Hoje eu volto a ativa com o meu (novo) velho blog. E para reinaugurar em grande estilo, nada como falar sobre um dos assuntos que mais me atraem profissionalmente: SOC, ou Security Operations Center.

Vou começar de leve, com o primeiro de uma série de artigos que pretendo escrever sobre o assunto. Ou talvez nem tão de leve assim, pois o tema é delicado: Como criar um tão aclamado Centro de Operações de Segurança?

Afinal, o que é um SOC?

Ainda me lembro do tempo em que, prestando serviço a uma das operadoras mais bem preparadas tecnologicamente no país, fui incumbido da tarefa de operar e administrar uma ferramenta de SIEM em seu SOC. Naquela época (por volta de 2006), SOC no Brasil era vanguarda. Acho que nem mesmo a Wikipedia tinha definição para o termo. Felizmente hoje existe, então posso copiar a definição do termo e colar aqui:

Um Security Operations Center (SOC), em português Centro de Operações de Segurança, é um termo genérico que descreve parte ou a totalidade de uma plataforma cujo objetivo é prestar serviços de detecção e reação a incidentes de segurança.

Duas observações importantes nesta definição:

1. …uma plataforma… : plataforma é até diminutivo demais para algo como um SOC. Eu daria status de entidade, área ou unidade organizacional, mesmo que seja parte de um departamento tal como uma Gerência de Segurança da Informação ou um Centro de Resposta a Incidentes (CSIRT), ou até mesmo parte de uma empresa de MSS.
2. ...detecção e reação a incidentes de segurança: sim, um SOC tem que ser capaz de fazer detecção e reação, mas não só isso. E não somente de incidentes, que normalmente são “coisas ruims”. E não necessariamente uma reação completa, que pode ser parte das atribuições de outro grupo, como um CSIRT, uma outra empresa ou o próprio cliente (no sentido geral da palavra).

Redefinindo o termo, no meu entendimento:

SOC é uma área ou unidade organizacional que tem como objetivo prestar serviços de monitoração de segurança, detectando, analisando e respondendo a ocorrências que possam impactar o nível de segurança de uma organização.

Com essa definição eu reforço não apenas o observado acima, mas também:

• a importância do conceito de prestação de serviços, no sentido geral. Desse modo, clientes não são apenas aqueles que pagam todo mês, mas também outras unidades organizacionais interessadas, dentro da mesma organização.
• a importância da idéia de monitoração inerente ao SOC, assim como num NOC (Network OC) ou até mesmo numa central de vigilância patrimonial, que detecta, analisa e responde a alarmes, sem necessariamente reagir efetivamente a eles (o operador da central não vai até o local para prender alguém, mas pode chamar a polícia).
• a importância de se detectar (descobrir), analisar (entender) e responder (reagir de alguma forma a um estímulo).

O mais importante a se observar vem do objetivo principal de um SOC: a necessidade de trabalhar para a manutenção do nível de segurança de uma organização.

O que um SOC não é?

Definitivamente, um SOC não é:

• a mesma coisa que um MSSP (Managed Security Services Provider). Um SOC pode ser parte de um MSSP ou uma das unidades de um provedor de seviços gerenciados.
• uma área que atende chamados de usuários, aplica regras de firewall ou atualiza IDSs. Isso é parte dos possíveis serviços de um MSSP.
• a mesma coisa que um CSIRT. Pode ser parte de um CSIRT, mas prefiro dizer que são unidades separadas também (mais sobre isso outro dia…).

E definitivamente mesmo, SOC não é um software (nem mesmo um SIEM, por melhor que seja), um equipamento ou aquela sala bonita com um telão de 60 polegadas e um monte de gente assistindo. SOC é muito mais que isso…

A velha tríade: pessoas, processos e tecnologia

Pessoas, processos e tecnologia são e vão continuar sendo por todo tempo a base para qualquer projeto, área ou organização de alguma forma relacionada com TI, e ainda mais se o assunto for SegInfo. Para a criação de um SOC, essas três “disciplinas” precisam ser bem planejadas, nessa exata ordem.

Em alto nível, uma breve apresentação de algo a considerar para a criação de um SOC:

• Pessoas: os membros do SOC, em alto nível. Quem são os stakeholders? Qual departamento será hierarquicamente responsável pelo SOC? Quais outras áreas serão envolvidas? Quais são os papéis de cada um? Estão realmente preparados e comprometidos com o projeto? Quais são os clientes do SOC? Quem irá liderar? Quem irá executar?
• Processos: nada mais são que a cadeia de ações executadas com base em algum insumo e que resultam num produto. Para listar os processos, algumas questões preparatórias podem ser feitas: Qual será a missão do SOC? Quais são os objetivos? Quais serão os insumos recebidos e os produtos gerados para atingir estes objetivos? Tendo respondido a isso, partir para a etapa de definição de processos propriamente dita, iniciando em alto nível para identificar passos chave dos processos, fim-a-fim. Algumas questões que podem ajudar para o refinamento dos processos são: Quais informações básicas serão tratadas? Quais relacionamentos (interação entre áreas, solicitações, acordo geral de nível de serviço) serão necessários? Quais indicadores de qualidade deverão ser sempre acompanhados? Outro ponto importante: a atenção deve ser especial nas demandas com maior probabilidade de ocorrer.
• Tecnologia: tendo definido pessoas e processos, a tecnologia será apenas o componente empregado para que as pessoas executem os processos com a eficiência e eficácia esperada, definida anteriomente (indicadores de qualidade). A tecnologia é que depende dos processos, e não o contrário. Com base nos processos, realizar o levantamento das tecnologias (software, hardware, etc.) aplicáveis e necessários.

No próximo artigo…

Em breve, num próximo artigo, vou entrar em detalhes do planejamento necessário para criação do SOC. Até lá!