.gif)
*Por Fernando Karl, Diretor de Operações de Segurança da Service IT
Cibersegurança é um mercado complexo de compreender e longe de ser monótono. Com uma infinidade de fabricantes, soluções, conceitos emergentes e acrônimos, os desafios para os CISOs (Chief Information Security Officers) vão além do técnico, exigindo habilidades para traduzir o impacto dessas mudanças em linguagem acessível ao negócio. Essa diversidade e constante evolução tecnológica tornam o ambiente corporativo ainda mais fragmentado.
Nas organizações, é comum encontrar centenas de soluções de cibersegurança de diversos fabricantes, um cenário que se diferencia do mercado de infraestrutura e cloud, em que a consolidação de tecnologias acontece de maneira mais orgânica. Tentando endereçar essa situação, fabricantes de segurança têm adotado diferentes estratégias para se destacar, adquirindo ou integrando outras soluções para oferecer um portfólio mais robusto e coeso. Outros apostam na criação de plataformas abrangentes, capazes de unificar diversos aspectos em um único ambiente.
Além disso, há uma tendência crescente de incluir funcionalidades adicionais em ferramentas já existentes, o que muitas vezes gera sombreamento entre soluções, dificultando a escolha e a implementação por parte dos CISOs.
SIEM, SOC e a evolução das ferramentas
Nos últimos anos, o setor presenciou o surgimento de novas tecnologias, como o SOAR (Security Orchestration, Automation, and Response), que inicialmente prometia reduzir a necessidade de mão de obra e aumentar a eficiência, mas não atingiu plenamente essas expectativas. Então, o SOAR está se consolidando como um “módulo” do SIEM (Security Information and Event Management) ou sendo integrado como uma funcionalidade adicional. Já o XDR (Extended Detection and Response) surgiu para abordar uma lacuna crítica no setor: a falta de interoperabilidade entre ferramentas de segurança. No cenário anterior, era comum que diferentes soluções — sejam elas do mesmo fabricante ou de fornecedores complementares — operassem de forma isolada, sem integração eficaz, o que dificultava a correlação de eventos, aumentava a complexidade operacional e reduzia a eficiência na detecção e resposta a ameaças.
O mercado, inicialmente sem uma visão clara sobre onde começava e terminava um XDR, buscou estabelecer distinções em relação ao SIEM para evitar uma competição direta entre as tecnologias. Atualmente, está claro que casos de uso mais específicos, voltados exclusivamente para a detecção e resposta a incidentes com base na análise de ferramentas de segurança, podem ser atendidos de forma eficaz por um XDR. Por outro lado, as ferramentas de SIEM continuam a desempenhar um papel mais amplo, incorporando regras de negócio, registros de sistemas corporativos e outras complexidades essenciais para atender aos requisitos específicos das organizações.
Em 2024, houve mudanças estratégicas de fornecedores de soluções SIEM que levantaram dúvidas entre CISOs sobre o futuro dessa tecnologia. Com novas gerações de SIEM incorporando inteligência artificial (IA), o mercado parece mais focado em absorver o hype tecnológico dos modelos LLM (Large Language Models) do que em resolver problemas reais. Apesar do movimento, não vejo o mercado encerrando seu ciclo de evolução nesta “nova geração”, pois o próprio ambiente de monitoramento está sendo alterado e são cerca de 25 anos desde o primeiro Arcsight, plataforma de segurança cibernética amplamente utilizada para monitoramento no início do século.
O desafio de justificar a mudança
Diante dessas movimentações, sempre surge uma questão prática na cabeça do CISO: como justificar a migração para novos serviços de resposta a incidentes com SIEMs de nova geração? Inúmeras empresas no Brasil estão avaliando suas primeiras implementações de SOCs (Security Operations Center) com SIEMs da geração anterior, que já ultrapassam meia década de operação. Mudar agora demanda uma análise criteriosa, que passa por perguntas como: “Quais casos de uso devem ser priorizados no XDR ou no novo SIEM?”, “Como calcular o ROI de um serviço de monitoramento?” e “Quais serviços adicionais podem tornar a detecção mais eficiente dentro do SOC?”.
É fundamental considerar o impacto de tais mudanças no ciclo de vida da operação de segurança, incluindo a adaptação da equipe e a curva de aprendizado envolvida na adoção de novas ferramentas. A análise também precisa abordar a integração dessas novas soluções com o ecossistema existente de segurança e a maneira como elas podem melhorar a visibilidade e a resposta a incidentes, oferecendo não apenas mais eficiência, mas também um valor tangível e mensurável para a organização. A transição, portanto, exige não só uma justificativa técnica, mas também uma justificativa estratégica que alinhe as novas soluções com os objetivos de negócios e os requisitos de segurança a longo prazo.
Para auxiliar, modelos como o SOC-CMM e o SIM3 foram desenvolvidos para nortear as organizações na pergunta fundamental: "Onde estamos e para onde queremos ir?". Esses modelos fornecem uma estrutura para avaliar o nível de maturidade de um SOC e estabelecer um caminho claro para seu aprimoramento contínuo. Além disso, casos comparativos por segmento de mercado ou abordagem de riscos, como o CROC (Cyber Risk Optimization Comparison) e o ROC (Risk Operational Comparison), têm sido abordados por fabricantes como uma forma de tornar a conversa sobre cibersegurança mais acessível e estratégica. Esses comparativos permitem que as organizações entendam como estão posicionadas em relação a seus pares e como diferentes abordagens de risco podem ser aplicadas de forma mais eficaz, ajudando a traduzir as complexidades da cibersegurança em termos mais tangíveis e compreensíveis para os tomadores de decisão.
Com a necessidade identificada e a decisão tomada por mudanças, o melhor caminho é planejar a adoção de novas ferramentas e serviços de forma estratégica. Embora não exista uma "bala de prata", é possível controlar muitas variáveis para garantir que a transição seja bem-sucedida. O sucesso depende de elementos como planejamento do serviço, definição de objetivos e escolha das ferramentas certas, com adaptação de equipe e acompanhamento contínuo. Com essas variáveis sob controle, é possível maximizar as chances de sucesso na adoção de novas soluções, mesmo em um cenário de constante evolução tecnológica e crescente complexidade na cibersegurança. Esse ambiente exige não apenas ferramentas de última geração, mas também um planejamento estratégico, expectativas realistas e uma visão integrada do impacto no negócio. Assim, é possível alinhar tecnologia e serviços para superar os desafios e aproveitar as oportunidades em um mercado tão dinâmico quanto essencial.
