Cómo la Automatización de Flujos de Trabajo con IA Puede Ayudar a los SOC a Reducir el Agotamiento
Ser analista de SOC en estos tiempos es realmente complicado.
Cada día, se espera que resuelvan problemas de alta Consecuencia con la mitad de la información y el doble de presión. Los analistas están abrumados, no solo por las amenazas, sino también por los sistemas y procesos que están destinados a ayudarles a responder. Las herramientas son fragmentadas. Los flujos de trabajo son pesados. El contexto vive en cinco lugares, y las alertas nunca se detienen. Lo que comenzó como un rol rápido y de alto impacto se ha convertido, para muchos analistas, en un ciclo repetitivo de clasificación de alertas y manipulación de datos que ofrece poco margen para la estrategia o el crecimiento.
La mayoría de los equipos de SOC también son reducidos en personal. El año pasado, nuestro estudio anual de SANS encontró que la mayoría de los SOCs solo consisten en 2 a 10 analistas a tiempo completo, número que se ha mantenido sin cambios desde que el estudio comenzó a rastrear en 2017. Mientras tanto, el alcance de cobertura se ha expandido, abarcando desde infraestructura local hasta entornos en la nube, puntos finales remotos, plataformas SaaS, y más. Combinado a escala, esto ha llevado a un agotamiento sistémico en los entornos de SOC, un riesgo empresarial legítimo que dificulta la capacidad de su organización para defenderse.
Abordar el problema no es simplemente una cuestión de aumentar el número de personal. Mientras más tratemos el agotamiento como un problema de personas, más ignoramos lo que realmente está mal dentro del SOC. El desafío que enfrentamos exige un cambio en cómo se diseña y se ejecuta el trabajo en el SOC, así como en cómo se posiciona a los analistas para tener éxito.
Entra la inteligencia artificial (IA). La implementación de IA a gran escala ofrece un camino práctico para optimizar partes del trabajo que empujan a los analistas hacia la salida: los pasos repetitivos, la sobrecarga cognitiva y la falta de progreso visible. Desde la optimización de flujos de trabajo ineficientes y el apoyo al desarrollo de habilidades hasta facilitar una supervisión más impactante a nivel de equipo, la IA puede abrir vías más amplias para hacer que el trabajo en SOC sea más sostenible.
Reduciendo la Fatiga por Alertas y la Carga Repetitiva con Automatización Inteligente
Un flujo constante de alertas de bajo contexto es una de las formas más rápidas de agotar a un equipo de SOC. En la Encuesta SANS SOC, el 38% de las organizaciones informaron que ingieren todos los datos disponibles en su SIEM. Mientras que eso puede ampliar la visibilidad, también inunda a los analistas con ruido de baja prioridad. Y sin una lógica de correlación fuerte o integración entre plataformas, armar un panorama completo aún recae en el analista. Se quedan persiguiendo indicadores a través de sistemas disjuntos, ensamblando contextos manualmente y decidiendo si la escalada es realmente necesaria. Es ineficiente, agotador y insostenible.
Los equipos de SOC han estado automatizando tareas durante años, pero la mayoría de esa automatización ha dependido de una lógica frágil como modelos de planificación rígidos y flujos de SOAR estáticos que se rompen en cuanto el escenario se desvía de lo esperado. La IA cambia eso. La automatización impulsada por IA puede aliviar esa presión actuando como un agregado contextual única y poderoso y asistente de investigación. Cuando se combina con capacidades habilitadas por el nuevo Protocolo de Contexto de Modelo (MCP), los modelos de lenguaje pueden integrar telemetría, inteligencia de amenazas, metadatos de activos e historial del usuario en una sola vista, personalizándola para cada situación única que enfrenta el analista. Esto proporciona a los analistas resúmenes enriquecidos y específicos del caso en lugar de eventos en bruto. La claridad reemplaza a la conjetura. Las decisiones de respuesta se realizan más rápido y con mayor confianza, dos cosas que reducen directamente el agotamiento.
La clave aquí es que, a diferencia de SOAR, la IA permite una automatización adaptativa e incluso la hace fácilmente accesible a través de una interfaz LLM. Con agentes de IA y nuevos estándares como MCP y el protocolo Agent2Agent, ahora hay un futuro donde los analistas pueden describir lo que necesita suceder en lenguaje simple y el sistema puede construir la automatización de manera dinámica, decidiendo qué tareas deben realizarse y la mejor manera de completarlas. Ya sea recuperando datos, correlacionando señales o coordinando una respuesta, la IA puede ajustarse en tiempo real en función del contexto. Esa flexibilidad es importante, especialmente cuando los caminos de investigación no siempre son claros o lineales.
Construyendo la Confianza del Analista a Través de Retroalimentación Inteligente
El agotamiento no solo proviene de largas horas. A veces, surge de la estancación, hacer el mismo trabajo sin crecer o recibir retroalimentación significativa. Si un analista no ve progreso, la frustración se establece rápidamente. Esta es un área donde la IA puede ofrecer un apoyo real. Permite a los analistas refinar su propio trabajo sobre la marcha, ajustando la lógica de detección, solucionando falsos positivos y generando mejores consultas con sugerencias rápidas y específicas. La retroalimentación en tiempo real como esta es especialmente valiosa para analistas nuevos, pero incluso los miembros del equipo experimentados se benefician de la capacidad de poner a prueba su enfoque sin esperar a la revisión de pares.
Estas interacciones respaldan lo que los investigadores llaman práctica deliberada: repetición enfocada emparejada con retroalimentación inmediata y procesable. Eso vale su peso en oro cuando se trata de retención. Según la Encuesta SANS SOC, "trabajo significativo" y "progresión profesional" fueron clasificados como los dos factores principales en la retención de analistas, por encima de la compensación. Los equipos que incorporan el crecimiento en el flujo de trabajo diario son más propensos a mantener a su gente. La IA no puede reemplazar la mentoría humana, pero puede ayudar a replicar algunos de sus efectos más significativos a gran escala.
Ayudando a los Líderes de SOC a Gestionar y Fortalecer a Sus Equipos
Los líderes de SOC tienen una influencia directa en la reducción del agotamiento. Sin embargo, la falta de tiempo y visibilidad suele ser su mayor obstáculo para generar un impacto positivo. Los datos de rendimiento como la carga de casos, la calidad de las notas, la profundidad de la investigación y los tiempos de respuesta están dispersos en plataformas e investigaciones. Sin una manera de sintetizarlo, los gerentes se quedan adivinando quién está luchando y por qué.
La IA hace que ese análisis sea posible. Con acceso a datos de gestión de casos y flujos de trabajo, los modelos pueden resaltar tendencias de rendimiento: qué analistas manejan consistentemente ciertos tipos de amenazas, dónde se agrupan los errores o cuándo la calidad comienza a bajar. Esa visión permite a los gerentes entrenar de manera más efectiva y asignar trabajo basado en capacidad, no solo en disponibilidad. También les da la oportunidad de intervenir a tiempo. El agotamiento no se anuncia. Se construye lentamente, a menudo fuera de la vista. Pero con las señales adecuadas, como la sobrecarga de trabajo, las brechas de habilidades y la reducción en la calidad de los casos, los líderes pueden actuar antes de que los problemas se conviertan en salidas.
Con el tiempo, este tipo de apoyo dirigido remodela la cultura del equipo. El rendimiento mejora, la retención se estabiliza y es más probable que los analistas permanezcan y crezcan en roles donde se sienten vistos, apoyados y preparados para tener éxito.
Continuemos la Conversación en SANS Network Security 2025
El agotamiento del SOC rara vez se presenta de una vez. Se construye a través de la repetición sin aprendizaje, la presión sin progreso y el esfuerzo sin impacto. La IA no eliminará todos los factores estresantes en el SOC, pero puede ayudar a aliviar la fricción donde más importa.
Si este tema resuena contigo, únete a mí en SANS Network Security 2025 este septiembre en Las Vegas. Estaré liderando sesiones sobre cómo construir SOC más saludables y efectivos, incluyendo cómo aplicar IA para reducir el agotamiento, optimizar flujos de trabajo y apoyar el crecimiento de los analistas en entornos del mundo real.
Regístrate para SANS Network Security 2025 (22-27 de septiembre de 2025) aquí.
Nota: Este artículo fue redactado y contribuido por John Hubbard, Instructor Senior de SANS. Aprende más sobre su experiencia y cursos aquí.
Nota:Este artículo fue escrito y contribuido por John Hubbard, Instructor Senior del Instituto SANS.
¿Te ha parecido interesante este artículo? Suscríbete a nuestro newsletter para recibir contenido especializado.
Comments ()