La forma en que las empresas protegen su información está cambiando rápidamente. Un estudio global de Kaspersky revela que cerca del 90% de las organizaciones ya no gestiona su ciberseguridad únicamente con equipos internos, sino que combina capacidades propias con apoyo externo. En el centro de este cambio están los llamados Centros de Operaciones de Seguridad (SOC), donde se monitorean sistemas, se detectan amenazas y se responde a incidentes en tiempo real, las 24 horas del día.
A medida que los ciberataques se vuelven más complejos y constantes, mantener esta operación de forma interna resulta cada vez más difícil, lo que está llevando a las compañías a replantear cómo proteger su negocio.
Esta tendencia ya se refleja en decisiones concretas dentro de las organizaciones. Según el estudio, el 64% de las empresas planea tercerizar parte de su operación de ciberseguridad, combinando capacidades internas con experiencia externa. Mientras tanto, más de una cuarta parte de los encuestados (26%) está lista para adoptar completamente un modelo gestionado como servicio. Por el contrario, sólo el 9% considera operar esta capacidad de forma totalmente interna, lo que evidencia las dificultades de sostener monitoreo continuo y atraer talento especializado.
Externalizar esta operación permite a las empresas apoyarse en especialistas para gestionar desde tareas específicas hasta toda su ciberseguridad. Esto incluye desde la puesta en marcha de la operación y el mantenimiento de las herramientas, hasta el monitoreo continuo, el análisis de amenazas y la respuesta a incidentes en tiempo real, junto con el acompañamiento a los equipos internos.
La mayoría de las empresas prefieren mantener las tareas estratégicas internamente, mientras aprovechan equipos externos y tecnologías avanzadas para cargas de trabajo operativas y altamente técnicas. Entre las organizaciones que planean tercerizar funciones del SOC, las tareas más comúnmente delegadas a terceros incluyen la instalación y despliegue de soluciones (55%), el desarrollo y aprovisionamiento de soluciones (53%) y el diseño del SOC (47%).
Al contratar especialistas externos para el SOC, las empresas también mostraron una clara preferencia por aumentar roles específicos, siendo los analistas de primera línea (61%) y los analistas de segunda línea (52%) los más demandados entre los especialistas externos. Estas cifras ilustran que las empresas se enfocan más en tareas de seguridad de primera línea e intermedias, como el monitoreo y la respuesta ante amenazas.
¿Por qué las organizaciones eligen la tercerización del SOC?
El principal motivo para la tercerización del SOC es la necesidad de protección 24/7 (55%), un requisito operativo que muchos equipos internos no pueden sostener por sí solos. Otro beneficio altamente mencionado es la reducción de la carga de trabajo de los especialistas internos en seguridad de TI (47%), lo que permite a los equipos concentrarse en tareas estratégicas.
Además, el acceso a soluciones y tecnologías avanzadas (42%) y el apoyo externo para garantizar el cumplimiento de los requisitos y estándares regulatorios (41%) impulsan aún más la decisión de tercerizar, destacando el valor de la experiencia especializada y las herramientas de vanguardia como XDR, MDR, MXDR y otras.
La optimización del presupuesto es importante solo para el 37% de las empresas, lo que indica que el valor principal de la tercerización reside en una mejor protección y no solo en el ahorro de costos.
“Lo que estamos viendo es un cambio claro en la forma en que las empresas están gestionando su ciberseguridad. Cada vez más organizaciones están dejando de operar todo internamente y optan por apoyarse en especialistas externos para poder responder a amenazas que no se detienen. Esto les permite mantener una vigilancia constante y reaccionar a tiempo frente a incidentes que pueden afectar directamente la operación del negocio”, comenta Daniela Álvarez de Lugo, Gerente General para NOLA en Kaspersky.
Para las empresas que planean construir un SOC, Kaspersky recomienda lo siguiente:
● Contar con acompañamiento especializado desde el inicio: definir la arquitectura, los procesos y los roles desde el principio es clave para evitar reprocesos y construir una operación que realmente funcione en el día a día.
● Centralizar y analizar la información de seguridad: herramientas tipo SIEM permiten recopilar y correlacionar datos de toda la infraestructura tecnológica, facilitando la detección temprana de incidentes y una mejor toma de decisiones.
● Asegurar visibilidad y capacidad de respuesta en tiempo real: más allá de prevenir, las organizaciones necesitan detectar y reaccionar rápidamente ante amenazas, con capacidades de monitoreo continuo e investigación de incidentes.
● Incorporar inteligencia de amenazas en la operación: contar con información actualizada sobre tácticas y riesgos ayuda a anticiparse y priorizar mejor los esfuerzos de seguridad.
● Complementar las capacidades internas con tecnología y experiencia externa: apoyarse en soluciones y servicios especializados puede acelerar la implementación y mejorar la efectividad de la operación sin aumentar significativamente la carga interna.
