Build vs Buy · Comité de compra · NIS2 / DORA
SOC interno vs SOC gestionado: construir o comprar sin hacerse trampas al solitario
La pregunta correcta no es "cuál es mejor" sino "qué encaja con mi madurez, mi sector y mis obligaciones". Aquí desglosamos coste real, tiempo a operación productiva, capacidad de evidencia para NIS2 y DORA, y los modelos híbridos que funcionan cuando ninguna de las dos opciones puras encaja.
El comité de compra simplificado
Construir un SOC interno cuesta entre 600 y 900 mil euros/año en operación estabilizada y tarda entre 12 y 24 meses en madurar. Contratar un SOC gestionado serio cuesta entre 80 y 250 mil euros/año y entra en operación productiva en 4 a 8 semanas. La diferencia económica es enorme, pero la decisión correcta no se toma solo en hoja de cálculo: depende también de control, sensibilidad y plan a 3-5 años.
Construir (interno)
Cuándo encaja
- Operación 100% sensible que no admite externalización
- Volumen suficiente: 5.000+ endpoints o múltiples sociedades
- El SOC es parte del producto que vendes
- Equipo de seguridad maduro y horizonte de 3-5 años
Comprar (gestionado)
Cuándo encaja
- Necesitas operación productiva en semanas, no meses
- Obligación regulatoria (NIS2/DORA) con plazo cerrado
- No tienes equipo para 24×7 ni puedes contratarlo a corto plazo
- Tu inversión es por capas, no apuesta única
Tabla comparativa
Los rangos son orientativos para una organización mediana (500-2.000 endpoints) en sector regulado. Tu caso puede salirse arriba o abajo en cualquier fila.
| Dimensión | SOC interno | SOC gestionado |
|---|---|---|
| Coste anual estabilizado | 600-900 k€ (puede superar 1,5 M€) | 80-250 k€ todo incluido |
| Tiempo a operación productiva | 12-24 meses | 4-8 semanas |
| Equipo necesario | 8-10 analistas + manager + ingeniería de detección | Tu equipo conserva responsabilidad final; el proveedor opera primera línea |
| Casos de uso | Tú los diseñas y mantienes | Vendor + ajustes al sector y cliente |
| Cobertura 24×7 | Compleja: turnos, vacaciones, bajas, rotación | Garantizada por SLA |
| Personalización | Total | Alta si el contrato lo permite |
| Threat hunting | Tú lo gestionas | Habitualmente externo con cadencia mensual o quincenal |
| Riesgo principal | Tiempo y churn de analistas | Dependencia del proveedor sin plan de salida |
| Evidencia NIS2/DORA | Sí, si la generas con disciplina | Sí, por contrato, con registros trazables |
| Mejor en | Control y profundidad | Velocidad y predictibilidad |
Los modelos híbridos que funcionan
La inmensa mayoría de organizaciones reguladas terminan en un modelo híbrido. Estas tres combinaciones son las que mejor resultado han dado en proyectos reales.
Híbrido A
L1 externo + L2/L3 interno
El proveedor cubre triage 24×7 y filtra ruido. Tu equipo interno (L2/L3) recibe los casos relevantes, decide la respuesta y conserva el conocimiento del entorno. Buen ajuste cuando hay madurez interna pero no recursos para turnos nocturnos.
Híbrido B
SOC gestionado + vCISO
El SOC gestionado opera la primera línea con SLAs; un vCISO aporta la disciplina de gobierno, la relación con el comité y la trazabilidad regulatoria. Ideal cuando no hay CISO interno y la prioridad es cumplir NIS2/DORA con orden.
Híbrido C
Gestionado como puente a interno
SOC gestionado durante 18-24 meses mientras se construye el equipo interno con transferencia gradual: casos de uso, playbooks, integraciones y lecciones aprendidas se entregan paulatinamente. El plan de salida está escrito desde el contrato inicial.
Errores habituales en la decisión
- Calcular solo salarios y olvidar plataforma SIEM, XDR, SOAR, threat intelligence, herramientas de hunting, formación y reciclaje. El coste real del SOC interno está fuera de la nómina.
- Asumir que un SOC gestionado entiende tu sector desde el día uno. Sin onboarding serio (3-6 semanas) y validación de casos de uso, los primeros meses son ruido.
- Externalizar la operación y desaparecer del riesgo. La propiedad del riesgo regulatorio es tuya y no se externaliza. El proveedor opera; tú decides.
- Negociar precio sin negociar plan de salida. Si en el contrato no aparece qué se entrega cuando termina el servicio, el coste de cambio te encadena al proveedor.
- Comparar precios sin comparar alcances. Un SOC gestionado a 60 k€/año casi nunca cubre lo que cubre uno a 180 k€/año. Pide alcance contractual antes que precio.
- Subestimar el churn de analistas internos. La rotación L1 ronda el 25-35% anual. Cada baja cuesta 6-12 meses de productividad. Esto pesa más que cualquier ahorro inicial.
Servicios relacionados en Hard2bit
SOC gestionado y MDR
Operación 24×7 con SLAs medibles y contención asistida sobre tu EDR/XDR.
Ver →
MSSP enterprise
Paraguas amplio: SOC, vulnerabilidades, CTI, respuesta y reporting.
Ver →
Threat hunting
Hipótesis ofensivas mapeadas a MITRE ATT&CK con cadencia regular.
Ver →
Respuesta a incidentes
Forense, contención profunda y comunicación regulatoria cuando el alcance crece.
Ver →
vCISO
Gobierno y disciplina encima de la operación para que la inversión se traduzca en resultados.
Ver →
EDR vs XDR vs MDR
Qué tecnología y qué servicio gestionado encajan en tu caso.
Ver →
Preguntas frecuentes
¿Cuánto cuesta un SOC interno con cobertura 24×7 real?
Un SOC interno funcional requiere mínimo 8-10 analistas para cubrir cinco turnos sin agotar al equipo (vacaciones, bajas, formación). Sumando salarios competitivos en España, plataforma SIEM/XDR, casos de uso, automatización SOAR y herramientas de hunting, el coste anual estabilizado parte de 600-900 mil euros para una organización mediana y puede superar 1,5 millones en entornos críticos. El tiempo de maduración real es de 12-24 meses.
¿Qué incluye un SOC gestionado serio en su precio?
Operación 24×7 con SLAs medibles (MTTD, MTTC, notificación), analistas L1-L3, casos de uso afinados al sector, contención asistida, reporting ejecutivo periódico, threat intelligence integrada y plan de salida documentado. Para una flota de 500-2.000 endpoints en sector regulado, el rango orientativo es 80-250 mil euros/año, incluyendo o no la licencia del EDR según modelo. Pide siempre el alcance contractual por escrito.
¿Construir SOC interno tiene sentido para una empresa mediana?
Suele tener sentido en tres situaciones: cuando la operación es 100% sensible y la externalización no es aceptable (defensa, sector estatal), cuando hay volumen suficiente para amortizar la inversión (más de 5.000 endpoints o múltiples sociedades), o cuando el SOC es parte del servicio que la empresa vende. Fuera de esos casos, el SOC gestionado entrega resultados más rápido y con menor riesgo financiero.
¿Un SOC gestionado deja a mi equipo fuera de la operación?
No, si está bien negociado. El mejor patrón es un modelo híbrido: el proveedor opera la primera línea con SLAs, tu equipo conserva la responsabilidad final, el threat hunting interno y las decisiones estratégicas. Lo que se externaliza es la presencia 24×7 y la disciplina operativa, no la propiedad del riesgo.
¿Cómo aporta evidencia un SOC para NIS2 y DORA?
Ambos marcos exigen capacidad real de detección, respuesta y notificación en plazo. Un SOC documentado —interno o gestionado— produce registros trazables: alertas, investigaciones, contenciones, lecciones aprendidas, métricas y comunicaciones regulatorias. La diferencia para el auditor no está en quién opera, sino en si la evidencia está disponible, es coherente y se puede correlacionar con incidentes reales.
¿Qué riesgos tiene apostar por un SOC gestionado?
Tres riesgos principales: dependencia del proveedor sin plan de salida claro (negocia desde el contrato la entrega de casos de uso, playbooks e integraciones); proveedor que solo alerta y no contiene (exige SLAs de contención con consecuencias); y casos de uso genéricos que no encajan en tu sector (pide validación previa con falsos positivos controlados antes de poner el SLA en vigor).
¿Se puede empezar gestionado y migrar a interno más adelante?
Sí, y es probablemente el camino más razonable para empresas que aspiran a SOC propio en 2-3 años. El SOC gestionado actúa como puente: opera con SLAs, entrega evidencia continua y, si el contrato está bien negociado, te transfiere los activos operativos (use cases, playbooks, integraciones, lecciones) cuando termine. El equipo interno se forma en paralelo sin asumir responsabilidad 24×7 desde el día uno.
¿Cómo arranca un proyecto de comparación en Hard2bit?
Empezamos con un diagnóstico de tu situación actual: telemetría disponible, madurez del equipo TI, obligaciones regulatorias y presupuesto razonable a 12-36 meses. Sobre eso proponemos tres opciones realistas (gestionado, híbrido, interno escalonado) con coste, plazo y riesgo asociado, para que el comité de compra decida con datos.
¿Build, buy o híbrido? Hablemos de tu caso concreto
En 30 minutos revisamos coste real, plazos y riesgos de cada opción para tu organización. No vendemos lo que no encaja: hay clientes a los que recomendamos no externalizar, y otros a los que recomendamos no construir.