alertas com pouco contexto, acabam gerando uma série de “falsos positivos”. Certamente, alguns desses alertas podem ser verdadeiros, mas a falta de contexto impede qualquer confirmação.
Execute um diagnóstico de segurança
Os SOCs podem incluir uma série de softwares que, à rigor, não acrescentam nada à proteção dos ativos da empresa porque buscam tratar males que não afetam o negócio. Por que tratar algo que nem foi diagnosticado como uma doença do seu ambiente, com soluções que chegam a custar milhões e apenas dão a sensação de que seus dados estão seguros?
Um SOC pode ter vários benefícios e ser bastante útil, mas apenas quando você sabe exatamente o que fazer e o que proteger. É nessa parte que entra a necessidade de executar um diagnóstico de segurança, que vai revelar o nível de maturidade em segurança da sua empresa, seus pontos fortes e fracos e guiá-lo sobre quais são os investimentos em segurança que trarão mais retorno para o negócio.