Certificazione e training sullo standard per la sicurezza del cloud

BSI, ente di normazione, certificazione e formazione, ha introdotto, tra le sue attività, la certificazione e la formazione relativa allo standard ISO/IEC 27017 (Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services)  

Lo standard aiuta a fornire la garanzia che i dati memorizzati e trattati nel cloud siano sicuri. La sicurezza del cloud è un aspetto molto delicato per tutti i soggetti che si apprestano a fare una scelta tra questa soluzione in alternativa ad una interna all'organizzazione. Certificazione e formazione ISO/IEC 27017 sono due strumenti che forniscono la garanzia che il sistema del provider di servizi cloud sia altrettanto sicuro quanto i sistemi informatici interni.

L'avvento del cloud computing e la sua rapida adozione da parte di organizzazioni di tutte le dimensioni e tipologie costituiscono una nuova sfida per le norme presenti negli standard della serie ISO/IEC 27000 (dedicato alla sicurezza delle informazioni). La caratteristica del cloud computing è il coinvolgimento di due attori: il fornitore di servizi di cloud e il cliente di servizi cloud.

ISO / IEC 27017 stabilisce le linee guida per gli aspetti di sicurezza delle informazioni del cloud computing, fornendo consigli e assistenza nell'esecuzione dei controlli specifici in ambito cloud: queste integrano la linee guida presenti nella norma ISO / IEC 27002 e negli altri standard della serie ISO / IEC 27000.

Caratteristiche di ISO/IEC 27017:

• Affronta in maniera diretta la gestione della sicurezza delle informazioni dei servizi cloud pubblici
• Estende ai servizi cloud i controlli definiti nella norma ISO/IEC 27002 definendone la suddivisione delle responsabilità tra fornitore e cliente
• Fornisce una descrizione dettagliata dei controlli e/o della documentazione che deve essere presente sia lato fornitore sia lato cliente
• Evidenzia le informazioni/competenze che il fornitore deve fornire al cliente
• Consente al cliente di avere garanzia che i servizi cloud utilizzati soddisfino i requisiti di sicurezza delle informazioni presenti all’interno dell’organizzazione e che gli stessi si inseriscano nei processi di gestione della sicurezza delle informazioni del cliente.

Luigi Brusamolino, Managing Director - Southern Europe BSI ha detto: "ISO/IEC 27017 definisce ruoli e responsabilità sui controlli di sicurezza suddividendoli tra cliente e fornitore di servizi cloud. Applicare le linee guida è un importante contributo per entrambe le parti che possono inoltre ricevere ulteriore sostegno adottando la certificazione o effettuando formazione sullo standard stesso attraverso diversi moduli, l’ultimo dei quali si occupa di audit ai sensi della ISO/IEC 27017. Tra i benefici per gli utenti vi è una maggiore garanzia, per clienti e stakeholder, che i dati presenti in cloud siano ben protetti; la dimostrazione della presenza di severi controlli di protezione dei dati costituisce un notevole vantaggio competitivo perchè riduce la possibilità di una violazione dei dati che potrebbe comportare sanzioni e danni alla reputazione del marchio." 

Nella ISO / IEC 27017, alla estensione di 37 controlli derivanti da ISO 27002, si aggiungono sette nuovi controlli in modo che la certificazione possa:

• Fornire una guida sulla protezione della documentazione associata al servizio cloud
• Fornire chiarezza su come debba essere trattata la gestione del cambiamento nel rispetto del servizio cloud e come debba essere riportata al cliente
• Consentire a cliente e fornitore di raggiungere un accordo sulla condivisione e suddivisione delle responsabilità nei ruoli relativi alla sicurezza delle informazioni, delineando chiaramente i servizi cloud
• Assicurare che venga definito il processo attraverso il quale le attività vengono assegnate o rimosse dal cloud al momento dell’accordo/risoluzione del contratto tra cliente e fornitore
• Permettere al provider di gestire la questione della protezione e separazione dell’ambiente virtuale del cliente da quello di altri clienti e da soggetti esterni
• Permettere al cliente e fornitore di configurare le macchine virtuali per soddisfare le appieno le esigenze dell'organizzazione
• Attribuire da una parte le responsabilità in carico al cliente nel documentare e monitorare le operazioni amministrative e le procedure connesse con l'ambiente cloud e dall’altra i requisiti in carico ai CSP (Cloud Service Providers) per condividere le informazioni sulle operazioni e procedure critiche quando i clienti lo richiedono
• Assicurare che vengano costantemente effettuate configurazioni affinché l'ambiente di rete virtuale sia in linea con la politica di sicurezza delle informazioni della rete fisica

L'adozione della certificazione ISO/IEC 27017 da parte di fornitori di servizi cloud offrirà ai clienti una solida garanzia che i controlli di sicurezza soddisfano le esigenze e una conferma che la professionalità nel fornire un servizio cloud sicuro è di livello elevato.  

Clicca qui per maggiori informazioni.