¿Qué es la ISO 27034?

El estándar ISO/IEC 27034 proporciona un estándar reconocido internacionalmente para la seguridad de las aplicaciones. Aunque todavía no se ha completado oficialmente, gran parte de la estructura del estándar ISO 27034 ya se establece a través de la publicación de la primera parte: ISO/IEC 27034–1: 2011 (sí, hace casi 10 años).

La norma proporciona orientación para ayudar a las organizaciones a integrar la seguridad en los procesos utilizados para gestionar sus aplicaciones y es aplicable a aplicaciones desarrolladas internamente, aplicaciones adquiridas de terceros y donde el desarrollo o la operación de la aplicación se subcontrata.

La ISO 27034 está estrechamente alineada con varias otras normas ISO, particularmente ISO 27005 para la gestión de riesgos de seguridad de la información.

¿Por qué es importante la ISO 27034?

La ISO 27034 es importante para la organización si se produce software y se desea estar conscientes de la seguridad de las mismas. Por ejemplo, las empresas que crean software utilizado por servicios financieros, atención médica, sector público, defensa, aviación, dispositivos médicos y controles industriales, industrias de misión crítica probablemente se orientarán en la dirección de adherirse a la norma ISO 27034 con el tiempo.

Mientras tanto, el cumplimiento de la norma ISO 27034–1 es un diferenciador competitivo frente a la mayoría de las otras compañías de software. Esta es una de las razones por las cuales Microsoft, por ejemplo, anunció el cumplimiento de la norma ISO 27034–1 en 2013. Incluso si la ISO 27034 parece demasiado compleja para que adoptarla, el uso de sus conceptos como base para crear su programa de seguridad de aplicaciones probablemente ponga a la organización (y sus aplicaciones) por delante de los competidores.

Objetivo de ISO/IEC 27034

Esta norma multi-partes proporciona orientación sobre cómo especificar, diseñar/seleccionar y aplicar controles de seguridad de la información a través de un conjunto de procesos integrados a lo largo del Ciclo de Vida del Desarrollo de Software (SDLC) de una organización. Está orientada a los procesos.

ISO/IEC 27034-1 se basa en los siguientes principios fundamentales:

  • La seguridad es un requisito
  • La seguridad de las aplicaciones depende del contexto
  • Inversión apropiada para aplicaciones de seguridad
  • La seguridad en las aplicaciones debe ser demostrada

El objetivo es asegurar que aplicaciones informáticas ofrezcan el nivel deseado o necesario de seguridad y ofrece orientación sobre seguridad de la información en el diseño, desarrollo, programación e implementación de sistemas de aplicación.

Cubre aplicaciones de software desarrolladas internamente, mediante adquisición externa, tercerización / deslocalización o mediante enfoques híbridos. Aborda todos los aspectos, desde la determinación de los requisitos de seguridad de la información, hasta la protección de la información a la que accede una aplicación, así como la prevención del uso no autorizado y/o acciones de una aplicación.

El estándar es independiente del método SDLC: no exige uno o más métodos, enfoques o etapas de desarrollo específicos, pero está escrito de manera general para ser aplicable a todos ellos. De esta manera, complementa otros estándares y métodos de desarrollo de sistemas sin entrar en conflicto con ellos.

A través de sus 80 páginas, la primera parte del estándar ISO/IEC 27034-1 establece el escenario para el resto, proporciona una introducción general y esboza las partes restantes (ISO/IEC 27034-2 a ISO/IEC 27034-7).

Cuadro normativo de la organización interesada en ISO/IEC 27034

  • Definición del perímetro de la seguridad de una aplicación
  • Relaciones y apoyo para implementar procesos de gestión de la seguridad de una aplicación
  • Implementación de la norma ISO 27034 e integración en los procesos existentes
  • Evaluación de los riesgos relacionados con la seguridad de una aplicación
  • Realización, operación y validación de la aplicación de la seguridad durante todo el ciclo de vida
  • Desarrollo de la validación de la seguridad de una aplicación
  • Esbozo del proceso de certificación

Un ejemplo de parte de una biblioteca de control de seguridad de aplicaciones:

Partes de la ISO/IEC 27034

Al igual que con otras normas ISO27k multiparte, la primera parte prepara el escenario para el resto, brinda una introducción general y describe las partes restantes. La norma consistente en 6 partes:

  • 27034-1 – Conceptos generales (publicada en noviembre de 2011). Establece explícitamente que este no es un estándar de desarrollo de aplicaciones de software, un estándar de gestión de proyectos de aplicaciones, ni un estándar de ciclo de desarrollo de software. Su propósito es proporcionar una guía general que será apoyada, a su vez, por métodos y estándares más detallados en esas áreas. La parte 1 se publicó en 2011 y tres correcciones técnicas menoresse publicaron en 201.
  • 27034-2 – Marco normativo de la organización (publicada en agosto de 2015). Explica la estructura, las relaciones y las interdependencias entre los procesos en el Marco Normativo de la Organización (ONF): un conjunto de políticas, procedimientos, roles y herramientas relacionados con la seguridad de las aplicaciones.
  • 27034-3 – Proceso de gestión de seguridad en aplicaciones (publicada en mayo de 2018). Describe el proceso general para administrar la seguridad en cada aplicación específica utilizada por una organización.
  • 27034-4 – Validación de la seguridad en aplicaciones (en desarrollo). Describirá un proceso de validación y certificación de seguridad de la aplicación para evaluar y comparar el «nivel de confianza» de un sistema de aplicación con los requisitos [de seguridad de la información] establecidos anteriormente. El proyecto de la parte 4 se canceló y luego resucitó, como un nuevo trabajo. Se han procesado numerosos comentarios, ya se encuentra en una etapa avanzada y posiblemente se publicará en 2021.
  • 27034-5 – Estructura de datos y protocolos y controles de seguridad de aplicaciones (publicada en cotubre de 2017). Define la estructura de datos de Control de seguridad de aplicaciones (ASC), proporcionando requisitos, descripciones, representaciones gráficas y esquemas XML para el modelo de datos.
  • 27034-6 – Guía de seguridad para aplicaciones de uso específico (publicada en octubre de 2016). Proporciona ejemplos de cómo se pueden desarrollar y documentar los controles de seguridad de aplicaciones (ASC), y define cómo se debe manejar la seguridad de la información en el curso del desarrollo de software.
  • ISO 27034-7 – Seguridad de la aplicación (publicada en mayo de 2018). Se refiere a un marco para brindar la seguridad necesaria para confiar en un programa. Por ejemplo, cuando un programa (como una aplicación) se basa en otro (por ejemplo, un sistema de administración de base de datos, utilidad, sistema operativo o programa complementario) para realizar funciones críticas de seguridad (como autenticación de usuario, control de acceso lógico o criptografía), o cuando una organización actualiza o parchea un programa confiable.

Fuente: ISO

Compartir