SOC interno vs SOC como serviço: qual vale mais a pena?
Resposta direta
Para a maioria das empresas brasileiras de pequeno e médio porte, o SOC como serviço (SOCaaS/MDR) vale mais a pena: você paga uma faixa de R$ 8 mil a R$ 60 mil por mês e tem cobertura 24x7 já madura, enquanto um SOC interno 24x7x365 exige um time mínimo de 8 a 12 pessoas e custa, de forma realista, de R$ 2,5 milhões a R$ 6 milhões por ano só em folha — sem contar SIEM, EDR, ferramentas e os 12 a 24 meses de maturação. O SOC interno só começa a fazer sentido financeiro acima de uns 2.000–3.000 ativos monitorados, com requisito regulatório forte (como as resoluções de segurança cibernética do Banco Central, atualizadas pela CMN 5.274/2025) ou dado muito sensível que justifique manter a operação dentro de casa. A decisão honesta não é "qual é mais barato", e sim "a partir de qual escala o custo fixo do time próprio se paga frente ao serviço — e quanto risco você aceita carregar enquanto ele amadurece".
Em resumo
- ›Cobertura 24x7x365 real exige no mínimo 8 a 12 profissionais — a regra de indústria é de 4,5 a 5 pessoas em tempo integral para manter UMA única posição preenchida o ano todo (férias, atestados, folgas, 3 turnos). Esse é o fato que quebra a conta do SOC interno para a maioria das empresas.
- ›O custo total de um SOC interno no Brasil fica, de forma realista, entre R$ 2,5 mi e R$ 6 mi/ano (folha + SIEM + EDR + threat intel + treinamento), e leva de 12 a 24 meses para amadurecer a ponto de detectar bem.
- ›O SOC como serviço (SOCaaS/MDR) entrega detecção e resposta 24x7 já madura por uma faixa mensal de R$ 8 mil a R$ 60 mil, dependendo de porte, número de ativos e escopo (só detecção vs. resposta gerenciada). Como âncora, MDR por endpoint roda em torno de R$ 60 a R$ 85 por ativo/mês no mercado.
- ›Turnover é o maior risco oculto do SOC interno: analista de SOC tem alta rotatividade e o conhecimento sai com a pessoa; no modelo de serviço, a continuidade é responsabilidade contratual do fornecedor.
- ›MDR não é o mesmo que SIEM ou antivírus: é detecção e resposta gerenciada por humanos sobre telemetria de EDR/rede/nuvem, com analistas que de fato contêm a ameaça, não só geram alerta.
- ›Não existe número único honesto de preço — depende de ativos, retenção de logs, escopo de resposta e SLA. Desconfie de quem crava um valor fechado sem entender seu ambiente.
O que realmente é um SOC — e por que 24x7 é o coração da decisão
SOC significa Security Operations Center, o centro de operações de segurança. Na prática, é a função (não necessariamente uma sala) responsável por três coisas: monitorar continuamente os sinais de segurança da empresa, detectar atividade maliciosa e responder antes que vire incidente grave. Tudo o mais — SIEM, EDR, playbooks, threat intelligence — são ferramentas e insumos a serviço dessas três tarefas. Quando alguém pergunta 'quanto custa um SOC', a pergunta de verdade é 'quanto custa manter detecção e resposta funcionando todos os dias, o tempo todo'.
E aqui está o detalhe que define toda a economia da decisão: ameaça não tem horário comercial. Boa parte dos ataques de ransomware é disparada de madrugada, em finais de semana e em vésperas de feriado, exatamente porque é quando o time de TI está fora. Os dados de linha de frente da Mandiant (relatório M-Trends) mostram que, em casos de ransomware, o tempo entre o comprometimento e a ação destrutiva é curto — a mediana de dwell time em intrusões de ransomware ficou em torno de 6 dias, e mais da metade desses casos foi descoberta em uma semana ou menos, o que indica que o atacante age rápido. Se a sua detecção só funciona das 9h às 18h em dias úteis, você está cego em cerca de dois terços das horas do ano. É por isso que '24x7' não é um luxo de marketing: é o requisito mínimo para o SOC cumprir a função para a qual existe.
O problema é que cobertura 24x7x365 é cara de produzir com gente própria, e essa é a raiz de toda a comparação deste guia. Um ano tem 8.760 horas. Uma pessoa trabalha, no Brasil, em torno de 1.760 a 1.900 horas úteis por ano depois de descontar férias, feriados, folgas e a jornada legal. A matemática é implacável: para manter pelo menos uma pessoa de plantão a cada hora do ano, com sobreposição mínima de turno e margem para ausências, você precisa de muito mais gente do que a intuição sugere. É essa conta que separa quem consegue ter SOC interno de quem deveria contratá-lo como serviço.
Vale separar dois conceitos que costumam ser confundidos. SOC é a operação de detecção e resposta; SIEM (Security Information and Event Management) é a ferramenta que coleta e correlaciona logs; EDR (Endpoint Detection and Response) é o sensor e o agente de resposta no endpoint. Comprar um SIEM ou um EDR não é ter um SOC — é ter o instrumento sem o músico. A maioria dos fracassos caros que vemos no mercado vem justamente daí: a empresa investe centenas de milhares de reais em licenças e descobre, um ano depois, que ninguém estava olhando os alertas às 3h da manhã.
A conta real do SOC interno no Brasil: por que precisa de 8 a 12 pessoas
Vamos fazer a conta do headcount com honestidade, porque é nela que quase todo plano de SOC interno tropeça. Para cobrir 24 horas por dia, você precisa de três turnos. Se quiser que cada turno tenha no mínimo dois analistas de plantão — e o mínimo prudente é dois, porque uma pessoa sozinha não pode investigar um incidente e continuar monitorando ao mesmo tempo, nem pode adoecer — você já está em seis posições simultâneas. Mas posição simultânea não é pessoa: cada cadeira precisa ser preenchida 365 dias por ano, incluindo as semanas em que o titular está de férias, de atestado ou de folga compensatória. A regra de bolso da indústria, citada por operadores de SOC como Expel e outros, é que cobrir uma única posição 24x7x365 consome de 4,5 a 5 pessoas em tempo integral (e mais de 4 mesmo no cenário irreal de zero férias e zero faltas). Para duas posições simultâneas por turno em três turnos, a conta de analistas de linha já passa de oito, e isso antes de qualquer função especializada.
Some a isso o que um SOC precisa para ser mais do que uma central de alarmes: pelo menos um analista sênior ou líder de turno (Nível 2/3) para investigações profundas e caça a ameaças, um engenheiro de detecção para escrever e ajustar as regras do SIEM, e um coordenador ou gerente de SOC para processos, métricas e relação com o negócio. Chegamos, de forma realista, a um time mínimo de 8 a 12 pessoas para um SOC interno 24x7 que funcione de verdade. Times menores existem, mas operam em regime de sobreaviso (on-call) à noite, o que significa cobertura degradada justamente no horário em que os ataques acontecem — você economiza em folha e paga caro no tempo de resposta.
Agora os números, com uma ressalva importante de honestidade: existe uma diferença enorme entre o 'analista de SOC' de central de alarmes de baixo custo (cujo salário público mediano no Brasil gira na casa de R$ 3 mil a R$ 5 mil e que entrega triagem rasa) e o profissional qualificado que você de fato precisa para detectar bem. Para um SOC que funcione, as faixas realistas de mercado em 2026 são: um analista N1/N2 capaz custa algo entre R$ 6 mil e R$ 12 mil mensais; um analista sênior ou engenheiro de detecção, entre R$ 12 mil e R$ 22 mil; um coordenador de SOC, de R$ 16 mil a R$ 30 mil — variando bastante por região, senioridade real e escassez do perfil. Sobre o salário bruto incidem encargos, benefícios e provisões (13º, férias, FGTS, INSS, vale, plano de saúde) que, em regime CLT, somam tipicamente de 60% a 100% sobre o salário-base. Multiplicando um time de 10 pessoas em mix realista por esses fatores, a folha anual de um SOC interno fica facilmente entre R$ 2,5 milhões e R$ 4,5 milhões por ano — só de gente.
E gente é só uma parte. Por cima da folha vêm as ferramentas: uma plataforma de SIEM (licenciada por volume de dados ingeridos — o famoso custo por GB/dia que cresce com a empresa), EDR para cada endpoint, feeds de threat intelligence, SOAR para automação, ferramentas de análise de logs de nuvem, e a infraestrutura para reter logs pelo tempo que a LGPD e a sua política exigem. Isso adiciona, conservadoramente, de R$ 400 mil a R$ 1,5 milhão por ano dependendo do tamanho do ambiente. Treinamento e certificações (sem as quais o time vira obsoleto e desmotivado) e a reposição constante por turnover fecham a conta. Por isso a faixa total honesta de um SOC interno maduro no Brasil é de R$ 2,5 milhões a R$ 6 milhões anuais — e ele ainda leva de 12 a 24 meses para amadurecer ao ponto de detectar bem, porque tuning de regras, redução de falso-positivo e construção de playbooks não se compram, se constroem com tempo.
Quer cobertura 24x7 madura sem montar um time de 12 pessoas? Comece pelo SOC 24x7 gerenciado da Decripte ou fale com a gente sobre MDR — fazemos primeiro o diagnóstico do seu ambiente e só então propomos faixa e escopo, sem número chutado.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
SOC como serviço (SOCaaS) e MDR: o que você compra e quanto custa
O SOC como serviço inverte a lógica de custo. Em vez de construir e manter a operação 24x7 dentro de casa, você contrata um fornecedor que já tem o time, as ferramentas, os processos e — crucialmente — a escala. Esse fornecedor opera um SOC compartilhado entre vários clientes, o que dilui o custo fixo do plantão noturno e da especialização entre muitas empresas. É a mesma lógica de por que faz mais sentido contratar um plano de energia do que construir sua própria usina: a infraestrutura cara fica do lado de quem a usa em escala.
Dentro desse guarda-chuva existem dois modelos que vale distinguir, porque a confusão entre eles é a principal causa de frustração na contratação. SOCaaS no sentido estrito costuma significar 'o monitoramento e a triagem de alertas como serviço' — o fornecedor opera o SIEM e te avisa quando algo parece errado, mas a resposta (conter, isolar, erradicar) muitas vezes fica com você. MDR (Managed Detection and Response, detecção e resposta gerenciada) vai além: o fornecedor não só detecta como age — isola o endpoint comprometido, bloqueia a conta, contém a ameaça em minutos, normalmente com SLA contratual. Para a maioria das empresas que não tem braço interno para responder de madrugada, MDR é o que de fato resolve, porque alerta sem resposta na mão certa de pouco adianta às 3h da manhã.
As faixas de preço do modelo de serviço no Brasil, de forma honesta, dependem de três variáveis principais: número de ativos monitorados (endpoints, servidores, identidades, contas de nuvem), volume de logs/telemetria ingerida e retida, e profundidade do escopo (só detecção vs. resposta gerenciada com contenção). Uma âncora útil de mercado é o preço por endpoint: MDR transparente roda na ordem de US$ 11 a US$ 15 por endpoint/mês globalmente, o que equivale a algo como R$ 60 a R$ 85 por ativo/mês no Brasil. A partir daí, como referência por porte: uma pequena empresa (até ~100–200 endpoints) costuma encontrar MDR/SOCaaS na faixa de R$ 8 mil a R$ 20 mil por mês; uma média empresa (200 a 1.000 ativos) entre R$ 20 mil e R$ 45 mil mensais; e operações maiores ou com requisitos pesados de retenção e compliance, de R$ 45 mil a R$ 80 mil ou mais. Modelos de cobrança variam entre preço por endpoint/ativo, por volume de dados, ou pacote fechado por porte — e cada modelo tem armadilhas que detalhamos adiante.
O ponto econômico decisivo é a comparação de ordens de grandeza. Um SOCaaS/MDR robusto para uma média empresa, a R$ 30 mil/mês, custa R$ 360 mil por ano e entrega cobertura 24x7 madura desde o primeiro mês. O SOC interno equivalente custaria de 7 a 15 vezes mais e levaria mais de um ano para chegar ao mesmo nível de detecção. Para a esmagadora maioria das empresas brasileiras abaixo do porte de grande corporação ou banco, essa diferença não é marginal — é a diferença entre ter e não ter segurança operacional de verdade. Para dimensionar o risco que se evita: o relatório IBM Cost of a Data Breach 2025 aponta custo médio de uma violação de dados no Brasil de R$ 7,19 milhões, e mostra que o uso de threat intelligence e de governança de IA está entre os fatores que mais reduzem esse custo — exatamente o tipo de capacidade que um serviço maduro entrega de imediato. É também por isso que existem caminhos de entrada como o nosso SOC 24x7 gerenciado e a esteira de MDR, pensados para empresas que precisam de cobertura real sem montar um time inteiro.
Tabela comparativa: SOC interno vs SOC como serviço
A tabela abaixo resume a comparação nas dimensões que realmente pesam na decisão de compra — custo, tempo até estar operacional, qualidade da cobertura e os riscos estruturais de cada modelo. Use-a como ponto de partida, mas leia as ressalvas: nenhuma linha é absoluta, e o objetivo é mostrar o trade-off, não declarar um vencedor universal. Em resumo: o SOC interno custa de R$ 2,5 mi a R$ 6 mi/ano e leva de 12 a 24 meses para amadurecer; o SOC como serviço custa de R$ 8 mil a R$ 60 mil/mês (R$ 96 mil a R$ 720 mil/ano) e entra operacional em semanas, com cobertura 24x7 já madura no dia um.
O eixo de custo merece um esclarecimento. O SOC interno tem custo predominantemente fixo (folha que você paga esteja ou não acontecendo algo), enquanto o serviço tem custo mais previsível e escalável (você ajusta o contrato conforme cresce). Em escala muito grande — acima de uns 2.000 a 3.000 ativos — o custo fixo do time próprio pode se diluir e ficar competitivo; abaixo disso, o serviço quase sempre ganha em custo por unidade de proteção. Daí a importância do ponto de equilíbrio que discutimos na próxima seção.
Note especialmente as linhas de 'tempo de maturação' e 'risco de turnover'. Elas costumam ser ignoradas no comparativo ingênuo que só olha mensalidade do serviço vs. salário de dois analistas — e são exatamente onde o SOC interno mal-dimensionado quebra. Um SOC que leva 18 meses para detectar bem é um SOC que te deixou exposto durante 18 meses, e isso tem um custo de risco que não aparece na planilha de RH. No modelo de serviço, a maturidade e a continuidade da equipe são problema contratual do fornecedor, não seu.
Sem cartão, sem compromisso — entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Quando o SOC interno realmente faz sentido — e quando é vaidade cara
Seria desonesto dizer que SOC interno nunca vale a pena. Ele faz sentido, e às vezes é a escolha certa, em situações específicas. A primeira é escala: acima de algo como 2.000 a 3.000 ativos monitorados, com volume de eventos alto e crescente, o custo fixo do time próprio começa a se diluir e a competir de igual para igual com o que o serviço cobraria por aquele volume. Grandes bancos, operadoras de telecom, big techs e órgãos públicos com infraestrutura crítica geralmente têm SOC interno por essa razão — e ainda assim, muitos operam em modelo híbrido, com o serviço cobrindo a madrugada ou picos.
A segunda situação é requisito regulatório ou de soberania de dado. No setor financeiro, o Banco Central impõe requisitos de segurança cibernética por meio da Resolução CMN 4.893/2021 (instituições financeiras) e da Resolução BCB 85/2021 (instituições de pagamento) — recentemente reforçadas pela Resolução CMN 5.274/2025 e pela Resolução BCB 538/2025, que adicionam novos controles técnicos e de governança, com prazo de adequação até 1º de março de 2026. Essas normas não obrigam a internalizar o SOC, mas exigem governança, plano de resposta a incidentes e responsabilidade clara sobre a contratação de terceiros, o que algumas instituições preferem endereçar mantendo parte da operação dentro de casa. Importante: a LGPD não proíbe terceirizar o SOC. Nesse arranjo, o fornecedor atua como operador, realizando o tratamento de dados pessoais em nome do controlador (art. 5º, VII), e ambos respondem nos termos da lei — o que torna o contrato e as cláusulas de segurança e responsabilidade peça central da decisão.
A terceira é maturidade e estratégia de longo prazo: empresas de tecnologia que veem segurança como diferencial competitivo, ou que querem desenvolver capacidade interna de engenharia de detecção como ativo, podem investir no SOC próprio como parte da tese de negócio. Nesses casos, o SOC não é só centro de custo, é capacidade estratégica.
Fora dessas situações, montar SOC interno costuma ser vaidade cara — e dizemos isso como consultores que preferem te poupar a dor de cabeça do que vender ferro. O padrão de falha é conhecido: a empresa contrata dois ou três analistas, compra um SIEM caro, anuncia internamente que 'agora temos um SOC', e seis meses depois descobre que ninguém cobre a madrugada, que os analistas estão exaustos e pedindo demissão, que os alertas viraram ruído que ninguém investiga, e que o primeiro incidente sério aconteceu às 2h de um sábado sem ninguém para responder. Foi gasto o dinheiro de um SOC e comprada a ilusão de um. Se você não tem escala, orçamento de R$ 3 mi+/ano sustentável e paciência de 18 meses para amadurecer, o serviço entrega mais segurança por menos — e essa é a recomendação honesta, não a confortável.
Como contratar um SOC como serviço sem errar: o que perguntar ao fornecedor
Decidir pelo modelo de serviço é metade do caminho; a outra metade é contratar bem, porque o mercado de SOCaaS/MDR tem ótimos fornecedores e também muito 'SOC de PowerPoint' que vende alerta sem resposta. A primeira pergunta, e a mais importante, é sobre o escopo de resposta: o contrato inclui contenção ativa (isolar endpoint, bloquear conta, derrubar sessão) ou só notificação? Se for só notificação, você ainda precisa de um time interno para agir — e o serviço resolve menos do que parece. Exija clareza sobre o que o fornecedor faz com as próprias mãos versus o que delega de volta a você.
Segundo, SLA com números, não adjetivos. 'Resposta rápida' não significa nada. Peça o tempo médio e o tempo máximo contratual para detecção, para notificação e para contenção, e o que acontece se o SLA for descumprido (crédito, multa, rescisão). Pergunte explicitamente pelo MTTD (Mean Time To Detect, tempo médio para detectar) e pelo MTTR (Mean Time To Respond, tempo médio para responder) reais do fornecedor — e desconfie de quem não mede ou não compartilha esses números. Um SOC que não sabe o próprio MTTD não está medindo a própria eficácia.
Terceiro, dono dos dados e portabilidade. Onde os seus logs ficam armazenados, por quanto tempo são retidos, e o que acontece com eles se você trocar de fornecedor? Retenção de log é requisito de compliance (LGPD e, no setor financeiro, as resoluções do Banco Central) e também é o que permite investigar um incidente descoberto meses depois. Garanta no contrato que os dados são seus, que você pode exportá-los, e que a retenção atende às suas obrigações legais — não às de menor custo do fornecedor.
Quarto, transparência operacional e cobertura real. Pergunte: os analistas que cobrem a madrugada são da própria empresa ou de um SOC terceirizado em outro fuso? Há sobreposição de turno ou só on-call? Quantos clientes cada analista monitora simultaneamente (relação de oversubscription que, alta demais, vira ruído)? Que telemetria entra (EDR, rede, identidade, nuvem, SaaS) — porque um MDR que só olha endpoint é cego para ataque que mora na nuvem ou na identidade. E peça referências de clientes do seu porte e setor, mais um relatório de exemplo: a qualidade do relatório de incidente revela a qualidade da operação. Por fim, alinhe o modelo de cobrança ao seu crescimento: por endpoint é previsível mas pune quem cresce em ativos; por volume de dados pune quem gera muito log (nuvem, por exemplo); pacote fechado é simples mas pode embutir gordura. Não existe modelo certo universal — existe o que faz sentido para o seu ambiente, e por isso a contratação começa por um diagnóstico do ambiente, não por uma tabela de preços. Se o seu cenário inclui resposta a um incidente já em curso, isso é outra frente: ver nosso serviço de resposta a incidentes, que atua na crise, distinto do monitoramento contínuo do SOC/MDR.
Termos-chave
- SOC (Security Operations Center)
- Centro de operações de segurança; a função (não necessariamente uma sala física) que monitora continuamente, detecta atividade maliciosa e responde a incidentes. Pode ser interno, como serviço (SOCaaS) ou híbrido.
- SOCaaS (SOC as a Service)
- SOC como serviço: terceirização da operação de monitoramento e triagem de alertas 24x7 para um fornecedor que opera o SIEM e a equipe em escala compartilhada. No sentido estrito, costuma entregar detecção/alerta — a resposta ativa pode ou não estar incluída.
- MDR (Managed Detection and Response)
- Detecção e resposta gerenciada: serviço em que o fornecedor não só detecta como contém a ameaça com as próprias mãos (isola endpoint, bloqueia conta, derruba sessão), normalmente com SLA contratual, sobre telemetria de EDR, rede, identidade e nuvem.
- SIEM (Security Information and Event Management)
- Ferramenta que coleta, normaliza e correlaciona logs de várias fontes para gerar alertas. É instrumento do SOC, não o SOC em si; geralmente licenciada por volume de dados ingeridos (custo por GB/dia).
- EDR (Endpoint Detection and Response)
- Agente e sensor instalado em cada endpoint (notebook, servidor) que detecta comportamento malicioso e permite resposta no próprio dispositivo, como isolar a máquina da rede.
- Dwell time
- Tempo de permanência do atacante no ambiente entre o comprometimento inicial e a detecção. Segundo o M-Trends da Mandiant, a mediana em intrusões de ransomware ficou em torno de 6 dias — janela curta que torna a cobertura 24x7 decisiva.
- MTTD / MTTR
- Mean Time To Detect e Mean Time To Respond: tempos médios para detectar e para responder a uma ameaça. São as métricas contratuais centrais para avaliar e cobrar a eficácia de um SOC/MDR.
- FTE por posição (24x7)
- Número de profissionais em tempo integral necessários para manter uma única cadeira de plantão preenchida o ano inteiro. A regra de indústria é de 4,5 a 5 FTEs por posição, considerando 3 turnos, férias, folgas e atestados.
Como decidir e contratar bem
- Levante o tamanho real do seu ambiente: número de endpoints, servidores, identidades e contas de nuvem a monitorar. Esse é o principal determinante de preço, em qualquer modelo.
- Calcule o custo honesto do SOC interno: aplique a regra de 4,5 a 5 FTEs por posição 24x7, monte um time mínimo de 8 a 12 pessoas, multiplique pela folha com encargos (60–100% sobre o salário) e some SIEM, EDR, threat intel e retenção de logs. Chegue ao custo anual total, não só ao salário.
- Compare com a faixa de serviço para o seu porte (R$ 8 mil a R$ 60 mil/mês) e calcule o ponto de equilíbrio: abaixo de ~2.000–3.000 ativos, o serviço quase sempre vence em custo e em tempo até estar protegido.
- Inclua o custo do risco na conta: 12 a 24 meses de maturação do SOC interno são meses de exposição; pese isso contra o custo médio de uma violação no Brasil (R$ 7,19 mi, IBM 2025).
- Verifique requisitos regulatórios do seu setor antes de decidir: resoluções do Banco Central (CMN 4.893/2021 e 5.274/2025, BCB 85/2021 e 538/2025) e LGPD definem obrigações de governança, resposta a incidentes e responsabilidade na terceirização.
- Ao comparar fornecedores de serviço, exija escopo de resposta por escrito (contenção vs. só alerta), SLA com números (MTTD, MTTR, tempo de contenção) e penalidade por descumprimento.
- Confirme propriedade e retenção de logs, telemetria coberta (EDR, rede, identidade, nuvem) e a relação de clientes por analista; peça referências do seu porte e um relatório de incidente de exemplo.
- Alinhe o modelo de cobrança (por endpoint, por volume de dados ou pacote) ao seu vetor de crescimento e desconfie de qualquer preço fechado dado sem diagnóstico do seu ambiente.
Perguntas frequentes
Quanto custa um SOC como serviço (SOCaaS/MDR) no Brasil?
Não há valor único: depende de número de ativos, volume e retenção de logs, e escopo (só detecção vs. resposta gerenciada). Como referência de mercado, pequenas empresas (até ~100–200 endpoints) costumam encontrar MDR/SOCaaS entre R$ 8 mil e R$ 20 mil/mês; médias (200 a 1.000 ativos) entre R$ 20 mil e R$ 45 mil; e operações maiores ou com compliance pesado, de R$ 45 mil a R$ 80 mil ou mais. Por endpoint, gira em torno de R$ 60 a R$ 85 por ativo/mês. Desconfie de preço fechado dado sem diagnóstico do seu ambiente.
Quanto custa montar um SOC interno 24x7 no Brasil?
De forma realista, entre R$ 2,5 milhões e R$ 6 milhões por ano para uma operação madura. A folha de um time mínimo de 8 a 12 pessoas, com encargos, já fica entre R$ 2,5 mi e R$ 4,5 mi/ano; por cima vêm SIEM, EDR, threat intel, SOAR e retenção de logs (R$ 400 mil a R$ 1,5 mi/ano), além de treinamento e reposição por turnover. E ainda leva de 12 a 24 meses para amadurecer ao ponto de detectar bem.
Por que um SOC interno 24x7 precisa de tanta gente?
Porque cobrir 24 horas por dia, 365 dias por ano, exige três turnos e a regra de indústria é de 4,5 a 5 profissionais em tempo integral para manter UMA única posição preenchida o ano todo (férias, folgas, atestados, sobreposição de turno). Com pelo menos dois analistas por turno mais funções especializadas (sênior, engenheiro de detecção, coordenador), chega-se ao mínimo de 8 a 12 pessoas.
Qual a diferença entre SOCaaS e MDR?
SOCaaS no sentido estrito é monitoramento e triagem de alertas como serviço — o fornecedor te avisa, mas a resposta (conter, isolar, erradicar) pode ficar com você. MDR vai além: o fornecedor detecta E age, isolando o endpoint, bloqueando a conta e contendo a ameaça, normalmente com SLA. Para quem não tem braço interno para responder de madrugada, o MDR é o que de fato resolve.
MDR é a mesma coisa que SIEM ou antivírus?
Não. SIEM é a ferramenta que coleta e correlaciona logs; antivírus/EDR é o sensor no endpoint. MDR é o serviço de detecção e resposta gerenciada por humanos sobre essa telemetria — analistas que investigam e contêm a ameaça. Comprar SIEM ou EDR sem operação é ter o instrumento sem o músico: ninguém olha os alertas às 3h da manhã.
Terceirizar o SOC viola a LGPD?
Não. A LGPD permite terceirizar; o fornecedor atua como operador, realizando o tratamento de dados pessoais em nome do controlador, e ambos respondem nos termos da lei. O que a lei exige é governança e contrato claro sobre segurança, retenção e responsabilidade. Em caso de incidente com dados pessoais, a multa simples da ANPD pode chegar a 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração (art. 52).
Quando vale a pena ter SOC interno em vez de contratar o serviço?
Quando há escala (acima de ~2.000–3.000 ativos monitorados, o custo fixo do time se dilui), requisito regulatório ou de soberania de dado que exija manter a operação dentro de casa, ou estratégia de longo prazo que trate a engenharia de detecção como ativo. Abaixo disso, o serviço quase sempre entrega mais segurança por menos, e mais rápido.
O que perguntar a um fornecedor de SOC como serviço antes de fechar?
Se o escopo inclui contenção ativa ou só notificação; SLA com números (MTTD, MTTR, tempo de contenção) e penalidade por descumprimento; onde ficam e por quanto tempo são retidos os seus logs e se você pode exportá-los; qual telemetria é coberta (EDR, rede, identidade, nuvem); quantos clientes cada analista monitora; e referências do seu porte com um relatório de incidente de exemplo.
Referências
- ›IBM Cost of a Data Breach 2025 — custo médio de violação no Brasil em R$ 7,19 milhões — https://brasil.newsroom.ibm.com/2025-07-30-Relatorio-da-IBM-Custo-medio-de-uma-violacao-de-dados-no-Brasil-atinge-R-7,19-milhoes
- ›Mandiant M-Trends 2025 — dwell time e tempos de detecção (Google Cloud) — https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025
- ›LGPD, Lei nº 13.709/2018, art. 52 — sanções administrativas da ANPD (Planalto) — https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ›Banco Central — Resolução CMN 5.274/2025, que atualiza a Res. CMN 4.893/2021 (prazo 01/03/2026) — https://www.normasbrasil.com.br/norma/?id=488277
- ›Expel — custo e staffing de um SOC 24x7 (regra de FTEs por posição) — https://expel.com/cyberspeak/cost-to-build-and-operate-a-24x7-soc/
Como a Decripte resolve isso
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.
Quer cobertura 24x7 madura sem montar um time de 12 pessoas? Comece pelo SOC 24x7 gerenciado da Decripte ou fale com a gente sobre MDR — fazemos primeiro o diagnóstico do seu ambiente e só então propomos faixa e escopo, sem número chutado.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
