ISO 27001:2013: Controles de seguridad de la información de servicios en la nube
ISO 27001:2013
El futuro de la norma ISO 27017, junto con la norma ISO 27018, parece bastante claro: se definen todos los estándares de seguridad de más rápido crecimiento en la industria de hoy en día, la computación en la nube. Es un tema tan extenso que estas dos normas pueden conseguir el mismo nivel de éxito cómo la ISO 27001:2013 e ISO 27002.
¿Qué es la ISO 27017?
El nombre de la norma ISO 27017 “Código de práctica para los controles de seguridad de la información según la norma ISO 27002 para los servicios en la nube”, lo que significa que la norma se basa en los controles de seguridad existentes de la norma ISO 27002. En otras palabras la norma ISO 27017 sugiere controles de seguridad adicionales para la nube, donde la norma ISO 27002 no cubre de forma adecuada esta área.
Por cierto, la norma ISO 27017 se encuentra en la versión FDIS y se espera su publicación para finales del mes de diciembre del año 2015.
La norma ISO 27017 generalmente se centra en la protección de la información de los servicios en la nube, mientras que la norma ISO 27018 se centra en proteger datos personales en la nube.
Muchos organismos de certificación tienen previsto iniciar la certificación según la norma ISO 27017, ya que no es una norma de gestión, la certificación regular no sería posible, por lo que los organismos de certificación probablemente emitir algún tipo de declaración de cumplimiento. Algunos organismos de certificación han comenzado a ver la norma ISO 27018 y parece que hacer esto como parte de la más amplia de la norma ISO 27001:2013 para la auditoría de certificación. Las empresas que quieran obtener el certificado en ISO 27017 deberán hacerlo mediante la certificación de la norma ISO 27001:2013 y después como parte de la auditoría deberá existir algún tipo de declaración en la que se diga que se cumple con la norma ISO 27017.
Grado de cambio de controles de seguridad en la nube en la norma ISO 27018
Vamos a ver qué nivel se sugiere en la norma ISO 27017 tomando por referencia a la norma ISO 27001:
La norma ISO 27017 hace sugerir diferentes cambios en la mayoría de las secciones de control, los mayores cambios se sugieren en el área de control de acceso:
9.2.1 Registro de usuarios y la cancelación del registro
9.2.2 Usuario
9.2.3 Gestión de acceso privilegiado
9.4.1 Información de restricción de acceso
9.4.4 Utilización de los programas de servicios públicos privilegiados
Si comparamos ISO 27017 e ISO 27018 en el tipo de cambios propuestos, dándote cuenta de que la norma ISO 27017 propone más cambios en los controles existentes, mientras que la norma ISO 27018 propone nuevos controles.
Los nuevos controles de seguridad en la nube en la norma ISO 27017
La norma ISO 27017 sugiere siete nuevos controles, y la numeración de los controles es compatible con la estructura existente de la norma ISO 27001:2013:
- 1 Roles y responsabilidades compartidas dentro de un entorno de cloud computing
- 5 Remoción de los activos de los clientes de servicios cloud
- 1 Segregación en entornos informáticos virtuales
- 2 Endurecimiento de la máquina virtual
- 5 La seguridad operacional
- 5 Seguimiento de los servicios en la nube
- 4 Alineación de gestión de la seguridad de redes virtuales y físicas
Por lo tanto, el sentido común trata sobre la seguridad en la nube.
Cuantas más normas existen, más difícil se hace elegir. En cualquier caso, la norma ISO 27001:2013 es un estándar básico perfecto para todas las organizaciones que desean proteger su información, sigue siendo el estándar más popular en todo el mundo, proporciona el marco para la gestión de la seguridad y es el único que se puede certificar. La norma ISO 27017 es, sin duda atractivo para las organizaciones que ofrecen servicios en la nube y quieren cubrir todos los ángulos cuando se quiere conseguir la seguridad en la nube. La norma ISO 27018 se centra más hacia las organizaciones que manejan todos los datos de carácter personal, y quieren asegurarse de que se protegen los datos de la forma más adecuada.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.