La perspectiva de Cyber Academy
ISO 27034 es la norma de seguridad de aplicaciones. Consta de varias partes. Cubre el ciclo de vida seguro del software: requisitos, diseño, construcción, pruebas, despliegue y mantenimiento. Menos conocida que la 27001 porque vive dentro del SDLC, pero es la única norma ISO que habla el idioma de los equipos de desarrollo. Encaja de forma natural con las prácticas OWASP y SBOM.
Qué se propone hacer la norma ISO/IEC 27034
ISO/IEC 27034 es el miembro dedicado a la seguridad de las aplicaciones dentro de la familia ISO/IEC 27000. Mientras que ISO/IEC 27001 rige el sistema de gestión que dirige todo su programa de seguridad de la información, ISO/IEC 27034 estrecha el enfoque a una sola cosa: construir y operar aplicaciones seguras a lo largo de todo el ciclo de vida del software, desde los requisitos y el diseño hasta la construcción, las pruebas, el despliegue y el mantenimiento.
Es una norma de varias partes, lo que significa que las orientaciones se reparten en varios documentos en lugar de concentrarse en una única especificación certificable, y esa forma dice algo sobre su intención. Está pensada para informar cómo se realiza el desarrollo, no para entregar a un auditor una lista de verificación de casillas.
La razón por la que permanece en segundo plano mientras ISO/IEC 27001 acapara la atención es estructural. La mayor parte de una organización habla de políticas, registros de riesgos y certificados; ISO/IEC 27034 habla a las personas que escriben y entregan el código. Vive dentro del ciclo de vida de desarrollo de software (SDLC), de modo que su público son desarrolladores, arquitectos e ingenieros de seguridad de aplicaciones más que el equipo de cumplimiento. Eso la convierte en la norma ISO más fluida en el lenguaje de los equipos de desarrollo, y en la que tiene más probabilidades de encajar limpiamente con cómo funciona realmente una organización de ingeniería en el día a día.
La idea del control de seguridad de aplicaciones
El concepto organizador en ISO/IEC 27034 es tratar la seguridad de las aplicaciones como un conjunto de controles verificables entretejidos en el ciclo de vida, en lugar de como una revisión de seguridad añadida al final.
La norma plantea los requisitos de seguridad como algo que se deriva del contexto de la aplicación, de los datos que maneja y de las amenazas a las que se enfrenta, y que luego se arrastra a través del diseño, la implementación y la verificación, de modo que cada control tenga un punto definido donde se incorpora y un punto definido donde se comprueba.
El efecto práctico es que la seguridad deja de ser una barrera en la entrega y se convierte en una propiedad mantenida en cada etapa, que es exactamente el giro que la práctica moderna de desarrollo seguro lleva años impulsando.
Como la norma está orientada a procesos y modelada en torno al ciclo de vida, encaja cómodamente junto al material prescriptivo y práctico que los equipos ya usan. No sustituye al OWASP Application Security Verification Standard ni al OWASP Top 10; les da un marco de gobernanza del que colgar. También se combina de forma natural con la práctica del software bill of materials (SBOM), donde saber exactamente qué componentes se entregan en una aplicación es el control de la fase de mantenimiento que mantiene honesto el ciclo de vida tras la entrega. Usadas en conjunto, ISO/IEC 27034 aporta la estructura, y OWASP y el SBOM aportan las técnicas concretas y los inventarios.
Dónde encaja junto a ISO/IEC 27001
La forma más clara de posicionar ISO/IEC 27034 es como el detalle de la capa de aplicación bajo un sistema de gestión ISO/IEC 27001. ISO/IEC 27001 certifica que usted opera un sistema de gestión de seguridad de la información con evaluación de riesgos y mejora continua, y su conjunto de controles incluye expectativas de desarrollo seguro enunciadas a un nivel alto.
ISO/IEC 27034 es a donde acude para implementar realmente esas expectativas en ingeniería: cómo se capturan los requisitos seguros, cómo se verifican los controles, cómo viaja la seguridad a través del SDLC. Un equipo certificado en ISO/IEC 27001 puede usar ISO/IEC 27034 para dar sustancia a sus controles de desarrollo seguro, y una organización de desarrollo puede usar ISO/IEC 27034 para asegurarse de que el código que entrega resistiría ante ese sistema de gestión más amplio.
En la práctica, las organizaciones rara vez se certifican frente a ISO/IEC 27034 como lo hacen frente a ISO/IEC 27001. La adoptan como orientación, trasladan la estructura de ciclo de vida a su propio estándar de desarrollo seguro y la referencian cuando necesitan una base con autoridad para justificar por qué la seguridad de las aplicaciones se gestiona de la manera en que se gestiona. Para un equipo pequeño, el valor es el mismo que para una gran empresa: una manera reconocida y neutral respecto al proveedor de describir un SDLC seguro que auditores, clientes y desarrolladores aceptan por igual.
Frequently asked questions
01¿Es ISO/IEC 27034 una norma certificable?
Es una norma de varias partes concebida principalmente como orientación para construir aplicaciones seguras a lo largo del ciclo de vida, no como una especificación única frente a la que las organizaciones suelen certificarse de la forma en que se certifican frente a ISO/IEC 27001. La mayoría de los equipos la adoptan para estructurar su práctica de desarrollo seguro más que para obtener un certificado.
02¿En qué se diferencia ISO/IEC 27034 de ISO/IEC 27001?
ISO/IEC 27001 rige todo el sistema de gestión de seguridad de la información. ISO/IEC 27034 se estrecha a la seguridad de las aplicaciones a lo largo del ciclo de vida de desarrollo de software, dando sustancia de ingeniería a los controles de desarrollo seguro que ISO/IEC 27001 enuncia a un nivel más alto.
03¿Sustituye ISO/IEC 27034 a OWASP?
No. Ambas se complementan. ISO/IEC 27034 aporta la estructura de ciclo de vida y el marco de gobernanza, mientras que recursos de OWASP como el Top 10 y el Application Security Verification Standard aportan las técnicas y pruebas concretas que usted aplica dentro de ella.
04¿Quién en una organización usa realmente ISO/IEC 27034?
Está dirigida a las personas que construyen y operan software: desarrolladores, arquitectos e ingenieros de seguridad de aplicaciones. Por eso se la describe como la norma ISO que habla el lenguaje de los equipos de desarrollo, ya que vive dentro del SDLC en lugar de en la capa de políticas.
05¿Cómo se relaciona con la práctica del SBOM?
Un software bill of materials respalda la fase de mantenimiento que ISO/IEC 27034 trata como parte del ciclo de vida. Saber exactamente qué componentes se entregan en una aplicación le permite mantener eficaces los controles de seguridad de aplicaciones tras la entrega, que es el tipo de verificación continua que la norma espera.