Intro a ISO 27017 & ISO 27018: Cloud Security e Protezione dei Dati nel Cloud

Il contesto attuale e le certificazioni ISO 27017 e ISO 27018

Gli ultimi 10 anni hanno visto una diffusione su larga scala del cloud computing.
L’adozione e l’utilizzo su larga scala di tecnologie cloud da parte di imprese pubbliche e private è un trend che non ha fortunatamente risparmiato il nostro paese.
Questo trend ha reso sempre più urgente l’adozione di strumenti specifici per garantire sicurezza e protezione dei dati.

In questo contesto, la certificazione ISO 27017 e la certificazione ISO 27018 sono oggi i due standard di riferimento per chi vuole garantire un alto livello di protezione nei servizi cloud, in particolare nei confronti delle informazioni sensibili e dei dati personali.
Secondo ISO, gli standard ISO 27017 e ISO 27018 sono i più utilizzati per la governance della sicurezza nel cloud pubblico.

Entrambe le certificazioni nascono come estensioni della certificazione ISO 27001 (per approfondire l’argomento, visita Intro a ISO 27001: il Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI)).

A differenza dell’ampio raggio della certificazione ISO 27001, le certificazioni ISO 27017 e ISO 27018 si rivolgono a principalmente a categorie definite:

• provider di servizi cloud (IaaS, PaaS, SaaS)

• software house

• system integrator

• aziende IT

• società che trattano dati personali su piattaforme cloud

• e tutte le imprese, anche PMI, che gestiscono infrastrutture o servizi in ambienti cloud, anche tramite terze parti.

Adottare queste certificazioni, soprattutto ai nostri giorni, non risolve soltanto il problema della gestione del rischio informatico, bensì risulta anche strategica per il tema della conformità normativa alle regolamentazioni europee (pensiamo a GDPR, NIS2 e DORA) e per il posizionamento competitivo della nostra azienda.

A confermare ciò, uno studio della World Bank - Cloud Readiness sottolinea come la diffusione della certificazione ISO 27017 e della certificazione ISO 27018 sia in forte crescita nei Paesi che adottano strategie di digitalizzazione e protezione dei dati.

Nel panorama italiano, un esempio concreto di questa diffusione è dato dalla Cloud Italy Strategy.
La Cloud Italy Strategy è promossa dall’Agenzia per la Cybersicurezza Nazionale (ACN), l’entità che definisce i requisiti minimi per la qualificazione dei servizi cloud erogati alla pubblica amministrazione italiana,

Vi sono 2 tipologie di qualifica principali: QC1 o QC2. Per il loro ottenimento è strettamente obbligatorio l’ottenimento delle certificazioni ISO 27001, ISO 27017 e ISO 27018,

Questo trend vede anche provider internazionali come AWS e Microsoft Azure partecipi: queste realtà si sono certificate ISO 27017 e ISO 27018 per rafforzare il loro posizionamento nei mercati regolamentati e fornire garanzie ai clienti pubblici e privati in materia di cloud security e protezione dei dati personali.

Cosa sono esattamente le certificazione ISO 27017 e ISO 27018 e come supportano le aziende a livello pratico?

Iniziamo con lo scomporre le due certificazioni:

• La certificazione ISO 27017 è la norma di riferimento per la cloud security e fornisce controlli specifici per servizi cloud sia lato provider che cliente.

• La certificazione ISO 27018 definisce buone pratiche per proteggere i dati personali identificabili (PII) nel cloud pubblico. Questi dati sono importanti per conformità ed il rispetto della privacy e la fiducia nei servizi. 

Come già detto, entrambe le certificazioni sono costruite e si basano sulla certificazione ISO 27001. La ISO 27017 e la ISO 27018 non sono standard autonomi. Si tratta di estensioni specifiche della ISO 27001, pensate e modellate per integrare alla struttura della ISO 27001 quelli che sono gli scenari cloud più dettagliati.

Proprio per questo, le ISO 27017 e 27018 sono integrabili direttamente ad un sistema già conforme alla ISO 27001 (e in caso di assenza della certificazione ISO 27001, vengono costruite direttamente con la ISO 27001 in maniera integrata), con il fine di estendere l’efficacia e l’applicabilità alle infrastrutture cloud e alla gestione della privacy.

Ma quali sono i punti concreti delle ISO 27017 e ISO 27018?

Analizziamo le ISO 27017 e ISO 27018 singolarmente.

Come precedentemente accennato, la ISO 27017 introduce controlli supplementari rispetto alla ISO 27001, con riferimento agli ambienti cloud. Un tratto distintivo della ISO 27017 è che i suoi controlli sono pensati sia per i fornitori di servizi cloud (IaaS, PaaS, SaaS), sia per i clienti. Questo approccio garantisce una gestione condivisa della sicurezza e chiarisce chi è responsabile di cosa, evitando ambiguità nei contratti e nelle attività operative.

Ma, nel dettaglio, i controlli preposti per la ISO 27017 sono: 

• condivisione di responsabilità provider/cliente,

• separazione ambienti virtuali,

• hardening di VM,

• procedure operative adeguate,

• monitoraggio e allineamento reti virtuali/fisiche .

La ISO 27018 invece, ci offre quelle che vengono prese come linee guida per:

• una gestione sicura dei dati personali identificabili (PII)

• consenso e trasparenza nei trattamenti dei dati,

• notifiche di violazioni,

• adozione di principi privacy by design nell’erogazione di servizi cloud.

Ricapitolando, perché la mia azienda dovrebbe certificarsi con le certificazioni ISO 27017 e ISO 27018?

I motivi per cui l’azienda dovrebbe considerare di certificarsi con le certificazioni ISO 27017 e ISO 27018 sono molteplici e dipendono dal tipo di azienda e contesto in cui questa opera (il focus rimane sulle tipologie di aziende presenti nella sezione 1).
Ma, generalizzando, alcuni di questi possono essere applicati in maniera trasversale alla gran parte delle aziende che hanno deciso di intraprendere il percorso di certificazione ISO 27017 e ISO 27018:

1. Credibilità e fiducia: le certificazioni ISO 27017 e 27018 permettono di rispettare pratiche elevate di sicurezza e privacy nel cloud, anche per PA italiana.

2. Riduzione dei rischi: la creazione di un giusto apparato di compliance privacy e sicurezza riducono i pericoli operativi, normativi e reputazionali, proteggendo la nostra azienda.

3. Accesso a mercati regolamentati: qualifiche come QC1/QC2 di ACN richiedono come condizione obbligatoria le certificazioni ISO 27017 e ISO 27018 per poter lavorare con la PA. 

4. Organizzazione efficace: le certificazioni ISO 27017 e ISO 27018 permettono di creare una struttura consona per poter perfezionare i processi IT, le responsabilità e la resilienza nella gestione cloud.

Come possiamo ottenere le certificazioni ISO 27017 e ISO 27018 senza perdere mesi e risorse?

In passato, le certificazioni ISO 27017 e ISO 27018 poteva richiedere diversi mesi di lavoro ed una grande quantità di attività e documentazione da gestire.
Questo senza considerare che non sempre un’azienda ha a disposizione figure tecniche e competenti da poter dedicare alle attività necessarie per implementare le certificazioni ISO 27017 e ISO 27018. Oggi però la situazione è cambiata drasticamente, questo grazie anche all’evoluzione delle piattaforme tecnologiche e dell’approccio innovativo che queste possono apportare quando vengono applicate a questa tipologia di processi.

Un esempio concreto di declinazione di questa evoluzione è l’approccio adottato da noi di Complaion: combiniamo la nostra piattaforma che automatizza fino all’80% delle attività necessarie per l’ottenimento delle certificazioni ISO 27017 e ISO 27018 con un ISO Lead auditor certificato che guida l’azienda fino a certificazione (chiaramente con un approccio vestito ad hoc sull’azienda).

Questo approccio si tramuta in un’esperienza di certificazione ISO 27017 e ISO 27018 snella, rapida e soprattutto efficiente che, se confrontato con il classico consulente, ci permette di arrivare ad ottenimento del certificato più velocemente (settimane anziché mesi!) e riuscendo a dedicare meno ore e meno risorse nel processo, garantendo che le attività core della nostra azienda non vengano intaccate. Riuscendo in tutto questo ad aumentare anche il coinvolgimento del personale.

Il seguente grafico mostra nel dettaglio il processo adottato da Complaion nel percorso di certificazione ISO 27017 e ISO 27018:

Le fasi del processo saranno le seguenti:

• Onboarding e personalizzazione processo: il vostro ISO Lead Auditor dedicato, supportato dalla nostra piattaforma, analizzerà la vostra realtà e personalizzerà l’implementazione.

• Raccolta delle evidenze e delle informazioni: il nostro Consulente vi supporterà nel fornire tutte le informazioni e le evidenze che saranno necessarie per il raggiungimento della Conformità alla ISO 27017 e ISO 27018.

• Personalizzazione controlli e analisi dei rischi: implementiamo ciò che serve, senza sovraccaricare la realtà di controlli non necessari.

• Realizzazione del Sistema di Gestione per la Sicurezza e la Privacy nel Cloud: scriveremo le procedure personalizzate e vestite per la vostra realtà, evitando di implementare requisiti non necessari.

• Audit Interno: un nostro ISO Lead Auditor effettuerà l'Audit e produrrà i Report necessari per la ISO 27017 e ISO 27018.

Audit Esterno: nel giro di pochi giorni, verrà effettuato un Audit di Certificazione con l’ente di certificazione scelto, che poi rilascerà il certificato ISO 27017 e ISO 27018.