El Salvador
websys@itcgapps.com

ISO 27001 como base para evaluar la migración de infraestructura on‑premise hacia la nube

Bitácora de temas

ISO 27001 como base para evaluar la migración de infraestructura on‑premise hacia la nube

   GRE2    12/05/2026  |  0

La ISO/IEC 27001 es un estándar internacional para la gestión de la seguridad de la información que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (ISMS). Su principio central no es la tecnología, sino la gestión del riesgo, lo que la convierte en un marco idóneo para proyectos de migración a la nube. En lugar de decidir qué mover basándose únicamente en costos o viabilidad técnica, ISO 27001 permite evaluar las decisiones de migración desde una perspectiva estructurada de confidencialidad, integridad y disponibilidad, alineando seguridad, negocio y cumplimiento regulatorio.

En el contexto de una migración desde infraestructura on‑premise hacia la nube, ISO 27001 puede utilizarse como una herramienta de análisis previa que ayuda a determinar qué servicios pueden migrarse, bajo qué condiciones y con qué controles, evitando enfoques improvisados o migraciones masivas sin entendimiento del riesgo.

Metodología común de aplicación

Definir el contexto y alcance del análisis

El primer paso del proceso consiste en definir el contexto y el alcance del análisis de riesgos. Esto implica establecer qué partes del entorno on‑premise serán evaluadas: centros de datos, aplicaciones, bases de datos, servicios de red, procesos de negocio y tipos de información. También se deben considerar factores externos como requisitos legales, contractuales y regulatorios.

Definir correctamente el alcance es fundamental, especialmente en escenarios híbridos, ya que evita analizar “todo” sin distinción y permite centrar el esfuerzo en los activos que realmente están bajo consideración para migración.

Identificación de activos on‑premise candidatos a migración

Una vez definido el alcance, ISO 27001 exige la identificación de activos de información. En un proyecto de migración cloud, estos activos suelen ser servicios y componentes tecnológicos actualmente alojados on‑premise: servidores, sistemas operativos, aplicaciones, bases de datos y repositorios de información.

Cada activo debe evaluarse de forma individual, ya que no todos tienen el mismo nivel de criticidad, sensibilidad o dependencia operacional. Este enfoque evita tratar la migración como un movimiento homogéneo de todo el data center.

Identificación de amenazas y vulnerabilidades

El siguiente paso es identificar las amenazas que podrían afectar a cada activo y las vulnerabilidades existentes o introducidas por el cambio al entorno cloud. Las amenazas pueden incluir accesos no autorizados, pérdida de disponibilidad, errores de configuración o fuga de información. Las vulnerabilidades, por su parte, pueden estar relacionadas con falta de experiencia en cloud, controles de acceso débiles o dependencia de terceros.

Este análisis es especialmente relevante en la nube debido al modelo de responsabilidad compartida, donde ciertos controles pasan a depender del proveedor y otros permanecen bajo responsabilidad del cliente.

Evaluación de impacto y probabilidad

Con amenazas y vulnerabilidades ya definidas, se evalúan dos variables clave: impacto y probabilidad.

El impacto mide las consecuencias para el negocio si el riesgo se materializa, considerando aspectos financieros, legales, operativos y reputacionales. La probabilidad estima qué tan factible es que el evento ocurra, tomando en cuenta el entorno técnico, la exposición y la madurez de los controles.

ISO 27001 permite que estas evaluaciones sean cualitativas o cuantitativas, siempre que el método sea consistente y documentado. El resultado es un nivel de riesgo asociado a cada activo y escenario de migración.

Construcción de la matriz de calor

Los valores de impacto y probabilidad se representan en una matriz de riesgos, comúnmente visualizada como una matriz de calor. Esta matriz comúnmente clasifica los riesgos en categorías como bajo, medio y alto, utilizando colores que facilitan la interpretación. La matriz de calor permite transformar evaluaciones técnicas en una representación comprensible, tanto para equipos de TI como para responsables de negocio, facilitando la comunicación del riesgo.

Uso de la matriz como criterio de migración

Una vez construida la matriz de calor, esta se utiliza como criterio objetivo para decidir la migración. Los activos con riesgos altos pueden requerir permanecer on‑premise o migrarse únicamente después de implementar controles adicionales. Los riesgos medios pueden ser aceptables con mitigaciones específicas, mientras que los riesgos bajos suelen convertirse en candidatos prioritarios para migración.

De esta manera, la migración deja de ser una decisión binaria y se convierte en un proceso gradual, basado en riesgo.

Definición de tratamientos de riesgo alineados a cloud

ISO 27001 exige definir un tratamiento para cada riesgo identificado: evitar, mitigar, transferir o aceptar. En el contexto cloud, muchos riesgos se mitigan o transfieren mediante controles técnicos, contractuales y organizativos, alineados al proveedor de nube y al Anexo A de la norma misma.

Este paso permite diseñar la arquitectura de seguridad cloud desde el inicio, en lugar de reaccionar después de la migración.

Revisión continua durante la migración

La evaluación de riesgos según ISO 27001 no es un ejercicio único. Durante la migración, cambian los controles, las responsabilidades y la exposición, por lo que el análisis debe revisarse de forma continua. La matriz de riesgos se actualiza para reflejar el estado real del entorno híbrido o cloud.

Este enfoque iterativo garantiza que el riesgo se mantenga dentro del apetito definido por la organización a lo largo de todo el proyecto.

Evaluación de impacto y probabilidad – Ejemplo

  • Activo a evaluar: Base de datos de clientes que actualmente reside on‑premise y se quiere migrar a una base de datos gestionada en la nube.
  • Información que maneja: Datos personales, información de contacto, historial de transacciones.

1. Definición de riesgo

En ISO 27001, un riesgo se define como:

Amenaza + Vulnerabilidad + Impacto potencial

Riesgo identificado: Acceso no autorizado a la base de datos una vez migrada a la nube.

2. Identificar amenaza y vulnerabilidad

  • Amenaza: Acceso no autorizado por cuentas comprometidas o credenciales expuestas.
  • Vulnerabilidad: Configuración incorrecta de controles de acceso en la plataforma cloud (ej. permisos excesivos, falta de MFA).

3. Evaluar el impacto

ISO 27001 exige evaluar impacto en términos de Confidencialidad, Integridad y Disponibilidad (CIA). Por lo que se define una escala (ejemplo típico):

Impacto del riesgo en este caso

  • Confidencialidad: Muy afectada (datos personales expuestos)
  • Integridad: Posible alteración de datos
  • Disponibilidad: Secundaria
  • Impacto asignado: 3 – Alto
  • Justificación: Posibles sanciones regulatorias, Daño reputacional, Obligación de notificación a clientes / autoridades

Sin embargo, según criterio y método emprendido por una organización, un ejemplo de una escala de evaluación de impacto más detallada podría lucir como:

4. Evaluar la probabilidad

La probabilidad se evalúa considerando:

  • Historial de incidentes.
  • Nivel de exposición.
  • Madurez de controles actuales.
  • Cambios introducidos por la nube.

Por lo que se define una escala (ejemplo típico):

Probabilidad en este caso:

  • Factores:
    • El equipo tiene poca experiencia en configuración cloud.
    • El proveedor cloud es seguro, pero la configuración depende del cliente.
    • Se introducen nuevas superficies de ataque (IAM, API, internet)
  • Probabilidad asignada: 2 – Media

Nuevamente, una escala más detallada podría lucir según:

5. Calcular el nivel de riesgo

Fórmula común en ISO 27001:   Riesgo = Impacto × Probabilidad

6. Representación en matriz de calor

Este riesgo cae en zona roja (riesgo alto).

7. Decisión respecto a migración

Próposito de aplicar ISO 27001 es no decidir “a ciegas”. Por lo tanto, las opciones posibles son:

  • Migrar sin controles → NO aceptable
  • Migrar con mitigaciones obligatorias
  • Posponer migración hasta madurar controles

Por ejemplo, en este caso podría ser: Migrable solo si se implementan controles antes de la migración.

Conclusión

Al evaluar riesgos en el marco de ISO 27001, es fundamental entender que la matriz de riesgos actúa como una base de datos detallada, donde se documentan activos, amenazas, impactos, probabilidades y tratamientos. El mapa de calor, en cambio, funciona como un tablero de control visual que resume esa información y permite a la alta dirección identificar rápidamente dónde se concentran los riesgos más graves.

En proyectos de migración a la nube, esta combinación resulta especialmente valiosa: la matriz proporciona el sustento analítico y el mapa de calor facilita la priorización de decisiones estratégicas, permitiendo que la migración se realice de forma controlada, consciente y alineada con los objetivos del negocio y la seguridad de la información.

Categorías

©  2026 Blog ITCG. Creado usando WordPress y el tema Mesmerize