|

blank
26
May
/
By
/
0 Comments
/

La importancia de la normativa de seguridad ISO 27017

La norma internacional ISO/IEC 27017, relativa a la seguridad de los servicios cloud, es un código de conducta coherente con la norma ISO 27002 (1). Sirve de complemento a esta última norma y establece buenas prácticas de seguridad en el marco de los servicios cloud. Para cada artículo, se especifican las posibles consideraciones relativas a estos servicios en la nube. Aunque los expertos en seguridad y calidad podrán adoptar la norma rápidamente, su lectura puede resultar más difícil para el resto.

La norma ISO 27017 no solo se centra en los proveedores de servicios cloud, sino también en la seguridad del conjunto de estos servicios; de hecho, también se tiene en cuenta el punto de vista del cliente. Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor de servicios cloud.

Otras normas como la ISO 27018 proporcionan orientación destinada a las empresas que se encargan del tratamiento de datos de carácter personal. Al igual que la norma ISO 27017, esta norma también complementa las medidas de seguridad establecidas por la norma ISO 27002 (1), pero en el marco del tratamiento de información de carácter personal. Las medidas de seguridad de la norma ISO 27018 son relevantes en el contexto de los servicios de aplicaciones (SaaS) que procesan información personal y tienen una aplicación limitada en el caso de nuestros servicios de infraestructura.

A pesar de su importancia, no existe una certificación como tal de esta norma. Se trata de un compendio de buenas prácticas en el que se incluyen recomendaciones para mejorar la seguridad del servicio, y no de un sistema de referencia de conformidad. Estas recomendaciones se pueden integrar fácilmente en un sistema de gestión certificado ISO 27001. Los auditores de certificación si pueden incluir en las próximas auditorias de seguimiento una inspección del cumplimiento de estas buenas prácticas. De este modo, contaremos con una evaluación independiente de la implementación de estos estándares de seguridad en nuestros procedimientos.

Esta norma ayuda a que todos los datos que el cliente necesite para estar seguro de su protección frente a posibles riesgos. En el caso de  proveedores de servicios cloud, estos deben proporcionar información a los clientes sobre la arquitectura, la tecnología utilizada, las medidas de seguridad adoptadas y las funcionalidades disponibles, así como sobre el contexto de uso (por ejemplo, la tecnología de cifrado utilizada o la localización geográfica de los centros de datos).

El proveedor también debe establecer el lugar que ocupa el cliente en estos procedimientos operativos y en la gestión de modificaciones, actualizaciones o incidentes. De manera general, la norma incide en la importancia de definir claramente el papel y las responsabilidades del cliente y del proveedor en materia de seguridad.

En el caso de los clientes de las empresas de cloud, la lectura de la norma les permite identificar los puntos más relevantes y le guía a la hora de elegir a sus partners. Los CIO (Chief Information Officer) quieren mayor flexibilidad y poder recurrir al proveedor más adecuado según el caso. Así pues, el suministro de los servicios informáticos evoluciona de forma natural desde un modelo en cadena hacia un modelo en red. La multiplicación de las relaciones comerciales y técnicas lleva aparejada una nueva complejidad que tenemos que aprender a gestionar.

La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los proveedores de servicios cloud mediante un modelo de análisis e intercambio común, facilitando así la gestión. Las empresas que se ajustan a la norma ISO 27017, permiten que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad.

(1) La norma ISO/IEC 27002 engloba un conjunto de 113 medidas o best practices para todas aquellas personas responsables de la implantación o el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Según esta norma, la seguridad de la información se define como la «preservación de la confidencialidad, integridad y disponibilidad de la información».

ISO 27017 ovh

Artículo por Romain Coplo, Director de Ventas y Marketing en OVH España

Artículos relacionados:

  1. Vale, pero ¿ Qué gano yo si abro mis datos ?
  2. Cómo mejorar la Ciberseguridad de las Organizaciones
  3. Chema Alonso: «El reto es mantener una organización con un nivel de riesgo aceptable dentro de un entorno en el que los ciberataques cada vez son mayores y más dirigidos»
  4. La importancia del Software Libre… está también en la seguridad
  5. La ciberseguridad en 2019: una prioridad para las empresas
  6. Monitorizar para anticiparse, la clave de éxito contra los Ciberataques

About Post Author

blank

Leave a Reply


blank

Artículos recientes

blank
El vídeo como nuevo campo de batalla de la GenAI
17 Abr 2024
blank
España se lanza a la IA Open Source de la mano de IBM
10 Abr 2024
blank
Grok-1.5 la Inteligencia Artificial de X.ai en X
03 Abr 2024
blank
El año de Linux en todas partes
27 Mar 2024
blank
IA desde China con Smaug-72B auspiciada por Alibaba
20 Mar 2024
blank
Primeros pasos para crear un ecommerce en 2024
14 Mar 2024
blank
Lanzamiento de Claude 3 con foco en la ética y 275B parámetros
12 Mar 2024
blank
Un nuevo amanecer para la IA: el dominio .IA
07 Mar 2024
blank
«Morris II» o el caco de Las IAs
05 Mar 2024
blank
Novedades GenAI en España y sus empresas en el MWC 2024
28 Feb 2024
blank