logotipo hardsecure
Início
Sobre Nós
Cyber Effect
Serviços
Recrutamento
Parcerias
Case Studies
Blog
Eventos
Plataforma de Gestão de Denúncias
Contactos
SOC: O PORQUÊ DE SER TÃO NECESSÁRIO
Ouvir este artigo no Podcast
03/03/2021

O objetivo de um Security Operations Center (SOC) é, de forma contínua, monitorizar, prevenir, detetar, responder e investigar as ameaças (internas e externas) ao sistema de informação da organização.

Para desempenhar a função, o SOC é constituído por recursos humanos, tecnologia, processos e procedimentos, que têm como objetivo desenvolver e garantir uma metodologia de Resposta a Incidentes de Segurança. É utilizando esta metodologia que vão ser geridos, mitigados ou eliminados e analisados os Incidentes de Segurança que uma organização possa ter.

Os modelos de implementação de um SOC vão ser determinados por vários fatores, como por exemplo a obrigatoriedade de os dados recolhidos ficarem, ou não, nas instalações da organização, a ferramenta de Security Information and Event Management (SIEM) ser ou não licenciada à organização ou ter de “residir”, ou não, nas instalações da organização, a existência de capacidade interna de afetar recursos à operacionalização parcial ou integral do SOC.

Os modelos de implementação mais frequentes, são:

  • implementação como projeto, em que após projeto a equipa interna operacionalizará o SOC;

  • implementação como projeto, e a externalização total ou parcial da operacionalização do SOC;

  • externalização completa do SOC sendo este dado como um serviço (SOCaaS).

Independentemente do modelo de SOC que melhor se adeque à organização, importante é que exista essa valência e, mais do que isso, que exista uma capacidade estruturada de prevenção, deteção, análise e resposta a Incidentes de Segurança.

Dado o volume, frequência e diversidade de ataques a que os Sistemas de Informação estão sujeitos a necessidade de um SOC é real. Vamos, de uma forma macro, perceber porquê :

  • Monitorização Contínua: Os ciberataques não têm intervalos ou pausas e podem acontecer a qualquer momento, sem qualquer consideração pela operação de uma organização. Por norma, é nos horários pós laborais ou fins de semana que os ataques ocorrem, para aumentar a probabilidade de sucesso. Também os ataques internos não têm data ou hora para acontecer e são hoje uma das ameaças potencialmente mais destrutivas que a organizações têm de combater.

A monitorização contínua e permanente que um SOC proporciona é uma defesa fundamental nestas situações.

  • Gestão e Visibilidade centralizadas: As redes das organizações estão a aumentar seu nível de complexidade, quer através da aceleração da transformação digital que tem acontecido nos últimos anos quer através da recente adoção generalizada do trabalho remoto.

Os variados tipos e frequência de acessos externos e internos às aplicações e sistemas, todos os componentes de proteção das redes e sistemas de informação e os mecanismos de interação com parceiros de negócio geram um elevado volume de informação a circular na rede, volumetria de Logs elevada e um número considerável de alertas. É uma sobrecarga de informação, dificilmente analisável e gerível, que é obtida de várias consolas de gestão, que consome tempo de análise e normalmente sem informação de contexto ou de correlacionamento de eventos e informação.

A falsa sensação de segurança por ter implementados vários mecanismos isolados que não contribuem para uma imagem global integrada é,por si só, um risco de segurança.

É fundamental para as organizações terem uma solução integrada que permita a visibilidade do estado de segurança da organização como um todo, permita monitorizar esse estado a partir de um ponto único, ter a possibilidade de entender situações que por si só nada representam, mas conjugadas com outras podem representar ameaças.

Pelo conjunto das ferramentas que integra e pelo nível de especialização de quem o opera, o SOC é um elemento fundamental no acompanhamento do estado de segurança da organização e um recurso decisivo na ajuda à deteção precoce e na resposta aos incidentes de segurança.

  • Redução dos Custos de Cibersegurança: Manter uma capacidade de cibersegurança apropriada à organização pode traduzir-se numa despesa, que pode ser tida como elevada, pelo investimento nos recursos humanos e tecnológicos necessários. Um SOC prestado como um serviço poderá permitir reduzir estes custos e pode ser uma medida de gestão importante para que os custos do SOC não sejam atribuídos a um único departamento mas sim à organização como um todo.

Além disso, um SOC pode promover a poupança a longo prazo, por poder ajudar a prevenir ataques que podem prejudicar a saúde financeira ou a reputação da organização - um ataque bem sucedido pode gerar custos elevados caso cause indisponibilidade total ou parcial dos Sistemas de Informação e com isso afetar o normal funcionamento dos processos de negócio (faturação, logística, produção, …).

Se for possível evitar uma multa, por exemplo, por falha na proteção a informação que esteja ao abrigo de regulamentações específicas (RGPD, PCI-DSS, …) por si só já é uma poupança considerável.

A própria reputação da organização pode ser afetada e os parceiros de negócio podem vir a manifestar relutância em manter a relação existente. Os custos intangíveis daqui decorrentes podem ser difíceis de calcular.

  • Aumento do nível de colaboração dentro da organização: A colaboração entre equipas é essencial para detetar e responder rápida e eficazmente a incidentes de segurança. Quando uma organização não desenvolve ou comunica processos claros para identificar, notificar e responder a um incidente de cibersegurança, a probabilidade de sucesso de um ataque aumenta.

O levantamento de informação necessário ao Plano de Resposta a Incidentes de Segurança vai promover a colaboração entre vários departamentos, incluindo entre outros as Unidades de Negócio, Recursos Humanos e Comunicação, levará à identificação dos interlocutores apropriados à resposta a determinados tipos de incidentes e ao levantamento dos riscos mais prováveis bem como à listagem de respostas tanto tecnológicas como de Negócio para as minimizar e ultrapassar. A organização obterá um maior grau de consciencialização e maturidade em cibersegurança.

A equipa de primeira intervenção alicerçará a sua resposta em trabalho previamente realizado, contactará os interlocutores (externos e internos) apropriados, atuará do ponto de vista técnico como, eventualmente, já tenha sido previsto, a comunicação dentro da organização fluirá para os elementos apropriados e as decisões técnicas e de negócio serão tomadas com base em elementos tanto quanto possível tangíveis e em contexto, de forma a diminuir o impacto do incidente no normal funcionamento da organização. É através da intervenção coordenada e colaborativa de vários constituintes da equipa de primeira intervenção que se pretende minimizar o tempo que decorre entre a deteção e a mitigação ou eliminação da ameaça.

Em 2016, a Hardsecure criou uma estrutura dedicada a prestar um serviço que disponibiliza uma Metodologia de Resposta a Incidentes de Segurança para monitorizar, gerir, controlar e reportar Incidentes de Segurança nos Sistemas de Informação.

Além de recursos Humanos qualificados, políticas e procedimentos, o serviço h-SOC da Hardsecure possui recursos tecnológicos contra as últimas ameaças com atualização contínua de inteligência face a novos vetores de ataque, num formato 24x7x365.

Default
Default
Default
Default
PwC integra equipa da Hardsecure
26/04/2023
Saber Mais
CyberTalks - Webinar Gestão do Risco de Terceiros na Cadeia de Valor
16/03/2023
Saber Mais
O Impacto da Covid-19 na Segurança da Informação
01/04/2022
Saber Mais
Hardsecure presente no evento de Lançamento Público do NOSi CA
31/03/2022
Saber Mais
Default
Como podemos ajudar?
Fale Connosco