ISO 27017
Controlli di Sicurezza per i Servizi Cloud
ISO/IEC 27017:2015 è un controllo di sicurezza per i servizi cloud ed è un’estensione di ISO/IEC 27001 e ISO/IEC 27002. Lo standard è fondamentale sia per i clienti che per i fornitori di servizi cloud.
Lo Standrad ISO 27017 è progettato per aiutare te e le tua organizzazione nella selezione dei controlli di sicurezza per i servizi cloud durante l’implementazione di un sistema di gestione per la sicurezza delle informazioni di cloud computing.
Come estensione di ISO 27002, ISO 27017 fornisce una guida sui 37 controlli ISO 27002 ma presenta anche sette nuovi controlli:
Rimozione e restituzione degli asset dei clienti del servizio cloud una volto risolto un contratto
Allineamento della gestione della sicurezza per reti sia virtuali che fisiche
Protezione e separazione dell’ambiente virtuale di un cliente
Ruoli e responsabilità condivisi tra i fornitori di servizi cloud e i clienti
Procedure operative amministrative di un ambiente di cloud computing
Consentire ai clienti del servizio cloud di poter di monitorare le attività rilevanti all’interno del cloud
Requisiti di configurazione della macchina virtuale per soddisfare le esigenze aziendali
Soluzione GRC: i temi che affronteremo
- Ambiguità dei ruoli: la definizione di ruoli e responsabilità è cruciale relativamente a controllo degli accessi e manutenzione delle infrastrutture, per evitare controversie commerciali e legali;
- Proprietà degli Asset: lo standard suggerisce che ci sia un inventario degli asset memorizzati e definisce i parametri per la loro eliminazione sicura.
- Crittografia: è presente anche una linea guida relativa alla crittografia, la cui responsabilità ricade congiuntamente su provider e cliente. Entrambe le parti devono garantirsi reciprocamente sulla sicurezza della rete e sulla compatibilità dei due sistemi.
- Errore Umano: il punto debole di un sistema spesso si rivela essere il fattore umano. Lo standard delega al fornitore le responsabilità di formazione e informazione, affinchè venga creato il necessario grado di consapevolezza.
UNI EN ISO 27017:2015 – Le Linee Guida
La ISO/IEC 27017, essendo una Linea guida, produce un’integrazione a un certificato ISO/IEC 27001 esistente. Se sei un cloud provider in questo mercato dominato da pochi big player non puoi non fare a meno della 27017.
Ti permette di avere le medesime certificazioni di giganti quali Google, differenziandoti rispetto ad altri cloud service provider più piccoli o meno accorti. Aumentando trasparenza e credibilità, ispirerai maggior fiducia offrendo maggiori garanzie sulla sicurezza di dati e informazioni gestiti da te.
Inoltre in caso di ispezioni del Garante per la Privacy o di DataBreach, la certificazione proteggerà la reputazione del tuo brand, riducendo il rischio di un ritorno d’immagine negativo.
Infine ti aiuta a far crescere il tuo business agevolandoti in fase di accreditamento come fornitore di player di primaria importanza.
Perché certificarsi alla ISO 27017?
Fare in modo che i clienti si sentano al sicuro quando i loro dati vengono archiviati nel cloud è fondamentale. Essere certificati secondo lo standard ISO/IEC 27017 consente un framework standardizzato a livello internazionale che può aiutare a ridurre il rischio di violazioni dei dati e creare fiducia nei clienti, dimostrando il tuo impegno per la sicurezza delle informazioni. Lo standard ISO 27017 fornisce anche una guida ai clienti dei servizi cloud su ciò che dovrebbero desiderare dai loro host di servizi cloud.
Lo standard copre una serie di argomenti come la proprietà dei dati, la rimozione e la restituzione dei dati quando il contratto di un cliente è stato risolto, la protezione e la separazione dell’ambiente virtuale di un cliente e altro ancora. Con un rischio crescente di violazione dei dati nel cloud, ora più che mai è importante sapere che tu e la tua organizzazione state facendo il massimo per cercare di ridurre questi rischi come fornitore di servizi cloud e/o cliente di servizi cloud.
Poiché la ISO 27017 si basa sulla struttura della ISO 27001 e ISO 27002, la certificazione mostra la conformità a livello internazionale e aiuta la tua organizzazione, sia come fornitori di servizi cloud che come cliente di servizi cloud, a mitigare e valutare i rischi all’interno del cloud.