Como afinal, é trabalhar em um SOC(Security Operation Center)?

Muitos especialistas explicam tudo sobre como um SOC(Security Operation Center) funciona, quais tipos de SOC existem hoje mundo afora, o quão importante para a empresa é a atuação de um SOC, e até onde pode chegar a resposta de um SOC, mas….

Esse artigo tem a intenção de mostrar aos profissionais que estão a pouco tempo na área, assim como os que pretendem entrar, mas não se limita a estes muito pelo contrário, o quão gratificante pode ser trabalhar em um time de SOC…ou não.

É bem verdade que a área de segurança cibernética, segurança da informação e afins teve um “boom” de cerca de 5 anos para cá mais fortemente. Este crescimento trouxe em paralelo a necessidade de um profissional mais completo, com uma formação melhorada e não tão específica, mas ainda assim dentro do espectro(grande espectro) da segurança da informação, incluindo a segurança cibernética que deve estar implícita no contexto maior.

Um time de SOC, tem uma grande gama de atividades, de processos e treinamentos, assim como ferramentas e pessoas. Diversos trabalhos e atividades são segmentadas por especialidades e/ou níveis de conhecimento, que muitos nomeiam como N1(Nível 1), N2(Nível 2) e N3(Nível 3), onde o 1 significa o nível iniciante júnior e o 3 o especialista de uma ou mais ferramentas e/ou processos, no entanto o que caracteriza as pessoas em seus respectivos níveis de atuação é a sua experiência, maturidade profissional e conhecimento embarcado no seu dia a dia. Engana-se quem acha(e muitos acham) que senioridade se alcança com idade cronológica.

Em um SOC trabalha-se “full-time” com uma carga enorme de pressão, no entanto a pressão não é igual de alguma área de tecnologia que tem a “vantagem” de ser apenas reativo, ou seja, intervir somente quando algo acontece(mas não somente). A pressão exercida para um time de SOC carrega toda a responsabilidade de identificar, avaliar, previnir, mitigar e responder às anomalias no ambiente computacional da empresa, visando o bem maior que é manter a segurança das informações e todas suas vertentes.

Invariavelmente um SOC atua 24 horas por dia, 365 dias por ano e 7 dias por semana, ou seja…não “fecha”, afinal incidentes e acidentes não tem dia ou hora para ocorrer(Não vamos entrar em conceitos neste momento). Desta forma, ser um integrante do SOC, gera uma carga, por vezes, muito pesada, com total atenção, grande envolvimento, comprometimento e alta capacidade técnica de atuação, com margens de erros realmente muito baixas, pois trata-se invariavelmente de ambientes/informações críticas.

É difícil formar um bom time para um SOC, isso depende de vários fatores, começando por um Staff com larga experiência na atuação de um SOC.

Trazendo o post para o mercado brasileiro, a importância de um bom gerente no SOC é fator determinante para um time de alta capacidade de resolução técnica, manter o time que é exaustivamente cobrado sempre motivado, e claro, entender de todos os processos necessários para um SOC atuar. Um bom gerente deve ter em mente oque e como o time deve atuar, tendo como premissas melhores práticas do mercado, mas nada substitui a capacidade de liderança do gestor diante sua equipe.

Devemos lembrar que sem pessoas, não adianta processos “by the book”, e pessoas são movidas por desafios, por reconhecimento e por benefícios. Sempre!

Comumente(mas não somente), um SOC rege-se operacionalmente conforme a ilustração abaixo, onde a base da pirâmide tem no modelo mostrado um número maior de N1, suportado diretamente pelos níveis subsequentes N2 e N3. Esse suporte existe para criação de processos visando facilitar o dia a dia da operação junto ao 1o nível de atendimento, e atuando como equipe em soluções mais complexas e/ou que demandem estudo para uma melhor atuação.

Paralelo a esta atuação, todos na equipe tem(e devem ter papéis definidos) em suas respectivas áreas de atuação, como monitoração, escalonamento de recursos, atendimento de chamados, especialidades em ferramentas diversas(Firewall, Anti-Spam, SIEM, Endpoint, Criptografia, etc),análise de malwares, resposta a incidentes, entre tantas outra atividades. Os papéis devem ser direcionados e entendidos por todos, e novamente entra a grande importância da gestão para saber diversificar esta atuação e identificar os melhores recursos para as melhores tratativas.

Hoje, a formação de um integrante do time do SOC deve ser mais que puramente técnica, deve-se ter uma visão periférica da área de cyber segurança, processos de segurança, de negócios, e se conseguir entender o negócio do cliente, entramos no mundo ideal.

A cobrança sempre é forte, horários são imprevisíveis por vezes, o aprimoramento técnico de cada um da equipe deve ser constante, a rotatividade(principalmente na base da pirâmide) é alta, gerando sempre desconforto na equipe, mas acredite que se é realmente algo que você se propos a fazer bem feito, sempre vai valer a pena, pois a dinâmica é de um SOC não para, o SOC é um organismo vivo e intenso.

Você ao entrar no time de um SOC começa a entender que os clientes cobram ações, que seus superiores cobram resultados, que você se cobrará muito para ser cada vez melhor. Você perceberá que sempre tem alguém que lhe servirá de referência, que pode ser seu novo colega do lado, seu gestor(sempre muito bom ter o gestor como referência, se possível) ou mesmo alguém da equipe acima de você, isso não importa, importa que ao ter uma referência, o sinal é bom, pois você inconscientemente almeja crescer e melhorar.

Talvez você pare e pense, que posso ter dito coisas que mais desestimulam você ser do time do SOC do que falar que pode ganhar muito bem, que você poderá ser uma referência no mercado de SOC, resposta a incidentes e correlatos, que você pode ser muito bom e renomado.

Mas e se nada disso acontecer por razões variadas? Cada um tem a careira que se preparou a ter.

Pode acontecer? Até pode, mas você deve saber que a probabilidade é extremamente tendendo a zero.

…E quanto a trabalhar no SOC ser difícil como no título acima?

Bem, foi um esforço falar das partes reais e verdadeiras de um SOC(e tem muito mais), pois tornou-se algo tão presente no meu dia a dia, aprendi tanto com SOC, com essa urgência constante, com as cobranças de todos os lados, que falar somente a parte boa seria muito fácil, mas não ajudaria você tomar sua decisão, ou não teríamos uma base de comparação.

Um SOC é um ambiente em constante movimento, em ebulição, em transformação. E as pessoas que fazem parte desse universo, devem querer e conseguir acompanhar toda essa “euforia”, pois o resultado que aparece é diretamente proporcional a tudo que ali dentro é feito e vivido.

Marco Correia – CEO MOE Cybersecurity

Categories:

No responses yet

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Reporte um incidente de segurança

Privacy Preference Center

Necessary

Advertising

Analytics

Other