ISO / IEC 27017
Seguridad de los Servicios en la Nube
ISO 27017 – Seguridad de los Servicios en la Nube
La certificación de la norma ISO/IEC 27017 está pensada para organizaciones que dispongan de la certificación ISO 27001.
Definición de ISO 27017
La norma ISO 27017 es una norma internacional que se enfoca en proporcionar directrices y recomendaciones específicas para la seguridad de la información en la nube. Oficialmente, se titula «ISO/IEC 27017:2015 – Tecnología de la información – Técnicas de seguridad – Código de práctica para la seguridad de la información en la nube». Fue desarrollada para ayudar a las organizaciones, proveedores de servicios en la nube y partes interesadas a abordar los desafíos de seguridad únicos que surgen al almacenar y procesar información en entornos de nube.
Objetivos de la ISO 27017
La norma ISO 27017, también conocida como ISO/IEC 27017, proporciona directrices específicas para la seguridad de la información en la nube. Sus principales objetivos incluyen:
- Seguridad en la nube: ISO 27017 tiene como objetivo principal abordar las cuestiones de seguridad de la información que son relevantes para los proveedores de servicios en la nube y sus clientes. Esto implica garantizar que la información y los datos almacenados, procesados y transmitidos en entornos de nube sean seguros.
- Protección de datos sensibles: La norma busca proteger los datos sensibles y críticos que se almacenan y procesan en la nube. Esto incluye garantizar la confidencialidad, integridad y disponibilidad de los datos, así como la identificación y autenticación adecuadas de los usuarios y la gestión de accesos.
- Cumplimiento normativo: ISO 27017 proporciona pautas para ayudar a las organizaciones a cumplir con las regulaciones y estándares de seguridad de la información relevantes en entornos de nube. Esto es importante para evitar sanciones legales y mantener la confianza de los clientes y las partes interesadas.
- Gestión de riesgos en la nube: La norma ISO 27017 promueve la gestión efectiva de riesgos en la nube al ayudar a las organizaciones a identificar y evaluar los riesgos específicos asociados con la adopción de servicios en la nube y a implementar controles adecuados para mitigarlos.
- Transparencia y confianza: ISO 27017 fomenta la transparencia entre los proveedores de servicios en la nube y sus clientes al establecer expectativas claras sobre la responsabilidad de cada parte en la seguridad de la información. Esto ayuda a construir y mantener la confianza en los servicios en la nube.
- Mejores prácticas de seguridad: La norma proporciona directrices para implementar las mejores prácticas de seguridad de la información en la nube, lo que contribuye a proteger los activos de información y a evitar incidentes de seguridad.
- Continuidad del negocio en la nube: ISO 27017 se centra en garantizar la continuidad del negocio en entornos de nube, asegurando que los servicios sean resilientes y estén disponibles incluso en caso de eventos inesperados o desastres.
La ISO 27017 tiene como objetivo principal proporcionar orientación específica sobre la seguridad de la información en la nube, ayudando a las organizaciones a proteger datos sensibles, cumplir con regulaciones, gestionar riesgos, fomentar la transparencia y mejorar la confianza en los servicios en la nube.
Beneficios de la ISO 27017
- Aumento de confianza en el negocio, ya que proporciona una mayor seguridad a partes interesadas.
- Demuestra que existen sistemas de control sólidos para proteger sus datos.
- Aumenta imagen y reputación al reducir el riesgo de publicidad negativa debido a las violaciones de datos.
- Aumenta el control de vulnerabilidades, sobre la norma ISO/IEC 27001.
- Protege sanciones de partes interesadas (clientes, reguladores, etc.)
La organización requiere implementar la ISO 27017 cuando:
- La organización ha iniciado y/o mantiene trabajo remoto o teletrabajo.
- Se desea demostrar el compromiso de la organización con la seguridad de la información en los servicios que suministra a través de la nube.
- La organización desea un diferencial comercial asociado a seguridad de la información de manera integral.
- Ya cuenta con la norma ISO/IEC 27001 implementada y desea reforzarla con los controles más vigentes.
Preguntas frecuentes
Etapas de la Norma ISO 27017
En resumen, la ISO 27017 no define etapas específicas, pero proporciona directrices y buenas prácticas relacionadas con la seguridad de la información en la nube que las organizaciones pueden seguir para garantizar la protección de sus datos y sistemas en entornos de nube.
Estas directrices pueden aplicarse en diversas etapas de la implementación y gestión de soluciones en la nube, desde la evaluación inicial de riesgos hasta la operación continua de servicios en la nube.
Estructura de la Norma ISO 27017
La norma ISO/IEC 27017:2015, que proporciona pautas para la seguridad de la información en la nube, sigue una estructura que consta de varias secciones y cláusulas:
- Alcance: Esta sección establece el propósito y el ámbito de la norma, es decir, a quién se dirige y qué aspectos de la seguridad de la información en la nube cubre.
- Referencias Normativas: Aquí se incluyen referencias a otras normas relacionadas con la seguridad de la información y la seguridad en la nube que deben tenerse en cuenta al aplicar la ISO 27017.
- Términos y Definiciones: Esta sección proporciona definiciones clave de términos utilizados en la norma para asegurar una comprensión común de los conceptos involucrados.
- Contexto de la Seguridad de la Información en la Nube: En esta parte se describe el contexto general de la seguridad de la información en la nube, incluyendo factores como la responsabilidad compartida entre el proveedor de servicios en la nube y el cliente.
- Pautas para la Información en la Nube: Esta sección constituye la parte central de la norma y contiene recomendaciones y pautas específicas para la seguridad de la información en la nube. Estas pautas cubren una variedad de temas, como la gestión de riesgos en la nube, la gestión de identidades y accesos en la nube, la continuidad del negocio en la nube y otros aspectos clave de la seguridad en la nube.
- Anexos: Pueden incluirse anexos que proporcionen información adicional o ejemplos relacionados con la implementación de las pautas de seguridad de la información en la nube.
- Bibliografía: Aquí se enumeran las fuentes y referencias bibliográficas utilizadas en la elaboración de la norma.
El ciclo PDCA en la Norma ISO 27017
No existe un ciclo PDAC (Plan, Do, Act, Check) específico en la norma ISO/IEC 27017:2015. El ciclo PDCA (Plan, Do, Check, Act) es un enfoque ampliamente utilizado en la gestión de la calidad y la mejora continua de procesos, pero no es una estructura formalmente definida en la ISO 27017. En cambio, el PDCA se aplica en un contexto más amplio en la gestión de la seguridad de la información, y algunas de las actividades dentro de la norma pueden relacionarse con los pasos del PDCA, pero no se presentan de manera explícita bajo ese marco.
Sin embargo, el ciclo PDCA es relevante para la gestión de la seguridad de la información y puede aplicarse al uso de las pautas de la ISO 27017 para la seguridad en la nube. A continuación, se describe cómo se relacionan los pasos del PDCA con la gestión de la seguridad de la información en la nube:
- Plan (Planificar): En esta fase, se establecen los objetivos y metas de seguridad de la información en la nube, se identifican los riesgos y se definen las políticas y procedimientos necesarios para abordar esos riesgos. Esto podría incluir la planificación de la implementación de medidas de seguridad en la nube basadas en las pautas de la ISO 27017.
- Do (Hacer): En esta fase, se implementan las medidas de seguridad planificadas en la fase anterior. Esto podría involucrar la configuración y la puesta en marcha de sistemas y servicios en la nube de acuerdo con las directrices de seguridad establecidas.
- Check (Verificar): En esta etapa, se monitorean y se evalúan las medidas de seguridad implementadas para asegurarse de que funcionen como se esperaba. Se lleva a cabo la vigilancia constante de la seguridad en la nube y se realizan auditorías periódicas para verificar el cumplimiento.
- Act (Actuar): En esta última fase, se toman medidas para mejorar continuamente la seguridad de la información en la nube. Esto podría incluir la revisión de incidentes de seguridad, la corrección de desviaciones y la actualización de políticas y procedimientos en función de las lecciones aprendidas.
Aunque la ISO 27017 no menciona explícitamente el ciclo PDCA, el enfoque de mejora continua y la gestión de riesgos que promueve están en línea con los principios del ciclo PDCA y son esenciales para garantizar una seguridad efectiva de la información en la nube.