I dati archiviate nel mondo, secondo International Data Corp, sarà nel 2025 pari a 175 zettabyte (simbolo ZB). 

1 ZB equivale a un miliardo di miliardi di Gigabyte.

Una mole di dati enorme prevalentemente archiviata nel cloud, attraverso il quale le organizzazioni di qualunque dimensione, risolvono i loro problemi di business continuity, disaster recovery, back up, dematerializzazione dei processi. 

La ISO/IEC 27017 risolve la prima preoccupazione, per chi utilizza servizi cloud, verificandone la piena sicurezza. 

“In realtà non esiste il cloud, è solo il computer di qualcun altro”

Un cambiamento di configurazione, una modifica del codice, un semplice errore umano possono produrre ripercussioni invasive sia per il provider che per il cliente.

I nuovi controlli introddotti dalla 27017

La 27017 e introduce controlli avanzati specifici per i servizi cloud, incrementando i 37 controlli previsti dalla ISO/IEC 27002 con 7 ulteriori elementi di verifica, pensati appositamente per il cloud service: 

1. Condivisione e suddivisione delle responsabilità in carico a fornitore e clienti, riguardo ai diversi ruoli di sicurezza
2. Rimozione o riconsegna degli assets alla cessazione di un contratto
3. Protezione e separazione degli ambienti virtuali dei diversi clienti
4. Configurazione delle Virtual Machine
5. Responsabilità del cliente nel documentare e monitorare procedure connesse con l’ambiente cloud 
6. Funzionalità di monitoraggio da parte del cliente delle attività all’interno dell’ambiente cloud
7. Configurazioni di allineamento dell’ambiente di rete virtuale con la policy di sicurezza della rete fisica

La ISO/IEC 27017, essendo una Linea guida, produce un’integrazione a un certificato ISO/IEC 27001 esistente.   

Se sei un cloud provider in questo mercato dominato da pochi big player non puoi non fare a meno della 27017.

Ti permette di avere le medesime certificazioni di giganti quali Google, differenziandoti rispetto ad altri cloud service provider più piccoli o meno accorti.

Aumentando trasparenza e credibilità, ispirerai maggior fiducia offrendo maggiori garanzie sulla sicurezza di dati e informazioni gestiti da te.

Inoltre in caso di ispezioni del Garante per la Privacy o di DataBreach, la certificazione proteggerà la reputazione del tuo brand, riducendo il rischio di un ritorno d’immagine negativo.

Infine ti aiuta a far crescere il tuo business agevolandoti  in fase di accreditamento come fornitore di player di primaria importanza.

Ambiguità dei ruoli: La definizione di ruoli e responsabilità è cruciale relativamente a controllo degli accessi e manutenzione delle infrastrutture, per evitare controversie commerciali e legali. 

Proprietà degli Assets. Lo standarsd suggerisce che ci sia un inventario degli assets memorizzati e definisce i parametri per la loro eliminazione sicura.

Crittografia: È presente anche una linea guida relativa alla crittografia, la cui responsabilità ricade congiuntamente su provider e cliente.  Entrambe le parti devono garantirsi reciprocamente sulla sicurezza della rete e sulla compatibilità dei due sistemi.

Errore Umano: Il punto debole di un sistema sovente è il fattore umano. Lo standard delega al fornitore le responsabilità di formazione e informazione, affinchè venga creato il necessario grado di consapevolezza.