Os seis pilares de um Centro de Operações de Segurança potente
Felipe Stutz, Diretor de Desenvolvimento de Negócios e Soluções de Conectividade
Orange Business Services para América Latina
O aumento do uso de infraestrutura virtual e trabalho remoto tem levado a segurança para a linha de frente da estratégia corporativa. Um Centro de Operações de Segurança (SOC) é parte fundamental da infraestrutura segura da empresa e garante à organização uma proteção efetiva contra qualquer ameaça. O SOC possibilita proteção total por meio da implementação de detecção de incidentes nas aplicações, executando atividades fundamentais a fim de remediá-las. Para criar e desenvolver um SOC capaz de conter ameaças cibernéticas como hackers e roubo de dados, há seis pontos fundamentais que devem ser considerados:
1. Determine a política correta
Políticas de segurança estão no coração de um Centro de Operações de Segurança efetivo. Elas determinam o escopo da proteção e compartilham as responsabilidades entre todas as partes prioritárias. O primeiro passo ao designar uma política de segurança é determinar a regra exata que você quer que o SOC execute. Ele apenas observa, grava, reporta e comunica ataques recorrentes ou vai estar ativamente envolvido em tomar medidas contra ameaças? Por exemplo, se seu objetivo primário é ter uma resposta imediata para qualquer incidente de segurança, você deve considerar a inclusão de monitoramento de compliance. O segundo passo é concordar com o escopo das atividades do SOC, como ter uma restrição apenas para redes ou incluir comportamentos suspeitos de usuários. Com uma política efetiva, você pode delegar responsabilidades claras para certas ações com o SOC. O benefício principal para essa atividade é manter o envolvimento em serviços relativos ao SOC, para quem precisar trabalhar junto e cumprir propósitos compartilhados. Isso será muito mais fácil se estiverem direcionados pelo senso de responsabilidade apresentado por um gerente executivo para seus stakeholders.
2 .Desempenhe análise de riscos
O risco é o gerador principal de atividades para segurança e o SOC deve responder aos riscos organizacionais emergentes. Com uma análise criteriosa, pode-se categorizar como críticas ações que foram consideradas insignificantes anteriormente, ou vice e versa. Por exemplo, talvez você estivesse focado no monitoramento de rede em detrimento das atualizações de antivírus. Como resultado, sua organização está mais vulnerável, pois não atualizou a assinatura do antivírus. Conduzir análises de riscos permitirá sinalizar qualquer ameaça e tomar ações corretivas. O resultado da avaliação de risco deve ser usado como item fundamental para a política de segurança e deve ser reavaliado periodicamente. Isso é crucial para que o SOC encontre a estratégia correta e necessária para os negócios e é normalmente apropriado revisar a avaliação de risco anualmente, ou a cada dois anos.
3. Defina procedimentos apropriados
Seus procedimentos vão informar as ações que devem ser tomadas em caso de qualquer ataque. Esse é o primeiro passo que deve ser considerado quando a equipe de TI começar a implementar os procedimentos no SOC. É preciso fazer tudo de maneira clara sobre as melhores práticas e procedimentos do SOC. Se precisar reunir os procedimentos atuais, as mudanças devem estar de acordo com os vários departamentos envolvidos.
Além disso, um estabelecimento de procedimentos claros deve garantir que todas as partes saibam como executar suas responsabilidades apropriadamente. Isso é benéfico se puder definir as instruções de como empregar as ferramentas. Pequenos, mas significantes detalhes sobre operações de negócios, devem ser estabelecidos claramente e utilizados como referência em qualquer incidente.
Claro, haverá muitos casos que não podem ser incluídos por meio de um procedimento escrito. O analista pode experimentar uma ameaça de ataque na qual eles apareçam com várias opções de endereço da ameaça. Seus procedimentos, neste caso, devem incorporar aquelas circunstâncias e opções. Esses procedimentos são requisitados para ajudar a determinar a correta decisão em resposta à um ataque recebido.
4. Foco em equipe
Sua equipe no SOC está em posição estratégica para prevenir qualquer ameaça futura direcionada a seus negócios. É vital a contratação de uma equipe experiente, como incident responders, analistas de IDS, ou analistas de investigação com experiência em redes. Não é simples encontrar profissionais capacitados e disponíveis no mercado, além do que eles podem ser caros para contratar. De qualquer forma, eles serão um bom investimento para sua companhia, pois essa é a maior dificuldade ao fornecer treinamento para desenvolver a função. Estes profissionais são pessoas valorizadas capazes de procurar por pequenos detalhes em um oceano de dados e o resultado é que você vai ter o que você pagou. É um risco deixar um incidente de segurança passar despercebido devido a um ataque não identificado. Isso é bem comum na esfera de reação de incidentes.
5. Considere a dinâmica organizacional
Quando você começar a implantar o SOC, é preciso definir a dinâmica organizacional. Esse estágio vai ajudar a descrever a regra de cada nível do processo de gerenciamento de ameaças. Existem três níveis que se devem considerar:
§ Nível 0: serviços essenciais no qual o procedimento operacional para o centro de segurança comanda o monitoramento, prevenção e surgimento de ataques graves. O nível 0 é responsável por executar as respostas ao incidente, completar o monitoramento e providenciar as etapas e atualizações apropriadas para as necessidades de negócios da organização;
§ Nível 1: baseado no público interno. Esse nível incorpora outros departamentos além da organização, que recebe a proteção de segurança. Proteção e monitoramento nível 1 são partes da sua descrição diária;
§ Nível 2: público externo ou parceiros de negócios. Quando se está fazendo negócio sob uma rede compartilhada com sua empresa, é preciso proteger eles com seu procedimento de segurança operacional e monitorando todos diretamente.
§ Esses três níveis possuem planos diferentes de segurança, abrangendo do Nível 0, que precisa oferecer proteção otimizada e controle sob qualquer ameaça, até o Nível 2, onde o SOC fornece apenas a cobertura mínima. Se possível, os fatores determinantes no Nível 0 devem ser mantidos o mais perto do monitoramento do centro de operações de segurança.
6. Integre o SOC dentro da organização
É necessário integrar o SOC dentro do fluxo de informação organizacional e das atividades. Se há qualquer informação de valor que possa otimizar o trabalho do SOC, como prevenir uma nova técnica de ataque, essa integração irá trazer muitos benefícios. Isso também permite que o gerenciamento de operações de segurança obtenha informação com a organização que pode ser relevante e aplicável para detectar ameaças de incidentes. A completa integração do SOC na organização vai permitir que ele forneça respostas rápidas para qualquer ataque que venha a ocorrer.
Felipe Stutz
Diretor de Desenvolvimento de negócios e soluções de conectividade para América Latina da Orange Business Services
Desde 2011 ele é o responsável pelo desenvolvimento de negócios de soluções de conectividade na América Latina, conduzindo a estratégia de crescimento de negócio para alcançar metas de lucratividade, alinhando o planejamento da estratégia regional com a estratégia corporativa de serviços de rede na região.
Nesse papel, o diretor cuida do engajamento de equipes multifuncionais globalmente (vendas, sourcing, gestão de produtos, engenharia e operações) para desenvolver novas oportunidades de negócio. Felipe também fornece suporte às atividades de vendas, conduzindo a inovação e criação de valor para os clientes ao trazer valor intelectual e abordagem consultiva.
Nenhum comentário