SlideShare una empresa de Scribd logo

Cloud wp spanish_23_feb2011

J
Jesus Alvarez
1 de 11
Descargar para leer sin conexión
Un documento técnico de ISACA sobre tecnología emergente C omputación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Resumen La globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negocios ha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamiento dinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube y también examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento ISACA® Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA® Journal y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadas Certified Information Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®) y Certified in the Governance of Enterprise IT® (CGEIT®). ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,® Val IT™ y Risk IT, los cuales ayudan a los profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor al negocio. Cláusula de exención de responsabilidad ISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultados satisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados o excluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener los mismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, los profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con las circunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico. Reservación de derechos © 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico, interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico: info@isaca.org Página Internet: www.isaca.org Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo. 2 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento ISACA desea agradecer a: Equipo de desarrollo de proyectos Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directiva Phil Agcaoili, CISM, CISSP, Dell, EE.UU. Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU. Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU. H. Peet Rapp, CISA, Rapp Consulting, EE.UU. Jim Reavis, Cloud Security Alliance, EE.UU. Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU. Joel Scambray, CISSP, Consciere, EE.UU. Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU. Consejo de dirección de ISACA Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vicepresidente Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp., Australia, Vicepresidente Robert Stroud, CGEIT, CA Inc., EE.UU., Vicepresidente Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Vicepresidente Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional Pasado Everett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional Pasado Gregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Director Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes Comité de orientación y prácticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directiva Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU. Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU. Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canadá Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India Anthony P. Noble, CISA, Viacom, EE.UU. Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., México Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Bélgica Frank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda The Cloud Security Alliance, del cual ISACA es miembro fundador © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 3
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Impactos de la computación en la nube Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitido que la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionar a las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo que hay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio. Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI. Por todas estas razones, es fácil ver por qué la computación en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida “Podría decirse que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes que la promesa de y eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgos una computación internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los en la nube está procesos de negocio. revolucionando el mundo de Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y servicios de TI características como agilidad y velocidad de suministro. Sin embargo, como una “nueva” al transformar iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nube introduce un nivel de abstracción entre la infraestructura física y el propietario de la información la computación que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control en una unidad directo o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso. ubicua”. Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computación en la nube. Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué tipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio. ¿Qué es computación en la nube? Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar la evaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones 4 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con el proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de una empresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen la opción de pagar por los servicios de TI dependiendo del consumo. Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelos de implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferirán según el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación, las empresas deben considerar los riesgos relacionados. Figura 1—Modelos de servicio de la computación en la nube Modelo de servicio Definición Lo que se debe considerar Infraestructura como un servicio (IaaS) Capacidad para configurar procesamiento, Opciones de minimizar el impacto si el almacenamiento, redes y otros recursos proveedor de la nube experimenta una de computación fundamentales, ofreciendo interrupción del servicio al cliente la posibilidad de implementar y ejecutar software arbitrario, el cual puede incluir sistemas operativos y aplicaciones. IaaS coloca estas operaciones de TI en las manos de un tercero. Plataforma como un servicio (PaaS) Capacidad para implementar en la • Disponibilidad infraestructura de la nube aplicaciones • Confidencialidad creadas o adquiridas por el cliente que • a privacidad y la responsabilidad legal L se hayan creado utilizando lenguajes y en caso de una violación de la seguridad herramientas de programación que estén (ya que las bases de datos que contienen respaldados por el proveedor información sensitiva ahora estarán hospedadas fuera del sitio) • Propiedad de los datos • Preocupaciones acerca del e-discovery Software como un servicio (SaaS) Capacidad para utilizar las aplicaciones • ¿Quién es el dueño de las aplicaciones? del proveedor que se ejecutan en la • ¿Dónde residen las aplicaciones? infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a través de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrónico basado en la web). Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura Lo que se debe considerar de la nube Nube privada • Operada únicamente para una organización • Servicios en la nube con riesgo mínimo • uede ser manejada por la organización o P • s posible que no proporcione la E un tercero escalabilidad y agilidad de los servicios • uede existir dentro o fuera de las P de la nube pública instalaciones © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 5
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura Lo que se debe considerar de la nube Nube comunitaria • Compartida por varias organizaciones • gual que la nube privada, pero I • espalda una comunidad específica que R adicionalmente: haya compartido su misión o interés. • os datos pueden estar almacenados L • uede ser manejada por las organizaciones P con los datos de los competidores. o un tercero • uede residir dentro o fuera de las P instalaciones Nube pública • sta disponible para el público en general o E • gual que la nube comunitaria, pero I un grupo industrial grande adicionalmente: • ertenece a una organización que vende P • os datos pueden estar almacenados L servicios en la nube en ubicaciones desconocidas y pudieran no ser fáciles de recuperar. Nube híbrida Una composición de dos o más nubes • l riesgo agregado de combinar dos E (privada, comunitaria o pública) que continúan modelos de implementación diferentes siendo entidades únicas, pero que están • a clasificación y el etiquetado de datos L unidas mediante tecnología estandarizada ayudará al gerente de seguridad a o propietaria que permite la portabilidad de garantizar que los datos se asignen datos y aplicaciones (por ejemplo, ampliación al tipo de nube correcto. de la nube [cloud bursting] para equilibrar la carga entre las nubes.) Figura 3—Características fundamentales de la computación en la nube Característica Definición Autoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como el almacenamiento en servidores y redes, según sea necesario sin requerir interacción humana con cada proveedor de servicios. Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA). Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignados y reasignados de manera dinámica según la demanda. Existe un sentido de independencia geográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel de abstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales. Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casos automáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, además, se puede adquirir cualquier cantidad de capacidades en cualquier momento. Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizando una capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio. Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades en relación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendo de los tipos de modelo de servicio e implementación seleccionados. 6 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Los beneficios de negocio de la computación en la nube Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: • Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y el precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos. Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión. Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales. • Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo. • Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. • Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para las necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlar el tráfico y reducir el tiempo necesario para implementar nuevos servicios. • Eficiencia—Reasignar actividades operacionales de gestión de la información a la nube “…al tercerizar ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y parte de la gestión pudiera incluso ser más útil que las ventajas financieras que ofrece la nube. de información y • Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se pueden utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir las operaciones de un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico TI, los trabajadores pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar de una empresa se la sostenibilidad durante un evento inesperado. sentirán libres de El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los mejorar procesos, empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más aumentar la inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera productividad e efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las innovar…” oportunidades que ofrecen los servicios en la nube. © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 7
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Riesgos y preocupaciones de seguridad relacionados con la computación en la nube Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atención puesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de su negocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología del proveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitectura de la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de los riesgos que plantea la computación en la nube para la empresa son: • Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar que los servicios estarán disponibles y que los datos se podrán rastrear. • Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio. • La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la información realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras. • El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad intelectual (IP) y los secretos comerciales. • Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales. • Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuesta y recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato. Estrategias para tratar riesgos relacionados con la computación en la nube Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un programa de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución. En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos constituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de forma apropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que sea sensitiva o de gran valor para la organización. 8 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, el acuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puede utilizar la empresa para asegurar la adecuada protección de la información que se confía “En un ambiente a la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes pueden donde la privacidad especificar si se utilizarán marcos de control conjunto y describir la expectativa de una se ha vuelto crucial auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener las expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad para los clientes de la información. Además, los requerimientos correspondientes a la continuidad del empresariales, negocio y a la recuperación en caso de desastre (que se discutieron anteriormente) se deberán expresar en el acuerdo. el acceso no autorizado a La protección de la información evolucionará como resultado de un acuerdo de nivel de información en la servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido e integral. La estructuración de un acuerdo de nivel de servicio detallado y completo que nube es una gran incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la preocupación”. gestión de su información una vez que ya no esté en la compañía y se haya transportado, almacenado o procesado en la nube. Problemas de gobierno y cambios relacionados con la computación en la nube La dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la computación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que anteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguen cumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de forma estratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas son seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con un tercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares, definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la tecnología de computación en la nube y sus proveedores. Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transición a la computación en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la información de la compañía en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas. Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar los procesos que detallan la manera cómo se almacena, archiva y respalda la información. La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información aborden los usos de los servicios en la nube. © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 9
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Consideraciones sobre el aseguramiento en relación con la computación en la nube Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computación en la nube? Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes: • Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y robustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado, cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe ser transparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparencia del proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene la segregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes? ¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia? • Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad, será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probables que se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto de información como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicación se deben probar periódicamente durante las operaciones. • Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estándares. En lo que respecta a la computación en la nube, existe la preocupación de que los datos puedan no estar almacenados en “La computación en un solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si los la nube representa datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro una oportunidad otras informaciones. Las auditorías realizadas por las propias autoridades legales, de estandarización y reguladoras demuestran que puede haber muchas extralimitaciones en excepcional de tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que una actualizar la empresa podrá obtener su información cuando la necesite, y algunos proveedores incluso se están reservando el derecho a limitar la información que proporcionan a las autoridades. seguridad y los • Flujo de información transfronterizo—Cuando la información se puede almacenar controles de TI para en cualquier lugar de la nube, la ubicación física de la información puede convertirse un mejor futuro”. en un problema. La ubicación física determina la jurisdicción y la obligación legal. Las leyes nacionales que rigen la información personal identificable (PII) pueden variar considerablemente. Lo que está permitido en un país puede considerarse una violación en otro. • Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que están haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditorías de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento. El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internos y la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponibles públicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se deben consultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcos de control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y los controles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tanto la eficiencia como la seguridad integrada de su portafolio de TI. 10 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Conclusión Si bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgos para informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos se deben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio. Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorros de costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentro de las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas. Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 11

Recomendados

Tarjetas madre (prof)
Tarjetas madre (prof)Tarjetas madre (prof)
Tarjetas madre (prof)mercedescastrillo
 
Eating healthy english
Eating healthy englishEating healthy english
Eating healthy englishJacob Cash
 
Description of animals
Description of animalsDescription of animals
Description of animalsebannos
 
Animals descriptions pp
Animals descriptions ppAnimals descriptions pp
Animals descriptions ppsaracerverab
 
Articulo 3
Articulo 3Articulo 3
Articulo 3EDSON BERNAL MARTINEZ
 
Presentacción CA para Canales
Presentacción CA para CanalesPresentacción CA para Canales
Presentacción CA para CanalesDaniel forgione
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
 
Cloud
CloudCloud
CloudJunior Almenar
 

Recomendados

Tarjetas madre (prof)
Tarjetas madre (prof)Tarjetas madre (prof)
Tarjetas madre (prof)mercedescastrillo
 
Eating healthy english
Eating healthy englishEating healthy english
Eating healthy englishJacob Cash
 
Description of animals
Description of animalsDescription of animals
Description of animalsebannos
 
Animals descriptions pp
Animals descriptions ppAnimals descriptions pp
Animals descriptions ppsaracerverab
 
Articulo 3
Articulo 3Articulo 3
Articulo 3EDSON BERNAL MARTINEZ
 
Presentacción CA para Canales
Presentacción CA para CanalesPresentacción CA para Canales
Presentacción CA para CanalesDaniel forgione
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
 
Cloud
CloudCloud
CloudJunior Almenar
 
Tecnologia e innovación
Tecnologia e innovaciónTecnologia e innovación
Tecnologia e innovaciónHernando Bernal Algecira
 
Redes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaRedes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaJulio Quispe
 
Primeros pasos para migrar al Cloud Computing
Primeros pasos para migrar al Cloud ComputingPrimeros pasos para migrar al Cloud Computing
Primeros pasos para migrar al Cloud ComputingEvaluandoSoftware
 
COBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfCOBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfJorgePugadelaCruz
 
Computación en la nube
Computación en la nubeComputación en la nube
Computación en la nubedavidrami78
 
Infografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciaInfografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciajorge navas
 
ISACA
ISACAISACA
ISACAMaria Villalba
 
Isaca expo
Isaca expoIsaca expo
Isaca expoYadi De La Cruz
 
Estrategias Tic En Epocas De Crisis
Estrategias Tic En Epocas De CrisisEstrategias Tic En Epocas De Crisis
Estrategias Tic En Epocas De CrisisCarmenNavarro
 
Fast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFelipe Lamus
 
Jesús Luna
Jesús LunaJesús Luna
Jesús LunaJSe
 
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasXimenaOrellana05
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprlastrologia
 
liderar la transformación
liderar la transformaciónliderar la transformación
liderar la transformaciónCade Soluciones
 
Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Moises Navarro
 
Informe sobre tendencias de datos y AI 2023.pdf
Informe sobre tendencias de datos y AI 2023.pdfInforme sobre tendencias de datos y AI 2023.pdf
Informe sobre tendencias de datos y AI 2023.pdfJaimeRuiz518122
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasForo Global Crossing
 
Ti en la nube
Ti en la nubeTi en la nube
Ti en la nubeDerca Sanz Venegaz
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
Trabajo Final (Proyecto OSSIM) 102058_57
Trabajo Final (Proyecto OSSIM) 102058_57Trabajo Final (Proyecto OSSIM) 102058_57
Trabajo Final (Proyecto OSSIM) 102058_57alexosorio2013
 
Competitividad innovacion (1)
Competitividad innovacion (1)Competitividad innovacion (1)
Competitividad innovacion (1)Jesus Alvarez
 
Contador 5
Contador 5Contador 5
Contador 5Jesus Alvarez
 

Más contenido relacionado

Similar a Cloud wp spanish_23_feb2011

Redes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaRedes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaJulio Quispe
 
Primeros pasos para migrar al Cloud Computing
Primeros pasos para migrar al Cloud ComputingPrimeros pasos para migrar al Cloud Computing
Primeros pasos para migrar al Cloud ComputingEvaluandoSoftware
 
COBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfCOBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfJorgePugadelaCruz
 
Computación en la nube
Computación en la nubeComputación en la nube
Computación en la nubedavidrami78
 
Infografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciaInfografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciajorge navas
 
Estrategias Tic En Epocas De Crisis
Estrategias Tic En Epocas De CrisisEstrategias Tic En Epocas De Crisis
Estrategias Tic En Epocas De CrisisCarmenNavarro
 
Fast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFelipe Lamus
 
Jesús Luna
Jesús LunaJesús Luna
Jesús LunaJSe
 
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasXimenaOrellana05
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprlastrologia
 
liderar la transformación
liderar la transformaciónliderar la transformación
liderar la transformaciónCade Soluciones
 
Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Moises Navarro
 
Informe sobre tendencias de datos y AI 2023.pdf
Informe sobre tendencias de datos y AI 2023.pdfInforme sobre tendencias de datos y AI 2023.pdf
Informe sobre tendencias de datos y AI 2023.pdfJaimeRuiz518122
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasForo Global Crossing
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
Trabajo Final (Proyecto OSSIM) 102058_57
Trabajo Final (Proyecto OSSIM) 102058_57Trabajo Final (Proyecto OSSIM) 102058_57
Trabajo Final (Proyecto OSSIM) 102058_57alexosorio2013
 

Similar a Cloud wp spanish_23_feb2011 (20)

Tecnologia e innovación
Tecnologia e innovaciónTecnologia e innovación
Tecnologia e innovación
 
Redes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaRedes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañana
 
Primeros pasos para migrar al Cloud Computing
Primeros pasos para migrar al Cloud ComputingPrimeros pasos para migrar al Cloud Computing
Primeros pasos para migrar al Cloud Computing
 
COBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfCOBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdf
 
Computación en la nube
Computación en la nubeComputación en la nube
Computación en la nube
 
Infografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciaInfografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resiliencia
 
ISACA
ISACAISACA
ISACA
 
Isaca expo
Isaca expoIsaca expo
Isaca expo
 
Estrategias Tic En Epocas De Crisis
Estrategias Tic En Epocas De CrisisEstrategias Tic En Epocas De Crisis
Estrategias Tic En Epocas De Crisis
 
Fast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFast IT Full Study Findings, Espanol
Fast IT Full Study Findings, Espanol
 
Jesús Luna
Jesús LunaJesús Luna
Jesús Luna
 
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprl
 
liderar la transformación
liderar la transformaciónliderar la transformación
liderar la transformación
 
Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)
 
Informe sobre tendencias de datos y AI 2023.pdf
Informe sobre tendencias de datos y AI 2023.pdfInforme sobre tendencias de datos y AI 2023.pdf
Informe sobre tendencias de datos y AI 2023.pdf
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
 
Ti en la nube
Ti en la nubeTi en la nube
Ti en la nube
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
Trabajo Final (Proyecto OSSIM) 102058_57
Trabajo Final (Proyecto OSSIM) 102058_57Trabajo Final (Proyecto OSSIM) 102058_57
Trabajo Final (Proyecto OSSIM) 102058_57
 

Más de Jesus Alvarez

Competitividad innovacion (1)
Competitividad innovacion (1)Competitividad innovacion (1)
Competitividad innovacion (1)Jesus Alvarez
 
Ciclo de procesos_grhus_200
Ciclo de procesos_grhus_200Ciclo de procesos_grhus_200
Ciclo de procesos_grhus_200Jesus Alvarez
 
1 libros electronicos normas 1 parte ene 2013
1 libros electronicos normas 1 parte ene 20131 libros electronicos normas 1 parte ene 2013
1 libros electronicos normas 1 parte ene 2013Jesus Alvarez
 
Guia de ejercicios_resueltos
Guia de ejercicios_resueltosGuia de ejercicios_resueltos
Guia de ejercicios_resueltosJesus Alvarez
 
Manual contabilidad-costos-i
Manual contabilidad-costos-iManual contabilidad-costos-i
Manual contabilidad-costos-iJesus Alvarez
 
Manual contabilidad-costos-ii
Manual contabilidad-costos-iiManual contabilidad-costos-ii
Manual contabilidad-costos-iiJesus Alvarez
 
Universidad de chimbote
Universidad de chimboteUniversidad de chimbote
Universidad de chimboteJesus Alvarez
 
1 gestion organizacional
1 gestion organizacional1 gestion organizacional
1 gestion organizacionalJesus Alvarez
 
Silver storm ayuda a empresas a transformar ti
Silver storm ayuda a empresas a transformar tiSilver storm ayuda a empresas a transformar ti
Silver storm ayuda a empresas a transformar tiJesus Alvarez
 
Manual auditora 2012 - i - ii
Manual auditora 2012 - i - iiManual auditora 2012 - i - ii
Manual auditora 2012 - i - iiJesus Alvarez
 
Manual auditora 2012 - i - ii
Manual auditora 2012 - i - iiManual auditora 2012 - i - ii
Manual auditora 2012 - i - iiJesus Alvarez
 
Clase costo objetivo
Clase costo objetivoClase costo objetivo
Clase costo objetivoJesus Alvarez
 
Comparacion cobit 4.1 y 5.0
Comparacion cobit 4.1 y 5.0Comparacion cobit 4.1 y 5.0
Comparacion cobit 4.1 y 5.0Jesus Alvarez
 
Manual de auditoría financiera
Manual de auditoría financieraManual de auditoría financiera
Manual de auditoría financieraJesus Alvarez
 
40 planeacion estrategica
40 planeacion estrategica40 planeacion estrategica
40 planeacion estrategicaJesus Alvarez
 
Unidad2 misionyvision-090524111032-phpapp02[1]
Unidad2 misionyvision-090524111032-phpapp02[1]Unidad2 misionyvision-090524111032-phpapp02[1]
Unidad2 misionyvision-090524111032-phpapp02[1]Jesus Alvarez
 
63700974 mineria-y-poblacion[1]
63700974 mineria-y-poblacion[1]63700974 mineria-y-poblacion[1]
63700974 mineria-y-poblacion[1]Jesus Alvarez
 

Más de Jesus Alvarez (20)

Competitividad innovacion (1)
Competitividad innovacion (1)Competitividad innovacion (1)
Competitividad innovacion (1)
 
Contador 5
Contador 5Contador 5
Contador 5
 
Ciclo de procesos_grhus_200
Ciclo de procesos_grhus_200Ciclo de procesos_grhus_200
Ciclo de procesos_grhus_200
 
1 libros electronicos normas 1 parte ene 2013
1 libros electronicos normas 1 parte ene 20131 libros electronicos normas 1 parte ene 2013
1 libros electronicos normas 1 parte ene 2013
 
Artículo isaca
Artículo isacaArtículo isaca
Artículo isaca
 
Guia de ejercicios_resueltos
Guia de ejercicios_resueltosGuia de ejercicios_resueltos
Guia de ejercicios_resueltos
 
Ejerciciovanytir
EjerciciovanytirEjerciciovanytir
Ejerciciovanytir
 
Manual contabilidad-costos-i
Manual contabilidad-costos-iManual contabilidad-costos-i
Manual contabilidad-costos-i
 
Manual contabilidad-costos-ii
Manual contabilidad-costos-iiManual contabilidad-costos-ii
Manual contabilidad-costos-ii
 
Universidad de chimbote
Universidad de chimboteUniversidad de chimbote
Universidad de chimbote
 
1 gestion organizacional
1 gestion organizacional1 gestion organizacional
1 gestion organizacional
 
Silver storm ayuda a empresas a transformar ti
Silver storm ayuda a empresas a transformar tiSilver storm ayuda a empresas a transformar ti
Silver storm ayuda a empresas a transformar ti
 
Manual auditora 2012 - i - ii
Manual auditora 2012 - i - iiManual auditora 2012 - i - ii
Manual auditora 2012 - i - ii
 
Manual auditora 2012 - i - ii
Manual auditora 2012 - i - iiManual auditora 2012 - i - ii
Manual auditora 2012 - i - ii
 
Clase costo objetivo
Clase costo objetivoClase costo objetivo
Clase costo objetivo
 
Comparacion cobit 4.1 y 5.0
Comparacion cobit 4.1 y 5.0Comparacion cobit 4.1 y 5.0
Comparacion cobit 4.1 y 5.0
 
Manual de auditoría financiera
Manual de auditoría financieraManual de auditoría financiera
Manual de auditoría financiera
 
40 planeacion estrategica
40 planeacion estrategica40 planeacion estrategica
40 planeacion estrategica
 
Unidad2 misionyvision-090524111032-phpapp02[1]
Unidad2 misionyvision-090524111032-phpapp02[1]Unidad2 misionyvision-090524111032-phpapp02[1]
Unidad2 misionyvision-090524111032-phpapp02[1]
 
63700974 mineria-y-poblacion[1]
63700974 mineria-y-poblacion[1]63700974 mineria-y-poblacion[1]
63700974 mineria-y-poblacion[1]
 

Cloud wp spanish_23_feb2011

  • 1. Un documento técnico de ISACA sobre tecnología emergente C omputación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Resumen La globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negocios ha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamiento dinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube y también examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.
  • 2. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento ISACA® Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA® Journal y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadas Certified Information Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®) y Certified in the Governance of Enterprise IT® (CGEIT®). ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,® Val IT™ y Risk IT, los cuales ayudan a los profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor al negocio. Cláusula de exención de responsabilidad ISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultados satisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados o excluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener los mismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, los profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con las circunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico. Reservación de derechos © 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico, interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico: info@isaca.org Página Internet: www.isaca.org Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo. 2 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
  • 3. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento ISACA desea agradecer a: Equipo de desarrollo de proyectos Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directiva Phil Agcaoili, CISM, CISSP, Dell, EE.UU. Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU. Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU. H. Peet Rapp, CISA, Rapp Consulting, EE.UU. Jim Reavis, Cloud Security Alliance, EE.UU. Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU. Joel Scambray, CISSP, Consciere, EE.UU. Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU. Consejo de dirección de ISACA Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vicepresidente Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp., Australia, Vicepresidente Robert Stroud, CGEIT, CA Inc., EE.UU., Vicepresidente Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Vicepresidente Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional Pasado Everett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional Pasado Gregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Director Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes Comité de orientación y prácticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directiva Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU. Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU. Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canadá Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India Anthony P. Noble, CISA, Viacom, EE.UU. Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., México Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Bélgica Frank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda The Cloud Security Alliance, del cual ISACA es miembro fundador © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 3
  • 4. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Impactos de la computación en la nube Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitido que la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionar a las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo que hay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio. Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI. Por todas estas razones, es fácil ver por qué la computación en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida “Podría decirse que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes que la promesa de y eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgos una computación internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los en la nube está procesos de negocio. revolucionando el mundo de Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y servicios de TI características como agilidad y velocidad de suministro. Sin embargo, como una “nueva” al transformar iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nube introduce un nivel de abstracción entre la infraestructura física y el propietario de la información la computación que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control en una unidad directo o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso. ubicua”. Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computación en la nube. Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué tipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio. ¿Qué es computación en la nube? Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar la evaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones 4 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
  • 5. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con el proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de una empresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen la opción de pagar por los servicios de TI dependiendo del consumo. Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelos de implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferirán según el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación, las empresas deben considerar los riesgos relacionados. Figura 1—Modelos de servicio de la computación en la nube Modelo de servicio Definición Lo que se debe considerar Infraestructura como un servicio (IaaS) Capacidad para configurar procesamiento, Opciones de minimizar el impacto si el almacenamiento, redes y otros recursos proveedor de la nube experimenta una de computación fundamentales, ofreciendo interrupción del servicio al cliente la posibilidad de implementar y ejecutar software arbitrario, el cual puede incluir sistemas operativos y aplicaciones. IaaS coloca estas operaciones de TI en las manos de un tercero. Plataforma como un servicio (PaaS) Capacidad para implementar en la • Disponibilidad infraestructura de la nube aplicaciones • Confidencialidad creadas o adquiridas por el cliente que • a privacidad y la responsabilidad legal L se hayan creado utilizando lenguajes y en caso de una violación de la seguridad herramientas de programación que estén (ya que las bases de datos que contienen respaldados por el proveedor información sensitiva ahora estarán hospedadas fuera del sitio) • Propiedad de los datos • Preocupaciones acerca del e-discovery Software como un servicio (SaaS) Capacidad para utilizar las aplicaciones • ¿Quién es el dueño de las aplicaciones? del proveedor que se ejecutan en la • ¿Dónde residen las aplicaciones? infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a través de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrónico basado en la web). Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura Lo que se debe considerar de la nube Nube privada • Operada únicamente para una organización • Servicios en la nube con riesgo mínimo • uede ser manejada por la organización o P • s posible que no proporcione la E un tercero escalabilidad y agilidad de los servicios • uede existir dentro o fuera de las P de la nube pública instalaciones © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 5
  • 6. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura Lo que se debe considerar de la nube Nube comunitaria • Compartida por varias organizaciones • gual que la nube privada, pero I • espalda una comunidad específica que R adicionalmente: haya compartido su misión o interés. • os datos pueden estar almacenados L • uede ser manejada por las organizaciones P con los datos de los competidores. o un tercero • uede residir dentro o fuera de las P instalaciones Nube pública • sta disponible para el público en general o E • gual que la nube comunitaria, pero I un grupo industrial grande adicionalmente: • ertenece a una organización que vende P • os datos pueden estar almacenados L servicios en la nube en ubicaciones desconocidas y pudieran no ser fáciles de recuperar. Nube híbrida Una composición de dos o más nubes • l riesgo agregado de combinar dos E (privada, comunitaria o pública) que continúan modelos de implementación diferentes siendo entidades únicas, pero que están • a clasificación y el etiquetado de datos L unidas mediante tecnología estandarizada ayudará al gerente de seguridad a o propietaria que permite la portabilidad de garantizar que los datos se asignen datos y aplicaciones (por ejemplo, ampliación al tipo de nube correcto. de la nube [cloud bursting] para equilibrar la carga entre las nubes.) Figura 3—Características fundamentales de la computación en la nube Característica Definición Autoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como el almacenamiento en servidores y redes, según sea necesario sin requerir interacción humana con cada proveedor de servicios. Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA). Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignados y reasignados de manera dinámica según la demanda. Existe un sentido de independencia geográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel de abstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales. Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casos automáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, además, se puede adquirir cualquier cantidad de capacidades en cualquier momento. Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizando una capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio. Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades en relación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendo de los tipos de modelo de servicio e implementación seleccionados. 6 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
  • 7. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Los beneficios de negocio de la computación en la nube Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: • Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y el precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos. Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión. Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales. • Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo. • Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. • Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para las necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlar el tráfico y reducir el tiempo necesario para implementar nuevos servicios. • Eficiencia—Reasignar actividades operacionales de gestión de la información a la nube “…al tercerizar ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y parte de la gestión pudiera incluso ser más útil que las ventajas financieras que ofrece la nube. de información y • Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se pueden utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir las operaciones de un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico TI, los trabajadores pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar de una empresa se la sostenibilidad durante un evento inesperado. sentirán libres de El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los mejorar procesos, empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más aumentar la inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera productividad e efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las innovar…” oportunidades que ofrecen los servicios en la nube. © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 7
  • 8. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Riesgos y preocupaciones de seguridad relacionados con la computación en la nube Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atención puesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de su negocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología del proveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitectura de la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de los riesgos que plantea la computación en la nube para la empresa son: • Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar que los servicios estarán disponibles y que los datos se podrán rastrear. • Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio. • La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la información realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras. • El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad intelectual (IP) y los secretos comerciales. • Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales. • Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuesta y recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato. Estrategias para tratar riesgos relacionados con la computación en la nube Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un programa de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución. En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos constituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de forma apropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que sea sensitiva o de gran valor para la organización. 8 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
  • 9. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, el acuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puede utilizar la empresa para asegurar la adecuada protección de la información que se confía “En un ambiente a la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes pueden donde la privacidad especificar si se utilizarán marcos de control conjunto y describir la expectativa de una se ha vuelto crucial auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener las expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad para los clientes de la información. Además, los requerimientos correspondientes a la continuidad del empresariales, negocio y a la recuperación en caso de desastre (que se discutieron anteriormente) se deberán expresar en el acuerdo. el acceso no autorizado a La protección de la información evolucionará como resultado de un acuerdo de nivel de información en la servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido e integral. La estructuración de un acuerdo de nivel de servicio detallado y completo que nube es una gran incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la preocupación”. gestión de su información una vez que ya no esté en la compañía y se haya transportado, almacenado o procesado en la nube. Problemas de gobierno y cambios relacionados con la computación en la nube La dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la computación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que anteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguen cumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de forma estratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas son seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con un tercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares, definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la tecnología de computación en la nube y sus proveedores. Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transición a la computación en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la información de la compañía en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas. Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar los procesos que detallan la manera cómo se almacena, archiva y respalda la información. La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información aborden los usos de los servicios en la nube. © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 9
  • 10. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Consideraciones sobre el aseguramiento en relación con la computación en la nube Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computación en la nube? Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes: • Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y robustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado, cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe ser transparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparencia del proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene la segregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes? ¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia? • Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad, será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probables que se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto de información como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicación se deben probar periódicamente durante las operaciones. • Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estándares. En lo que respecta a la computación en la nube, existe la preocupación de que los datos puedan no estar almacenados en “La computación en un solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si los la nube representa datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro una oportunidad otras informaciones. Las auditorías realizadas por las propias autoridades legales, de estandarización y reguladoras demuestran que puede haber muchas extralimitaciones en excepcional de tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que una actualizar la empresa podrá obtener su información cuando la necesite, y algunos proveedores incluso se están reservando el derecho a limitar la información que proporcionan a las autoridades. seguridad y los • Flujo de información transfronterizo—Cuando la información se puede almacenar controles de TI para en cualquier lugar de la nube, la ubicación física de la información puede convertirse un mejor futuro”. en un problema. La ubicación física determina la jurisdicción y la obligación legal. Las leyes nacionales que rigen la información personal identificable (PII) pueden variar considerablemente. Lo que está permitido en un país puede considerarse una violación en otro. • Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que están haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditorías de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento. El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internos y la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponibles públicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se deben consultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcos de control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y los controles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tanto la eficiencia como la seguridad integrada de su portafolio de TI. 10 © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s .
  • 11. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Conclusión Si bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgos para informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos se deben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio. Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorros de costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentro de las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas. Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources © 2009 ISACA. T o d o s l o s d e r e c h o s r e s e r v a d o s . 11