Cybersecurity Team Roles and Responsibilities

Um Centro de Operações de Segurança, ou SOC, é uma equipe que está constantemente eliminando as infinitas ameaças cibernéticas potenciais que estão sendo lançadas contra uma organização. Compreender a estrutura e os processos dentro de uma equipe de segurança cibernética permite um gerenciamento de segurança muito mais eficaz, mas nem sempre segue uma hierarquia rígida.

Relatório SOC da IDC SOC Demo

Cybersecurity Team Roles and Responsibilities

A introdução à estrutura de segurança cibernética do NIST

A Estrutura de Segurança Cibernética do NIST estabelece um conjunto robusto de padrões e processos que abordam adequadamente o risco cibernético. Sua flexibilidade significa que, embora não haja uma fórmula explícita para a estrutura de uma equipe de segurança cibernética, todo gerenciamento de ameaças precisa cobrir esses cinco pilares principais:

  1. Identificar: concentra-se em identificar os sistemas críticos de uma organização e os riscos de segurança que eles enfrentam. Isso inclui entender ativos, sistemas, dados e o ambiente geral de negócios.
  2. Proteger: envolve determinar o impacto de possíveis violações de segurança e desenvolver estratégias para mitigar esses riscos, garantindo que medidas de segurança estejam em vigor para proteger serviços e dados essenciais.
  3. Detectar: concentra-se em permitir a detecção oportuna de incidentes de segurança cibernética. Isso significa ter sistemas e processos implementados para monitorar continuamente possíveis violações ou atividades suspeitas.
  4. Responder: enfatiza a preparação para uma resposta rápida e eficaz aos incidentes de segurança cibernética, limitando a propagação e o impacto da violação.
  5. Recuperação: se concentra em permitir que a organização retorne às operações normais o mais rápido possível após um incidente.

A composição de uma equipe de segurança cibernética: principais funções e responsabilidades

Para alcançar a Estrutura de Cibersegurança do NIST, muitos SoCs são segmentados em equipes que melhor aproveitam a experiência e o campo de experiência de cada funcionário, como as seguintes:

#1: Analistas de segurança

Os analistas de segurança cibernética são membros da equipe de segurança que, na maioria das vezes, têm o nariz firmemente pressionado para sentir o cheiro das ameaças à segurança em uma rede.

Mas, dada a quantidade de dados de rede, a variedade de sistemas que precisam ser protegidos e a natureza variável dos níveis de alerta, é comum que a função de analista de segurança seja dividida em três ou quatro tipos principais.

Nível 1: Gerenciador de alertas

Geralmente, essa é a função menos experiente, mas igualmente crítica.

Os analistas de segurança de nível 1 são responsáveis por monitorar as ferramentas de segurança em busca de alertas e configurações incorretas. Quando novos alertas chegam, eles são os primeiros a lidar com eles, pois escolhem o que é priorizado e como eles são triados.

Nível 2: Respondente

Esse nível recebe os incidentes identificados pelos analistas de nível 1 e inicia uma análise mais profunda sobre sua origem e implicações mais amplas. Devido à grande variedade de alertas exclusivos de qualquer ambiente, as especificidades do dia a dia podem mudar drasticamente. Esses investigadores aprofundados são hábeis em análises complexas e podem passar mais tempo cruzando os alertas que surgem.

Eles formam a maior parte dos recursos de resposta a incidentes de uma empresa e, graças à sua experiência na posição de nível 1, geralmente estão muito familiarizados com os processos normais da rede de uma empresa.

Essa capacidade de entender de forma rápida e concisa as complexidades de um possível incidente significa que os analistas de nível 2 também estão bem posicionados para responder: eles ajudam a criar uma estratégia de segurança para contenção, remediação e recuperação.

Nível 3: Especialista de campo ou caçador de ameaças

Apoiando as investigações abrangentes de incidentes de analistas de nível 2 estão seus colegas de nível 3: são analistas altamente experientes que se especializaram em determinados campos.

Eles podem ser:

  • Especialistas em infraestrutura
  • Especialistas em técnicas de segurança cibernética,

Eles geralmente são encarregados dos elementos mais proativos da segurança cibernética, como a caça a ameaças. Quando um teste de penetração está em andamento, são os níveis 1 e 2 que atuam como a equipe azul e os níveis 3 que geralmente agem como falsos atacantes, permitindo que toda a postura de segurança da organização se beneficie de sua experiência avançada.

Não importa o nível, a maioria dos turnos dos analistas começa da mesma forma: 

A primeira tarefa disponível é avaliar as informações coletadas no turno anterior, especialmente em um SOC 24 horas por dia, 7 dias por semana, e começar com um resumo sobre incidentes ou eventos em andamento que precisam de monitoramento adicional.

Analista de nível 4: gerente de SOC

O gerente do SOC é responsável pelos analistas; como eles são essencialmente a última evolução da carreira tradicional de analista, a função às vezes é chamada de analista de nível 4. Eles dirigem as operações do SOC e são responsáveis por sincronizar os analistas com DevOps e estratégias mais amplas por meio de políticas de segurança.

É assim que eles constroem e ajudam a executar a estratégia de segurança cibernética.

As responsabilidades diárias de um gerente de SOC giram em torno de apoiar a equipe e garantir que tudo corra bem, incluindo:

  • Fornecendo sessões de treinamento
  • Contratação de novos membros
  • Contratação de serviços e ferramentas externas de que a equipe precisa

#2: Engenheiros de segurança

Embora nem sempre sejam membros integrantes do SOC, os engenheiros de segurança merecem uma menção devido ao seu papel no gerenciamento do risco da organização. Eles geralmente têm uma vasta experiência em software ou hardware e geralmente são responsáveis por projetar sistemas de informação seguros.

Isso geralmente significa que eles têm um pé no SOC e outro na equipe. DevOps equipe; eles também ganham a responsabilidade pela documentação dos protocolos de segurança do aplicativo.

#3: Diretor de Resposta a Incidentes

O Diretor de Resposta a Incidentes se encarrega de todo o processo de resposta a incidentes — ele coordena e dirige todas as facetas do esforço de resposta.

O diretor de RI assume total responsabilidade por todas as funções dentro da equipe de resposta e tem o poder de criar e atribuir funções adicionais conforme necessário para atender às demandas de um incidente, como designar vários analistas para lidar com fluxos de informações específicos.

Essa abordagem dinâmica permite que eles adaptem a estrutura da equipe em tempo real.

#4: CISO

Um passo acima do gerente do SOC está o Diretor de Segurança da Informação (CISO). Sem as distrações de gerenciar os analistas individuais, eles podem se concentrar quase exclusivamente nas decisões estratégicas que afastam a organização das ameaças de todo o setor.

Reportando-se ao CEO, eles equilibram as demandas de segurança com objetivos e orçamentos comerciais mais amplos.

Não tem uma equipe interna completa? A Check Point pode ajudar

Quando você conta com uma equipe enxuta, ou mesmo totalmente terceirizada, pode ser difícil se sentir totalmente sincronizado com sua postura de segurança. Com um modelo de segurança nativo da nuvem, o Check Point oferece uma visão totalmente centralizada de cada componente da infraestrutura do aplicativo.

Em todo o tráfego, configurações e componentes, identifique seus ativos e proteja-os com recursos avançados, como macro e microssegmentação, firewall de última geração, proteção API e inspeção SSL\TLS. Essa visibilidade de última geração forma a base do serviço Check Point Infinity - se o senhor precisar de um grau maior de proteção prática, explore os serviços gerenciados abrangentes que a utilizam de forma adequada. Isso inclui:

  • Monitoramento completo de pilha
  • Ajustes rígidos de políticas
  • Gerenciamento de incidentes

Tudo isso se integra perfeitamente às suas operações preexistentes de TI e InfoSec. Para saber mais, explore a gama completa de serviços Check Point Infinity aqui.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK