Releases

Por Felipe Guimarães, Ciso da Solo Network e Head da Unidade de Negócios Solo Iron 

Quase 90% dos centros de operação de segurança estão sobrecarregados por filas de alertas acumulados e falsos positivos. Enquanto isso, 80% dos analistas reportam sentir-se consistentemente atrasados em relação ao volume de trabalho. A pesquisa SANS de Detecção e Resposta de 2025 corroborou o quadro: 73% das equipes de segurança apontam falsos positivos como o principal desafio de detecção, e 66% das equipes não conseguem acompanhar o ritmo dos alertas recebidos.  

O modelo de SOC que prevaleceu nas últimas duas décadas, centrado em analistas humanos que revisam milhares de notificações por dia, triando manualmente cada uma delas, chegou a um limite operacional que não pode ser superado com contratação. O déficit de talentos é global, mas atinge com particular força mercados como o brasileiro, que compete por profissionais qualificados em um setor com rotatividade elevada e demanda crescente. 

A matemática que sustenta esse modelo nunca foi favorável, mas agora é insustentável. Um SOC com quatro analistas investiga entre 300 e 400 alertas de alta prioridade por semana. Cerca de 90% se revelam benignos. Os outros 10% são a razão pela qual a equipe existe. Cada alerta, seja benigno ou não, precisa ser analisado, correlacionado, decidido e documentado.  

A investigação média de um alerta consome 70 minutos, com 56 minutos de espera antes que alguém comece a atuar, conforme levantamento do Cybersecurity Insiders de 2025. A conta não fecha antes do fim da semana. E o problema não é apenas de volume: 77% das empresas reportaram aumento no fluxo de alertas no último ano, com 46% registrando saltos de 25% ou mais.  

Do outro lado, a lacuna global de profissionais de cibersegurança chegou a 4,8 milhões de posições não preenchidas, e 59% das equipes reportam que a escassez já é significativa. Setenta por cento dos analistas de SOC com menos de cinco anos de experiência deixam a função em até três anos, segundo a pesquisa SANS de 2025, criando um ciclo vicioso em que o conhecimento institucional se perde continuamente e a carga sobre os remanescentes aumenta. 

O que está acontecendo agora não é uma melhoria incremental nesse modelo, mas sim uma mudança do ponto de vista da arquitetura. A segurança está deixando de ser uma função reativa baseada em triagem humana para se tornar uma plataforma orquestrada por agentes de IA, na qual máquinas executam o trabalho de alto volume e velocidade, enquanto analistas humanos se concentram em julgamento estratégico, investigação complexa e decisões que exigem contexto.  

Plataformas de triagem baseadas em IA conseguem automatizar 95% ou mais da investigação de alertas de primeiro nível, segundo dados da Torq de 2026. Empresas que utilizam IA de forma extensiva em suas operações de segurança reduziram o ciclo de vida de violações em 80 dias e economizaram em média 1,9 milhão de dólares, de acordo com o Relatório de Custo de Violação de Dados da IBM de 2025. Aproximadamente dois terços das empresas já estão experimentando com agentes de IA em segurança, embora menos de um quarto os tenha implantado em produção, o que sinaliza que o ponto de inflexão prático é este ano. 

O papel dos Recursos Humanos no SOC 
A transformação não elimina a necessidade de profissionais humanos. Ela redefine radicalmente o que se espera deles. Os papéis de analista de primeiro nível, aqueles que hoje passam a maior parte do tempo triando alertas e fechando chamados, tendem a ser absorvidos por sistemas de IA. Modelos atuais já conseguem levar um alerta do sinal inicial à correlação e ao veredito mais rápido e com mais consistência do que um analista júnior.  

Para equipes menores e empresas de médio porte, essa capacidade é transformadora: qualquer SOC pode operacionalizar a velocidade e a consistência de investigação que antes era privilégio de grandes corporações. A consequência, porém, é que o piso de competência sobe. Os analistas remanescentes precisam dominar habilidades que IA ainda não tem: investigação criativa de ameaças, análise de contexto de negócio, arquitetura de detecção e ajuste contínuo dos próprios modelos de IA. 

Além disso, nenhuma plataforma de segurança resolve sozinha a complexidade do ambiente corporativo atual. O modelo que está se consolidando é o de uma plataforma central, tipicamente um SIEM de nova geração, cercada por parceiros especializados que entregam a verticalização que a plataforma por si só não cobre.  

Iniciativas como a MISA (Microsoft Intelligent Security Association), aliança que reúne mais de 300 empresas integradas a uma infraestrutura compartilhada de segurança, ilustram como a defesa está se tornando um esporte coletivo em que os parceiros do ecossistema contribuem com inteligência de ameaças, capacidades de detecção específicas e automação de resposta que se conectam à mesma malha operacional.  

Esse modelo reflete uma realidade que CISOs conhecem bem: as ameaças não respeitam os limites de uma única ferramenta. Um incidente típico cruza identidade, endpoint, nuvem e e-mail, e a resposta eficaz depende de visibilidade unificada e ação coordenada entre camadas que, historicamente, operavam em silos. Para o CISO, isso significa que a decisão de plataforma não é mais uma escolha entre fornecedores isolados, mas uma decisão sobre qual ecossistema oferece a cobertura mais ampla e a integração mais profunda. 

O momento de redesenhar a operação de segurança é agora, e a razão não é apenas técnica. O ecossistema de agentes de segurança ainda está se formando, e há uma vantagem concreta em ser um dos primeiros a adotá-lo. Empresas que redesenharem suas operações agora terão tempo para calibrar governança, estabelecer controles e desenvolver a confiança organizacional necessária antes que a adoção se torne obrigatória. As que esperarem herdarão um ambiente operacional que seus analistas não conseguem mais defender no ritmo que as ameaças exigem. 

Sobre a Solo Iron  

Solo Iron é a vertical de cibersegurança da Solo Network especializada em oferecer proteção cibernética corporativa de ponta a ponta, por meio da uma equipe altamente especializada e soluções dos maiores fabricantes de tecnologias de cibersegurança do mundo. Reunindo a expertise e a bagagem de mais de 20 anos de experiência da Solo Network, o portfólio Solo Iron oferece soluções que vão desde a proteção de endpoints até o SOC totalmente gerenciado. Saiba mais em www.soloiron.com.br