ISO 27017:2015 - Código de prácticas para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube
Introducción
La norma ISO 27017 proporciona directrices para los controles de seguridad de la información aplicables en el uso de servicios en la nube.
¿Qué es la norma ISO 27017?
La norma ISO 27017 es una norma de seguridad de la información que proporciona directrices para la implementación de controles de seguridad de la información aplicables a la prestación y el uso de servicios en la nube.
Esta norma proporciona, inherentemente, directrices de implementación adicionales para los servicios en la nube y los controles pertinentes especificados en la norma ISO 27002. Además, la norma ISO 27017 proporciona controles y directrices de implementación tanto para los proveedores como para los clientes de servicios en la nube
¿Quién necesita una certificación ISO 27017?
Las organizaciones proveedoras de servicios en la nube requieren la certificación ISO 27017, ya que describe controles de seguridad específicos y las mejores prácticas para gestionar la seguridad de la información en entornos de computación en la nube. Cualquier organización que ofrezca un servicio en la nube se beneficiaría de certificarse en esta norma.
¿Cómo puede la ISO 27017 beneficiar a su negocio?
Obtener la certificación ISO 27017 puede aportar una amplia gama de beneficios a su organización, entre ellos:
- Expectativas más claras sobre los servicios en la nube
- Reducir el riesgo de violaciones de datos
- Ventaja competitiva
- Eficiencia operativa
¿Cómo puedes prepararte para una certificación ISO 27017?
Si bien la idea de iniciar el proceso de certificación puede parecer desalentadora, hay una variedad de pasos que puede seguir para que el proceso de certificación sea mucho más ágil:
- Familiarícese con la norma ISO 27001
- Documente sus políticas y procedimientos de seguridad en la nube para garantizar que cumplan con el estándar
- Desarrollar un plan de remediación
- Realizar auditorías internas para destacar áreas de mejora.
- Proporcionar capacitación al personal para garantizar que todos los empleados cumplan con la norma.
¿Cuáles son los requisitos clave de la norma ISO 27017?
Al trabajar para obtener la certificación ISO 27017, la auditoría se centrará en diversas áreas. Estas áreas incluyen:
- Seguridad de los contratos en la nube
- Modelo de responsabilidad compartida
- Cumplimiento de la normativa
- Debida diligencia sobre los proveedores
¿Qué cláusulas componen la estructura de la norma ISO 27017?
Cláusulas 1-3 - Cláusulas introductorias:
Las tres primeras cláusulas de la norma ISO 27017 proporcionan una introducción al alcance de la norma, las referencias normativas a otras normas relacionadas como la 27002 y las definiciones y abreviaturas de los términos utilizados en toda la norma.
Cláusula 4 – Conceptos específicos del sector de la nube
La cláusula 4 cubre las formas de relaciones en los servicios en la nube, explora los procesos para gestionar los riesgos de seguridad de la información y profundiza en la estructura general de la norma ISO 27017.
Cláusula 5 – Políticas de seguridad de la información
La cláusula 5 aborda brevemente las políticas que rigen los servicios en la nube, los clientes y los proveedores, así como otras áreas de la norma que pueden verse afectadas por dichas políticas.
Cláusula 6 – Organización de la seguridad de la información
La cláusula 6 se centra en las funciones y responsabilidades de los clientes y proveedores de servicios en la nube. Además, esta cláusula hace varias referencias a la norma ISO 27002 al abordar los grupos de interés especiales, la gestión de proyectos y los dispositivos móviles.
Cláusula 7 – Seguridad de los recursos humanos:
La cláusula 7 describe los controles que deben implementarse antes y durante el empleo. Si bien la mayoría de las subcláusulas hacen referencia a la norma ISO 27002, se han añadido nuevas directrices sobre concienciación, educación y formación en seguridad de la información.
Cláusula 8 – Gestión de activos:
La cláusula 8 explora en detalle la responsabilidad por los activos, la clasificación de la información y el manejo de los medios y proporciona más orientación sobre la implementación para clientes y proveedores.
Cláusula 9 – Control de acceso
La cláusula 9 introduce controles adicionales en torno a la concesión de acceso a redes y servicios de red, la gestión del acceso de los usuarios y las responsabilidades de aquellos con acceso.
Cláusula 10 – Criptografía:
En esta sección más breve, la cláusula 10 proporciona directrices de implementación específicas para cada sector, que complementan las políticas sobre el uso de controles criptográficos y la gestión de claves, incluyendo la funcionalidad y el cifrado.
Cláusula 11 – Seguridad física y ambiental
La cláusula 11 proporciona orientación adicional sobre los controles establecidos para garantizar el más alto nivel de seguridad física y ambiental e incluye controles adicionales sobre la eliminación o reutilización segura de los equipos.
Cláusula 12 - Seguridad de las operaciones:
La cláusula 12 amplía considerablemente los procedimientos operativos y las responsabilidades que acompañan la implementación y el cumplimiento de la seguridad. Esta sección abarca la gestión de cambios, la protección contra malware, los procesos de copia de seguridad, el registro y la monitorización, y la gestión de vulnerabilidades.
Cláusula 13 – Seguridad de las comunicaciones
La cláusula 13 centra la atención en los controles de seguridad de la comunicación y desarrolla aún más las subcláusulas sobre servicios de red y transferencias de información.
Cláusula 14 – Adquisición, desarrollo y mantenimiento del sistema
La cláusula 14 proporciona una gran cantidad de orientación específica del sector sobre el análisis y las especificaciones de los requisitos de seguridad de la información, políticas de desarrollo y más información relacionada con los servicios en la nube.
Cláusula 15 – Relaciones con los proveedores:
Además de la orientación proporcionada en 27002, la cláusula 15 proporciona controles de seguridad de la información adicionales con respecto a las relaciones con los proveedores, los acuerdos con los proveedores y la gestión de entregas.
Cláusula 16 – Gestión de incidentes de seguridad de la información
La cláusula 16 amplía aún más las responsabilidades, los procedimientos y los procesos de informes que se han implementado para la gestión de incidentes de seguridad de la información.
Cláusula 17 – Aspectos de seguridad de la información en la gestión de la continuidad del negocio
En otra sección breve, la cláusula 17 hace referencia directa a nuevas subcláusulas de la guía ya existente en la norma ISO 27002 sobre Gestión de la Continuidad del Negocio.
Cláusula 18 - Cumplimiento
En la sección final de la norma, la cláusula 18 aborda los controles de cumplimiento en su conjunto en relación con los servicios en la nube. Esto incluye orientación específica para cada sector sobre la legislación aplicable, los requisitos contractuales, los derechos de propiedad intelectual y la protección de registros.
¿Cuánto tiempo será válido su certificado ISO 27017?
Su certificado ISO 27017 será válido por al menos tres años, dependiendo del tipo de sitio que se esté certificando.
