Planes de auditoria y buenas practicas para entornos cloud computing y bring your own device

MÁSTER UNIVERSITARIO EN SEGURIDAD DE LAS
TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES
TRABAJO FIN DE MÁSTER
PLANES DE AUDITORÍA Y BUENAS PRÁCTICAS
PARA ENTORNOS CLOUD COMPUTING Y
BRING YOUR OWN DEVICE
FERNANDO GALINDO MERINO
GUILLERMO MARTÍN VIDAL
BEATRIZ PUERTA HOYAS
UMBERTO FRANCESCO SCHIAVO
CURSO 2012-2013

Agradecimientos
Nos gustaría en estas líneas expresar un agradecimiento a todas aquellas personas que
nos han ayudado en la realización de este proyecto y que han colaborado de manera
activa con nuevas ideas y/o aportando documentación e información de interés para el
mismo. Sin su ayuda, la realización del proyecto hubiera sido mucho más difícil.
Queremos expresar un especial reconocimiento a Pilar Santamaría, directora de este
proyecto, por el interés que ha mostrado en todo momento, dándonos sugerencias y
ánimos para terminar el trabajo.
Y, por supuesto, mencionar a nuestros compañeros de Máster que, gracias a sus ánimos,
todo ha resultado más sencillo.
¡Gracias a todos por vuestro apoyo!

Resumen
El concepto de Cloud Computing se remonta a los años cincuenta cuando se utilizaban
servidores “mainframe” de los que dependían terminales muy simples sin apenas
capacidad de cómputo. Sin embargo, es actualmente cuando muestra un mayor auge
empresarial. Un proceso similar sucede con Bring Your Own Device, los empleados han
estado utilizando algunos recursos propios desde varios años atrás, pero ahora es común
encontrarlo en gran número de empresas y negocios. Observando en el pasado y en el
presente, se puede extraer que la tecnología evoluciona y las personas con ella.
Es conveniente emplear una manera inteligente de pensar, en vez de rehuir de una
tecnología de vanguardia, que se está instaurando cada vez con más fuerza en la
sociedad actual. Para ello, se deben afrontar las posibles dificultades que puedan surgir
al implantar una tecnología de esta envergadura en una empresa, especialmente en lo
referido al ámbito de seguridad.
En este trabajo se estudian las dos tecnologías propuestas haciendo uso de los
principales estándares y marcos de referencia de los Sistemas de la Información. Se
identifican los principales riesgos de ambos entornos y se desarrolla un plan de auditoría
para cada uno de ellos con el fin de facilitar un posible proceso de auditoría sobre dichas
tecnologías.
Para valorar la eficacia de los controles desarrollados en los planes de auditoría
propuestos, se procede a su comparación con otros estándares (COBIT 4.1, ITIL v3,
ISO/IEC 27002:2005, NIST SP 800-53 Revisión 3 y los 20 Controles Críticos de Seguridad
propuestos por SANS Institute para el año 2013) y, de esta forma, localizar los puntos
fuertes y débiles de los planes de auditoría propuestos. Además, con este método, se
establece una clara relación entre los diferentes controles y dominios, obteniéndose una
interesante comparativa con gran utilidad para todas aquellas empresas o instituciones
que deseen auditar sus entornos Cloud Computing y Bring Your Own Device, puesto que
podrán adaptar fácilmente los planes de auditoría a sus tecnologías e infraestructuras,
pudiendo seleccionar aquellas áreas y controles que mejor se adapten a sus entornos
corporativos.

Abstract
Cloud Computing concept dates back to the fifties when mainframe servers were used
with simple terminals with barely computing capacity. However, nowadays it has a
higher business boom. A similar process happens with Bring Your Own Device, employees
have been using their own devices for several years, but it is now commonly found in
many companies and businesses. Noting in the past and in the present, you can see how
technology evolves and people with it.
It is convenient to use a smart way of thinking, rather than giving up from a cutting-edge
technology which is being established with an increasing force in today's society. To
achieve this goal, we must deal with possible difficulties that may arise when
implementing this technology with such an impact in the company, especially regarding
to the security field.
In this paper, the two proposed technologies are studied using key standards and
frameworks of Information Technology Systems. The main risks of both environments are
identified and two audit frameworks (one for each) are developed in order to facilitate a
possible audit processes regarding such technologies.
To assess the effectiveness of the developed controls in the proposed frameworks,
controls are mapped with the main Information Technology Systems standards and
frameworks such as COBIT 4.1, ITIL v3, ISO / IEC 27002:2005, NIST SP 800-53 Revision 3
and the 20 Critical Controls proposed by SANS Security Institute in 2013. This process
allows us to locate the strengths and weaknesses of the proposed frameworks.
Moreover, with this methodology, there is a clear relationship between the identified
controls and domains, obtaining an interesting comparative focused on being useful for
those companies or institutions wishing to audit their Cloud Computing and Bring Your
Own Device environments. They will be easily able to customize their frameworks
according to their infrastructure technologies, selecting those areas, domains and
controls which are more suitable with their corporate environments.

Autobiografía de los Autores
Guillermo Martin Vidal, Auditor Interno de TI en MAPFRE, estudió
Ingeniería Superior Informática en la Universidad Politécnica de Madrid
(UPM). Continuó su formación de post-grado con el Máster Universitario
en Seguridad de las Tecnologías de la Información y Comunicaciones de la
Universidad Europea de Madrid (UEM). Durante sus últimos años de
formación, trabajó como Programador Java en Alcatel-Lucent (Amberes,
Bélgica) y como Becario de Seguridad en Oesía Networks (Madrid).
Beatriz Puerta Hoyas, Técnica de Investigación en la Universidad Carlos III
de Madrid, estudió en la misma la titulación de Grado en Ingeniería
Informática. Continuó su formación de post-grado con el Máster
Universitario en Seguridad de las Tecnologías de la Información y
Comunicaciones de la Universidad Europea de Madrid (UEM). Durante sus
últimos años de formación, trabajó como Formadora en el Instituto de
Formación y Estudios del Gobierno Local de Madrid.
Fernando Galindo Merino, Consultor Arquitectura SAP en Accenture,
estudió Ingeniería Informática en la Universidad de Valladolid. Realizó el
Máster de Profesor de Educación Secundaria Obligatoria en la Universidad
de Valladolid. Continuó su formación con el Máster Universitario en
Seguridad de las Tecnologías de la Información y Comunicaciones de la
Universidad Europea de Madrid (UEM). Trabajó como profesor de
Formación Profesional en el Centro Don Bosco – Villamuriel de Cerrato
(Palencia).
Umberto Francesco Schiavo, Becario en Telefónica digital, estudió
Licenciatura en Informática en la Universidad de Oriente de Venezuela.
Continuó su formación de post-grado con el Máster Universitario en
Seguridad de las Tecnologías de la Información y Comunicaciones de la
Universidad Europea de Madrid (UEM).

I
Índice de contenidos
CAPÍTULO I: MOTIVACIÓN Y OBJETIVOS 1
1. INTRODUCCIÓN 1
1.1 CONTEXTO Y MOTIVACIÓN 1
1.2 OBJETIVOS PRINCIPALES DEL PROYECTO 2
1.3 FASES DEL PROYECTO 3
CAPÍTULO II: ESTADO DEL ARTE 5
2. INTRODUCCIÓN 5
2.1 LAS TRES LÍNEAS DE DEFENSA EN EL CONTROL DEL RIESGO 5
2.1.1 PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA 6
2.1.2 SEGUNDA LÍNEA DE DEFENSA: GESTIÓN DEL RIESGO Y FUNCIONES DE CUMPLIMIENTO Y
SUPERVISIÓN 6
2.1.3 TERCERA LÍNEA DE DEFENSA: LA AUDITORÍA INTERNA 7
2.1.3.1 DEBILIDADES COMUNES DE LA AUDITORÍA INTERNA 9
2.1.4 AUDITORIAS EXTERNAS Y ORGANISMOS REGULADORES 9
2.1.4.1 PRÁCTICAS RECOMENDADAS 10
2.2 MARCOS DE REFERENCIA ACTUALES, ¿CUAL ELEGIR? 11
2.3 CLASIFICACIÓN DE RIESGOS EN ENTORNOS CLOUD COMPUTING Y BYOD 13
2.4 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING 17
2.4.1 INTRODUCCIÓN AL CLOUD COMPUTING 17
2.4.1.1 MODELOS DE DESPLIEGUE 18
2.4.1.2 MODELOS DE SERVICIO 18
2.4.2 DOCUMENTACIÓN DE REFERENCIA 20
2.4.2.1 ENISA 20
2.4.2.2 Cloud Computing Alliance (CSA) 21
2.4.2.3 NIST 21
2.4.3 CERTIFICACIONES 21
2.4.3.1 Certificate of Cloud Security Knowledge 22
2.4.4 RIESGOS DEL CLOUD COMPUTING 22
2.4.4.1 CLASIFICACIÓN DEL RIESGO 26
2.5 AUDITORÍAS BYOD (BRING YOUR OWN DEVICE) 28
2.5.1 INTRODUCCIÓN AL BYOD 28
2.5.2 PRINCIPALES RETOS DEL BYOD 30
2.5.2.1 GESTIÓN DE RIESGOS 30
2.5.2.2 TELETRABAJO 30
2.5.2.3 DISPOSICIÓN DE LA INFORMACIÓN 30
2.5.2.4 GESTIÓN DE APLICACIONES 31
2.5.2.5 GESTIÓN DE AUTORIZACIONES 31
2.5.2.6 DISPOSITIVOS PERMITIDOS 31
2.5.2.7 DISPONIBILIDAD DE SERVICIOS 32

II
2.5.2.8 IMPLANTACIÓN Y DESPLIEGUE 32
2.5.2.9 GESTIÓN DE COSTES Y MANTENIMIENTO 32
2.5.2.10 SEGURIDAD Y CONFORMIDAD 32
2.5.3 DOCUMENTACIÓN DE REFERENCIA 33
2.5.3.1 CISCO 33
2.5.3.2 GARTNER 35
2.5.3.3 ISO 27001 – RESUMEN DE POLÍTICAS INFERIDAS PARA BYOD 37
2.5.4 CERTIFICACIONES 37
2.5.4.1 ARUBA NETWORKS 37
2.5.4.2 BRING YOUR OWN DEVICE (BYOD) CISCO TRAINING 38
2.5.5 RIESGOS DE BYOD 40
2.5.5.1 RIESGOS ECONOMICOS 40
2.5.5.2 RIESGOS RELACIONADOS CON LEYES Y REGULACIONES 41
2.5.5.3 RIESGOS EN LOS DATOS 42
2.5.5.4 CLASIFICACIÓN DEL RIESGO 43
CAPÍTULO III: PLANTEAMIENTO Y SOLUCIÓN 45
3. INTRODUCCIÓN 45
3.1 PLANIFICACIÓN DE LA AUDITORÍA 54
3.1.1 ALCANCE Y OBJETIVO DE LA AUDITORÍA 54
3.1.2 TRABAJO DE CAMPO 54
3.1.2.1 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING 56
3.1.2.1.1 PLAN DE AUDITORÍA 57
3.1.2.2 AUDITORÍAS DE BYOD (BRING YOUR OWN DEVICE) 107
3.1.2.2.1 PLAN DE AUDITORÍA 107
3.1.3 ELABORACIÓN Y PRESENTACIÓN DEL INFORME DEFINITIVO 135
3.2 ANÁLISIS PLAN DE AUDITORÍA CLOUD COMPUTING 137
3.2.1 VISIÓN GENERAL POR ESTÁNDAR 137
3.2.1.1 COBIT 4.1 137
3.2.1.2 ITIL v3 138
3.2.1.3 ISO/IEC 27002:2005 139
3.2.1.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations 139
3.2.1.5 SANS: 20 Critical Security Controls 140
3.2.2 VISIÓN POR DOMINIOS DE CONTROL 142
3.2.2.1 COBIT 4.1 142
3.2.2.2 ITIL v3 143
3.2.2.3 ISO/IEC 27002:2005 144
Organizations 145
3.2.3 PUNTOS FUERTES PLAN DE AUDITORÍA 148
3.2.4 PUNTOS DÉBILES PLAN DE AUDITORÍA 149
3.3 ANÁLISIS PLAN DE AUDITORÍA BRING YOUR OWN DEVICE 151
3.3.1 VISION GENERAL POR ESTÁNDAR 151
3.3.1.1 COBIT 4.1 152
3.3.1.2 ITIL v3 152
3.3.1.3 ISO/IEC 27002:2005 153

III
Organizations 154
3.3.2 VISIÓN POR DOMINIOS DE CONTROL 156
3.3.2.1 COBIT 4.1 156
3.3.2.2 ITIL v3 157
3.3.2.3 ISO/IEC 27002:2005 158
Organizations 159
3.3.3 PUNTOS FUERTES PLAN DE AUDITORÍA 162
3.3.4 PUNTOS DÉBILES PLAN DE AUDITORÍA 163
3.4 ANÁLISIS FINAL DEL PROYECTO (CLOUD COMPUTING & BYOD) 165
3.4.1 COBIT 4.1 165
3.4.2 ITIL v3 165
3.4.3 ISO/IEC 27002:2005 166
3.4.4 NIST: Recommended Security Controls for Federal Information Systems and Organizations 167
3.4.5 SANS: 20 Critical Security Controls 168
CAPÍTULO IV: CONCLUSIONES 169
4. RESUMEN DEL TRABAJO REALIZADO 169
4.1 CONCLUSIONES FINALES DEL PROYECTO 171
4.2 DESCRIPCIÓN OBJETIVOS 173
4.3 FUTURAS LÍNEAS DE DESARROLLO 174
BIBLIOGRAFÍA 177
GLOSARIO DE TÉRMINOS 179

V
ÍNDICE DE TABLAS
Tabla 1: Esquema tres líneas de defensa...................................................................................................................10
Tabla 2: Marcos de Referencia ....................................................................................................................................12
Tabla 3: Estimación Riesgo ISO/IEC 27005:2008......................................................................................................15
Tabla 4: Niveles ..............................................................................................................................................................15
Tabla 5: Efecto en caso de materialización ...............................................................................................................16
Tabla 6: Valoración de la Probabilidad ......................................................................................................................16
Tabla 7: Valoración del Riesgo.....................................................................................................................................16
Tabla 8: Valoración de los Riesgos Cloud Computing..............................................................................................27
Tabla 9: Valoración del riesgo BYOD ..........................................................................................................................43
Tabla 10: Áreas de Control BYOD..............................................................................................................................107

VII
ÍNDICE DE IMÁGENES
Imagen 1: Gráfico basado en el estudio de Forrester Consulting BYOD .................................................................2
Imagen 2: Fases del proyecto .........................................................................................................................................3
Imagen 3: Las Tres Líneas del Modelo de Defensa (Three Lines Model, IIA Position Paper) ...............................6
Imagen 4: Organización auditoría interna, “Khushbu Pratap, “Best Practices for Creating an IT Internal
Audit.pdf” Gartner [5] ......................................................................................................................................................8
Imagen 5: Comparativa de marcos, guías y estándares. ........................................................................................13
Imagen 6: Clasificación del Riesgo ..............................................................................................................................14
Imagen 7: Modelos de Servicio....................................................................................................................................19
Imagen 8: Diferentes Entornos de Cloud, ..................................................................................................................20
Imagen 9: Restricciones BYOD .....................................................................................................................................29
Imagen 10: Aspectos a tener en cuenta en base al nivel de acceso permitido a la red ....................................39
Imagen 11: Estudio Estándares y Marcos de Buenas Prácticas.............................................................................47
Imagen 12: Dominios Estándares................................................................................................................................48
Imagen 13: Resultados COBIT 4.1 Cloud Computing .............................................................................................137
Imagen 14: Resultados ITIL v3 Cloud Computing ...................................................................................................138
Imagen 15: Resultados ISO/IEC 27002:2005 Cloud Computing...........................................................................139
Imagen 16: Resultados NIST Cloud Computing.......................................................................................................139
Imagen 17: Resultados SANS Cloud Computing .....................................................................................................140
Imagen 18: Detalle Dominios COBIT 4.1 Cloud Computing ..................................................................................142
Imagen 19: Detalle Resultados ITIL v3 Cloud Computing .....................................................................................143
Imagen 20: Resultados ISO/IEC 27002:2005 Cloud Computing...........................................................................144
Imagen 21: Resultados NIST Cloud Computing.......................................................................................................145
Imagen 22: Imagen 24: Resultados SANS Cloud Computing................................................................................146
Imagen 23: Principales Puntos de Control del Plan de auditoría Cloud Computing .........................................148
Imagen 24: Puntos Débiles Plan Trabajo Cloud Computing .................................................................................149
Imagen 25: Resultados COBIT 4.1 BYOD ..................................................................................................................152
Imagen 26: Resultados ITIL v3 BYOD ........................................................................................................................152
Imagen 27: Resultados ISO/IEC 27002:2005 BYOD................................................................................................153
Imagen 28: Resultados NIST BYOD ...........................................................................................................................154
Imagen 29: Resultados SANS BYOD ..........................................................................................................................154
Imagen 30: Detalle Dominios COBIT 4.1 BYOD.......................................................................................................156
Imagen 31: Detalle Resultados ITIL v3 BYOD ..........................................................................................................157
Imagen 32: Resultados ISO/IEC 27002:2005 BYOD................................................................................................158
Imagen 33: Resultados NIST BYOD ...........................................................................................................................159
Imagen 34: Resultados SANS BYOD ..........................................................................................................................160
Imagen 35: Principales Puntos de Control del Plan de auditoría BYOD .............................................................162
Imagen 36: Puntos Débiles Plan Trabajo BYOD ......................................................................................................163
Imagen 37: Tipos de Auditorías Informáticas .........................................................................................................175

1
CAPÍTULO I: MOTIVACIÓN Y OBJETIVOS
1. INTRODUCCIÓN
1.1 CONTEXTO Y MOTIVACIÓN
Dentro del ámbito de la seguridad de las tecnologías de la información y comunicaciones
(TIC), este trabajo surge previa identificación de una carencia o falta de información
relativa a procesos de auditoría de las nuevas tecnologías de vanguardia tales como el
Cloud Computing o el Bring Your Own Device (BYOD).
Cada vez son más las empresas que migran sus datos a la “nube” intentando aprovechar
al máximo las ventajas que Cloud Computing pone a su servicio. Esto supone trasladar la
información de un centro controlado por la propia empresa a otro lugar gestionado por
terceros. Muchas son las medidas de seguridad que deben establecerse tanto desde el
lado del cliente como por parte de los proveedores para poder asegurar la seguridad
tanto en el proceso de migración como durante la gestión y supervisión de la misma. De
no ser así, las empresas pueden llegar a perder la traza de su información y de sus
principales datos de negocio. Dentro de este proceso de globalización, cabe formularse
numerosas preguntas tales como ¿dónde estará mi información?, ¿a qué riesgos
estamos expuestos ante una migración a un sistema de Cloud Computing?, ¿cómo viaja
nuestra información por la red?, ¿cómo podemos asegurar la confidencialidad,
integridad y el no-repudio de la información?, ¿podemos realizar revisiones a los
sistemas físicos en los que están contenidos nuestra información?, si los sistemas físicos
se encuentran en otros países ¿cómo se ve afecta nuestra empresa por la jurisdicción de
dichos países?, etc.
Ligado al Cloud Computing nace el término “Bring Your Own Device” (BYOD) en
respuesta a la necesidad de permitir a los empleados de las organizaciones trabajar en
cualquier momento y desde cualquier lugar y/o sistema. Según Gartner, la tendencia
BYOD también conocida como consumerización, será la tendencia más significativa que
afectará a la TI durante los próximos diez años. El paradigma de seguridad al que
estamos expuestos es completamente diferente y la diversidad de equipos que acceden
a nuestra red crecerá de manera exponencial. Cada uno de estos equipos tendrá sus
propias configuraciones y aplicaciones, sin embargo, debemos ser capaces de establecer
las políticas y controles de seguridad necesarios para permitir su acceso sin
comprometer la red corporativa.
Actualmente, existen diferentes tipos de BYOD basados en los sistemas a los que se les
permite el acceso al entorno corporativo. El estudio “Key Strategies To Capture And

Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
2
Measure The Value Of Consumerization Of IT” [1] de la consultora “Forrester Consulting”
durante el 2012 muestra las siguientes tendencias BYOD:
Imagen 1: Gráfico basado en el estudio de Forrester Consulting BYOD
Si bien puede observarse cómo actualmente un 60% de los programas BYOD están
enfocados a teléfonos móviles de última generación, la tendencia indica que terminará
extendiéndose de manera generalizada a cualquier dispositivo móvil. Es por ello que las
empresas deben posicionarse ante el fenómeno BYOD y comenzar a desarrollar políticas
de seguridad que permitan trabajar de manera segura con independencia del sistema
empleado.
La principal motivación del presente trabajo es presentar un plan de auditoría que
permita llevar a cabo auditorías de entornos Cloud Computing y BYOD con el fin de
aumentar el control, la seguridad corporativa y reducir los riesgos a los que estamos
expuestos.
1.2 OBJETIVOS PRINCIPALES DEL PROYECTO
Como parte de presente proyecto, se han identificados los siguientes objetivos para su
cumplimiento:
 Mostrar cual es la situación actual en cuanto a entornos Cloud Computing y BYOD
desde un punto de vista de la seguridad y el riesgo.
 Analizar los principales riesgos de Cloud Computing y BYOD.
 Realizar un plan de auditoría que permita abordar de manera clara y concisa
auditorías de entornos Cloud Computing y BYOD.

Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
3
1.3 FASES DEL PROYECTO
Se han identificado tres grandes grupos que se muestran de manera gráfica a
continuación:
Imagen 2: Fases del proyecto
1. Investigación Cloud Computing y BYOD:
Es la parte introductoria del proyecto en la cual se presenta el estado del arte de los
entornos Cloud Computing y BYOD.
Como punto de partida del trabajo se ha considerado relevante realizar una descripción
del modelo de “Las tres líneas de defensa” en el control del riesgo. En dicho modelo, se
plantea desde un punto de vista corporativo, tres líneas de defensa para tratar de
reducir los principales riesgos de negocio. Encontramos a auditoría interna como la
tercera línea defensa, con una visión independiente del resto de áreas y una
comunicación directa con la dirección.
Una vez introducido el concepto de auditoría en la gestión del riesgo, el siguiente paso
consiste en realizar un estudio del estado del Cloud Computing y BYOD en la actualidad.
Para ello, se realizará un análisis de los principales modelos de servicio, soluciones y
riesgos para asociados a cada uno de los entornos.
Marco deReferencia y Buenas Prácticas
paraAuditorías de Entornos
Tecnológicos deVanguardia
Auditorías
BYOD
Auditorías
entornos
Cloud
Computing
Investigación
Cloud
Computing y
BYOD

4
2. Auditorías de entornos Cloud Computing:
En este bloque presentaremos un plan de auditoría para llevar a cabo auditorías de
seguridad de entornos Cloud Computing. Este plan de auditoría estará enfocado a
reducir el impacto de los riesgos identificados en la sección 2.4.4 Riesgos. Para su
elaboración, nos basaremos en el programa que ISACA presenta en “Cloud Computing
Management Audit/Assurance Program” [2]. Avanzaremos a lo largo del proceso de una
auditoría, desde la propuesta hasta la ejecución del plan de auditoría terminando en el
informe final.
3. Auditorías BYOD:
En este bloque, al igual que en el anterior, será presentado un plan de auditoría para
llevar a cabo auditorías de seguridad de BYOD. En este caso, el plan de auditoría estará
diseñado para reducir el impacto de los riesgos identificados en la sección 2.5.4 Riesgos.
Nos basaremos en el programa “Bring Your Own Device (BYOD) Security Audit/Assurance
Program” de ISACA [3].
Los planes de auditoría que serán desarrollados a los largo del proyecto tienen como
objetivo servir como base para la realización de trabajos específicos en todos aquellos
entornos y/o entidades en las que se quieran aplicar. Para la consecución de este
objetivo, se realizarán planes genéricos, fácilmente adaptables a los diferentes entornos
y comprensibles para destinatarios con un nivel de formación técnica baja-media.

5
CAPÍTULO II: ESTADO DEL ARTE
2. INTRODUCCIÓN
2.1 LAS TRES LÍNEAS DE DEFENSA EN EL CONTROL DEL RIESGO
El “The institute of internal Auditors” presenta en su artículo “IIA Position Paper_the
three lines of defense in effective risk management and control.pdf” [4] el modelo de las
tres líneas de defensa como forma de prevención y protección frente al riesgo. A lo largo
de esta sección, podrán encontrarse algunas de las ideas que el IIA plantea.
Actualmente, es común encontrar diferentes equipos de auditores internos,
especialistas en la gestión de riesgos, especialistas en control interno, inspectores de
calidad, investigadores del fraude u otros profesionales enfocados al control del riesgo
empresarial trabajando de forma conjunta y coordinada con el fin de mitigar los
principales riesgos empresariales. Los riesgos presentes en las compañías no se
encuentran centralizados sino que se extienden a lo largo de las distintas divisiones y
departamentos, es por ello que resulta fundamental una apropiada coordinación para
asegurar que los procesos y controles de riesgos funcionan de manera adecuada.
No es suficiente con la existencia de diferentes controles y funciones de riesgo. El reto
reside en alinear y coordinar sus operaciones de manera efectiva y eficiente sin crear
duplicidades en la definición de funciones y responsabilidades. Cada profesional debe
conocer sus responsabilidades y entender de manera global cómo afecta su desempeño
dentro de la estructura de control y riesgos definida. Sin cohesión y enfoques
coordinados, los controles sobre riesgos no serán efectivos, pudiendo dejar de detectar
posibles fuentes de riesgo o gestionarlos de manera equívoca.
El modelo “Tres Líneas de Defensa” proporciona una manera simple y efectiva de
mejorar las comunicaciones en la gestión y control del riesgo clarificando roles y
responsabilidades. Puede ser aplicable a cualquier tipo de compañía con independencia
del tamaño y de la existencia de un marco de riesgos definido.
En este modelo, los controles para la gestión y medición del riesgo suponen la primera
línea de defensa. La segunda de defensa estaría formada por todos aquellos controles
financieros, de seguridad, de calidad, de inspección, de supervisión y de calidad.
Finalmente, auditoría interna supondría una tercera línea de defensa que se encuentra
coordinada con las dos anteriores pero con operativa independiente.
La dirección y el área de gobierno tienen la responsabilidad de establecer los objetivos
de la organización, definiendo las estrategias para la consecución de los objetivos y

6
estableciendo las estructuras y procesos adecuados para gestionar los riesgos asociados
a éstos.
Imagen 3: Las Tres Líneas del Modelo de Defensa (Three Lines Model, IIA Position Paper)
Partiendo de este modelo, se dará una explicación genérica sobre las funciones de cada
una de las líneas comentadas, centrándonos especialmente en la tercera línea de
defensa, la auditoria interna.
2.1.1 PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA
En la primera línea de defensa, los directores operaciones poseen y gestionan los
riesgos. Es su responsabilidad la aplicación de acciones preventivas y correctivas para el
control de deficiencias.
La gestión operacional abarca la ejecución y el mantenimiento diario de los
procedimientos de control de riesgos. Identifica, evalúa, controla y mitiga riesgos,
guiando la implementación y desarrollo de políticas y procedimientos internos y
asegurando que las actividades son consistentes con los objetivos marcados. Debe
existir una administración y supervisión adecuada que asegure el cumplimiento, detecte
procesos inadecuados y se anticipe posibles fuentes de riesgo.
2.1.2 SEGUNDA LÍNEA DE DEFENSA: GESTIÓN DEL RIESGO Y FUNCIONES DE
CUMPLIMIENTO Y SUPERVISIÓN
Las funciones de esta línea de defensa pueden variar dependiendo del tipo de
organización y los objetivos definidos, sin embargo, las siguientes funciones deberían
estar definidas:

7
 Una función de dirección de riesgos (y/o comité) que facilite y monitorice la
implementación de los procesos realizados por la gestión operativa. Además,
ayudará a los propietarios de los riesgos en la adecuada definición, redacción y
transmisión a toda la compañía de los principales objetivos expuestos al riesgo.
 Función de cumplimiento para monitorizar riesgos específicos asociados a leyes y
regulaciones. Dependiendo del sector y el tipo de empresa, los reportes de este
tipo de riesgos pueden dirigirse a la dirección o bien directamente al área de
gobierno.
 Una función para monitorizar riesgos financieros y gestionar los reportes
financieros asociados.
Cada una de estas funciones tiene un cierto grado de independencia de la primera línea
de defensa, sin embargo, al ser funciones de dirección, deben intervenir directamente
en el desarrollo y modificación de controles internos y sistemas de riesgos. Las
responsabilidades de estas funciones pueden variar, sin embargo, podrían incluir:
 Apoyo y supervisión de las políticas de dirección, definiendo roles y
responsabilidades y estableciendo los objetivos para la implementación.
 Proporcionar un marco de gestión del riesgo.
 Identificar casos de emergencia.
 Identificar cambios en las posibles fuentes de riesgo.
 Apoyar a la dirección en la definición y desarrollo de procesos y controles de
gestión de riesgos.
2.1.3 TERCERA LÍNEA DE DEFENSA: LA AUDITORÍA INTERNA
Auditoría interna aporta al órgano de gobierno y la alta dirección una garantía de
seguridad global basada en un carácter objetivo para el cual se le otorga una
independencia del resto de procesos con el fin de evitar que su implicación en los
mismos pueda condicionar las revisiones. Esta seguridad abarca, de manera trasversal,
las áreas de gobierno, la gestión de los riesgos, el control interno, los objetivos de
negocio y las estrategias de TI (sistemas, prácticas de control e iniciativas de
cumplimiento legal y regulatorio). Los procedimientos seguidos en la primera y segunda
línea de defensa se encuentran dentro del campo de actuación de auditoría. Los
reportes se realizan al órgano de gobierno y la alta dirección y habitualmente dentro de
su alcance se encuentran:
 Eficiencia y eficacia de las operaciones, evaluación de sistemas de protección de
la información, confianza e integridad en los procesos de reporte, cumplimiento
con leyes, marcos regulatorios, políticas, procedimientos y contratos.
 Todos los elementos de gestión de riesgos (identificación, evaluación y plan de
acción) y el marco de control interno.

8
 La entidad en su conjunto: divisiones, departamentos, unidades etc., incluyendo
tanto procesos de negocio (ventas, marketing, producción, proveedores…) como
funciones de soporte (recursos humanos, contabilidad de expedientes,
infraestructuras, inventarios…).
Las mejores prácticas recomiendan tener y fomentar un personal competente, adecuado
y objetivo para el desarrollo de las funciones de auditoría interna. Se debe:
 Actuar de acuerdo a los estándares internacionales.
 Reportar a alto nivel, permitiendo así su independencia del resto de áreas.
 Mantener una vía de comunicación y reporte adecuada con la dirección y áreas
de gobierno. Cuanto más cerca se encuentre el área de auditoria interna a la alta
dirección, mayor será la independencia, la cobertura de actuación y la facilidad
de comunicación. El área de auditoria interna pierde valor si se encuentra,
dentro del organigrama corporativo, dependiendo de otras áreas, secciones o
departamentos.
La siguiente imagen muestra, de manera genérica, una posible organización de la
planificación de un departamento de auditoría interna:
Imagen 4: Organización auditoría interna, “Khushbu Pratap, “Best Practices for Creating an IT Internal
Audit.pdf” Gartner [5]
En primer lugar, se muestran algunos ejemplos de “inputs” o entradas de información.
Como ya se ha mencionado, las coberturas de estas entradas deberían ser globales y
aplicables sobre cualquier ámbito de la empresa. Esta información está directamente

9
relacionada con cada una de las auditorías planificadas de forma anual en el plan de
auditoria interna. En este plan, se registran cada uno de los trabajos de revisión que se
van a llevar a cabo durante el periodo de tiempo establecido y suele someterse a la
aprobación de un comité global de auditoría. Cada una de estas auditorías, debería
poder relacionarse con objetivos y riesgos específicos de negocio. Una vez establecido el
plan de auditoría interna, se debe definir la estrategia para acometer dicho plan. Dentro
de esta estrategia, se definen, entre otros, equipos de trabajo, recursos necesarios,
plazos, procedimientos, controles, planes de auditoría… Finalmente, obtendremos una
serie de proyectos que cubrirán los objetivos inicialmente establecidos.
2.1.3.1 DEBILIDADES COMUNES DE LA AUDITORÍA INTERNA
 Requerimientos de auditoría:
Son habituales casos en los cuales ciertas áreas o grupos como miembros de la junta,
organismos reguladores, proveedores o socios son excluidos de los planes de
auditoría. Esto puede provocar variaciones considerables en los resultados y las
conclusiones obtenidas.
 Auditorías no basadas en riesgos:
Existen compañías en las cuales la planificación de auditorías no se basa en un
análisis de riesgos previo, sino que su planificación se realiza bajo petición y/o
controles específicos de diferentes departamentos. Este tipo de decisiones están
influenciadas por la dirección y su enfoque, en algunas ocasiones, falla al alinear el
plan de auditoría con las principales necesidades de negocio
 Priorización:
Muchos equipos de auditoría fallan al no darse cuenta de la importancia del proceso
de priorización y el enfoque de cada auditoría. Este enfoque debe ir a la par que los
requisitos asociados a los riegos de TI de la compañía. Una falta de priorización
desencadena en una pérdida de oportunidades de control, cambios y/o mejoras así
como en un notable incremento del tiempo de dedicación a cada auditoría.
2.1.4 AUDITORIAS EXTERNAS Y ORGANISMOS REGULADORES
Auditorías, organismos reguladores u otras entidades externas a la propia organización
pueden tener una importancia muy relevante dentro del marco de gobierno y control
interno. Este es el caso particular de industrias reguladas tales como servicios
financieros o aseguradores (Basilea, Solvencia…). Los organismos reguladores, en
algunas ocasiones, establecen requerimientos para fortalecer los controles
organizacionales y en otras para evaluar parte o el conjunto de las tres líneas de
defensa. Cuando las acciones de los organismos externos se coordinan de manera
efectiva, se pueden considerar como una línea de defensa adicional que provee
seguridad a la dirección y el cuerpo de gobierno. No obstante, definidos los objetivos y el

10
alcance de trabajo, la información de riesgos proporcionada por organismos externos
suele ser menor que la reportada por las tres líneas de defensa internas.
COORDINACIÓN DE LAS TRES LÍNEAS DE DEFENSA
Debido a la organización interna de cada compañía, no un existe único modo de
coordinar las tres líneas de defensa. Sin embargo, a la hora de asignar responsabilidades,
tareas y realizar la coordinación entre las diferentes funciones de dirección de riesgos,
conviene recordar las funciones específicas de cada línea de defensa en el proceso de
gestión del riesgo:
Tabla 1: Esquema tres líneas de defensa
Las tres líneas de defensa deben existir, de una u otra forma, en todas las organizaciones
con independencia de su tamaño o complejidad. Mantener las líneas separadas y
claramente identificadas ayuda a fortalecer la gestión de los riesgos. Existen situaciones
concretas, especialmente en organizaciones pequeñas, en las cuales ciertas funciones se
combinan. Se dan casos en los cuales la dirección y/o área de gobierno pide a auditoría
interna que gestione y administre los riesgos. En estos casos, auditoría interna debe
comunicar el impacto que supone dicha combinación. En la medida de lo posible, debe
evitarse la dualidad de funciones.
Sin tener en cuenta la implementación del modelo, la dirección y el área de gobierno
deben comunicar de manera eficaz a toda la compañía cuales son los objetivos y que se
espera del modelo establecido, resaltando la importancia de una buena gestión de la
información compartida entre las diferentes líneas así como la coordinación de los
diferentes grupos de dirección responsables de la gestión de los controles y riesgos
corporativos.
2.1.4.1 PRÁCTICAS RECOMENDADAS
1. Los procesos de control y riesgo se deben estructurar de acuerdo al modelo
presentado de “Tres líneas de defensa”.
2. Cada línea debe estar apoyada por una definición apropiada de roles y políticas.
3. Debe existir una coordinación adecuada entre las diferentes líneas de defensa
que fomente la eficiencia y efectividad en el proceso.
Dirección Operacional
Independencia limitada
Reportes a dirección
Auditoría interna
Mayor independencia
Reportes a el área de gobierno
TRES LÍNEAS DE DEFENSA
PRIMERA LÍNEA SEGUNDA LÍNEA TERCERA LÍNEA
Propietarios de riesgos/
gerentes
Control de riesgos y
cumplimiento
Garantíade riesgos

11
4. Las funciones y controles de riesgo de las diferentes líneas deben compartir el
conocimiento e información lograr mayor eficiencia en el resto de funciones.
5. Las líneas de defensa no se deben combinar y coordinar de manera que se
dificulte o comprometa su efectividad.
6. En situaciones en las cuales se combinan diferentes líneas, el área de gobierno
debe ser advertida de la estructura y el impacto que supone. Asimismo, para
aquellas entidades en las cuales no se haya establecido un área de auditoría
interna, la dirección y/o área de gobierno deberá explicar a presidencia el plan
establecido para conseguir garantía y efectividad en cuanto a la gestión y control
del riesgo.
2.2 MARCOS DE REFERENCIA ACTUALES, ¿CUAL ELEGIR?
Normalmente, los equipos de auditoría y las organizaciones de TI conocen los principales
marcos y estándares internacionales, sin embargo, no siempre son capaces de obtener
el máximo rendimiento de los mismos. Beneficios como reducción de costes, agilización
de los procesos de TI y una optimización en la gestión y revisión del riesgo pueden
lograrse entendiendo el alcance de los estándares, mapeando los controles con las
necesidades reales de TI, mejorando su aplicabilidad en el contexto TI de la organización
y comprendiendo cómo reportar de manera adecuada los resultados obtenidos de la
implementación de los estándares.
Como hemos visto, el criterio establecido para la apropiada selección del estándar y/o
marco de referencia que vamos a emplear puede resultar muy relevante para los
resultados finales de la auditoría. Algunas cuestiones que podrían ayudar para la
elección de un criterio apropiado, serían las siguientes:
1. ¿Qué vamos a auditar?: Desde una visión de alto nivel, debemos ser capaces de
identificar que partes y componentes de TI van a ser revisados. Algunos ejemplos
serían: cumplimiento normativo, gestión de riesgos, gestión de la seguridad de la
información, desarrollo de software, proveedores de servicios de TI etc.
2. ¿Cómo auditar la materia?: El objetivo consiste en el entendimiento de los
conceptos y las tecnologías específicas (análisis de datos, gestión de accesos,
controles biométricos, sistemas ERP…) que van a ser auditadas. Estos conocimientos
previos son necesarios para decidir la mejor manera de llevar a cabo la auditoría y
conforme a qué estándares y controles se realizará.
3. ¿Qué y cómo reportar?: Debemos entender hacia quien se reporta y adaptar el
informe en consecuencia. El lenguaje incluido en un informe a dirección puede
diferir del empleado en un informe dirigido a un área técnica. No obstante, es una
buena práctica la redacción de informes cuya comprensión pueda realizarse por
cualquier persona con independencia de su formación técnica.

12
4. ¿Quién se beneficia del estándar?: Todos los marcos no están destinados
exclusivamente a auditores o auditados. En muchos casos, su contenido puede
beneficiar a ambos:
a. Auditor: Plan de auditoría, planificación, controles, roles.
b. Auditado: Preparar a los auditados para un mejor entendimiento de los
enfoques de auditoría.
A continuación se incluye de manera esquemática los principales marcos, guías y
estándares que existen en la actualidad. Se encuentran resaltados aquellos cuyo
contenido ha sido de especial relevancia para la realización del presente documento:
Tabla 2: Marcos de Referencia
De acuerdo con las cuestiones anteriormente mencionadas, el análisis “IT Audit
Standards, Frameworks, and Guidelines for Auditees and Auditors” [6] de la compañía
Gartner muestra los siguientes resultados:
IT Audit and Assurance
Standards
ISACA Estandar Industrial, Empresarial Global
Global Technology Audit
Guides
IIA Guía Industrial, Empresarial Global
COBIT, ITAF ISACA
Marco de
referencia
Industrial, Empresarial Global
IT Assurance Guide Using
COBIT
ISACA Guía Industrial, Empresarial Global
COBIT Assesment
Programme
ISACA
Modelo, guía,
herramienta
Industrial, Empresarial Procesos TI
AICPA Guide for SOC 2
Report
AICPA Guía Proveedores
Gestión de riesgos de
TI en proveedores
ISO 20000 ISO Estandar Industrial, Empresarial Gestión servicios TI
ITIL
United Kingdom´s
Cabinet Office
Marco de
referencia
Industrial, Empresarial Gestión servicios TI
Shared Assessments Santa Fe Group Herramienta Proveedores
Gestión de riesgos de
TI en proveedores
Goverment Auditing
Standards (not specific to
IT)
U.S. Government
Accountability
Office
Estandar
Organización
gubernamental
Controles de TI
relacionados con la
contabilidad
ISO 2700X ISO Estandar Industrial, Empresarial
Seguridad de la
información
GUÍA PROPIEDAD TIPO ADECUADA PARA DOMINIO IT

13
Imagen 5: Comparativa de marcos, guías y estándares.
Como se puede apreciar, en su mayoría los documentos que ISACA propone son guías
que pretenden beneficiar tanto al auditor como al auditado y describen, generalmente,
detalles de cómo se puede llevar a cabo el proceso de auditoría. Por el contrario, otros
marcos como las ISOs o ITIL se centran en el “qué auditar” y en un posible beneficio del
auditado más que en explicar cómo llevar a cabo dicha tarea.
Son comunes los casos donde las guías, marcos o metodologías son tan extensas que su
implantación completa supondría una inversión muy superior a los beneficios que
aportaría. Es por ello que, si bien es recomendable seguir las pautas de organismos
internacionales contrastados, no debe ser nunca motivo de “preocupación” u “obsesión”
el no seguir al completo lo expuesto en dichas guías. En otras ocasiones, las compañías
desarrollan sus propias metodologías apoyadas en los procesos y recomendaciones de
marcos internacionales.
2.3 CLASIFICACIÓN DE RIESGOS EN ENTORNOS CLOUD COMPUTING Y BYOD
Antes de realizar la clasificación del riesgo, conviene aclarar que los riesgos de los dos
entornos presentados en este trabajo se encuentran dentro del ámbito de riesgos de las
tecnologías de la información (TI).
Un riesgo, sea cual sea su tipología, se define como aquellas amenazas asociadas a
vulnerabilidades cuya explotación puede causar un impacto sobre la compañía. Si nos
centramos en el riesgo TI, se trata de un riesgo trasversal a toda la organización que
deriva del uso, propiedad, operación, distribución y la adopción de las tecnologías de la
Información. Existen diferentes metodologías para gestionar los riesgos que convergen
en la necesidad de tener un proceso estructurado, sistemático y riguroso en nuestro
plan de gestión y administración de riesgos.

14
Imagen 6: Clasificación del Riesgo
Al tratarse de dos entornos diferentes, se ha decidido establecer un criterio común para
conseguir una clasificación homogénea de los riesgos asociados a Cloud Computing y
BYOD. Para ello, se ha realizado un análisis de riesgos según la norma ISO/IEC
27005:2008, "Information technology - Security techniques - Information security risk
management". Esta norma es una guía para la gestión de riesgos de seguridad de la
información, de acuerdo con los principios ya definidos en otras normas de la
serie 27000.
La tabla que se muestra a continuación, realiza una valoración de los riesgos basada en
dos parámetros:
1. Probabilidad de que el riesgo se materialice.
2. Impacto que causaría sobre los activos de la organización.

15
ISO/IEC
27005:2008 Probabilidad
Muy
baja
Leve Media Alta
Muy
Alta
Impacto
Muy bajo 0 1 2 3 4
Leve 1 2 3 4 5
Medio 2 3 4 5 6
Alto 3 4 5 6 7
Muy alto 4 5 6 7 8
Tabla 3: Estimación Riesgo ISO/IEC 27005:2008
Para cada uno de estos parámetros, se establecen los siguientes niveles:
Tabla 4: Niveles
Para comprender la tabla anterior, se hace necesario explicar los diferentes umbrales
establecidos para la probabilidad y el impacto así como los valores del riesgo obtenidos
en la matriz.
A continuación se detalla, para cada umbral, qué implicaciones podría tener sobre
nuestra compañía:
Alta 3
Muy Alta 4
Niveles
Muy Bajo 0
Leve 1
Media 2

16
Efecto en caso de materialización
Impacto Valor Descripción
Alto 3-4
Efectoaltoen losserviciosde laorganización
Degradaciónde activosmayordel 60%
Visibilidadaltaencliente
Afectaa la productividadamásdel 50% de losempleados
Compromete laentregadel ANSdel cliente
Medio 2
Afectaa losserviciosde laorganización
Degradaciónde activosentre el 30% y 60%
Visibilidadbajaencliente
Afectaa la productividadde menosdel 50% de losempleados
Puede comprometerlaentregadel ANSdel cliente
Asumible 0-1
Efectosaisladosenel funcionamientode laorganización
Degradaciónde activos< 30%
Visibilidadbajaencliente
Afectaa la productividadde menosdel 5% de losempleados
No compromete laentregadel ANSdel cliente
Tabla 5: Efecto en caso de materialización
Valoración de la Probabilidad
Probabilidad Valor Descripción
Alta 3-4 Depende de la relación entre la
vulnerabilidad y la amenaza con el
entorno alrededor del activo
Media 2
Baja 0-1
Tabla 6: Valoración de la Probabilidad
Finalmente, la valoración del riesgo obtenido, se interpreta de la siguiente manera:
Valoración del Riesgo
Riesgo Valor Acción
Alto 6-8 Mitigación inmediata
Medio 3-5 Tratar de mitigarlo/Transferirlo
Bajo 0-2 Asumible
Tabla 7: Valoración del Riesgo
Cabe destacar que, una vez establecidos los valores del riesgo, pueden ser reducidos
mediante el uso de salvaguardas, si bien el ámbito de las mismas queda fuera del
alcance del presente proyecto.
En los apartados 2.4.4.1 y 2.5.5.4 se realiza la clasificación del riesgo para entornos Cloud
Computing y BYOD. Para su comprensión, es necesario entender la metodología
expuesta anteriormente.

17
2.4 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING
2.4.1 INTRODUCCIÓN AL CLOUD COMPUTING
El Cloud Computing se refiere a la tendencia que permite al usuario acceder a un
catálogo de servicios estandarizados y responder a las necesidades de su negocio, de
forma flexible y adaptativa. Estos entornos están en alza en nuestros días en dónde las
empresas utilizan los recursos que los proveedores de Cloud ofrecen.
Algunas de las ventajas que estos entornos permiten son las siguientes:
1. Flexibilidad: Las soluciones Cloud se caracterizan por su alta escalabilidad, crecen
y se modifican en función de las necesidades de cada proyecto en tiempo real.
Esto permite ofrecer servicios evolutivos y soportar aumentos de carga
considerables.
2. Potencia: Dependiendo del proveedor, las infraestructuras Cloud suelen ofrecer
soluciones potentes de máximo rendimiento sin requerir inversiones de
despliegue y/o mantenimiento. Cada servicio obtiene el cómputo necesario en
cada momento. En definitiva se trata de servicios granulables que permiten
contratar recursos (CPU, RAM, almacenamiento) en periodos de tiempo
determinados.
3. Estabilidad: Muchos de los servidores Cloud se apoyan sobre una estructura de
hardware común si bien a nivel de sistema operativo cada uno conforma una
máquina independiente. Esto permite fortalecer las medidas de seguridad y
estabilidad usando sistemas como: balanceadores de carga, sistemas de
almacenamiento, recuperación automática, sistemas replicados …
4. Ahorro: Existen diversas formas de facturación en función de las necesidades
particulares de cada cliente. Es común la facturación por el uso del servicio,
ahorrando los costes derivados del hardware, de la disposición de un entorno
físico apropiado para el correcto funcionamiento de todos los sistemas
(refrigeración, sistemas anti-incendios…) y de mantenimiento. Además, también
se reducen costes en cuanto a licencias de Software. Uno de los principales
objetivos en las migraciones hacia sistemas en la “nube” es conseguir reducir
gastos a través del aprovechamiento de las estructuras y la energía.
Sin embargo no todo son ventajas, presentan también riesgos que serán analizados en
este documento. Antes de ello, es necesario describir las diferentes posibilidades que se
ofrecen a las empresas para migrar sus aplicaciones a la nube. Se detallarán los
diferentes modelos de despliegue de los mismos que pueden ser; públicos, privados o
híbridos. No todos los modelos de despliegue para entornos Cloud presentan los mismos
riesgos, por lo que es necesario clasificarles.
Una vez presentados las diferentes características de los cada uno de los entornos, se
mostrarán los diferentes riesgos existentes en los entornos de Cloud Computing.

18
2.4.1.1 MODELOS DE DESPLIEGUE
Los modelos de despliegue son las diferentes posibilidades que se ofrecen a los clientes
a la hora de elegir el Proveedor de Servicios del Cloud CSP (Cloud Service Provider). La
agencia NIST define cuatro posibles modelos de despliegue: privados, públicos, híbridos
o comunitarios. En este documento sólo nos centraremos en los modelos privados y
públicos.
Los modelos de despliegue privados, usan aplicaciones virtualizadas donde la
información de la empresa se encuentra dentro de los CPDs de la empresa o en
servidores contratados a terceros. Este modelo privado de Cloud, presenta unos riesgos
similares a los entornos de datos tradicionales.
Por otro lado, en un modelo público, muchos clientes (diferentes) utilizan los mismos
recursos que ofrece el proveedor de servicios de Cloud compartiendo servidores. En este
caso los clientes comparten el mismo CPD donde se encuentran las aplicaciones y datos
que necesita cada uno de los clientes. La localización de los servidores del proveedor de
Cloud está continuamente cambiando, y los datos almacenados se encuentran en la
nube donde no se sabe cuál es su localización.
Cuando un gran número de usuarios comparten los mismos recursos, resulta complejo
establecer perímetros entre los usuarios y las diferentes necesidades que necesitan en
términos de virtualización. Establecer estos límites o perímetros entre los usuarios,
compartiendo los mismos recursos es complicado, y además presenta un riesgo mucho
mayor en los modelos públicos.
Llegado a este punto es fácil ver que los riesgos en los modelos públicos desplegados en
la nube son mucho más significativos y diferentes que los riesgos existentes en entornos
Cloud privados que son más similares a los entornos de datos tradicionales.
Una comparación de un entorno público, puede ser visto como el transporte público,
donde cada uno de los usuarios tiene un billete con características diferentes. Sin
embargo, los usuarios comparten el mismo medio de transporte, donde cada uno lleva
datos personales de valor.
2.4.1.2 MODELOS DE SERVICIO
Los clientes de Cloud Computing deben de estar al tanto de todos los riesgos que
pueden padecer. Estos riesgos pueden variar en función del tipo de servicio contratado. A
grandes rasgos, existen tres tipos de servicios Cloud: Infrastructure as a service (IaaS),
Platform as a service (PaaS), y Software as a Service (SaaS). En muchos casos, los
controles sobre los riesgos a tener en cuenta están compartidos entre los proveedores
de los servicios y los clientes. En las ilustraciones 7 y 8 puede verse una explicación de
los diferentes tipos de Cloud y los diferentes modelos que pueden prestar.

19
Los proveedores de servicios de Cloud y los clientes establecen responsabilidades
compartidas entre los riesgos, y estas responsabilidades varían. Estas variaciones se
deben a los servicios del cliente, el proveedor del Cloud, los requisitos del cliente para el
entorno Cloud y las consideraciones de seguridad para el cliente de migrar los datos a un
entorno Cloud.
En general, un servicio del tipo IaaS, los proveedores ofrecen a sus clientes un entorno
físico básico, dotados con servicios seguros, es decir, en los servidores se encuentran
sistemas de detección de intrusos, sistemas de prevención de intrusión, monitorización
e información sobre la seguridad y gestión de eventos (SIEM).
Por otro lado un servicio PaaS, ofrece al cliente la posibilidad de desarrollar aplicaciones
creadas por bajo entornos de desarrollo o herramientas soportadas por el proveedor.
El tercero modelo Saas, los clientes pueden usar aplicaciones que corren dentro del CSP.
Estas aplicaciones son accesibles a través de diferentes dispositivos o desde el
navegador, como el correo electrónico.
Imagen 7: Modelos de Servicio

20
Imagen 8: Diferentes Entornos de Cloud,
basado en Visual Model Of NIST Working Definition Of Cloud Computing [7]
2.4.2 DOCUMENTACIÓN DE REFERENCIA
2.4.2.1 ENISA
"European Network and Information Security Agency" (ENISA) es la Agencia Europea de
Seguridad de las Redes y de la Información cuyo objetivo es mejorar las redes y la
seguridad de la información. Dentro de la información disponible de ENISA cumpliendo
sus objetivos, dispone de documentación acerca de los entornos de Cloud Computing. El
documento que se va a comentar en este punto es el siguiente “Cloud Computing -
Benefits, risks and recommendations for information security” [8].
Este documento ha sido desarrollado por un gran grupo de expertos de los entornos de
Cloud Computing, que representan diferentes Industrias u organizaciones, donde han
tratado de contextualizar los diferentes riesgos existentes de los entornos Cloud. El
resultado de este informe es un estudio en profundidad y un análisis sobre los beneficios
en y los riesgos desde una perspectiva de la seguridad de la información en los entornos
de Cloud Computing. Este informe es también una guía con recomendaciones de ENISA
para aplicar en entornos de Cloud Computing.

21
2.4.2.2 Cloud Computing Alliance (CSA)
“Cloud Security Alliance”(CSA) es una organización sin ánimo de lucro con la misión de
promover el uso de buenas prácticas con el fin de ofrecer seguridad dentro de los
entornos de Cloud Computing, además de dar una “educación” sobre los usos de los
entornos Cloud, ayudando a establecer entornos de Cloud más seguros. La CSA está
liderada por una amplia coalición de industrias, asociaciones y corporaciones
relacionadas con los Cloud.
La CSA tiene unos 40000 miembros afiliados en todo el mundo, esta organización obtuvo
una gran popularidad en el 2011 cuando la Casa Blanca seleccionó a CSA como centro
para anunciar las estrategias del gobierno en los entornos de Cloud Computing.
CSA dispone de una gran variedad de documentos para los entornos Cloud Computing,
tanto a nivel de guías de referencia, controles de seguridad e investigaciones sobre
entornos Cloud.
El documento que vamos a tomar como referencia es el siguiente "Guía para la
Seguridad en áreas críticas de atención en Cloud Computing, V2.1” [9] que contiene las
claves a tener en cuenta para comprender los principios y procesos que rigen el Cloud
Computing, los modelos a los que el Cloud Computing se acoge, y sobre todo, las áreas
críticas que se deben tener en cuenta y las medidas que deberían tomar los
responsables de seguridad de la información para que las organizaciones puedan
trabajar “en la nube” con la máxima garantía y confianza y los mínimos riesgos posibles.
2.4.2.3 NIST
"National Institute of Standards and Technology" (NIST) es una agencia de la
Administración de Tecnología del Departamento de Comercio de los Estados Unidos. Su
misión es la promover la innovación y la competencia industrial mediante avances en
normas, metrología y tecnología.
NIST también tiene documentación sobre los entornos de Cloud Computing que merece
la pena mencionar en este trabajo. Los documentos son los siguientes: "NIST Cloud
Computing Reference Architecture" [10] "Recommended Security Controls for Federal
Information Systems and Organizations" [11]. Estos documentos son más genéricos que
los anteriores, describiendo los entornos Cloud y dando unas recomendaciones
genéricas, sin embargo son informes a los que se hace referencia cuando se habla de
entornos de Cloud Computing y que se han utilizado para la realización del trabajo.
2.4.3 CERTIFICACIONES
Entre las diferentes certificaciones existentes especializadas dentro de los entornos
Cloud, merece la pena comentar la certificación “CCSK Certification Board” que será
tratada en el siguiente apartado.

22
2.4.3.1 Certificate of Cloud Security Knowledge
“Certificate of Cloud Security Knowledge”(CCSK) es una certificación que pertenece a la
organización CSA. Esta certificación proporciona una formación y una certificación de
profesionales para asegurar que el Cloud Computing se lleve bajo unos controles de
seguridad adecuados.
Esta certificación toma como documentación de referencia dos documentos
importantes dentro de los entornos Cloud. El primer documento es la "Guía para la
Seguridad en áreas críticas de atención en Cloud Computing, V2.1”, este documento
pertenece a la CSA. El otro documento es "Cloud Computing: Beneficios, Riesgos y
Recomendación para la Seguridad de la Información" de ENISA. Estos documentos
constituyen una gran contribución a la seguridad en la base de conocimientos de Cloud
Computing.
La certificación CCSK se obtiene completando un examen que comprende los conceptos
fundamentales de la Guía CSA y el documento de ENISA.
2.4.4 RIESGOS DEL CLOUD COMPUTING
Entre la inmadurez de la industria y la falta de modelos estándar de Cloud, hay una
disparidad muy amplia de la cualidad y la madurez de los controles de riesgo de los CSPs.
Los clientes de Cloud necesitan ganar una visión más amplia del alcance y los detalles
específicos de los controles de seguridad que los CSPs proveen. Durante las
negociaciones, se deben especificar responsabilidades sobre los riesgos y los CSPs deben
ser capaces de determinar las necesidades de cada uno de los riesgos y las decisiones
que se deben tomar si se adecuan a los intereses de los clientes y cubren las necesidades
de los riesgos.
Las herramientas y procesos que actualmente se llevan a cabo para ofrecer eficiencia y
deben ser implementados son:
 Control de identidades y accesos
 Controles sobre la seguridad física
 Sistemas para el control de cambios
 Programas para el desarrollo del ciclo de vida
 Recuperación en caso de desastre
 Controles perimetrales
 Prevención de pérdida de datos
 Firewalls
 IPS
 Sistemas SIEM (pueden que no sean tan efectivos) pues los datos que estaban
siendo monitorizados internamente ahora se han movido fuera.

23
Estos cambios requieren cambios en los procesos y procedimientos para asegurar que
los incidentes sobre la seguridad no ocurran.
Para cada proceso de migración al Cloud es muy importante entender primero qué
información va estar en el Cloud, dónde va estar dicha información y cuál es impacto de
que haya una brecha en la seguridad. Es necesario tener un inventario de la información,
que esté clasificada y etiquetada. Toda información que no está controlada por la
empresa, y que puede ser accedida de forma incontrolada, pasa de ser una información
valiosa a algo que no merezca la pena guardar, dado que se ha podido acceder a una
información alguien que no estaba autorizado para hacerlo. Es especialmente crítico que
los responsables de los datos entiendan que los datos que actualmente están alojados
dentro de la empresa, pueden ser movidos a un entorno Cloud, a la hora de establecer
los controles necesarios de acceso a la información.
A continuación se van a enumerar los diferentes riesgos que se presentan en los
entornos Cloud, y una descripción de los mismos.
1. Pérdida del gobierno de los datos. Al estar los datos en un servidor externo de la
empresa el cliente pierde el control de los datos y por lo tanto puede generar
incompatibilidades con requisitos de confidencialidad, integridad y disponibilidad
de los datos.
2. Adquisición del proveedor del Cloud. Puede que se produzcan cambios en la
estrategia del proveedor del Cloud y pueda amenazar los acuerdos tomados que
se habían tomado con el cliente. El impacto final podría generar desconfianza en
el cliente sobre ciertos activos cruciales.
3. Error o cancelación del servicio de la nube. Siempre que se haya contratado el
servicio Cloud con un proveedor externo, este proveedor puede dejar de prestar
el servicio Cloud en cualquier momento afectando a los servicios o datos que
esos clientes tienen en el servido.
4. Falta de recursos de la nube. Los servicios de la nube es un servicio que se ofrece
bajo demanda, es decir, que los recursos que necesita el cliente se van asignando
según estadísticas. Un modelo que no haga una buena previsión de los recursos
que se necesitan, puede llevar a grandes pérdidas. Por un lado, una estadística
sobredimensionada puede llevar a pérdidas económicas del proveedor del Cloud
y que deje de prestar el servicio de una forma adecuada. Por otro lado, si la
previsión se queda corta, no se ofrecerán todos los recursos que el cliente
necesita.

24
5. Proveedor del Cloud malicioso con abuso de sus altos privilegios. El entorno del
Cloud, cuenta con unas estructuras que hay que mantener, estas estructuras
están mantenidas por unos administradores que pueden tener uso privilegios
altos que pueden comprometer la confidencialidad y la integridad de los datos.
6. Interceptar datos en la subida o bajada de la información. Dentro de la
arquitectura Cloud, los datos se suben o se bajan de los servidores Cloud, según
las necesidades del cliente. Para ello es necesario disponer de una conexión
entre el servidor y los clientes. Esta conexión es uno de los puntos que hay que
vigilar ya que estos datos que viajan entre clientes y servidores pueden ser
interceptados por terceras personas, comprometiendo la confidencialidad de los
datos.
7. Fugas de información en los movimientos de datos dentro del entorno Cloud.
La arquitectura Cloud es una arquitectura distribuida. Esto implica que hay un
tránsito mayor de los datos dentro de los servidores que forman el Cloud.
Durante este tránsito de información hay que vigilar que no haya pérdidas de
información, los datos dejen de estar disponibles durante un tiempo o los datos
puedan estar interceptados como en el riesgo 6.
8. Eliminar los datos de una forma insegura o ineficaz. La información se almacena
en dispositivos hardware, estos datos pueden reubicarse a lo largo de su vida
útil, pasando por diferentes dispositivos. Si estos dispositivos no se tratan de
forma correcta los datos pueden estar disponibles más tiempo que el
especificado en la política de seguridad. Lo mismo podría ocurrir si se quiere
suprimir los datos de forma definitiva, sería necesario especificar procedimientos
especiales para que esos datos fuesen eliminados completamente.
9. Distribución de Denegación de Servicio (DDoS)1
. Este tipo de riesgo siempre está
presente en servicios que se encuentran en la red y por lo tanto también en los
entornos Cloud.
10. Denegación Económica de servicio (EDoS)2
. El dinamismo de los entornos Cloud
a la hora de asignar los recursos que son necesarios implica un cambio en el
coste de servicio. Un ataque de tipo EDoS, es cuando el cliente no puede hacer
frente al gasto extra que supone que supone esa ampliación de los recursos que
necesita. Los ataques de EDoS destruyen los recursos económicos; el peor
escenario sería la quiebra del cliente o un impacto económico grave.
1
DDoS: Ataque Distribuido de Denegación de Servicio (Distributed Denial of Service)
2
EDoS: Denegación Económica de Servicio (Economical Denial of Service)

25
11. Perdidas de las claves de codificación. Divulgación de las claves secretas (SSL,
codificación de archivos, etc.) o las contraseñas, la pérdida o corrupción de
dichas claves o su uso indebido para la autentificación y el no repudio.
12. Riesgos derivados del cambio de jurisdicción. Los datos de los clientes pueden
albergarse en múltiples jurisdicciones, que pueden ser de alto riesgo o no
cumplan las políticas de la empresa. Es decir, que si los datos están ubicados en
países de alto riesgo en los que no impera un estado de derecho o no respetan
los acuerdos internacionales, los datos o sistemas podrían ser divulgados o
confiscados por la fuerza. Lo que pondría en compromiso la confidencialidad de
los datos.
13. Riesgos de la protección de datos. Los entornos Cloud presentan riesgos para la
protección de datos tanto para los clientes como para los proveedores del Cloud.
Puede resultar costoso para los clientes comprobar que el procesamiento de
datos que lleva a cabo el proveedor se hace de forma conforme con la ley. El
cliente es el responsable del procesamiento de esos datos personales, aunque el
servicio lo preste un proveedor de Cloud.
14. Riesgos relativos a la licencia. Las condiciones con los que se adquieren las
licencias para trabajar en los programas en las maquinas físicas, pueden no ser
válidas cuando se trata de servicios en la nube o tengan unos costes mucho más
elevados.
15. Brechas en la red. En el caso de que el servicio de la nube tenga un fallo, son
muchos los usuarios que se ven afectados por ese fallo simultáneamente.
16. Gestión de la red. Es uno de los puntos más importantes que hay que controlar,
tanto la configuración como la monitorización. Una red congestionada o con
fallos, da lugar al que el servicio Cloud no se ofrezca de la forma correcta.
17. Modificación del tráfico de la red.
18. Escalada de privilegios. Al encontrarse los usuarios compartiendo los datos en el
mismo servidor de Cloud, una mala asignación de los permisos a los usuarios
podría dar a que los usuarios puedan acceder a datos a los que no tienen
privilegios.
19. Ataques de ingeniería social (suplantación). Este tipo de ataques consiste en
obtener información confidencial a través de la manipulación de usuarios
legítimos.

26
20. Pérdida o robo de las copias de seguridad.
21. Acceso no autorizado a los locales. Los proveedores de la nube suelen
concentrar grandes centros de datos, por lo que requieran de un mayor número
de personas que tengan que acceder físicamente a ellos, comprometiendo la
seguridad de los mismos.
22. Robo de equipos informáticos.
23. Catástrofes Naturales. Es un riesgo que hay que tener siempre en cuenta cuando
se habla de equipos informáticos y que se tienen que encontrar en un lugar
seguro.
24. Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud.
25. Desafíos de Cumplimiento. El proveedor de Cloud no es capaz de demostrar que
cumple los requisitos acordados.
2.4.4.1 CLASIFICACIÓN DEL RIESGO
Una vez presentados los riesgos es necesario valorar los mismos. Para ello se tomará
como base la tabla definida en el apartado 2.3. A través de la valoración de la
probabilidad de ocurrencia así como del impacto que podría causar el riesgo en caso de
materializarse, obtendremos un nivel final para cada uno de los riesgos previamente
identificados. Esta valoración se ha realizado según el documento “Cloud Computing -
Benefits, risks and recommendations for information security” [8] donde se detalla una
descripción de las vulnerabilidades y los activos que se ven afectados para cada riesgo.
A continuación se detalla la valoración final para cada uno de los riesgos identificados en
el apartado 3.1.4.
CLOUD COMPUTING
VALORACIÓN RIESGOS
ID Riesgo Probabilidad Impacto
Valoración
Riesgo
1 Pérdida del gobierno de los datos 4 4 8
2 Adquisición del proveedor del Cloud N/A 2 2
3 Error o cancelación del servicio en la nube N/A 4 4
4 Falta de recursos de la nube 1 2 3

27
CLOUD COMPUTING
VALORACIÓN RIESGOS
ID Riesgo Probabilidad Impacto
Valoración
Riesgo
5
Proveedor del Cloud malicioso con abuso de sus
altos privilegios
2 4 6
6
Interceptar datos en la subida o bajada de la
información
2 3 5
7
Fugas de información en los movimientos de
datos dentro del entorno Cloud
2 3 5
8
Eliminar los datos de una forma insegura o
ineficaz
2 4 6
9 Distribución de Denegación de Servicio (DDoS) 2 1 3
10 Denegación económica de servicio (EdoS) 1 3 4
11 Perdidas de las claves de codificación 1 3 4
12 Riesgos derivados del cambio de jurisdicción 4 3 7
13 Riesgos de la protección de datos 3 3 6
14 Riesgos relativos a la licencia 2 2 4
15 Brechas en la red 1 4 5
16 Gestión de la red 2 4 6
17 Modificación del tráfico de la red 1 3 4
18 Escalada de privilegios 1 3 4
19 Ataques de ingeniería social (suplantación) 2 3 5
20 Pérdida o robo de las copias de seguridad 1 3 4
21 Acceso no autorizado a los locales 0 3 3
22 Robo de equipos informáticos 0 3 3
23 Catástrofes Naturales 0 3 3
24
Conflictos entre los usuarios en el
endurecimiento de las políticas del Cloud
1 2 3
25 Desafíos de Cumplimiento 4 3 7
Tabla 8: Valoración de los Riesgos Cloud Computing

28
2.5 AUDITORÍAS BYOD (BRING YOUR OWN DEVICE)
2.5.1 INTRODUCCIÓN AL BYOD
El término BYOD (Bring Your Own Device) procede del concepto de “consumerización”
[12]3
. Dicho concepto hace referencia a la tendencia creciente de las tecnologías de la
información para emerger en el mercado de consumo y propagarse a empresas y
organizaciones gubernamentales.
Así pues, BYOD es un efecto lateral de la consumerización, pues consiste en que los
trabajadores de la organización llevan al trabajo sus propios dispositivos móviles con sus
datos, aplicaciones y sus espacios de trabajo (unificando el uso personal con el laboral).
Actualmente BYOD no sólo hace referencia a los dispositivos electrónicos en sí
(smartphones, tablets, portátiles), sino también a servicios web, redes sociales (desde
Facebook a Dropbox) y servicios de correo electrónico.
Dejando de lado los tipos de negocios de cada empresa y casos particulares, las ventajas
para las empresas vienen dadas directamente de las que reciben sus empleados. Al
utilizar estos sus propios dispositivos para trabajar, estos utilizan un entorno tecnológico
al cual ya están acostumbrados y que llevan consigo en todo momento, pudiendo así
responder rápidamente ante cualquier situación que se presente, resultando de esta
forma más cómodo para el trabajador realizar sus tareas.
La razón por la que muchas empresas están adoptando el fenómeno BYOD es simple, y
siempre la misma: se mejora la productividad de los empleados, ya que utilizan sus
propios dispositivos, con los que están familiarizados, y se reducen costes al no tener
que adquirir dichos dispositivos. No obstante, las herramientas de Cloud Computing
permiten que la empresa pueda ofrecer el mismo acceso al empleado, sin importar qué
dispositivo utilice, facilitando a su vez el manejo y la seguridad de la información, sin ser
necesario que cada dispositivo aloje la información sensible de la empresa para poder
trabajar con ella.
También es cierto que el BYOD no está exento de riesgos ya que al utilizar dispositivos
propios para acceder a redes corporativas, se usa un software que puede no ser el
recomendado por la empresa. El comportamiento de los empleados puede llegar a
escaparse del control del departamento de TI. Estas redes corporativas contienen
información muy importante para las empresas y su seguridad es una prioridad, por lo
que es necesario asegurar la seguridad de los sistemas desde dentro, logrando que todo
el entorno esté altamente protegido, sin importar desde dónde se haga el acceso a la
información.
3
[12] A.Scarfo,“NewSecurityPerspectives around BYOD,” in Broadband, Wireless Computing,
Communication and Applications(BWCCA),2012 Seventh International Conference on, 2012, pp.
446–451.

29
Que los empleados utilicen sus propios dispositivos para el trabajo es algo que debe
estar controlado en todo momento [13]4
. La implantación de esta tendencia debe estar
muy bien planificada, por ello se debe conocer y entender las necesidades de los
empleados, valorando la practicidad y efectividad de implementar un plan de BYOD.
Actualmente, la posición de las empresas respecto a esta tendencia es muy dispar [14]5
.
Existen casos distantes en los cuales se considera que la adopción del BYOD supone una
fuente de riesgo y un desembolso que supera al retorno ofrecido, en estos casos se
deriva del concepto de “Bring Your Own Device” el concepto de “Bring Your Own
Disaster”. Otras en cambio, han decido restringir BYOD a ciertos entornos corporativos y
dispositivos, limitando el alcance y el acceso sobre la información sobre grupos
específicos tales como la dirección. La tercera postura, es la de permitir el acceso a la
información desde cualquier dispositivo a cualquier empleado. Esta posición exige unas
medidas de seguridad muy estrictas.
Imagen 9: Restricciones BYOD
Es por ello que la adaptación de esta tendencia trae consigo un cambio en el paradigma
de gestión de la seguridad de la información en las empresas, ya que abarca una amplia
variedad de dispositivos, aplicaciones y sistemas operativos que deben manejarse. Sea
cual sea la opción seleccionada, la empresa siempre debe tener el control de su
información y la traza de la misma nunca debe perderse.
4
[13] K. W. Miller, J. Voas, and G. F. Hurlburt, “BYOD: Security and Privacy Considerations,” IT
Professional, vol. 14, no. 5, pp. 53–55, 2012.
5
[14] “Cisco Study: IT Saying Yes To BYOD.” 16-May-2012.

30
2.5.2 PRINCIPALES RETOS DEL BYOD
2.5.2.1 GESTIÓN DE RIESGOS
Un punto muy importante a la hora de garantizar la seguridad de la información de una
empresa es una adecuada gestión de los riesgos. Para ello necesitamos conocer los
activos de información con que cuenta la empresa. Los análisis de riesgos parten de
clasificarlos activos según su sensibilidad, qué niveles de protección requieren, qué
información puede y debe ser accesible para el entorno laboral y a cual se le debe
restringir el acceso.
A partir de este análisis se llega a establecer qué medidas de control son las más
adecuadas para garantizar la seguridad de información, que van desde dispositivos o
medidas tecnológicas como por ejemplo soluciones antivirus, DLP, VPN, Firewall, IDS,
IPS, entre otros, hasta el establecimiento de políticas para la gestión de los dispositivos,
donde se determina qué tipo de dispositivos y aplicaciones es posible utilizar por los
empleados.
2.5.2.2 TELETRABAJO
Al ser posible el manejo de la información laboral en dispositivos personales, otras
oportunidades como la posibilidad de trabajar desde cualquier lugar en cualquier
momento (movilidad persistente) tienen un impulso importante. Este tipo de
oportunidades hace que las empresas consideren en sus análisis de riesgos implicaciones
legales que pudieran llegar a tener. Por ejemplo, que el empleado utilice sistemas
operativos o aplicaciones no licenciadas para la manipulación de la información laboral.
Este tipo de tendencia fomenta una conexión constante con el ámbito laboral
garantizando así un compromiso mayor por parte de los empleados con el desempeño
de las actividades laborales, además de promover la comodidad y libertad de éstos. Esto
alimenta la satisfacción de los empleados con respecto a sus obligaciones aumentando
la relación entre lo lúdico y lo profesional.
2.5.2.3 DISPOSICIÓN DE LA INFORMACIÓN
Si el empleado manipula la información de la empresa en su dispositivo, debe estar claro
cuál será la disposición de la misma una vez terminada la relación contractual, debido a
que es muy complicado tener la seguridad de que esta información será eliminada. Es
necesario tener siempre presente que este tipo de información se puede descargar y
manipular desde dispositivos personales. Además, aspectos contractuales como la firma
de acuerdos de confidencialidad se hacen indispensables para actuar en caso de que la
información sea expuesta. Son comunes casos donde se firman políticas en las cuales se
adquiere el compromiso de que en caso de fin contractual y/o robo del dispositivo, el
empleado acepta que dicho dispositivo sea borrado por completo, perdiendo toda la
información de carácter personal que pudiera contener.

31
2.5.2.4 GESTIÓN DE APLICACIONES
Uno de los retos más importantes para las empresas es la gran diversidad de
aplicaciones que un empleado pudiera llegar a tener instalado en sus dispositivos. El
desafío para las empresas, radica entonces en asegurar que los dispositivos de los
empleados usados para acceder a la información laboral no utilicen aplicaciones que
puedan poner en peligro la integridad de dicha información.
Al mismo tiempo es necesario que la empresa diferencie el uso de sus recursos por parte
de los empleados a través de sus dispositivos personales. En estos casos la gestión de los
recursos de red es básica para impedir la intrusión ilegal en los sistemas de la empresa.
Queda muy claro en este punto que cuando se habla de BYOD se hace referencia a una
tendencia consolidada y ante la cual las empresas deben tomar una posición al respecto.
La implantación de esta tendencia puede traer grandes beneficios a la empresa,
relacionados a la reducción de gastos en infraestructura, la comodidad de los
empleados para el manejo de la información y por lo tanto un aumento en la
productividad, pero a su vez, enfrentan nuevas amenazas que deben ser gestionadas.
Para hacer frente a estos retos, las empresas deben de establecer una mezcla entre
políticas claras para el manejo y control de la información y el uso de herramientas y
tecnologías adecuadas que permitan gestionar la seguridad de la información en todo
momento. Todo esto debería estar alineado con los objetivos del negocio, pues
cualquier decisión que se tome debe estar enfocada en aumentar la productividad y
hacer más ágiles y seguros los procesos internos. Además, se debe complementar con
un adecuado plan de divulgación y educación para todos los niveles de la organización,
logrando así el conocimiento de las restricciones y el correcto manejo de la información
para garantizar la efectividad del trabajo realizado.
2.5.2.5 GESTIÓN DE AUTORIZACIONES
Las empresas deben establecer un criterio firme para decidir que usuarios están
autorizados a utilizar dispositivos personales. Estas necesidades suelen darse en forma
de peticiones de los empleados, como requisitos para ciertos ámbitos o funciones
concretas, como respuesta ante posibles riesgos o bien, de forma genérica, como
combinación de todas o algunas de las anteriores.
2.5.2.6 DISPOSITIVOS PERMITIDOS
En situaciones en las cuales las aplicaciones se instalan sobre los dispositivos, se deben
establecer especificaciones en cuanto al tipo de soporte sobre el sistema operativo,
aplicaciones, rendimientos u otros posibles criterios. Soluciones como la virtualización
suelen eliminar estas consideraciones en tanto en cuanto se puede acceder a cualquier
puesto de trabajo desde cualquier dispositivo.

32
2.5.2.7 DISPONIBILIDAD DE SERVICIOS
BYOD no tiene por qué tratarse de una tendencia en la cual decidamos permitir/no
permitir el acceso a todos/ningún dispositivo. Soluciones intermedias suelen ser las más
adecuadas. Para ello, se deben pensar qué servicios específicos se van a poner al servicio
de BYOD y sobre que grupos/tipos de usuarios y dispositivos se va a aplicar, además de
consideraciones relativas al conjunto de la red disponible.
2.5.2.8 IMPLANTACIÓN Y DESPLIEGUE
Una vez diseñado el plan de actuación e implantación del nuevo paradigma de TI, la
comunicación resulta vital para su correcta aplicación. Se deben hacer llegar
instrucciones detalladas a los empleados para comunicarles el nuevo sistema así como
las condiciones bajo las cuales se llevará a cabo. Se deben transmitir las
responsabilidades que implican el uso de dispositivos personales y los riesgos asociados
a los mismos. Las políticas de uso de la información deberían ser uniformes tanto para
dispositivos BYOD como para sistemas corporativos.
2.5.2.9 GESTIÓN DE COSTES Y MANTENIMIENTO
Como ya se ha introducido, una de las principales ventajas del BYOD es la reducción de
costes haciendo que los usuarios compartan o asuman en su totalidad los costes
derivados de los dispositivos móviles evitando que el departamento de TI cargue con la
responsabilidad de aprovisionar, mantener y renovar dichos sistemas.
Una política adecuada de BOYD debe especificar claramente cómo se llevarán a cabo y
quien deberá hacerse cargo de los costes asociados a intervenciones de soporte y
mantenimiento. En el proceso de sustitución de un dispositivo corporativo por uno
personal, se puede esperar que el soporte lo proporcione la entidad corporativa. Es por
ello que se deben especificar claramente las condiciones con el fin de que la carga de
trabajo sobre los departamentos de sistemas y/o TI no aumente de manera exponencial.
2.5.2.10 SEGURIDAD Y CONFORMIDAD
En situaciones concretas donde la información necesite estar presente en los
dispositivos personales (por ejemplo peticiones de la dirección) los datos pueden ser
protegidos por mecanismos de aislamiento tales como cifrado o borrado/desactivación a
distancia en caso de pérdida o extravío. Para evitar extracciones indebidas, pueden ser
deshabilitados medios de impresión o de almacenamiento locales como unidades USB.
En los casos en los cuales se utilizan sistemas gestionados, los departamentos
responsables administran directamente los dispositivos BYOD, incluyendo la validación,
autorización y acceso a los recursos. El coste de esta solución no solo se multiplica sino
que además es proporcional al crecimiento de la entidad.

33
2.5.3 DOCUMENTACIÓN DE REFERENCIA
Por ser un fenómeno reciente, apenas podemos encontrar marcos de referencia para
este nuevo paradigma/modelo. Sin embargo sí que existen bastantes políticas definidas
y aplicaciones de gestión de los dispositivos diseñadas por diferentes empresas.
Igualmente en el ámbito de la investigación se pueden encontrar distintas guías para
definir un buen plan de gestión de la seguridad en lo que a BYOD se refiere. A
continuación se presentan algunas de las soluciones más representativas:
2.5.3.1 CISCO
Cisco Bring Your Own Device (BYOD) Smart Solution Design Guide [15] es el nombre de la
solución que ofrece Cisco y, posiblemente, es una de las guías más extensas y completas
a fecha actual para mejorar la seguridad en entornos BYOD. En su última revisión, a
fecha actual, data del 20 diciembre del 2012 y en ella presenta la base de BYOD Smart
Solution 1.0 [16] de Cisco. Dicha solución inteligente es un enfoque integral a BYOD que
incluye una guía de diseño validada, servicios profesionales y soporte, un plan de
auditoría integrado y un enfoque modular que sigue los casos de uso definidos en el
diseño validado.
La guía puede consultarse on-line o bien ser descargada en formato .pdf, y en ella se
presentan los siguientes puntos:
 Descripción de la solución
o BYOD Smart Solution 1.0 de Cisco
o Controladores del negocio
o Desafíos para organizaciones de TI
o Desafíos para los usuarios finales
o Consideraciones previas a la adopción de BYOD
 Diseño general
o Componentes de la solución de Cisco
Entre los que se encuentran: Cisco Access Points, Cisco Wireless Controller, Cisco
Identity Services Engine, Cisco Adaptive Security Appliance, Cisco AnyConnect
Client, Cisco Integrated Services Routers, Cisco Aggregation Services Routers,
Cisco Catalyst Switches y Cisco Prime Infrastructure.
o Acceso seguro a la red corporativa
o Casos de Uso BYOD cubiertos en la guía
o Diseño de una WAN (Wide Area Network) ramificada
o Diseño ramificado de red
o Alta disponibilidad del controlador de red inalámbrica
o Consideraciones de la aplicación
o Requisitos de licencias para una solución BYOD

34
 Configurando la infraestructura
o Infraestructura inalámbrica
o ISE (Identity Services Engine)
En el que se explica la necesidad del uso de certificados de identidad, cómo
integrar ISE con Active Directory, el funcionamiento de los portales de registro de
invitados, políticas de autenticación, políticas de autenticación inalámbricas,
cableadas y de dispositivos remotos así como políticas de autorización.
o CAS (Certificate Authority Server)
o Diseño de la infraestructura cableada
 Acceso BYOD mejorado
o Identificación de grupos y Active Directory
o Distribución de Certificados Digitales
o Aprovisionamiento de dispositivos móviles
o Flujos de aprovisionamiento
o Almacenamiento de la clave y del certificado
o Perfiles de autorización para dispositivos inalámbricos (acceso total, parcial o
sólo Internet)
o Perfiles de autorización para dispositivos cableados (acceso total, parcial o
sólo Internet)
o Dispositivos Android y perfil de denegación de acceso
o Experiencia de usuario
 Acceso BYOD limitado
o Grupos de identidades, Active Directory, y listas blancas
o Dispositivos corporativos (acceso completo)
o Perfiles de autorización para usuarios inalámbricos
o Perfiles de autorización para usuarios cableados
 Acceso inalámbrico BYOD como invitado
o Direccionamiento IP y DNS
o Autenticación and Autorización
o Acceso inalámbrico a invitados en la ramificación de red
 Diseño de acceso básico
o Extender el acceso inalámbrico de invitados a los dispositivos personales de
los empleados.
o Desarrollar accesos inalámbricos similares a los de invitado para los
dispositivos personales de los empleados
o Accediendo a los recursos corporativos
 Acceso de dispositivos remotos
o Componentes de la solución:
o Dispositivos Windows conectándose a la red de forma remota
o Dispositivos iOS conectándose a la red de forma remota

35
 Gestión de dispositivos perdidos o robados
o Grupo de identidades en lista negra
o Portal “mis dispositivos”
o Introducción en lista negra de dispositivos manualmente
o Endpoint Protection Services (EPS)
o Revocación de certificados digitales
o Desabilitar tokens RSA SecurID
 Gestión de red BYOD
o Acrónimos y terminología
o Infraestructura general Cisco Prime
o Infraestructura Prime y componentes de soporte
o Rastreo de usuarios y dispositivos BYOD
o Configuración BYOD basada en plantilla
 Consideraciones de escalabilidad
o Despliegue distribuido ISE
o ISE y balanceo de carga
o Configuración de balanceo de carga en PSN y ACE
o Archivos de configuración para ACE
o Cumplimiento de políticas
Y finalmente tres apéndices, entre los que podemos encontrar una tabla de políticas
junto con las explicaciones y configuraciones para cada una de ellas en detalle.
2.5.3.2 GARTNER
Gartner for IT Leaders Tool – Template for Mobile Device Policy and Procedures for
Personally Owned Devices: BOYD Program [17] es una guía de referencia plasmada en
una plantilla y desarrollada por el grupo de expertos de Gartner en Junio del 2012 a fin
de:
 Ayudar a los clientes a resolver la amplia gama de cuestiones sobre políticas y
procedimientos relacionados con el uso de dispositivos móviles.
 Proporcionar opciones para las políticas y los procedimientos basados en el
conocimiento de Gartner sobre dispositivos móviles
 Proporcionar un lenguaje que pueda ser adoptado directamente (o fácilmente
adaptado) en los documentos de políticas de la organización.
Igualmente hacen hincapié en que se trata de una plantilla y que muchas de las políticas
o aspectos considerados pueden no tener sentido en algunos casos, o incluso puede ser
necesario ampliarlos en otros.
 Antecedentes de las políticas y contexto
 Definiciones (de elementos del contexto)

36
 Alcance
o Papeles y responsabilidades del usuario
 Responsabilidades del usuario
 Condiciones
 Pérdida o robo
 Aplicaciones y descargas
 Copias de seguridad, intercambio de ficheros o sincronización
 Funcionalidad y gestión de las características
o Seguridad del usuario
o Seguridad de los datos y del sistema
o Sanciones
 Soporte para BYOD
o Guías de reembolso
o Descuentos de la organización
 Proceso de soporte técnico
o Cómo obtener soporte
o Garantía y responsabilidad de reemplazo
 Miscelánea
o Finalización de empleo (contrato)
o Excepciones
o Descubrimiento electrónico del dispositivo
 Otros documentos relacionados
 Acuerdo del usuario
Además de estos puntos principales a tener en cuenta, se presentan cinco anexos:
 Directrices para la elegibilidad
 Dispositivos y plataformas elegibles
 Criterios de seguridad para dispositivos móviles de propiedad privada
 Estipendios para los empleados elegibles
 Software y servicios reembolsables

37
2.5.3.3 ISO 27001 – RESUMEN DE POLÍTICAS INFERIDAS PARA BYOD
Una guía concisa y básica inferida por NoticeBored en base a las políticas definidas en la
ISO 27001 [18]. Al igual que en el caso anterior (Gartner), recomiendan personalizar los
distintos apartados de la plantilla, indicando que lo que proponen no es suficiente en
todos los casos, y que se trata de algo genérico derivado del conocimiento de las buenas
prácticas de seguridad y las normas internacionales, no de los casos específicos de cada
empresa u organización.
La plantilla proporcionada sigue la siguiente estructura:
 Resumen de las políticas
 Aplicabilidad
 Detalle de las políticas
o Antecedentes
o Axiomas de la política (principios orientadores)
o Requisitos detallados de la política
 Responsabilidades
o Gestión de la seguridad de la información
o Departamento de TI
o Soporte técnico
o Empleados relevantes
o Auditoría interna
Políticas relacionadas, estándares, procedimientos y guías.
2.5.4 CERTIFICACIONES
El número de certificaciones para BYOD es bastante escaso puesto que, al ser una
tendencia tan novedosa y al haber tanta heterogeneidad entre tecnologías y
dispositivos, no se han definido apenas certificaciones. Las dos certificaciones principales
son las de Aruba Networks y Cisco Systems.
2.5.4.1 ARUBA NETWORKS
Aruba Networks han sido los primeros en disponer de una certificación [19]6
para
comunicación en entornos BYOD, la cual incluye diseño de redes inalámbricas, seguridad
de red y gestión de dispositivos móviles y aplicaciones.
Además de la certificación, han desarrollado un sistema (ClearPass) [20]7
para gestionar
las políticas de forma centralizada de forma que los usuarios no tengan que llevar
software adicional en sus dispositivos ni sea necesario cambiar la red existente.
6
[19] “Aruba Certified Solutions Professional (ACSP).”
7
[20] “Aruba Networks - BYOD Solution (ClearPass).”

38
Los distintos cursos/exámenes que debe superar un candidato para obtener la
certificación son los siguientes:
 Aruba Certified Solutions Professional (ACSP): cubre el diseño de redes
inalámbricas, el aprovisionamiento de dispositivos, la gestión de aplicaciones y la
seguridad de red. La certificación cubre también el despliegue de voz y vídeo
sobre redes inalámbricas en los dispositivos móviles.
 Aruba Certified Mobility Associate (ACMA): conocimiento técnico sobre el
despliegue de redes WLAN en entornos empresariales con un único controlador
de movilidad.
 Aruba Certified Mobility Professional (ACMP): complementa al anterior,
presentando configuraciones más complejas de WLANs en entornos con
múltiples controladores de movilidad.
 Aruba Certified ClearPass Professional (ACCP): certificación que verifica el
conocimiento y capacidad para administrar los módulos de ClearPass
correspondientes a la gestión de políticas y al sistema de invitados.
 Aruba Wireless Mesh Professional (AWMP): certificación que valida la habilidad
de diseñar y desplegar redes inalámbricas de exterior.
 Aruba Certified Design Expert (ACDX): valida la habilidad técnica para diseñar
grandes redes inalámbricas, como la de un campus o redes de gran cobertura. Se
requiere tener la certificación ACMP obtener ésta.
 Aruba Certified Mobility Expert (ACMX): prueba la experiencia técnica en
implementar y solucionar problemas en grandes redes inalámbricas. Al igual que
en el caso anterior, es necesario disponer previamente de ACMP.
Es necesario renovar las anteriores certificaciones cada tres años.
2.5.4.2 BRING YOUR OWN DEVICE (BYOD) CISCO TRAINING
Al igual que Aruba Networks, Cisco ha desarrollado su propia aplicación de gestión para
aplicar en entornos BYOD (Cisco Unified Access Solution). En su certificación [21]8
no sólo
enseñan a utilizar dicha herramienta sino que analizan los diversos factores que
intervienen en la seguridad de este tipo de entornos, entre los que se encuentra el nivel
de acceso permitido a la red corporativa.
8
[21] “Bring Your Own Device (BYOD) Cisco Training.”

Planes de auditoria y buenas practicas para entornos cloud computing y bring your own device

Planes de auditoria y buenas practicas para entornos cloud computing y bring your own device

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Planes de auditoria y buenas practicas para entornos cloud computing y bring your own device

Similar a Planes de auditoria y buenas practicas para entornos cloud computing y bring your own device (20)

Último

Último (11)

Planes de auditoria y buenas practicas para entornos cloud computing y bring your own device