ISO/IEC 27017 – SEGURANÇA DA INFORMAÇÃO EM
SERVIÇOS DE NUVEM
O QUE É?
A ISO/IEC 27017 é uma norma internacional que fornece diretrizes e controles específicos
de segurança da informação para ambientes de computação em nuvem.
Ela complementa a ISO/IEC 27001 e a ISO/IEC 27002, adicionando orientações voltadas
para provedores e clientes de serviços em nuvem, esclarecendo responsabilidades
compartilhadas e fortalecendo a proteção de dados e ativos hospedados nesse ambiente.
A norma estabelece boas práticas para mitigar riscos associados à infraestrutura em
nuvem, como acessos não autorizados, vazamento de dados, falhas de isolamento entre
clientes e indisponibilidade de serviços.
PARA QUEM É APLICÁVEL?
A ISO/IEC 27017 é aplicável a:
● Provedores de serviços em nuvem (Cloud Service Providers – CSPs);
● Empresas que utilizam serviços em nuvem (Cloud Service Customers – CSCs);
● Organizações que desenvolvem, hospedam ou operam aplicações em nuvem;
● Empresas que desejam fortalecer a segurança de ambientes IaaS, PaaS ou SaaS.
É especialmente indicada para organizações que:
● Possuem infraestrutura crítica hospedada em nuvem;
● Precisam demonstrar segurança e confiabilidade aos clientes;
● Buscam maior clareza na divisão de responsabilidades entre cliente e provedor;
● Desejam reduzir riscos cibernéticos em ambientes compartilhados.
PRINCIPAIS BENEFÍCIOS
Clareza na Responsabilidade Compartilhada:cDefinição clara das obrigações de
segurança entre provedor e cliente.
Redução de Riscos em Nuvem:cControles específicos para mitigar ameaças típicas de
ambientes cloud.
Maior Confiança do Mercado: Demonstra compromisso com segurança e boas práticas
internacionais.
Proteção de Dados e Aplicações: Reforço de controles de acesso, segregação de
ambientes e monitoramento.
Alinhamento com ISO 27001: Integração natural ao Sistema de Gestão de Segurança da
Informação (SGSI).
Vantagem Competitiva: Diferencial estratégico para empresas que prestam ou utilizam
serviços em nuvem.
COMO A UNIDAS CONSULTORIA PODE AJUDAR?
A Unidas Consultoria pode apoiar sua organização na implementação da ISO/IEC 27017
por meio de:
Diagnóstico Inicial (Gap Analysis): Avaliação do ambiente de nuvem frente aos requisitos
da norma.
Mapeamento de Responsabilidades: Análise de contratos e definição clara do modelo de
responsabilidade compartilhada.
Adequação de Controles de Segurança: Implementação ou aprimoramento de controles
específicos para ambientes cloud.
Integração com ISO 27001: Alinhamento dos controles de nuvem ao SGSI existente.
Treinamento e Conscientização: Capacitação das equipes técnicas e de governança
sobre riscos em nuvem.
Auditoria Interna e Preparação para Certificação: Suporte completo para avaliação de
conformidade e preparação para auditorias externas.