Requisitos de Segurança para Provedores de Serviços em Nuvem de Acordo com a Norma ISO 27017

Abstract

Com a ocorrência do fenômeno big data, surge a necessidade de tecnologia e infraestrutura adequada para suportar esse novo cenário. Neste contexto, os serviços em nuvem atendem essa demanda, porém requerem controles de segurança específicos devido a forma em que os recursos computacionais são tecnicamente concebidos, utilizados e gerenciados. O presente artigo trata-se de um estudo da norma ISO/IEC 27017:2016 com o objetivo de apresentar de maneira direta e objetiva, os requisitos de segurança referentes aos temas: definição de papéis e responsabilidades, controle de acesso e armazenamento dos dados, destinados aos provedores dos serviços em nuvem, conforme as recomendações desta norma. Trata-se de uma pesquisa bibliográfica, de abordagem qualitativa e de caráter exploratório. Para selecionar os temas da norma a serem abordados neste estudo, estes foram analisados considerando a relevância, independente da situação e do propósito de uso dos serviços em nuvem. Foi possível concluir que o tratamento da ambiguidade das responsabilidades e papéis, e a definição das responsabilidades compartilhadas permeiam outros requisitos apresentados e precisam ser abordados com atenção, e que o quadro apresentado neste estudo possibilita um entendimento rápido para aplicação dos requisitos, porém requer adicionalmente avaliações técnicas para operacionalizá-las.

With the occurrence of the big data phenomenon, the need for technology and adequate infrastructure to support this new scenario. In this context, cloud services meet this demand, but require specific security controls because of the way in which computing resources are technically designed, used, and managed. The present article deals with a study of ISO / IEC 27017: 2016 with the objective of presenting in a direct and objective way, the safety requirements related to the themes: definition of roles and responsibilities, access control and data storage, For cloud service providers, in accordance with the recommendations of this standard. This is a bibliographical research, with a qualitative and exploratory approach. In order to select the themes of the standard to be addressed in this study, these were analyzed considering the relevance, regardless of the situation and the purpose of using the cloud services. It was possible to conclude that the treatment of the ambiguity of responsibilities and roles, and the definition of shared responsibilities permeate other requirements presented and need to be approached with attention, and that the table presented in this study allows a fast understanding for application of the requirements, Techniques to operationalize them.