En los últimos años, los ciberataques han mostrado características diversificadas, propositivas y organizadas, lo que plantea desafíos significativos para la toma de decisiones en defensa cibernética en redes internas. Debido a la confrontación continua entre atacantes y defensores, el uso exclusivo de métodos estadísticos basados en datos o de aprendizaje supervisado no puede hacer frente a las amenazas de seguridad cada vez más severas. Es urgente repensar la defensa de redes desde la perspectiva de la toma de decisiones y prepararse para cada situación posible. El aprendizaje por refuerzo ha logrado grandes avances en la resolución de problemas de toma de decisiones complicados. Proponemos un marco que define cuatro módulos basados en el ciclo de vida de las amenazas: pentest, diseño, respuesta, recuperación. Nuestros objetivos son clarificar el límite del problema de toma de decisiones en defensa de redes, estudiar las características del problema en diferentes contextos, comparar las fortalezas y debilidades de la investigación existente e identificar desafíos prometedores para trabajos futuros. Nuestro trabajo proporciona una visión sistemática para comprender y resolver problemas de toma de decisiones en la aplicación del aprendizaje por refuerzo a la defensa cibernética.