La instalación de software es una actividad cotidiana en cualquier organización, pero cuando se realiza sin control puede convertirse en una fuente importante de riesgos de seguridad. El control 8.19 de la norma ISO/IEC 27001 aborda precisamente este problema, estableciendo la necesidad de gestionar de forma segura la instalación de software en los sistemas operativos.
En este artículo explicamos qué exige este control, por qué es relevante y cómo puede aplicarse tanto en empresas de desarrollo de software como en pequeñas organizaciones.
¿Cuál es el objetivo del control 8.19?
El control 8.19 tiene como finalidad garantizar que la instalación de software en los sistemas operativos de la organización se realiza de manera controlada y segura. Su propósito es evitar que instalaciones inadecuadas afecten a la estabilidad, disponibilidad o integridad de los sistemas, y reduzcan la seguridad de la información.
Actualizar un sistema operativo, instalar una nueva aplicación o aplicar un parche sin las debidas precauciones puede provocar fallos técnicos, interrupciones del servicio o la introducción de vulnerabilidades. Este control busca prevenir ese tipo de situaciones.
¿A qué sistemas se aplica?
El control se aplica a los sistemas operativos utilizados para la actividad diaria del negocio, es decir, aquellos que soportan procesos, transacciones y servicios críticos. Esto puede incluir servidores de producción, sistemas en la nube, plataformas internas y, en algunos casos, equipos de usuario con funciones relevantes.
La clave está en identificar qué sistemas son críticos para el negocio y aplicar el control allí donde un cambio mal gestionado podría tener impacto.
Gestión segura de la instalación de software
El control 8.19 establece que la instalación de software debe gestionarse mediante procedimientos definidos. Esto incluye cualquier tipo de software, como aplicaciones desarrolladas internamente, software de proveedores externos, herramientas de código abierto y actualizaciones o parches de seguridad.
La instalación de software en un sistema operativo debe considerarse un cambio, por lo que debe integrarse dentro del proceso de gestión de cambios de la organización.
Entre las buenas prácticas más habituales se encuentran las pruebas previas en entornos de desarrollo o pruebas, la evaluación de riesgos antes de la instalación, la definición de acciones de reversión en caso de fallo y el registro de los cambios realizados, incluyendo la actualización de la CMDB cuando aplique.
¿Y si los usuarios instalan software?
El control también contempla la instalación de software por parte de los usuarios, especialmente en equipos de usuario final. En estos casos, la organización debe establecer reglas claras sobre qué software está permitido, qué instalaciones están prohibidas —como software personal o de origen dudoso— y qué usuarios pueden instalar software y en qué condiciones.
Estas medidas pueden aplicarse mediante políticas internas, controles técnicos o una combinación de ambos, y deben ajustarse al nivel de riesgo de la organización.
El papel de terceros y proveedores
Cuando proveedores externos participan en la instalación o actualización de software, la responsabilidad final sigue siendo de la organización. Por ello, es fundamental definir acuerdos claros que regulen estas actividades.
El acceso de terceros a los sistemas debe limitarse a lo estrictamente necesario, concederse solo con autorización previa y supervisarse adecuadamente, especialmente en entornos críticos o de producción.
Aplicación del control 8.19 en empresas de desarrollo de software
En una empresa de desarrollo de software, este control es especialmente relevante para los sistemas que soportan los entornos de desarrollo, pruebas y producción.
En soluciones SaaS
En un modelo SaaS, la empresa mantiene el control directo sobre los sistemas operativos. En este contexto, solo el personal autorizado puede instalar software en producción, todas las instalaciones se gestionan como cambios, el software se prueba antes de desplegarse y se utilizan mecanismos de automatización como pipelines CI/CD para asegurar la trazabilidad y el control. Además, las configuraciones se documentan y los accesos se restringen mediante controles técnicos.
En este modelo, la empresa es plenamente responsable de la seguridad de los sistemas operativos que soportan el servicio.
En soluciones on-premise
En entornos on-premise, el software se instala en la infraestructura del cliente, lo que implica una responsabilidad compartida. En este caso es clave definir contractualmente quién instala y actualiza el software, limitar y registrar los accesos del personal técnico, proporcionar documentación clara al cliente y asegurar que las intervenciones no introducen riesgos adicionales en los sistemas operativos del cliente.
Aplicación del control en pequeñas empresas
En pequeñas empresas, el control 8.19 debe aplicarse de forma proporcional. No se trata de implantar procesos complejos, sino de asegurar un control básico y efectivo.
Esto puede lograrse mediante autorización previa para instalar software en sistemas críticos, un registro sencillo de instalaciones y actualizaciones, pruebas previas cuando el impacto sea relevante y una definición clara de roles y responsabilidades. También es importante concienciar a los usuarios sobre los riesgos de instalar software no autorizado y limitar, cuando sea posible, los privilegios de administrador.
¿Cómo se evalúa en una auditoría?
Durante una auditoría ISO/IEC 27001, se revisará si el control está justificado en la Declaración de Aplicabilidad, si existen procedimientos documentados, si hay evidencias de su aplicación, si se controlan las instalaciones realizadas por usuarios y proveedores y si los cambios se gestionan de forma coherente.
Conclusión
El control 8.19 no pretende impedir la instalación de software, sino asegurar que se realiza de forma consciente, controlada y alineada con los riesgos del negocio. Aplicado correctamente, ayuda a reducir incidentes, mejorar la estabilidad de los sistemas y reforzar la seguridad de la información, independientemente del tamaño o tipo de organización.
