El Control 8.7 de la norma ISO/IEC 27001 se centra en la protección de los sistemas de información frente al malware, una de las amenazas más frecuentes y dañinas para las organizaciones. El software malicioso puede afectar gravemente a la confidencialidad, integridad y disponibilidad de la información, provocando desde pérdidas de datos hasta interrupciones del servicio o daños reputacionales.
En este artículo explicamos en qué consiste este control, qué riesgos cubre y cómo aplicarlo de forma práctica en empresas de desarrollo de software y en pequeñas organizaciones.
Finalidad del Control 8.7
El objetivo del Control 8.7 es prevenir, detectar y responder a infecciones por malware de forma proporcional a los riesgos identificados por la organización. Su aplicación debe estar alineada con el análisis de riesgos y reflejada en la Declaración de Aplicabilidad.
Entre los riesgos que este control busca reducir se encuentran:
- Pérdida o alteración de información
- Interrupción de servicios críticos
- Accesos no autorizados a sistemas
- Impacto económico y reputacional derivado de incidentes de seguridad
La protección frente al malware es, por tanto, un elemento clave del sistema de gestión de la seguridad de la información.
¿Qué es el malware y qué tipos existen?
El malware (malicious software) es un tipo de software diseñado para causar daños, obtener acceso no autorizado o recopilar información sin consentimiento. Aunque en muchos casos persigue fines económicos, también puede tener como objetivo la interrupción de servicios o el sabotaje.
Algunos de los tipos de malware más comunes son:
- Ransomware, que cifra la información y exige un pago para recuperarla.
- Troyanos, que se ocultan en aplicaciones aparentemente legítimas.
- Phishing, basado en el engaño para obtener credenciales o datos sensibles.
- Botnets, redes de equipos infectados controlados de forma remota.
- Spyware, que recopila información del usuario sin su conocimiento.
Estos ataques pueden provocar graves daños operativos y legales si no se gestionan adecuadamente.
Medidas técnicas y organizativas de protección
Para cumplir con el Control 8.7, la organización debe implantar una combinación equilibrada de medidas técnicas y organizativas.
Entre las principales medidas técnicas se incluyen:
- Uso de soluciones antivirus y antimalware actualizadas.
- Aplicación periódica de parches de seguridad en sistemas y aplicaciones.
- Protección del correo electrónico frente a enlaces y adjuntos maliciosos.
- Configuración de cortafuegos y sistemas de seguridad perimetral.
- Implementación de herramientas de detección y respuesta en los dispositivos.
Desde el punto de vista organizativo, es fundamental definir normas claras sobre:
- Uso de software autorizado.
- Restricciones en la instalación de aplicaciones.
- Gestión de incidentes relacionados con malware.
Estas medidas deben revisarse periódicamente para evaluar su eficacia y corregir posibles debilidades.
Concienciación de los usuarios
La norma reconoce que las personas son un factor clave en la protección frente al malware. Por ello, el Control 8.7 exige acciones de concienciación y formación del personal.
Estas acciones pueden incluir sesiones informativas, guías prácticas, comunicaciones internas o recordatorios periódicos sobre:
- Riesgos del correo electrónico y del phishing.
- Descarga de archivos desde fuentes no confiables.
- Uso seguro de Internet y de dispositivos externos.
La organización puede verificar el nivel de concienciación mediante entrevistas o comprobaciones puntuales.
Control y mejora continua
La organización debe asignar responsabilidades claras para la implantación y mantenimiento de las medidas de protección contra malware, ya sea con personal interno o proveedores externos, asegurando siempre una supervisión adecuada.
Además, se debe garantizar que:
- Los nuevos sistemas y equipos incorporen protección desde su puesta en marcha.
- Las soluciones de seguridad se mantengan actualizadas.
- El personal técnico mantenga un nivel de competencia adecuado.
- Los nuevos empleados reciban formación en seguridad desde su incorporación.
Los incidentes de malware deben analizarse para identificar causas y aplicar mejoras, fomentando la mejora continua del sistema de seguridad.
Aplicación del Control 8.7 en empresas de desarrollo de software
En una empresa de desarrollo, el malware puede afectar tanto a los entornos de desarrollo como a los sistemas de producción, comprometiendo el código fuente, los datos de clientes y la continuidad del servicio.
En soluciones SaaS
En modelos Software as a Service (SaaS), la protección frente al malware suele incluir:
- Protección centralizada de endpoints y servidores en la nube.
- Seguridad en entornos de desarrollo y pipelines CI/CD.
- Filtrado del correo electrónico corporativo.
- Actualización continua de sistemas, frameworks y librerías.
- Monitorización y respuesta temprana ante incidentes.
- Concienciación específica del personal técnico.
Una correcta aplicación del control reduce el riesgo de infecciones a gran escala que puedan afectar a múltiples clientes.
En soluciones on-premise
En soluciones on-premise, el foco se sitúa en:
- Protección de los entornos internos de desarrollo.
- Desarrollo seguro y control de dependencias externas.
- Distribución segura del software mediante firmas digitales.
- Documentación de buenas prácticas de seguridad para el cliente.
- Pruebas de seguridad antes de la entrega.
Aunque la operación diaria recaiga en el cliente, la empresa desarrolladora es responsable de entregar un producto seguro.
Aplicación del Control 8.7 en pequeñas empresas
Las pequeñas empresas también deben aplicar este control de forma proporcionada y eficaz. Algunas medidas clave son:
- Uso de suites de seguridad centralizadas y fáciles de gestionar.
- Actualización automática de firmas y motores de detección.
- Análisis periódicos de los sistemas.
- Normas básicas sobre software, correo electrónico y dispositivos externos.
- Procedimientos sencillos para gestionar incidentes y restaurar copias de seguridad.
La concienciación del personal es especialmente efectiva en este tipo de organizaciones y puede reducir significativamente el riesgo de infecciones.
Conclusión
El Control 8.7 de la ISO/IEC 27001 es esencial para proteger a la organización frente a una de las amenazas más comunes y peligrosas en el entorno digital. Su correcta aplicación ayuda a reducir riesgos, mejorar la resiliencia operativa y reforzar la confianza de clientes y socios, independientemente del tamaño de la empresa o del modelo de despliegue.
