Quando propus a implementação de um SOC interno para a diretoria da Prefeitura de Colatina, a primeira pergunta foi inevitável: "Quanto custa e o que ganhamos com isso?"
A resposta errada é falar em detecção de ameaças, MITRE ATT&CK ou MTTD. A resposta certa é falar em risco financeiro reduzido, continuidade de negócio garantida e custo de incidente evitado.
O Framework ALE (Annualized Loss Expectancy)
O cálculo começa com dois números simples:
- SLE (Single Loss Expectancy): quanto custa um incidente típico para sua organização?
- ARO (Annual Rate of Occurrence): quantas vezes por ano esse tipo de incidente acontece?
ALE = SLE × ARO
Um ransomware em prefeitura média: SLE ≈ R$ 500k (dados + downtime + resposta + reputação). ARO ≈ 0.4 (pesquisa ANPD 2024). ALE = R$ 200k/ano em risco.
ROI = (Risco Reduzido - Custo do SOC) / Custo do SOC
Com o SOC implementado (Wazuh + TheHive + MISP): MTTD caiu de 72h para 4h. MTTR de dias para 8h. Custo anual do SOC interno: R$ 80k (infra + analista parcial). Risco reduzido estimado: R$ 140k. ROI = 75%.
O que o board realmente quer ouvir
Não fale em "postura de segurança". Fale em:
- Custo de downtime por hora (operacional)
- Valor em risco de multa ANPD (jurídico)
- Impacto em rating de crédito/licitação (estratégico)
- Custo de resposta a incidente sem SOC vs. com SOC (financeiro)