Aplicar IA en los SOC

En este artículo queremos analizar el impacto que puede tener aplicar IA en los SOC. ¿Cuáles serían las consecuencias de sustituir los equipos de soporte de nivel 1 por sistemas de Inteligencia Artificial en los Security Operation Center?

Con nuestras recién estrenadas lentes de ver el futuro, analizaremos el impacto a corto, medio y largo plazo para las empresas, los consultores y en general para todo el mercado tecnológico.

Los grupos de soporte de nivel 1 son un quebradero de cabeza para sus gestores

A día de hoy, los grupos de soporte de nivel 1 son un quebradero de cabeza para las empresas consultoras:

  • Son un importante centro de coste porque emplean a un número elevado de consultores,
  • Muchos de ellos están recién salidos de un bootcamp, por lo que tienen una formación y experiencia limitados.
  • Aunque las tareas que deben realizar son sencillas, seguir un procedimiento en función del tipo de incidencia que reciben del SIEM a través del sistema de ticketing, hay que entrenar a los consultores para que puedan realizar dichos procedimientos de forma correcta.
  • Existen cientos de procedimientos, uno por cada posible tipo de incidencia y cliente. Aunque se cumple la regla de Pareto y el 20 por ciento de las incidencias ocurren el 80% de las ocasiones, la carga de entrenamiento sigue siendo elevada para estos procedimientos mas habituales.
  • Lo que también significa que la preparación es limitada para ese 80% de incidencias que ocurren con menos frecuencia.
  • Para terminar de complicar las cosas, la rotación es muy elevada.

En resumen, estos equipos de soporte de nivel 1 de los SOC son una fuente inagotable de problemas.

Los centros de soporte de nivel 1 tienen rendimientos decrecientes

Hay dos tipos de organizaciones, lineales y exponenciales.

  • Las lineales son aquellas que necesitan incrementar su plantilla para ampliar el número de clientes a los que prestan servicios. Extraen poco valor de su actividad, lo que penaliza su valoración.
  • Las exponenciales, por el contrario, no necesitan incrementar su fuerza de trabajo de forma significativa para multiplicar su facturación. Pueden extraer un enorme valor de su actividad, por lo que son las favoritas de los inversores.

Los centros de soporte de nivel 1, a pesar de los esfuerzos en automatización y orquestación (SIEM, XDR, SOAR) de los últimos años, siguen siendo organizaciones lineales. Al igual que en la mayor parte del sector tecnológico, el tamaño de los equipos humanos es directamente proporcional a la facturación y al número de clientes a los que se presta soporte. 

Es mas. Debido al creciente número de tecnologías en el mercado, en muchas ocasiones no solo hay que incorporar nuevos técnicos para atender a un nuevo cliente, además es necesario incorporar nuevos conocimientos en toda la organización. ¡La rentabilidad decrece con el crecimiento del equipo!

En el entorno actual de inflación de salarios y reducción de tarifas, el resultado es una erosión acelerada de los márgenes.

La primera consecuencia de todo este cúmulo de circunstancias es el empoderamiento de los departamentos de compras, que busca restaurar los márgenes obteniendo eficiencias de los proveedores.

La segunda es el incremento de la inversión en M&A (fusiones y adquisiciones), para intentar recuperar los márgenes adquiriendo unidades de negocio que si puedan obtener crecimientos exponenciales.

La adopción de la IA busca convertir los SOC en organizaciones exponenciales

Varias start-up en Europa, Estados Unidos y Asia, están trabajando para sustituir los consultores de estos centros de nivel 1 de los SOC por sistemas de Inteligencia Artificial.

El entorno parece propicio; millones de alertas automáticas para entrenar a los sistemas, unos pocos cientos de procedimientos bien establecidos como posible resultado. Difícil para un consultor junior, factible para una red neuronal.

Aunque el proceso no sería tan sencillo como parece. Si cada nuevo cliente significa nuevas herramientas de detección y nuevos procedimientos, eso implica un reentrenamiento de los algoritmos con cada nuevo contrato firmado.

Aunque el esfuerzo bien vale la pena. La IA podría transformar por completo nuestros SOC, sustituyendo miles de técnicos de nivel 1 por un puñado de expertos en IA y algunos consultores que supervisen las decisiones del sistema.

Por fin, un SOC de crecimiento exponencial gracias a la IA.

Solo puede quedar uno

Un posible resultado no deseado de la adopción de la IA en los SOC es la desaparición de la mayor parte de los proveedores.

Por la propia dinámica de las organizaciones exponenciales, solo puede quedar un proveedor que acapara la mayor parte del mercado y unos pocos supervivientes que se reparten el resto. 

Por eso, este tipo de organizaciones exponenciales son tan codiciadas por los inversores. No solo consiguen ingresos milmillonarios, sino que además es complicado erosionar su liderazgo. Una vez consiguen el monopolio de su mercado, son libres de imponer los precios que consideren adecuados.

En unos pocos años, las enormes eficiencias obtenidas en la automatización del proceso pasan a ser propiedad de unas pocas organizaciones, quedando los usuarios de los servicios en una situación similar a la que tenían.

Uber no es mas barato que el taxi. AWS no es más barato que los CPDs in house. Linkedin no es más barato que los anuncios en la prensa salmón. 

La gran puerta de acceso se cierra

Hay un segundo resultado no deseado cuyo impacto en nuestro mercado puede ser incluso mas profundo.

Y no se trata del daño al empleo por las decenas de miles de puestos de trabajo que se van a automatizar. 

El gran problema es que esos equipos de soporte de nivel 1 son el centro de entrenamiento de miles de consultores que posteriormente realizarán labores más especializadas, como  soportes de nivel 2 y 3, red team, blue team… 

La IA está a punto de cerrar una de las grandes puertas de entrada a la carrera de la ciberseguridad. 

Pero el premio es demasiado jugoso. ¿Quién puede resistirse a ser el próximo Elon Musk?