A decisão em investir em um Centro de Operações de Segurança (SOC) é vista como importantíssima na mitigação dos riscos de uma empresa, pois atualmente é essencial limitar o tempo e o acesso dos invasores à organização.
Ter um Centro de Operações de Segurança (SOC) aumenta o custo real do invasor e diminui o benefício, o que prejudica seu retorno sobre o investimento (ROI) e a motivação para atacar a organização. Tudo no SOC deve ser orientado para limitar o tempo e o acesso que os invasores podem obter aos ativos da organização em um ataque mitigando assim os riscos do negócio.
Abaixo os quatro principais pontos de integração funcional que o SOC deve ter com o negócio:
- Contexto de negócios (para o SOC) – O SOC precisa entender o que é mais importante para a organização, para que a equipe possa aplicar esse contexto a situações de segurança fluida em tempo real. O que teria o impacto mais negativo no negócio? Tempo de inatividade de sistemas críticos? Uma perda de reputação e confiança do cliente? Divulgação de dados sensíveis? Adulterando dados ou sistemas críticos?
- Exercícios de prática conjunta (com o SOC) – Os líderes de negócios devem participar regularmente do SOC na prática de resposta a incidentes importantes. Isso constrói a memória e os relacionamentos musculares que são críticos para a tomada de decisão rápida e eficaz na alta pressão de incidentes reais, reduzindo o risco organizacional. Essa prática também reduz o risco, expondo lacunas e suposições no processo que podem ser corrigidas antes de um incidente real.
- Principais atualizações de incidentes (do SOC) – O SOC deve fornecer atualizações para as partes interessadas do negócio para os principais incidentes à medida que eles ocorrem. Isso permite que os líderes de negócios entendam seus riscos e tomem medidas proativas e reativas para gerenciar esse risco.
- Business intelligence (do SOC) – Às vezes, o SOC descobre que os adversários estão visando um sistema ou um conjunto de dados que não é esperado. À medida que o SOC descobre os alvos dos ataques, eles devem compartilhá-los com os líderes empresariais, pois esses sinais podem acionar a percepção dos líderes de negócios (fora da conscientização de uma iniciativa comercial secreta, valor relativo de um conjunto de dados negligenciado etc.).
A evolução do SOC
Em uma evolução do SOC, os elementos principais devem estar em pessoas, trabalho em equipe e aprendizado contínuo, incluindo:
- Usar talento humano com sabedoria – Pessoas são o bem mais valioso em um SOC e não podem perder tempo com tarefas repetitivas e imprudentes que podem ser automatizadas. Para combater as ameaças humanas, precisamos de seres humanos bem informados e bem equipados que possam aplicar perícia, julgamento e pensamento criativo.
- Trabalho em equipe – O trabalho em equipe torna um ambiente de trabalho de alta pressão como o SOC muito mais agradável e produtivo quando todos sabem que estão no mesmo time e que todos estão de volta um ao outro.
- Mudar a mentalidade para a esquerda – para chegar e ficar à frente dos cibercriminosos e hackers que constantemente desenvolvem suas técnicas, e preciso melhoria continua e mudar as atividades “para a esquerda” na linha do tempo do ataque. Este princípio é efetivamente uma aplicação de uma “mentalidade de crescimento” de aprendizado contínuo que mantém o time de laser focado na redução de riscos.
Métricas SOC
O elemento organizacional final é como medir o sucesso, um elemento crítico para acertar. As métricas traduzem a cultura em objetivos claramente mensuráveis e exercem uma poderosa influência na formação do comportamento das pessoas.
Medir vários indicadores de sucesso no SOC é importante, mas sempre reconhecer que o trabalho do SOC é gerenciar variáveis significativas que estão fora do controle direto (ataques, invasores, etc.). Ver os desvios principalmente como uma oportunidade de aprendizado para melhoria de processos ou ferramentas, em vez de enxergar como uma falha por parte do SOC em atingir uma meta.
Principais métricas:
- Time to acknowledge (TTA) – A responsabilidade é um dos poucos elementos sobre os quais o SOC tem controle direto. Medir o tempo entre um alerta sendo gerado (“a luz começa a piscar”) e quando um analista reconhece esse alerta e inicia a investigação. Melhorar essa capacidade de resposta requer que os analistas não percam tempo investigando falsos positivos, enquanto outro alerta positivo verdadeiro fica esperando. Qualquer alerta que exija uma resposta do analista deve ter um histórico de 90% de verdadeiros positivos
- Time to remediate (TTR) – Rastrear o tempo para remediar um incidente e garantir estar limitando o tempo que os invasores têm acesso ao ambiente, o que impulsiona a eficácia e a eficiência dos processos e ferramentas de SOC.
- Incidentes remediados (manualmente / com automação) – Medir quantos incidentes são corrigidos manualmente e quantos são resolvidos com automação. Isso garante que os níveis de pessoal sejam adequados e mede a eficácia da tecnologia de automação.
- Escalonamentos entre cada camada – Rastrear quantos incidentes foram escalonados entre os níveis para garantir a captura com precisão a carga de trabalho de cada camada.
A Safeway é uma consultoria one stop shopping que tem auxiliado empresas, como a Sodexo, Ci&T, Fujifilm, Braskem, ABBC e outras a garantir sua segurança da informação.
Através da aplicação de um processo ágil e melhoria continuada em nosso SOC dedicado 24×7, usamos uma plataforma única e modular de gestão de riscos voltada aos processos de negócios específico de cada cliente, aplicando as melhores tecnologias do mercado no modelo SaaS. Tudo isso sem a necessidade de grandes investimentos iniciais na contratação
Assista esse vídeo que está em nosso canal do YouTube e descubra mais detalhes sobre o que estamos chamamos de: A evolução do SOC →
