Métricas de desempenho mal escolhidas podem tornar um centro de operações de segurança (SOC) completamente ineficaz, mesmo quando bem-intencionado, conforme artigo publicado pelo NCSC em 27 de abril de 2026. O órgão britânico de cibersegurança afirma que métricas comuns como “número de tickets processados” e “tempo para fechar um ticket” incentivam analistas a classificar alertas como falsos positivos rapidamente, em vez de investigá-los adequadamente.
Métricas que prejudicam o SOC
Dave Chismon, CTO de Arquitetura do NCSC, explica que quando métricas são usadas para quantificar desempenho, os funcionários são incentivados a “otimizar” essas métricas, o que pode levar a resultados perversos. No artigo, ele lista quatro métricas comuns que prejudicam a detecção de ameaças: número de tickets processados (incentiva o fechamento rápido como falso positivo); tempo para fechar um ticket (incentiva a mesma ação acelerada); número de regras de detecção (leva à “inflação de alertas” e regras ineficazes); e volume de logs coletados vs. valor dos logs coletados (logs mal configurados ou sem valor de detecção são coletados sem benefício real).
A única métrica que importa
Segundo o NCSC, a única métrica que demonstra a eficácia de um SOC é saber se ele detecta (e responde a) ataques em tempo hábil. Isso é comumente medido como “tempo para detectar” (TTD) e “tempo para responder” (TTR). No entanto, o artigo reconhece que isso pode ser difícil de medir, pois as defesas em profundidade de uma organização tornam raros os ataques bem-sucedidos. Para navegar nessa ambiguidade, o NCSC recomenda o uso de red teaming e purple teaming para simular ataques e testar a capacidade de detecção do SOC.
Atividades que melhoram a detecção
O artigo lista sete abordagens úteis para aumentar as chances de detecção: caça a ameaças baseada em hipóteses (“hypothesis-led threat hunting”, considerada a atividade mais eficaz); estabelecimento de limites rigorosos para taxas de falsos positivos; conscientização sobre ameaças (incluindo o uso do framework MITRE ATT&CK); desenvolvimento de expertise em ferramentas via treinamento e certificações; engajamento com a organização mais ampla para entender “o que é normal”; monitoramento da satisfação dos analistas; e cobertura relevante de logs (não apenas volume).
Aprendizado e Melhores Práticas (origem: IA)
CISOs e gestores de SOC devem substituir métricas baseadas em tickets por indicadores focados em detecção real (TTD/TTR). Implementar programas regulares de purple teaming para testar e aprimorar a capacidade de detecção sem os custos de covertibilidade do red team. Estabelecer revisões quinzenais ou mensais de regras que geram falsos positivos, reavaliando a lógica de detecção ou exceções. Priorizar a cobertura de logs com base nas necessidades de detecção (usando MITRE ATT&CK como referência), não apenas no volume coletado.
