28 May Mejora la seguridad de tu nube. Auditoria ISO27017.
La norma ISO27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, la norma ISO 27017 aclara las funciones y las responsabilidades para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un Sistema de Gestión de la Información certificado.
- Quién es el responsable de lo que sucede entre el proveedor del servicio y el cliente
- La eliminación de activos cuando un contrato se resuelve
- Protección y separación del entorno virtual del cliente
- Configurar una máquina virtual
- Operaciones y procedimientos administrativos relacionados con el entorno en la nube
- Seguimiento de la actividad de clientes en la nube
- Alineación del entorno de la red virtual y en la nube
Auditoria ISO27017.
Esta norma ayuda a que todos los datos que el cliente necesite para estar seguro de su protección frente a posibles riesgos. En el caso de proveedores de servicios cloud, estos deben proporcionar información a los clientes sobre la arquitectura, la tecnología utilizada, las medidas de seguridad adoptadas y las funcionalidades disponibles, así como sobre el contexto de uso (por ejemplo, la tecnología de cifrado utilizada o la localización geográfica de los centros de datos).
La norma ISO 27017 no solo se centra en los proveedores de servicios cloud, sino también en la seguridad del conjunto de estos servicios; de hecho, también se tiene en cuenta el punto de vista del cliente. Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor de servicios cloud. El proveedor también debe establecer el lugar que ocupa el cliente en estos procedimientos operativos y en la gestión de modificaciones, actualizaciones o incidentes. De manera general, la norma incide en la importancia de definir claramente el papel y las responsabilidades del cliente y del proveedor en materia de seguridad.
La norma ISO27017 permite al comprador del servicio cloud identificar los puntos más relevantes y le guía a la hora de elegir a sus partners. La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los proveedores de servicios cloud mediante un modelo de análisis e intercambio común, facilitando así la gestión. Las empresas que se ajustan a la norma ISO 27017, permite que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad.
La importancia de la ISO27017 radica en la precisión con la que establece las relaciones entre clientes y proveedores de servicios en la nube, determinando qué puede exigir el cliente y qué información debe proporcionarle el proveedor.
El cumplimiento de esta guía permite fortalecer la ciberseguridad y la gestión del servicio referente a arquitectura, medidas de seguridad, funcionalidades disponibles, tecnología de cifrado y localización geográfica de los datos.
Esta norma contempla 37 controles en la nube -basados en la ISO 27002-, junto a 7 adicionales que permiten fortalecer la seguridad de los servicios cloud.
Como auditor ISO27017 formado en BSI y cumplimentado con mi formación en ISO27001 por SGS y Auditor CISA por ISACA ayudo a empresas a mejorar e implantar sistemas de gestión de la seguridad de la información, también llamadas ISMS, junto con el uso de la herramienta instant27001 de la cual soy partner en ESPAÑA.
Luis Vilanova Blanco. Auditor ISO27001, ISO27017
luis@luisvilanova.es
911277300