La ISO 27017 es una norma específica de seguridad con controles de seguridad para proveedores y clientes en entornos Cloud Computing, tomando como base la familia de normas ISO 27001.
El estándar internacional ISO/IEC 27017:2015 está diseñado para que las organizaciones lo usen como referencia para seleccionar controles de seguridad de la información de servicios en la nube al implementar un sistema de administración de seguridad de la información de informática en la nube basado en ISO/IEC 27002. Los proveedores de servicios en la nube también pueden usar este documento como guía para implementar controles de protección comúnmente aceptados.
Este estándar proporciona instrucciones adicionales para las implementaciones específicas para la nube basadas en la norma ISO/IEC 27002, así como controles adicionales para abordar los riesgos y las amenazas de seguridad de la información específicos de la nube que hacen referencia a las cláusulas 5-18 de la norma ISO/IEC 27002:2013 sobre controles, instrucciones de implementación y otra información. En concreto, en este estándar se proporcionan instrucciones sobre 37 controles de la norma ISO/IEC 27002, además de siete nuevos controles que no se encuentran en la ISO/IEC 27002. Estos nuevos controles abordan las siguientes áreas de importancia:
- Roles y responsabilidades compartidos en un entorno informático en la nube
- Eliminación y devolución de los activos de los clientes del servicio en la nube una vez que finaliza el contrato
- Protección y separación del entorno virtual de un cliente de los entornos de otros clientes
- Requisitos de refuerzo de las máquinas virtuales para satisfacer las necesidades de la empresa
- Procedimientos para las operaciones administrativas de un entorno informático en la nube
- Permitir a los clientes supervisar las actividades pertinentes en un entorno informático en la nube
- Alineación de la administración de seguridad de las redes virtuales y físicas Para tener en cuenta:
La norma 27017 no deja de ser un listado de buenas prácticas específicas en materia de seguridad para un ámbito muy concreto (Cloud), pero no dispone de un sistema de referencia de conformidad propio. Ese es el motivo principal de que no sea certificable como
tal. Por tanto, los sellos que algunas organizaciones muestran sobre ISO 27017 no son certificaciones como tal, sino algo totalmente privado y sin una validez equiparable a ISO 27001. Por ejemplo, hay algunas entidades que ahora disponen de un EY Certificate Point de ISO 27017, pero no se trata de certificación oficial como la que se pueda obtener de un ente certificador. Son garantías que ofrece esta entidad, pero no cumple con las características de ISO para poder certificarlo. Lo más adecuado de cara a publicitar el cumplimiento de esta norma por una entidad es realizar una declaración de cumplimiento, aunque evidentemente no tiene la misma validez que una certificación oficial.