Sabemos que os riscos cibernéticos nunca serão eliminados e que, por isso mesmo, as empresas precisam se manter vigilantes e ágeis para operar em um ambiente de ameaças crescentes. Existem algumas diferenças entre a compra de uma tecnologia de SIEM (Security Information and Event Management) e a contratação de um serviço de Monitoração de Segurança fornecido por um MSSP (Managed Security Service Provider). É fundamental estarmos atentos a alguns pontos que devem ser considerados antes de qualquer adoção pelas empresas.

Tecnologia: soluções de SIEM “on-premise” fornecem alguns dos mesmos benefícios que os serviços gerenciados de Monitoração de Segurança providos por um MSSP. Entretanto, deve-se ter em mente que um SIEM é tão bom quanto à inteligência que se coloca nele. Sem boas regras de correlação, nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa.

Alertas de segurança: ainda que o SIEM conte com boas regras de correlação, o serviço de Monitoração de Segurança vai bem além, fazendo a triagem dos falso-positivos contidos nos alertas gerados pelo SIEM e respondendo aos reais incidentes de segurança identificados após tal triagem.

Investimentos: um produto de SIEM geralmente é comprado como uma despesa de capital (CAPEX), enquanto um serviço é normalmente comprado como despesa operacional (OPEX). Com um MSSP, o custo anual de manutenção para os próximos anos é definido e conhecido; no caso do produto, pode sofrer ajustes anualmente.

Custos operacionais: os custos de pessoal e de treinamento iniciais serão maiores em qualquer compra de produtos comparado com a contratação de um serviço, já que precisa ser instalado e configurado, bem como será necessária a formação do pessoal interno e definição de um plano de como utilizar a ferramenta em operações de segurança na organização.

Ainda que uma empresa resolvesse fazer todo o investimento na aquisição da solução de SIEM, um importante valor que jamais seria alcançado é a ampla amostragem. Um MSSP atende a diversos clientes e processa diariamente bilhões de logs de segurança, estando, portanto, exposto a uma enorme amostragem de ameaças cibernéticas que são tratadas e se transformam em mais inteligência de segurança, gerando imediatamente mais valor para seus clientes.

Qualquer que seja a solução a ser adotada, as empresas devem estar atentas às armadilhas de uma compra mal planejada. A seleção de uma solução de SIEM deve ser baseada com uma compreensão clara do escopo, objetivos e casos de uso associados. Pode parecer algo óbvio, mas projetos de SIEM abandonados, por sua complexidade, não são incomuns.

O mesmo acontece para a adoção do serviço. É um erro supor que os MSSPs “farão qualquer coisa”. Definir as expectativas certas estabelece uma base para o sucesso do projeto com o provedor de segurança que vai cuidar da sua operação. No entanto, a organização é responsável por gerenciar o risco do negócio, já que é quem melhor entende seus próprios desafios. A gestão do risco não pode ser terceirizada.