Cuando una organización empieza a evaluar si necesita un SOC (centro de operaciones de seguridad) propio, casi siempre arranca el ejercicio con la misma pregunta: ¿cuánto cuesta contratar a los analistas? Es una pregunta razonable, pero incompleta y esa incompletud es exactamente donde se esconden los costos que después desbalancean el presupuesto.
Un analista de seguridad no trabaja solo, ni trabaja ocho horas al día cuando las amenazas no respetan horario de oficina. Para sostener monitoreo real, una organización necesita cubrir turnos, tener respaldo cuando alguien se enferma o toma vacaciones, y garantizar que siempre haya al menos una persona con el criterio suficiente para escalar un incidente grave a las tres de la mañana. Ese primer descubrimiento,que un SOC funcional no es una persona, sino un equipo con cobertura continua, ya multiplica el costo inicial que la mayoría de los directores de TI y CFOs tenían en mente.
Y eso es apenas el comienzo del ejercicio real de costeo.
Los costos que no aparecen en el presupuesto inicial
Más allá de los salarios, sostener un SOC interno implica una serie de costos que rara vez se calculan de entrada porque no son evidentes hasta que la operación ya está en marcha:
- Herramientas y licenciamiento. Un equipo de seguridad necesita tecnología para detectar, correlacionar y responder a amenazas. Esa tecnología no es gratuita, requiere actualización constante y, en muchos casos, escala en costo conforme crece la infraestructura que protege.
- Capacitación continua. El panorama de amenazas cambia todo el tiempo. Un analista capacitado hace dos años no necesariamente está preparado para las técnicas de ataque de hoy. Mantener al equipo actualizado implica tiempo y presupuesto que compiten directamente con la operación diaria.
- Gestión y liderazgo del equipo. Alguien tiene que coordinar turnos, revisar desempeño, definir procesos de escalamiento y mantener al equipo alineado con los objetivos de negocio. Esa función de liderazgo casi nunca se contempla como parte del costo del SOC, aunque consume tiempo de alguien con un salario considerablemente más alto que el del analista promedio.
- Tiempo de maduración. Un SOC no opera con eficiencia desde el primer día. Toma meses — a veces más de un año — que un equipo interno desarrolle el contexto suficiente sobre la infraestructura específica de la organización como para distinguir con precisión una anomalía real de un falso positivo.
Sumados, estos costos suelen representar un múltiplo considerable del salario base que originó la conversación de presupuesto.
El costo de la rotación y el conocimiento que se va con ella
Hay un costo adicional que rara vez entra en cualquier hoja de cálculo: la rotación de personal especializado en ciberseguridad es alta en toda la región, y cada salida se lleva consigo algo que no se puede recontratar de inmediato — el conocimiento acumulado sobre cómo se comporta específicamente la infraestructura de esa organización.
Cuando un analista senior deja el equipo, no solo hay que cubrir la vacante. Hay que reconstruir meses de contexto operativo: qué patrones son normales en esa red, qué sistemas son críticos, qué falsos positivos ya se habían identificado y depurado. Mientras ese conocimiento se reconstruye, la organización opera con un nivel de riesgo más alto del que su presupuesto de seguridad sugiere.
En mercados donde la demanda de talento especializado en ciberseguridad supera ampliamente a la oferta — como ocurre en buena parte de México y América Latina — este ciclo de rotación y reconstrucción de conocimiento no es una excepción ocasional. Es una condición estructural con la que cualquier SOC interno tiene que convivir de forma permanente.
Cuando el “ahorro” de operar solo termina costando más
La decisión de construir un SOC interno suele tomarse pensando que evita depender de un tercero y da control total sobre la seguridad. Ambas cosas son ciertas en teoría. En la práctica, ese control tiene un costo total de propiedad que casi nunca se calcula de forma completa antes de tomar la decisión — y que, cuando se hace la suma real, con frecuencia supera por un margen amplio lo que cuesta operar la seguridad con un socio especializado.
Esto no significa que un SOC interno sea siempre la decisión equivocada. Significa que la pregunta correcta no es “¿cuánto cuesta un analista?”, sino “¿cuánto cuesta sostener, de forma continua y madura, la capacidad de detectar y responder a amenazas reales?”. Esa es la pregunta que un CFO o un director general debería estar haciendo antes de aprobar el presupuesto de seguridad del próximo año.
En la práctica
Uno de los costos ocultos más difíciles de justificar en un SOC interno es la protección continua de entornos en la nube, donde la superficie de ataque cambia constantemente y las amenazas se mueven con la misma velocidad con la que se despliegan nuevos servicios. Mantener ese nivel de vigilancia con un equipo propio exige personal altamente especializado, disponible las 24 horas, y herramientas que se actualicen al ritmo en que evolucionan las técnicas de ataque dirigidas a infraestructura en la nube — exactamente el tipo de costo compuesto descrito en este artículo.
TBSEK opera esta capa de protección utilizando CrowdStrike como parte de su servicio de ciberseguridad en la nube. En lugar de que la organización tenga que construir y sostener ese equipo especializado por su cuenta, TBSEK integra la detección y respuesta en entornos cloud dentro de su operación continua: monitoreo permanente, identificación de comportamiento anómalo en cargas de trabajo y contenedores, y respuesta coordinada ante incidentes — todo como parte del servicio gestionado, sin que la organización tenga que reclutar, capacitar ni retener al personal necesario para operarlo internamente.
El resultado operativo es directo: la organización obtiene el nivel de protección continua que un entorno en la nube exige hoy, sin absorber el costo total —salarial, operativo y de rotación— de construir esa capacidad puertas adentro.