Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
El estándar de oro internacional para los Sistemas de Gestión de Seguridad de la Información (ISMS), con el control 8.24 del Anexo A que exige la gestión del ciclo de vida de claves criptográficas y la gobernanza de certificados.
ISO/IEC 27001:2022 es el estándar reconocido a nivel mundial para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Proporciona un enfoque sistemático para gestionar la información sensible de la empresa de modo que permanezca segura.
La revisión de 2022 reestructuró los controles del Anexo A, con control 8.24 (Criptografía) abordando directamente la gestión de claves criptográficas y la gobernanza de certificados. Las organizaciones certificadas en ISO 27001 deben demostrar procesos robustos para la generación, distribución, almacenamiento, rotación, revocación y destrucción de claves.
La norma se aplica a cualquier organización, independientemente de su tamaño o sector, lo que la convierte en el marco de seguridad de la información más adoptado a nivel mundial. Con la creciente importancia de los certificados digitales en la infraestructura moderna, el Anexo A 8.24 se ha convertido en un control crítico para auditores y organismos de certificación.
Establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información utilizando el ciclo PDCA con un alcance claro, liderazgo y objetivos.
Definir e implementar reglas para la gestión de claves criptográficas, incluyendo la generación, distribución, almacenamiento, rotación, revocación y destrucción de claves y certificados.
Gestionar la información de autenticación (incluidos certificados y credenciales) con controles para la asignación, manipulación y almacenamiento seguro a lo largo de su ciclo de vida.
Realizar evaluaciones sistemáticas de riesgos identificando amenazas a los activos criptográficos y definir planes de tratamiento de riesgos que incluyan controles adecuados de gestión de certificados.
Implementar mecanismos de autenticación seguros, incluidos la autenticación basada en certificados, la autenticación multifactor y la verificación de identidad para el acceso al sistema.
Monitorear, medir y mejorar continuamente la efectividad del SGSI mediante auditorías internas, revisiones de gestión y acciones correctivas para las no conformidades.
La norma internacional original para el SGSI se publica, estableciendo el marco fundamental para la gestión de la seguridad de la información a nivel mundial.
Reestructuración significativa de la norma con controles actualizados del Anexo A, mejor alineación con otras normas de sistemas de gestión ISO.
La última revisión publicada en octubre de 2022, reestructurando los controles del Anexo A e introduciendo el control 8.24 para la gestión del ciclo de vida de claves criptográficas.
Las organizaciones con certificaciones ISO 27001:2013 existentes deben pasar a la versión 2022 antes de la fecha límite establecida por los organismos de certificación.
Evolución continua de los controles criptográficos para abordar la preparación post‑cuántica, con un énfasis creciente en la agilidad criptográfica en los marcos ISMS.
ISO 27001:2022 sitúa los controles criptográficos en el corazón de la seguridad de la información. Aquí están las áreas críticas donde PKI se ve directamente afectado:
El anexo A 8.24 requiere procesos documentados para todo el ciclo de vida de la clave — generación, distribución, almacenamiento, rotación, revocación y destrucción — con trazas de auditoría completas.
Un inventario integral de certificados es esencial para la evaluación de riesgos (Cláusula 6) y sirve como evidencia crítica de auditoría durante las auditorías de certificación y de vigilancia.
Los controles de ISMS exigen una gobernanza de certificados basada en políticas, incluyendo estándares de algoritmos, períodos de validez y flujos de trabajo de aprobación integrados en el sistema de gestión.
Los controles de PKI deben documentarse formalmente dentro del ISMS, incluyendo políticas de certificados, procedimientos y registros que demuestren un cumplimiento continuo.
Anexo A 8.24 cumplimiento — Horizon se asigna directamente al Anexo A 8.24 controles criptográficos, proporcionando las herramientas que los auditores esperan para la gestión del ciclo de vida de claves y certificados.
Inventario completo de certificados — Descubra cada certificado en su infraestructura para crear el inventario completo necesario para la evaluación de riesgos ISO 27001 y la evidencia de auditoría.
Ciclo de vida automatizado de claves — Automatice todo el ciclo de vida desde la generación hasta la destrucción, eliminando procesos manuales y reduciendo el riesgo de no conformidades durante las auditorías.
Aplicación de políticas alineada con ISMS — Motor de políticas incorporado hace cumplir los estándares de certificados alineados con sus planes de tratamiento de riesgos ISMS, garantizando el cumplimiento continuo.
