CyberGlossary

Defensa y operaciones

Controles detectivos

También conocido como: Controles de detección, Controles de monitoreo

Definición

Medidas de seguridad diseñadas para identificar y alertar sobre actividades maliciosas, infracciones de políticas o anomalías una vez ocurren en el entorno.

Los controles detectivos son salvaguardas que descubren y notifican incidentes de seguridad en lugar de bloquearlos. Incluyen reglas de correlación de SIEM, sensores IDS, telemetría EDR, monitoreo de integridad de archivos, registros de auditoría y análisis de anomalías. Su valor reside en reducir el tiempo entre el compromiso y la detección, alimentar la respuesta a incidentes y aportar evidencia forense. Complementan a los preventivos: cuando la prevención falla, la detección garantiza que el fallo no pase inadvertido. Su eficacia se mide por la cobertura de MITRE ATT&CK, la fidelidad de las alertas y métricas como el MTTD.

Ejemplos

  • Regla SIEM que se dispara cuando una cuenta de servicio inicia sesión de forma interactiva por primera vez.
  • EDR que alerta sobre ejecución sospechosa de PowerShell encadenada desde un documento de Word.

Términos relacionados