Você precisa de um centro de operações de segurança?

Author Photo
12:29 pm - 24 de janeiro de 2012

Os profissionais de segurança de hoje precisam ter informações precisas acessível a eles a qualquer momento. A acessibilidade é fundamental para que eles respondam aos incidentes de segurança de forma eficiente e eficaz. Colocar todas essas informações em conjunto pode ser algo difícil, pois é preciso que elas sejam coletadas de todos os cantos da empresa. No entanto, difícil ou não, é necessária para que a triagem possa ser realizada rapidamente.

Infelizmente, o relatório de pesquisa de violação de dados da Verizon nos mostra que isso não está acontecendo em uma grande porcentagem de casos. Ao contrário, às vezes demora meses e até anos para uma violação ser notada. Há um punhado de questões fundamentais que torna isso difícil. Elas giram em torno de uma falta de pessoal treinado e qualificado, de ferramentas que forneçam informações precisas e acionáveis e de processos que permitam fazer seu trabalho de forma eficaz.

Para combater esses problemas, algumas organizações têm construído um centro de sistema operacional (SOC, da sigla em inglês) para agilizar o processo de tratamento de incidentes e permitir a facilidade de colaboração entre o pessoal de segurança. Parece ótimo, não? A realidade é que a montagem de um SOC não é tarefa fácil, e pode ser caro, esse é um dos principais motivos das empresas terceirizarem as operações de segurança.

Para tomar a decisão sobre a possibilidade de construir um SOC, terceirizá-lo ou ter uma abordagem híbrida, misturando o pessoal no local de segurança com serviços gerenciados de segurança, olhe para alguns dos principais recursos e decisões na elaboração de um SOC de sucesso.

Em primeiro lugar, um SOC exige profissionais de segurança altamente qualificados para investigar incidentes de segurança, que execute resposta a incidentes e análise forense, além de ajudarem a manter uma organização à tona em meio a uma violação de dados. Estes profissionais de segurança são responsáveis por fornecer informações precisas para a gestão, de forma que a empresa possa tomar decisões sensatas como, por exemplo, na hora de decidir se os sistemas críticos precisam ser desligados para análise ou para parar a exfiltração de dados.

Uma empresa que deseja construir um SOC precisa avaliar se possui expertise in-house, que tipo de treinamento pode ser necessário para obter a equipe atual no nível que eles precisam e se será preciso recrutar pessoal adicional. Recrutar internamente pode ser uma boa escolha desde que os candidatos conheçam bem o negócio e os sistemas. Além disso, os sistemas atuais e administradores de rede são melhores, porque eles têm experiência prática com os sistemas que estarão investigando e já estão propensos a ter habilidades de solução de problemas.

Onde será a caso do SOC é outra decisão que pode ajudar ou atrapalhar o sucesso da equipe. As grandes empresas podem escolher uma instalação autônoma separada dos edifícios principais da empresa, mas que não vai funcionar para o orçamento-amarrado das organizações. Escolher a casa do SOC dentro de uma rede existente do centro de operações ou do datacenter pode ajudar a cortar custos. É importante que o pessoal do SOC seja mantido em conjunto para ajudar a promover a colaboração, cross-training e a moral em geral.

No entando, há mais do que apenas as pessoas e o local. Para ter um SOC bem sucedido é preciso haver processos a seguir e um orçamento de apoio para mantê-lo funcionando. Os processos serão baseados em políticas, como esperado, mas o orçamento precisa ser alocado da gestão. Sem um orçamento grande o suficiente, será difícil manter o pessoal talentoso, comprar as ferramentas necessárias e atender as necessidades do negócio. E isso é um assunto difícil que precisa ser trabalhado antes da construção interna de um SOC.

O SOC terá acesso a logs de sistemas de detecção de intrusões, firewalls, servidores, dispositivos de rede. Para analisar a amplitude e volume de registros de todos esses sistemas de forma eficaz, a segurança da informação e solução de gerenciamento de eventos (SIEM) faz mais sentido, mas não sai barato quando se considera a aquisição de hardware / software, implementação e treinamento. Empresas com falta de orçamento pode ter de viver com ferramentas caseiras por um tempo, ou pode considerar a terceirização de algumas análises a um provedor de serviço de segurança gerenciada (MSSP, da sigla em inglês).

Será que a terceirização faz sentido? Sim, quando não se tem disponível uma expertise interna ou quando o orçamento não permite grandes gastos de capital necessários para contratação de pessoal, casa e treinamento. Graças a muitas ofertas diferentes de MSSPs, como a Dell SecureWorks, Trustwave e Accuvant, as empresas podem optar por terceirizar apenas as atividades de análise de log para complementar o pessoal de segurança existente ou terceirizar todas as atividades relacionadas à segurança.

Terceirização também pode fazer sentido se houver uma necessidade de monitoramento full time. É possível construir um SOC e abrigá-lo em um fuso horário diferente, possivelmente no exterior, mas a escolha de ter 24x7x365 analistas de MSSP disponível pode ser mais econômica.

A decisão de construir um SOC não deve ser tomada de ânimo leve. A construção de um centro self contained bem equipado pode ser um custo proibitivo para muitos. Um compromisso pode ser começar pequeno, reunindo todo o pessoal de segurança em um único local, completando-lhes os serviços de um MSSP e prover o crescimento da equipe e suas responsabilidades ao longo do tempo. Ou, então, os custos de terceirização de todos os aspectos de segurança podem funcionar melhor para sua empresa. Os custos e benefícios devem ser pesados com cuidado para descobrir qual projeto melhor atende as necessidades da sua empresa.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.