Cuando Microsoft anunció en Ignite 2025 que Security Copilot venía
incluido para clientes de Microsoft 365 E5, mi primera reacción fue cinismo. La
segunda, después de hacer cuentas, fue otra cosa.
La cínica primero. Microsoft estaba teniendo dificultades para vender
Security Copilot como SKU separado. El precio por unidad de capacidad era alto,
los pilotos tardaban en convertir, los CISOs miraban los números y dudaban.
Incluirlo en E5 baja la barrera de entrada a cero — ya pagaste, úsalo.
Hasta ahí, marketing clásico.
Lo que cambia mi opinión es lo que viene con eso.
Security Copilot incluido no es la versión completa. Es un derecho de uso
con un cupo de SCUs (Security Compute Units) razonable para casos de uso
medianos. Si tu SOC corre operaciones grandes, te quedas corto rápido y vuelves
al modelo de pago. Pero para muchas organizaciones — especialmente las que aún
no tenían Security Copilot — el cupo incluido alcanza para empezar.
Y empezar es lo importante. Microsoft está apostando a que, una vez que
pruebes los Security Copilot agents en Defender, Entra, Intune y Purview, no
quieras volver atrás. Los agentes nuevos — los doce que anunciaron — atacan
dolores reales del SOC.
Los que más he probado
El agente de phishing triage en Defender. Antes tenías a un analista de
tier 1 dedicado a clasificar correos reportados. Ahora el agente preclasifica,
y el analista mira los casos no triviales. En el equipo donde lo metí, el
tiempo medio de resolución bajó del orden del 60%. No es magia. El agente
comete errores. Pero la mayoría de su trabajo es bueno y los humanos pueden
enfocarse arriba.
El agente de optimización de Conditional Access en Entra. Mira tus
políticas, encuentra duplicaciones, sugiere consolidaciones. La primera vez que
lo corrí en mi tenant, identificó cuatro políticas que se contradecían entre
sí. Llevábamos meses con esa contradicción y nadie la había visto.
Si no tienes E5 todavía
Esta es la conversación interesante. Antes de Ignite 2025, justificar el
upgrade a E5 era difícil para muchas empresas — el delta de funcionalidades
sobre E3 más addons no siempre era claro. Con Security Copilot incluido, el
balance cambia. Es una pieza más en la columna del “vale la pena”.
Mi cálculo aproximado para una empresa de 1,000 empleados: el ahorro en
SCUs gratuitas más el valor de los agentes en SOC, si los usas, suele cubrir el
delta de E5 contra E3. No siempre. Depende de tu uso. Pero ya no es claramente
negativo, como sí lo era antes.
Si ya tienes E5 pero no habías tocado Security Copilot
Empezar con un piloto enfocado, no con toda la suite. Mi recomendación:
arranca con dos agentes, no con doce. Phishing triage en Defender más uno
relevante para tu mayor dolor (Conditional Access en Entra, Identity Risk en
Entra, o el que sea). Mide. Después expande.
No prendas todos los agentes de un golpe. Te van a saturar con alertas y
configuraciones. Y tu cupo de SCUs se gasta más rápido de lo que te imaginas si
dejas todo corriendo.
Lo que no me gusta del cambio
Que Microsoft no fue claro sobre el cupo exacto incluido al principio.
Costó leer la letra chica. Hoy está mejor documentado, pero al inicio había
confusión sobre qué era “incluido” y qué era “consumido” en SCUs.
Que el reporting unificado de uso entre los distintos agentes todavía no
es perfecto. Cuando llega final de mes, ver quién consumió qué requiere
paciencia.
Que el modelo crea dependencia. Una vez que el SOC se acostumbra a tener
agentes ayudando, sacarlos es doloroso. Microsoft sabe esto. Apuesta a que tu
uso crezca y termines pagando SCUs adicionales. Es un negocio bien diseñado.
¿Recomendación final? Si tienes E5 y no has tocado Security Copilot,
pruébalo este mes. No mañana. La curva de aprendizaje del equipo es lo más
caro, y cuanto antes empieces, antes capitalizas.
No hay comentarios.:
Publicar un comentario