El control número trece de los CIS parte de una madurez incómoda: tarde o temprano, alguien va a entrar. Ninguna prevención es perfecta. La pregunta deja de ser solo "¿cómo evito que entren?" y pasa a ser también "¿cómo me doy cuenta de que ya entraron, y rápido?". El monitoreo y defensa de red es el ojo que vigila el interior para detectar al intruso mientras aún se mueve, antes de que logre su objetivo. Porque un atacante detectado a las pocas horas es un incidente; uno detectado a los seis meses es una catástrofe.
Por qué la detección es tan decisiva como la prevención
Los ataques serios no son instantáneos. El atacante entra, explora, escala privilegios, se mueve por la red buscando lo valioso, y solo entonces actúa. Ese período —el tiempo que pasa dentro sin ser detectado— es la ventana en la que puedes atraparlo antes del daño real. Si no vigilas, esa ventana es infinita: el atacante tiene todo el tiempo del mundo. El monitoreo reduce el tiempo de detección, y ese número —cuánto tardas en darte cuenta— es uno de los que más determina el tamaño final del daño. Ver al intruso mientras se mueve es lo que convierte una brecha potencialmente devastadora en una contenida.
Qué pide en la práctica
- Monitorear el tráfico y los eventos de red en busca de actividad anómala: conexiones raras, patrones inusuales, comunicación con destinos sospechosos.
- Sistemas de detección de intrusiones y defensas que alerten (o bloqueen) actividad maliciosa en la red.
- Correlación y análisis: juntar las señales de distintas fuentes para ver el patrón, que es justo lo que hace un SIEM.
- Alguien que atienda las alertas con umbrales sensatos: monitorear sin responder no sirve de nada.
El aterrizaje honesto
El monitoreo es donde la seguridad se vuelve una operación viva, no una instalación. Requiere herramientas, sí, pero sobre todo requiere gente y proceso: alguien que mire, interprete y actúe. Un sistema de detección que llena una bandeja de alertas que nadie revisa es un gasto disfrazado de seguridad —y por eso este control conecta con cómo se opera un monitoreo de verdad—. Para muchas organizaciones, la forma realista de tener esta capacidad es a través de un servicio gestionado que vigile por ellas. Lo que no es opcional es la idea de fondo: prevenir es la mitad del trabajo; detectar al que ya entró es la otra mitad.