La monitorización es uno de los pilares fundamentales de la seguridad de la información. El Control 8.16 de la norma ISO/IEC 27001 establece la necesidad de supervisar de forma continua los sistemas, eventos y actividades relevantes para detectar amenazas de seguridad de manera temprana y reducir su impacto en la organización.
Finalidad del control 8.16
El objetivo principal de este control es identificar comportamientos anómalos o sospechosos antes de que se conviertan en incidentes graves. Una monitorización eficaz permite descubrir accesos no autorizados, errores de configuración, fallos técnicos o usos indebidos de los sistemas.
Este control está estrechamente relacionado con el Control 8.15 (registro de eventos), ya que la monitorización se basa en el análisis de los registros generados por sistemas, aplicaciones y dispositivos.
Monitorización de sistemas y rendimiento
La monitorización no se limita únicamente a la seguridad. También incluye la supervisión del estado y rendimiento de la infraestructura tecnológica para garantizar la continuidad del servicio.
Entre los aspectos más habituales que se monitorizan se encuentran:
- Uso de CPU, memoria y almacenamiento
- Disponibilidad de servidores y aplicaciones
- Rendimiento de redes y servicios
- Capacidad y consumo de recursos
Las herramientas actuales permiten definir umbrales, generar alertas automáticas y notificar incidencias en tiempo real, lo que facilita una respuesta rápida ante problemas operativos o de seguridad.
Monitorización de la seguridad de la información
Desde el punto de vista de la seguridad, la monitorización se centra en analizar eventos y registros para detectar anomalías. Para ello, la organización debe definir previamente qué se considera un comportamiento normal.
Algunos ejemplos de eventos sospechosos son:
- Accesos desde ubicaciones o horarios inusuales
- Múltiples intentos fallidos de autenticación
- Incrementos inesperados de tráfico
- Cambios no autorizados en sistemas o configuraciones
Las plataformas de seguridad correlacionan eventos de diferentes fuentes para identificar patrones que puedan indicar una amenaza y generar alertas para su análisis.
Centros de Operaciones de Seguridad (SOC)
Un SOC (Security Operations Center) es una unidad especializada encargada de la monitorización continua de la seguridad. Suele apoyarse en soluciones SIEM, que centralizan y correlacionan eventos procedentes de múltiples sistemas.
El SOC puede ser interno o estar externalizado a un proveedor especializado. En cualquier caso, aunque la monitorización se delegue, la responsabilidad final de la seguridad siempre recae en la organización.
Tecnologías habituales de monitorización
Para aplicar el Control 8.16, las organizaciones suelen apoyarse en distintas tecnologías, entre ellas:
- IDS: detecta actividades sospechosas en redes o sistemas
- IPS: bloquea automáticamente tráfico malicioso
- SIEM: centraliza y correlaciona eventos de seguridad
- SOAR: automatiza la respuesta ante incidentes
- EDR: supervisa dispositivos finales y detecta comportamientos maliciosos
La elección de las herramientas debe ajustarse al tamaño, riesgos y complejidad del entorno.
Aplicación del control 8.16 en empresas de desarrollo de software
Las empresas de desarrollo de software gestionan activos especialmente sensibles como código fuente, repositorios, pipelines CI/CD y credenciales. La monitorización es clave para detectar accesos indebidos o manipulaciones no autorizadas.
Entornos SaaS
En modelos SaaS, la infraestructura suele estar alojada en plataformas cloud. La monitorización se basa en un modelo de responsabilidad compartida:
- El proveedor cloud supervisa la infraestructura base
- La empresa monitoriza aplicaciones, accesos y uso del software
- Es fundamental centralizar registros y definir alertas sobre APIs, repositorios y despliegues
Un error habitual es asumir que el proveedor cloud cubre toda la monitorización de seguridad, cuando la capa de aplicación sigue siendo responsabilidad del desarrollador.
Entornos on-premise
En soluciones on-premise, la empresa controla toda la infraestructura y, por tanto, toda la monitorización:
- Supervisión de servidores, redes y bases de datos
- Monitorización de repositorios y pipelines internos
- Detección de tráfico anómalo en la red
- Integración de eventos en un SIEM
El principal riesgo en este modelo es la falta de automatización y de supervisión continua fuera del horario laboral.
Aplicación del control 8.16 en pequeñas empresas
En las pequeñas empresas, los recursos son limitados, pero la detección temprana de incidentes sigue siendo esencial. El control debe aplicarse de forma práctica y proporcionada.
Algunas recomendaciones clave son:
- Identificar los sistemas críticos y accesos privilegiados
- Activar registros y alertas en servicios cloud y aplicaciones clave
- Utilizar herramientas sencillas y automatizadas
- Definir una respuesta básica ante alertas relevantes
- Revisar periódicamente la configuración de la monitorización
No es necesario contar con un SOC, pero sí con una reacción clara y ordenada ante eventos de seguridad.
Beneficios del control 8.16
Una correcta aplicación del Control 8.16 aporta beneficios claros:
- Detección temprana de incidentes
- Reducción del impacto de ataques y errores humanos
- Mayor visibilidad sobre los sistemas críticos
- Mejora del cumplimiento normativo y la confianza de clientes
En definitiva, la monitorización es una pieza clave para mantener la seguridad de la información bajo control y responder de forma eficaz ante amenazas reales.
