Construir un SOC físico industrial: especificación detallada

Un centro de operaciones de seguridad física no es una sala con pantallas. Es una organización con turnos, procedimientos, latencias medidas y responsabilidad nominal, alojada en un espacio que ha sido diseñado para no fallar cuando todo lo demás falla.

La confusión más extendida en el mercado español es tratar al SOC como mobiliario. Se compra un videowall, se sienta a dos vigilantes delante, se contrata una conexión de fibra y se llama centro de control. El resultado es una recepción cara. Un SOC físico industrial, entendido en sentido operativo, exige una arquitectura de personal, una arquitectura técnica y una arquitectura espacial que se sostienen mutuamente. Si una de las tres falla, las otras dos pierden su sentido. Lo que sigue es el plano que utilizamos en BOSWAU + KNAUER cuando un operador industrial decide pasar del modelo tradicional, basado en rondas y vigilancia presencial, a una operación de seguridad física que se mide en tiempos de reacción, en disponibilidad y en tasa de incidentes resueltos.

La función antes del edificio

Antes de hablar de planta y de equipamiento, hay que fijar qué hace exactamente un SOC físico industrial. La respuesta no es genérica. Depende del perímetro a proteger, de la criticidad regulatoria del activo y del modelo de respuesta acordado con las fuerzas y cuerpos de seguridad. Un SOC que cubre una refinería sujeta a la Ley 8/2011 y a la supervisión del CNPIC opera bajo lógicas distintas que un SOC corporativo que cubre tres centros logísticos en la Comunidad de Madrid. La función define el dimensionamiento. El dimensionamiento define el coste. El coste define el modelo de negocio. Saltarse este orden produce SOC sobredimensionados que se convierten en pasivos y SOC infradimensionados que se convierten en riesgos.

La función de un SOC industrial se descompone en cuatro bloques. El primero es la vigilancia activa: lectura continua de cámaras, sensores perimetrales, lectores de matrícula, control de accesos y sistemas de detección de intrusión. El segundo es la verificación: ante una alarma, el operador discrimina en segundos si se trata de un falso positivo, de un evento menor o de un incidente que exige escalado. El tercero es la coordinación: contacto con patrullas internas, con el responsable de planta de guardia, con la fuerza pública y, cuando procede, con el CCN-CERT o con el servicio de respuesta del operador. El cuarto es la trazabilidad: cada evento queda registrado con su cadena de decisiones, con sus tiempos y con la identidad del operador que actuó. Sin trazabilidad, el SOC no resiste una auditoría interna, ni una inspección de la AEPD sobre el tratamiento de imágenes, ni un peritaje judicial tras un incidente.

De estos cuatro bloques se deriva la métrica que ordena toda la operación: el tiempo entre detección y respuesta verificada. En instalaciones críticas razonables, ese tiempo se sitúa por debajo de los noventa segundos para la primera respuesta y por debajo de los cinco minutos para la coordinación con la patrulla en sitio. Por debajo de esos umbrales, el SOC es un sistema de seguridad. Por encima, es un archivo de vídeo con personal.

Personal y turnos

El error más caro en la implantación de un SOC es subestimar el personal. La tecnología se compra una vez. El personal se paga cada mes, durante años, y determina si el sistema funciona o si solo está encendido. Un SOC con cobertura 24/7 en operación continua exige, como suelo, cinco operadores por puesto para cubrir descansos, vacaciones, bajas y formación. Si la operación tiene dos puestos simultáneos en el peor turno, el dimensionamiento mínimo se acerca a diez operadores, más un coordinador de turno por cada bloque de ocho horas y un responsable de SOC con dedicación completa. Quien intente operar con menos personal está externalizando el riesgo a la fatiga del equipo, y la fatiga del equipo se cobra en falsos negativos.

Los turnos se diseñan en función del perfil de actividad de la instalación protegida. Para sitios industriales con producción continua, el reparto habitual es de tres turnos de ocho horas con solape de quince minutos para el traspaso, o cuatro turnos de doce horas en rotación quinaria. El solape no es opcional. Es el momento en el que el turno saliente transfiere al entrante los eventos abiertos, las alarmas atenuadas, las cámaras en mantenimiento y las consignas vigentes. Sin solape, cada cambio de turno es una ventana de ceguera operativa de varios minutos. En esos minutos se cuelan los incidentes que después aparecen sin explicación en los registros.

El perfil del operador de SOC físico no es el del vigilante tradicional, aunque a menudo provenga del mismo sector. Necesita formación específica en lectura de vídeo con apoyo de analítica, en gestión de protocolos de escalado, en interlocución con fuerzas y cuerpos de seguridad y en tratamiento de datos personales conforme al criterio de la AEPD para sistemas de videovigilancia. La habilitación profesional como vigilante de seguridad, regulada por la Ley 5/2014 de Seguridad Privada, es el punto de partida, no el punto de llegada. A esa habilitación se añaden módulos de entrenamiento específicos del operador, que pueden alargarse entre cuarenta y ochenta horas dependiendo del nivel de complejidad de la planta. Los operadores que no completan ese entrenamiento son personas sentadas delante de un monitor, no operadores de SOC.

El coordinador de turno es la figura que sostiene el modelo. Es quien decide cuándo escalar, quien valida los protocolos en curso y quien firma el cierre de los incidentes del turno. En SOC bien diseñados, el coordinador no opera cámaras de forma habitual. Supervisa, decide y documenta. Cuando el coordinador es absorbido por la operación, el SOC pierde su capa de control. Esto sucede con frecuencia cuando el dimensionamiento es ajustado y se ahorra en el segundo o tercer operador, dejando al coordinador como recurso de emergencia. La consecuencia es previsible: en el momento crítico, no hay quien decida.

Arquitectura técnica

La arquitectura técnica de un SOC físico industrial se ordena en cinco capas, cada una con sus exigencias propias. La capa de captación incluye cámaras, sensores perimetrales, lectores, controles de acceso y sistemas auxiliares como megafonía y comunicaciones. La capa de transporte es la red, redundada, con segmentación clara entre la red de seguridad física y el resto de redes corporativas e industriales. La capa de gestión es el conjunto de plataformas que recogen, correlacionan y presentan los datos: VMS para vídeo, PSIM o equivalente para correlación de eventos, sistema de control de accesos integrado. La capa de presentación es el videowall, las estaciones de operador y las herramientas de gestión de incidentes. La capa de respaldo es todo lo que no se ve hasta que hace falta: SAI, grupo electrógeno, climatización redundada, conectividad alternativa.

La regla de oro de la arquitectura técnica es la separación de la red de seguridad física respecto a la red OT industrial y a la red corporativa. Esta separación no es un detalle de configuración. Es una decisión de diseño que protege al SOC de un compromiso que se origine en cualquiera de las otras dos redes y, recíprocamente, protege a las redes operativas de un compromiso originado en la seguridad física. El INCIBE ha publicado material extenso sobre buenas prácticas de segmentación para entornos industriales que conviene incorporar como referencia mínima. Cuando la red de seguridad física comparte infraestructura con la red OT, un ataque a una sola red compromete las dos. El coste de la segmentación es marginal comparado con el coste del incidente que evita.

La capa de gestión exige una decisión estratégica que muchos operadores aplazan: integración por plataforma única o por agregación de sistemas especializados. La plataforma única simplifica la operación y reduce los costes de formación, pero genera dependencia del fabricante. La agregación de sistemas especializados preserva la libertad de elección, pero exige una capa de integración que ha de mantenerse en el tiempo. No hay respuesta universal. La decisión depende del tamaño del operador, de su madurez tecnológica interna y de su tolerancia al bloqueo. Lo que no es admisible es operar con sistemas que no dialogan entre sí, obligando al operador a saltar entre interfaces durante un evento. Cada salto es un segundo perdido y una posibilidad de error.

La capa de respaldo determina la disponibilidad real. Un SOC sin SAI con autonomía mínima de treinta minutos y sin grupo electrógeno capaz de sostener la operación durante el corte previsible máximo de la zona no es un SOC. Es un escenario operativo en condiciones favorables. La climatización debe estar redundada, porque la sala de operadores y la sala técnica generan carga térmica continua y su fallo en verano detiene la operación en horas. La conectividad alternativa, idealmente por dos operadores con rutas físicas distintas, es la última línea de defensa frente al aislamiento. Todos estos elementos parecen excesivos hasta el día en que dejan de serlo.

Diseño de la sala

La sala del SOC se diseña en torno a la línea de visión y a la latencia humana. La línea de visión define la geometría: el videowall debe quedar a una distancia que permita lectura confortable desde cualquier puesto de operador, con ángulos que eviten reflejos y con altura que no fuerce posturas. La latencia humana define la ergonomía: el operador pasa ocho o doce horas frente a tres o cuatro monitores, y la fatiga acumulada de una sala mal diseñada se traduce en errores en la segunda mitad del turno. Sillas industriales con regulación completa, iluminación regulable y de bajo deslumbramiento, climatización con control individual por zona y acústica tratada para reducir el ruido de fondo no son lujos. Son condiciones de eficacia.

La planta típica de un SOC industrial de tamaño medio se organiza en tres zonas. La zona de operación alberga los puestos de los operadores y el videowall. La zona de coordinación, separada visualmente pero con visión directa de la zona de operación, alberga al coordinador de turno y, cuando existe, al responsable de SOC. La zona técnica, separada por puerta cerrada y con control de acceso propio, alberga los racks, el SAI y el sistema de climatización dedicado. Esta zona técnica es, en términos regulatorios y de seguros, la sala más crítica del edificio. Su control de acceso debe ser independiente del control de acceso general, con registro biométrico o equivalente y con alarma propia.

El acceso al SOC se diseña como un esclusado en dos puertas, con identificación en la primera y autorización en la segunda. Las visitas se acompañan en todo momento. La sala no tiene ventanas exteriores accesibles, y cuando las tiene, son fijas, de vidrio de seguridad y opacas desde el exterior. La protección contra incendios es por agente limpio en la zona técnica y por detección temprana en la zona de operación, con plan de evacuación que prevé el sostenimiento de la operación desde un puesto remoto durante el tiempo de retorno. Esa redundancia operativa por puesto remoto es una pieza que casi nadie incorpora hasta que la primera contingencia la hace inevitable.

La sala se certifica. No basta con construirla. Se certifica frente a normativa de protección contra incendios, frente a normativa eléctrica, frente a normativa de protección de datos en lo relativo a tratamiento de imágenes, y, cuando aplica, frente a requisitos específicos del CNPIC para operadores designados como críticos. La certificación no es un trámite. Es la garantía documental de que el SOC podrá operar en condiciones normales y de que, ante un incidente, el operador podrá demostrar diligencia. En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se desarrolla con detalle por qué la trazabilidad documental es, en el contexto regulatorio europeo, tan determinante como la capacidad técnica.

Procedimientos y trazabilidad

Un SOC sin procedimientos escritos es un SOC que improvisa. La improvisación funciona el ochenta por ciento de las veces y falla en el veinte restante, que es exactamente el porcentaje donde el SOC justifica su existencia. Los procedimientos cubren tres niveles. El primer nivel son los protocolos de respuesta ante eventos típicos: intrusión perimetral, alarma de incendio, pérdida de comunicación con un sensor, acceso no autorizado, incidente médico en planta. Cada protocolo establece la secuencia de verificación, los criterios de escalado, los contactos a activar y la documentación a generar. El segundo nivel son los procedimientos operativos del turno: apertura, traspaso, cierre, gestión de incidencias técnicas, comunicación con planta. El tercer nivel son los procedimientos de contingencia: fallo eléctrico, fallo de climatización, fallo de comunicaciones, evacuación de la sala, operación desde puesto remoto.

La trazabilidad de cada evento se garantiza por dos vías paralelas. La vía técnica registra automáticamente las acciones realizadas sobre los sistemas: visualización de cámaras, reconocimiento de alarmas, accionamientos de control. La vía operativa documenta las decisiones tomadas por los operadores y los coordinadores, con sello temporal y autoría. La concurrencia de las dos vías produce, ante un incidente, un relato reconstruible que resiste auditoría interna, peritaje judicial y, si fuera necesario, requerimiento de la AEPD sobre el tratamiento concreto de imágenes. Sin esta doble trazabilidad, el SOC opera a oscuras frente a su propia historia. Cada incidente cerrado se convierte en una pérdida de información que, acumulada, impide la mejora continua.

La revisión periódica de procedimientos y registros es la disciplina que distingue al SOC maduro del SOC reciente. Mensualmente se revisan los falsos positivos, se ajustan los umbrales de las analíticas y se actualizan los protocolos que han mostrado fricciones. Trimestralmente se realiza un ejercicio de simulación con un evento crítico, con cronometraje real y con evaluación posterior. Anualmente se audita el SOC en su conjunto, idealmente por un tercero independiente, con foco en personal, tecnología, espacio y procedimientos. Estos tres niveles de revisión consumen tiempo, pero son la única forma de mantener la operación en un nivel de eficacia que justifique la inversión.

Coste y modelo económico

El coste de implantación de un SOC físico industrial varía en un rango amplio según la criticidad del sitio, el alcance de la cobertura y el grado de redundancia exigido. Para una operación de dos puestos simultáneos 24/7 con capa técnica robusta y sala certificada, el rango habitual de inversión inicial en España se sitúa entre setecientos mil y un millón quinientos mil euros, sin contar el coste de las instalaciones de campo que el SOC supervisa. El coste operativo anual, dominado por el personal, se sitúa entre seiscientos mil y un millón cien mil euros para esa misma configuración. Estas cifras se entregan como rango porque cada proyecto incorpora particularidades que pueden moverlas significativamente en uno u otro sentido.

La pregunta económica relevante no es cuánto cuesta el SOC. Es cuánto cuesta no tenerlo. Para operadores con activos industriales en el rango de las decenas o centenas de millones de euros, con exposición regulatoria bajo CNPIC, con primas de seguro que dependen de la calidad demostrada de la seguridad física y con responsabilidad penal de la persona jurídica en juego, la inversión en un SOC bien diseñado se amortiza por la reducción de primas, por la disminución de la siniestralidad, por la mejora de las condiciones contractuales con clientes industriales y por la robustez frente a inspección. Unespa publica con regularidad datos sobre la relación entre calidad de la seguridad y condiciones aseguradoras que conviene incorporar al análisis de retorno.

El modelo de propiedad del SOC admite tres variantes principales. La primera es el SOC propio, operado por personal del operador o por una empresa de seguridad privada contratada de forma exclusiva. La segunda es el SOC compartido, donde varios operadores comparten infraestructura y personal a través de un proveedor especializado, lo que reduce el coste por sitio pero limita la personalización. La tercera es el SOC externalizado por completo, donde el operador contrata el servicio y no es propietario de la infraestructura. Cada modelo tiene su lógica. Para infraestructuras críticas bajo CNPIC, el modelo propio o el modelo compartido con un proveedor de confianza son las opciones habituales. Para operadores industriales de tamaño medio sin clasificación crítica, el modelo externalizado puede ser razonable si el proveedor cumple los estándares operativos exigibles.

Lo que permanece

Construir un SOC físico industrial es construir una organización. La sala y los equipos son la parte visible. El personal entrenado, los procedimientos escritos, la trazabilidad disciplinada y la revisión periódica son la parte que sostiene la eficacia en el tiempo. Quien invierte solo en la parte visible construye un decorado. Quien invierte en las cuatro dimensiones a la vez construye una capacidad operativa que se mantiene a lo largo de los años y que se transforma en una ventaja competitiva real frente a operadores que aún confían en modelos tradicionales.

La decisión de construir o reformar un SOC no admite plantillas. Cada operador llega con su perímetro, su criticidad, su madurez interna y su presupuesto. Por eso BOSWAU + KNAUER ofrece tres caminos diferenciados de aproximación. Para quien quiere una primera conversación confidencial sobre su situación, el Camino I son sesenta minutos con un miembro de la dirección sin coste ni compromiso. Para quien necesita una evaluación rigurosa antes de decidir inversión, el Camino II es una auditoría de tres a cinco días con seis entregables documentales que el operador puede utilizar con o sin nosotros. Para quien ha tomado la decisión y quiere validar tecnología y procedimientos antes de escalar, el Camino III es un piloto de noventa días en un sitio concreto, con métricas pactadas antes del inicio. Los tres caminos comparten una misma lógica: el operador conserva el control de la información y de la decisión en todo momento.

Preguntas frecuentes

¿Cuántas personas en un SOC?

El dimensionamiento mínimo para una operación 24/7 con un solo puesto simultáneo es de cinco operadores en plantilla, para cubrir descansos, vacaciones, bajas y formación. Para dos puestos simultáneos, el mínimo realista es de diez operadores más tres coordinadores de turno y un responsable de SOC con dedicación completa. Para configuraciones críticas con tres puestos simultáneos, el dimensionamiento sube a quince operadores como suelo. Cualquier cifra inferior produce fatiga acumulada, errores en la segunda mitad del turno y huecos de cobertura que se acaban manifestando en incidentes mal gestionados.

¿Qué tecnología?

Un SOC industrial moderno integra cinco capas: captación con cámaras IP de alta definición, sensores perimetrales y lectores de matrícula; transporte por red dedicada y redundada; gestión mediante VMS robusto y plataforma de correlación de eventos tipo PSIM; presentación a través de videowall y estaciones ergonómicas; respaldo con SAI, grupo electrógeno y conectividad alternativa. La analítica de vídeo basada en aprendizaje automático añade capacidad de discriminación. La selección concreta de fabricantes depende del operador, pero la interoperabilidad y la segmentación frente a la red OT son innegociables.

¿Cuál es el diseño?

La sala se organiza en tres zonas: operación con los puestos y el videowall, coordinación con visión directa de la operación pero separación visual, y técnica con racks y SAI bajo control de acceso independiente. El acceso a la sala se hace por esclusado en dos puertas. No hay ventanas exteriores accesibles. La climatización está redundada y la protección contra incendios usa agente limpio en la zona técnica. La sala se certifica conforme a normativa eléctrica, de incendios, de protección de datos y, cuando aplica, conforme a requisitos del CNPIC.

¿Cuánto cuesta?

Para una operación de dos puestos simultáneos 24/7 con capa técnica robusta y sala certificada, la inversión inicial en España se sitúa habitualmente entre setecientos mil y un millón quinientos mil euros, sin contar las instalaciones de campo supervisadas. El coste operativo anual, dominado por el personal, se sitúa entre seiscientos mil y un millón cien mil euros. Las cifras varían según criticidad, alcance y redundancia. La pregunta económica útil no es cuánto cuesta el SOC, sino cuánto cuesta no tenerlo frente a la exposición regulatoria, las primas de seguro y la responsabilidad penal de la persona jurídica.