La certificazione e la formazione relativa allo standard ISO/IEC 27017 (Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services) è stata introdotta tra le attività fornite da BSI, ente di normazione, certificazione e formazione.
Lo standard aiuta a fornire la garanzia che i dati memorizzati e trattati nel cloud siano sicuri. La sicurezza del cloud è un aspetto molto delicato per tutti i soggetti che si apprestano a fare una scelta tra questa soluzione in alternativa ad una interna all’organizzazione. Certificazione e formazione ISO/IEC 27017 sono due strumenti che forniscono la garanzia che il sistema del provider di servizi cloud sia altrettanto sicuro quanto i sistemi informatici interni.
L’avvento del cloud computing e la sua rapida adozione da parte di organizzazioni di tutte le dimensioni e tipologie costituiscono una nuova sfida per le norme presenti negli standard della serie ISO/IEC 27000 (dedicato alla sicurezza delle informazioni). La caratteristica del cloud computing è il coinvolgimento di due attori: il fornitore di servizi di cloud e il cliente di servizi cloud.
ISO/IEC 27017 stabilisce le linee guida per gli aspetti di sicurezza delle informazioni del cloud computing, fornendo consigli e assistenza nell’esecuzione dei controlli specifici in ambito cloud: queste integrano le linee guida presenti nella norma ISO/IEC 27002 e negli altri standard della serie ISO/IEC 27000.
Elaine Munro, Head of Portfolio Management presso BSI afferma: “ISO/IEC 27017 definisce ruoli e responsabilità sui controlli di sicurezza suddividendoli tra cliente e fornitore di servizi cloud. Applicare le linee guida è un importante contributo per entrambe le parti che possono inoltre ricevere ulteriore sostegno adottando la certificazione o effettuando formazione sullo standard stesso attraverso diversi moduli, l’ultimo dei quali si occupa di audit ai sensi della ISO/IEC 27017. Tra i benefici per gli utenti vi è una maggiore garanzia, per clienti e stakeholder, che i dati presenti in cloud siano ben protetti; la dimostrazione della presenza di severi controlli di protezione dei dati costituisce un notevole vantaggio competitivo perché riduce la possibilità di una violazione dei dati che potrebbe comportare sanzioni e danni alla reputazione del marchio“.
