SOC interno vs SOC como servicio: ¿cuál conviene más?
Respuesta directa
Para la mayoría de las empresas brasileñas de pequeño y mediano porte, el SOC como servicio (SOCaaS/MDR) conviene más: pagas un rango de R$ 8 mil a R$ 60 mil por mes y tienes cobertura 24x7 ya madura, mientras que un SOC interno 24x7x365 exige un equipo mínimo de 8 a 12 personas y cuesta, de forma realista, de R$ 2,5 millones a R$ 6 millones al año solo en nómina — sin contar SIEM, EDR, herramientas y los 12 a 24 meses de maduración. El SOC interno solo empieza a tener sentido financiero por encima de unos 2.000–3.000 activos monitoreados, con un requisito regulatorio fuerte (como las resoluciones de seguridad cibernética del Banco Central, actualizadas por la CMN 5.274/2025) o datos muy sensibles que justifiquen mantener la operación dentro de casa. La decisión honesta no es "cuál es más barato", sino "a partir de qué escala el costo fijo del equipo propio se paga frente al servicio — y cuánto riesgo aceptas cargar mientras madura".
En resumen
- ›Una cobertura 24x7x365 real exige como mínimo de 8 a 12 profesionales — la regla de la industria es de 4,5 a 5 personas a tiempo completo para mantener UNA sola posición cubierta todo el año (vacaciones, licencias médicas, descansos, 3 turnos). Ese es el hecho que rompe la cuenta del SOC interno para la mayoría de las empresas.
- ›El costo total de un SOC interno en Brasil queda, de forma realista, entre R$ 2,5 mi y R$ 6 mi/año (nómina + SIEM + EDR + threat intel + capacitación), y lleva de 12 a 24 meses madurar hasta el punto de detectar bien.
- ›El SOC como servicio (SOCaaS/MDR) entrega detección y respuesta 24x7 ya madura por un rango mensual de R$ 8 mil a R$ 60 mil, según el porte, el número de activos y el alcance (solo detección vs. respuesta gestionada). Como ancla, el MDR por endpoint ronda R$ 60 a R$ 85 por activo/mes en el mercado.
- ›El turnover es el mayor riesgo oculto del SOC interno: el analista de SOC tiene alta rotación y el conocimiento se va con la persona; en el modelo de servicio, la continuidad es responsabilidad contractual del proveedor.
- ›El MDR no es lo mismo que un SIEM o un antivirus: es detección y respuesta gestionada por humanos sobre telemetría de EDR/red/nube, con analistas que de hecho contienen la amenaza, no solo generan una alerta.
- ›No existe un número único honesto de precio — depende de los activos, la retención de logs, el alcance de respuesta y el SLA. Desconfía de quien fija un valor cerrado sin entender tu entorno.
Qué es realmente un SOC — y por qué el 24x7 es el corazón de la decisión
SOC significa Security Operations Center, el centro de operaciones de seguridad. En la práctica, es la función (no necesariamente una sala) responsable de tres cosas: monitorear continuamente las señales de seguridad de la empresa, detectar actividad maliciosa y responder antes de que se convierta en un incidente grave. Todo lo demás — SIEM, EDR, playbooks, threat intelligence — son herramientas e insumos al servicio de esas tres tareas. Cuando alguien pregunta 'cuánto cuesta un SOC', la pregunta de verdad es 'cuánto cuesta mantener la detección y la respuesta funcionando todos los días, todo el tiempo'.
Y aquí está el detalle que define toda la economía de la decisión: la amenaza no tiene horario comercial. Buena parte de los ataques de ransomware se dispara de madrugada, en fines de semana y en vísperas de feriado, justamente porque es cuando el equipo de TI está fuera. Los datos de primera línea de Mandiant (informe M-Trends) muestran que, en casos de ransomware, el tiempo entre el compromiso y la acción destructiva es corto — la mediana de dwell time en intrusiones de ransomware quedó alrededor de 6 días, y más de la mitad de esos casos se descubrió en una semana o menos, lo que indica que el atacante actúa rápido. Si tu detección solo funciona de 9 a 18 h en días hábiles, estás ciego en cerca de dos tercios de las horas del año. Por eso el '24x7' no es un lujo de marketing: es el requisito mínimo para que el SOC cumpla la función para la que existe.
El problema es que la cobertura 24x7x365 es cara de producir con gente propia, y esa es la raíz de toda la comparación de esta guía. Un año tiene 8.760 horas. Una persona trabaja, en Brasil, alrededor de 1.760 a 1.900 horas hábiles al año después de descontar vacaciones, feriados, descansos y la jornada legal. La matemática es implacable: para mantener al menos una persona de guardia en cada hora del año, con solapamiento mínimo de turno y margen para ausencias, necesitas mucha más gente de la que sugiere la intuición. Es esa cuenta la que separa a quien logra tener un SOC interno de quien debería contratarlo como servicio.
Vale separar dos conceptos que suelen confundirse. El SOC es la operación de detección y respuesta; el SIEM (Security Information and Event Management) es la herramienta que recolecta y correlaciona logs; el EDR (Endpoint Detection and Response) es el sensor y el agente de respuesta en el endpoint. Comprar un SIEM o un EDR no es tener un SOC — es tener el instrumento sin el músico. La mayoría de los fracasos caros que vemos en el mercado viene justamente de ahí: la empresa invierte cientos de miles de reales en licencias y descubre, un año después, que nadie miraba las alertas a las 3 de la madrugada.
La cuenta real del SOC interno en Brasil: por qué necesita de 8 a 12 personas
Hagamos la cuenta del headcount con honestidad, porque es en ella donde casi todo plan de SOC interno tropieza. Para cubrir 24 horas al día, necesitas tres turnos. Si quieres que cada turno tenga al menos dos analistas de guardia — y el mínimo prudente es dos, porque una persona sola no puede investigar un incidente y seguir monitoreando al mismo tiempo, ni puede enfermarse — ya estás en seis posiciones simultáneas. Pero posición simultánea no es persona: cada silla necesita cubrirse 365 días al año, incluidas las semanas en que el titular está de vacaciones, con licencia médica o de descanso compensatorio. La regla de dedo de la industria, citada por operadores de SOC como Expel y otros, es que cubrir una sola posición 24x7x365 consume de 4,5 a 5 personas a tiempo completo (y más de 4 incluso en el escenario irreal de cero vacaciones y cero faltas). Para dos posiciones simultáneas por turno en tres turnos, la cuenta de analistas de línea ya pasa de ocho, y eso antes de cualquier función especializada.
Suma a eso lo que un SOC necesita para ser más que una central de alarmas: al menos un analista sénior o líder de turno (Nivel 2/3) para investigaciones profundas y caza de amenazas, un ingeniero de detección para escribir y ajustar las reglas del SIEM, y un coordinador o gerente de SOC para procesos, métricas y relación con el negocio. Llegamos, de forma realista, a un equipo mínimo de 8 a 12 personas para un SOC interno 24x7 que funcione de verdad. Existen equipos más pequeños, pero operan en régimen de guardia (on-call) por la noche, lo que significa una cobertura degradada justamente en el horario en que ocurren los ataques — ahorras en nómina y pagas caro en tiempo de respuesta.
Ahora los números, con una salvedad importante de honestidad: existe una diferencia enorme entre el 'analista de SOC' de central de alarmas de bajo costo (cuyo salario público mediano en Brasil gira en torno a R$ 3 mil a R$ 5 mil y que entrega un triaje superficial) y el profesional calificado que de verdad necesitas para detectar bien. Para un SOC que funcione, los rangos realistas de mercado en 2026 son: un analista N1/N2 capaz cuesta algo entre R$ 6 mil y R$ 12 mil mensuales; un analista sénior o ingeniero de detección, entre R$ 12 mil y R$ 22 mil; un coordinador de SOC, de R$ 16 mil a R$ 30 mil — variando bastante por región, senioridad real y escasez del perfil. Sobre el salario bruto inciden cargas, beneficios y provisiones (13º, vacaciones, FGTS, INSS, vale, plan de salud) que, en régimen CLT, suman típicamente del 60 % al 100 % sobre el salario base. Multiplicando un equipo de 10 personas en un mix realista por esos factores, la nómina anual de un SOC interno queda fácilmente entre R$ 2,5 millones y R$ 4,5 millones al año — solo de gente.
Y la gente es solo una parte. Por encima de la nómina vienen las herramientas: una plataforma de SIEM (licenciada por volumen de datos ingeridos — el famoso costo por GB/día que crece con la empresa), EDR para cada endpoint, feeds de threat intelligence, SOAR para automatización, herramientas de análisis de logs de nube y la infraestructura para retener logs por el tiempo que la LGPD y tu política exijan. Esto agrega, de forma conservadora, de R$ 400 mil a R$ 1,5 millón al año según el tamaño del entorno. La capacitación y las certificaciones (sin las cuales el equipo se vuelve obsoleto y desmotivado) y la reposición constante por turnover cierran la cuenta. Por eso el rango total honesto de un SOC interno maduro en Brasil es de R$ 2,5 millones a R$ 6 millones anuales — y aún lleva de 12 a 24 meses madurar hasta el punto de detectar bien, porque el tuning de reglas, la reducción de falsos positivos y la construcción de playbooks no se compran, se construyen con tiempo.
¿Quieres cobertura 24x7 madura sin montar un equipo de 12 personas? Empieza por el SOC 24x7 gestionado de Decripte o habla con nosotros sobre MDR — hacemos primero el diagnóstico de tu entorno y solo entonces proponemos rango y alcance, sin números al azar.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
SOC como servicio (SOCaaS) y MDR: qué compras y cuánto cuesta
El SOC como servicio invierte la lógica de costo. En vez de construir y mantener la operación 24x7 dentro de casa, contratas a un proveedor que ya tiene el equipo, las herramientas, los procesos y — crucialmente — la escala. Ese proveedor opera un SOC compartido entre varios clientes, lo que diluye el costo fijo de la guardia nocturna y de la especialización entre muchas empresas. Es la misma lógica de por qué tiene más sentido contratar un plan de energía que construir tu propia central: la infraestructura cara queda del lado de quien la usa a escala.
Dentro de ese paraguas existen dos modelos que vale distinguir, porque la confusión entre ellos es la principal causa de frustración en la contratación. El SOCaaS en sentido estricto suele significar 'el monitoreo y el triaje de alertas como servicio' — el proveedor opera el SIEM y te avisa cuando algo parece mal, pero la respuesta (contener, aislar, erradicar) muchas veces queda contigo. El MDR (Managed Detection and Response, detección y respuesta gestionada) va más allá: el proveedor no solo detecta, sino que actúa — aísla el endpoint comprometido, bloquea la cuenta, contiene la amenaza en minutos, normalmente con SLA contractual. Para la mayoría de las empresas que no tienen brazo interno para responder de madrugada, el MDR es lo que de hecho resuelve, porque una alerta sin respuesta en la mano correcta poco sirve a las 3 de la madrugada.
Los rangos de precio del modelo de servicio en Brasil, de forma honesta, dependen de tres variables principales: número de activos monitoreados (endpoints, servidores, identidades, cuentas de nube), volumen de logs/telemetría ingerida y retenida, y profundidad del alcance (solo detección vs. respuesta gestionada con contención). Un ancla útil de mercado es el precio por endpoint: el MDR transparente ronda del orden de US$ 11 a US$ 15 por endpoint/mes globalmente, lo que equivale a algo como R$ 60 a R$ 85 por activo/mes en Brasil. A partir de ahí, como referencia por porte: una pequeña empresa (hasta ~100–200 endpoints) suele encontrar MDR/SOCaaS en el rango de R$ 8 mil a R$ 20 mil por mes; una mediana empresa (200 a 1.000 activos) entre R$ 20 mil y R$ 45 mil mensuales; y operaciones mayores o con requisitos pesados de retención y compliance, de R$ 45 mil a R$ 80 mil o más. Los modelos de cobro varían entre precio por endpoint/activo, por volumen de datos o paquete cerrado por porte — y cada modelo tiene trampas que detallamos más adelante.
El punto económico decisivo es la comparación de órdenes de magnitud. Un SOCaaS/MDR robusto para una mediana empresa, a R$ 30 mil/mes, cuesta R$ 360 mil al año y entrega cobertura 24x7 madura desde el primer mes. El SOC interno equivalente costaría de 7 a 15 veces más y llevaría más de un año en llegar al mismo nivel de detección. Para la aplastante mayoría de las empresas brasileñas por debajo del porte de gran corporación o banco, esa diferencia no es marginal — es la diferencia entre tener y no tener seguridad operativa de verdad. Para dimensionar el riesgo que se evita: el informe IBM Cost of a Data Breach 2025 apunta un costo medio de una violación de datos en Brasil de R$ 7,19 millones, y muestra que el uso de threat intelligence y de gobernanza de IA está entre los factores que más reducen ese costo — exactamente el tipo de capacidad que un servicio maduro entrega de inmediato. Es también por eso que existen caminos de entrada como nuestro SOC 24x7 gestionado y la línea de MDR, pensados para empresas que necesitan cobertura real sin montar un equipo entero.
Tabla comparativa: SOC interno vs SOC como servicio
La tabla a continuación resume la comparación en las dimensiones que realmente pesan en la decisión de compra — costo, tiempo hasta estar operativo, calidad de la cobertura y los riesgos estructurales de cada modelo. Úsala como punto de partida, pero lee las salvedades: ninguna línea es absoluta, y el objetivo es mostrar el trade-off, no declarar un ganador universal. En resumen: el SOC interno cuesta de R$ 2,5 mi a R$ 6 mi/año y lleva de 12 a 24 meses madurar; el SOC como servicio cuesta de R$ 8 mil a R$ 60 mil/mes (R$ 96 mil a R$ 720 mil/año) y entra operativo en semanas, con cobertura 24x7 ya madura el día uno.
El eje de costo merece una aclaración. El SOC interno tiene un costo predominantemente fijo (nómina que pagas esté o no pasando algo), mientras que el servicio tiene un costo más previsible y escalable (ajustas el contrato a medida que creces). En escala muy grande — por encima de unos 2.000 a 3.000 activos — el costo fijo del equipo propio puede diluirse y quedar competitivo; por debajo de eso, el servicio casi siempre gana en costo por unidad de protección. De ahí la importancia del punto de equilibrio que discutimos en la próxima sección.
Nota especialmente las líneas de 'tiempo de maduración' y 'riesgo de turnover'. Suelen ignorarse en el comparativo ingenuo que solo mira la mensualidad del servicio vs. el salario de dos analistas — y son exactamente donde el SOC interno mal dimensionado se rompe. Un SOC que lleva 18 meses en detectar bien es un SOC que te dejó expuesto durante 18 meses, y eso tiene un costo de riesgo que no aparece en la planilla de RR. HH. En el modelo de servicio, la madurez y la continuidad del equipo son problema contractual del proveedor, no tuyo.
Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
Cuándo el SOC interno realmente tiene sentido — y cuándo es vanidad cara
Sería deshonesto decir que el SOC interno nunca vale la pena. Tiene sentido, y a veces es la elección correcta, en situaciones específicas. La primera es la escala: por encima de algo como 2.000 a 3.000 activos monitoreados, con un volumen de eventos alto y creciente, el costo fijo del equipo propio empieza a diluirse y a competir de igual a igual con lo que el servicio cobraría por ese volumen. Los grandes bancos, operadoras de telecom, big techs y órganos públicos con infraestructura crítica generalmente tienen SOC interno por esa razón — y aun así, muchos operan en modelo híbrido, con el servicio cubriendo la madrugada o los picos.
La segunda situación es un requisito regulatorio o de soberanía de datos. En el sector financiero, el Banco Central impone requisitos de seguridad cibernética mediante la Resolución CMN 4.893/2021 (instituciones financieras) y la Resolución BCB 85/2021 (instituciones de pago) — recientemente reforzadas por la Resolución CMN 5.274/2025 y por la Resolución BCB 538/2025, que agregan nuevos controles técnicos y de gobernanza, con plazo de adecuación hasta el 1 de marzo de 2026. Esas normas no obligan a internalizar el SOC, pero exigen gobernanza, plan de respuesta a incidentes y responsabilidad clara sobre la contratación de terceros, lo que algunas instituciones prefieren abordar manteniendo parte de la operación dentro de casa. Importante: la LGPD no prohíbe tercerizar el SOC. En ese arreglo, el proveedor actúa como operador, realizando el tratamiento de datos personales en nombre del controlador (art. 5º, VII), y ambos responden en los términos de la ley — lo que convierte al contrato y a las cláusulas de seguridad y responsabilidad en pieza central de la decisión.
La tercera es la madurez y la estrategia de largo plazo: las empresas de tecnología que ven la seguridad como diferencial competitivo, o que quieren desarrollar capacidad interna de ingeniería de detección como activo, pueden invertir en el SOC propio como parte de la tesis de negocio. En esos casos, el SOC no es solo un centro de costo, es una capacidad estratégica.
Fuera de esas situaciones, montar un SOC interno suele ser vanidad cara — y lo decimos como consultores que prefieren ahorrarte el dolor de cabeza a venderte fierro. El patrón de fracaso es conocido: la empresa contrata a dos o tres analistas, compra un SIEM caro, anuncia internamente que 'ahora tenemos un SOC', y seis meses después descubre que nadie cubre la madrugada, que los analistas están exhaustos y pidiendo renuncia, que las alertas se volvieron ruido que nadie investiga, y que el primer incidente serio ocurrió a las 2 de un sábado sin nadie para responder. Se gastó el dinero de un SOC y se compró la ilusión de uno. Si no tienes escala, presupuesto de R$ 3 mi+/año sostenible y paciencia de 18 meses para madurar, el servicio entrega más seguridad por menos — y esa es la recomendación honesta, no la cómoda.
Cómo contratar un SOC como servicio sin errar: qué preguntarle al proveedor
Decidirse por el modelo de servicio es la mitad del camino; la otra mitad es contratar bien, porque el mercado de SOCaaS/MDR tiene excelentes proveedores y también mucho 'SOC de PowerPoint' que vende alerta sin respuesta. La primera pregunta, y la más importante, es sobre el alcance de respuesta: ¿el contrato incluye contención activa (aislar endpoint, bloquear cuenta, tumbar sesión) o solo notificación? Si es solo notificación, todavía necesitas un equipo interno para actuar — y el servicio resuelve menos de lo que parece. Exige claridad sobre lo que el proveedor hace con las propias manos versus lo que delega de vuelta a ti.
Segundo, SLA con números, no adjetivos. 'Respuesta rápida' no significa nada. Pide el tiempo medio y el tiempo máximo contractual para detección, para notificación y para contención, y qué pasa si el SLA se incumple (crédito, multa, rescisión). Pregunta explícitamente por el MTTD (Mean Time To Detect, tiempo medio para detectar) y por el MTTR (Mean Time To Respond, tiempo medio para responder) reales del proveedor — y desconfía de quien no mide ni comparte esos números. Un SOC que no conoce su propio MTTD no está midiendo su propia eficacia.
Tercero, dueño de los datos y portabilidad. ¿Dónde se almacenan tus logs, por cuánto tiempo se retienen y qué pasa con ellos si cambias de proveedor? La retención de log es un requisito de compliance (LGPD y, en el sector financiero, las resoluciones del Banco Central) y también es lo que permite investigar un incidente descubierto meses después. Garantiza en el contrato que los datos son tuyos, que puedes exportarlos y que la retención cumple con tus obligaciones legales — no con las de menor costo del proveedor.
Cuarto, transparencia operativa y cobertura real. Pregunta: ¿los analistas que cubren la madrugada son de la propia empresa o de un SOC tercerizado en otro huso horario? ¿Hay solapamiento de turno o solo on-call? ¿Cuántos clientes monitorea cada analista simultáneamente (relación de oversubscription que, demasiado alta, se vuelve ruido)? ¿Qué telemetría entra (EDR, red, identidad, nube, SaaS) — porque un MDR que solo mira el endpoint está ciego para un ataque que vive en la nube o en la identidad. Y pide referencias de clientes de tu porte y sector, más un informe de ejemplo: la calidad del informe de incidente revela la calidad de la operación. Por último, alinea el modelo de cobro a tu crecimiento: por endpoint es previsible pero castiga a quien crece en activos; por volumen de datos castiga a quien genera mucho log (nube, por ejemplo); el paquete cerrado es simple pero puede incluir grasa. No existe un modelo correcto universal — existe el que tiene sentido para tu entorno, y por eso la contratación empieza por un diagnóstico del entorno, no por una tabla de precios. Si tu escenario incluye respuesta a un incidente ya en curso, eso es otro frente: ver nuestro servicio de respuesta a incidentes, que actúa en la crisis, distinto del monitoreo continuo del SOC/MDR.
Términos clave
- SOC (Security Operations Center)
- Centro de operaciones de seguridad; la función (no necesariamente una sala física) que monitorea continuamente, detecta actividad maliciosa y responde a incidentes. Puede ser interno, como servicio (SOCaaS) o híbrido.
- SOCaaS (SOC as a Service)
- SOC como servicio: tercerización de la operación de monitoreo y triaje de alertas 24x7 hacia un proveedor que opera el SIEM y el equipo en escala compartida. En sentido estricto, suele entregar detección/alerta — la respuesta activa puede o no estar incluida.
- MDR (Managed Detection and Response)
- Detección y respuesta gestionada: servicio en el que el proveedor no solo detecta, sino que contiene la amenaza con las propias manos (aísla endpoint, bloquea cuenta, tumba sesión), normalmente con SLA contractual, sobre telemetría de EDR, red, identidad y nube.
- SIEM (Security Information and Event Management)
- Herramienta que recolecta, normaliza y correlaciona logs de varias fuentes para generar alertas. Es un instrumento del SOC, no el SOC en sí; generalmente licenciada por volumen de datos ingeridos (costo por GB/día).
- EDR (Endpoint Detection and Response)
- Agente y sensor instalado en cada endpoint (notebook, servidor) que detecta comportamiento malicioso y permite respuesta en el propio dispositivo, como aislar la máquina de la red.
- Dwell time
- Tiempo de permanencia del atacante en el entorno entre el compromiso inicial y la detección. Según el M-Trends de Mandiant, la mediana en intrusiones de ransomware quedó alrededor de 6 días — ventana corta que vuelve decisiva la cobertura 24x7.
- MTTD / MTTR
- Mean Time To Detect y Mean Time To Respond: tiempos medios para detectar y para responder a una amenaza. Son las métricas contractuales centrales para evaluar y exigir la eficacia de un SOC/MDR.
- FTE por posición (24x7)
- Número de profesionales a tiempo completo necesarios para mantener una sola silla de guardia cubierta todo el año. La regla de la industria es de 4,5 a 5 FTE por posición, considerando 3 turnos, vacaciones, descansos y licencias médicas.
Cómo decidir y contratar bien
- Levanta el tamaño real de tu entorno: número de endpoints, servidores, identidades y cuentas de nube a monitorear. Ese es el principal determinante del precio, en cualquier modelo.
- Calcula el costo honesto del SOC interno: aplica la regla de 4,5 a 5 FTE por posición 24x7, arma un equipo mínimo de 8 a 12 personas, multiplica por la nómina con cargas (60–100 % sobre el salario) y suma SIEM, EDR, threat intel y retención de logs. Llega al costo anual total, no solo al salario.
- Compara con el rango de servicio para tu porte (R$ 8 mil a R$ 60 mil/mes) y calcula el punto de equilibrio: por debajo de ~2.000–3.000 activos, el servicio casi siempre gana en costo y en tiempo hasta estar protegido.
- Incluye el costo del riesgo en la cuenta: 12 a 24 meses de maduración del SOC interno son meses de exposición; pésalos contra el costo medio de una violación en Brasil (R$ 7,19 mi, IBM 2025).
- Verifica los requisitos regulatorios de tu sector antes de decidir: las resoluciones del Banco Central (CMN 4.893/2021 y 5.274/2025, BCB 85/2021 y 538/2025) y la LGPD definen obligaciones de gobernanza, respuesta a incidentes y responsabilidad en la tercerización.
- Al comparar proveedores de servicio, exige el alcance de respuesta por escrito (contención vs. solo alerta), SLA con números (MTTD, MTTR, tiempo de contención) y penalidad por incumplimiento.
- Confirma la propiedad y retención de logs, la telemetría cubierta (EDR, red, identidad, nube) y la relación de clientes por analista; pide referencias de tu porte y un informe de incidente de ejemplo.
- Alinea el modelo de cobro (por endpoint, por volumen de datos o paquete) a tu vector de crecimiento y desconfía de cualquier precio cerrado dado sin diagnóstico de tu entorno.
Preguntas frecuentes
¿Cuánto cuesta un SOC como servicio (SOCaaS/MDR) en Brasil?
No hay un valor único: depende del número de activos, el volumen y la retención de logs, y el alcance (solo detección vs. respuesta gestionada). Como referencia de mercado, las pequeñas empresas (hasta ~100–200 endpoints) suelen encontrar MDR/SOCaaS entre R$ 8 mil y R$ 20 mil/mes; las medianas (200 a 1.000 activos) entre R$ 20 mil y R$ 45 mil; y las operaciones mayores o con compliance pesado, de R$ 45 mil a R$ 80 mil o más. Por endpoint, ronda R$ 60 a R$ 85 por activo/mes. Desconfía de un precio cerrado dado sin diagnóstico de tu entorno.
¿Cuánto cuesta montar un SOC interno 24x7 en Brasil?
De forma realista, entre R$ 2,5 millones y R$ 6 millones al año para una operación madura. La nómina de un equipo mínimo de 8 a 12 personas, con cargas, ya queda entre R$ 2,5 mi y R$ 4,5 mi/año; por encima vienen SIEM, EDR, threat intel, SOAR y retención de logs (R$ 400 mil a R$ 1,5 mi/año), además de capacitación y reposición por turnover. Y aún lleva de 12 a 24 meses madurar hasta el punto de detectar bien.
¿Por qué un SOC interno 24x7 necesita tanta gente?
Porque cubrir 24 horas al día, 365 días al año, exige tres turnos y la regla de la industria es de 4,5 a 5 profesionales a tiempo completo para mantener UNA sola posición cubierta todo el año (vacaciones, descansos, licencias médicas, solapamiento de turno). Con al menos dos analistas por turno más funciones especializadas (sénior, ingeniero de detección, coordinador), se llega al mínimo de 8 a 12 personas.
¿Cuál es la diferencia entre SOCaaS y MDR?
El SOCaaS en sentido estricto es monitoreo y triaje de alertas como servicio — el proveedor te avisa, pero la respuesta (contener, aislar, erradicar) puede quedar contigo. El MDR va más allá: el proveedor detecta Y actúa, aislando el endpoint, bloqueando la cuenta y conteniendo la amenaza, normalmente con SLA. Para quien no tiene brazo interno para responder de madrugada, el MDR es lo que de hecho resuelve.
¿El MDR es lo mismo que un SIEM o un antivirus?
No. El SIEM es la herramienta que recolecta y correlaciona logs; el antivirus/EDR es el sensor en el endpoint. El MDR es el servicio de detección y respuesta gestionada por humanos sobre esa telemetría — analistas que investigan y contienen la amenaza. Comprar un SIEM o un EDR sin operación es tener el instrumento sin el músico: nadie mira las alertas a las 3 de la madrugada.
¿Tercerizar el SOC viola la LGPD?
No. La LGPD permite tercerizar; el proveedor actúa como operador, realizando el tratamiento de datos personales en nombre del controlador, y ambos responden en los términos de la ley. Lo que la ley exige es gobernanza y un contrato claro sobre seguridad, retención y responsabilidad. En caso de incidente con datos personales, la multa simple de la ANPD puede llegar al 2 % de la facturación en Brasil, limitada a R$ 50 millones por infracción (art. 52).
¿Cuándo vale la pena tener un SOC interno en vez de contratar el servicio?
Cuando hay escala (por encima de ~2.000–3.000 activos monitoreados, el costo fijo del equipo se diluye), un requisito regulatorio o de soberanía de datos que exija mantener la operación dentro de casa, o una estrategia de largo plazo que trate la ingeniería de detección como activo. Por debajo de eso, el servicio casi siempre entrega más seguridad por menos, y más rápido.
¿Qué preguntarle a un proveedor de SOC como servicio antes de cerrar?
Si el alcance incluye contención activa o solo notificación; SLA con números (MTTD, MTTR, tiempo de contención) y penalidad por incumplimiento; dónde quedan y por cuánto tiempo se retienen tus logs y si puedes exportarlos; qué telemetría se cubre (EDR, red, identidad, nube); cuántos clientes monitorea cada analista; y referencias de tu porte con un informe de incidente de ejemplo.
Referencias
- ›IBM Cost of a Data Breach 2025 — costo medio de violación en Brasil en R$ 7,19 millones — https://brasil.newsroom.ibm.com/2025-07-30-Relatorio-da-IBM-Custo-medio-de-uma-violacao-de-dados-no-Brasil-atinge-R-7,19-milhoes
- ›Mandiant M-Trends 2025 — dwell time y tiempos de detección (Google Cloud) — https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025
- ›LGPD, Lei nº 13.709/2018, art. 52 — sanciones administrativas de la ANPD (Planalto) — https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ›Banco Central — Resolução CMN 5.274/2025, que actualiza la Res. CMN 4.893/2021 (plazo 01/03/2026) — https://www.normasbrasil.com.br/norma/?id=488277
- ›Expel — costo y staffing de un SOC 24x7 (regla de FTE por posición) — https://expel.com/cyberspeak/cost-to-build-and-operate-a-24x7-soc/
Cómo lo resuelve Decripte
Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.
¿Quieres cobertura 24x7 madura sin montar un equipo de 12 personas? Empieza por el SOC 24x7 gestionado de Decripte o habla con nosotros sobre MDR — hacemos primero el diagnóstico de tu entorno y solo entonces proponemos rango y alcance, sin números al azar.
Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.
