El 85% de las organizaciones experimentarán al menos un incidente de seguridad en la nube para finales de 2024.

Los entornos en la nube son especialmente propensos a incidentes de ciberseguridad y violaciones de datos debido a una combinación de configuraciones complejas, confusión en la responsabilidad compartida, desafíos en el control de acceso, API inseguras, riesgos de exposición de datos, errores humanos y ataques dirigidos.

ISO 27017 ofrece un marco integral que ayuda a las organizaciones a implementar prácticas de seguridad específicas para proteger los entornos en la nube contra estas amenazas complejas. Al adoptar este marco, las organizaciones pueden abordar sistemáticamente los desafíos de seguridad del cloud computing y así garantizar una posición de seguridad en la nube robusta y confiable.

En este artículo, exploraremos los aspectos clave del cumplimiento de ISO 27017, sus beneficios, requisitos de control, su relación con ISO 27001 y los pasos para la certificación.

¿Qué es ISO/IEC 27017:2015?

ISO/IEC 27017:2015 es una norma de seguridad de la información para servicios en la nube. Se basa en el marco ampliamente reconocido ISO/IEC 27002 que describe controles generales de seguridad de la información y los adapta específicamente a entornos de cloud computing.

ISO/IEC 27017:2015 se centra en:

1. Controles específicos de la nube: Ofrece guías específicas para la implementación de controles de seguridad de la información para proveedores de servicios en la nube (CSP) y/o clientes de servicios en la nube (CSC).
2. Medidas de seguridad reforzadas: Incluye medidas de seguridad adicionales que abordan los riesgos y desafíos únicos del cloud computing, como la aislamiento de datos, la seguridad de las máquinas virtuales y la gestión de servicios en la nube.
3. Complementario a ISO 27001: Aunque ISO 27017 se centra en controles específicos para la nube, está diseñado para ser utilizado junto con ISO 27001, que proporciona el marco general para un sistema de gestión de seguridad de la información (SGSI).

Guías de implementación: Ofrece guías prácticas sobre cómo implementar y gestionar eficazmente estos controles para garantizar la seguridad de los servicios y datos en la nube.

ISO 27017 vs. ISO 27001/ISO 27002: Cómo están relacionadas las normas.

ISO 27017, ISO 27001 e ISO 27002 son todos parte de la serie de estándares ISO/IEC 27000, que se enfoca en la gestión de la seguridad de la información. Cada estándar tiene un papel y un propósito específicos y se complementan entre sí para ofrecer un enfoque integral para la seguridad de la información.

ISO 27001 es el estándar principal que define los requisitos para establecer un Sistema de Gestión de Seguridad de la Información (SGSI). Ofrece un enfoque sistemático para proteger información sensible a través de personas, procesos, tecnologías y gestión de riesgos. Las organizaciones pueden realizar una auditoría externa a través de una entidad de certificación acreditada para obtener la certificación ISO 27001.

ISO 27002 es un marco de referencia complementario a ISO 27001 que detalla los controles de seguridad que las organizaciones pueden implementar para construir, mantener y mejorar continuamente su SGSI según sus necesidades específicas y evaluaciones de riesgos.

ISO 27017 también se basa en ISO 27001 y proporciona controles y guías adicionales aplicables específicamente a entornos de computación en la nube. Las organizaciones que establecen y/o mantienen un SGSI basado en ISO 27001 pueden utilizar ISO 27017 para garantizar controles de seguridad efectivos en la nube.

Al integrar ISO/IEC 27017 en ISO 27001, las organizaciones pueden garantizar una fuerte posición de seguridad que ofrece una cobertura integral de los controles de seguridad de la información, incluidos aquellos específicamente aplicables a los servicios en la nube.

¿Debería su organización implementar ISO 27017?

El cumplimiento de ISO 27017 no es obligatorio ni está prescrito por la ley. Sin embargo, muchas organizaciones optan por implementar ISO 27017 debido a los beneficios asociados, que incluyen:

• Mejora de la ciberseguridad para infraestructuras en la nube: La implementación de controles específicos de la nube ayuda a las organizaciones a proteger información sensible contra amenazas y vulnerabilidades relacionadas con la nube.
• Mejora de la gestión de riesgos para amenazas específicas de la nube: ISO 27017 ofrece un enfoque estructurado para identificar, evaluar y mitigar riesgos específicamente asociados con la computación en la nube.
• Aumento de la confianza y la credibilidad: El cumplimiento de ISO 27017 muestra a clientes, socios y partes interesadas que la organización sigue las mejores prácticas en seguridad en la nube, lo que refuerza la confianza, la seguridad y la lealtad.
• Reconciliación con normas y requisitos regulatorios existentes: Dado que complementa la ISO 27001, las organizaciones pueden basarse en su SGSI existente para mejorar sus medidas de seguridad para los servicios en la nube. Aunque no garantiza la conformidad, la ISO 27017 ayuda a las organizaciones a cumplir con muchos requisitos legales y regulatorios relacionados con la protección de datos en la nube.
• Diferenciación competitiva: La certificación ISO 27017 puede ofrecer una diferenciación competitiva valiosa al resaltar el compromiso de la organización con las mejores prácticas de seguridad de datos en la nube.
• Eficiencia operativa: Los controles y procesos de seguridad estandarizados pueden llevar a operaciones más eficientes y menos incidentes de seguridad. Una cultura de mejora continua de las prácticas de seguridad en la nube también ayuda a las organizaciones a ser proactivas y mantenerse un paso adelante de nuevas amenazas y vulnerabilidades.

Si su organización se beneficiaría de la conformidad con la ISO 27017, en última instancia, depende de sus prácticas actuales de seguridad en la nube, sus necesidades comerciales y los requisitos de sus clientes.

Aquí hay algunas preguntas que puede hacerse para decidir si la conformidad con la ISO 27017 es una opción inteligente para su organización:

• ¿Depende su organización en gran medida de los servicios en la nube para sus operaciones críticas y almacenamiento de datos? ¿Planea su organización ampliar el uso de servicios en la nube y quiere asegurarse de que las prácticas de seguridad robustas estén en vigor desde el principio?
• Si utiliza varios proveedores de servicios en la nube, ¿es necesario tener prácticas de seguridad estandarizadas en todos ellos?
• ¿Ha experimentado ya violaciones de datos o incidentes de seguridad relacionados con los servicios en la nube o teme que ocurran? ¿Tiene un enfoque estructurado para la gestión de riesgos específicos de la nube?
• ¿Existen estándares legales, regulatorios o industriales que exijan o recomienden medidas de seguridad específicas para los servicios en la nube? ¿Opera en una industria fuertemente regulada (por ejemplo, finanzas, salud) con estrictos requisitos de protección de datos?
• ¿Esperan o prefieren sus clientes o socios que los proveedores de servicios en la nube cumplan con los estándares de seguridad reconocidos como la ISO 27017? ¿Podría la conformidad con la ISO 27017 mejorar su credibilidad y atraer a más clientes al demostrar su compromiso con la seguridad en la nube?
• ¿Tiene los recursos y el conocimiento especializado para implementar y mantener la conformidad con la ISO 27017?
• ¿Ya cumple con la ISO 27001 y desea ampliar su SGSI para cubrir controles específicos de la nube?

Si sus respuestas indican una dependencia significativa de los servicios en la nube, una necesidad de prácticas de seguridad en la nube más seguras, una demanda de los clientes de garantías de seguridad o presión regulatoria, entonces probablemente sería beneficioso para su organización buscar la conformidad con la ISO 27017.

Organizaciones que se benefician de la ISO 27017

1. Proveedores de servicios en la nube (CSP): Organizaciones que ofrecen servicios en la nube (IaaS, PaaS, SaaS) y quieren asegurarse de que cumplen con los estándares internacionales de seguridad de la información. Los CSP que desean demostrar su compromiso con la seguridad de los datos de los clientes y gestionar eficazmente los riesgos específicos de la nube.
2. Clientes de servicios en la nube (CSC): Organizaciones que utilizan servicios en la nube y quieren asegurarse de que sus proveedores cumplan con las mejores prácticas de seguridad de la información. Los CSC que deben gestionar sus propias responsabilidades en el modelo de seguridad compartida de la computación en la nube.
3. Organisationen, die in die Cloud migrieren : Unternehmen, die ihre Betriebsabläufe oder Daten in die Cloud verlagern und robuste Sicherheitspraktiken etablieren möchten, die für Cloud-Umgebungen geeignet sind.
4. Stark regulierte Branchen : Sektoren mit strengen Anforderungen an den Datenschutz und die Datensicherheit (z.B. Finanzen, Gesundheitswesen, Regierung), die regulatorischen Standards entsprechen und vertrauliche Informationen schützen müssen.

Anforderungen und Kontrollen nach ISO 27017

Die Anforderungen der ISO 27017 basieren auf den Kontrollgruppen, die von der ISO 27002 festgelegt wurden, und verbessern diese Kontrollen mit zusätzlichen Implementierungsrichtlinien, die für Cloud-Dienste geeignet sind. Im Folgenden sind einige Beispiele für Kontrollziele der ISO 27017 aufgeführt.

1. Organisatorische Kontrollen

Geteilte Rollen und Verantwortlichkeiten in der Cloud-Computing-Umgebung

• Kontrollziel : Klar definieren und dokumentieren der geteilten Rollen und Verantwortlichkeiten der Cloud-Service-Provider (CSP) und der Cloud-Service-Kunden (CSC). Sicherstellen, dass alle Parteien ihre jeweiligen Verantwortlichkeiten für die Implementierung und Aufrechterhaltung von Sicherheitskontrollen verstehen.

2. Vermögensverwaltung

Entfernung und Rückgabe von Ressourcen des Cloud-Service-Kunden

• Kontrollziel : Etablieren von Verfahren zur Entfernung und Rückgabe der Ressourcen der CSC bei Beendigung eines Clouddienstes. Sicherstellen der sicheren und vollständigen Rückgabe oder Löschung der Daten und Ressourcen der Kunden.

Schutz und Trennung der virtuellen Umgebung des Kunden

• Kontrollziel : Mechanismen einrichten zum Schutz und zur Isolierung der virtuellen Umgebungen der CSC voneinander. Unbefugten Zugriff verhindern und die Datenisolierung zwischen verschiedenen Kunden, die eine gemeinsame Infrastruktur nutzen, sicherstellen.

Überwachung der Aktivitäten durch den Cloud-Kunden

• Kontrollziel : Implementieren von erweiterten Protokollierungs- und Überwachungsmechanismen, die spezifisch für Cloud-Umgebungen sind, um relevante Sicherheitsereignisse zu erfassen und zu analysieren. Sicherstellen, dass Protokolle vor Manipulation und unbefugtem Zugriff geschützt sind. Sicherstellen, dass die Aktivitäten der Clouddienste protokolliert und überwacht werden, um Sicherheitsvorfälle effektiv zu erkennen und darauf zu reagieren.

El proceso de certificación ISO 27017

El proceso de certificación ISO/IEC 27017 refleja de cerca el proceso de certificación ISO 27001, incluyendo la implementación de controles, la preparación para la auditoría, las auditorías de la Fase 1 y la Fase 2, así como el ciclo de vida del certificado de tres años. Además, ISO 27017 es una extensión de ISO 27001, por lo que una organización que desee obtener la certificación ISO 27017 debe estar ya certificada en ISO 27001 o buscar la certificación simultánea en ISO 27001 y 27017.

Echemos un vistazo detallado al proceso:

Paso 1: Análisis de brechas

El primer paso para lograr la conformidad con ISO 27017 es comparar sus prácticas actuales de seguridad en la nube con los requisitos de ISO 27017 y determinar si existen brechas.

Identifique las áreas donde sus prácticas no cumplen con los requisitos de la norma y luego desarrolle un plan de mitigación para abordar las brechas identificadas. Asegúrese de especificar los cronogramas, los recursos necesarios y las personas responsables de la implementación.

Paso 2: Implementación de controles

A continuación, es el momento de implementar los controles específicos de la nube. Asegúrese de que los CSP y CSC comprendan y cumplan con sus respectivas responsabilidades.

Cree o actualice la documentación para reflejar los controles implementados, incluidas políticas y procedimientos, y asegúrese de que los documentos estén accesibles para las partes interesadas correspondientes.

Si es necesario, organice sesiones de capacitación para el personal a fin de concienciar sobre la importancia de la seguridad en la nube, los riesgos específicos de seguridad en la nube que enfrenta la empresa y las políticas y procesos implementados, para garantizar que el personal comprenda sus roles y responsabilidades.

Paso 3: Auditoría interna

Una vez que haya implementado los controles y cerrado las brechas en su postura de conformidad, realice una auditoría interna para determinar la eficacia de los controles implementados. Evalúe la eficacia de sus controles de seguridad en la nube en la práctica y documente cualquier acción correctiva.

Presente los resultados de la auditoría a la alta dirección para demostrar que la gestión de la empresa está preparada para brindar el apoyo necesario para la conformidad con ISO 27017.

Paso 4: Auditorías de certificación

Ahora que está preparado para una auditoría de certificación externa, debe seleccionar una entidad de certificación acreditada para realizar la revisión. Elija una entidad de certificación reconocida y con experiencia que esté familiarizada con ISO 27017.

Al igual que en ISO 27001, la auditoría inicial de certificación ISO en sí se divide en dos fases.

Auditoría de Fase 1 (Evaluación preliminar):

La entidad de certificación lleva a cabo una auditoría preliminar para revisar su documentación y preparación para la auditoría completa. Cualquier problema identificado en esta fase debe ser abordado antes de continuar con la auditoría de Fase 2.

Auditoría de Fase 2 (Auditoría de certificación):

El auditor realiza una evaluación integral de la implementación y efectividad de sus controles de seguridad en la nube. Esta fase incluye entrevistas, observaciones y pruebas de control.

Si el organismo de certificación está satisfecho con los resultados de la auditoría, se emitirá una certificación ISO/IEC 27017. Este certificado generalmente es válido por tres años, con auditorías de supervisión anuales entre las certificaciones para asegurar el cumplimiento continuo con ISO 27017 y corregir cualquier no conformidad identificada.

Después de la auditoría de certificación inicial, sigue un ciclo de vida del certificado de tres años. Puede aquí encontrar más detalles sobre el proceso de certificación ISO 27001.

Paso 5. Mejora continua

Las organizaciones deben supervisar y mejorar constantemente sus prácticas de seguridad en la nube. Durante este tiempo, es importante asegurarse de que todas las prácticas de seguridad en la nube sigan siendo efectivas y cumplan con el estándar, y que todos los cambios en los sistemas y controles se documenten completamente.

Al final del período de certificación de tres años, se requiere una auditoría de recertificación para renovar la certificación ISO 27017.

Automatice el cumplimiento de ISO 27017 con Secureframe

La poderosa plataforma de automatización de seguridad y cumplimiento de Secureframe admite docenas de marcos de seguridad, incluido ISO 27017, lo que facilita y agiliza la obtención de la certificación ISO 27017 y la demostración de una sólida postura de seguridad en la nube.

• Integre Secureframe con su stack tecnológico para mapear rápidamente los controles al marco ISO 27017, evaluar su nivel de cumplimiento e identificar vulnerabilidades en su postura de seguridad.
• Utilice inteligencia artificial para automatizar procesos de cumplimiento como evaluaciones de riesgos y creación de políticas.
• Más de 200 integraciones profundas recopilan automáticamente evidencia de auditoría para simplificar la preparación de auditorías.
• Supervise continuamente los controles para evaluar y mantener el cumplimiento año tras año.
• Aproveche el soporte dedicado y la orientación personalizada de expertos en seguridad y cumplimiento en cada etapa.

Obtenga más información sobre cómo nuestra plataforma y nuestro equipo de expertos pueden ayudarlo a lograr el cumplimiento de ISO 27017 e ISO 27001, o planifique una demo para hablar con un especialista de productos.