Control 8.34 ISO 27001: Protección de los sistemas durante pruebas de auditoría

Las auditorías y pruebas técnicas son fundamentales para evaluar la seguridad y el cumplimiento de una organización. Sin embargo, cuando estas actividades se realizan sobre sistemas en producción, pueden convertirse en una fuente de riesgo si no se gestionan adecuadamente.

El Control 8.34 de ISO/IEC 27001 aborda precisamente esta situación: cómo proteger los sistemas de información mientras se realizan auditorías, pruebas técnicas o actividades de aseguramiento.

¿Qué exige el Control 8.34?

Para cumplir con este control, la organización debe garantizar que:

  • Las pruebas de auditoría se planifican previamente.
  • Existe coordinación entre el auditor y la dirección responsable.
  • Se acuerda formalmente el alcance y las condiciones antes de ejecutar cualquier prueba.

En otras palabras, no se trata de impedir auditorías, sino de realizarlas sin poner en peligro la disponibilidad, integridad o confidencialidad de los sistemas.

¿Por qué es importante?

Durante una auditoría pueden realizarse acciones como:

  • Cambios temporales en configuraciones.
  • Escaneos de vulnerabilidades.
  • Pruebas de intrusión.
  • Revisión de controles técnicos en sistemas activos.

Si estas actividades no están correctamente coordinadas, pueden provocar:

  • Caídas del servicio.
  • Alteraciones en bases de datos.
  • Exposición accidental de información sensible.
  • Impacto negativo en clientes o usuarios.

El objetivo del control es minimizar el impacto de estas actividades sobre la operación normal del negocio.

Planificación y coordinación: la clave del control

El elemento central del Control 8.34 es la planificación previa. Antes de iniciar una auditoría o prueba técnica deben definirse claramente:

  • Alcance de la evaluación.
  • Sistemas afectados.
  • Horarios de ejecución.
  • Acciones permitidas y prohibidas.
  • Responsables de supervisión.
  • Procedimientos ante incidencias.

Esta coordinación debe realizarse entre el auditor (interno o externo) y la dirección responsable del sistema evaluado.

Además, si las pruebas las realiza un tercero, la organización sigue siendo responsable. Por tanto, deben existir acuerdos formales y mecanismos de supervisión adecuados.

Aplicación en empresas de desarrollo de software

En empresas tecnológicas este control adquiere especial relevancia, especialmente cuando se realizan pruebas de seguridad sobre entornos en producción.

En soluciones SaaS

En modelos SaaS, la empresa no solo desarrolla el software, sino que también lo opera. Cualquier auditoría puede afectar simultáneamente a todos los clientes.

En este contexto es esencial:

  • Evitar pruebas agresivas en horarios críticos.
  • Utilizar entornos de preproducción cuando sea posible.
  • Monitorizar el sistema en tiempo real durante las pruebas.
  • Establecer límites técnicos claros (por ejemplo, excluir pruebas de denegación de servicio).

Aquí el riesgo es sistémico: un error puede impactar a múltiples clientes de forma simultánea.

En soluciones on-premise

En el modelo on-premise, el software se instala en la infraestructura del cliente. Las pruebas pueden realizarse en sistemas que no están bajo control directo del desarrollador.

En estos casos es clave:

  • Establecer acuerdos contractuales claros.
  • Definir responsabilidades.
  • Coordinar con el responsable técnico del cliente.
  • Obtener autorizaciones formales antes de cualquier prueba.

El impacto suele limitarse a un cliente, pero las consecuencias contractuales pueden ser relevantes.

Aplicación en pequeñas empresas

En organizaciones pequeñas, las auditorías suelen realizarse de forma puntual, por ejemplo para certificaciones o requisitos de clientes. Sin embargo, el riesgo operativo sigue existiendo.

Para cumplir con el Control 8.34 de forma proporcional, puede ser suficiente:

  • Documentar la planificación de cada prueba.
  • Acordar por escrito el alcance con el auditor.
  • Ejecutar pruebas en horarios de baja actividad.
  • Supervisar activamente el sistema durante la evaluación.
  • Asignar claramente un responsable interno.

No es necesario implantar estructuras complejas, pero sí evitar la improvisación.

Qué revisará un auditor

Durante una auditoría de ISO 27001, se puede comprobar:

  • Si existe un procedimiento para coordinar pruebas.
  • Si las auditorías en producción se planifican previamente.
  • Si están definidos roles y responsabilidades.
  • Si existen evidencias de acuerdos con terceros.
  • Si se evalúa el impacto antes de ejecutar pruebas.

La ausencia de planificación suele ser uno de los puntos débiles más comunes.

Conclusión

El Control 8.34 no pretende limitar las auditorías, sino garantizar que se realicen sin poner en riesgo la operación del negocio.

Auditar sistemas en producción puede ser necesario, pero hacerlo sin coordinación puede generar incidentes graves. La clave está en planificar, acordar y supervisar.

Una buena práctica es preguntarse antes de cada auditoría:
¿Podría esta prueba afectar a la disponibilidad o seguridad del sistema? Si la respuesta es sí, entonces la planificación debe reforzarse.

En definitiva, este control protege a la organización frente a un riesgo paradójico: que la actividad destinada a mejorar la seguridad termine generando un incidente.

Comparte
Lo último

¿Quieres estar al día?

Te informamos de los cambios legales y digitales que sí te afectan. Sin spam.