SOC-CMM 2.0: o que mudou e como aplicar de verdade
TL;DR. SOC-CMM 2.0 é o framework de referência para medir maturidade de Security Operations Centers. A v2 reorganiza 5 dimensões com peso ajustado para SOC moderno (cloud-native, MSSP, detection engineering). Este guia mostra como aplicar o assessment passo-a-passo com exemplos reais de scoring.
O que é SOC-CMM
SOC-CMM (Security Operations Center Capability Maturity Model) é um framework open criado pelo pesquisador holandês Rob van Os. Mede operação SOC em 5 dimensões: Business, People, Process, Technology, Services.
A Cyber Thrust é parceira oficial global do SOC-CMM e única consultech brasileira autorizada a conduzir assessments certificados.
Por que SOC-CMM importa
Antes do SOC-CMM, medir maturidade de SOC era subjetivo. Cada consultoria inventava sua métrica. Resultado: dois assessments do mesmo SOC retornavam números completamente diferentes.
O SOC-CMM resolve isso com:
- Questionário padronizado com 380+ pontos de verificação
- Scoring objetivo de 0 a 5 por dimensão
- Benchmarking contra base global de SOCs
- Defensável para board e auditoria
Mudanças do v1 para v2
1. Reorganização das 5 dimensões
No v1, dimensões tinham peso similar. No v2, pesos são ajustados pela importância moderna:
- Business (15%) — Mission, governance, business alignment
- People (25%) — Roles, skills, training, retention
- Process (25%) — IR plan, runbooks, KPIs, continuous improvement
- Technology (20%) — SIEM, EDR, SOAR, threat intel platform
- Services (15%) — Detection, response, hunting, intelligence
2. Novos controles para SOC moderno
O v2 adiciona controles que refletem realidade atual:
- Detection Engineering (criar e manter detections como código)
- Purple Team (collaboration entre red e blue)
- Cloud Security Operations (visibilidade em AWS/Azure/GCP)
- Threat Intelligence Platform integrada
- Identity-centric detection (UEBA)
3. Scoring refinado
O scoring agora é mais granular (0.0 a 5.0 com decimais). Permite mostrar evolução incremental — útil para board reporting trimestral.
Como aplicar o assessment
Fase 1 — Preparação (1 semana)
- Identificar respondentes (SOC manager, lead analyst, IT manager, CISO)
- Coletar evidências documentais (políticas, runbooks, métricas históricas)
- Gerar mapa de dependências (ferramentas, integrações, fluxos)
Fase 2 — Discovery (3-5 dias)
- Entrevistas estruturadas com cada perfil-chave
- Observação operacional (acompanhar 1-2 turnos)
- Validação de evidências documentais
- Análise de incidentes recentes (lessons learned reais)
Fase 3 — Scoring (2 dias)
- Aplicação do questionário SOC-CMM v2 completo
- Cross-reference entre fontes (triangulação)
- Cálculo de score por dimensão + score consolidado
- Benchmarking contra setor
Fase 4 — Reporting (3 dias)
- Relatório técnico (40-60 páginas) com findings detalhados
- Sumário executivo (3 páginas) para CISO/board
- Roadmap de evolução de 12-18 meses priorizado
- Apresentação executiva para stakeholders
Exemplos de scoring (caso real anonimizado)
Banco médio brasileiro · Antes da intervenção Cyber Thrust:
SOC-CMM 2.0 Assessment · Banco X · Janeiro 2025
─────────────────────────────────────────────────
Business : 2.8 / 5.0 ▓▓▓▓▓░░░░░
People : 3.1 / 5.0 ▓▓▓▓▓▓░░░░
Process : 2.4 / 5.0 ▓▓▓▓░░░░░░
Technology : 3.5 / 5.0 ▓▓▓▓▓▓▓░░░
Services : 2.9 / 5.0 ▓▓▓▓▓░░░░░
─────────────────────────────────────────────────
CONSOLIDADO : 2.94 / 5.0
Setorial average : 2.7 (n=24 bancos médios) Depois de 12 meses de intervenção:
SOC-CMM 2.0 Assessment · Banco X · Janeiro 2026
─────────────────────────────────────────────────
Business : 4.1 / 5.0 ▓▓▓▓▓▓▓▓░░ (+1.3)
People : 3.9 / 5.0 ▓▓▓▓▓▓▓▓░░ (+0.8)
Process : 4.3 / 5.0 ▓▓▓▓▓▓▓▓▓░ (+1.9)
Technology : 4.0 / 5.0 ▓▓▓▓▓▓▓▓░░ (+0.5)
Services : 4.2 / 5.0 ▓▓▓▓▓▓▓▓▓░ (+1.3)
─────────────────────────────────────────────────
CONSOLIDADO : 4.10 / 5.0 (+1.16)
Setorial average : 2.8 Os 5 erros mais comuns em assessments
- Confiar apenas em auto-avaliação. Score subjetivo do gestor é viés. Sempre triangular com evidências.
- Ignorar a dimensão "Business". Sem alinhamento com business, SOC tecnicamente bom vira irrelevante.
- Inflar score por ferramentas. Ter SIEM topo de linha não conta se ninguém usa direito.
- Confundir compliance com maturidade. Auditoria passou ≠ SOC maduro.
- Não fazer benchmarking. Score sozinho é número. Score vs setor é insight.
Roadmap pós-assessment
O valor real do SOC-CMM não está no número final. Está no roadmap defensável que ele gera.
Roadmap típico de 18 meses para mover de 2.9 para 4.2:
- Meses 1-3: Quick wins em Process (runbooks, IR plan, métricas)
- Meses 4-9: Strengthen People (treinamento sênior, retention plan)
- Meses 10-15: Maturar Services (threat hunting, intel platform)
- Meses 16-18: Otimizar Technology (SOAR, detection engineering)
Conclusão
SOC-CMM 2.0 não é mais uma "métrica vazia". É a forma defensável de medir, comunicar e evoluir maturidade de cibersegurança operacional. Adotamos como instrumentação obrigatória em todos os engagements Cyber Thrust.
Quer aplicar o SOC-CMM 2.0 no seu SOC? Oferecemos assessment inicial gratuito (5 dias) — você sai com relatório executivo e roadmap de 12 meses defensável para board.