TL;DR 

ISO 27017 y 27018 son extensiones de ISO 27001 centradas en la nube.

27017 = controles de seguridad para la responsabilidad compartida en la infraestructura en nube (CSP + clientes).

27018 = cómo tratar los datos personales (PII) en la nube pública.

Sin certificados independientes, normalmente revisados durante las auditorías ISO 27001. Señal clara de alineación con el GDPR y prácticas seguras en la nube.

Resumen del cuadro de mando ISO 27017 / 27018:

• Esfuerzo del desarrollador: Moderado (Requiere comprender las responsabilidades de la nube, implementar configuraciones específicas de seguridad en la nube y, potencialmente, crear funciones para la gestión/derechos de PII, si corresponde). El esfuerzo es adicional al de la norma ISO 27001.
• Coste de herramientas: Coste incremental mínimo con respecto a ISO 27001 (utiliza las herramientas existentes de ISO 27001; los costes se refieren principalmente a la aplicación de controles específicos como la supervisión reforzada o el cifrado, si no están ya presentes).
• Impacto en el mercado: alto (especialmente para los proveedores de servicios de Internet y las empresas que utilizan mucho la nube; la norma ISO 27018 es clave para demostrar la protección de la información de identificación personal en la nube relevante para el GDPR).
• Flexibilidad: Moderada (Proporciona orientación y controles específicos dentro del marco flexible de la ISO 27001).
• Intensidad de auditoría: Evaluada como parte de la auditoría ISO 27001 de alta intensidad (añade áreas específicas que los auditores deben examinar en relación con la nube y la información de identificación personal).

¿Qué son las normas ISO 27017 / 27018?

ISO/IEC 27017 e ISO/IEC 27018 son normas internacionales dentro de la familia ISO 27000, que proporcionan orientación específica del sector para la computación en nube. Se basan en el marco general y los controles de la norma ISO 27001 y la norma ISO 27002 (que ofrece orientación para la aplicación de los controles del anexo A).

• ISO/IEC 27017:2015 (Código de buenas prácticas para los controles de seguridad de la información basados en la norma ISO/IEC 27002 para servicios en la nube):
  
  • Proporciona orientación sobre 37 controles de la norma ISO 27002 específicamente relevantes para la seguridad en la nube.
  • Introduce 7 nuevos controles específicos de la nube no presentes en la norma ISO 27002, que abarcan áreas como las funciones y responsabilidades compartidas, la supervisión de los servicios en la nube, el refuerzo de las máquinas virtuales y la eliminación de activos para los clientes.
  • Aclara las funciones y responsabilidades entre el proveedor de servicios en la nube (CSP) y el cliente de servicios en la nube (CSC) para la aplicación de cada control.
  • Se centra ampliamente en la gestión de la seguridad de la información en la nube.
• ISO/IEC 27018:2019 (Código de prácticas para la protección de la información de identificación personal (IIP) en nubes públicas que actúan como procesadores de IIP):
  
  • Se centra específicamente en la protección de la IIP procesada por los CSP públicos.
  • Establece objetivos y proporciona orientación para aplicar controles que cumplan los requisitos de protección de la PII.
  • Aborda principios como el consentimiento y la elección, la legitimidad de los fines, la minimización de los datos, la limitación de su uso/conservación/divulgación, la exactitud, las salvaguardias de seguridad, la transparencia y la responsabilidad de los encargados del tratamiento de la información de identificación personal.
  • Se ajusta estrechamente a normativas sobre privacidad como el GDPR.
  • Sus controles amplían en gran medida los controles existentes de la norma ISO 27002 con interpretaciones específicas para la protección de la información de identificación personal en la nube.

Fundamentalmente, ni la ISO 27017 ni la ISO 27018 son normas de sistemas de gestión como la ISO 27001. No se obtiene la certificación 27017 o 27018 directamente. En su lugar, se implementan sus directrices dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) conforme con la norma ISO 27001, y un auditor evalúa la implementación de estos controles específicos durante su auditoría ISO 27001.

¿Por qué son importantes?

Aunque son extensiones de la norma ISO 27001, las normas ISO 27017 e ISO 27018 son vitales para las organizaciones que utilizan o prestan servicios en la nube:

• Aclara las responsabilidades en la nube: La norma ISO 27017 aborda específicamente el a menudo confuso modelo de responsabilidad compartida en la nube, ayudando tanto a los CSP como a los clientes a entender quién es responsable de qué controles de seguridad.
• Genera confianza en los servicios en la nube: Demostrar la alineación con estas normas garantiza a los clientes que un CSP sigue las mejores prácticas para la seguridad en la nube(ISO 27017) y la protección de la información personal(ISO 27018).
• Aborda riesgos específicos de la nube: ISO 27017 proporciona orientación adaptada a las amenazas y vulnerabilidades específicas de la nube (por ejemplo, seguridad de la virtualización, segregación del entorno del cliente).
• Respalda el cumplimiento de la normativa sobre privacidad (GDPR, etc.): ISO 27018 proporciona un marco claro para que los CSP cumplan con las obligaciones del procesador en virtud del GDPR y otras leyes de privacidad, centrándose en la transparencia, el consentimiento y los derechos de los sujetos de datos relacionados con PII.
• Ventaja competitiva: Para los CSP, demostrar la adhesión (a menudo a través de la inclusión en el alcance de una auditoría ISO 27001) es un diferenciador de mercado significativo, especialmente cuando se trata de industrias reguladas o clientes preocupados por la privacidad.
• Postura de seguridad mejorada: La aplicación de los controles y orientaciones adicionales refuerza realmente las prácticas de seguridad y privacidad en el entorno de la nube.

Esencialmente, traducen los principios más generales de la norma ISO 27001/27002 al contexto específico de la computación en nube y el tratamiento de la información de identificación personal dentro de ella.

Qué y cómo aplicar (técnica y política)

La implantación se produce dentro de un SGSI ISO 27001 existente o planificado:

1. Definición del alcance (como parte de la norma ISO 27001): Asegúrese de que el alcance de su SGSI incluye claramente los servicios en la nube que presta o consume.
2. Evaluación de riesgos (como parte de la norma ISO 27001): Identificar específicamente los riesgos relacionados con la nube (utilizando la guía ISO 27017 ) y los riesgos de procesamiento de PII en la nube (utilizando la guía ISO 27018 ).
3. Selección de controles (Declaración de aplicabilidad - SoA):
   
   • Revise los controles de la norma ISO 27002 a través de la lente de la norma ISO 27017, teniendo en cuenta las directrices específicas de la nube tanto para los CSP como para los CSC.
   • Implemente los 7 nuevos controles de la norma ISO 27017 si procede en función del riesgo (por ejemplo, definición de responsabilidades compartidas, refuerzo de máquinas virtuales).
   • Revise los controles de la norma ISO 27002 a través de la lente de la norma ISO 27018 si procesa información de identificación personal como CSP público, aplicando los objetivos de control ampliados (por ejemplo, en torno al consentimiento, la minimización de datos, la transparencia, los derechos de los usuarios).
   • Actualice su SoA para reflejar la aplicabilidad y el estado de implementación de estos controles específicos de la nube.
4. Implantar controles técnicos y políticos:
   
   • Ejemplos de ISO 27017:
     
     • Documente claramente las responsabilidades compartidas con su CSP/cliente (orientación A.6.1.1).
     • Implantar procedimientos para la retirada/devolución de activos al dar de baja un servicio en la nube (orientación A.8.3.1, nuevo control CLD.6.3.1).
     • Segregar los entornos virtuales (orientación A.13.1.3, nuevo control CLD.9.5.1).
     • Endurecer imágenes de máquinas virtuales (nuevo control CLD.9.5.2).
     • Definir e implementar una supervisión específica de la seguridad de los usuarios de la nube (orientación A.12.4.1).
   • Ejemplos de la norma ISO 27018 (para CSP que procesen PII):
     
     • Comprometerse contractualmente a no tratar la IIP para fines distintos de los indicados por el cliente (orientación A.18.1.4).
     • Mantener la transparencia sobre los subprocesadores que manejan IIP (orientación A.15.1.1, A.15.1.2).
     • Implantar mecanismos para apoyar el cumplimiento por parte del cliente de los derechos de los interesados (acceso, rectificación, supresión) (orientación A.18.1.4).
     • Borrar o devolver de forma segura la IIP a la finalización del contrato (orientación A.8.3.1, A.11.2.7).
     • Cifrar la IIP transmitida a través de redes públicas (orientación A.13.2.1, A.13.2.3).
     • Implantar procedimientos de notificación de violación de datos específicos para la IIP (orientación A.16.1).
5. Formación y concienciación: Asegúrese de que el personal pertinente comprende las responsabilidades de seguridad en la nube(ISO 27017) y los deberes de protección de PII(ISO 27018).
6. Auditoría: Incluya los controles ISO 27017 / ISO 27018 implementados dentro del alcance de sus auditorías ISO 27001 internas y externas.

La atención se centra en la aplicación de objetivos específicos de protección de la nube y la PII a sus controles existentes del SGSI.

Errores comunes que hay que evitar

Errores comunes al tratar con ISO 27017 / 27018:

1. Tratarlas como certificaciones independientes: Son códigos de prácticas que complementan la norma ISO 27001, no certificaciones independientes.
2. Ignorar los fundamentos de la norma ISO 27001: Intentar implantar controles 27017/27018 sin disponer de un SGSI ISO 27001 adecuado (evaluación de riesgos, SoA, etc.).
3. No definir correctamente el alcance: No incluir los servicios en la nube relevantes o las actividades de procesamiento de PII dentro del alcance del SGSI.
4. Pasar por alto la responsabilidad compartida (ISO 27017): Asumir que el CSP se encarga de todo, o no documentar claramente las responsabilidades entre el proveedor y el cliente.
5. Insuficiente atención a la IPI (ISO 27018): En el caso de los CSP, la falta de comprensión o aplicación de los requisitos específicos en materia de consentimiento, transparencia, apoyo a los derechos de los interesados y limitaciones en el uso de la IPI.
6. Falta de aplicación técnica: Tratar la orientación puramente como una política sin implementar los controles técnicos necesarios (por ejemplo, cifrado, controles de acceso, configuraciones seguras específicas para el entorno de la nube).
7. Olvidar el papel del cliente (ISO 27017): Los clientes de la nube también tienen responsabilidades definidas en la norma ISO 27017; no es solo para los proveedores.

Lo que preguntarán los auditores (Enfoque en el desarrollador)

Durante una auditoría ISO 27001 que incluya ISO 27017 / 27018 en su alcance, los auditores podrían hacer preguntas relacionadas con las operaciones en la nube y el manejo de la IIP:

• (27017) "¿Cómo se garantiza la configuración segura y el endurecimiento de las imágenes de máquinas virtuales desplegadas en la nube?" (CLD.9.5.2)
• (27017) "Muéstreme la documentación que define las responsabilidades de seguridad entre usted (como cliente/proveedor) y su proveedor/cliente de la nube". (Orientación A.6.1.1)
• (27017) "¿Cómo supervisa los eventos de seguridad específicamente dentro de su entorno de nube?" (Orientación A.12.4.1)
• (27017) "¿Qué procedimientos existen para eliminar de forma segura sus datos/activos al finalizar el servicio en la nube?" (CLD.6.3.1)
• (27018 - para los CSP) "¿Cómo apoya su sistema la capacidad de su cliente para responder a las solicitudes de acceso o supresión de la IIP que procesa por parte de los interesados?" (Orientación A.18.1.4)
• (27018 - para los CSP) "¿Cómo garantiza que la IIP no se utiliza para marketing/publicidad sin consentimiento explícito?" (Principio de limitación de la finalidad)
• (27018 - para CSP) "¿Qué técnicas criptográficas se utilizan para proteger la IIP en tránsito y en reposo dentro de su servicio en la nube?" (Orientación A.10.1 / A.13.2.1)
• (27018 - para CSP) "¿Cómo informa a los clientes sobre los subprocesadores implicados en el tratamiento de su IIP?" (orientación A.15.1.1 / A.15.1.2)

Buscarán pruebas de que se han tenido en cuenta y aplicado en el SGSI las directrices específicas de protección de la nube y la IIP.

Ganancias rápidas para los equipos de desarrollo

La adecuación a los principios ISO 27017 / 27018 puede comenzar aquí:

1. Comprenda el papel de su proveedor de servicios en la nube (ISO 27017): Revise la documentación del modelo de responsabilidad compartida de su CSP. Sepa qué seguridad gestionan ellos frente a la que debe gestionar usted en la capa de aplicación/configuración.
2. Endurezca las imágenes de máquinas virtuales y contenedores (ISO 27017): Utilice imágenes base mínimas, elimine los servicios innecesarios y aplique configuraciones de seguridad antes del despliegue. (Relacionado con CLD.9.5.2)
3. Aproveche las herramientas de seguridad en la nube (ISO 27017): Utilice las herramientas integradas del proveedor de la nube para la supervisión, el control de acceso (IAM) y la gestión de la configuración (como AWS Config, Azure Policy).
4. Mapee los flujos de datos PII (ISO 27018): Si maneja IIP, comprenda exactamente por dónde entra, cómo se procesa, dónde se almacena y quién accede a ella dentro de su aplicación en la nube.
5. Cifrar la IIP (ISO 27018): Dar prioridad al cifrado de la IIP tanto en tránsito (TLS) como en reposo (cifrado de bases de datos/almacenamiento).
6. Planifique los derechos de los interesados (ISO 27018): Cuando diseñe funciones que impliquen IIP, tenga en cuenta cómo recuperaría, corregiría o eliminaría técnicamente los datos de ese usuario específico si se lo solicitaran.

Ignore esto y... (Consecuencias del fracaso)

Dado que las normas ISO 27017 / 27018 se evalúan en el marco de una auditoría ISO 27001, "fallo" significa normalmente recibir no conformidades durante dicha auditoría:

• Fracaso de la auditoría ISO 27001: Las no conformidades importantes relacionadas con controles 27017/27018 no implementados (si están dentro del alcance) pueden poner en peligro su certificación ISO 27001 en sí, lo que lleva a la suspensión o al fracaso de la certificación.
• Pérdida de confianza: No demostrar el cumplimiento de las mejores prácticas de seguridad en la nube(ISO 27017) o de protección de información personal(ISO 27018) daña la confianza de los clientes y socios que confían en sus servicios en la nube.
• Problemas contractuales/de mercado: Incapacidad para cumplir los requisitos contractuales que especifican la adhesión a estas normas, con la consiguiente pérdida potencial de acuerdos o de acceso al mercado.
• Aumento del riesgo: Ignorar las directrices puede suponer la omisión de controles de seguridad cruciales específicos de la nube o de medidas de protección de la información personal, lo que aumenta el riesgo de infracciones o violaciones de la privacidad.
• Incumplimiento de la normativa: En el caso de la norma ISO 27018, no aplicar sus directrices de protección de la IIP podría contribuir al incumplimiento de normativas como el GDPR, lo que daría lugar a multas y acciones legales.

PREGUNTAS FRECUENTES

¿Puedo obtener directamente la certificación ISO 27017 o ISO 27018?

No. Son códigos de prácticas, no normas de sistemas de gestión. El cumplimiento se evalúa como parte de una auditoría de certificación ISO 27001 en la que estas normas se incluyen en el ámbito de aplicación.

¿Necesito tanto la norma ISO 27017 como la ISO 27018?

No necesariamente. La norma ISO 27017 es pertinente para casi cualquier organización que utilice o preste servicios en la nube significativos. La norma ISO 27 018 se aplica específicamente a los proveedores de servicios en nube públicos que procesan información de identificación personal (IPI) en nombre de sus clientes. Si usted es un proveedor de servicios en la nube que procesa información de identificación personal, es probable que tenga en cuenta ambas normas. Si usted es un cliente de la nube que no procesa PII significativa en la nube, sólo la norma ISO 27017 podría ser relevante.

¿Qué relación existe entre la norma ISO 27017/27018 y la norma ISO 27001?

Se trata de ampliaciones que proporcionan orientaciones detalladas para la aplicación de controles ISO 27001/27002 específicos en el contexto de la computación en nube(ISO 27017) y la protección de la información de identificación personal en nube(ISO 27018). Se necesita un SGSI ISO 27001 como base.

¿Es la norma ISO 27017 sólo para proveedores de servicios en la nube?

No. La norma ISO 27017 proporciona orientación tanto para los proveedores de servicios en la nube (CSP) como para los clientes de servicios en la nube (CSC), aclarando las responsabilidades de cada parte.

¿Es la norma ISO 27018 sólo para proveedores de servicios en la nube?

Principalmente, sí. La norma ISO 27018 se centra en los requisitos para los CSP que actúan como procesadores de PII. Los clientes de la nube (controladores de IPI) podrían utilizarla para ayudar a evaluar a los CSP, pero la carga de la implementación recae principalmente en el proveedor.

¿Implantar la norma ISO 27018 me hace conforme al GDPR?

No automáticamente, pero ayuda significativamente. La norma ISO 27018 proporciona un marco sólido para que los CSP cumplan muchos requisitos del RGPD relacionados con el tratamiento de la IPI (obligaciones del artículo 28), como la seguridad, la transparencia, el subtratamiento y la asistencia en materia de derechos de los interesados. Es una herramienta valiosa para demostrar la alineación con el RGPD del tratamiento de la IIP en la nube.

¿Cómo se auditan?

Un organismo de certificación acreditado realiza una auditoría ISO 27001. Si las normas ISO 27017 / 27018 están incluidas en el alcance de su SGSI y en la Declaración de Aplicabilidad, el auditor evaluará su implementación de los controles y directrices pertinentes de estas normas durante el proceso de auditoría ISO 27001.