ISO 27001

Seguridad en la nube: controles ISO 27001 para cloud computing

Por Equipo GRC360 24 de March, 2026 12 min de lectura
Seguridad nube cloud controles ISO 27001 A.5.23 responsabilidad compartida

El cloud computing ha transformado la forma en que las organizaciones procesan y almacenan información, pero también ha creado nuevos desafíos de seguridad que ISO 27001:2022 reconoce explícitamente. La revisión de 2022 incorporó el control A.5.23 — Seguridad de la información para el uso de servicios en la nube, uno de los 11 controles completamente nuevos de esta versión.

Esta guía explica cómo ISO 27001 aborda la seguridad en la nube, el modelo de responsabilidad compartida y qué controles debes implementar según el tipo de servicio cloud que uses. Complementa con los artículos sobre gestión de identidades y acceso y prevención de pérdida de datos.

El control A.5.23: Seguridad de la información en la nube

El control A.5.23 establece que los procesos de adquisición, uso, gestión y salida de servicios cloud deben definirse de acuerdo con los requisitos de seguridad de la información de la organización. Los elementos clave incluyen criterios de seguridad para la selección de servicios cloud, acuerdos que cubran requisitos de seguridad, gestión del ciclo de vida completo y mecanismos para recuperar datos al cesar el servicio.

El modelo de responsabilidad compartida

Capa de seguridadIaaS (p.ej., AWS EC2)PaaS (p.ej., Azure App Service)SaaS (p.ej., Microsoft 365)
Infraestructura físicaProveedorProveedorProveedor
Red física y virtualizaciónProveedorProveedorProveedor
Sistema operativoClienteProveedorProveedor
AplicaciónClienteClienteProveedor
DatosClienteClienteCliente
Identidad y accesoClienteClienteCliente
Configuración de seguridadClienteClienteCliente
El malentendido más caro: Muchas organizaciones asumen que el proveedor cloud es responsable de la seguridad de sus datos. El proveedor es responsable de la seguridad de la nube (infraestructura); el cliente es responsable de la seguridad en la nube (datos, accesos, configuraciones). Esta confusión es la causa de muchas brechas de seguridad cloud.

Controles de seguridad cloud por modelo de servicio

Para SaaS (Microsoft 365, Google Workspace, Salesforce, etc.)

  • Configurar MFA obligatorio para todos los usuarios
  • Revisar y restringir permisos de aplicaciones de terceros
  • Configurar políticas de retención y DLP integradas en la plataforma
  • Habilitar logs de auditoría y conectarlos al SIEM
  • Gestionar el offboarding (revocar acceso al salir el empleado)

Para IaaS/PaaS (AWS, Azure, GCP)

  • Usar IAM con principio de mínimo privilegio
  • Habilitar MFA para cuentas root y de administrador
  • Configurar grupos de seguridad y firewalls de nube correctamente
  • Cifrar datos en reposo y en tránsito
  • Implementar Cloud Security Posture Management (CSPM) para detectar malas configuraciones
  • Habilitar CloudTrail / Activity Logs para auditoría

Checklist de seguridad cloud para ISO 27001

ControlPregunta de verificación
Inventario cloud¿Tienes un registro de todos los servicios cloud utilizados (incluyendo shadow IT)?
Acuerdos contractuales¿Los contratos con proveedores cloud cubren seguridad, privacidad y portabilidad de datos?
MFA habilitado¿Todos los accesos a plataformas cloud requieren MFA?
Cifrado de datos¿Los datos sensibles están cifrados en reposo y en tránsito en todos los servicios cloud?
Gestión de accesos¿Los accesos cloud se revisan periódicamente y se revocan al salir empleados?
Logs de auditoría¿Se registran y monitorizan los eventos de seguridad en los servicios cloud?
Plan de salida¿Tienes definido un procedimiento para migrar fuera del proveedor cloud si es necesario?

Shadow IT en la nube: el riesgo invisible

El shadow IT cloud — el uso de servicios cloud no autorizados por empleados — es uno de los mayores riesgos de seguridad actuales. Empleados que suben archivos a Dropbox personal, usan herramientas de IA para procesar datos de clientes o configuran proyectos fuera del control de TI representan canales de fuga de datos que no están bajo ningún control de seguridad.

Para gestionar este riesgo: implementa un CASB (Cloud Access Security Broker), define una política de uso de servicios cloud, establece un proceso de aprobación para nuevos servicios cloud y usa filtrado web para detectar y controlar el acceso a servicios no autorizados.

Gestiona la seguridad cloud en GRC360

GRC360 te permite inventariar todos los servicios cloud de la organización, vincularlos al control A.5.23, gestionar los acuerdos de seguridad con proveedores y documentar las evidencias de cumplimiento para la auditoría ISO 27001.

Comenzar Gratis

Consulta también gestión de identidades y acceso, prevención de pérdida de datos y seguridad de redes.

Controles Proveedores Seguridad en la Nube
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis