El modelo actual de SOC depende de un recurso escaso: los analistas humanos. Estos profesionales son caros, están muy solicitados y es cada vez más difícil retenerlos. Su trabajo no solo es altamente técnico y de alto riesgo, sino también extremadamente repetitivo y debe lidiar con un flujo constante de alertas e incidentes. Como resultado, los analistas de SOC a menudo se van en busca de un mejor salario, la oportunidad de pasar de un puesto más gratificante al SOC o simplemente tomarse descansos muy necesarios. Esta alta tasa de rotación coloca al SOC en una posición vulnerable, lo que pone en peligro la eficacia general de las operaciones de ciberseguridad.

Para que su equipo sea resiliente y mantenga la eficiencia operativa, es esencial tomar medidas proactivas para reducir el agotamiento y mejorar la retención. A continuación, se presentan cinco estrategias que pueden marcar la diferencia.

Por qué el agotamiento del analista es más importante que nunca.

El agotamiento de los analistas de los centros de operaciones de seguridad (SOC) se está convirtiendo en un problema crítico a medida que evoluciona el panorama de la ciberseguridad. Los centros de operaciones de seguridad (SOC) se enfrentan a un número cada vez mayor de alertas diarias que investigar, y el 97 % de las organizaciones observan aumentos interanuales en la cantidad de alertas generadas, según el informe de Osterman Research, «Making the SOC More Efficient» (octubre de 2024) . Este aumento es abrumador para los analistas, que son responsables de clasificar e investigar una avalancha de datos a diario.

Para agravar aún más este problema, se encuentra la creciente acumulación de alertas e incidentes no abordados. El mismo informe revela que el 89,6 % de las organizaciones experimentan un aumento continuo de sus atrasos en materia de seguridad. A medida que aumenta el número de alertas, también lo hace la presión sobre los equipos del SOC para gestionarlas. Sin embargo, dado que solo se aborda el 19 % de las alertas, la carga de trabajo se convierte en un círculo vicioso que genera una presión incesante sobre los analistas.

Esta carga de trabajo inmanejable contribuye directamente al estrés y al agotamiento laboral. Resulta alarmante que el 80,8 % de los encuestados espere que este estrés empeore en los próximos dos años si no se mejoran los enfoques actuales de los SOC. Los SOC no pueden permitirse perder más analistas, pero la reserva de talentos en materia de ciberseguridad se está reduciendo. Según el estudio ISC² Workforce Study 2023, actualmente hay 4 millones de puestos vacantes en ciberseguridad en EE. UU., un aumento interanual del 8 %. Dado que el 67 % de las organizaciones ya informan de escasez de personal, la salida de cada analista agrava el problema, lo que genera más tensión para los que se quedan.

Ante estos desafíos, es fundamental aliviar la carga de los analistas del SOC. Automatizar las tareas rutinarias, permitir el crecimiento de los empleados y fomentar un equilibrio más saludable entre el trabajo y la vida personal son esenciales para evitar el agotamiento. Las organizaciones deben invertir en sus equipos del SOC ahora para asegurarse de que puedan mantenerse al día con las amenazas cambiantes y, al mismo tiempo, mantener una fuerza laboral saludable y sostenible.

6 sencillos pasos para eliminar el agotamiento del analista del SOC:

Para que el SOC funcione sin problemas, es esencial que los líderes adopten medidas proactivas para reducir el agotamiento y mejorar la retención. Afortunadamente, ahora es más fácil que nunca implementar cambios significativos que tengan un impacto positivo en la vida diaria de los analistas del SOC. A continuación, se indican seis pasos clave para reducir el agotamiento de los analistas:

  1. Automatizar la investigación y el triaje de alertas
    La dura realidad es que simplemente no hay suficientes analistas humanos para manejar el abrumador volumen de alertas que inundan los SOC actuales. Esto significa que el trabajo crucial a menudo se filtra o, peor aún, se deja sin terminar, lo que aumenta el riesgo de pasar por alto amenazas críticas. Cada alerta debe revisarse para reducir el riesgo, sin embargo, los esfuerzos de automatización de los SOC no han podido replicar por completo la toma de decisiones matizada de los analistas humanos cuando se trata de clasificar e investigar alertas. Esto ha dejado a los humanos al mando de la investigación.

Con los recientes avances en inteligencia artificial aplicada a agentes , estamos viendo un gran avance en la automatización de los centros de operaciones de seguridad (SOC). La IA ahora es capaz de automatizar hasta el 90 % de las tareas de nivel 1 que antes agobiaban a los analistas humanos. Esto no solo garantiza que las alertas críticas se aborden más rápido, sino que también libera a los analistas para que se concentren en un trabajo más complejo y gratificante. Al trasladar las tareas tediosas y repetitivas a la IA, las organizaciones pueden mitigar el riesgo de ataques no detectados y, al mismo tiempo, ofrecer a sus analistas humanos funciones más satisfactorias que reducen el agotamiento y aumentan la retención.

  1. Cambiar la naturaleza del trabajo del analista
    Es necesario un cambio fundamental en el modelo SOC para que los analistas pasen de «hacer el trabajo» a «revisar el resultado de la IA». Esta transición trae consigo varios beneficios importantes. En primer lugar, elimina las tareas tediosas y repetitivas que suelen provocar agotamiento, lo que permite a los analistas centrarse en la toma de decisiones más estratégicas, el desarrollo de habilidades y el trabajo de mayor valor. En segundo lugar, aumenta exponencialmente la productividad, ya que lo que antes le llevaba a un analista 40 minutos ahora lo puede hacer la IA en segundos.

La clave para que este modelo tenga éxito es aprovechar la IA de Agentic, que funciona como un verdadero analista de SOC de IA . Estas herramientas ofrecen resultados listos para tomar decisiones, que incluyen un veredicto de clasificación, el alcance del incidente, un análisis de la causa raíz y un plan de acción detallado. Con esta información integral a mano, los analistas humanos de SOC pueden comprender rápidamente la situación, entender cómo la IA llegó a sus conclusiones y validar con confianza los resultados. A partir de ahí, pueden seleccionar las acciones de respuesta adecuadas, lo que reduce drásticamente el esfuerzo manual y garantiza una resolución rápida y precisa de los incidentes. Este cambio no solo mejora la eficacia del SOC, sino que también mejora la satisfacción laboral al permitir que los analistas realicen un trabajo más significativo y de alto impacto.

  1. Implementar la automatización de respuestas
    Una vez que se valida un incidente, el siguiente paso (contención y respuesta) suele ser la parte más estresante del proceso. Es un proceso que requiere tiempo y es propenso a errores debido a la necesidad de coordinar acciones entre múltiples herramientas. Sin embargo, cuando la clasificación y la investigación son manejadas por IA , las acciones correctivas se vuelven mucho más simples.

Los analistas de los SOC con inteligencia artificial pueden generar planes de respuesta detallados que los analistas pueden ejecutar manualmente, iniciar con un solo clic o ejecutar automáticamente sin intervención humana. Esto reduce la posibilidad de errores, acelera los tiempos de respuesta y alivia la presión de los analistas humanos durante los momentos críticos. Al automatizar estos flujos de trabajo, los SOC pueden responder de manera más rápida y eficiente a las amenazas y, al mismo tiempo, minimizar el estrés y el agotamiento de sus equipos.

  1. Proporcionar formación continua
    Los analistas de SOC suelen aportar conjuntos de habilidades diversos, moldeados por su educación y funciones anteriores, pero muchos están ansiosos por avanzar en sus carreras perfeccionando su experiencia en ciberseguridad. La IA de Agentic ofrece una oportunidad única para la capacitación en el trabajo, ya que no solo automatiza las investigaciones, sino que también explica sus conclusiones y proporciona planes de respuesta detallados. Esto es invaluable porque la IA no solo se encarga del trabajo, sino que educa a los analistas a lo largo del camino al generar instrucciones específicas para cada incidente para la contención y la remediación.

Al trabajar junto con la IA, los analistas aprenden las mejores prácticas de triaje, investigación y respuesta, a la vez que se familiarizan con nuevas herramientas y métodos que quizás no hayan conocido antes. Es como tener un mentor integrado en el sistema que les muestra cómo un analista con más experiencia abordaría un problema en particular. Este aprendizaje continuo no solo ayuda a los analistas a desarrollar sus habilidades, sino que también los prepara para roles más importantes en el futuro, creando una fuerza laboral más capaz y satisfecha.

  1. Mejorar la integración de herramientas
    La optimización de los flujos de trabajo es fundamental para reducir la complejidad a la que se enfrentan a diario los analistas de SOC. Un enfoque eficaz consiste en aprovechar elementos interactivos como las interfaces de chatbot o copiloto, que permiten a los analistas realizar búsquedas de amenazas y exploración de datos en múltiples herramientas de seguridad desde una única interfaz. En lugar de saltar de una plataforma a otra y agregar información manualmente, los analistas pueden hacer preguntas, investigar más a fondo los incidentes y recopilar rápidamente información, todo en un solo lugar.

Esta integración no solo permite profundizar más en las amenazas, sino que también ayuda a los analistas a identificar tendencias, descubrir patrones y obtener un contexto valioso sin la molestia de tener que utilizar varias herramientas. Con una interfaz unificada y sin inconvenientes, los analistas pueden centrarse en comprender y responder a las amenazas más rápidamente, lo que mejora su productividad y reduce la frustración asociada con la proliferación de herramientas.

  1. Garantizar el equilibrio entre vida laboral y personal
    Con analistas de SOC de IA a cargo del trabajo de primera línea, hay mucha menos necesidad de que los analistas humanos trabajen de noche, los fines de semana o los días festivos para mantener una cobertura las 24 horas del día, los 7 días de la semana. La IA puede monitorear alertas, realizar investigaciones e incluso escalar verdaderos positivos a través de plataformas de comunicación como Slack, Teams o correo electrónico. Puede solicitar aprobación para tomar medidas o ejecutar flujos de trabajo de remediación, lo que permite a los analistas gestionar incidentes críticos sin verse envueltos en investigaciones largas y tediosas durante su tiempo de inactividad.

Esto permite a los analistas mantener un equilibrio más saludable entre el trabajo y la vida personal, sabiendo que pueden responder a situaciones críticas rápidamente desde sus dispositivos móviles sin sacrificar su tiempo personal. Al reducir la necesidad de una disponibilidad de guardia constante, la IA ayuda a crear un entorno de trabajo más sostenible, minimizando el agotamiento y garantizando que el SOC se mantenga completamente operativo las 24 horas del día.

En el exigente entorno de ciberseguridad actual, el agotamiento de los analistas de los SOC es un problema crítico que debe abordarse para el éxito a largo plazo de las operaciones de seguridad. Al implementar la automatización impulsada por IA, mejorar los flujos de trabajo y fomentar un equilibrio saludable entre el trabajo y la vida personal, los SOC pueden crear un entorno más eficiente y sostenible, lo que permite a los analistas prosperar y, al mismo tiempo, reducir el riesgo de agotamiento.

Fuente y redacción: thehackernews.com

Compartir