Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Cumplimiento de ISO 27001 para la seguridad de los containers y la nube

¿No sería fantástico que existiera una norma internacional que estableciera las mejores prácticas de gestión de la seguridad y sirviera de referencia a todas las organizaciones?

Pues resulta que ya existe: se llama ISO 27001 y es un marco de cumplimiento internacional que incluye más de 100 controles de seguridad que las organizaciones deben aplicar a la hora de diseñar y gestionar los sistemas de TI.

En este artículo explicamos qué significa el cumplimiento de la norma ISO 27001 y analiza también cómo puede aplicarse a los entornos nativos de la nube actuales, incluidos los basados en containers.

¿Qué es ISO 27001?

ISO 27001 es una norma internacional de seguridad de la información emitida por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). (Debido a la participación de la ICE, a veces se hace referencia a la norma como ISO/IEC 270001 en lugar de solo ISO 27001, aunque en la práctica estos términos significan lo mismo).

La norma se publicó por primera vez en 2005 y se revisó en 2013 con la incorporación de cambios importantes. Desde entonces ha habido otras revisiones de menor alcance.

¿Cuáles son los requisitos de la norma ISO 27001?

La ISO y la IEC han publicado una serie de documentos en los que se define qué implica el cumplimiento de la ISO 27001. Estos documentos se pueden encontrar en la biblioteca de información de la ISO, donde también se incluye la publicación oficial de la ISO 27001 junto con diversa documentación de apoyo.

Pero la versión resumida para el cumplimiento de la norma ISO 27001 se basa en 14 categorías de controles de seguridad:

  1. Políticas de seguridad de la información: Las organizaciones deben definir políticas de seguridad que se apliquen a todos los sistemas y activos que posean o gestionen.
  2. Organización de la seguridad de la información: Las organizaciones deben implementar un marco específico para la hacer cumplir las políticas de seguridad de la información.
  3. Seguridad de los recursos humanos: Las organizaciones deben definir políticas de seguridad para los empleados, así como para las partes interesadas externas, como proveedores y socios.
  4. Gestión de activos: Las organizaciones deben gestionar sistemáticamente los activos que poseen y aplicar los controles de seguridad necesarios para cada uno de ellos.
  5. Control de acceso: Las organizaciones deben restringir el acceso al mínimo necesario para que los empleados puedan realizar su trabajo.
  6. Criptografía: Las organizaciones deben utilizar técnicas criptográficas como el cifrado para proteger los datos sensibles.
  7. Seguridad física y del entorno: Las organizaciones deben garantizar la seguridad física de sus activos.
  8. Seguridad de las operaciones: Esta categoría incluye una serie de políticas y procedimientos operativos que las organizaciones deben seguir a la hora de implementar operaciones de seguridad.
  9. Seguridad de las comunicaciones: Las organizaciones deben asegurar las comunicaciones a través de la red.
  10. Adquisición, desarrollo y mantenimiento de sistemas: La seguridad debe integrarse en la gestión del ciclo de vida de los activos.
  11. Relaciones con los proveedores: Las organizaciones deben exigir controles de seguridad razonables a sus proveedores y cadenas de suministro.
  12. Gestión de incidentes de seguridad de la información: Las organizaciones deben implementar procedimientos efectivos para responder y notificar incidentes de seguridad.
  13. Aspectos de seguridad de la información en la gestión de la continuidad del negocio: Las organizaciones deben establecer procedimientos para mantener la continuidad del negocio tras los incidentes de seguridad.
  14. Cumplimiento: Las organizaciones deben determinar qué requisitos normativos las rigen y asegurarse de tomar medidas para cumplir con esas leyes.

Como habrá podido observar al leer esta lista, algunas de estas categorías de control se centran más que otras en cómo se gestionan los recursos de TI, como los entornos de nube y containers. Para los equipos de TI y los desarrolladores, los controles ISO 27001 más importantes son los números 1, 2, 6 y 8 de la lista.

Ahora bien, dado que todos los controles informan de cómo se aplica la seguridad de TI a la empresa en su conjunto, las partes interesadas técnicas deben familiarizarse con los requisitos de la norma ISO 27001 en general, incluso si consideraciones como la seguridad de los recursos humanos no es su ámbito principal.

¿Quién debe cumplir la norma ISO 27001?

Puesto que la ISO 27001 es una norma internacional definida por organizaciones no gubernamentales, no es un marco de cumplimiento normativo. Ninguna organización está legalmente obligada a cumplirla y no existen sanciones por no ajustarse a las normas ISO 27001.

Sin embargo, muchas empresas optan por utilizar el marco ISO 27001 para establecer las mejores prácticas que deben seguir en la gestión de la seguridad informática. Esto tiene dos objetivos principales:

  • Demostrar el compromiso con la seguridad: La capacidad de acreditar el cumplimiento de la norma ISO 27001 puede ayudar a las empresas a demostrar a sus socios y clientes que han implementado controles eficaces de seguridad de la información.
  • Descubrir los riesgos de cumplimiento: Las auditorías de cumplimiento de la norma ISO 27001 pueden ayudar a las organizaciones a detectar los riesgos de seguridad o las vulnerabilidades que podrían desencadenar violaciones de cumplimiento sujetas a multas bajo los marcos regulatorios. Si una auditoría voluntaria de la ISO 27001 identifica vulnerabilidades, las empresas pueden tomar medidas para abordarlas antes de que den lugar a multas o sanciones en virtud de una ley de cumplimiento normativo como el GDPR o la HIPAA.

Implementación de los controles de la norma ISO 27001 en la nube

Al igual que la mayoría de los marcos de cumplimiento, los controles de la norma ISO 27001 no definen estrictamente las herramientas, procesos o prácticas específicas que las empresas deben implementar para proteger los entornos de nube. En su lugar, permiten que las organizaciones determinen cómo interpretar los controles de seguridad y aplicarlos a la nube. Por lo tanto, hay muchos enfoques para el cumplimiento de la norma ISO 27001 en la nube, y no todas las empresas utilizarán las mismas prácticas.

No obstante, conviene tener en cuenta algunas mejores prácticas generales para el cumplimiento de la norma ISO 27001 en la nube.

Elija un proveedor de la nube que cumpla con la norma

En primer lugar, asegúrese de que su proveedor (o proveedores) de nube pública tienen la certificación de cumplimiento de la norma ISO 27001 en su propia infraestructura.

Esto no es difícil, ya que en general todas las principales nubes públicas cumplen con la norma ISO 27001, aunque hay algunos matices. Por ejemplo, en AWS, solo algunas regiones de la nube poseen actualmente la certificación de cumplimiento de la norma ISO 27001. También puede revisar los informes de auditoría de los proveedores de nube (como los que ofrece Azure aquí) para evaluar en qué medida han demostrado el cumplimiento de la norma ISO 27001.

Utilice las herramientas de auditoría y cumplimiento de la nube

Como es lógico, la elección de una nube que cumpla con la norma ISO 27001 no garantiza a los clientes el pleno cumplimiento de la norma ISO 27001. Los proveedores de la nube solo pueden garantizar el cumplimiento de su propia infraestructura u otros recursos que gestionen bajo el modelo de responsabilidad compartida. La responsabilidad del cumplimiento de la norma ISO 27001 en las aplicaciones o datos que los clientes despliegan en la nube recae en los clientes.

Las herramientas de auditoría y cumplimiento pueden ayudar a garantizar que las workloads desplegadas por los clientes cumplen con la norma ISO 27001. Estas herramientas escanean automáticamente los entornos de nube y sus configuraciones asociadas y luego evalúan si cumplen con las normas de cumplimiento predefinidas. Los proveedores de nube ofrecen algunas de estas herramientas, como Azure Blueprint. De todos modos, las herramientas de auditoría externas pueden resultar más útiles para las empresas que utilizan más de una nube pública o que tienen un entorno de nube híbrida.

Utilice IAM en la nube

Los marcos de gestión de identidades y accesos en la nube (Identity and Access Management, IAM) son la principal herramienta de los entornos de nube para implementar los controles de acceso que exige la norma ISO 27001. Además de crear políticas de IAM, las organizaciones deben asegurarse de auditar sus configuraciones de IAM para detectar descuidos que puedan dan lugar a riesgos de control de acceso.

Cifrado de datos

Habilitar el cifrado de datos de forma predeterminada es otra práctica habitual para implementar los controles de criptografía definidos por la norma ISO 27001. Los enfoques para el cifrado de datos en la nube pueden variar de un tipo de servicio en la nube a otro, pero el objetivo principal debe ser garantizar que los datos siempre estén cifrados a menos que haya una razón específica para lo contrario. Por ejemplo, si utiliza un servicio de almacenamiento de objetos como AWS S3, configure el cifrado predeterminado de datos en el servidor para sus cubos de almacenamiento.

Aislamiento de la red

Las nubes privadas virtuales y otras abstracciones de red virtual pueden ayudar a aislar las workloads dentro de la nube. Esto proporciona otro medio para aplicar los controles de acceso y para implementar algunos de los controles de seguridad de la red requeridos por la norma ISO 27001.

Cumplimiento de la ISO 27001 para containers

La norma ISO 27001 tampoco contiene prescripciones específicas para la seguridad de los containers, pero sí se recomiendan algunas mejores prácticas generales para un entorno basado en containers.

Escaneo de imágenes

El escaneo de imágenes de containers ayuda a cumplir con los controles de seguridad operativos de la norma ISO 27001, especialmente los que se refieren a la detección de malware.

Registros de auditoría

Los registros de auditoría de Kubernetes son otro medios para detectar vulnerabilidades y riesgos según los términos de las normas de seguridad operativa ISO 27001.

Control de acceso

Además de utilizar herramientas de IAM para gestionar el acceso a los servicios en la nube, considere la posibilidad de utilizar controles específicos para los containers, como RBAC de Kubernetes y contextos de seguridad, para aplicar controles de acceso granulares en los entornos de containers.

Conclusión

Pese a que nadie está obligado legalmente a ello, el cumplimiento de la norma ISO 27001 es una práctica recomendada no solo para demostrar a los socios y clientes que se dispone de controles de seguridad eficaces, sino también para cortar de raíz los riesgos de cumplimiento normativo. Y aunque la ISO 27001 no ofrece directrices de seguridad específicas para los entornos de nube y containers, existen una serie de herramientas y prácticas con las que se pueden implementar eficazmente los controles de la norma ISO 27001 en contextos nativos de la nube actuales.