La evolución del SOC se ha convertido en uno de los grandes focos de transformación dentro de la ciberseguridad. El debate ya no gira únicamente alrededor de detectar amenazas, sino de cómo operar entornos cada vez más complejos, automatizar procesos y conectar la seguridad con el riesgo real del negocio.
Con motivo de los anuncios realizados por Fortinet durante su evento Accelerate 2026, hablamos con María Mira, Manager Sales Specialist de la compañía, sobre cómo está evolucionando el mercado de SecOps, el papel de la IA dentro del SOC y la creciente apuesta del sector por modelos más integrados y automatizados.
Para Mira, esta transformación responde a varios factores acumulados durante los últimos años. “Ha habido mucha inversión en ciberseguridad”, explica, aunque muchas veces de forma fragmentada, con tecnologías “añadidas de forma aislada”. A ello se suma el impacto de la IA en el cibercrimen, que está disparando el volumen y la velocidad de las amenazas, mientras los equipos de seguridad siguen lidiando con la escasez de profesionales especializados y la sobrecarga de alertas.
En su opinión, “los perfiles del SOC están demasiado preocupados por operar herramientas más que por mirar más allá”. Un escenario que ya no puede resolverse simplemente incorporando más tecnología o aumentando plantillas. “Hay que transformar el SOC”, asegura. “No se trata de meter más herramientas ni de contratar más profesionales porque no hay”.
Ese es precisamente el enfoque que Fortinet quiso reforzar durante Accelerate 2026, donde presentó nuevas capacidades para su estrategia SecOps, incluyendo FortiSOC, automatización basada en IA, integración más estrecha entre SIEM, SOAR e inteligencia de amenazas, además de nuevas capacidades de consolidación para el endpoint.
Del SOC tradicional al SOC automatizado
En esa evolución, la compañía concede un papel central al dato y a la observabilidad. Asegurando que “la observabilidad o visibilidad es el punto de partida”, tiene claro María Mira que disponer de un Data Lake unificado es uno de los elementos clave para avanzar hacia modelos más automatizados y contextualizados.
La idea es combinar esa visibilidad con inteligencia global de amenazas y automatización para mejorar la capacidad de detección y respuesta. Según explica, el modelo cloud y unificado facilita además incorporar innovación de forma más ágil y avanzar hacia escenarios donde la IA tenga un papel cada vez más relevante dentro de operaciones de seguridad. “Va a ser más fácil aplicar IA, pasar a una IA agéntica y hacer que una respuesta coordinada sea más efectiva porque todos los datos están integrados dentro de la plataforma”, resume.
Más allá del plano tecnológico, considera que este cambio también está modificando el papel de los analistas de seguridad. La automatización y la IA empiezan a asumir tareas ligadas al análisis masivo de datos, correlación de eventos o priorización de vulnerabilidades, liberando tiempo para labores más estratégicas.
“La IA ha venido a hacer lo que mejor hace: analizar grandes volúmenes de datos, detectar comportamientos que no son visibles a simple vista o ayudar a priorizar”, lo que permitirá que “los profesionales del SOC puedan concentrarse más en riesgos empresariales y en tareas estratégicas”.
Sin embargo, considera María Mira que todavía existe distancia entre esa automatización y la idea de operaciones completamente autónomas. Aunque empiezan a aparecer pilotos y modelos más avanzados de IA agéntica, la supervisión humana sigue siendo clave. Tiene claro que no se puede dejar “que las máquinas tomen decisiones por sí solas”, y que “la supervisión tiene que seguir estando en el humano, aunque cada vez más orientada a decisiones estratégicas”.
Cloud, soberanía y control del dato
Aunque buena parte de la evolución del SOC pasa por modelos cloud-native y automatización avanzada, Mira considera que el debate no puede separarse del control del dato y la soberanía tecnológica. Afirma que “los entornos son híbridos y van a seguir siéndolo”, y defiende que la adopción de arquitecturas cloud no implica renunciar al control sobre la información crítica. De hecho, Fortinet está reforzando su propia infraestructura cloud con FortiCloud y una red propia de puntos de presencia (POP) para sus servicios SaaS.
Ese equilibrio entre flexibilidad y control está llevando a muchas organizaciones a desplazar el foco desde la protección de la infraestructura hacia la protección del dato y la gestión contextual del riesgo. Un cambio que también está alimentando otra tendencia cada vez más visible: el paso desde entornos muy fragmentados hacia modelos más integrados. Según reconoce, operar múltiples herramientas desconectadas será cada vez más complejo, especialmente en organizaciones que quieren automatizar procesos o avanzar hacia modelos de SecOps más maduros.
“Va a ser muy difícil operar en entornos fragmentados”, señala, al tiempo que reconoce que la transición no es igual para todas las empresas. Mientras muchas organizaciones medianas están adoptando con más rapidez modelos integrados de red segura, SecOps y SASE, las grandes compañías todavía arrastran entornos heredados y estrategias muy marcadas por el enfoque best of breed.
En paralelo, el mercado también está empujando hacia modelos gestionados y SOC-as-a-Service, especialmente entre empresas con menos recursos internos o necesidad de operación continua. Fortinet ha reforzado precisamente esa línea con nuevos servicios FortiGuard SOC-as-a-Service, integrando monitorización 24×7, automatización y apoyo operativo sobre su plataforma SecOps.
En cuanto a los sectores donde esta transformación está avanzando más rápido, Mira destaca especialmente los entornos industriales y OT, que “son organizaciones que muchas veces tienen que empezar prácticamente desde cero” y por tanto “necesitan modernizar redes, ganar visibilidad y construir un SOC específico para esos entornos”.
Red, SASE y endpoint: el nuevo perímetro
La convergencia entre red y seguridad sigue siendo uno de los pilares centrales de la estrategia de Fortinet. La compañía, que nació alrededor del firewall y de la seguridad de red, ha ampliado su posicionamiento hacia áreas como SecOps, SASE, automatización e IA en los últimos años.
En opinión de María Mira, “Secure Networking, SecOps y SASE forman parte de una misma estrategia. SecOps actúa como el cerebro de la detección apoyándose en toda la telemetría que llega desde las redes unificadas y en la inteligencia de amenazas de FortiGuard Labs”.
Aun así, reconoce que cada cliente parte de una situación distinta y que la adopción de estos modelos no siempre comienza por la red. En muchos casos, Fortinet entra a través de proyectos ligados a SASE, protección del usuario remoto, Zero Trust o integración de entornos híbridos. La protección del usuario en movilidad, el acceso Zero Trust, la seguridad del navegador o los entornos colaborativos aparecen entre las áreas donde la integración está ganando más protagonismo.
En paralelo, la compañía también está reforzando su estrategia de consolidación sobre el endpoint. Asegurando que “el endpoint se ha llenado de complejidad”, explica la directiva que el crecimiento del trabajo híbrido, la movilidad y el uso de IA ha multiplicado el número de capacidades que las organizaciones necesitan gestionar sobre el puesto de trabajo.
A la protección tradicional del dispositivo se suman ahora cuestiones como el control del dato, la gobernanza del uso de IA, la evolución de las VPN hacia modelos Zero Trust o la gestión de identidades digitales. Todo ello ha provocado una proliferación de agentes y herramientas que muchas organizaciones empiezan a cuestionarse.
Una plataforma construida alrededor de la IA
Al final de la conversación, Mira vuelve una y otra vez a una idea que resume buena parte del posicionamiento actual de Fortinet: la plataforma.
En un momento en el que el mercado se mueve hacia arquitecturas más integradas, con foco creciente en automatización, operaciones unificadas e IA, considera que el trabajo realizado por la compañía durante los últimos años empieza ahora a cobrar más sentido: “Todo este trabajo de convergencia y consolidación es lo que nos va a permitir aplicar IA de forma realmente útil”, explica.
Según defiende, el verdadero valor ya no está únicamente en proteger elementos aislados de infraestructura, sino en disponer de una visión completa y contextual de la actividad y del comportamiento de toda la superficie de ataque: “Tenemos una visión end-to-end del dato y de la plataforma”, resume.
