Cómo la Automatización con IA Puede Ayudar a los SOC a Reducir el Agotamiento
Ser analista de un SOC en estos tiempos es realmente complicado.
Se espera que, cada día, resuelvan problemas de alta importancia con la mitad de datos y el doble de presión. Los analistas están abrumados, no solo por las amenazas, sino por los sistemas y procesos que deberían ayudarles a responder. Las herramientas están fragmentadas. Los flujos de trabajo son pesados. El contexto se encuentra en cinco lugares, y las alertas jamás disminuyen. Lo que comenzó como un rol de alta velocidad y alto impacto se ha convertido, para muchos analistas, en un ciclo repetitivo de triage de alertas y manipulación de datos que ofrece poco espacio para la estrategia o el crecimiento.
La mayoría de los equipos de SOC también funcionan con pocos recursos. El año pasado, nuestra encuesta anual de SANS SOC encontró que la mayoría de los SOCs solo cuentan con entre 2 y 10 analistas a tiempo completo, un número que no ha cambiado desde que la encuesta comenzó a rastrearlo en 2017. Mientras tanto, el alcance de la cobertura ha explotado, abarcando desde infraestructuras locales hasta entornos en la nube, puntos finales remotos, plataformas SaaS y más. Esto ha llevado a un agotamiento sistémico en los entornos de SOC, un riesgo legítimo para el negocio que obstaculiza la capacidad de su organización para defenderse.
Abordar este problema no es una cuestión de simplemente aumentar el número de personal. Cuanto más tiempo tratemos el agotamiento como un problema de personas, más tiempo ignoramos lo que realmente está mal dentro del SOC. El desafío exige un cambio en la forma en que se diseña y ejecuta el trabajo del SOC, así como en cómo se posiciona a los analistas para el éxito.
La llegada de la inteligencia artificial (IA) promete un camino práctico hacia adelante al optimizar las partes del trabajo que empujan a los analistas hacia la salida: los pasos repetitivos, la sobrecarga cognitiva y la falta de progreso visible. Desde la agilización de flujos de trabajo ineficientes hasta el apoyo en el desarrollo de habilidades, la IA puede abrir vías más amplias para hacer que el trabajo del SOC sea más sostenible.
Reduciendo la Fatiga de Alertas y la Carga Repetitiva con una Automatización Más Inteligente
Un flujo constante de alertas de bajo contexto es una de las formas más rápidas de agotar a un equipo de SOC. En la encuesta de SANS SOC, el 38% de las organizaciones informaron que ingieren todos los datos disponibles en su SIEM. Si bien eso puede expandir la visibilidad, también inunda a los analistas con ruido de baja prioridad. Y sin una lógica de correlación sólida o integración interplataforma, ensamblar un panorama completo sigue recayendo en el analista. Se queda persiguiendo indicadores a través de sistemas disjuntos, armando el contexto manualmente y decidiendo si la escalación es necesaria. Es ineficiente, agotador e insostenible.
Los equipos de SOC han automatizado tareas durante años, pero la mayoría de esa automatización se ha basado en lógicas frágiles, como estrictos manuales de procedimientos y flujos estáticos de SOAR que colapsan tan pronto como el escenario se desvía de lo esperado. La IA cambia eso. La automatización habilitada por IA puede aliviar esa presión actuar como un poderoso agregador contextual y asistente de investigación. Cuando se combina con capacidades como las que permite el nuevo Protocolo de Contexto de Modelo (MCP), los modelos de lenguaje pueden integrar telemetría, inteligencia de amenazas, metadatos de activos e historial de usuarios en una sola vista, adaptándola a cada situación única que enfrenta el analista. Esto proporciona a los analistas resúmenes enriquecidos y específicos de contexto en lugar de eventos en crudo. La claridad reemplaza la conjetura. Las decisiones de respuesta ocurren más rápido y con mayor confianza, dos cosas que reducen directamente el agotamiento.
Cultivando Confianza en los Analistas a Través de un Feedback Más Inteligente
El agotamiento no solo proviene de horas largas. A veces proviene de la estagna>ciencia; hacer el mismo trabajo sin crecimiento o recibir un feedback significativo. Si un analista no ve progreso, la frustración se instala rápidamente. Aquí es donde la IA puede ofrecer un apoyo real. Permite a los analistas refinar su propio trabajo sobre la marcha, ajustando la lógica de detección, resolviendo falsos positivos y generando mejores consultas con sugerencias rápidas y específicas. Este feedback en tiempo real es especialmente valioso para los analistas más nuevos, pero incluso los miembros más experimentados se benefician de la capacidad de probar su enfoque sin esperar a la revisión de un compañero.
Ayudando a los Líderes de SOC a Gestionar y Fortalecer Sus Equipos
Los líderes de SOC tienen una influencia directa en la reducción del agotamiento. Sin embargo, una falta de tiempo y visibilidad suele ser su mayor obstáculo para hacer un impacto positivo. Datos de rendimiento como la carga de casos, la calidad de notas, la profundidad de investigaciones y tiempos de respuesta están dispersos a través de plataformas e investigaciones. Sin una forma de sintetizarlo, los gerentes quedan adivinando quién está luchando y por qué.
La IA hace posible ese análisis. Con acceso a datos de gestión de casos y flujos de trabajo, los modelos pueden resaltar tendencias de rendimiento: qué analistas manejan consistentemente bien ciertos tipos de amenazas, dónde se agrupan los errores, o cuándo comienza a disminuir la calidad. Esa información permite a los gerentes entrenar más eficazmente y asignar tareas basándose en la capacidad, no solo en la disponibilidad. También les brinda la oportunidad de intervenir a tiempo.
Con el tiempo, ese tipo de apoyo focalizado reformula la cultura del equipo. El rendimiento mejora, la retención se estabiliza, y los analistas son más propensos a quedarse y crecer en roles donde se sienten vistos, apoyados y preparados para tener éxito.
Continuemos la Conversación en SANS Network Security 2025
El agotamiento en un SOC rara vez se manifiesta de golpe. Se construye a través de la repetición sin aprendizaje, la presión sin progreso y el esfuerzo sin impacto. La IA no eliminará todos los factores estresantes en el SOC, pero puede ayudar a aliviar la fricción donde más importa.
Si este tema resuena, acompáñame en SANS Network Security 2025 este septiembre en Las Vegas. Lideraré sesiones sobre cómo construir SOCs más saludables y efectivos, incluyendo cómo aplicar la IA para reducir el agotamiento, agilizar flujos de trabajo y apoyar el crecimiento de analistas en entornos reales.
Nota: Este artículo fue escrito y contribuido por John Hubbard, Instructor Senior de SANS. Aprende más sobre su trayectoria y cursos aquí.
Nota: Este artículo fue escrito y contribuido por John Hubbard, Instructor Senior en el Instituto SANS.
¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
¡No olvides suscribirte a nuestro newsletter para contenido más especializado!
Comments ()