El SOC empresarial promedio recibe 10.000 alertas por día. Cada uno requiere 20 a 40 minutos investigar adecuadamente, pero incluso los equipos con todo el private solo pueden manejar el 22% de ellos. Más que El 60% de los equipos de seguridad han admitido haber ignorado las alertas que más tarde resultó basic.
Administrar un SOC eficiente nunca ha sido tan difícil y ahora el trabajo en sí está cambiando. Las tareas de los analistas de nivel 1, como clasificación, enriquecimiento y escalamiento, se están convirtiendo en funciones de software program, y cada vez más equipos de SOC están recurriendo a agentes de IA supervisados para manejar el volumen. Los analistas humanos están cambiando sus prioridades para investigar, revisar y tomar decisiones de casos extremos. Los tiempos de respuesta se están reduciendo.
Sin embargo, no integrar el conocimiento y la intuición humana tiene un alto costo. Gartner predice Más del 40% de los proyectos de IA agentes serán cancelados. para finales de 2027, siendo los principales impulsores un valor empresarial poco claro y una gobernanza inadecuada. Es aún más importante lograr una gestión correcta del cambio y garantizar que la IA generativa no se convierta en un agente del caos en el SOC.
Por qué es necesario cambiar el modelo SOC heredado
El agotamiento es tan grave hoy en día en muchos SOC que Los analistas senior están considerando cambios de carrera.. Los SOC heredados que tienen múltiples sistemas que entregan alertas conflictivas y muchos sistemas que no pueden comunicarse entre sí en absoluto, están haciendo que el trabajo sea una receta para el agotamiento, y la reserva de talentos no puede recargarse más rápido de lo que el agotamiento la vacía.
Documentos del Informe de amenazas globales 2025 de CrowdStrike tiempos de ruptura tan rápidos como 51 segundos y descubrió que el 79% de las intrusiones ahora están libres de malware. En cambio, los atacantes recurren al abuso de identidad, el robo de credenciales y técnicas de subsistencia. La clasificación guide creada para ciclos de respuesta por horas no puede competir.
Como Matthew Sharp, CISO de Xactly, dijo a CSO en línea: “Los adversarios ya están utilizando la IA para atacar a la velocidad de las máquinas. Las organizaciones no pueden defenderse de los ataques impulsados por la IA con respuestas a la velocidad de los humanos”.
Cómo la autonomía limitada comprime los tiempos de respuesta
Las implementaciones de SOC que comprimen los tiempos de respuesta comparten un patrón común: autonomía limitada. Los agentes de IA manejan la clasificación y el enriquecimiento automáticamente, pero los humanos aprueban las acciones de contención cuando la gravedad es alta. Esta división del trabajo procesa el volumen de alertas a la velocidad de la máquina y al mismo tiempo mantiene el juicio humano sobre las decisiones que conllevan riesgos operativos.
La detección basada en gráficos cambia la forma en que los defensores ven la crimson. Los SIEM tradicionales muestran eventos aislados. Las bases de datos gráficas muestran las relaciones entre esos eventos, lo que permite a los agentes de IA rastrear rutas de ataque en lugar de clasificar las alertas una por una. Un inicio de sesión sospechoso se ve diferente cuando el sistema comprende que la cuenta está a dos saltos del controlador de dominio.
Las ganancias de velocidad son mensurables. La IA comprime los plazos de investigación de amenazas y al mismo tiempo aumenta la precisión de las decisiones de los analistas senior. Implementaciones separadas muestran que la clasificación basada en IA logra un acuerdo de más del 98 % con las decisiones de expertos humanos y, al mismo tiempo, scale back las cargas de trabajo manuales en más de 40 horas por semana. La velocidad no significa nada si la precisión disminuye.
ServiceNow e Ivanti señalan un cambio más amplio hacia operaciones de TI agentes
Gartner predice que la IA multiagente en la detección de amenazas aumentará 5% a 70% de implementaciones para 2028. ServiceNow gastó aproximadamente $ 12 mil millones en adquisiciones de seguridad solo en 2025. Ivanti, que comprimió una hoja de ruta de tres años de endurecimiento del kernel en 18 meses cuando los atacantes de los estados-nación validaron la urgencia, anunció capacidades de IA agente para la gestión de servicios de TI, llevando el modelo de autonomía limitada que remodela los SOC al servicio de atención al cliente. La versión preliminar para clientes se lanzará en el primer trimestre y estará disponible de forma basic más adelante en 2026.
Las cargas de trabajo que rompen los SOC también están rompiendo los escritorios de servicio. Robert Hanson, CIO de Grand Financial institution, enfrentó la misma limitación que los líderes de seguridad conocen bien. “Podemos ofrecer soporte las 24 horas del día, los 7 días de la semana y, al mismo tiempo, liberar nuestro servicio de asistencia técnica para centrarnos en desafíos complejos”, afirmó Hanson. Cobertura continua sin plantilla proporcional. Ese resultado está impulsando la adopción en los servicios financieros, la atención médica y el gobierno.
Tres límites de gobernanza para una autonomía limitada
Una autonomía limitada requiere límites de gobernanza explícitos. Los equipos deben especificar tres cosas: en qué categorías de alerta los agentes pueden actuar de forma autónoma, cuáles requieren revisión humana independientemente del puntaje de confianza y qué rutas de escalada se aplican cuando la certeza cae por debajo del umbral. Los incidentes de alta gravedad requieren la aprobación humana antes de su contención.
Tener una gobernanza implementada antes de implementar la IA en los SOC es basic si cualquier organización quiere obtener los beneficios de tiempo y contención que ofrece esta última generación de herramientas. Cuando los adversarios utilizan la IA como arma y explotan activamente las vulnerabilidades CVE más rápido de lo que responden los defensores, la detección autónoma se convierte en la nueva apuesta para mantenerse resiliente en un mundo de confianza cero.
El camino a seguir para los líderes de seguridad
Los equipos deben comenzar con flujos de trabajo en los que los errores sean recuperables. Tres flujos de trabajo consumen el 60% del tiempo del analista y aportan un valor de investigación mínimo: clasificación de phishing (las escaladas omitidas pueden detectarse en una revisión secundaria), automatización del restablecimiento de contraseña (radio de explosión bajo) y coincidencia de indicadores conocidos como incorrectos (lógica determinista).
Automatícelos primero y luego valide la precisión frente a las decisiones humanas durante 30 días.
