La IA agèntica genera avui grans expectatives, però encara no es tradueix en valor tangible en un percentatge molt rellevant de les iniciatives. Si hi ha un entorn on aquesta bretxa entre expectativa i realitat és especialment visible, és al Centre d’Operacions de Seguretat (SOC).

Avui els equips de ciberseguretat operen sota una pressió estructural:

• Creixement exponencial de les amenaces i de la superfície d’atac.
• Escassetat crònica de talent especialitzat.
• Normatives cada vegada més exigents (NIS2, DORA, ENS).

En aquest context, la pregunta no és si el SOC necessita IA. La pregunta és com integrar-la en el funcionament real del SOC. I aquí, novament, el repte no és tecnològic. És operatiu i estratègic.

“La pregunta ja no és si el SOC necessita intel·ligència artificial, sinó com integrar-la en el funcionament real de les operacions de ciberseguretat.”

Tres eixos on la IA agèntica pot transformar el SOC

1. Seguretat operativa: eficiència i resiliència

El principal coll d’ampolla en la majoria de SOC continua sent el volum d’alertes i la intervenció manual en tasques repetitives.

Els fabricants ja estan incorporant agents d’IA a les seves plataformes (per exemple, en capacitats de triatge automàtic en XDR o SOAR). Això és positiu:

• Reducció de càrrega a L1.
• Priorització automàtica basada en el risc.
• Resposta automatitzada a playbooks coneguts.

Però això només cobreix una part del problema. Quan la resolució requereix:

• Context específic del negoci.
• Processos interns no estandarditzats.
• Connexió amb sistemes corporatius propis.
• Decisions basades en normativa interna o contractual.

“La diferència entre un pilot d’IA i un SOC realment optimitzat no és el model tecnològic, sinó com s’integra en l’operació.”

La IA del fabricant no té prou visibilitat. És aquí on un sistema d’IA agèntica propi (entès com personalitzat per als requisits de l’organització) aporta valor real:

• Connectat al context organitzatiu.
• Integrat amb eines i sistemes interns.
• Capaç de raonar sobre processos interns, no només sobre esdeveniments tècnics.

En la pràctica, tots dos enfocaments es complementen:

• La IA del fabricant optimitza el pla tècnic.
• La IA pròpia optimitza el pla organitzatiu.

El resultat: menys fricció operativa, menor MTTR i més consistència en la resposta.

2. Seguretat analítica: de la dada aïllada al raonament contextual

Un SOC modern no només executa playbooks. Ha d’interpretar senyals febles, correlacionar esdeveniments i anticipar patrons.

Aquí la IA agèntica aporta tres capacitats diferencials:

• Contextualització avançada: combina telemetria tècnica amb informació organitzativa (criticitat dels actius, dependències de negoci, SLAs, impacte regulatori).
• Assistència cognitiva a l’analista: un assistent d’IA que proposa hipòtesis, suggereix passos de contenció i documenta automàticament la investigació.
• Aprenentatge adaptatiu: incorpora el feedback dels analistes per millorar progressivament la qualitat del triatge i de la resolució.

Això no substitueix l’analista. N’eleva el rol.

L’L1 deixa de ser un operador reactiu per convertir-se en supervisor de decisions automatitzades, cosa que redueix substancialment la càrrega i multiplica el valor. L’L2 i L3 es concentren en anàlisi avançada, threat hunting i millora contínua.

3. GRC: compliment i traçabilitat per disseny

El tercer eix sovint s’oblida fins que arriba l’auditoria.

Normatives com DORA, ENS o NIS2 no només exigeixen capacitats tècniques; exigeixen:

• Traçabilitat.
• Evidències.
• Govern dels processos.
• Gestió formalitzada del risc.

Una IA agèntica ben dissenyada pot:

• Documentar automàticament cada decisió i acció executada.
• Generar evidències estructurades per a auditoria.
• Validar respostes contra marcs regulatoris interns.
• Aplicar guarda-raïls de governança des del disseny.

Això transforma el compliment de reactiu a proactiu.

“La IA agèntica no substitueix els analistes de seguretat: eleva el seu rol i els permet centrar-se en l’anàlisi i la presa de decisions.”

La clau: arquitectura híbrida i metodologia E2E

L’oportunitat real no està a triar entre IA del fabricant o IA pròpia. Està a orquestrar-les.

Una arquitectura híbrida permet:

• Triada automàtica que redueix la càrrega a L1.
• Contextualització empresarial per a decisions complexes.
• Automatització de la resposta mitjançant orquestració i playbooks.
• Assistència cognitiva contínua a l’analista.

Però fins i tot amb l’arquitectura correcta, la tecnologia per si sola no garanteix resultats.

La diferència entre un pilot d’IA i un SOC optimitzat amb IA no està en el model. Està a conèixer com funciona realment l’operació.

En la nostra experiència operant SOCs per a múltiples organitzacions, el salt real es produeix quan la IA s’introdueix dins d’una transformació operativa estructurada. L’objectiu no és fer pilots. L’objectiu és generar millores operatives mesurables.

El canvi real

Optimitzar un SOC amb IA agèntica no és “automatitzar més”. És redissenyar el model operatiu sota un paradigma híbrid:

• Humans supervisant decisions intel·ligents.
• Agents executant tasques repetitives.
• Processos definits des del disseny.
• Compliment integrat en l’operació.