Categories: Certificación iso 27001, ISO 27001

by drmunozcl

Share

Categories: Certificación iso 27001, ISO 27001

Por drmunozcl

Compartir

Este control del Anexo A.8.9 de la ISO/IEC 27001:2022 busca garantizar que la configuración de los sistemas de información sea conocida, segura, evaluada y correctamente gestionada para minimizar riesgos. El objetivo es reducir la superficie de ataque, prevenir configuraciones erróneas y permitir auditorías o trazabilidad de los cambios.

Pasos para implementar el control 7.4

1. Establecer una política de configuración

Define una política clara que establezca:

  • Qué componentes deben gestionarse (servidores, servicios cloud, dispositivos de red, contenedores, endpoints, etc.).

  • Quién tiene autoridad para aprobar cambios de configuración.

  • Cuáles son las configuraciones base autorizadas (baselines).

  • Herramientas y procesos aceptados para la gestión (como Ansible, Terraform, Puppet, etc.).

2. Crear configuraciones base (baselines)

Desarrolla “configuraciones seguras por defecto”:

  • Sistemas operativos endurecidos (hardening).

  • Parámetros de red mínimos necesarios.

  • Puertos y servicios habilitados.

  • Configuración de software (PHP, Apache, bases de datos, etc.) conforme a buenas prácticas.

Utiliza guías como CIS Benchmarks, OWASP Server Security Guidelines, o herramientas como Lynis para auditoría automatizada.

3. Control de cambios

Todo cambio en la configuración debe pasar por un proceso documentado:

  • Solicitud de cambio (RFC).

  • Evaluación del impacto en seguridad.

  • Pruebas en entornos de staging/sandbox.

  • Aprobación formal.

  • Ejecución controlada y monitoreo post-cambio.

4. Gestión de activos de configuración

Mantén un registro de los componentes y sus configuraciones actuales. Este inventario debe incluir:

  • Versión del software.

  • Ubicación del servicio.

  • Estado del parcheo y nivel de hardening.

  • Responsables técnicos.

5. Monitorización de desviaciones

Implementa alertas y análisis para detectar configuraciones no autorizadas:

  • Compara los sistemas actuales contra las baselines.

  • Detecta cambios fuera de los procesos definidos.

  • Realiza auditorías periódicas.

6. Automatización e infraestructura como código (IaC)

Una buena práctica moderna es gestionar configuraciones mediante código:

  • Repositorios versionados en Git.

  • Plantillas de Terraform, CloudFormation, Helm Charts.

  • Validaciones automáticas en pipelines CI/CD.

  • Revisiones de seguridad antes del deploy.

Conclusión

Implementar correctamente el control 8.9 de ISO 27001:2022 no solo fortalece la seguridad técnica de los sistemas, sino que mejora la gobernanza TI y la confianza del cliente. En entornos como los de servicios SaaS, donde la agilidad convive con la responsabilidad, una buena gestión de la configuración es clave para garantizar la confidencialidad, integridad y disponibilidad de la información.

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su

  • Prevención fuga de datos

    Implementación Control A.8.12 – Prevención de fuga de datos

    En el contexto actual donde la información es uno de los activos más valiosos de una organización, las fugas de datos (data leaks o data loss) representan una de las amenazas más críticas para la seguridad y la reputación corporativa. El control 8.12 de la ISO/IEC 27001:2022, titulado “Prevención de Fuga de Datos”, establece medidas

  • Eliminado de información iso27001 control 8.10

    Implementación Control A.8.10 – Eliminación de información

    El control 8.10 de la norma ISO/IEC 27001:2022 se titula “Eliminación de información” y pertenece al conjunto de controles del dominio 8: Controles de Seguridad para la Gestión de Activos. Su propósito es asegurar que la información se elimine de forma segura cuando ya no se requiere, evitando el acceso no autorizado, la divulgación indebida