Este control del Anexo A.8.9 de la ISO/IEC 27001:2022 busca garantizar que la configuración de los sistemas de información sea conocida, segura, evaluada y correctamente gestionada para minimizar riesgos. El objetivo es reducir la superficie de ataque, prevenir configuraciones erróneas y permitir auditorías o trazabilidad de los cambios.

Pasos para implementar el control 7.4

1. Establecer una política de configuración

Define una política clara que establezca:

• Qué componentes deben gestionarse (servidores, servicios cloud, dispositivos de red, contenedores, endpoints, etc.).

• Quién tiene autoridad para aprobar cambios de configuración.

• Cuáles son las configuraciones base autorizadas (baselines).

• Herramientas y procesos aceptados para la gestión (como Ansible, Terraform, Puppet, etc.).

2. Crear configuraciones base (baselines)

Desarrolla “configuraciones seguras por defecto”:

• Sistemas operativos endurecidos (hardening).

• Parámetros de red mínimos necesarios.

• Puertos y servicios habilitados.

• Configuración de software (PHP, Apache, bases de datos, etc.) conforme a buenas prácticas.

Utiliza guías como CIS Benchmarks, OWASP Server Security Guidelines, o herramientas como Lynis para auditoría automatizada.

3. Control de cambios

Todo cambio en la configuración debe pasar por un proceso documentado:

• Solicitud de cambio (RFC).

• Evaluación del impacto en seguridad.

• Pruebas en entornos de staging/sandbox.

• Aprobación formal.

• Ejecución controlada y monitoreo post-cambio.

4. Gestión de activos de configuración

Mantén un registro de los componentes y sus configuraciones actuales. Este inventario debe incluir:

• Versión del software.

• Ubicación del servicio.

• Estado del parcheo y nivel de hardening.

• Responsables técnicos.

5. Monitorización de desviaciones

Implementa alertas y análisis para detectar configuraciones no autorizadas:

• Compara los sistemas actuales contra las baselines.

• Detecta cambios fuera de los procesos definidos.

• Realiza auditorías periódicas.

6. Automatización e infraestructura como código (IaC)

Una buena práctica moderna es gestionar configuraciones mediante código:

• Repositorios versionados en Git.

• Plantillas de Terraform, CloudFormation, Helm Charts.

• Validaciones automáticas en pipelines CI/CD.

• Revisiones de seguridad antes del deploy.

Conclusión

Implementar correctamente el control 8.9 de ISO 27001:2022 no solo fortalece la seguridad técnica de los sistemas, sino que mejora la gobernanza TI y la confianza del cliente. En entornos como los de servicios SaaS, donde la agilidad convive con la responsabilidad, una buena gestión de la configuración es clave para garantizar la confidencialidad, integridad y disponibilidad de la información.