Controles de Seguridad para Servicios Cloud ISO/IEC 27017

La norma ISO/IEC 27017 – Gestión de la Seguridad para Servicios Cloud, proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado. 

Es el complemento perfecto para la norma ISO/IEC 27001 – Gestión de Seguridad de la Información ya que la norma ISO/IEC 27001 sugiere controles principalmente enfocadas en organizaciones que no trabajan principalmente con servicios cloud (servicios en la nube) mientras que la ISO/IEC 27017 se enfoca en controles asociados a servicios cloud.

Regístrate aquí

Déjanos tus datos y nos contactaremos
contigo para darte más información

Qué beneficios encuentran las organizaciones implementando la ISO/IEC 27017?

01 Aumento de confianza en el negocio: proporciona una mayor seguridad a partes interesadas.

02 Demuestra que existen sistemas de control sólidos para proteger sus datos.

03 Aumenta imagen y reputación al reducir el riesgo de publicidad negativa debido a las violaciones de datos.

04 Aumenta el control de vulnerabilidades, sobre la norma ISO/IEC 27001.

05 Protege sanciones de partes interesadas (clientes, reguladores, etc.)

Su organización requiere implementar la ISO 27017 cuando:

01 Su organización a iniciado y/o mantiene trabajo remoto o teletrabajo.

02 Se desea demostrar el compromiso de la organización con la seguridad de la información en los servicios que suministra a través de la nube.

03 La organización desea un diferencial comercial asociado a seguridad de la información de manera integral.

04 Ya cuenta con la norma ISO/IEC 27001 implementada y desea reforzarla con los controles más vigentes.

Requisitos a implementar

La norma adiciona los siguientes controles

  • Resumen
  • Relaciones con proveedores en servicios en la nube
  • Relaciones entre clientes de servicios en la nube y proveedores de servicios en la nube
  • Gestión de los riesgos de seguridad de la información en los servicios en la nube
  • Estructura de esta norma
  • Dirección de gestión para la seguridad de la información
  • Organización interna
  • Dispositivos móviles y teletrabajo
  • Antes del empleo
  • Durante el empleo
  • Terminación y cambio de empleo
  • Responsabilidad por los activos
  • Clasificación de la información
  • Manejo de medios
  • Requisitos comerciales de control de acceso
  • Gestión de acceso de usuarios
  • Responsabilidades del usuario
  • Control de acceso al sistema y a las aplicaciones
  • Controles criptográficos
  • Áreas seguras
  • Equipo
  • Procedimientos operativos y responsabilidades
  • Protección contra malware
  • Copia de seguridad
  • Registro y monitoreo
  • Control de software operativo
  • Gestión de vulnerabilidades técnicas
  • Consideraciones de auditoría de sistemas de información
  • Gestión de la seguridad de la red
  • Transferencia de información
  • Requisitos de seguridad de los sistemas de información
  • Seguridad en los procesos de desarrollo y soporte
  • Datos de prueba
  • Seguridad de la información en las relaciones con los proveedores
  • Gestión de la prestación de servicios del proveedor
  • Gestión de incidentes y mejoras de seguridad de la información
  • Continuidad de la seguridad de la información
  • Redundancias
  • Cumplimiento de requisitos legales y contractuales
  • Revisiones de seguridad de la información