Norma ISO/IEC 27017 (protección de datos personales en la nube)

2
Contenido
I.Introducción.............................................................................................................3
II.¿Qué es la ISO/27017?.............................................................................................4
III.Seguridad en la Provisión de Servicios en la Nube............................................5
3.1. Responsabilidades Claras....................................................................................5
3.2. Implementación de Controles de Seguridad......................................................5
IV.Gestión de Incidentes de Seguridad.......................................................................6
4.1. Detección y Respuesta Rápida.............................................................................6
4.2. Evaluación y Comunicación de Incidentes..........................................................6
V.Protección de Datos en la Nube..............................................................................7
5.1. Encriptación de Datos..........................................................................................7
5.2. Accesos Restringidos............................................................................................7
VI.Controles de Seguridad Específicos para la Nube..............................................8
6.1 Compartición de Responsabilidades.....................................................................8
6.2 Monitorización de Actividades..............................................................................8
VII.Cumplimiento y Auditoría...................................................................................9
7.1 Revisiones Regulares............................................................................................9
7.2 Certificación de Cumplimiento.............................................................................9
VIII.Beneficios de Implementar la ISO/27017.........................................................10
8.1 Confianza Mejorada............................................................................................10
8.2 Cumplimiento con Regulaciones........................................................................10
8.3 Mejora Continua.................................................................................................10
IX.Conclusión..........................................................................................................11
X.REFERENCIAS BIBLIOGRÁFICAS ...................................................................12
2

3
I. Introducción
En un mundo cada vez más digitalizado, donde los datos personales y empresariales son
cruciales para el funcionamiento de las organizaciones, la seguridad de la información se
convierte en una prioridad. Entre las numerosas normativas que existen para garantizar la
protección de los datos, la ISO/27017 destaca como un estándar de seguridad específico para la
protección de la información en la nube. Este monólogo tiene como objetivo desglosar la
funcionalidad de la ISO/27017 y explicar sus elementos clave de manera clara y accesible, para
que el lector comprenda su importancia y cómo se aplica en el contexto de la seguridad en la
nube.
3

4
II. ¿Qué es la ISO/27017?
La ISO/27017 es una extensión de la ISO/27001, que establece un sistema de gestión de
seguridad de la información (SGSI). Mientras que la ISO/27001 se enfoca en la gestión general
de la seguridad de la información, la ISO/27017 se concentra específicamente en las prácticas de
seguridad en la nube, ofreciendo un marco para la protección de la información en entornos de
nube pública y privada.
Este estándar define las buenas prácticas y controles de seguridad específicos que deben
aplicarse tanto por los proveedores de servicios en la nube como por los clientes que usan esos
servicios. Al implementar la ISO/27017, las organizaciones pueden asegurarse de que sus datos
en la nube estén protegidos contra accesos no autorizados, pérdida de datos, fallos técnicos, y
otros riesgos asociados.
4

5
III. Seguridad en la Provisión de Servicios en la Nube
Uno de los pilares fundamentales de la ISO/27017 es la seguridad en la provisión de servicios en
la nube. Este principio establece que tanto los proveedores como los clientes deben adoptar
medidas de seguridad proactivas para asegurar que los datos almacenados y procesados en la
nube estén debidamente protegidos.
3.1. Responsabilidades Claras
Es esencial que exista una distribución clara de las responsabilidades entre los proveedores de
servicios en la nube y los usuarios. En muchas ocasiones, el proveedor controla ciertos aspectos
de la infraestructura, pero el usuario tiene control sobre la configuración de las aplicaciones y la
gestión de accesos. La ISO/27017 sugiere que ambas partes definan claramente sus
responsabilidades en términos de protección de datos.
3.2. Implementación de Controles de Seguridad
Los proveedores deben implementar controles físicos, técnicos y administrativos para proteger
las instalaciones donde se aloja la infraestructura de nube, como los centros de datos. A su vez,
los usuarios deben aplicar controles de acceso, encriptación de datos y procedimientos de
autenticación robustos.
5

6
IV. Gestión de Incidentes de Seguridad
Otro aspecto esencial de la ISO/27017 es la gestión de incidentes de seguridad. Cuando un
incidente afecta la seguridad de la información, es crucial contar con un protocolo claro de
actuación para mitigar los efectos del incidente y garantizar una recuperación eficiente.
4.1. Detección y Respuesta Rápida
El estándar establece que tanto los proveedores de servicios en la nube como los usuarios deben
contar con sistemas para la detección temprana de incidentes, y disponer de procedimientos para
responder de manera rápida y eficaz. Esto incluye desde la identificación de accesos no
autorizados hasta la mitigación de ataques de denegación de servicio (DDoS).
4.2. Evaluación y Comunicación de Incidentes
Una vez detectado un incidente, es vital que las partes involucradas lo comuniquen de inmediato
a los usuarios afectados. La ISO/27017 promueve la transparencia en estos casos, garantizando
que los clientes reciban la información necesaria para entender el impacto y las acciones
correctivas implementadas.
6

7
V. Protección de Datos en la Nube
La protección de datos es una de las preocupaciones más grandes de las organizaciones al
migrar a la nube. En este contexto, la ISO/27017 proporciona una serie de recomendaciones que
buscan garantizar la confidencialidad, integridad y disponibilidad de los datos.
5.1. Encriptación de Datos
Uno de los controles más recomendados es la encriptación de los datos, tanto en tránsito como
en reposo. De esta forma, incluso si los datos son interceptados, no podrán ser leídos sin la clave
adecuada. La ISO/27017 subraya que las organizaciones deben asegurarse de que sus datos estén
adecuadamente cifrados, utilizando algoritmos de encriptación de alto nivel.
5.2. Accesos Restringidos
El control de accesos es otro componente crítico. Solo las personas autorizadas deben tener
acceso a los datos en la nube. Esto implica implementar políticas estrictas de autenticación y
autorización para prevenir accesos no autorizados. Además, las políticas deben ser revisadas y
actualizadas regularmente para adaptarse a nuevos riesgos.
7

8
VI. Controles de Seguridad Específicos para la Nube
Uno de los aspectos diferenciadores de la ISO/27017 frente a otras normas de seguridad es su
énfasis en los controles específicos para la nube. Estos controles son relevantes tanto para los
proveedores de servicios en la nube como para los clientes, ya que abordan los riesgos
particulares que surgen al almacenar datos en plataformas de nube pública.
6.1 Compartición de Responsabilidades
La nube introduce un modelo de "responsabilidad compartida", en el que tanto el proveedor de
servicios en la nube como el cliente tienen responsabilidades sobre la seguridad. La ISO/27017
subraya que, para cada tipo de servicio (IaaS, PaaS, SaaS), se deben definir claramente las
responsabilidades en términos de seguridad, lo que permite evitar solapamientos o lagunas en la
protección.
6.2 Monitorización de Actividades
Otro control fundamental es la monitorización de las actividades dentro de la infraestructura de
la nube. Esto incluye la supervisión de accesos, la revisión de registros (logs) y la detección de
patrones anómalos que puedan indicar una posible brecha de seguridad. Los proveedores de
servicios en la nube deben ofrecer herramientas de monitorización que permitan a los clientes
auditar el uso de sus recursos.
8

9
VII. Cumplimiento y Auditoría
La auditoría y el cumplimiento normativo son elementos esenciales en la implementación de
la ISO/27017. Las organizaciones deben garantizar que las políticas y controles establecidos
estén siendo aplicados correctamente.
7.1 Revisiones Regulares
La ISO/27017 recomienda que tanto los proveedores como los clientes realicen auditorías
regulares para verificar que los controles de seguridad estén siendo cumplidos. Esto incluye la
revisión de procedimientos, la evaluación de vulnerabilidades y la actualización de protocolos
para enfrentar nuevos riesgos.
7.2 Certificación de Cumplimiento
Las empresas que implementan la ISO/27017 pueden obtener una certificación que acredite su
cumplimiento con las normas de seguridad en la nube. Esta certificación es una manera de
demostrar a sus clientes que están comprometidos con la protección de la información y que
cumplen con los estándares internacionales de seguridad.
9

10
VIII. Beneficios de Implementar la ISO/27017
La adopción de la ISO/27017 no solo mejora la seguridad, sino que también aporta múltiples
beneficios a las organizaciones:
8.1 Confianza Mejorada
La implementación de un sistema de seguridad robusto aumenta la confianza de los clientes en
la capacidad de la organización para proteger sus datos. Esto es crucial en un entorno donde las
brechas de seguridad pueden dañar significativamente la reputación de una empresa.
8.2 Cumplimiento con Regulaciones
El cumplimiento con la ISO/27017 también facilita el cumplimiento de otras regulaciones de
seguridad de datos, como el Reglamento General de Protección de Datos (GDPR). Esto
permite a las organizaciones cumplir con los requisitos legales y evitar sanciones.
8.3 Mejora Continua
La ISO/27017 promueve la mejora continua en la gestión de la seguridad de la información. Las
auditorías y las revisiones periódicas permiten identificar áreas de mejora, adaptarse a nuevas
amenazas y actualizar los controles de manera eficiente.
10

11
IX. Conclusión
La implementación de la ISO/27017 es una medida fundamental para las organizaciones que
utilizan servicios en la nube y desean garantizar la seguridad de sus datos. A través de la
adopción de buenas prácticas y controles específicos para la nube, tanto los proveedores como
los usuarios pueden trabajar juntos para mitigar riesgos y proteger la información. En un mundo
digital cada vez más interconectado, la seguridad de la información no es solo una
responsabilidad técnica, sino también un compromiso con la confianza y el cumplimiento
normativo.
La ISO/27017, al ser un estándar claro y estructurado, ofrece a las organizaciones una base sólida
sobre la cual pueden construir sus políticas y procedimientos de seguridad, asegurando que los
servicios en la nube sean una opción segura, confiable y alineada con las mejores prácticas
internacionales.
11

12
X. Referencias Bibliográficas
Globalsuite. (19 de septiembre del 2023) información: iso/27017.
https://www.globalsuitesolutions.com/es/que-es-iso-27017/
IT Governance. (23 de julio del 2025) normas: iso/27017.
https://www.itgovernance.co.uk/blog/what-are-iso-27017-and-iso-27018-and-what-are-their-
controls
12