Hoje há um panorama de digitalização e expansão das tecnologias de informação pelas organizações. Uma das frentes de transformação mais importantes é a mudança dos sistemas de computação e armazenamento para provedores de nuvem devido às grandes vantagens e potencialidades oferecidas por esses serviços.
Como esperado, essas mudanças trazem consigo novos riscos e oportunidades em relação à segurança da informação que devem ser gerenciados adequadamente, da mesma forma que são aplicados e gerenciados quando estão em seus próprios sistemas. Ambos os casos devem ser incluídos no escopo do Sistema de Gestão de Segurança da Informação (SGSI) da empresa, baseado na norma ISO 27001, para que possa atender aos requisitos do negócio.
Quais controles complementares a ISO 27017 introduz?
A ISO 27017 introduz um conjunto de controles complementares à ISO 27002, voltados diretamente para os serviços implantados na nuvem e os provedores que os fornecem, propondo controles específicos ligados ao gerenciamento e fornecimento de serviços seguros em nuvem.
Lembremos que a ISO 27001 define um conjunto de 114 controles de segurança estruturados em 14 domínios, que são aplicados dentro do escopo que cada empresa estabelece na implementação de seu Sistema de Gestão de Segurança da Informação.
Em relação à gestão de riscos, são estabelecidas referências para a identificação e mitigação de riscos específicos ligados a ambientes em nuvem, para que possam ser tratados adequadamente.
Além disso, a implementação da ISO 27017 fornece aos provedores de serviços em nuvem uma imagem de consistência e envolvimento no gerenciamento de segurança para seus clientes e requer conformidade prévia com a ISO 27001. O principal objetivo é uma gestão segura dos dados armazenados pelos clientes, aumentando a confiança na gestão e processamento da informação.
Em que a ISO 27017 se concentra principalmente?
Esta norma se concentra na proteção de ambientes de virtualização e na configuração de máquinas virtuais hospedadas neles para a prestação de serviços, bem como no processo de entrega e exclusão de informações no momento em que um cliente rescinde seu contrato com um provedor de serviços em nuvem.
Da mesma forma, estabelece o enquadramento da relação entre o cliente e o fornecedor de serviços cloud, no que se refere à gestão e administração dos serviços oferecidos pelo prestador, com o objetivo de garantir a proteção das principais dimensões da segurança da informação como a confidencialidade, integridade e disponibilidade da informação.
Do ponto de vista das empresas que desejam implementar ou mover parte de seus sistemas e serviços para a nuvem, a ISO 27017 fornece uma referência clara em termos de controles e riscos que devem ser devidamente avaliados e abordados, bem como visibilidade dos provedores de serviços em nuvem que mantêm um alinhamento correto entre a tecnologia, Gestão de riscos e segurança.
Para as empresas provedoras de serviços em nuvem, oferece uma oportunidade clara de transmitir confiança e responsabilidade nos produtos e serviços que oferecem.
Como abordar a ISO 27017 através de software?
Na GlobalSuite Solutions temos o GlobalSuite® Security. Um software inteiramente desenvolvido pela nossa equipa que permite a implementação, gestão e manutenção de Sistemas de Gestão de Segurança da Informação baseados nas normas ISO 27001 e ISO 27017. Uma ferramenta que auxilia empresas e equipes de trabalho na gestão integral da norma e cumpre o ciclo completo da norma, desde o início e planejamento do projeto até a manutenção e melhoria contínua.
Além disso, nossa equipe de consultoria especializada oferece o aconselhamento e o suporte necessários para ajudar as empresas a alcançar a ISO 27001 e a ISO 27017.
