{"id":23935,"date":"2025-07-01T15:43:12","date_gmt":"2025-07-01T18:43:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23935"},"modified":"2025-07-01T15:43:12","modified_gmt":"2025-07-01T18:43:12","slug":"open-source-siem-hidden-costs","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/open-source-siem-hidden-costs\/23935\/","title":{"rendered":"O barato que sai caro: os riscos de usar um SIEM gratuito na sua empresa"},"content":{"rendered":"

De acordo com o relat\u00f3rio \u201cState of Open Source\u201d da OpenLogic, 96% das organiza\u00e7\u00f5es que participaram da pesquisa utilizam solu\u00e7\u00f5es de c\u00f3digo aberto (OSS). Essas solu\u00e7\u00f5es podem ser encontradas em todos os segmentos do mercado de TI, incluindo as ferramentas de seguran\u00e7a da informa\u00e7\u00e3o. E elas s\u00e3o recomendadas com frequ\u00eancia para o desenvolvimento de sistemas SIEM.<\/p>\n

\u00c0 primeira vista, um OSS parece ser uma \u00f3tima escolha. A fun\u00e7\u00e3o principal de um sistema SIEM \u00e9 a coleta e a correla\u00e7\u00e3o sistem\u00e1ticas de telemetria, que podem ser configuradas utilizando ferramentas conhecidas de armazenamento e processamento de dados. Basta reunir todos os seus dados com o Logstash, conectar o Elasticsearch<\/a>, criar as visualiza\u00e7\u00f5es necess\u00e1rias no Kibana<\/a> e pronto! Uma pesquisa r\u00e1pida \u00e9 at\u00e9 mesmo capaz de fornecer solu\u00e7\u00f5es SIEM de c\u00f3digo aberto prontas para uso (geralmente criadas nos mesmos componentes). Com rela\u00e7\u00e3o aos SIEMs, \u00e9 sempre fundamental adaptar a coleta e o processamento de dados \u00e0s necessidades espec\u00edficas da sua organiza\u00e7\u00e3o, e um sistema OSS personalizado oferece possibilidades infinitas para isso. Al\u00e9m disso, a licen\u00e7a \u00e9 gratuita. No entanto, o sucesso dessa solu\u00e7\u00e3o depende da equipe de desenvolvimento, das especificidades da organiza\u00e7\u00e3o, de quanto tempo a organiza\u00e7\u00e3o est\u00e1 disposta a esperar pelos resultados e se ela est\u00e1 disposta a investir em suporte cont\u00ednuo.<\/p>\n

Tempo \u00e9 dinheiro<\/h2>\n

Uma quest\u00e3o chave (cuja import\u00e2ncia \u00e9 constantemente subestimada) \u00e9 quanto tempo levar\u00e1 para que o SIEM da sua empresa n\u00e3o apenas entre em opera\u00e7\u00e3o, mas tamb\u00e9m comece de fato a entregar valor real. Dados<\/a> da Gartner mostram que mesmo um SIEM completo e pronto para uso leva, em m\u00e9dia, seis meses para ser totalmente implementado, com uma a cada dez empresas levando at\u00e9 um ano no processo. E se voc\u00ea estiver construindo seu pr\u00f3prio SIEM ou adaptando uma OSS, esse per\u00edodo de tempo pode duplicar, ou at\u00e9 mesmo triplicar. Ao fazer o or\u00e7amento, multiplique esse tempo pelo valor da hora de trabalho dos desenvolvedores. E \u00e9 dif\u00edcil imaginar um SIEM eficiente sendo gerenciado por um \u00fanico indiv\u00edduo talentoso, sua empresa vai precisar de uma equipe inteira para isso.<\/p>\n

Uma armadilha psicol\u00f3gica comum \u00e9 se iludir com a rapidez com que um prot\u00f3tipo \u00e9 montado. Uma solu\u00e7\u00e3o OSS pronta para uso pode ser implementada em um ambiente de teste em apenas alguns dias, mas pode levar muitos meses, at\u00e9 mesmo anos, para que ela produza resultados de qualidade.<\/p>\n

Escassez de habilidades<\/h2>\n

Um SIEM precisa coletar, indexar e analisar milhares de eventos por segundo. Projetar um sistema que consiga lidar com um volume alto de dados, ou mesmo adaptar um sistema que j\u00e1 existe, requer habilidades especializadas e sob demanda. Al\u00e9m de desenvolvedores, o projeto precisaria de administradores de TI super qualificados, engenheiros de DevOps, analistas e at\u00e9 mesmo designers de pain\u00e9is.<\/p>\n

Outro obst\u00e1culo que os desenvolvedores de SIEM precisam superar \u00e9 a falta de experi\u00eancia pr\u00e1tica necess\u00e1ria para escrever regras de normaliza\u00e7\u00e3o eficazes, l\u00f3gica de correla\u00e7\u00e3o e outros conte\u00fados que j\u00e1 v\u00eam prontos para uso nas solu\u00e7\u00f5es SIEM comerciais<\/a>. \u00c9 claro que a solu\u00e7\u00e3o pronta para uso tamb\u00e9m vai precisar de ajustes significativos, mas adapt\u00e1-la aos padr\u00f5es da sua organiza\u00e7\u00e3o \u00e9 mais r\u00e1pido e mais f\u00e1cil.<\/p>\n

Conformidade com os regulamentos<\/h2>\n

Para muitas empresas, ter um sistema SIEM \u00e9 um requisito regulat\u00f3rio. Aqueles que criam um SIEM ou implementam uma solu\u00e7\u00e3o OSS precisam fazer um esfor\u00e7o consider\u00e1vel para garantir a conformidade. \u00c9 necess\u00e1rio mapear os recursos do SIEM por conta pr\u00f3pria, ao contr\u00e1rio do que acontece nos sistemas comerciais, que geralmente j\u00e1 v\u00eam com um processo de certifica\u00e7\u00e3o integrado e todas as ferramentas necess\u00e1rias para cumprir com os requisitos dos regulamentos.<\/p>\n

\u00c0s vezes, a empresa pode querer implementar um SIEM apenas para \u201ccompletar mais uma tarefa da lista\u201d, procurando minimizar os custos. Mas desde a cria\u00e7\u00e3o do PCI DSS (Padr\u00e3o de Seguran\u00e7a de Dados da Ind\u00fastria de Pagamento com Cart\u00e3o), o Regulamento Geral de Prote\u00e7\u00e3o de Dados (GDPR) e outros regulamentos locais passaram a se concentrar na abrang\u00eancia e profundidade reais da implementa\u00e7\u00e3o de um SIEM (n\u00e3o apenas na sua mera exist\u00eancia), pois um sistema SIEM de token implementado apenas para exibi\u00e7\u00e3o n\u00e3o passaria em nenhuma auditoria.<\/p>\n

A conformidade com os regulamentos n\u00e3o \u00e9 algo que deve ser considerado apenas no momento da implementa\u00e7\u00e3o de uma solu\u00e7\u00e3o. Se durante a manuten\u00e7\u00e3o e opera\u00e7\u00e3o feitas pela sua equipe, qualquer componente da solu\u00e7\u00e3o parar de receber atualiza\u00e7\u00f5es e chegar ao fim da vida \u00fatil, suas chances de aprova\u00e7\u00e3o em uma auditoria de seguran\u00e7a v\u00e3o diminuir drasticamente<\/a>.<\/p>\n

Depend\u00eancia de fornecedores versus depend\u00eancia de funcion\u00e1rios<\/h2>\n

O segundo motivo mais relevante para as organiza\u00e7\u00f5es optarem por uma solu\u00e7\u00e3o de c\u00f3digo aberto sempre foi a flexibilidade em adapt\u00e1-la \u00e0s suas necessidades espec\u00edficas, al\u00e9m de evitar depender de um fornecedor de software para criar o roteiro de desenvolvimento e decidir sobre o licenciamento.<\/p>\n

Ambos s\u00e3o argumentos convincentes, e em organiza\u00e7\u00f5es grandes, podem at\u00e9 mesmo superar outros fatores. No entanto, \u00e9 crucial fazer essa escolha com uma compreens\u00e3o clara de seus pr\u00f3s e contras:<\/p>\n