La importancia de la normativa de seguridad ISO 27017
La norma internacional ISO/IEC 27017, relativa a la seguridad de los servicios cloud, es un código de conducta coherente con la norma ISO 27002 (1). Sirve de complemento a esta última norma y establece buenas prácticas de seguridad en el marco de los servicios cloud. Para cada artículo, se especifican las posibles consideraciones relativas a estos servicios en la nube. Aunque los expertos en seguridad y calidad podrán adoptar la norma rápidamente, su lectura puede resultar más difícil para el resto.
La norma ISO 27017 no solo se centra en los proveedores de servicios cloud, sino también en la seguridad del conjunto de estos servicios; de hecho, también se tiene en cuenta el punto de vista del cliente. Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor de servicios cloud.
Otras normas como la ISO 27018 proporcionan orientación destinada a las empresas que se encargan del tratamiento de datos de carácter personal. Al igual que la norma ISO 27017, esta norma también complementa las medidas de seguridad establecidas por la norma ISO 27002 (1), pero en el marco del tratamiento de información de carácter personal. Las medidas de seguridad de la norma ISO 27018 son relevantes en el contexto de los servicios de aplicaciones (SaaS) que procesan información personal y tienen una aplicación limitada en el caso de nuestros servicios de infraestructura.
A pesar de su importancia, no existe una certificación como tal de esta norma. Se trata de un compendio de buenas prácticas en el que se incluyen recomendaciones para mejorar la seguridad del servicio, y no de un sistema de referencia de conformidad. Estas recomendaciones se pueden integrar fácilmente en un sistema de gestión certificado ISO 27001. Los auditores de certificación si pueden incluir en las próximas auditorias de seguimiento una inspección del cumplimiento de estas buenas prácticas. De este modo, contaremos con una evaluación independiente de la implementación de estos estándares de seguridad en nuestros procedimientos.
Esta norma ayuda a que todos los datos que el cliente necesite para estar seguro de su protección frente a posibles riesgos. En el caso de proveedores de servicios cloud, estos deben proporcionar información a los clientes sobre la arquitectura, la tecnología utilizada, las medidas de seguridad adoptadas y las funcionalidades disponibles, así como sobre el contexto de uso (por ejemplo, la tecnología de cifrado utilizada o la localización geográfica de los centros de datos).
El proveedor también debe establecer el lugar que ocupa el cliente en estos procedimientos operativos y en la gestión de modificaciones, actualizaciones o incidentes. De manera general, la norma incide en la importancia de definir claramente el papel y las responsabilidades del cliente y del proveedor en materia de seguridad.
En el caso de los clientes de las empresas de cloud, la lectura de la norma les permite identificar los puntos más relevantes y le guía a la hora de elegir a sus partners. Los CIO (Chief Information Officer) quieren mayor flexibilidad y poder recurrir al proveedor más adecuado según el caso. Así pues, el suministro de los servicios informáticos evoluciona de forma natural desde un modelo en cadena hacia un modelo en red. La multiplicación de las relaciones comerciales y técnicas lleva aparejada una nueva complejidad que tenemos que aprender a gestionar.
La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los proveedores de servicios cloud mediante un modelo de análisis e intercambio común, facilitando así la gestión. Las empresas que se ajustan a la norma ISO 27017, permiten que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad.
(1) La norma ISO/IEC 27002 engloba un conjunto de 113 medidas o best practices para todas aquellas personas responsables de la implantación o el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Según esta norma, la seguridad de la información se define como la «preservación de la confidencialidad, integridad y disponibilidad de la información».
Artículo por Romain Coplo, Director de Ventas y Marketing en OVH España