El código de prácticas ISO/IEC 27017:2015 está diseñado para que las organizaciones tanto clientes como proveedores lo utilicen como referencia para seleccionar los controles de seguridad de la información de servicios en la nube al implementar u ofrecer  un sistema de gestión de seguridad de la información de computación en la nube basado en ISO/IEC 27002:2013 (ya con actualización ISO/IEC 27002:2022).

Los controles del ISO 27017:2015 se encuentran mapeadas en la matriz de controles de la nube v4 del CSA. (enero 2021)

https://cloudsecurityalliance.org/research/cloud-controls-matrix/

Mapeado a : ISO/IEC 27001/27002/27017/27018, CCM V3.0.1, AICPA TSC (2017), CIS Controls V8, NIST 800-53r5 y PCI DSSv3.2.1. Estos mapeos identifican la equivalencia, las brechas y la desalineación entre las especificaciones de control del CCM V4 y otros estándares.

Este estándar internacional proporciona una guía adicional de implementación específica de la nube basada en ISO/IEC 27002  ( la cual acaba de cambiar en febrero 2022, por lo que veríamos posibles cambios para el ISO 27017 e ISO 27018) y proporciona controles adicionales para abordar las amenazas y riesgos de seguridad de la información específicos de la nube en referencia a las cláusulas 5-18 en ISO/IEC 27002: 2013 para controles, guía de implementación, y otra información.

Específicamente, este estándar brinda orientación sobre 37 controles (particularmente en control de acceso, Seguridad Física y ambiental, Seguridad Operaciones, Seguridad Comunicaciones, Relaciones con los proveedores y cumplimiento) en ISO/IEC 27002.

El ISO 27017 también presenta siete nuevos controles que no están duplicados en ISO/IEC 27002. Estos nuevos controles abordan las siguientes áreas importantes:

• Funciones y responsabilidades compartidas dentro de un entorno de computación en la nube
• Eliminación y devolución de los activos del cliente del servicio en la nube al finalizar el contrato
• Protección y separación del entorno virtual de un cliente de los entornos de otros clientes
• Requisitos de fortalecimiento de máquinas virtuales para satisfacer las necesidades comerciales
• Procedimientos para operaciones administrativas de un ambiente de computación en la nube
• Permitir a los clientes monitorear actividades relevantes dentro de un entorno de computación en la nube
• Alineación de la gestión de seguridad para redes virtuales y físicas

Los proveedores de servicios en la nube también lo utilizan como un documento de orientación para implementar controles de protección comúnmente aceptados.

https://aws.amazon.com/es/compliance/iso-27017-faqs/

https://cloud.google.com/security/compliance/iso-27017

https://docs.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27017

Por José Martín Figueroa