ISO 27017 – jak skutecznie zabezpieczyć dane w chmurze?

Rosnące wykorzystanie usług chmurowych zmienia sposób, w jaki organizacje przechowują, przetwarzają i udostępniają dane. Elastyczność, skalowalność i dostępność chmury idą jednak w parze z nowymi wyzwaniami w obszarze bezpieczeństwa informacji. Tradycyjne podejście oparte wyłącznie na ogólnych zasadach bezpieczeństwa często nie wystarcza, ponieważ środowiska chmurowe rządzą się własną specyfiką – szczególnie w zakresie podziału odpowiedzialności między dostawcą a klientem.

Właśnie w tym obszarze zastosowanie znajduje ISO/IEC 27017, czyli zestaw wytycznych uzupełniających ISO 27001, skoncentrowany na bezpieczeństwie usług chmurowych. Standard ten porządkuje kwestie odpowiedzialności, wskazuje dobre praktyki zabezpieczeń oraz pomaga ograniczać ryzyka wynikające z korzystania z infrastruktury chmurowej.

ISO 27017 a ISO 27001 – czym się różnią i dlaczego to istotne?

ISO 27001 stanowi podstawę systemu zarządzania bezpieczeństwem informacji (Information Security Management System) i obejmuje całą organizację. ISO 27017 jest jego rozwinięciem, które koncentruje się wyłącznie na środowiskach chmurowych.

Najważniejszym elementem różnicującym oba standardy jest doprecyzowanie modelu współdzielonej odpowiedzialności. W chmurze część obowiązków związanych z bezpieczeństwem leży po stronie dostawcy usług, a część po stronie klienta. ISO 27017 pomaga jasno określić te granice, co zmniejsza ryzyko luk w zabezpieczeniach wynikających z niejednoznacznych podziałów obowiązków.

Ryzyka bezpieczeństwa w chmurze i kluczowe dobre praktyki

Korzystanie z modeli SaaS, PaaS i IaaS wiąże się z charakterystycznymi zagrożeniami, takimi jak błędne konfiguracje, nieautoryzowany dostęp, utrata kontroli nad danymi czy niewłaściwe zarządzanie uprawnieniami. ISO 27017 wskazuje zestaw rekomendowanych zabezpieczeń, które pomagają te ryzyka ograniczać. Należą do nich między innymi:

• precyzyjne zarządzanie dostępem i tożsamościami użytkowników,
• stosowanie szyfrowania danych zarówno w transmisji, jak i w spoczynku,
• jasne przypisanie odpowiedzialności za backupy i odzyskiwanie danych,
• monitorowanie i rejestrowanie aktywności w środowisku chmurowym.

Ważnym założeniem jest to, że bezpieczeństwo w chmurze nie jest odpowiedzialnością jednej strony – wymaga współpracy dostawcy i użytkownika usługi.

Wdrożenie standardu ISO 27017 i korzyści dla organizacji

ISO 27017 warto wdrożyć w organizacjach, które intensywnie korzystają z usług chmurowych lub same je świadczą. Standard może funkcjonować jako uzupełnienie istniejącego systemu ISO 27001, bez konieczności budowania całego systemu od nowa.

Do najważniejszych korzyści należą: zwiększenie poziomu bezpieczeństwa danych przetwarzanych w chmurze, lepsze zarządzanie ryzykiem operacyjnym i technologicznym, większa przejrzystość odpowiedzialności między stronami, wzrost zaufania klientów i partnerów biznesowych.

W efekcie ISO 27017 nie tylko wspiera bezpieczeństwo, ale również porządkuje procesy związane z korzystaniem z chmury, co przekłada się na większą stabilność i przewidywalność działania organizacji.