Com a crescente adoção da computação em nuvem, surgiu a necessidade de normas específicas para orientar a segurança nesse ambiente complexo. A ISO 27017 é uma norma internacional que descreve diretrizes e controles de segurança projetados para fornecer uma estrutura eficaz na proteção de informações na nuvem.
Ela faz parte da série ISO/IEC 27000, que aborda a segurança da informação em diversos contextos. A ISO 27017 é especialmente relevante no cenário da computação em nuvem devido às complexidades e desafios únicos associados a esse ambiente. Neste artigo, exploraremos em detalhes a ISO 27017 e seu impacto na segurança da informação na nuvem.
O QUE É A ISO 27017?
A ISO 27017 é uma extensão da série de normas ISO/IEC 27000, que se concentra na segurança da informação. Ela aborda especificamente os desafios de segurança associados à computação em nuvem, fornecendo diretrizes e controles para mitigar riscos e proteger informações. A norma foi desenvolvida em resposta à necessidade de um padrão global que ajudasse as organizações a adotar serviços em nuvem com segurança.
Relação com a série ISO/IEC 27000:
A ISO 27017 está intimamente relacionada com a série ISO/IEC 27000, que estabelece os fundamentos da segurança da informação. Ela complementa outras normas, como a ISO 27001 (Sistema de Gestão de Segurança da Informação) e a ISO 27002 (Código de Prática para Controles de Segurança), ao fornecer orientações específicas para a computação em nuvem.
Relevância da ISO 27017 na Computação em Nuvem:
A computação em nuvem é amplamente adotada devido à sua flexibilidade, escalabilidade e economia de custos. No entanto, a segurança na nuvem é uma preocupação crítica, uma vez que dados sensíveis são armazenados e processados fora das instalações das organizações. A ISO 27017 desempenha um papel crucial na garantia da segurança nesse ambiente, fornecendo um conjunto de diretrizes que ajudam a mitigar riscos específicos da nuvem.
O QUE É COMPUTAÇÃO EM NUVEM?
A computação em nuvem envolve a entrega de recursos de TI, como servidores, armazenamento, bancos de dados, redes, software e análise, pela internet. Esses recursos são fornecidos por provedores de serviços em nuvem e acessados pelos clientes sob demanda, eliminando a necessidade de investimentos em infraestrutura física. Os serviços em nuvem podem ser categorizados em três modelos principais: Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) e Software como Serviço (SaaS).
Desafios de Segurança na Computação em Nuvem:
A computação em nuvem traz desafios de segurança, incluindo a proteção de dados confidenciais contra ameaças como violações de dados, vazamentos, acesso não autorizado e interrupções de serviço. A falta de controle direto sobre a infraestrutura física e a coexistência de múltiplos inquilinos(multi-tenant) na mesma plataforma aumentam a complexidade dos requisitos de segurança. A responsabilidade pela segurança na nuvem é compartilhada entre o provedor de serviços em nuvem e o cliente, o que nos leva ao próximo tópico.
RESPONSABILIDADE COMPARTILHADA
A responsabilidade compartilhada é um princípio fundamental na computação em nuvem. Isso significa que tanto o provedor de serviços em nuvem quanto o cliente têm responsabilidades específicas relacionadas à segurança. O provedor é responsável pela segurança da infraestrutura subjacente, enquanto o cliente é responsável pela segurança dos dados e aplicativos que eles colocam na nuvem.
Papéis e Responsabilidades:
Os papéis e responsabilidades podem variar dependendo do modelo de serviço. Em IaaS, o cliente é mais responsável pela segurança, enquanto em SaaS, o provedor assume grande parte dessa responsabilidade. A ISO 27017 ajuda a esclarecer esses papéis, definindo controles específicos para ambas as partes. Mas de modos gerais, a atribuição de responsabilidades é definida da seguinte forma:
Provedor de Serviços em Nuvem: É responsável pela segurança da infraestrutura física, virtualização, redes e dos serviços em nuvem em si. Isso inclui a implementação de controles de segurança física e lógica.
Cliente: É responsável pela segurança dos dados, aplicativos e sistemas implantados na nuvem, bem como pela configuração adequada dos controles de segurança fornecidos pelo provedor.
CONTROLES DE SEGURANÇA
A ISO 27017 estabelece uma série de controles de segurança que visam proteger informações na nuvem. Alguns dos principais controles incluem:
Autenticação e Controle de Acesso: Define políticas de autenticação e controle de acesso para garantir que apenas usuários autorizados acessem os recursos na nuvem.
Criptografia de Dados: Protege os dados em trânsito e em repouso, garantindo que eles não sejam acessados por terceiros não autorizados.
Monitoramento e Registro de Atividades: Registra eventos relevantes para a segurança e permite a detecção de anomalias ou atividades suspeitas.
GESTÃO DE RISCOS NA NUVEM
A gestão de riscos é uma parte essencial da adoção segura da computação em nuvem. A ISO 27017 fornece orientações sobre como avaliar e mitigar riscos na nuvem, incluindo a avaliação de fornecedores, a análise de impacto de negócios e a implementação de controles de segurança apropriados. O monitoramento contínuo da evolução dos riscos é fundamental para garantir a segurança e o desempenho dos sistemas em nuvem ao longo do tempo.
CONFORMIDADE REGULATÓRIA
A ISO 27017 assume um papel de extrema relevância no panorama da conformidade regulatória de serviços em nuvem. Ela desempenha um papel fundamental ao auxiliar as organizações na satisfação de requisitos regulatórios rigorosos, como o LGPD (Lei Geral de Proteção de Dados) no Brasil, que estipula a necessidade de proteção adequada de informações pessoais.
Esta norma estabelece um sólido arcabouço que permite às organizações evidenciar seu compromisso com a segurança e a privacidade dos dados, contribuindo assim para a redução do risco de multas e penalidades associadas a potenciais violações regulatórias.
BENEFÍCIOS E VANTAGENS DA IMPLEMENTAÇÃO DA ISO 27017
A implementação da ISO 27017 oferece diversos benefícios, incluindo:
Maior Segurança: A ISO 27017 fortalece a segurança dos dados na computação em nuvem, reduzindo riscos de ameaças cibernéticas e vazamentos de dados, promovendo a confidencialidade, integridade e disponibilidade dos dados na nuvem.
Conformidade Regulatória: Para organizações em setores regulamentados, como saúde e finanças, a ISO 27017 ajuda a cumprir requisitos regulatórios, como o GDPR na União Europeia e a LGPD no Brasil, evitando penalidades legais e protegendo a reputação.
Confiança do Cliente: A conformidade com a ISO 27017 demonstra compromisso com a segurança de informações, ganhando a confiança de clientes e parceiros de negócios, resultando em relações comerciais sólidas e vantagem competitiva.
Redução de Riscos: A ISO 27017 permite a identificação e mitigação de riscos, incluindo segurança, conformidade, operacionais e de continuidade de negócios, reduzindo a probabilidade de incidentes de segurança e interrupções operacionais.
Melhoria na Tomada de Decisões: Promove uma cultura de segurança, levando a decisões mais informadas, essenciais em um ambiente onde a segurança dos dados é crítica para o sucesso dos negócios.
COMO IMPLEMENTAR A ISO 27017 NA MINHA EMPRESA
Para implementar a ISO 27017, é essencial seguir um processo que inclui:
Avaliação de Riscos: Identificar os riscos específicos relacionados à computação em nuvem em sua organização, levando em consideração os ativos de informação, ameaças e vulnerabilidades.
Desenvolvimento de Políticas e Procedimentos: Crie políticas de segurança e procedimentos que detalhem como os controles da ISO 27017 serão implementados e monitorados.
Treinamento e Conscientização: Garanta que sua equipe esteja bem treinada e ciente das práticas de segurança da ISO 27017.
Implementação de Controles de Segurança: Coloque em prática os controles de segurança recomendados pela norma, adaptando-os às necessidades específicas de sua organização.
Auditorias e Certificação: Realize auditorias internas e, se necessário, busque a certificação da conformidade com a ISO 27017 por meio de auditores independentes.
DESAFIOS NA IMPLEMENTAÇÃO DA ISO 27017
A implementação da ISO 27017, embora seja fundamental para a segurança da computação em nuvem, traz consigo uma série de desafios e considerações que as organizações precisam levar em conta:
Custos Iniciais: Investimentos iniciais em treinamento, auditorias e tecnologia de segurança podem ser substanciais.
Complexidade: A norma aborda uma ampla gama de controles de segurança, o que pode ser complexo de implementar. Garantir a conformidade requer recursos dedicados, incluindo pessoal especializado em segurança da informação.
Adoção Cultural: A conscientização e a mudança cultural são cruciais para garantir que os controles sejam seguidos consistentemente em toda a organização.
Evolução da Nuvem: A computação em nuvem está em constante evolução, o que significa que os controles de segurança devem ser continuamente atualizados.
CONCLUSÃO
A ISO 27017 desempenha um papel fundamental na segurança da informação na computação em nuvem. Ela fornece orientações específicas para lidar com os desafios únicos desse ambiente, promovendo a proteção de dados e a conformidade regulatória. Implementar a ISO 27017 é uma medida estratégica para organizações que buscam operar com segurança e eficácia na nuvem.
Se a sua empresa busca implementar a ISO 27017 e enfrenta desafios nesse processo, a Critical Security está pronta para ajudar. Somos especializados em capacitar clientes para obterem as certificações ISO 9001, ISO 27001, ISO 27701, ISO 27017 e ISO 22301, oferecendo suporte abrangente em todas as etapas, desde a avaliação inicial até a certificação de conformidade. Conte conosco para garantir a segurança de suas operações de computação em nuvem e atender aos mais altos padrões de segurança da informação.
Fale agora com nossa equipe clicando no link abaixo:
Entrar em contato com a Critical Security
Leandro Malaquias
CISM, CISSP, ISO27001-LA
