A la decisión de tu plataforma de automatización de IA le falta alguien.

A la decisión de tu plataforma de automatización de IA le falta alguien.

avatar de usuario
Juan Doetch
4 Minuto de lectura

Por qué la experiencia del analista del SOC debería guiar su decisión sobre la automatización con IA.

Imagínese esto: su equipo de ingeniería de seguridad pasa semanas evaluando plataformas de automatización con IA. Realizan pruebas de concepto, someten a pruebas de estrés las integraciones y debaten qué herramienta facilita la creación de manuales de procedimientos de la forma más eficiente. Eligen una ganadora. La implementación va bien. Y luego, seis meses después, los índices de satisfacción de los analistas se mantienen estables, el tiempo medio de resolución de problemas (MTTR) no ha variado y la plataforma parece haber sido diseñada para otra persona.

Porque lo era.

Este es uno de los errores más comunes y costosos que cometen las organizaciones al seleccionar una plataforma de automatización de IA. El equipo de ingeniería de seguridad realiza la evaluación y crea las automatizaciones, pero los analistas del SOC son los responsables de la experiencia diaria.

plataforma de automatización de seguridad

El punto ciego de la evaluación

Es lógico que los ingenieros de seguridad lideren las evaluaciones de la plataforma, ya que configuran las integraciones, escriben manuales de procedimientos y diseñan flujos de trabajo de automatización, por lo que deberían tener un papel destacado en la toma de decisiones.

Pero la realidad es la siguiente: una vez que esos manuales de procedimientos están listos y en funcionamiento, el equipo de ingeniería se retira. Entran en escena los analistas. Ellos priorizan las alertas, investigan incidentes y toman decisiones bajo presión a diario. Son los principales usuarios de la plataforma, todos los días.

Las investigaciones de Swimlane demuestran sistemáticamente que menos de 15% del tiempo invertido en una plataforma de automatización de seguridad se destina a tareas de orquestación y creación de manuales de procedimientos. Los 85% restantes corresponden a analistas que trabajan en casos, revisan datos, colaboran con sus compañeros y gestionan la resolución de incidentes.

Al optimizar la selección de plataforma para el 15%, estás complicando innecesariamente la configuración del otro 85%.

Las plataformas suelen separar la automatización y la gestión de casos en sistemas independientes. Los analistas cambian constantemente de herramienta. El contexto se dispersa.

“Simplemente utilice una herramienta de gestión de casos de terceros”

Algunos proveedores en el espacio de automatización de seguridad han sugerido esto como solución: si el nativo experiencia de analista Si no es lo ideal, recomiende a su equipo una herramienta de gestión de casos de terceros e incorpórela.

Este consejo no da en el clavo.

La gestión de casos no es un complemento opcional. Es el núcleo operativo del SOC. Es donde reside el contexto, donde se fomenta la colaboración, donde se captura el conocimiento institucional y donde la dirección obtiene visibilidad de lo que está sucediendo. Cuando esto se aísla en una herramienta independiente —desconectada de la automatización, los datos y los flujos de trabajo— no se resuelve el problema, sino que se lo disimula.

Peor aún, se genera fricción. Los analistas ahora cambian constantemente de sistema, reingresan datos y pierden el hilo conductor entre el enriquecimiento automatizado y la investigación humana. Esa fricción cuesta tiempo. El tiempo cuesta dinero. Y en seguridad, el tiempo genera riesgo.

Qué significa la experiencia como analista

La experiencia de los analistas influye directamente en la velocidad, la coherencia y el valor que el SOC demuestra a la dirección.

Cuando hablamos de la experiencia del analista, no nos referimos a una interfaz de usuario limpia ni a un modo oscuro. Nos referimos a si la plataforma ayuda a los analistas a avanzar en los casos con menos fricción, mejor criterio y mayor coherencia. Esto significa preguntarse si su plataforma ofrece:

  • Gestión integral de casos que reside dentro de la misma plataforma donde se ejecuta la automatización, y no a través de una transferencia de datos a otra herramienta.
  • A Modelo de datos común Esto normaliza los datos en todas las integraciones, de modo que los analistas ven información coherente y estructurada, en lugar de resultados brutos y confusos procedentes de docenas de herramientas.
  • Aplicaciones de analista diseñadas específicamente para este fin Con campos personalizados, interfaces de usuario adaptadas y flujos de trabajo diseñados en función de cómo piensan y priorizan realmente los analistas, y no en función de lo que fuera más fácil de construir para los ingenieros.
  • Paneles de control e informes que brindan a los analistas visibilidad en tiempo real sobre el estado de los casos y proporcionan a los líderes las métricas que necesitan para demostrar el valor del SOC.
  • Soporte para la toma de decisiones basado en IA Esto genera recomendaciones, automatiza las tareas repetitivas y mejora el criterio de los analistas. La IA en el SOC no debe eludir a los analistas, sino potenciar su rapidez y precisión. Las mejores implementaciones ofrecen información valiosa, recomendaciones de resolución y un plan de respuesta basado en las herramientas ya disponibles, incluso antes de que el analista intervenga en un caso. Ellos toman la decisión. Así se reduce el tiempo medio de resolución y se retiene el talento.

Los resultados empresariales que importan

Todos los CISO y directores de SOC tienen una versión de la misma conversación con la dirección: "¿Qué está haciendo el SOC y está funcionando?". Los resultados empresariales que se les exigen no son abstractos. Son concretos:

  • Reducción de riesgos y garantía de la misión
  • Eficiencia operativa y escala
  • Retención de la experiencia y el conocimiento del analista
  • Cumplimiento normativo, costes y fomento del crecimiento

Ninguno de estos resultados es alcanzable si sus analistas están frustrados, son lentos o trabajan evitando la plataforma en lugar de utilizarla. Experiencia del analista es una palanca de eficiencia operativa. Retención de analistas es una palanca de riesgo. Conocimiento capturado en la gestión integrada de casos. es Resiliencia institucional. No se trata de beneficios intangibles. Son resultados medibles, que se pueden evaluar en los consejos de administración.

Una plataforma que haga felices a tus ingenieros pero infelices a tus analistas no cumplirá con las expectativas de ninguno de ellos.

Un mejor marco de evaluación

La solución no consiste en dejar de lado a los ingenieros de seguridad en la evaluación, sino en involucrar a todo el equipo. He aquí un planteamiento sencillo:

Área de evaluaciónPunto de vista del ingenieroPunto de vista del analista (No te lo saltes)
Creador de manuales de jugadasFacilidad para crear automatizaciones, flexibilidad de bajo código, profundidad de integración.¿Cómo se presentan los resultados a los analistas? ¿Es legible y útil la información adicional?
Gestión de casos¿Podemos personalizar los campos y las estructuras de datos?¿Resulta intuitivo priorizar, investigar y documentar los hallazgos en un solo lugar?
Modelo de datos¿Hasta qué punto se normalizan los datos ingeridos en las distintas integraciones?¿Estoy viendo datos coherentes y estructurados o estoy interpretando la salida bruta de la herramienta?
Informes¿Podemos crear paneles de control personalizados para las métricas operativas?¿Puedo ver rápidamente mi carga de trabajo, la cola de prioridad y el estado del SLA de un vistazo?
Capacidades de IA¿Qué tareas de automatización realiza la IA?¿La IA me ayuda a tomar mejores decisiones o simplemente reduce la cantidad de tickets en mi cola?

El usuario más importante de su SOC

Los ingenieros de seguridad son indispensables. La automatización que desarrollan es lo que permite la escalabilidad. Pero en el ritmo diario de las operaciones de seguridad, el analista es el usuario más importante de la plataforma. Son ellos quienes detectan amenazas, resuelven casos y protegen a la organización, turno tras turno.

Al elegir una plataforma que se adapte a sus necesidades —con gestión de casos integrada, un modelo de datos coherente, aplicaciones diseñadas específicamente e inteligencia artificial que complementa en lugar de marginar— no solo mejora su experiencia, sino también todos los resultados que le importan a su organización: tiempos de respuesta más rápidos, mayor retención de analistas, mejor cumplimiento normativo y un SOC que pueda demostrar su valor.

La próxima vez que tu equipo evalúe una plataforma de automatización de seguridad, hazte una pregunta sencilla antes de empezar: "¿Para quién es realmente?". Luego, asegúrate de que las personas que pasan 85% de su día usándola estén presentes cuando tomes la decisión.

Obtenga una demostración en vivo de la turbina Swimlane

Vea la diferencia de carriles de natación

Swimlane se centra en la experiencia del analista, con gestión de casos integrada, un modelo de datos común, un creador de aplicaciones y Hero AI trabajando conjuntamente en una única plataforma. ¿Quieres ver cómo se ve desde la perspectiva del analista?

Solicitar demostración

Etiquetas

AIAutomatización

La guía definitiva de proveedores de SOC de IA
Leer más
Preguntas que debe hacer al evaluar un proveedor de automatización de IA
Leer más
Informe de SOC de IA para MDR del analista de software Cyber Research
Informe del analista: AI SOC para MDR
Leer más

Solicitar una demostración en vivo