Identifica Fallas En Aplicaciones | Operación vs. Nube | C&A Systems

Introducción:

La adopción de servicios en la nube ha transformado la forma en que las organizaciones diseñan, operan y escalan sus sistemas. Sin embargo, este modelo introduce nuevos desafíos de seguridad relacionados con infraestructuras compartidas, responsabilidades distribuidas y configuraciones dinámicas.

ISO/IEC 27017 surge como el estándar internacional que proporciona controles específicos de seguridad para servicios en la nube, complementando a ISO/IEC 27001 y abordando riesgos que no existen en entornos tradicionales.

¿Qué es ISO/IEC 27017?

ISO/IEC 27017 es un código de buenas prácticas de seguridad de la información específico para servicios en la nube (cloud computing).

No es una norma independiente de gestión, sino una extensión de ISO/IEC 27001, diseñada para cubrir escenarios propios del cloud como:

La infraestructura no es completamente visible

Los recursos se comparten entre múltiples clientes

Las responsabilidades se distribuyen

Los errores de configuración son una de las principales causas de incidentes

ISO 27017: seguridad específica para la nube

Agrega controles enfocados en:

Cloud computing

Responsabilidad compartida

Infraestructura virtual

ISO 27001: la base del sistema de gestión

Define el Sistema de Gestión de Seguridad de la Información (SGSI) y el enfoque de gestión de riesgos.

ISO 27018: protección de datos personales en la nube

Se enfoca en privacidad y protección de datos personales en entornos cloud.

Elemento	Proveedor Cloud	Cliente
Infraestructura física	✔	❌
Virtualización	✔	❌
Configuración de servicios	❌	✔
Gestión de accesos	❌	✔
Protección de datos	❌	✔

Gestión de activos en la nube

Identificación de activos virtuales
Ubicación de datos
Eliminación segura de información

Seguridad en entornos multi-tenant

Separación lógica entre clientes
Prevención de accesos no autorizados
Controles de aislamiento

Administración segura de servicios cloud

Accesos privilegiados
Registro y monitoreo
Gestión de cambios

Configuración segura de servicios

Hardening cloud
Configuraciones base
Prevención de errores comunes

Se implementa como extensión de ISO 27001

Guía completa de Gobierno de Datos en Azure Synapse

La certificación es ISO 27001 con alcance cloud + ISO 27017

Control de incidentes

No se trata solo de “resolver rápido”. Se trata de:

detectar temprano
contener el impacto
restaurar el servicio
documentar el incidente
eliminar la causa raíz cuando sea posible

Cambios con trazabilidad

Cada ajuste debe ser controlado:

qué se cambió
por qué se cambió
quién lo aprobó
cómo se validó
cómo se revierte si sale mal

Visibilidad real de producción

Sin visibilidad, solo hay suposiciones. Necesitas claridad sobre:

salud de servicios
comportamiento ante carga
errores por componente
tiempos de respuesta
puntos de falla recurrentes

Evolución sin poner en riesgo la estabilidad

Deben evolucionar con:

mantenimiento preventivo
correcciones controladas
mejora técnica gradual
prioridades alineadas al negoc

el negocio depende de tu aplicación y no puede detenerse

hay incidentes frecuentes o repetitivos

los despliegues generan ansiedad

no hay control claro de cambios

el equipo interno está saturado con operación

hay presión por estabilidad sin presupuesto para crecer equipo