Saltar al contenido principal
AegisPlane
¿Qué es ISO 27001?

Extiende ISO 27001

a cada llamada al modelo.

Tu aplicación ya cumple ISO 27001. Tus llamadas de IA a modelos externos normalmente no. AegisPlane extiende el control de acceso, el registro y la retención de evidencias a cada solicitud a un modelo, para que la capa de IA cumpla el mismo listón.

Sin cambios de código. En tu tráfico en un día.

ISMSGestión de seguridad
Anexo AControles alineados
0Cambios de código
12marcos y estándares comprobados
11proveedores LLM, un gateway
Nivel de artículomotor de políticas (OPA)
Cada solicitudregistrada como evidencia

Un control se sitúa delante de cada modelo que tus equipos ya usan, comprobando cada solicitud frente a los estándares que tus auditores reconocen.

El marco

¿Qué es ISO 27001?

Tu SGSI se diseñó antes de que tu app llamara a un LLM. ISO/IEC 27001 es el estándar internacional de gestión de seguridad de la información. Exige gestionar el riesgo de seguridad de forma sistemática, con un catálogo de controles (Anexo A) para acceso, registro y criptografía. La certificación es imprescindible en la contratación enterprise.

  • Define un sistema de gestión de seguridad de la información (SGSI).
  • Los controles del Anexo A cubren control de acceso, registro y monitoreo.
  • Exige retención de evidencias y tratamiento continuo del riesgo.
  • La certificación es ampliamente esperada por compradores enterprise.
Qué exige

Qué exige ISO 27001

Los controles del Anexo A también deben alcanzar tu tráfico de IA. AegisPlane extiende los aplicables en runtime.

1

Tratamiento del riesgo

Identifica y trata el riesgo de seguridad. Las llamadas de IA a modelos externos se tratan como superficie de acceso, no como excepción.

2

Control de acceso

Acceso de mínimo privilegio a modelos y proveedores, aplicado con RBAC y mTLS basado en SPIFFE entre servicios.

3

Registro y monitoreo

Cada evento se captura vía OpenTelemetry, con alertas ante anomalías.

4

Retención de evidencias

Los logs de decisiones se retienen y se exportan, para que la evidencia de control sobreviva a la interacción.

Míralo en acción

Una solicitud, comprobada en tiempo real

Esto es una interacción. AegisPlane clasifica la solicitud, la comprueba frente al marco, bloquea lo que debe y registra la decisión como evidencia. Ocurre en milisegundos, sobre tráfico real.

Valor de negocio

  • Refuerza la postura de seguridad de la información en IA.
  • Reduce brechas operativas en procesos sensibles.
  • Alinea la capa de IA con los estándares de seguridad corporativos.
En el AI Control Plane

Cómo aplica AegisPlane los controles ISO 27001 a la IA

AegisPlane lleva la disciplina de controles del Anexo A al AI Control Plane (AICP), tratando cada llamada a un modelo y cada conexión con un proveedor como un evento de acceso a controlar y registrar.

01

Control de acceso como config

Las reglas de RBAC, identidad y acceso a proveedores se expresan como config versionado y se compilan en bundles firmados: el estado de control documentado que buscan los auditores.

02

Aplicado en el gateway

El motor de políticas OPA impone acceso de mínimo privilegio a modelos y proveedores en cada solicitud, respaldado por mTLS basado en SPIFFE entre servicios.

03

Registro y monitoreo

Cada evento se captura vía OpenTelemetry para los controles de registro y monitoreo del Anexo A, con alertas ante anomalías.

04

Retención de evidencias

Los logs de decisiones pueden retenerse y descargarse a almacenamiento de objetos para que la evidencia de control esté disponible en auditorías mucho después de la interacción.

Preguntas frecuentes

Preguntas frecuentes

No. Extiende tu SGSI existente para cubrir el tráfico de IA, aportando el control de acceso, el registro y la evidencia que el Anexo A espera para esta nueva superficie.

Principalmente los controles de acceso, de registro y monitoreo y de manejo de la información: los observables y aplicables en runtime sobre el tráfico de IA.

El tráfico entre servicios usa mTLS basado en SPIFFE, y el acceso a modelos y proveedores se gobierna con RBAC aplicado en el gateway.

Sí. Los logs de enforcement y de acceso son consultables y exportables, y pueden retenerse en almacenamiento de objetos como evidencia a largo plazo.

Sí. Los dos estándares son complementarios; AegisPlane puede aplicar ambos packs sobre el mismo tráfico.

Por qué ahora

Comprobaciones y evidencia continuas, no una evaluación anual obsoleta

Los reviews de seguridad ya cubren tu tráfico de IA, no solo tu aplicación. Cada framework seleccionado se comprueba sobre tráfico de IA en vivo y la decisión se registra como evidencia, para que la preparación de auditorías deje de ser una urgencia. Sin cambios de código.