Il cloud è diventato l'infrastruttura portante di quasi ogni organizzazione moderna, ma ha introdotto sfide di sicurezza e privacy che la ISO/IEC 27001 tradizionale non affronta in modo sufficientemente specifico. Quando i tuoi dati non risiedono più nei server della tua sala macchine ma sono distribuiti in datacenter gestiti da terzi, spesso in Paesi diversi, con modelli basati sulla condivisione delle risorse, il perimetro di sicurezza tradizionale semplicemente non esiste più. La ISO/IEC 27017 e la ISO/IEC 27018 sono la risposta a questa realtà: due norme complementari per la sicurezza dei servizi cloud e per la protezione dei dati personali nel cloud pubblico.
Cloud security: perché servono standard specifici
La ISO/IEC 27001 è eccellente e universalmente applicabile, ma la sua generalità è anche il suo limite nel cloud. Il cloud ha caratteristiche strutturali che generano rischi specifici che i controlli generici dell'Annex A non indirizzano in modo sufficientemente granulare.
Il modello di responsabilità condivisa è il concetto più importante: in un servizio IaaS il provider è responsabile della sicurezza dell'infrastruttura, mentre il cliente è responsabile di tutto ciò che costruisce sopra. In un servizio SaaS, il provider gestisce quasi tutto e il cliente controlla principalmente le identità e i dati. Questa condivisione crea zone grigie in cui, senza un framework esplicito, è facile che nessuno si preoccupi di certi aspetti.
Poi c'è la multitenancy: i servizi cloud pubblici ospitano dati di centinaia di organizzazioni sulle stesse infrastrutture fisiche. La segregazione tra tenant deve essere garantita sia a livello tecnico (hypervisor isolation, network segmentation, storage isolation) che procedurale. Infine, la portabilità e la reversibilità dei dati: un cliente che vuole cambiare provider deve poter recuperare i propri dati in un formato utilizzabile e verificare che il provider precedente li abbia cancellati definitivamente.
Le ISO/IEC 27017 e 27018 colmano questi gap con controlli specificamente progettati per il contesto cloud, complementari — non sostitutivi — a quelli della 27001.
ISO 27017: controlli di sicurezza per i servizi cloud
La ISO/IEC 27017:2015 fornisce linee guida per i controlli di sicurezza applicabili ai servizi cloud. Si struttura come estensione della ISO/IEC 27002: per ciascun controllo rilevante per il cloud, aggiunge indicazioni specifiche distinte per il cloud service provider (CSP) e per il cloud service customer (CSC). Aggiunge inoltre 7 controlli nuovi, non presenti nella 27002, che affrontano temi esclusivamente cloud.
I 7 controlli aggiuntivi specifici della 27017:
- Ruoli e responsabilità condivisi (CLD.6.3.1): CSP e CSC documentano esplicitamente la divisione delle responsabilità di sicurezza per ciascun servizio nel contratto di servizio.
- Rimozione e restituzione degli asset del cliente (CLD.8.1.5): il provider ha processi documentati per restituire i dati in formato fruibile e eliminarli definitivamente alla cessazione del contratto.
- Separazione dell'ambiente virtuale (CLD.9.5.1): il provider garantisce la separazione degli ambienti dei diversi clienti, prevenendo interferenze tra tenant.
- Hardening delle macchine virtuali (CLD.9.5.2): le immagini di base messe a disposizione dei clienti devono essere configurate in modo sicuro prima del rilascio.
- Procedure operative per l'infrastruttura cloud (CLD.12.1.5): il provider documenta le procedure di gestione, con attenzione ai change che impattano la sicurezza dei clienti.
- Monitoraggio dei servizi cloud (CLD.12.4.5): il provider fornisce strumenti che consentono ai clienti di monitorare le attività nei propri ambienti e raccogliere log rilevanti.
- Allineamento della gestione degli incidenti (CLD.13.1.4): il provider coordina le proprie procedure di incident management con i clienti, assicurando comunicazione tempestiva sugli incidenti che li impattano.
ISO 27018: protezione dei dati personali nel cloud
La ISO/IEC 27018:2019 si concentra sulla protezione dei dati personali (PII) nei servizi di cloud pubblico. È pensata primariamente per i cloud service provider che elaborano dati personali per conto dei propri clienti — la figura del responsabile del trattamento ai sensi del GDPR.
I principi fondamentali della 27018:
Consenso e controllo: i dati personali dei clienti possono essere utilizzati dal CSP solo per le finalità concordate nel contratto. Il CSP non può usarli per scopi propri — analisi di marketing o addestramento di modelli AI — senza consenso esplicito.
Minimizzazione e limitazione della finalità: il CSP raccoglie e conserva solo i dati strettamente necessari per l'erogazione del servizio.
Trasparenza: il CSP pubblica le proprie politiche di gestione dei dati in modo chiaro e accessibile, comunicando tempestivamente ai clienti qualsiasi modifica significativa.
Responsabilità: il CSP designa un responsabile interno per la protezione delle PII e mantiene registrazioni che consentono di verificare la conformità agli impegni assunti.
La 27018 include anche controlli specifici per: gestione dei subappaltatori che trattano PII, notifica delle violazioni di dati ai clienti, supporto per i diritti degli interessati GDPR (accesso, rettifica, cancellazione), e trasferimenti di PII verso Paesi terzi.
Relazione con ISO 27001 e implementazione integrata
Le ISO/IEC 27017 e 27018 non sono norme autonome: si innestano sulla struttura della ISO/IEC 27001 come estensioni specifiche per il contesto cloud. Non esiste un certificato ISO 27017 autonomo: la norma viene certificata nell'ambito della certificazione 27001.
Il percorso tipico per la certificazione integrata 27001 + 27017 + 27018:
- Implementare l'ISMS conforme alla ISO/IEC 27001, includendo nell'ambito i servizi cloud erogati o utilizzati.
- Estendere l'analisi dei controlli per includere quelli specifici della 27017 (sicurezza cloud) e 27018 (protezione PII nel cloud).
- Aggiornare lo Statement of Applicability (SoA) per includere i controlli specifici delle due norme di estensione.
- Condurre l'audit di certificazione in modo integrato, con auditor che abbiano competenze specifiche in sicurezza cloud.
Se l'organizzazione tratta dati personali in modo significativo, la ISO/IEC 27701 (PIMS) è un ulteriore layer da aggiungere. La sovrapposizione tra 27018 e 27701 è significativa: entrambe affrontano la protezione delle PII nel cloud, ma con angolature diverse. La 27018 si focalizza sui controlli tecnici e operativi specifici del cloud; la 27701 fornisce il framework di sistema di gestione della privacy con mapping esplicito al GDPR. Usarle insieme è la soluzione più completa per un cloud provider che voglia dimostrare il massimo livello di attenzione alla privacy.
CSA STAR e SOC 2: il quadro completo delle certificazioni cloud
ISO 27017 e 27018 non sono le uniche certificazioni rilevanti per i cloud provider. Per avere un quadro completo è utile conoscere anche CSA STAR e SOC 2, che operano in ambiti parzialmente sovrapposti ma con approcci diversi.
CSA STAR (Security Trust Assurance and Risk): è il programma di certificazione della Cloud Security Alliance specificamente progettato per i cloud provider. Si articola su tre livelli: STAR Level 1 (auto-dichiarazione tramite il Consensus Assessments Initiative Questionnaire), STAR Level 2 (audit di terza parte basato su ISO 27001 + i controlli CCM della CSA), STAR Level 3 (monitoraggio continuo). Il CSA STAR Level 2 è di fatto un'alternativa o un complemento alla certificazione ISO 27017, con una forte attenzione ai controlli specifici del cloud. I principali hyperscaler hanno ottenuto entrambe le certificazioni.
SOC 2 (Service Organization Control 2): è un framework di attestazione sviluppato dall'AICPA (American Institute of CPAs) e molto diffuso nel mercato nordamericano. Si basa sui Trust Service Criteria (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy) e produce un report di attestazione piuttosto che un certificato. SOC 2 Type II — che copre un periodo di osservazione tipicamente di 6-12 mesi — è spesso richiesto da clienti enterprise americani come evidenza di controlli di sicurezza efficaci nel tempo.
La differenza principale è che ISO 27017/27018 producono un certificato con validità internazionale, mentre SOC 2 produce un report di attestazione più dettagliato ma con riconoscimento prevalentemente nel mercato nordamericano. Per un cloud provider che serve clienti sia europei che americani, avere entrambi è la soluzione ottimale.
FAQ
Posso certificarmi ISO 27017 senza la ISO 27001?
No. La ISO/IEC 27017 è un'estensione della 27002 e si certifica nell'ambito della certificazione 27001. Il prerequisito è avere o implementare contestualmente un ISMS conforme alla 27001.
La certificazione ISO 27017/27018 è rilevante solo per i provider o anche per i clienti cloud?
È rilevante per entrambi, ma con importanza maggiore per i provider. I clienti cloud beneficiano indirettamente della certificazione del proprio provider e possono usare le norme come guida per le proprie responsabilità nel modello condiviso. La certificazione formale viene tipicamente ottenuta dai provider.
I grandi provider cloud sono certificati 27017 e 27018?
Sì, i principali hyperscaler (AWS, Azure, Google Cloud) hanno ottenuto certificazioni su entrambe le norme, con ambiti che variano per servizio e area geografica. La certificazione del hyperscaler non copre automaticamente le responsabilità che spettano al cliente nel modello di responsabilità condivisa.
ISO 27017 e 27018 sono obbligatorie per le aziende soggette a NIS2?
Non direttamente: la NIS2 non le cita esplicitamente. Tuttavia, per le organizzazioni soggette alla direttiva che usano servizi cloud per processi critici, le due norme forniscono i controlli specifici per gestire i rischi cloud in modo strutturato — esattamente ciò che la NIS2 richiede in termini di misure tecniche e organizzative appropriate.