Executando verificação de segurança...
Em resposta a Como implantar segurança nas empresas
2
devs

Muito legal esse artigo sobre segurança nas empresas! É incrível como muitas vezes só percebemos a importância disso depois de passar por algum problema, né? Gostei da dica de começar a pensar na segurança desde o início, principalmente conscientizando os funcionários. Parece meio básico, mas é verdade, o pessoal é sempre o elo mais fraco.

Essa parada de "confiança zero" faz sentido, embora seja dificil não se entrosar e ter um certo laço com o time. É bom não confiar cegamente em ninguém, mesmo que seja alguém da equipe. E os exemplos práticos, como câmeras de segurança, ajudam a entender melhor a ideia.

Sobre o SOC, achei bem bacana a ideia de ter uma equipe focada em prevenir, detectar e responder a incidentes. Afinal, não basta só se prevenir, tem que estar sempre de olho no que tá acontecendo, mas em que ponto os custos dessa equipe valem à pena? Praticamente nunca vi uma equipe focada nisso em empresas de pequeno porte.

Enfim, achei o texto super útil, principalmente pra quem tá começando a pensar em segurança e não sabe por onde começar. Valeu pela dica!

Carregando publicação patrocinada...
2
Silva97

Agradeço o comentário.

Sobre o SOC, achei bem bacana a ideia de ter uma equipe focada em prevenir, detectar e responder a incidentes. Afinal, não basta só se prevenir, tem que estar sempre de olho no que tá acontecendo, mas em que ponto os custos dessa equipe valem à pena? Praticamente nunca vi uma equipe focada nisso em empresas de pequeno porte.

Se a empresa não tem porte para montar um SOC bem estruturado ela pode começar aos poucos e ir evoluindo ao longo dos anos. Além da opção de contratar um SOC terceirizado, que é mais barato do que montar o próprio time.

Mas por entender que o custo para isso é alto (mesmo terceirizado) que eu coloquei o SOC por último. Pois em uma empresa pequena:

  • AppSec pode ser feito por uma pessoa.
  • DevSecOps também pode ser feito por uma pessoa.
  • Pentest você pode fazer só 1 vez por ano.
  • O SSDLC pode ser feito pela pessoa de AppSec, não precisando pagar mais para isso.
  • A conscientização de segurança também é esporádica, não precisa de um profissional fixo.

Ou seja, o mais caro eu deixei por último. Pense que não precisa fazer tudo de uma vez, vai por partes até chegar no SOC.

E conforme a empresa for crescendo ela vai melhorando a maturidade de segurança dela, contratando mais gente e estruturando melhor o time. E quando ela chegar na adolescência já vai ter pessoal de segurança suficiente para saberem como se guiar daí em diante, prontos para entrarem na fase adulta. 😃