Todo CISO sudafricano enfrenta la misma pregunta en algún momento: ¿debemos construir nuestro propio Centro de Operaciones de Seguridad, externalizar a un MSSP, o encontrar un término medio híbrido? La respuesta es menos sencilla de lo que cualquiera de los bandos admite.
Por Neil Beulecke, Director General — Layer7 Networking
Los Números, Honestamente
Comencemos con lo que realmente cuesta un SOC interno en Sudáfrica en 2026.
Un SOC 24/7 mínimamente viable requiere al menos ocho analistas para cubrir tres turnos con redundancia, más un gerente de SOC y un analista de inteligencia de amenazas. A las tarifas actuales del mercado sudafricano, estamos hablando de:
- 8 x Analistas SOC (L1/L2): R450.000 - R750.000 cada uno por año
- 2 x Analistas Sénior (L3): R850.000 - R1.200.000 cada uno
- 1 x Gerente de SOC: R1.000.000 - R1.500.000
- 1 x Analista de Inteligencia de Amenazas: R750.000 - R1.100.000
Son R7,5 - R12,5 millones solo en salarios — antes de agregar licencias de SIEM (R1,5 - R4 millones), herramientas SOAR, feeds de inteligencia de amenazas, capacitación e infraestructura física o virtual para ejecutarlo todo. Un costo realista completamente cargado para un SOC interno es de R12 - R20 millones por año.
Y eso si realmente puede contratar. La brecha de habilidades en ciberseguridad de Sudáfrica está bien documentada — tenemos aproximadamente 12.000 profesionales cualificados en ciberseguridad frente a una demanda estimada de 40.000+. Sus analistas serán reclutados constantemente, y cada partida cuesta seis meses de productividad.
Cuándo Construir Internamente
A pesar de los costos, un SOC interno tiene sentido en circunstancias específicas:
Industrias altamente reguladas donde los requisitos regulatorios exigen control directo sobre las operaciones de seguridad — ciertos requisitos del sector bancario y de servicios financieros entran en esta categoría.
Organizaciones con perfiles de amenaza únicos que requieren conocimiento profundo y especializado de sistemas propietarios. Operaciones mineras con entornos OT complejos, por ejemplo, pueden necesitar analistas que comprendan íntimamente los protocolos SCADA.
Organizaciones muy grandes (5.000+ empleados) donde el costo por usuario de un SOC interno se aproxima al costo de externalización, y la organización tiene el reconocimiento de marca para atraer y retener talento.
Cuándo Externalizar
La externalización a un proveedor de servicios de seguridad gestionados tiene sentido cuando:
La velocidad de implementación importa. Un MSSP puede tenerle monitorizado en semanas. Construir un SOC interno toma 12-18 meses para alcanzar madurez operacional. Si tiene un plazo de cumplimiento inmediato o ha experimentado recientemente un incidente, la externalización le da tiempo.
Las restricciones presupuestarias son reales. Un servicio de SOC gestionado cuesta típicamente R150.000 - R400.000 por mes, dependiendo del alcance — significativamente menos que la alternativa interna para la mayoría de las organizaciones de mercado medio.
Su negocio principal no es la ciberseguridad. Una cadena minorista, una empresa de logística, una firma manufacturera — su ventaja competitiva no está en las operaciones de seguridad. La externalización libera la atención del liderazgo para las actividades principales del negocio.
El Modelo Híbrido
El enfoque más efectivo para la mayoría de las organizaciones sudafricanas es un modelo híbrido, y esto es lo que recomendamos cada vez más:
Interno: Gobernanza, riesgo y seguridad estratégica. Mantenga su CISO, su arquitecto de seguridad y un pequeño equipo enfocado en políticas, evaluación de riesgos, gestión de proveedores y dirección estratégica. Estos roles requieren un conocimiento organizacional profundo que un MSSP no puede replicar.
Externo: Monitoreo y respuesta operacional de seguridad. Deje que un especialista maneje la rutina 24/7 de análisis de logs, triaje de alertas, búsqueda de amenazas y respuesta a incidentes. Tienen la escala, las herramientas y la cadena de talento para hacerlo eficientemente.
Compartido: Respuesta a incidentes e inteligencia de amenazas. Los incidentes graves requieren colaboración entre el equipo interno (que entiende el contexto del negocio) y el SOC externo (que tiene la profundidad técnica y la cobertura 24/7). Runbooks conjuntos y ejercicios regulares mantienen esta interfaz fluida.
Preguntas para Hacer a Su MSSP
Si está evaluando proveedores de SOC gestionado, estas preguntas separan a los serios del marketing:
- ¿Cuál es su ratio analista-cliente? Cualquier cosa por encima de 1:15 significa que sus alertas están compitiendo por atención con demasiados otros clientes.
- ¿Dónde están ubicados sus analistas? La alineación de zona horaria es importante para la respuesta a incidentes. Un SOC en un hemisferio diferente introduce retrasos de comunicación en el peor momento posible.
- ¿Cuál es su tiempo medio de detección y tiempo medio de respuesta? Obtenga SLAs contractuales, no números de marketing. Y pregunte cómo miden estas métricas.
- ¿Cómo manejan los falsos positivos? Un SOC que reenvía cada alerta a su equipo no está proporcionando un servicio — está proporcionando ruido. Pregunte sobre su proceso de ajuste y tasa de falsos positivos.
- ¿Puedo ver sus informes de incidentes del último trimestre? Redactados, por supuesto. Pero la calidad y profundidad de sus informes le dice todo sobre su capacidad analítica.
La Conclusión
No hay una respuesta universalmente correcta para construir versus comprar. Pero hay una respuesta incorrecta: no hacer ninguna. Operar sin monitoreo de seguridad continuo en 2026 no es aceptación de riesgo — es negligencia. Ya sea que construya, compre o combine, establezca la cobertura. El panorama de amenazas no espera ciclos de aprobación de presupuesto.
Layer7 Networking proporciona servicios de seguridad gestionados adaptados al mercado sudafricano. No somos la opción más barata — somos la que contesta el teléfono a las 2 AM un domingo cuando está lidiando con ransomware.