¿Qué es la ISO 27017 – controles de seguridad para servicios cloud?

A día de hoy existe un panorama de digitalización y expansión de las tecnologías de la información por parte de las organizaciones. Uno de los más importantes frentes de transformación lo constituyen el desplazamiento de los sistemas de cómputo y almacenamiento hacia proveedores en la nube debido a las grandes ventajas y potencial que ofrecen estos servicios.

Como era de esperar, estos cambios traen consigo nuevos riesgos y oportunidades en relación con la seguridad de la información que deben ser adecuadamente gestionados, de la misma forma que se aplican y gestionan cuando estos se encuentran en sistemas propios. Ambos casos deben estar incluidos en el alcance del Sistema de Gestión de la Seguridad de la Información (SGSI) de la compañía, basado en la norma ISO 27001, de forma que permita cumplir con los requerimientos del negocio.

La norma ISO 27017 introduce un conjunto de controles complementarios a la ISO 27002, orientados directamente a los servicios desplegados en la nube y a los proveedores que los proporcionan, proponiendo controles específicos vinculados con la gestión y provisión de servicios seguros en la nube.

Recordemos que la ISO 27001 define un conjunto de 114 controles de seguridad estructurados en 14 dominios, que son aplicados dentro del alcance que cada compañía establezca en la implantación de su Sistema de Gestión de la Seguridad de la Información.

En relación con la gestión de riesgos, se establecen referencias para la identificación y mitigación de riesgos específicos vinculados a los entornos en la nube, de forma que puedan ser tratados de la forma adecuada.

Además, la implantación de la ISO 27017 proporciona a los proveedores de servicios en la nube una imagen de coherencia e implicación en la gestión de la seguridad de cara a sus clientes, y requiere disponer previamente de la norma ISO 27001.  El objetivo principal es una gestión segura de los datos almacenados por parte de los clientes, aumentando la confianza en la gestión y tratamiento de la información.

Esta norma se centra en la protección de los entornos de virtualización y la configuración de las máquinas virtuales alojadas en los mismos para la prestación de los servicios, así como del proceso de entrega y eliminación de información en el momento que un cliente rescinde su contrato con un proveedor de servicios en la nube.

Del mismo modo, establece el marco de relación entre el cliente y prestador del servicio en la nube, en referencia a la gestión y administración de los servicios que el proveedor ofrece, con el objetivo de garantizar la protección de las dimensiones clave de la seguridad de la información como son, la confidencialidad, la integridad y la disponibilidad de la información.

Desde el punto de vista de las empresas que desean implantar o trasladar parte de sus sistemas y servicios a la nube, la ISO 27017 proporciona referencia clara en cuanto a controles y riesgos que deben ser evaluados y tratados adecuadamente, así como una visibilidad de los proveedores de servicios en la nube que mantienen una correcta alineación entre tecnología, gestión de riesgos y seguridad.

Para las empresas proveedoras de servicios en la nube proporciona una clara oportunidad de transmitir confianza y responsabilidad en los productos y servicios que ofrecen.

Desde GlobalSUITE Solutions disponemos de GlobalSUITE Security. Un software íntegramente desarrollado por nuestro equipo que permite la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información basados en la norma ISO 27001 y la ISO 27017. Una herramienta que ayuda a las empresas y equipos de trabajo en la gestión integral de la norma y cumple con el ciclo completo de la misma, desde el inicio y planificación del proyecto hasta el mantenimiento y su mejora continua.

Además, nuestro equipo de consultoría especializada ofrece el asesoramiento y el soporte necesarios para ayudar a las empresas a la consecución de la norma ISO 27001, así como de la ISO 27017.