TL;DR 

ISO 27017 y 27018 son extensiones de ISO 27001 centradas en la nube.

27017 = controles de seguridad para la responsabilidad compartida en la infraestructura cloud (CSPs + clientes).

27018 = cómo gestionar datos personales (PII) en la nube pública.

Sin certificados separados —normalmente revisados durante las auditorías ISO 27001. Una señal sólida de alineación con GDPR y prácticas seguras en la nube.

Resumen del Cuadro de Mando ISO 27017 / 27018:

• Esfuerzo del desarrollador: Moderado (Requiere comprender las responsabilidades en la nube, implementar configuraciones específicas de seguridad en la nube y, potencialmente, desarrollar funcionalidades para la gestión/derechos de PII, si aplica). El esfuerzo es adicional a la ISO 27001.
• Coste de Herramientas: Coste incremental mínimo sobre ISO 27001 (Utiliza las herramientas existentes de ISO 27001; los costes se relacionan principalmente con la implementación de controles específicos como la monitorización mejorada o el cifrado si no están ya presentes).
• Impacto en el Mercado: Alto (Especialmente para CSP y empresas que utilizan intensivamente la nube; ISO 27018 es clave para demostrar la protección de PII en la nube relevante para el GDPR).
• Flexibilidad: Moderada (Proporciona orientación y controles específicos dentro del marco flexible de ISO 27001).
• Intensidad de la auditoría: Evaluada como parte de una auditoría ISO 27001 de alta intensidad (añade áreas específicas para que los auditores las examinen en relación con la nube y la PII).

¿Qué son ISO 27017 / 27018?

ISO/IEC 27017 e ISO/IEC 27018 son estándares internacionales dentro de la familia ISO 27000, que proporcionan orientación sectorial específica para la computación en la nube. Se basan en el marco general y los controles que se encuentran en ISO 27001 e ISO 27002 (que proporciona orientación para la implementación de los controles del Anexo A).

• ISO/IEC 27017:2015 (Código de práctica para controles de seguridad de la información basados en ISO/IEC 27002 para servicios en la nube):
  
  • Proporciona orientación sobre 37 controles de la ISO 27002 específicamente relevantes para la seguridad en la nube.
  • Introduce 7 controles nuevos específicos para la nube no presentes en ISO 27002, cubriendo áreas como roles y responsabilidades compartidos, monitorización de servicios en la nube, endurecimiento de máquinas virtuales y eliminación de activos para los clientes.
  • Clarifica los roles y responsabilidades entre el Proveedor de Servicios en la Nube (CSP) y el Cliente de Servicios en la Nube (CSC) para la implementación de cada control.
  • Se centra ampliamente en la gestión de la seguridad de la información en la nube.
• ISO/IEC 27018:2019 (Código de práctica para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII):
  
  • Se centra específicamente en proteger la PII procesada por CSPs públicos.
  • Establece objetivos y proporciona orientación para implementar controles que cumplan los requisitos de protección de la PII.
  • Aborda principios como el consentimiento y la elección, la legitimidad del propósito, la minimización de datos, la limitación de uso/retención/divulgación, la exactitud, las salvaguardias de seguridad, la transparencia y la rendición de cuentas para los procesadores de PII.
  • Se alinea estrechamente con normativas de privacidad como GDPR.
  • Sus controles amplían en gran medida los controles existentes de ISO 27002 con interpretaciones específicas para la protección de PII en la nube.

Es crucial destacar que ni ISO 27017 ni ISO 27018 son estándares de sistemas de gestión como ISO 27001. No se obtiene una certificación para 27017 o 27018 directamente. En su lugar, se implementan sus directrices dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a ISO 27001, y un auditor evalúa la implementación de estos controles específicos durante la auditoría de ISO 27001.

¿Por qué son importantes?

Aunque son extensiones de ISO 27001, ISO 27017 e ISO 27018 son vitales para las organizaciones que utilizan o proporcionan servicios en la nube:

• Aclara las responsabilidades en la nube: La ISO 27017 aborda específicamente el a menudo confuso modelo de responsabilidad compartida en la nube, ayudando tanto a los CSP como a los clientes a comprender quién es responsable de qué controles de seguridad.
• Genera confianza en los servicios en la nube: Demostrar la alineación con estos estándares asegura a los clientes que un CSP sigue las mejores prácticas para la seguridad en la nube (ISO 27017) y la protección de PII (ISO 27018).
• Aborda riesgos específicos de la nube: ISO 27017 proporciona orientación adaptada a las amenazas y vulnerabilidades específicas de la nube (por ejemplo, seguridad de la virtualización, segregación del entorno del cliente).
• Soporta el cumplimiento de la privacidad (GDPR, etc.): ISO 27018 proporciona un marco claro para que los CSP cumplan con las obligaciones del procesador bajo GDPR y otras leyes de privacidad, centrándose en la transparencia, el consentimiento y los derechos de los interesados relacionados con la PII.
• Ventaja competitiva: Para los CSPs, demostrar el cumplimiento (a menudo mediante la inclusión en el alcance de una auditoría ISO 27001) es un diferenciador de mercado significativo, especialmente al tratar con industrias reguladas o clientes preocupados por la privacidad.
• Postura de seguridad mejorada: La implementación de los controles y la guía adicionales fortalece genuinamente las prácticas de seguridad y privacidad en el entorno de la nube.

Esencialmente, traducen los principios más amplios de ISO 27001/27002 al contexto específico de la computación en la nube y el procesamiento de PII dentro de ella.

Qué y cómo implementar (Técnico y de Políticas)

La implementación se realiza dentro de un SGSI ISO 27001 existente o planificado:

1. Definición del alcance (como parte de ISO 27001): Asegúrese de que el alcance de su SGSI incluya claramente los servicios en la nube que proporciona o consume.
2. Evaluación de Riesgos (como parte de ISO 27001): Identifique específicamente los riesgos relacionados con la nube (utilizando la guía ISO 27017) y los riesgos de procesamiento de PII en la nube (utilizando la guía ISO 27018).
3. Selección de Controles (Declaración de Aplicabilidad - SoA):
   
   • Revise los controles ISO 27002 a través de la óptica de ISO 27017, considerando la guía específica de la nube tanto para CSPs como para CSCs.
   • Implementar los 7 nuevos controles de ISO 27017 si son aplicables según el riesgo (p. ej., definir responsabilidades compartidas, endurecimiento de VM).
   • Revise los controles ISO 27002 a través de la óptica de ISO 27018 si procesa PII como CSP público, implementando los objetivos de control extendidos (p. ej., en torno al consentimiento, minimización de datos, transparencia, derechos del usuario).
   • Actualiza tu SoA para reflejar la aplicabilidad y el estado de implementación de estos controles específicos de la nube.
4. Implementar controles técnicos y de política:
   
   • Ejemplos de ISO 27017:
     
     • Documente claramente las responsabilidades compartidas con su CSP/cliente (orientación A.6.1.1).
     • Implemente procedimientos para la eliminación/devolución de activos al finalizar un servicio en la nube (orientación A.8.3.1, nuevo control CLD.6.3.1).
     • Segregar entornos virtuales (guía A.13.1.3, nuevo control CLD.9.5.1).
     • Reforzar imágenes de máquinas virtuales (nuevo control CLD.9.5.2).
     • Definir e implementar la monitorización específica de la seguridad de usuarios en la nube (guía A.12.4.1).
   • Ejemplos de ISO 27018 (para CSPs que procesan PII):
     
     • Comprometerse contractualmente a no procesar PII para fines distintos a los indicados por el cliente (orientación A.18.1.4).
     • Mantener la transparencia sobre los subprocesadores que manejan PII (guía A.15.1.1, A.15.1.2).
     • Implemente mecanismos para apoyar el cumplimiento del cliente con los derechos de los interesados (acceso, rectificación, supresión) (orientación A.18.1.4).
     • Eliminar o devolver de forma segura la PII tras la rescisión del contrato (directrices A.8.3.1, A.11.2.7).
     • Cifra la PII transmitida a través de redes públicas (directrices A.13.2.1, A.13.2.3).
     • Implemente procedimientos de notificación de violación de datos específicos para PII (orientación A.16.1).
5. Formación y concienciación: Asegúrese de que el personal relevante comprenda las responsabilidades de seguridad en la nube (ISO 27017) y los deberes de protección de PII (ISO 27018).
6. Auditoría: Incluya los controles ISO 27017 / ISO 27018 implementados dentro del alcance de sus auditorías internas y externas de ISO 27001.

El enfoque está en aplicar lentes específicos de protección de la nube y PII a sus controles ISMS existentes.

Errores comunes a evitar

Errores comunes al tratar con ISO 27017 / 27018:

1. Considerarlas certificaciones independientes: Son códigos de buenas prácticas que complementan la ISO 27001, no certificaciones independientes.
2. Ignorar la Base de ISO 27001: Intentar implementar controles 27017/27018 sin un ISMS ISO 27001 adecuado (evaluación de riesgos, SoA, etc.).
3. No definir el alcance correctamente: No incluir servicios en la nube relevantes o actividades de procesamiento de PII dentro del alcance del SGSI.
4. Ignorar la responsabilidad compartida (ISO 27017): Asumir que el CSP se encarga de todo, o no documentar claramente las responsabilidades entre el proveedor y el cliente.
5. Enfoque Insuficiente en PII (ISO 27018): Para los CSPs, no comprender o implementar completamente los requisitos específicos de consentimiento, transparencia, soporte de los derechos del interesado y limitaciones en el uso de PII.
6. Falta de implementación técnica: Tratar la guía puramente como una política sin implementar los controles técnicos necesarios (p. ej., cifrado, controles de acceso, configuraciones seguras específicas del entorno de la nube).
7. Olvidar el Rol del Cliente (ISO 27017): Los clientes de la nube también tienen responsabilidades definidas en ISO 27017; no es solo para proveedores.

¿Qué preguntarán los auditores (Enfoque en desarrolladores)?

Durante una auditoría ISO 27001 que incluya ISO 27017 / 27018 en su alcance, los auditores podrían hacer preguntas relacionadas con las operaciones en la nube y el manejo de PII:

• (27017) "¿Cómo se asegura la configuración segura y el endurecimiento de las imágenes de máquinas virtuales desplegadas en la nube?" (CLD.9.5.2)
• (27017) "Muéstreme la documentación que define las responsabilidades de seguridad entre usted (como cliente/proveedor) y su proveedor/cliente de la nube." (A.6.1.1 guidance)
• (27017) "¿Cómo se monitorizan los eventos de seguridad específicamente dentro de su entorno de nube?" (A.12.4.1 guidance)
• (27017) "¿Qué procedimientos existen para la eliminación segura de sus datos/activos al finalizar el servicio en la nube?" (CLD.6.3.1)
• (27018 - para CSPs) "¿Cómo su sistema apoya la capacidad de su cliente para responder a las solicitudes de acceso o supresión de datos del interesado para la PII que usted procesa?" (A.18.1.4 guidance)
• (27018 - para CSPs) "¿Cómo se asegura que la PII no se utiliza para marketing/publicidad sin consentimiento explícito?" (Principio de limitación de la finalidad)
• (27018 - para CSPs) "¿Qué técnicas criptográficas se utilizan para proteger la PII en tránsito y en reposo dentro de su servicio en la nube?" (A.10.1 / A.13.2.1 guidance)
• (27018 - para CSPs) "¿Cómo se informa a los clientes sobre los subprocesadores implicados en el tratamiento de su PII?" (A.15.1.1 / A.15.1.2 guidance)

Buscarán evidencia de que la guía específica de protección de la nube y de PII ha sido considerada e implementada dentro del SGSI.

Victorias rápidas para equipos de desarrollo

Alinearse con los principios de ISO 27017 / 27018 puede empezar aquí:

1. Comprenda el rol de su proveedor de la nube (ISO 27017): Revise la documentación del modelo de responsabilidad compartida de su CSP. Sepa qué seguridad gestionan ellos frente a lo que usted debe gestionar en la capa de aplicación/configuración.
2. Reforzar Imágenes de VM/Contenedores (ISO 27017): Utilizar imágenes base mínimas, eliminar servicios innecesarios y aplicar configuraciones de seguridad antes del despliegue. (Relacionado con CLD.9.5.2)
3. Aproveche las herramientas de seguridad en la nube (ISO 27017): Utilice las herramientas integradas del proveedor de la nube para la monitorización, el control de acceso (IAM) y la gestión de la configuración (como AWS Config, Azure Policy).
4. Mapear Flujos de Datos PII (ISO 27018): Si maneja PII, comprenda exactamente dónde entra, cómo se procesa, dónde se almacena y quién accede a ella dentro de su aplicación en la nube.
5. Cifrar PII (ISO 27018): Priorice el cifrado de la PII tanto en tránsito (TLS) como en reposo (cifrado de bases de datos/almacenamiento).
6. Plan para los derechos de los interesados (ISO 27018): Al diseñar funcionalidades que impliquen PII, considerar cómo se recuperarían, corregirían o eliminarían técnicamente los datos de ese usuario específico si se solicitara.

Ignora esto y... (Consecuencias del fracaso)

Dado que ISO 27017 / 27018 se evalúan dentro de una auditoría ISO 27001, un «fallo» suele significar la recepción de no conformidades durante dicha auditoría:

• Fallo en la Auditoría ISO 27001: Las no conformidades importantes relacionadas con controles 27017/27018 no implementados (si están dentro del alcance) pueden poner en peligro la propia certificación ISO 27001, lo que lleva a la suspensión o a la imposibilidad de certificar.
• Pérdida de confianza: No demostrar la adhesión a las mejores prácticas de seguridad en la nube (ISO 27017) o de protección de PII (ISO 27018) daña la confianza con los clientes y socios que dependen de sus servicios en la nube.
• Problemas Contractuales/de Mercado: Incapacidad para cumplir los requisitos contractuales que especifican la adhesión a estos estándares, lo que podría resultar en la pérdida de acuerdos o acceso al mercado.
• Mayor Riesgo: Ignorar las directrices significa que se pueden pasar por alto controles de seguridad cruciales específicos de la nube o medidas de protección de PII, aumentando el riesgo de brechas o violaciones de la privacidad.
• Incumplimiento normativo: En el caso de ISO 27018, no implementar sus directrices de protección de PII podría contribuir al incumplimiento de normativas como el GDPR, lo que acarrearía multas y acciones legales.

Preguntas frecuentes

¿Puedo certificarme directamente en ISO 27017 o ISO 27018?

No. Son códigos de buenas prácticas, no estándares de sistemas de gestión. El cumplimiento se evalúa como parte de una auditoría de certificación ISO 27001 donde estos estándares se incluyen en el alcance.

¿Necesito tanto la ISO 27017 como la ISO 27018?

No necesariamente. La ISO 27017 es relevante para casi cualquier organización que utilice o proporcione servicios significativos en la nube. La ISO 27018 es específicamente relevante para los Proveedores de Servicios en la Nube (CSP) públicos que procesan Información de Identificación Personal (PII) en nombre de sus clientes. Si eres un CSP que maneja PII, probablemente considerarías ambas. Si eres un cliente de la nube que no procesa PII significativa en la nube, solo la ISO 27017 podría ser relevante.

Cómo se relacionan las ISO 27017/27018 con la ISO 27001?

Son extensiones que proporcionan una guía de implementación detallada para controles específicos de ISO 27001/27002 en el contexto de la computación en la nube (ISO 27017) y la protección de PII en la nube (ISO 27018). Se necesita un SGSI ISO 27001 como base.

¿Es la ISO 27017 solo para Proveedores de Servicios en la Nube (CSP)?

No. La ISO 27017 proporciona orientación tanto para los Proveedores de Servicios en la Nube (CSP) como para los Clientes de Servicios en la Nube (CSC), clarificando las responsabilidades de cada parte.

¿Es la ISO 27018 solo para Proveedores de Servicios en la Nube (CSP)?

Principalmente, sí. ISO 27018 se centra en los requisitos para los CSP que actúan como procesadores de PII. Los clientes de la nube (controladores de PII) podrían usarlo para ayudar a evaluar a los CSP, pero la carga de la implementación recae principalmente en el proveedor.

¿Implementar ISO 27018 me hace cumplir con el GDPR?

No automáticamente, pero ayuda significativamente. La ISO 27018 proporciona un marco sólido para que los CSP cumplan muchos requisitos del GDPR relacionados con el procesamiento de PII (obligaciones del Artículo 28), como la seguridad, la transparencia, el subprocesamiento y la asistencia con los derechos de los interesados. Es una herramienta valiosa para demostrar la alineación con el GDPR en el procesamiento de PII en la nube.

¿Cómo se auditan estos?

Un organismo de certificación acreditado realiza una auditoría ISO 27001. Si ISO 27017 / 27018 se incluyen en el alcance de su SGSI y en la Declaración de Aplicabilidad, el auditor evaluará su implementación de los controles y la guía relevantes de estas normas durante el proceso de auditoría ISO 27001.