Introducción a ISO 27017 & ISO 27018: Seguridad en la Nube y Protección de Datos en la Nube

El contexto actual y las certificaciones ISO 27017 e ISO 27018

Los últimos 10 años han visto una proliferación a gran escala de la computación en la nube.
La adopción y el uso a gran escala de tecnologías en la nube por parte de empresas públicas y privadas es una tendencia que afortunadamente no ha pasado por alto nuestro país.
Esta tendencia ha hecho cada vez más urgente la adopción de herramientas específicas para garantizar la seguridad y protección de los datos.

En este contexto, la certificación ISO 27017 y la certificación ISO 27018 son hoy en día los dos estándares de referencia para quienes desean asegurar un alto nivel de protección en los servicios en la nube, especialmente en lo que respecta a información sensible y datos personales.
Según ISO, los estándares ISO 27017 e ISO 27018 son los más utilizados para la gobernanza de la seguridad en la nube pública.

Ambas certificaciones nacen como extensiones de la certificación ISO 27001 (para profundizar en el tema, visita Introducción a ISO 27001: el Sistema de gestión de la seguridad de los datos e información (SGSI)).

A diferencia del amplio alcance de la certificación ISO 27001, las certificaciones ISO 27017 e ISO 27018 están dirigidas principalmente a categorías definidas:

• proveedores de servicios en la nube (IaaS, PaaS, SaaS)

• casas de software

• integradores de sistemas

• empresas de TI

• empresas que manejan datos personales en plataformas en la nube

• y todas las empresas, incluidas las PYMEs, que gestionan infraestructuras o servicios en entornos en la nube, incluso a través de terceros.

Adoptar estas certificaciones, especialmente en la actualidad, no solo resuelve el problema de la gestión del riesgo informático, sino que también es estratégico para el tema de cumplimiento normativo con las regulaciones europeas (pensemos en GDPR, NIS2 y DORA) y para el posicionamiento competitivo de nuestra empresa.

Para confirmar esto, un estudio del Banco Mundial - Preparación para la Nube destaca cómo la diseminación de la certificación ISO 27017 y la certificación ISO 27018 está en fuerte crecimiento en los países que adoptan estrategias de digitalización y protección de datos.

En el panorama italiano, un ejemplo concreto de esta diseminación es dado por la estrategia Cloud Italia.
La estrategia Cloud Italia es promovida por la Agencia Nacional de Ciberseguridad (ACN), la entidad que define los requisitos mínimos para la calificación de los servicios en la nube proporcionados a la administración pública italiana,

Existen 2 tipos principales de calificación: QC1 o QC2. Para obtenerlas, es obligación estricta obtener las certificaciones ISO 27001, ISO 27017 e ISO 27018,

Esta tendencia también involucra a proveedores internacionales como AWS y Microsoft Azure: estas entidades se han certificado ISO 27017 e ISO 27018 para fortalecer su posicionamiento en mercados regulados y brindar garantías a clientes públicos y privados en materia de seguridad en la nube y protección de datos personales.

¿Qué son exactamente las certificaciones ISO 27017 e ISO 27018 y cómo apoyan a las empresas a nivel práctico?

Comencemos desglosando las dos certificaciones:

• La certificación ISO 27017 es la norma de referencia para la seguridad en la nube y proporciona controles específicos para servicios en la nube tanto del lado del proveedor como del cliente.

• La certificación ISO 27018 define buenas prácticas para proteger los datos personales identificables (PII) en la nube pública. Estos datos son importantes para la conformidad y el respeto de la privacidad y la confianza en los servicios. 

Como se mencionó anteriormente, ambas certificaciones están construidas y se basan en la certificación ISO 27001. ISO 27017 e ISO 27018 no son estándares autónomos. Se trata de extensiones específicas de la ISO 27001, pensadas y modeladas para integrar a la estructura de la ISO 27001 aquellos escenarios de la nube más detallados.

Precisamente por esta razón, las ISO 27017 y 27018 son integrables directamente a un sistema ya conforme con la ISO 27001 (y en caso de ausencia de la certificación ISO 27001, se construyen directamente con la ISO 27001 de manera integrada), con el fin de extender la eficacia y aplicabilidad a las infraestructuras en la nube y la gestión de la privacidad.

¿Pero cuáles son los puntos concretos de las ISO 27017 e ISO 27018?

Analicemos las ISO 27017 e ISO 27018 uno a uno.

Como se mencionó anteriormente, la ISO 27017 introduce controles adicionales respecto a la ISO 27001, con referencia a los entornos de nube. Un rasgo distintivo de la ISO 27017 es que sus controles están diseñados tanto para los proveedores de servicios de nube (IaaS, PaaS, SaaS) como para los clientes. Este enfoque garantiza una gestión compartida de la seguridad y aclara quién es responsable de qué, evitando ambigüedades en los contratos y las actividades operativas.

Pero, en detalle, los controles establecidos para la ISO 27017 son: 

• compartición de responsabilidades proveedor/cliente,

• separación de entornos virtuales,

• endurecimiento de VM,

• procedimientos operativos adecuados,

• monitoreo y alineación de redes virtuales/físicas.

La ISO 27018 por su parte, nos ofrece lo que se toman como guías para:

• una gestión segura de los datos personales identificables (PII)

• consentimiento y transparencia en el tratamiento de datos,

• notificaciones de violaciones,

• adopción de principios de privacidad por diseño en la prestación de servicios en la nube.

Resumiendo, ¿por qué mi empresa debería certificarse con las certificaciones ISO 27017 e ISO 27018?

Los motivos por los que la empresa debería considerar certificarse con las certificaciones ISO 27017 e ISO 27018 son múltiples y dependen del tipo de empresa y del contexto en el que esta opera (el enfoque permanece en los tipos de empresas presentes en la sección 1).
Pero, generalizando, algunos de estos pueden aplicarse de manera transversal a la gran mayoría de empresas que han decidido emprender el camino de la certificación ISO 27017 e ISO 27018:

1. Credibilidad y confianza: las certificaciones ISO 27017 y 27018 permiten respetar prácticas elevadas de seguridad y privacidad en la nube, incluso para la administración pública italiana.

2. Reducción de riesgos: la creación de un adecuado aparato de cumplimiento de privacidad y seguridad reduce los peligros operativos, normativos y reputacionales, protegiendo nuestra empresa.

3. Acceso a mercados regulados: calificaciones como QC1/QC2 de ACN requieren como condición obligatoria las certificaciones ISO 27017 e ISO 27018 para poder trabajar con la administración pública. 

4. Organización efectiva: las certificaciones ISO 27017 e ISO 27018 permiten crear una estructura apropiada para poder perfeccionar los procesos de TI, las responsabilidades y la resiliencia en la gestión de la nube.

¿Cómo podemos obtener las certificaciones ISO 27017 e ISO 27018 sin perder meses y recursos?

En el pasado, las certificaciones ISO 27017 e ISO 27018 podían requerir varios meses de trabajo y una gran cantidad de actividades y documentación a gestionar.
Esto sin tomar en cuenta que no siempre una empresa dispone de personal técnico y competente que pueda dedicar a las actividades necesarias para implementar las certificaciones ISO 27017 e ISO 27018. Sin embargo, hoy la situación ha cambiado drásticamente, esto gracias también a la evolución de las plataformas tecnológicas y del enfoque innovador que estas pueden aportar cuando se aplican a este tipo de procesos.

Un ejemplo concreto de aplicación de esta evolución es el enfoque adoptado por nosotros en Complaion: combinamos nuestra plataforma que automatiza hasta el 80% de las actividades necesarias para obtener las certificaciones ISO 27017 e ISO 27018 con un auditor líder certificado ISO que guía a la empresa hasta su certificación (claramente con un enfoque hecho a medida para la empresa).

Este enfoque se traduce en una experiencia de certificación ISO 27017 e ISO 27018 ágil, rápida y sobre todo eficiente que, en comparación con el consultor clásico, nos permite obtener el certificado más rápidamente (¡semanas en lugar de meses!) y lograr dedicar menos horas y menos recursos al proceso, garantizando que las actividades esenciales de nuestra empresa no se vean afectadas. Logrando con todo esto aumentar también el involucramiento del personal.

El siguiente gráfico muestra en detalle el proceso adoptado por Complaion en el camino hacia la certificación ISO 27017 e ISO 27018:

Las etapas del proceso serán las siguientes:

• Incorporación y personalización del proceso: su auditor líder ISO dedicado, apoyado por nuestra plataforma, analizará su situación y personalizará la implementación.

• Recolección de evidencias e información: nuestro Consultor le apoyará en la provisión de toda la información y las evidencias que serán necesarias para lograr el cumplimiento con las ISO 27017 y ISO 27018.

• Personalización de controles y análisis de riesgos: implementamos lo necesario, sin sobrecargar la situación con controles innecesarios.

• Implementación del Sistema de Gestión de Seguridad y Privacidad en la Nube: escribiremos procedimientos personalizados y adaptados a su caso, evitando implementar requisitos innecesarios.

• Auditoría interna: uno de nuestros auditores líderes ISO llevará a cabo la auditoría y producirá los informes necesarios para la ISO 27017 y ISO 27018.

Auditoría externa: en cuestión de días, se llevará a cabo una auditoría de certificación con la entidad de certificación elegida, quien luego emitirá el certificado ISO 27017 e ISO 27018.