¿Qué es ISO/IEC 27017?
Más de un tercio de las organizaciones sufrieron un incidente grave de seguridad en la nube en 2021. Según una encuesta a 300 profesionales de la nube cubiertos por BetaNoticias, el 36 % de los encuestados dijo que sus organizaciones habían sufrido una grave fuga o violación de datos de seguridad en la nube en los últimos 12 meses. De cara al futuro, ocho de cada 10 participantes de la encuesta dijeron que les preocupaba ser vulnerables a una filtración de datos relacionada con una mala configuración de la nube. Un poco menos (64%) dijo que el problema seguirá igual o empeorará durante el próximo año.
Para evitar ser víctima de uno de estos tipos de incidentes, las organizaciones deben adoptar un enfoque estratégico para su seguridad en la nube. Pueden hacerlo usando ISO/IEC 27017. Exploremos cómo a continuación.
¿Qué es ISO/IEC 27017?
Desarrollado por el Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), ISO/IEC 27017 establece pautas que respaldan a los clientes de servicios en la nube y a los proveedores de servicios en la nube (CSPS) en su implementación de controles de seguridad de la información. Algunas de esas pautas se refieren a los clientes de servicios en la nube; algunos de ellos pertenecen a los CSP. Incluso entonces, la aplicabilidad de esas pautas varía según los resultados de sus evaluaciones de riesgo y la naturaleza específica de sus requisitos de seguridad.
Por diseño, ISO 27017 complementa las pautas de ISO/IEC 27001/207702 con un enfoque en las principales áreas de control que incluyen gestión y devolución de activos, control de acceso, seguridad física y cumplimiento, por GRC continuo. Sin embargo, la Norma Internacional continúa sugiriendo siete nuevos controles. asesora identifica estas medidas de seguridad de la siguiente manera:
- 6.3.1: Funciones y responsabilidades compartidas dentro de un entorno de computación en la nube
- 8.1.5: Eliminación de los activos del cliente del servicio en la nube
- 9.5.1: Segregación en entornos informáticos virtuales
- 9.5.2: Fortalecimiento de máquinas virtuales
- 12.1.5: Seguridad operativa del administrador
- 12.4.5: Monitoreo de servicios en la nube
- 13.1.4: Alineación de la gestión de seguridad para redes virtuales y físicas
Por qué es importante el cumplimiento de ISO/IEC 27017…
Los clientes de servicios en la nube pueden obtener varios beneficios al cumplir con ISO/IEC 27017. Primero, Renad Al Majd señala que pueden aumentar sus niveles de confianza del cliente demostrando su interés en proteger sus sistemas y activos basados en la nube. Los clientes pueden estar más inclinados a hacer negocios con una organización si saben que están trabajando para proteger sus datos.
Los proveedores de servicios en la nube también pueden hacer crecer su reputación más allá de los ojos de los clientes. Al adherirse a la norma ISO 27017, las organizaciones pueden diseñar una estrategia de inversión a largo plazo para aumentar su compromiso con la seguridad en la nube. Los inversionistas potenciales pueden considerar a esas organizaciones como socios responsables con los que pueden hacer negocios en el futuro.
Finalmente, las organizaciones pueden usar ISO/IEC 27017 para asegurar su reputación e intereses comerciales. Al cumplir con el Estándar Internacional a través de la lente de un programa de seguridad más amplio, pueden reducir el riesgo de multas y sanciones reglamentarias asociadas con otros programas de cumplimiento, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Hacer esto les ayudará a evitar caer en una brecha y sufrir daños a su marca en el proceso.
…Y por qué las organizaciones pueden necesitar ayuda en el camino
Sin embargo, las organizaciones pueden necesitar ayuda para cumplir con las pautas especificadas por ISO/IEC 27017. En la encuesta cubierta por BetaNews, al menos el 20 % de los profesionales de la nube dijeron que la fatiga de las alertas, los falsos positivos y los errores humanos estaban obstaculizando sus esfuerzos de seguridad en la nube. Más de un tercio (36 %) de los profesionales dijeron que tenían dificultades para contratar y retener a expertos en seguridad en la nube, mientras que aproximadamente la misma proporción dijo que tenían problemas para capacitar a sus equipos en la nube en seguridad.
Estos desafíos de brecha de habilidades tampoco son exclusivos de la seguridad en la nube. En una encuesta de 2020, por ejemplo, el 83 % de los profesionales de seguridad dijeron a HCiberSegurity que se sentían más sobrecargados de trabajo a principios de 2020 que a principios de 2019. Aproximadamente el mismo porcentaje indicó que sus equipos no tenían suficiente personal y que se había vuelto más difícil para sus organizaciones contratar talento capacitado en los últimos años.
Ahí es donde HCiberSegurity puede ayudar
Afortunadamente, las organizaciones no necesitan trabajar por su cuenta para lograr el cumplimiento de la norma ISO/IEC 27017. Pueden trabajar con HCiberSegurity para garantizar su seguridad en la nube. De hecho, las capacidades de monitoreo de integridad de archivos (FIM), administración de configuración de seguridad (SCM) y administración de vulnerabilidades (VM) de HCiberSegurity se aplican a los activos de las organizaciones donde están en las instalaciones o en la nube. La herramienta de administración de configuración de HCiberSegurity brinda cobertura de seguridad adicional, lo que ayuda a los clientes a administrar las configuraciones de sus aplicaciones de software como servicio (SaaS) de terceros, como Salesforce y Zoom, para que puedan protegerlas contra ataques, todo mientras automatiza la administración de políticas. para equipos de seguridad y cumplimiento con exceso de trabajo.