En los desarrollos de los Planes de protección específicos de operador de infraestructuras críticas se incluye, en muchas ocasiones, la implantación de controles basados en sistemas de monitorización y/o prevención de ciberataques dentro de las capas más profundas de la arquitectura de seguridad. Dentro de esta categoría de sistemas de monitorización podríamos incluir un conjunto amplio de dispositivos y soluciones, tanto pasivas como activas, entre las que podemos nombrar algunas: firewalls, IPS, DPI, endpoints, SIEM, etc. Dado el gran impacto que una mala ejecución del despliegue de este tipo de sistema pudiera llegar a ocasionar en la operación de la planta es necesario tomar una serie de medidas de prevención para minimizar el riesgo. Una de las principales medidas a tomar a la hora de abordar este tipo de proyectos es la de contar con un marco de trabajo que reduzca al mínimo el riesgo. En este artículo, expondremos una serie de recomendaciones o conjunto de buenas prácticas a la hora de desplegar uno de estos controles de ciberseguridad, tomando como ejemplo un sistema SIEM.