Renato Mirabili Junior (*)
Para compreendermos a importância do SOC (em português, Centro de Operações de Segurança) nos dias de hoje, devemos, inicialmente, entender o quanto a afirmação de que os dados são o novo petróleo faz sentido. Em 2017, o The Economist publicou uma história intitulada “O recurso mais valioso do mundo não é mais o petróleo, mas os dados”. Mas, o que isso significa?
Hoje, o bem mais valioso de uma corporação são seus dados, sejam de clientes, que incluem informações sigilosas, negócios, contratos, fórmulas, enfim, toda e qualquer informação que a empresa tem em seu poder. Mas, quem está de olho nessa informação? Os cibercriminosos, concorrentes desleais, colaboradores mal-intencionados, fornecedores antiéticos e sequestradores digitais. A lista é enorme. E, em caso de uma invasão, o que pode vir a acontecer?
Fraudes, vazamento de dados, concorrência desleal, espionagem, sequestro de dados, indisponibilidade, processos judiciais, multas, dano reputacional e até mesmo quebras contratuais. De acordo com a CNN Brasil, com o aumento de profissionais em regime de home office, os ataques cibernéticos a empresas cresceram 220% somente no primeiro semestre de 2021. É aí que entra o SOC, uma área relativamente nova que vem crescendo a cada ano e que se torna cada vez mais importante para a segurança da informação.
O SOC é o componente central de uma operação de cibersegurança, que realiza o monitoramento de todas as atividades de rede, servidores, banco de dados, antivírus, aplicativos, terminais, sites e quaisquer outros sistemas em uso na empresa. O SOC é o responsável direto por manter as empresas seguras contra qualquer ameaça que possa surgir, verificando todos os incidentes, garantindo sua identificação, análise, defesa, investigação e relato detalhado. É possível resumir o SOC em 5 principais atividades:
- Gerenciamento de logs: é o processo para gerar, transmitir, armazenar, analisar e descartar registro de eventos num sistema computacional.
- Gerenciamento de alertas: cabe à equipe analisar cada um dos alertas cuidadosamente para, assim, fazer uma triagem adequada das ameaças.
- Prevenção e detecção: um SOC monitora o ambiente 24 horas por dia e 7 dias por semana com o objetivo de detectar atividades maliciosas e evitá-las antes que causem qualquer dano.
- Gerenciamento e resposta a incidentes: após análise e investigação a fim de avaliar a natureza da ameaça, a equipe SOC coordena a resposta para a resolução do problema. O objetivo é responder na medida necessária e, ao mesmo tempo, mitigar o impacto na continuidade dos negócios.
- Gerenciamento de conformidade: as regulamentações governamentais e do setor podem ser alteradas a qualquer momento. O SOC deve estar pronto para ficar de olho nessas questões para garantir que a organização esteja em conformidade.
Geralmente, o SOC utiliza o SIEM (em português, Gerenciamento de Informações e Eventos de Segurança), ferramenta estabelecida no mercado para a gestão da segurança da informação, que irá analisar a segurança, visto que, por meio dela, incidentes no geral podem ser revelados.
Assim, é valido afirmar que o SIEM será o suporte tecnológico que proporcionará à equipe de especialistas do SOC uma análise completa e detalhada das ameaças. O SIEM permite que a equipe SOC tenha uma visualização centralizada de logs e aplicativos, infraestrutura e rede, todos coletados e reunidos em uma única interface, facilitando muito o processo.
Sendo assim, podemos chegar à conclusão de que há um forte crescimento na demanda de serviços gerenciados de segurança da informação e que é cada vez mais importante que as empresas tenham um investimento maior nessa área, a fim de garantir maior proteção de seus dados e, consequentemente, promover a melhora de confiabilidade e da conformidade com os órgãos reguladores, além de prevenir futuros ataques cibernéticos.
(*) – É consultor SOC na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.