ISO 27017: la certificazione dedicata al cloud

Al giorno d’oggi, quando si parla di cloud computing è difficile trovare un interlocutore che non conosca questa tecnologia. I servizi cloud hanno oramai permeato la nostra attività lavorativa e privata: spazi di archiviazione, software gestionali, ambienti di sviluppo, software di produttività individuali, ecc.

In qualità di servizi ITC, però, questi strumenti si caratterizzano nella maggior parte dei casi nell’esternalizzazione a soggetti terzi che si occupano dell’erogazione, della gestione e della relativa manutenzione.

È chiaro che in un’ottica di sicurezza informatica, nel momento in cui un’organizzazione condivide informazioni con l’esterno, si rileva la necessità di disciplinare al meglio le responsabilità legate alla sicurezza delle informazioni trattate e dei sistemi utilizzati.

È in questo scenario che si inserisce lo standard ISO/IEC 27017:2015: Raccolta di prassi sui controlli per la sicurezza delle informazioni per i servizi in cloud basata sulla ISO/IEC 27002.

La norma include delle linee guida specifiche sul cloud che si fondano su 37 controlli ripresi dalla ISO 27002:2013 (si ricorda che la ISO 27002 è stata aggiornata a febbraio scorso; cfr. ISO/IEC 27002: cosa cambia nel nuovo standard (mondo27001.it)), ai quali si aggiungono 7 ulteriori controlli.

Trattandosi di linee guida, una delle caratteristiche principali riguarda le modalità di certificazione: la ISO 27017, infatti, non è una norma certificabile, ma si configura come un’estensione della ISO 27001. Pertanto, un’organizzazione che desideri aderire a questo standard, dovrà comunque essere in possesso di un certificato ISO 27001 o dovrà includere nella certificazione entrambe le norme.

Struttura della ISO 27017

Un’ulteriore particolarità della norma consiste nella platea dei destinatari a cui è rivolta: nello specifico, i controlli di sicurezza si applicano sia ai cloud services provider sia ai cloud services customer, sottolineando come sia essenziale creare una sinergia tra i due attori nella corretta implementazione e gestione dei servizi cloud.

In particolare, i controlli richiedono di disciplinare al meglio i processi di gestione dell’information security, stabilendo quali sono i rispettivi ruoli e responsabilità.

Da un punto di vista pratico, i clienti dei servizi cloud dovranno assicurarsi che i contratti in essere includano tutti gli elementi necessari per avere un servizio con adeguati livelli di sicurezza, mentre i provider dovranno implementare policy e procedure per garantire ai clienti completa trasparenza dei processi e supporto in caso di problematiche.

Esaminiamo di seguito alcuni dei controlli aggiuntivi introdotti:

• 6.3.1: L’accordo sulla assegnazione delle responsabilità (condivisione o suddivisione) in carico a cliente e fornitore, riguardo ai diversi ruoli di sicurezza di informazione associati ai servizi cloud, deve essere definito, registrato e comunicato in modo chiaro.

Sul punto, infatti, è imprescindibile identificare quali attività sono ricomprese nel contratto cloud. Pensate alle possibili conseguenze se entrambe le parti pensassero che sia l’altra ad occuparsi di backup, aggiornamenti, manutenzione, controlli dei log di accesso, ripristino, ecc.

• 8.1.5: Indica le modalità attraverso le quali gli asset devono essere riconsegnati o rimossi dal cloud quando termina il contratto/accordo tra cliente e provider.

In ottica di rimozione e cancellazione sicura delle informazioni, occorre regolamentare le modalità e i tempi di restituzione e/o cancellazione degli asset, al fine di evitare risvolti negativi in caso di cessazione del contratto in essere.

• 9.5.2: Il cliente e il provider devono garantire che le macchine virtuali siano configurate e rinforzate per rispondere alle esigenze dell’organizzazione.

Tale controllo si inserisce sempre nell’ottica di disciplinare i rispettivi compiti e responsabilità, tenendo conto le istruzioni e le esigenze del cliente.

• 12.4.5: Come le funzionalità del provider consentono al cliente di monitorare l’attività all’interno di un ambiente cloud computing.

Il provider deve garantire al cliente la possibilità di monitorare alcuni aspetti specifici dell’ambiente cloud a lui dedicato, stabilendo allo stesso tempo un controllo degli accessi restrittivo, al fine di evitare che un cliente possa avere accesso alle informazioni di un altro soggetto.

È doveroso precisare, inoltre, che, alla luce della recente revisione della ISO 27002, ci si aspetta da parte del Comitato un aggiornamento dei controlli, garantendo l’allineamento della ISO 27017 con la recente versione della ISO 27002.

ISO/IEC 27002: cosa cambia nel nuovo standard

I vantaggi della certificazione

Vediamo insieme quali sono i possibili vantaggi per un’organizzazione che decida di aderire a questo standard internazionale:

• Contenimento e riduzione dei rischi
• Aumento della competitività sul mercato
• Rafforzamento della fiducia nei confronti dei clienti
• Maggiore attenzione alla conformità legale

A chi è rivolta?

Se siete un’organizzazione che sta valutando se aderire o meno alla ISO 27017 dovreste sapere che:

• La norma ISO 27017 è un’estensione della ISO 27001. Pertanto, occorre verificare che il campo di applicazione del vostro Sistema di Gestione sulla Sicurezza delle Informazioni includa servizi cloud.
• Inoltre, è bene distinguere se i servizi i cloud vengano erogati in qualità di provider nei confronti dei vostri clienti e/o se siano fruiti in qualità di cliente.
• A seconda di quanto sopra applicabile, infatti, potrebbe essere più conveniente o meno aderire a questo standard. Ad esempio, se la vostra azienda offre servizi in cloud in qualità di provider, è sicuramente consigliabile riflettere sulla certificazione per i motivi che abbiamo definito sopra.

Se, al contrario, foste solo utilizzatori di servizi cloud, i vantaggi di una certificazione ISO 27017 potrebbero essere più limitati. Da un punto di vista consulenziale, la scriminante consiste nell’attività di business dell’azienda: se utilizziamo servizi cloud per erogare prodotti o ulteriori servizi ai nostri clienti, allora possiamo prendere in considerazione questo standard per avere maggiore competitività sul mercato.

La certificazione dovrebbe essere considerata anche nel caso in cui si partecipa a bandi pubblici: sempre più spesso, infatti, le Pubbliche Amministrazione includono il possesso di certificazioni come requisito essenziale per la partecipazione alle gare.

Basti pensare, infine, che AgID ha stabilito con due circolari del 09 aprile 2018 che i cloud service provider dovranno essere certificati ISO 27001 con estensioni ISO 27017 e ISO 27018 per poter essere inseriti nel Marketplace Cloud delle Pubbliche Amministrazioni, divenuto strumento di uso obbligatorio a partire dal 01 aprile 2019.

Di conseguenza, se ad oggi si vogliono offrire servizi ITC in cloud a una qualsiasi Pubblica Amministrazione, occorre procedere con la qualificazione iniziale sulla piattaforma AgID, conformandosi a una serie di requisiti cogenti, compresa la necessità di aver ottenuto le certificazioni ISO 27001, ISO 27017 e ISO 27018.