Como o SOC pode ser um poderoso aliado na conexão entre as iniciativas de segurança com o direcionamento estratégico do negócio

Como vimos no nosso último blogpost, as mudanças e transformações recentes enfrentadas pelas corporações, em boa parte aceleradas pela crise causada pela COVID, culminam em um cenário desafiador no qual as iniciativas de segurança da informação devem estar conectadas com as prioridades do negócio.

E isso não tem sido uma missão fácil para os CISOs.

Apesar de estarem mais envolvidos em reuniões estratégicas, estes executivos muitas vezes não conseguem avaliar se uma tecnologia ou projeto está criando muito risco e exposição, ou se a organização está perdendo oportunidades por ser muito avessa ao risco.

E, segundo o Gartner, em 2023, 30% da eficácia dos diretores de segurança da informação (CISOs) será medida diretamente pela sua capacidade de criar valor para o negócio.

Hoje, CIOs, executivos e conselhos de administração lutam para saber se a segurança cibernética está em níveis satisfatórios, e se é necessário investir mais ou não, seja para proteger ativos existentes ou plugar a segurança desde a concepção de projetos inovadores.

E essa não pode ser uma decisão subjetiva, mas sim guiada pelas características de controles consistentes, adequados, razoáveis ​​e eficazes que as tecnologias e seus fornecedores oferecem.

Em qualquer área de uma organização, quanto mais insumos estiverem à disposição, mais sólida será a tomada de decisão – e isso não é diferente em cibersegurança.

Nesse sentido, em 2021 os CISOs são convidados a responder desafios complexos que incluem:

1) Conectar as iniciativas de segurança às prioridades do negócio, dando suporte ao Plano Estratégico elaborado pelo comitê executivo; 

2) Garantir que o SOC está identificando o que é realmente prioritário ao negócio

3) Estar preparado para lidar com ameaças cada vez mais complexas e avançadas;

4) Garantir níveis de segurança exigidos por Órgãos Reguladores, Compliance e Auditoria;

5) Reportar aos demais executivos sobre a eficácia das ações de cibersegurança, demonstrando cobertura ao negócio e comprovando que o investimento em SecOps está sendo efetivo.

Além disso, é preciso considerar que nem o ritmo da mudança, nem o cenário de risco em evolução vão esperar que o gerenciamento da continuidade dos negócios e as estratégias de resiliência organizacional evoluam e se atualizem.

Por isso, as prioridades e os investimentos em segurança cibernética precisam se basear o quanto antes na obtenção de um conjunto de resultados que sejam realmente consistentes, adequados, razoáveis ​​e eficazes, como dissemos anteriormente neste artigo.

Dessa forma é possível criar um contexto para tomar decisões de priorização e investimento em um contexto de negócios para impactar positiva e diretamente o quão bem a organização está protegendo seus principais ativos.

O papel do SOC na resposta a esses desafios

Não existe uma ferramenta única capaz de oferecer estes resultados de modo a criar um contexto para tomar as decisões necessárias para priorizar o investimento mais acertado (ou urgente, a depender do caso) no contexto do negócio. É preciso combinar pessoas, processos e tecnologias.

Contar com um Centro de Operações de Segurança permite aliar esses componentes em torno de uma estratégia de segurança.

No artigo Selecting the Right SOC Model for Your Organization, o Gartner aponta algumas das principais características de um SOC, entre as quais estão:

1) Uma operação que tem como um dos focos a detecção e resposta a ameaças

2) Um conjunto de processos e fluxos definidos com o objetivo apontado no item 1

3) Um conjunto de ferramentas que ajudam a prever, prevenir, detectar, avaliar e responder a ameaças e incidentes de segurança

Os autores do artigo afirmam que, apesar de historicamente ter sido considerada uma estrutura de alta complexidade, cabendo apenas no orçamento de grandes empresas, os SOCs vêm se tornando cada vez mais presentes em pequenas e médias organizações que buscam uma mudança de foco da prevenção para detecção e prevenção de incidentes de segurança.

“Até 2024, 25% de todas as organizações contarão com alguma modalidade de SOC, contra 10% hoje. Isso vai variar de pequenos SOCs virtuais de meio período a SOCs em tempo integral com equipe completa, até a terceirização de serviços de SOC para um provedor externo ou uma combinação deles.”

(Selecting the Right SOC Model for Your Organization – Gartner)

As funções de um SOC incluem, entre outras:

1) Monitorar eventos de segurança, detectar, investigar e realizar triagem de alertas de múltiplas fontes;

2) Gerenciar a resposta a incidentes, análise de malware e forense;

3) Gerenciamento de vulnerabilidades e

4) Desenvolvimento de métricas para relatórios e gestão de compliance

Nesse sentido, um SOC torna-se um aliado poderoso na gestão de segurança, mas sua operação (ou mesmo sua implantação) está longe de ser uma tarefa simples.

Implantar um SOC é uma equação que envolve uma série de variáveis desde a escolha do formato (virtual, híbrido, dedicado) até a decisão sobre  a internalização ou a terceirização de toda ou parte da operação. E cada decisão traz os seus próprios desafios (contratar profissionais capacitados em um mercado escasso em mão-de-obra, investir em ferramentas ,

E ainda assim, para enfrentar os desafios elencados desde o artigo anterior, é preciso que o SOC esteja alinhado com o mapa de riscos existente, trazendo o contexto do negócio.

Intelligence Driven SOC: uma nova oferta da Tempest desenvolvida com foco nos desafios da gestão de segurança

fim de endereçar os desafios apresentados neste e no artigo anterior, a Tempest desenvolveu uma nova metodologia de SOC; o  Intelligence Driven SOC – um SOC automatizado que oferece alta performance e conexão com o mapa estratégico e de riscos do seu negócio.

Com a transformação digital cada vez mais acelerada, as áreas de Segurança e TI precisam se conectar ainda mais com as áreas de negócio e inovação em busca um desenvolvimento ágil nas entregas e análises de riscos. Por conta disso, os projetos e os times precisam cada vez mais serem estruturados com base em arquiteturas que favoreçam essa agilidade, desenvolvidos e adequados às particularidades das estratégias digitais.

O Intelligence Driven SOC possui um modelo de governança e evolução baseado em casos de uso de detecção que conecta o mapa de riscos corporativos aos artefatos técnicos de detecção, além de integrar informações de diferentes fontes (cloud IaaS/SaaS e on-premise) para automatizar com inteligência as etapas de triagem, enriquecimento e resposta. Com alta visibilidade e sem onerar os processos do seu negócio, as tomadas de decisão se tornam ainda mais ágeis e sólidas. Confira alguns benefícios:

a) Processos com automação e orquestração, oferecendo alta performance;

b) Conexão com o mapa de riscos existente, trazendo contexto de negócio;

c) A mais avançada Engenharia de Detecção de Ameaças, fornecendo indicadores de cobertura através do mapeamento com base no MITRE ATT&CK™;

d) Governança e acompanhamento com base em indicadores de desempenho ligados a casos de uso extraídos a partir da compreensão do mapa de riscos;

e) A mais alta tecnologia e inteligência voltada para Cibersegurança, aliando equipe capacitada, plataforma de compartilhamento e bases de informação geolocalizadas.

O Intelligence Driven SOC realiza estudos detalhados sobre ameaças avançadas a partir de seus contextos, oferecendo grande vantagem ao negócio no combate aos crimes cibernéticos.

Nossos times de segurança ofensiva participam desde a criação das regras até a realização de simulações que melhoram de forma contínua ao longo do tempo o nível de detecção, através de casos de uso – tudo com a máxima automação, e alinhado ao mapa de riscos e cenários de ameaças realmente relevantes para o seu negócio.

No próximo artigo desta série sobre os desafios dos CISOs em conectar as iniciativas segurança da informação às prioridades do negócio traremos mais detalhes sobre o Intelligence Driven SOC e como ele pode preencher esta lacuna. 

Sobre a Tempest

A Tempest Security Intelligence é a maior empresa brasileira especializada em  cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 400 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas  de todos os portes de setores como serviços financeiros, varejo e e-commerce.

Pesquisando  e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.

Para saber mais sobre as soluções apresentadas neste artigo, acesse o link e fale com nossos consultores.