Muito legal esse artigo sobre segurança nas empresas! É incrível como muitas vezes só percebemos a importância disso depois de passar por algum problema, né? Gostei da dica de começar a pensar na segurança desde o início, principalmente conscientizando os funcionários. Parece meio básico, mas é verdade, o pessoal é sempre o elo mais fraco.
Essa parada de "confiança zero" faz sentido, embora seja dificil não se entrosar e ter um certo laço com o time. É bom não confiar cegamente em ninguém, mesmo que seja alguém da equipe. E os exemplos práticos, como câmeras de segurança, ajudam a entender melhor a ideia.
Sobre o SOC, achei bem bacana a ideia de ter uma equipe focada em prevenir, detectar e responder a incidentes. Afinal, não basta só se prevenir, tem que estar sempre de olho no que tá acontecendo, mas em que ponto os custos dessa equipe valem à pena? Praticamente nunca vi uma equipe focada nisso em empresas de pequeno porte.
Enfim, achei o texto super útil, principalmente pra quem tá começando a pensar em segurança e não sabe por onde começar. Valeu pela dica!
Agradeço o comentário.
Sobre o SOC, achei bem bacana a ideia de ter uma equipe focada em prevenir, detectar e responder a incidentes. Afinal, não basta só se prevenir, tem que estar sempre de olho no que tá acontecendo, mas em que ponto os custos dessa equipe valem à pena? Praticamente nunca vi uma equipe focada nisso em empresas de pequeno porte.
Se a empresa não tem porte para montar um SOC bem estruturado ela pode começar aos poucos e ir evoluindo ao longo dos anos. Além da opção de contratar um SOC terceirizado, que é mais barato do que montar o próprio time.
Mas por entender que o custo para isso é alto (mesmo terceirizado) que eu coloquei o SOC por último. Pois em uma empresa pequena:
- AppSec pode ser feito por uma pessoa.
- DevSecOps também pode ser feito por uma pessoa.
- Pentest você pode fazer só 1 vez por ano.
- O SSDLC pode ser feito pela pessoa de AppSec, não precisando pagar mais para isso.
- A conscientização de segurança também é esporádica, não precisa de um profissional fixo.
Ou seja, o mais caro eu deixei por último. Pense que não precisa fazer tudo de uma vez, vai por partes até chegar no SOC.
E conforme a empresa for crescendo ela vai melhorando a maturidade de segurança dela, contratando mais gente e estruturando melhor o time. E quando ela chegar na adolescência já vai ter pessoal de segurança suficiente para saberem como se guiar daí em diante, prontos para entrarem na fase adulta. :smiley: