Pregunta

¿Qué es Security Orchestration, Automation and Response (SOAR)?

Tabla de contenidos

Security Orchestration, Automation and Response (SOAR): definición

Security Orchestration, Automation and Response, abreviado como SOAR, es una categoría de soluciones de ciberseguridad diseñada para coordinar operaciones, automatizar tareas repetitivas y estandarizar la respuesta a incidentes. El término fue consolidado por Gartner en 2017 como la combinación de tres áreas: orquestación, automatización y gestión de la respuesta a incidentes. En la práctica, SOAR integra múltiples sistemas, ejecuta procedimientos definidos y documenta el desarrollo de la gestión de eventos de seguridad.

En el contexto de la anonimización de imágenes y vídeos, SOAR no es un motor de detección de rostros ni de matrículas. No sustituye al modelo de IA que detecta objetos en una imagen. Su función consiste en activar el proceso adecuado cuando se produce un evento determinado, por ejemplo, cuando entra material de vídeo para su análisis, cuando se detecta una infracción de la política de privacidad o cuando se solicita la preservación de material probatorio. Por tanto, SOAR puede articular los procesos en torno a la anonimización, pero la anonimización en sí requiere componentes independientes de análisis de imagen, normalmente basados en deep learning.

Para un Delegado de Protección de Datos, esta distinción es clave: SOAR gestiona el flujo de acciones y el control del proceso, mientras que la detección de rostros y matrículas la realizan modelos de visión por computador. En sistemas como Gallio PRO, el difuminado automático se aplica a rostros y matrículas, no a logotipos, tatuajes, placas identificativas con nombres, documentos o imágenes mostradas en monitores. Estos elementos pueden requerir edición manual en una fase separada del proceso.

El papel de SOAR en la anonimización de imágenes y vídeos

En entornos en los que se procesa un gran volumen de materiales, el principal problema no es solo detectar objetos en la imagen. Igual de importantes son la repetibilidad, la trazabilidad de auditoría y el control de los pasos sucesivos. Ahí es precisamente donde entra en juego SOAR.

En el ámbito de la protección de la privacidad, SOAR puede coordinar toda la cadena de acciones, desde la recepción del archivo hasta su entrega segura. Un sistema de este tipo suele realizar las siguientes funciones:

  • recepción del evento, por ejemplo, el envío de fotos o grabaciones a un repositorio,
  • clasificación del caso, es decir, determinar si el material requiere anonimización antes de su uso posterior,
  • puesta en marcha del workflow adecuado, con el envío automático de los archivos al análisis,
  • verificación de resultados, derivando el material al control de un operador si el umbral de confianza del modelo es demasiado bajo,
  • registro de los pasos del proceso, sin almacenar datos personales innecesarios,
  • escalado, cuando el material presenta un alto riesgo de vulneración de la privacidad,
  • cierre del caso, junto con la confirmación de que la anonimización se ha realizado.

En este modelo, SOAR no “entiende” los rostros ni las matrículas a nivel de píxel. Lo que hace es activar las herramientas que llevan a cabo dicha detección. Esto es importante desde la perspectiva del cumplimiento del RGPD, porque permite separar la capa de decisión, la capa de procesamiento de imagen y la capa de auditoría.

Tecnologías relacionadas con SOAR y la anonimización de vídeo

Un proceso eficaz de anonimización de materiales visuales requiere la combinación de varias clases de tecnologías. SOAR es solo una de ellas, y su valor aumenta realmente cuando se integra con sistemas analíticos y repositorios de datos.

La arquitectura más habitual incluye los siguientes componentes:

  • SIEM, como fuente de alertas y correlación de eventos de seguridad,
  • sistema de gestión de incidentes, para asignar casos y documentar acciones,
  • módulo de CV/IA, para la detección de rostros y matrículas en imágenes y vídeo,
  • repositorio de archivos, como almacén controlado de materiales originales y resultados,
  • mecanismos de control de acceso, conformes con el principio de mínimo privilegio,
  • herramientas DLP o de clasificación de datos, para detectar riesgos de incumplimiento de políticas,
  • editor manual, para difuminar de forma manual elementos que el modelo no detecta automáticamente.

En la capa de IA suelen utilizarse redes convolucionales y arquitecturas de detección más recientes. Es el deep learning lo que permite construir un modelo capaz de detectar rostros y matrículas, y después transferir las coordenadas de los objetos al módulo de difuminado. SOAR no sustituye esta fase. Sin embargo, puede decidir qué modelo ejecutar, qué umbral de confianza aplicar y cuándo enviar el resultado a validación humana.

Parámetros y métricas clave de SOAR en los procesos de anonimización

Evaluar la utilidad de SOAR exige medir tanto parámetros operativos como cualitativos. Las simples declaraciones del fabricante no bastan. En un entorno de protección de datos, hay que demostrar que el proceso está controlado, es repetible y puede auditarse.

Parámetro

Significado

Ejemplo de uso

 

MTTD

Mean Time To Detect: tiempo medio desde el evento hasta la detección

Tiempo desde la recepción del archivo hasta el inicio del workflow de anonimización

MTTR

Mean Time To Respond/Remediate: tiempo medio de respuesta o remediación

Tiempo necesario para preparar una versión con rostros y matrículas difuminados

Latencia del workflow

Retraso en la ejecución del proceso

Relevante con grandes colas de archivos, aunque no siempre se trate de procesamiento en tiempo real

Recall de detección

Porcentaje de objetos correctamente detectados sobre el total de objetos reales

Clave para rostros y matrículas, porque las omisiones aumentan el riesgo de vulneración

Precision de detección

Porcentaje de detecciones correctas sobre todas las indicaciones del modelo

Una precision baja incrementa el número de difuminados erróneos y carga la revisión manual

Completitud del audit trail

Integridad de la trazabilidad de auditoría

Confirmación de quién inició el proceso, quién aprobó el resultado y cuándo

Para evaluar la calidad de la detección se utilizan métricas estándar de machine learning. Para mayor claridad, pueden expresarse así:

Precision = TP / (TP + FP)

Recall = TP / (TP + FN)

Donde TP significa verdaderos positivos, FP falsos positivos y FN objetos omitidos. En la anonimización de imágenes y vídeos, un recall alto suele ser más importante que maximizar la precision, porque un rostro o una matrícula no detectados pueden dar lugar a la divulgación de datos personales.

Flujo práctico del proceso con SOAR

La forma más útil de entender SOAR es como una capa de control del proceso. En una organización que procesa materiales visuales, el workflow puede ser el siguiente:

  1. El sistema recibe una solicitud o un archivo de grabación.
  2. SOAR comprueba el tipo de caso, la fuente del material y la política de tratamiento.
  3. El archivo se envía a la herramienta de anonimización de imágenes y vídeo.
  4. El módulo de IA detecta rostros y matrículas y prepara el efecto de difuminado.
  5. Si la confianza de la detección cae por debajo del umbral establecido, SOAR remite el material al control de un operador.
  6. El operador puede difuminar manualmente los elementos que el modelo no admite de forma automática.
  7. SOAR registra el resultado del caso, el estado, el tiempo de gestión y el identificador del operador.
  8. El material resultante se entrega a un destinatario autorizado o se archiva conforme a la política de retención.

Este modelo es coherente con la práctica de privacy by design del artículo 25 del RGPD, ya que puede minimizar el número de intervenciones manuales, limitar el acceso innecesario al material original y permitir demostrar que el proceso se ejecutó de acuerdo con un procedimiento establecido.

Retos y limitaciones de SOAR en la protección de la privacidad

SOAR mejora la organización del trabajo, pero no resuelve todos los problemas relacionados con la anonimización. En la práctica, existen limitaciones técnicas y jurídicas que deben tenerse en cuenta ya en la fase de diseño del proceso.

Las más importantes son:

  • dependencia de la calidad de la integración: una integración defectuosa con el repositorio o el motor de IA puede detener todo el proceso,
  • calidad del modelo de detección: SOAR no corregirá un modelo deficiente de detección de rostros o matrículas,
  • riesgo de registro excesivo: la trazabilidad de auditoría no debe generar por sí misma nuevos datos personales,
  • necesidad de validación manual, especialmente con materiales difíciles, nocturnos, borrosos o parcialmente ocultos,
  • divergencias interpretativas sobre las matrículas: la valoración de si constituyen datos personales y en qué casos depende del contexto y no es totalmente uniforme en la práctica jurídica.

Por eso, SOAR debe considerarse un mecanismo de control del proceso, no una garantía de plena eficacia de la anonimización. En entornos de cumplimiento, la clave está en combinar automatización, supervisión humana y políticas bien definidas.

Referencias normativas y fuentes

La definición y la práctica de uso de SOAR deben situarse en fuentes técnicas y regulatorias. En el ámbito de la protección de datos personales al tratar imágenes y grabaciones, son especialmente relevantes tanto los documentos sobre respuesta a incidentes como las normas jurídicas que regulan la legalidad del uso posterior de los materiales.

  • Gartner, definición del mercado SOAR, 2017: documentos analíticos que introducen el término Security Orchestration, Automation and Response.
  • NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide, 2012: referencia para los procesos de respuesta a incidentes.
  • NIST SP 800-92, Guide to Computer Security Log Management, 2006: principios de registro y limitación de riesgos asociados a los logs.
  • Reglamento (UE) 2016/679, RGPD, en particular los artículos 5, 25 y 32.
  • ENISA, materiales y directrices sobre automatización de la seguridad, SOC y respuesta a incidentes: documentos sectoriales útiles para diseñar playbooks.
  • Directrices del CEPD y posiciones de las autoridades de control sobre datos personales en materiales visuales, incluida la imagen y las matrículas.

Conviene señalar que SOAR no es un estándar formal en el sentido de una norma ISO con su propio número de especificación. Es un término de mercado y de arquitectura que describe la función de un sistema. Por ello, su evaluación debe basarse en parámetros medibles del proceso y en el cumplimiento de los requisitos legales y de seguridad aplicables.

Ver también

Volver al glosario