Todos los días, los analistas pierden horas a tareas repetitivas como enriquecer alertas o actualizar boletos. Estos son esenciales, pero no exactamente el tipo de trabajo que te saca de la cama por la mañana.
En Tines, llamamos a esto «Muckwork», las tareas de bajo apalancamiento que obstruyen nuestros días y drenan a nuestros equipos.
Los agentes de IA correctos pueden automatizar este tipo de trabajo. Pero no toda la IA pertenece a todas partes, y implementarlo sin un propósito claro puede ser solo otra distracción. Aquí hay tres cosas clave a tener en cuenta para los líderes de ciberseguridad para abordar mejor a los agentes con la claridad y la disciplina que exigen estas poderosas herramientas.
1. Desarrolle marcos donde los agentes, los copilotos o la automatización se ajusten mejor
AI no necesita ser todo o nada. Piense en la automatización en un espectro de lógica simple if/then luego, hasta copilotos humanos en el bucle, hasta agentes completamente autónomos.
En un extremo, la automatización determinista maneja acciones predecibles basadas en reglas: si se informa un correo electrónico de phishing, lo registra y lo notifica. En el medio, los copilotos ayudan a los humanos. Por ejemplo, un LLM resume un informe de amenazas Intel o sugiere pasos de triaje. En el extremo más lejano, los agentes pueden actuar de forma independiente, decidir y ejecutar sin aportes humanos.
La clave para los líderes de seguridad es igualar el nivel correcto de autonomía con la tarea. Use agentes para tareas de alto volumen y bien escopas como enriquecimiento de alerta, puntuación de amenazas o dispositivos aislados automáticamente con indicadores conocidos. Use copilotos cuando el juicio humano sea importante, como durante las investigaciones, las revisiones de políticas o el triaje de anomalías que requieren matices contextuales. Y confíe en la lógica determinista probada y verdadera para los procesos pesados de cumplimiento, como revisiones de acceso a los usuarios, recopilación de evidencia o documentación de incidentes, donde la auditabilidad es crítica.
En Tines, construimos nuestra plataforma para admitir este enfoque de espectro completo fuera de la caja. Nuestros clientes pueden comenzar con flujos de trabajo deterministas, mejorarlos con copilotos y graduarse a los agentes a medida que crecen la confianza y el contexto, todo dentro de un entorno seguro.
Esta flexibilidad es esencial en los SOC modernos. Un equipo podría usar agentes para manejar las presentaciones repetitivas de malware a Virustotal, mientras que otro usa copilotos para guiar los esfuerzos de caza de amenazas. La mezcla correcta asegura que los equipos automaticen con propósito.
2. Guardar contra la sobre inversión de IA
La IA puede ser costosa … en los costos del modelo, a tiempo y en la gestión del cambio. McKinsey descubrió que, mientras que el 92 por ciento de las empresas planean aumentar las inversiones de IA en los próximos tres años, casi ninguno he podido integrarlo completamente en flujos de trabajo e impulsar resultados comerciales notables. Para los equipos de ciberseguridad ya estirados, esa es una bandera de precaución.
Para evitar la hinchazón de IA, comience con el problema, no con el modelo. Determine el resultado deseado (por ejemplo, MTTR más rápido? Menos agotamiento?) Y trabaje hacia atrás. A partir de ahí, elija flujos de trabajo visibles y medibles para comenzar. De esa manera, puede usar las primeras victorias, como la automatización de alertas, para justificar una mayor inversión.
Finalmente, rastrea el ROI de la misma manera que harías cualquier herramienta. ¿Los agentes están reduciendo el tiempo de cierre? ¿Bajando falsos positivos? ¿Mejorando la moral del analista?
Las mejores inversiones de IA ahorran tiempo y Restaurar el enfoque. Al apuntar a Muck Work, libera a tu equipo por el trabajo que solo los humanos pueden hacer.
3. La seguridad debe ser en juego de mesa
En Tines, construimos a nuestros agentes para ejecutar dentro de la infraestructura segura de la plataforma. Nada deja el medio ambiente, no se almacena nada para reutilizar, y los clientes mantienen el control. Ese es el estándar que todo líder de seguridad debería exigir.
Aquí hay un par de cosas que recomendaría priorizar al diseñar arquitecturas seguras del agente:
- Exfiltración de datos cero: mantenga todo el procesamiento dentro de entornos seguros y monitoreados.
- Controles de acceso granular: aplique principios de menor privilegio … no más, nada menos.
- Audición y revocación: asegúrese de que cada acción de agente sea registrada y reversible.
- Explicación clara: si su equipo no puede entender lo que está haciendo un agente, no pertenece a la producción.
Los equipos de seguridad no pueden permitirse la ambigüedad. Necesita agentes en los que pueda confiar y verificar.
Por qué los profesionales de seguridad deberían importarle
En un período de tiempo increíblemente corto, la promesa de IA en la ciberseguridad ha pasado de lo teórico a lo operativo. Hecho bien, los agentes de IA ayudan a los equipos a hacer más con menos, responden más rápido y se mantienen enfocados en el trabajo de alto impacto. Pueden eliminar la fatiga de la alerta, reducir el agotamiento y la rotación, y fortalecer las posturas de seguridad a través de la descarga de trabajo repetitivo y sin sentido.
Pero la clave está en ejecución e implementación estratégica. No persigas a Ai por su propio bien. Construya marcos, rastree el impacto e insista en el diseño seguro. Haga eso y reclamará el tiempo, la confianza y la capacidad de su equipo para liderar.
