Controles de Seguridad para Servicios Cloud

Tecnología de la información.- Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información en base a la norma ISO/IEC 27002 para los servicios en la nube.
Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado.
La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002, pero también ofrece siete nuevos controles cloud que tratan los siguientes puntos:

  • Quién es responsable de lo que ocurre entre el proveedor del servicio cloud y el cliente cloud.
  • La eliminación/devolución de activos cuando un contrato se resuelve.
  • Protección y separación del entorno virtual del cliente.
  • Configuración de una máquina virtual.
  • Operaciones y procedimientos administrativos relacionados con el entorno cloud.
  • Seguimiento de la actividad de clientes en la nube.
  • Alineación del entorno de la red virtual y cloud.

¿Cómo se beneficiará un proveedor de servicios cloud del cumplimiento ISO/IEC 27017?

  • Inspira confianza en su negocio: proporciona una mayor seguridad a clientes y partes interesadas de que los datos y la información están protegidos.
  • Ventaja competitiva: demuestra que existen sistemas de control sólidos para proteger sus datos puestos en marcha.
  • Protege su reputación de marca: reduce el riesgo de publicidad negativa debido a las violaciones de datos.
  • Protege contra las multas: garantiza que las normas locales se cumplan, lo cual implica una reducción del riesgo de multas por violaciones de datos.
  • Ayuda a crecer a su negocio: proporciona pautas comunes en diferentes países, que facilita el hacer negocios a nivel mundial y acceder como “proveedor preferente”.

¿Cómo se beneficiarán los clientes de servicios cloud de la formación en ISO/IEC 27017?
ISO/IEC 27017 es una norma de tecnología única, ya que proporciona tanto los requisitos para el cliente como para el proveedor del servicio en la nube. Los gerentes de TI y otras personas del departamento técnico responsables de mover a las organizaciones a la nube o de la ampliación de un contrato de servicio en la nube, pueden reducir los riesgos de su negocio asegurándose de que entienden sus responsabilidades y toman las mejores decisiones en torno a su elección de proveedor.
El ISO 27017 igual que el ISO 27018, no son sistemas de gestión. Son estándares que las empresas certificadoras emiten un certificado de cumplimiento.

Visión Estratégica: Recomendaciones
Los proveedores de servicios en la nube deben tener un sistema de seguridad de información muy bien instaurado y cubriendo los distintos ángulos donde pudiese haber vulnerabilidades.
El ISO 27017 (Más Información) y el ISO 27018 (Más Información) son estándares que complementan excelentemente bien al ISO 27001.
Todo proveedor de servicios en la nube debe tenerlos implantados. Los clientes de servicios en la nube, en los mercados globalizados, exigen que los proveedores de servicios en la nube, tengan estos estándares instaurados.