Saltar al contenido principal.
Facebook Instagram Linkedin X YouTube Medium
Saltar al contenido principal.
Facebook Instagram Linkedin X YouTube Medium

 

ISO/IEC 27017: Conceptos de seguridad para servicios en la nube 

 

aws

 

 

 

pilar 1

 

Introducción: 

La adopción de servicios en la nube ha transformado la forma en que las organizaciones diseñan, operan y escalan sus sistemas. Sin embargo, este modelo introduce nuevos desafíos de seguridad relacionados con infraestructuras compartidas, responsabilidades distribuidas y configuraciones dinámicas. 
ISO/IEC 27017 surge como el estándar internacional que proporciona controles específicos de seguridad para servicios en la nube, complementando a ISO/IEC 27001 y abordando riesgos que no existen en entornos tradicionales.

¿Qué es ISO/IEC 27017? 

ISO/IEC 27017 es un código de buenas prácticas de seguridad de la información específico para servicios en la nube (cloud computing). 

No es una norma independiente de gestión, sino una extensión de ISO/IEC 27001, diseñada para cubrir escenarios propios del cloud como: 
Infraestructura
ICONO AZUL
compartida
Ambientes
ICONO AZUL 2
multi-tenant
Virtualización
ICONO AZUL 3
especializada +IA
Servicios
ICONO AZUL 4
administrados
ISO 27017 ayuda a reducir ambigüedades de seguridad entre proveedores cloud y clientes. 

¿Por qué ISO 27017 es crítica en entornos cloud? 

A diferencia de los centros de datos tradicionales, en la nube:  
glpi

La infraestructura no es completamente visible 

glpi

Los recursos se comparten entre múltiples clientes 

glpi

Las responsabilidades se distribuyen 

glpi

Los errores de configuración son una de las principales causas de incidentes 

ISO 27017 aborda estos retos con controles claros y responsabilidades explícitas, reduciendo riesgos operativos y legales. 

Relación entre ISO 27001, ISO 27017 e ISO 27018 

ISO 27017 no reemplaza otras normas, las complementa. 
ISO 27017: seguridad específica para la nube 

SOC AWS

Agrega controles enfocados en: 

  • Cloud computing 
  • Responsabilidad compartida 
  • Infraestructura virtual 
ISO 27001: la base del sistema de gestión 

SOC AWS

Define el Sistema de Gestión de Seguridad de la Información (SGSI) y el enfoque de gestión de riesgos. 

ISO 27018: protección de datos personales en la nube 

SOC AWS

Se enfoca en privacidad y protección de datos personales en entornos cloud. 

📌 Juntas forman un marco sólido de seguridad cloud, altamente citado en contenidos técnicos. 

¿A quién aplica ISO/IEC 27017? 

ISO 27017 aplica tanto a proveedores como a consumidores de servicios en la nube. 
organizaciones que conumen la nube
placeholder_200x200

El modelo de responsabilidad compartida en la nube 

Uno de los pilares de ISO 27017 es definir claramente quién es responsable de qué. 
¿Qué es la responsabilidad compartida?

Es el principio que establece que la seguridad en la nube no recae en una sola parte, sino que se distribuye entre proveedor y cliente. 

icono de seguridad en la nube sin incluir texto-1
Ejemplo práctico de responsabilidad compartida
Elemento Proveedor Cloud Cliente

Infraestructura física 

 

 
 

 

Virtualización 

 

 
 

 

Configuración de servicios 

 

 
 

 

Gestión de accesos 

 

 
 

 

Protección de datos 

 

 
 

 

ISO 27017 exige que esta distribución esté documentada, comunicada y auditada. 

Controles adicionales introducidos por ISO 27017 

ISO 27017 agrega controles específicos a los definidos en ISO 27001. 
Gestión de activos en la nube 
  • Identificación de activos virtuales 
  • Ubicación de datos 
  • Eliminación segura de información 

 

Seguridad en entornos multi-tenant 
  • Separación lógica entre clientes 
  • Prevención de accesos no autorizados 
  • Controles de aislamiento 
Administración segura de servicios cloud 
  • Accesos privilegiados 
  • Registro y monitoreo 
  • Gestión de cambios 
Configuración segura de servicios 
  • Hardening cloud 
  • Configuraciones base 
  • Prevención de errores comunes 

¿ISO 27017 se certifica? 

ISO 27017 no se certifica de forma independiente
icono de palomita verde sin incluir fondo-2

Se implementa como extensión de ISO 27001 

icono de palomita verde sin incluir fondo-2

Guía completa de Gobierno de Datos en Azure Synapse

icono de palomita verde sin incluir fondo-2

La certificación es ISO 27001 con alcance cloud + ISO 27017 

ISO 27017 y plataformas cloud (AWS, Azure, GCP) 

ISO 27017 es agnóstica al proveedor, pero se alinea con: 

  • AWS Shared Responsibility Model 
  • Azure Security & Compliance 
  • Google Cloud Security Framework 

Esto la hace altamente relevante para: 

  • Arquitectos cloud 
  • DevOps 
  • Equipos de seguridad 
este si m

Control de incidentes

No se trata solo de “resolver rápido”. Se trata de:

  • detectar temprano

  • contener el impacto

  • restaurar el servicio

  • documentar el incidente

  • eliminar la causa raíz cuando sea posible

 

Cambios con trazabilidad

Cada ajuste debe ser controlado:

  • qué se cambió

  • por qué se cambió

  • quién lo aprobó

  • cómo se validó

  • cómo se revierte si sale mal

Visibilidad real de producción

Sin visibilidad, solo hay suposiciones. Necesitas claridad sobre:

  • salud de servicios

  • comportamiento ante carga

  • errores por componente

  • tiempos de respuesta

  • puntos de falla recurrentes

 

Evolución sin poner en riesgo la estabilidad

 Deben evolucionar con:

  • mantenimiento preventivo

  • correcciones controladas

  • mejora técnica gradual

  • prioridades alineadas al negoc

glpi

el negocio depende de tu aplicación y no puede detenerse

glpi

hay incidentes frecuentes o repetitivos

glpi

los despliegues generan ansiedad

glpi

no hay control claro de cambios

glpi

el equipo interno está saturado con operación

glpi

hay presión por estabilidad sin presupuesto para crecer equipo

Tu aplicación no necesita “otra nube”. Necesita control operativo.


Agenda una revisión para identificar por qué falla y qué acciones tienen mayor impacto.

 

¿Estás listo para transformar tu operación

 

Implementa firma digital certificada en tu gestor documental y asegura tus contratos, auditorías y aprobaciones con un sistema confiable y legalmente vinculante.


agenda una cita

 

 

Sección de preguntas y respuestas: