ISO/IEC 27017.

ISO 27017 é a extensão de controlos de segurança na nuvem ao ISO 27001. Acrescenta controlos específicos para ambientes cloud e clarifica a divisão de responsabilidade partilhada entre fornecedor e cliente. Se o âmbito do seu ISMS incluir cargas de trabalho em hyperscaler (AWS, Azure, GCP, OVH), os auditores irão perguntar quais os controlos do 27017 que tem mapeados.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

A perspetiva da Cyber Academy

ISO 27017 é a extensão de controlos de segurança na nuvem ao ISO 27001. Acrescenta controlos específicos para ambientes cloud e clarifica a divisão de responsabilidade partilhada entre fornecedor e cliente. Se o âmbito do seu ISMS incluir cargas de trabalho em hyperscaler (AWS, Azure, GCP, OVH), os auditores irão perguntar quais os controlos do 27017 que tem mapeados.

O que a ISO/IEC 27017 acrescenta na prática

A ISO/IEC 27017 não é um esquema de certificação independente. É um código de boas práticas que se assenta sobre a ISO/IEC 27002, o guia de implementação dos controles da ISO/IEC 27001. Onde a 27002 descreve um controle genérico de segurança da informação, a 27017 acrescenta orientação de implementação específica para a nuvem para esse mesmo controle e, em alguns pontos, introduz controles adicionais que só fazem sentido quando os seus dados residem numa infraestrutura que você não possui. Por isso, quando a adota, você não está a operar um SGSI paralelo. Está a estender aquele que já certifica perante a ISO 27001 para que ele fale a linguagem da nuvem.

O valor prático é que ela obriga ambas as partes da relação de nuvem a registar as coisas por escrito. A norma é deliberadamente estruturada de modo que cada elemento de orientação tenha uma versão para o provedor de serviços de nuvem e uma para o cliente de serviços de nuvem. Esse duplo enquadramento é o ponto central. Um controle como a gestão de acessos ou o tratamento de chaves criptográficas significa algo diferente conforme você seja o hyperscaler que opera a plataforma ou o inquilino que nela implanta cargas de trabalho, e a 27017 torna essa divisão explícita em vez de a deixar à suposição.

Responsabilidade compartilhada, tornada auditável

Toda conversa sobre segurança na nuvem acaba por desembocar na responsabilidade compartilhada: o provedor protege a infraestrutura, o cliente protege o que coloca sobre ela. O problema é que a fronteira se desloca conforme o modelo de serviço. Com a infraestrutura como serviço, o cliente é responsável pelo sistema operacional, pela aplicação de correções e pela maior parte da configuração. Com o software como serviço, quase tudo recai sobre o provedor, e ao cliente restam sobretudo a identidade, os acessos e a governança dos dados. A ISO 27017 transforma esse diagrama difuso em algo que um auditor pode testar.

  • Ela pede ao provedor que documente quais responsabilidades de segurança retém e quais transfere ao cliente, de modo que não haja nenhuma lacuna silenciosa.
  • Ela pede ao cliente que confirme que compreende e que efetivamente implementou a sua parte, em vez de supor que o provedor a cobre.
  • Ela acrescenta orientação específica para ambientes multi-inquilino, o endurecimento de máquinas virtuais, as operações administrativas e a segregação de clientes que operam sobre hardware compartilhado.
  • Ela aborda a remoção e a devolução de ativos no fim de um contrato, que é onde muitas saídas da nuvem falham.

Onde ela se situa em relação às suas vizinhas

A 27017 é fácil de confundir com as normas que a rodeiam, por isso ajuda manter a família clara. A ISO/IEC 27001 é o sistema de gestão certificável. A ISO/IEC 27002 é a orientação geral de controles. A ISO/IEC 27017 é a extensão dessa orientação à segurança na nuvem. A ISO/IEC 27018 é a irmã que se concentra especificamente na proteção de informações de identificação pessoal na nuvem pública, o que importa quando as suas cargas de trabalho na nuvem também transportam dados pessoais e você responde a obrigações de privacidade além das de segurança.

A ISO 27017 em relação às suas vizinhas
NormaPapelCertificável por si só
ISO/IEC 27001Requisitos do sistema de gestão de segurança da informaçãoSim
ISO/IEC 27002Orientação geral de implementação para controles de segurançaNão, orientação
ISO/IEC 27017Controles de segurança específicos da nuvem e divisão provedor/clienteNão, incluída no escopo da 27001
ISO/IEC 27018Proteção de dados pessoais na nuvem públicaNão, incluída no escopo da 27001

Para um profissional, o fluxo de trabalho é consistente. Você opera um SGSI ISO 27001, traz as cargas de trabalho na nuvem para o seu escopo e usa a 27017 para decidir quais controles de nuvem mapeia e como evidencia ambos os lados da linha de responsabilidade. Se essas cargas de trabalho também tratarem dados pessoais, você a combina com a 27018. Nenhuma destas normas substitui a sua diligência contratual sobre o provedor; elas dão-lhe uma forma estruturada de provar que a realizou.

Frequently asked questions

01É possível obter a certificação ISO 27017 por si só?

Não. A ISO/IEC 27017 é um código de boas práticas, não um sistema de gestão certificável. As organizações certificam o seu SGSI perante a ISO/IEC 27001 trazendo a 27017 para o escopo, e depois evidenciam os controles de nuvem que mapearam.

02Em que a ISO 27017 difere da ISO 27002?

A ISO 27002 fornece orientação geral sobre controles de segurança. A ISO 27017 toma essa orientação e acrescenta detalhe de implementação específico para a nuvem, além de controles adicionais para a nuvem, com uma visão separada para o provedor e para o cliente.

03Como a ISO 27017 se relaciona com a ISO 27018?

São irmãs sobre o mesmo SGSI. A 27017 cobre a segurança na nuvem de forma ampla, enquanto a 27018 se concentra na proteção de informações de identificação pessoal na nuvem pública. Se as suas cargas de trabalho na nuvem transportam dados pessoais, normalmente você usa ambas.

04A ISO 27017 define o modelo de responsabilidade compartilhada?

Ela o torna auditável. A norma estrutura a sua orientação de modo que o provedor documente as responsabilidades que retém e as que transfere, e que o cliente confirme e implemente a sua parte, eliminando as lacunas silenciosas.

05Quem deveria estar atento à ISO 27017?

Qualquer organização cujo escopo de SGSI inclua cargas de trabalho em hyperscalers como AWS, Azure, GCP ou OVH. Os auditores perguntarão quais controles da 27017 você mapeia sobre essas cargas de trabalho e como cada lado da divisão de responsabilidades é implementado.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.