Saltar al contenido principal.
Facebook Instagram Linkedin X YouTube Medium
Saltar al contenido principal.
Facebook Instagram Linkedin X YouTube Medium

 ISO/ IEC 27017:  Conceptos de seguridad para servicios en la nube

 Descubre por qué las aplicaciones empresariales fallan y cómo un enfoque de control operativo, gestión de cambios e incidentes ayuda a mejorar su estabilidad y continuidad. 

ISO 27001 CONCEPTOS DE SEGURIDAD
Cloud Security · ISO/IEC 27017

ISO/IEC 27017: Cloud Security Controls for Modern Organizations

La adopción de servicios en la nube ha transformado la forma en que las organizaciones diseñan, operan y escalan sus sistemas. ISO/IEC 27017 proporciona controles específicos de seguridad para servicios cloud, complementando ISO/IEC 27001 y reduciendo riesgos propios de entornos compartidos.

Agenda una revisión

¿Qué es ISO/IEC 27017?

ISO/IEC 27017 es un código de buenas prácticas de seguridad de la información específico para servicios en la nube. No es una norma independiente de gestión, sino una extensión de ISO/IEC 27001 diseñada para cubrir escenarios propios del cloud computing.

🖥️

Infraestructura

Compartida

☁️

Ambientes

Multi-tenant

🔷

Virtualización

Especializada

⚙️

Servicios

Administrados

ISO 27017 ayuda a reducir ambigüedades de seguridad entre proveedores cloud y clientes.

¿Por qué ISO 27017 es crítica en entornos cloud?

A diferencia de los centros de datos tradicionales, la nube introduce responsabilidades distribuidas, configuraciones dinámicas y riesgos asociados a infraestructura compartida.

La infraestructura no es completamente visible.

Los recursos se comparten entre múltiples clientes.

Las responsabilidades se distribuyen entre proveedor y cliente.

Los errores de configuración pueden generar incidentes.

Relación entre ISO 27001, ISO 27017 e ISO 27018

ISO 27017 no reemplaza otras normas; las complementa dentro de un marco sólido de seguridad cloud.

ISO 27017

Seguridad específica para servicios en la nube.

  • Cloud computing
  • Responsabilidad compartida
  • Infraestructura virtual

ISO 27001

Base del Sistema de Gestión de Seguridad de la Información.

  • SGSI
  • Gestión de riesgos
  • Controles de seguridad

ISO 27018

Protección de datos personales en entornos cloud.

  • Privacidad
  • Datos personales
  • Servicios cloud

El modelo de responsabilidad compartida en la nube

Uno de los pilares de ISO 27017 es definir claramente quién es responsable de qué. La seguridad cloud se distribuye entre proveedor y cliente.

Elemento Proveedor Cloud Cliente
Infraestructura física
Virtualización
Configuración de servicios
Gestión de accesos
Protección de datos
ISO 27017 exige que esta distribución esté documentada, comunicada y auditada.

Controles adicionales introducidos por ISO 27017

ISO 27017 agrega controles específicos a los definidos en ISO 27001 para responder a riesgos propios de servicios cloud.

Gestión de activos en la nube

  • Identificación de activos virtuales
  • Ubicación de datos
  • Eliminación segura de información

Entornos multi-tenant

  • Separación lógica entre clientes
  • Prevención de accesos no autorizados
  • Controles de aislamiento

Administración segura cloud

  • Accesos privilegiados
  • Registro y monitoreo
  • Gestión de cambios

Configuración segura

  • Hardening cloud
  • Configuraciones base
  • Prevención de errores comunes

¿ISO 27017 se certifica?

ISO 27017 no se certifica de forma independiente. Se implementa como extensión de ISO 27001 y puede formar parte del alcance cloud de la certificación.

Se implementa como extensión de ISO 27001.

Complementa el sistema de gestión de seguridad.

La certificación es ISO 27001 con alcance cloud + ISO 27017.

ISO 27017 y plataformas cloud: AWS, Azure y GCP

Agnóstica al proveedor

ISO 27017 no depende de una nube específica, pero se alinea con modelos de seguridad cloud como:

  • AWS Shared Responsibility Model
  • Azure Security & Compliance
  • Google Cloud Security Framework

Relevante para equipos cloud

Es útil para organizaciones que necesitan claridad operativa, controles de seguridad y responsabilidades definidas.

  • Arquitectos cloud
  • DevOps
  • Equipos de seguridad

Tu aplicación no necesita “otra nube”. Necesita control operativo.

El control operativo permite gestionar incidentes, cambios, visibilidad en producción y evolución del software sin poner en riesgo la estabilidad.

Control de incidentes

Detectar, contener y restaurar servicios críticos.

Cambios con trazabilidad

Controlar qué cambió, por qué cambió y quién lo aprobó.

Visibilidad real

Monitorear salud de servicios, carga y errores por componente.

Evolución controlada

Mantener, corregir y mejorar sin comprometer estabilidad.

¿Estás listo para fortalecer tu operación cloud?

Agenda una revisión para identificar riesgos, responsabilidades y acciones de mejora en tus entornos cloud.

Agenda una cita

Preguntas frecuentes

¿Qué es ISO/IEC 27017?

Es una guía de buenas prácticas de seguridad de la información específica para servicios en la nube.

¿ISO 27017 reemplaza ISO 27001?

No. ISO 27017 complementa ISO 27001 agregando controles específicos para entornos cloud.

¿ISO 27017 se certifica?

No se certifica de forma independiente. Se implementa como extensión dentro del alcance de ISO 27001.

¿Aplica para AWS, Azure y GCP?

Sí. ISO 27017 es agnóstica al proveedor y puede alinearse con distintos modelos de seguridad cloud.