ISO/IEC 27017: guía completa de seguridad para servicios en la nube 

img-DMconIA

 

demo

Introducción 

La adopción de servicios en la nube ha transformado la forma en que las organizaciones diseñan, operan y escalan sus sistemas. Sin embargo, este modelo introduce nuevos desafíos de seguridad relacionados con infraestructuras compartidas, responsabilidades distribuidas y configuraciones dinámicas. 

ISO/IEC 27017 surge como el estándar internacional que proporciona controles específicos de seguridad para servicios en la nube, complementando a ISO/IEC 27001 y abordando riesgos que no existen en entornos tradicionales. 

¿Qué es ISO/IEC 27017? 

ISO/IEC 27017 es un código de buenas prácticas de seguridad de la información específico para servicios en la nube (cloud computing). 

No es una norma independiente de gestión, sino una extensión de ISO/IEC 27001, diseñada para cubrir escenarios propios del cloud como: 
seguridad 11
correcto

Infraestructura compartida 

Ambientes multi-tenant 

virtualizacion
icon-dependencia

Virtualización 

Servicios administrados 

ISO 27017 ayuda a reducir ambigüedades de seguridad entre proveedores cloud y clientes. 
¿Por qué ISO 27017 es crítica en entornos cloud?

A diferencia de los centros de datos tradicionales, en la nube: 
icono 1 azul


 La infraestructura no es completamente visible

 



 

icon-impactofinanciero


 Los recursos se comparten entre multiples clientes. 
icon-impactoestrategico
 
 
 Las responsabilidades se distribuyen.

 

 

 


 

configuracion
 
 Los errores de configuración son una de las principales causas de incidentes. 

ISO 27017 aborda estos retos con controles claros y responsabilidades explícitas, reduciendo riesgos operativos y legales. 

Relación entre ISO 27001, ISO 27017 e ISO 27018 

ISO 27017 no reemplaza otras normas, las complementa.  

 

ISO 27017: seguridad específica para la nube

Agrega controles enfocados en: 

    • Cloud computing 
    • Responsabilidad compartida 
    • Infraestructura virtual 

 

ISO 27001: la base del sistema de gestión

Define el Sistema de Gestión de Seguridad de la Información (SGSI) y el enfoque de gestión de riesgos. 

ISO 27018: protección de datos personales en la nube

Se enfoca en privacidad y protección de datos personales en entornos cloud. jeto 

¿A quién aplica ISO/IEC 27017?

ISO 27017 aplica tanto a proveedores como a consumidores de servicios en la nube. 
Proveedores de servicios cloud
lan, sas, pass
Organizaciones que consumen la nube

  • Empresas con workloads en AWS, Azure o GCP 

  • Fintech, Healthtech, startups 

  • Fábricas de software 

  • Organizaciones con entornos híbridos o multi-cloud 

 

 
ORGANIZACIONES QUE CONSIMEN LA NUBE SIN INCNLLUIR FONDO NI TEXTO

 
El modelo de responsabilidad compartida en la nube

¿Qué es la responsabilidad compartida?

Es el principio que establece que la seguridad en la nube no recae en una sola parte, sino que se distribuye entre proveedor y cliente. 

seguridad compartida en la nube

 

Ejemplo práctico de responsabilidad compartida 
Elemento Proveedor Cloud Cliente

Infraestructura física 

 

 

Virtualización 

 

 

Configuración de servicios
 
 

Gestión de accesos 
 
 

Protección de datos 
 
 

ISO 27017 exige que esta distribución esté documentada, comunicada y auditada. 

 
Controles adicionales introducidos por ISO 27017

ISO 27017 agrega controles específicos a los definidos en ISO 27001. 

Gestión de activos en la nube 

icon-linenaranja

  • Identificación de activos virtuales  
  • Ubicación de datos 
  • Eliminación segura de información 

Seguridad en entornos multi-tenant 

icon-linenaranja

  • Separación lógica entre clientes 

  • Prevención de accesos no autorizados 

  • Controles de aislamiento 

Administración segura de servicios cloud 

icon-linenaranja

  • Accesos privilegiados 

  • Registro y monitoreo 

  • Gestión de cambios 

Configuración segura de servicios 

icon-linenaranja

  • Hardening cloud 

  • Configuraciones base 

  • Prevención de errores comunes 


 

¿ISO 27017 se certifica? 

ISO 27017 no se certifica de forma independiente. 
icon-paloma

 

Se implementa como extensión de ISO 27001 

icon-paloma

 

Los controles se evalúan dentro del SGSI

icon-paloma

 

La certificación es ISO 27001 con alcance cloud + ISO 27017 

ISO 27017 y plataformas cloud (AWS, Azure, GCP) 

ISO 27017 es agnóstica al proveedor, pero se alinea con: 

icono de AWS SIN INCLUIR FONDO NI TEXTO-1AWS Shared Responsibility Model 

ICONO SIN INCLUIR TEXTO NI FONDO DE AZURE-1Azure Security & Compliance 

ICONO DE GOOGLE CLOUDGoogle Cloud Security Framework 

Esto la hace altamente relevante para: 

Arquitectos cloud 

ICONO AZUL SIN FONDO DE Arquitectos cloud SIN INCLUIR TEXTO
DevOps 
ICONO DE DevOps-1
Equipos de seguridad 
Equipos de seguriDAD EN LA NUBE SIN INCLUIR FONDO NI TEXTO PERO NADAMAS UN ICNONO
 

Riesgos comunes en la nube que ISO 27017 ayuda a mitigar  

TACHE ROJO SIN FONDO de error-1
Errores de configuración 
 

TACHE ROJO SIN FONDO de error-1
Ambigüedad de responsabilidades 
 

TACHE ROJO SIN FONDO de error-1
Falta de control sobre proveedores 
 

TACHE ROJO SIN FONDO de error-1
Incidentes en entornos compartidos 
 

Beneficios de implementar ISO 27017 

Para proveedores cloud 

icono de proveedores cloud sin incluir fondo ni texto y en azul

  • Mayor confianza del mercado 
  • Diferenciación competitiva 
  • Mejores contratos 

Para clientes cloud 

icono azul sin incluir texto de clientes cloud ni fondo y azul-2

  • Gobernanza clara 
  • Menor riesgo operativo 
  • Mayor control de seguridad 
CITA

Conclusión: 

ISO/IEC 27017 es el complemento natural de ISO 27001 para cualquier organización que provea o consuma servicios en la nube. 

Su enfoque en: 

  • Responsabilidad compartida 
  • Controles específicos cloud 
  • Transparencia y gobernanza 

la convierte en un estándar clave de la seguridad cloud moderna. 
nuve servicio
 

Sección de preguntas frecuentes