This post is also available in: Português Español
O que se dizia sobre o novo normal no auge da pandemia – com cuidados extras constantes e crescentes – é cada vez mais presente na segurança digital das empresas. São tantas as formas de cibercrime – e tão frequentes – que é mais sensato reconhecer o óbvio, ou seja, que vieram para ficar. É este então o novo normal em uma empresa: cercar-se o tempo todo de proteções no que diz respeito à segurança digital.
Acompanhar a taxa crescente de ameaças de segurança cibernética pode parecer impossível quando a empresa não possui recursos e funcionários internos de segurança. Portanto, construir ou contratar um Centro de Operações de Segurança (SoC) geralmente é a solução ideal.
Empresas em setores que possuem grandes quantidades de dados valiosos são os principais alvos de cibercriminosos. Eles estão sempre em busca de brechas nas redes e sistemas, e não hesitarão nem por um segundo quando as encontrarem. Devido às informações pessoais sigilosas, dados confidenciais ou tecnologias patenteadas que essas empresas possuem, geralmente se tornam muito atrativas.
As empresas, convencionalmente, implementam dois ou três ativos de segurança em suas estruturas, como firewall, filtragem de e-mail e/ou antivírus. Essas são ferramentas triviais em uma estratégia de proteção, contudo insuficientes para proteger o negócio contra ameaças cibernéticas, que são cada vez mais letais.
A questão é: como se defender de ataques que estão em constante evolução? A resposta é contar com ferramentas especializadas e uma equipe trabalhando 24 horas por dia para manter o perímetro de segurança eficiente contra estas ameaças. É aí que um SoC faz a diferença.
O SoC traz consigo uma estrutura tecnológica e humana que monitora o ambiente local, de nuvem, dispositivos, logs e rede em busca de ameaças. O SoC pode ser implementado com estrutura e time próprios, ou também ser contratado em um modelo de assinatura.
A terceirização do serviço traz grande praticidade para as empresas, pois elimina a necessidade de compra e gestão de infraestrutura e contratação de pessoas. Contudo, em alguns cenários, pode ser necessário e/ou viável a estruturação de um SoC, por isso reunimos 5 estratégias relevantes para profissionais que necessitam estruturar um SoC.
Escolher a equipe com cuidado
Os benefícios do seu SoC dependem dos membros da equipe. Eles são os responsáveis por manter o sistema seguro e determinar quais recursos são úteis. Por isso, deve-se incluir pessoas que cubram uma variedade de conjuntos de habilidades e conhecimentos sobre o tema.
Os membros da equipe devem ser capazes de:
- Monitorar sistemas e gerenciar alertas
- Gerenciar e resolver incidentes
- Analisar incidentes e propor ações
- Investigar e detectar ameaças
O conjunto de habilidades deles também deve incluir detecção de intrusão, engenharia reversa, manipulação e identificação de malware, bem como gerenciamento de crise.
Porém, ao construir uma equipe SoC, não é recomendável avaliar apenas as habilidades técnicas. É necessário que os membros da equipe trabalhem juntos durante situações de alta pressão. Por isso, é importante selecionar membros que possam colaborar e se comunicar com eficiência.
Selecione bem as ferramentas
Ter as ferramentas adequadas é um ótimo jeito de aumentar a eficácia do SoC. Para isso, é preciso selecioná-las com cuidado para atender às necessidades e à infraestrutura do sistema. É ainda mais importante ter ferramentas centralizadas se tiver um ambiente mais complexo. Afinal, a equipe não deve usar ferramentas diferentes para gerenciar cada dispositivo.
É mais provável que as informações sejam negligenciadas ou ignoradas se o SoC empregar ferramentas mais discretas. As informações são ainda mais difíceis de classificar e correlacionar se os membros da segurança precisarem acessar vários painéis ou obter logs de diversas fontes.
Durante o processo de escolha das ferramentas, é essencial avaliar e pesquisar cada uma delas, pois os produtos de segurança podem ser caros e difíceis de configurar. Não faz sentido desperdiçar tempo e dinheiro em um produto ou serviço que não se integra bem ao sistema da empresa.
É necessário ainda considerar a proteção de endpoints, firewalls, segurança automatizada de aplicativos e soluções de monitoramento ao decidir quais ferramentas incorporar. Muitos SoCs fazem uso de soluções SIEM. Essas ferramentas ajudam no gerenciamento de logs, além de aumentar a visibilidade da segurança. O SIEM também pode ajudar a combinar dados entre eventos e automatizar alertas.
Estratégia de Segurança
Quando se decide construir um SoC, é de extrema importância desenvolver uma estratégia de segurança. Para isso, profissionais podem orientar-se pelos passos abaixo:
- Avaliar os recursos de SoC atuais, bem como capacidades. É possível transformar uma equipe de TI em um SOC, adaptar processos existentes ou otimizar as ferramentas.
- Marcar os objetivos do negócio para o SOC. Para isso, deve-se compreender bem quais sistemas são importantes na hora de dar suporte às operações, para que a equipe de segurança possa fortalecer a proteção.
- Selecionar um modelo de SoC adequado para sistemas híbridos, virtuais ou locais.
- Escolher a solução de tecnologia adequada. Essa pode ser a diferença entre uma equipe produtiva e um time sobrecarregado.
- Construir um SoC eficaz é muito mais do que montar equipamentos de última geração e depois contratar uma equipe de analistas. É um esforço contínuo para se manter atualizado sobre as ameaças, estar a par de tecnologias e tendências emergentes e contratar e manter os talentos certos.
Plano de resposta a incidentes
A ideia é começar definindo funções e responsabilidades claras para cada membro da equipe, desenvolvendo um plano de resposta a incidentes. No planejamento de quem fará o quê, também é preciso avaliar se cada indivíduo tem acesso e ferramentas para cumprir as responsabilidades que lhe foram confiadas. Por exemplo, em alguns casos a equipe de segurança precisa da ajuda da equipe de operações de TI para obter o acesso a determinada estrutura, necessária para combater uma ameaça.
Surge aí outro ponto: um plano de resposta a incidentes precisa ser coordenado não apenas com segurança ou TI, mas também com outros parceiros de negócios que possam estar envolvidos em um evento de alta gravidade. Isso inclui líderes executivos, relações públicas, jurídico, recursos humanos, call center e até mesmo terceirizados.
Foco na visibilidade
Eis a chave para poder proteger com sucesso um sistema. A equipe de SoC precisa estar ciente de onde estão os dados e os sistemas para protegê-los. Eles têm de saber a prioridade dos dados e sistemas, bem como quem deve possuir permissão de acesso.
Ser capaz de priorizar adequadamente os ativos permite que o SoC distribua efetivamente seu tempo e recursos. Ter visibilidade clara permite que se identifique facilmente os invasores e limite os locais onde eles podem se esconder. Para ser eficaz ao máximo, o SoC deve ser capaz de monitorar sua rede e realizar varreduras de vulnerabilidade 24 horas por dia, 7 dias por semana.
Em resumo, construir um Centro de operações de Segurança (SoC) pode ser um desafio. Afinal, ele deve ser a primeira e a última parada quando se trata da segurança de um sistema. Apesar disso, é possível sim criar um SoC eficaz que atenda às necessidades exclusivas de cada organização. É algo que demanda tempo, esforço e avaliação cuidadosa, mas a recompensa é evidente para profissionais de tecnologia e para o negócio.
This post is also available in: Português Español