Con el auge de las soluciones en la nube, la seguridad de la información se ha convertido en una prioridad crítica para las organizaciones.
La norma ISO 27017 ofrece una guía específica sobre los controles de seguridad aplicables a entornos de cloud computing o computación en la nube.
Esta normativa es parte de la familia ISO 27000, conocida por establecer estándares de seguridad de la información. Sin embargo, la ISO 27017 se centra exclusivamente en la seguridad en la nube, abordando los desafíos y riesgos específicos que surgen al gestionar y almacenar datos en infraestructuras cloud (en la nube).
Si bien otros estándares de la familia 27000, como la ISO 27001, proporcionan un marco general para la gestión de la seguridad de la información, la ISO 27017 extiende estas directrices para abordar particularidades del entorno en la nube, lo que la convierte en una herramienta clave para cualquier organización que utilice o brinde servicios de nube.
En este artículo, exploraremos las diferencias entre ISO 27017 y otros estándares, su creciente relevancia en el mundo corporativo, y algunos consejos para garantizar su correcta implementación.
Diferencias clave entre ISO 27017 y otros estándares de la familia 27000
La ISO 27017 se basa en los principios generales de la ISO 27001, pero introduce controles adicionales diseñados específicamente para entornos de computación en la nube.
A continuación, desglosamos las diferencias clave entre la ISO 27017 y otros estándares de la familia 27000:
1. ISO 27001 vs ISO 27017
La ISO 27001 es un estándar de gestión de seguridad de la información que establece un marco genérico para identificar, evaluar y gestionar riesgos de seguridad, pero con controles específicos que no se encuentran en la ISO 27001, tales como:
- Responsabilidades compartidas: la ISO 27017 aborda las responsabilidades compartidas entre el proveedor de servicios en la nube y el cliente, algo que no está presente en la ISO 27001. Por ejemplo, especifica quién es responsable de implementar ciertos controles, como la protección de datos o el monitoreo de seguridad.
- Protección de activos virtuales: mientras que la ISO 27001 cubre la seguridad de la información en un sentido amplio, la ISO 27017 se enfoca en la protección de activos específicos del entorno cloud, como máquinas virtuales, contenedores y otras tecnologías utilizadas en la nube.
- Seguridad de las API: ISO 27017 incluye controles específicos para garantizar la seguridad de las API (siglas en inglés que se refieren a las interfaces de programación de aplicaciones), que son fundamentales para la integración y operación de los sistemas en la nube.
2. ISO 27002 vs ISO 27017
La ISO 27002 es una guía complementaria de la ISO 27001 que ofrece directrices detalladas sobre los controles de seguridad de la información.
Si bien ambas comparten muchos controles, la ISO 27017 incluye recomendaciones adicionales que están específicamente diseñadas para entornos de cloud computing, como:
- Configuración de entornos virtualizados: la ISO 27017 ofrece guías sobre cómo configurar adecuadamente la virtualización en la nube para garantizar que no haya fugas de datos entre máquinas virtuales o servicios de almacenamiento compartido.
- Seguridad del proveedor de servicios en la nube: a diferencia de la ISO 27002, la ISO 27017 establece que los proveedores de servicios en la nube deben proporcionar a sus clientes visibilidad sobre su infraestructura y sus controles de seguridad, lo que permite a los clientes evaluar si esos controles son adecuados para proteger sus datos.
Creciente importancia de la ISO 27017 en el mundo corporativo
El uso de la nube ha transformado cómo operan las organizaciones modernas, permitiendo una mayor agilidad, escalabilidad y reducción de costos.
Sin embargo, este cambio también trae consigo desafíos en términos de seguridad, ya que las organizaciones deben proteger datos críticos que ahora se almacenan y gestionan en infraestructuras de terceros.
La ISO 27017 surge como una respuesta clara a estos desafíos, ofreciendo un marco confiable y estandarizado para mitigar los riesgos inherentes al uso de servicios en la nube.
Riesgos clave en entornos de nube
Al adoptar servicios en la nube, las organizaciones se enfrentan a riesgos como:
- Pérdida de control sobre los datos: con los datos almacenados en servidores gestionados por terceros, las organizaciones pierden el control directo sobre la infraestructura que los protege.
- Interferencia de terceros: el hecho de que múltiples clientes usen la misma infraestructura física aumenta el riesgo de que las acciones o fallos de otros usuarios afecten la seguridad de los datos.
- Responsabilidades compartidas: en la nube, tanto el cliente como el proveedor de servicios tienen responsabilidades sobre la seguridad de los datos, pero a menudo estas responsabilidades no están claramente definidas.
La ISO 27017 ofrece controles y directrices para abordar estos riesgos, lo que la convierte en un estándar de referencia para las organizaciones que desean garantizar la seguridad de sus datos y cumplir con las expectativas regulatorias y de clientes.
Ejemplo práctico de su aplicación en una organización
Imaginemos una empresa de tecnología financiera (fintech) que adopta un servicio de nube para gestionar sus transacciones.
Esta organización está sujeta a estrictas normativas de protección de datos financieros y debe asegurar que los proveedores de nube también cumplan con estos estándares.
La implementación de la ISO 27017 asegura que tanto la fintech como el proveedor de nube tengan una clara comprensión de sus responsabilidades compartidas en cuanto a la seguridad de los datos financieros, estableciendo controles específicos como la encriptación de datos y el monitoreo continuo de la infraestructura.
Consejos para la correcta implementación de la ISO 27017
Implementar la ISO 27017 no es un proceso instantáneo, pero con una planificación adecuada y un enfoque sistemático, se puede lograr una seguridad robusta en los entornos de nube. A continuación, algunos consejos clave para su implementación:
1. Realiza una evaluación de riesgos inicial
Antes de implementar la ISO 27017, es fundamental realizar una evaluación de riesgos para identificar los posibles puntos vulnerables de la infraestructura en la nube.
Este análisis debe cubrir tanto la arquitectura interna como los servicios de nube contratados a terceros.
2. Define claramente las responsabilidades con proveedores
Uno de los aspectos más críticos de la ISO 27017 es la definición de responsabilidades entre el cliente y el proveedor de nube.
Asegúrate de que los acuerdos con los proveedores establezcan claramente qué parte es responsable de qué controles de seguridad, y documenta estas responsabilidades en los contratos o SLA (Service Level Agreement, inglés para los acuerdos de nivel de servicio).
3. Monitorea y audita regularmente
El monitoreo continuo y las auditorías periódicas son esenciales para garantizar que los controles de la ISO 27017 estén siendo implementados de manera efectiva.
Utiliza herramientas de monitoreo de seguridad para obtener visibilidad en tiempo real de las actividades en la nube y asegúrate de que el proveedor también proporcione acceso a estos datos.
4. Asegura el cumplimiento en toda la cadena de suministro
Si tu organización trabaja con otros terceros que también utilizan servicios de nube, es esencial asegurarte de que ellos también cumplan con la ISO 27017.
Esto se puede lograr mediante auditorías externas, revisiones de contratos y evaluaciones de cumplimiento.
Cumplimiento de ISO 27017: enfoque desde el compliance
El cumplimiento de la ISO 27017 debe ser visto no solo como una práctica recomendada, sino como un aspecto central dentro del programa general de compliance de una organización.
Implementar esta norma garantiza que la organización esté alineada con las mejores prácticas internacionales en seguridad en la nube, reduciendo el riesgo de sanciones regulatorias y asegurando la confianza de los clientes y stakeholders (partes interesadas).
Al asegurarse de que todos los terceros que interactúan con la organización también cumplan con la ISO 27017, las organizaciones pueden mitigar los riesgos derivados de las interacciones externas y proteger mejor sus activos de información más sensibles.
Eleva tus operaciones hasta las nubes
La ISO 27017 se ha convertido en un estándar esencial para garantizar la seguridad en la nube, especialmente en un entorno donde los datos son un activo crítico para las organizaciones.
Al implementar los controles específicos de la ISO 27017 y definir claramente las responsabilidades entre los proveedores y la organización primaria, es posible mitigar los riesgos asociados con los entornos de nube, proteger los activos digitales y asegurar el cumplimiento con regulaciones clave.
Si deseas asegurar que tu organización ha implementado correctamente la ISO 27017, te invitamos a contactar a uno de nuestros expertos para una consulta y así descubrir cómo puedes proteger mejor tu infraestructura en la nube y garantizar un cumplimiento adecuado para mantener tus operaciones seguras.
Haz clic abajo y, tras llenar el formulario, podrás tener una charla para explorar soluciones adecuadas para tu organización y sus operaciones en la nube.