Agradeço o comentário.

Sobre o SOC, achei bem bacana a ideia de ter uma equipe focada em prevenir, detectar e responder a incidentes. Afinal, não basta só se prevenir, tem que estar sempre de olho no que tá acontecendo, mas em que ponto os custos dessa equipe valem à pena? Praticamente nunca vi uma equipe focada nisso em empresas de pequeno porte.

Se a empresa não tem porte para montar um SOC bem estruturado ela pode começar aos poucos e ir evoluindo ao longo dos anos. Além da opção de contratar um SOC terceirizado, que é mais barato do que montar o próprio time.

Mas por entender que o custo para isso é alto (mesmo terceirizado) que eu coloquei o SOC por último. Pois em uma empresa pequena:

• AppSec pode ser feito por uma pessoa.
• DevSecOps também pode ser feito por uma pessoa.
• Pentest você pode fazer só 1 vez por ano.
• O SSDLC pode ser feito pela pessoa de AppSec, não precisando pagar mais para isso.
• A conscientização de segurança também é esporádica, não precisa de um profissional fixo.

Ou seja, o mais caro eu deixei por último. Pense que não precisa fazer tudo de uma vez, vai por partes até chegar no SOC.

E conforme a empresa for crescendo ela vai melhorando a maturidade de segurança dela, contratando mais gente e estruturando melhor o time. E quando ela chegar na adolescência já vai ter pessoal de segurança suficiente para saberem como se guiar daí em diante, prontos para entrarem na fase adulta. 😃