Definición y propósito

El propósito de ISO/IEC 27017 es crear un entorno de computación en la nube más seguro al ofrecer mejores prácticas de seguridad para proveedores y usuarios de servicios en la nube. Estas prácticas están destinadas a mitigar los riesgos potenciales asociados con el modelo de entrega de servicios en la nube y proteger la confidencialidad, integridad y disponibilidad de los datos.

Cuerpo Rector

ISO/IEC 27017 es desarrollado y publicado por la Organización Internacional de Normalización (ISO) en colaboración con la Comisión Electrotécnica Internacional (IEC).

Última actualización

ISO/IEC 27017 es aplicable a todos los tipos y tamaños de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que utilizan servicios en la nube o proporcionan plataformas en la nube.

Aplica a

ISO/IEC 27005 aplica a todas las organizaciones, independientemente de su tamaño, tipo o naturaleza, que deseen gestionar los riesgos de manera sistemática dentro del marco de un ISMS. Es relevante para las organizaciones que gestionan riesgos de seguridad de la información, ya sean entidades privadas, sin fines de lucro, o gubernamentales.

Controles y requisitos

El estándar proporciona un conjunto de controles específicos para la nube, además de los de ISO/IEC 27002, e incluye lo siguiente:

• Roles y Responsabilidades Compartidos: La división de responsabilidades de seguridad de la información entre el proveedor de servicios en la nube y el cliente.
• Eliminación/Devolución de Activos: Procesos para devolver o destruir los activos del cliente cuando finalice el contrato de servicio.
• Protección de Máquinas Virtuales: Directrices sobre la configuración y protección segura de las máquinas virtuales.
• Monitoreo de Servicios en la Nube: Requisitos para monitorear la efectividad de la seguridad del servicio en la nube.
• Alineación con los Principios de Seguridad en la Nube: Asegurar que los servicios en la nube se alineen con los principios de seguridad reconocidos para la evaluación y el tratamiento de riesgos.

Por favor, consulte la documentación oficial de ISO/IEC 27017:2015 para obtener detalles sobre controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las auditorías implican una evaluación de los servicios y operaciones en la nube de una organización en comparación con la guía ISO/IEC 27017, que pueden llevarse a cabo de manera interna o por auditores externos. La frecuencia de las auditorías dependerá de los resultados de la evaluación de riesgos de la organización, del nivel de cambio dentro de los servicios en la nube o de la organización, o de los requisitos regulatorios. A menudo, se realizan anualmente.

La duración de una auditoría ISO/IEC 27017 varía según el tamaño y la complejidad de los servicios en la nube que se estén utilizando o proporcionando, el número de servicios en el alcance y la madurez de las prácticas de seguridad de la organización.