Hitachi Vantara potencia el almacenamiento híbrido en Azure
Casi la mitad de las empresas latinoamericanas planea implementar un SOC para enfrentar la escalada de ciberataques en la región.
La adopción de centros de operaciones de seguridad (SOC) avanza con fuerza en América Latina. Según un estudio reciente de Kaspersky, el 49% de las organizaciones de la región planea establecer uno de estos centros especializados, mientras que un 42% busca mejorar de forma específica su capacidad de respuesta ante incidentes digitales. Los datos, recogidos entre directivos y especialistas senior de empresas con 500 o más empleados en 16 países, dibujan un panorama en el que la pregunta ya no es si implementar un SOC, sino cómo hacerlo con eficacia.
Un SOC es una unidad interna encargada de monitorear de forma continua la infraestructura tecnológica de una organización. Sus analistas vigilan redes, identifican comportamientos anómalos y gestionan la respuesta ante incidentes en tiempo real. La definición es técnica, pero su impacto es estratégico: para muchas organizaciones, contar con esta capacidad marca la diferencia entre contener una amenaza y sufrir una brecha de consecuencias mayores.
¿Qué empuja a las empresas a dar este paso?
Los motivos que llevan a una organización a contemplar la creación de un SOC son variados, aunque convergen en una misma dirección: reducir el tiempo de exposición ante amenazas cada vez más sofisticadas. El fortalecimiento de la postura de ciberseguridad y la detección más rápida de incidentes lideran las razones citadas en el estudio. A estas se suman la necesidad de proteger información confidencial (40%), el cumplimiento de requisitos regulatorios (39%) y, en menor medida, la búsqueda de una ventaja competitiva (33%).
Las organizaciones de mayor tamaño mencionan cada uno de estos factores con mayor frecuencia, lo que refleja la presión adicional que ejercen sobre ellas tanto los reguladores como el volumen y complejidad de sus operaciones digitales.
Entre las funciones que las empresas planean delegar a estos centros, el monitoreo de seguridad ininterrumpido —las 24 horas del día, los siete días de la semana— encabeza la lista con un 54%. Esta vigilancia permanente no solo permite detectar anomalías antes de que escalen, sino que representa un cambio de mentalidad: pasar de una gestión reactiva de los riesgos a una postura de defensa activa y continua.
Centros de operaciones de seguridad: ¿internos o externalizados?
Una de las decisiones más relevantes en la implementación de un SOC es si operarlo internamente o externalizarlo. El estudio identifica diferencias claras en las prioridades según el modelo elegido. Las organizaciones que optan por la externalización muestran mayor interés en aplicar metodologías de mejora continua a partir de incidentes pasados; las que desarrollan capacidades internas priorizan el control de accesos y la gestión directa de los recursos.
Andrea Fernández, gerente general para el Sur de América Latina en Kaspersky, advierte sobre un error frecuente en los proyectos de externalización: “Lo que se terceriza es la operación, no la responsabilidad. Los acuerdos de nivel de servicio, las reglas de confidencialidad y las políticas las define el dueño del dato, no el operador”. Esta distinción es fundamental para evitar vacíos de gobernanza en esquemas híbridos o totalmente externalizados.
La ejecutiva también subraya el valor de incorporar inteligencia de amenazas al funcionamiento del SOC, una capa que permite anticipar riesgos en lugar de limitarse a reaccionar ante ellos, con especial utilidad cuando la información proviene de organizaciones del mismo sector.
Más allá de la tecnología —plataformas SIEM, soluciones EDR y XDR, o herramientas de threat intelligence—, el mensaje central del informe de Kaspersky es que la efectividad de un SOC depende del diseño de sus procesos y de la claridad de sus objetivos. Implementar herramientas sin una arquitectura operativa definida produce centros que generan alertas sin capacidad real de respuesta.
Para los CIO y CISO de la región, la conclusión es directa: el momento de planificar esta capacidad no es después del próximo incidente.
