Todo CISO sul-africano enfrenta a mesma questão em algum momento: devemos construir o nosso próprio Centro de Operações de Segurança, externalizar para um MSSP, ou encontrar um meio-termo híbrido? A resposta é menos óbvia do que qualquer um dos campos admite.
Por Neil Beulecke, Diretor Executivo — Layer7 Networking
Os Números, Honestamente
Comecemos por analisar o que um SOC interno realmente custa na África do Sul em 2026.
Um SOC 24/7 minimamente viável requer pelo menos oito analistas para cobrir três turnos com redundância, mais um gestor de SOC e um analista de threat intelligence. Às taxas atuais do mercado sul-africano, estamos a falar de:
- 8 x Analistas SOC (L1/L2): R450.000 - R750.000 cada por ano
- 2 x Analistas Sénior (L3): R850.000 - R1.200.000 cada
- 1 x Gestor de SOC: R1.000.000 - R1.500.000
- 1 x Analista de Threat Intelligence: R750.000 - R1.100.000
São R7,5 - R12,5 milhões só em salários — antes de adicionar licenciamento de SIEM (R1,5 - R4 milhões), ferramentas SOAR, feeds de threat intelligence, formação e a infraestrutura física ou virtual para gerir tudo isto. Um custo realista totalmente carregado para um SOC interno é de R12 - R20 milhões por ano.
E isto se conseguir efetivamente contratar. A lacuna de competências em cibersegurança na África do Sul está bem documentada — temos aproximadamente 12.000 profissionais qualificados em cibersegurança contra uma procura estimada de 40.000+. Os seus analistas serão constantemente recrutados, e cada saída custa seis meses de produtividade.
Quando Construir Internamente
Apesar dos custos, um SOC interno faz sentido em circunstâncias específicas:
Indústrias altamente regulamentadas onde os requisitos regulatórios exigem controlo direto sobre as operações de segurança — certos requisitos do setor bancário e de serviços financeiros enquadram-se nesta categoria.
Organizações com perfis de ameaça únicos que requerem conhecimento profundo e especializado de sistemas proprietários. Operações mineiras com ambientes OT complexos, por exemplo, podem necessitar de analistas que compreendam intimamente os protocolos SCADA.
Organizações muito grandes (5.000+ colaboradores) onde o custo por utilizador de um SOC interno se aproxima do custo de externalização, e a organização tem o reconhecimento de marca para atrair e reter talento.
Quando Externalizar
A externalização para um fornecedor de serviços de segurança geridos faz sentido quando:
A velocidade de implementação é importante. Um MSSP pode tê-lo monitorizado em semanas. Construir um SOC interno leva 12-18 meses para atingir maturidade operacional. Se tem um prazo de conformidade imediato ou sofreu recentemente um incidente, a externalização ganha tempo.
As restrições orçamentais são reais. Um serviço de SOC gerido custa tipicamente R150.000 - R400.000 por mês, dependendo do âmbito — significativamente menos do que a alternativa interna para a maioria das organizações de médio porte.
O seu negócio principal não é cibersegurança. Uma cadeia de retalho, uma empresa de logística, uma indústria transformadora — a sua vantagem competitiva não está nas operações de segurança. A externalização liberta a atenção da liderança para as atividades nucleares do negócio.
O Modelo Híbrido
A abordagem mais eficaz para a maioria das organizações sul-africanas é um modelo híbrido, e é isto que recomendamos cada vez mais:
Interno: Governação, risco e segurança estratégica. Mantenha o seu CISO, o seu arquiteto de segurança e uma pequena equipa focada em política, avaliação de risco, gestão de fornecedores e direção estratégica. Estas funções requerem conhecimento organizacional profundo que um MSSP não consegue replicar.
Externo: Monitorização e resposta operacional de segurança. Deixe um especialista lidar com a rotina 24/7 de análise de logs, triagem de alertas, threat hunting e resposta a incidentes. Eles têm a escala, as ferramentas e o pipeline de talento para fazer isto de forma eficiente.
Partilhado: Resposta a incidentes e threat intelligence. Incidentes graves requerem colaboração entre a equipa interna (que compreende o contexto de negócio) e o SOC externo (que tem a profundidade técnica e cobertura 24/7). Runbooks conjuntos e exercícios regulares mantêm esta interface fluida.
Perguntas a Fazer ao Seu MSSP
Se está a avaliar fornecedores de SOC gerido, estas perguntas separam os sérios do marketing:
- Qual é a proporção analista-cliente? Qualquer coisa acima de 1:15 significa que os seus alertas estão a competir por atenção com demasiados outros clientes.
- Onde estão localizados os seus analistas? O alinhamento de fuso horário é importante para a resposta a incidentes. Um SOC noutro hemisfério introduz atrasos de comunicação no pior momento possível.
- Qual é o tempo médio de deteção e o tempo médio de resposta? Obtenha SLAs contratuais, não números de marketing. E pergunte como medem estas métricas.
- Como lidam com falsos positivos? Um SOC que encaminha cada alerta para a sua equipa não está a fornecer um serviço — está a fornecer ruído. Pergunte sobre o processo de afinação e a taxa de falsos positivos.
- Posso ver os seus relatórios de incidentes do último trimestre? Redigidos, claro. Mas a qualidade e profundidade dos seus relatórios dizem tudo sobre a sua capacidade analítica.
A Conclusão
Não existe uma resposta universalmente correta para construir versus comprar. Mas existe uma resposta errada: não fazer nenhuma das duas. Operar sem monitorização de segurança contínua em 2026 não é aceitação de risco — é negligência. Quer construa, compre ou combine, garanta a cobertura. O panorama de ameaças não espera por ciclos de aprovação de orçamento.
Layer7 Networking fornece serviços de segurança geridos adaptados ao mercado sul-africano. Não somos a opção mais barata — somos a que atende o telefone às 2 da manhã de um domingo quando está a lidar com ransomware.