Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Articulo 3

buen trabajo

  • Login to see the comments

  • Be the first to like this

Articulo 3

  1. 1. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobiernoy aseguramientoResumenLa globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad,escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negociosha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al crecienteimpacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfaganlos altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamientodinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionalesde TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejadospor las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube ytambién examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.Un documento técnicode ISACA sobretecnología emergente
  2. 2. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento2ISACA®Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido,proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad desistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969,ISACA patrocina conferencias internacionales, publica el ISACA®Journal y desarrolla estándares de auditoría y controlde sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadasCertified Information Systems Auditor™ (CISA®), Certified Information Security Manager®(CISM®) y Certifiedin the Governance of Enterprise IT®(CGEIT®).ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,®Val IT™ y Risk IT, los cuales ayudan alos profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valoral negocio.Cláusula de exención de responsabilidadISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno yaseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno yaseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultadossatisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados oexcluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener losmismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, losprofesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con lascircunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico.Reservación de derechos© 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir,modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través deningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA.La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico,interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones dela fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo.ISACA3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 EUATeléfono: +1.847.253.1545Fax: +1.847.253.1443Correo electrónico: info@isaca.orgPágina Internet: www.isaca.orgComputación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramientoCGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todoel mundo.
  3. 3. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento3ISACA desea agradecer a:Equipo de desarrollo de proyectosJeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directivaPhil Agcaoili, CISM, CISSP, Dell, EE.UU.Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU.Geir Arild Engh-Hellesvik, Ernst & Young AS, NoruegaDavid Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU.H. Peet Rapp, CISA, Rapp Consulting, EE.UU.Jim Reavis, Cloud Security Alliance, EE.UU.Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU.Joel Scambray, CISSP, Consciere, EE.UU.Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU.Consejo de dirección de ISACAEmil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente InternacionalGeorge Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, VicepresidenteYonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, VicepresidenteJose Angel Pena Ibarra, CGEIT, Alintec, México, VicepresidenteRia Lucas, CISA, CGEIT, Telstra Corp., Australia, VicepresidenteRobert Stroud, CGEIT, CA Inc., EE.UU., VicepresidenteRolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, VicepresidenteKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., VicepresidenteLynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional PasadoEverett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional PasadoGregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., DirectorTony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, DirectorHoward Nicholson, CISA, CGEIT, City of Salisbury, Australia, DirectorJeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de BienesComité de orientación y prácticasKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directivaPhil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU.Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU.Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, CanadáRavi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., IndiaAnthony P. Noble, CISA, Viacom, EE.UU.Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., MéxicoEddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, BélgicaFrank Van Der Zwaag, CISA, CISSP, Westpac, Nueva ZelandaThe Cloud Security Alliance, del cual ISACA es miembro fundador
  4. 4. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento4Impactos de la computación en la nubeMientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca lacomputación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa deuna computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en unaunidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento yredundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitidoque la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionara las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo quehay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio.Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en lanube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos deinfraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el usode servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidada los negocios con nuevos servicios de TI.Por todas estas razones, es fácil ver por qué la computación en la nube es una atractivaoferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI altiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con losbeneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medidaque se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayordependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientesy eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgosinternamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno(governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar losprocesos de negocio.Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrecela posibilidad de obtener una alta recompensa en lo que respecta a contención de costos ycaracterísticas como agilidad y velocidad de suministro. Sin embargo, como una “nueva”iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nubeintroduce un nivel de abstracción entre la infraestructura física y el propietario de la informaciónque se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido controldirecto o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso.Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayortransparencia y un enfoque de seguridad robusto del ambiente de seguridad y control delproveedor de computación en la nube.Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importanteidentificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar quétipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio.¿Qué es computación en la nube?Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en lasdefiniciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar laevaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones“Podría decirseque la promesa deuna computaciónen la nube estárevolucionandoel mundo deservicios de TIal transformarla computaciónen una unidadubicua”.
  5. 5. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento5son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen lacomputación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartidode recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) quese puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con elproveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de unaempresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienenla opción de pagar por los servicios de TI dependiendo del consumo.Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelosde implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferiránsegún el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación,las empresas deben considerar los riesgos relacionados. Figura 1—Modelos de servicio de la computación en la nubeModelo de servicio Definición Lo que se debe considerarInfraestructura como un servicio (IaaS) Capacidad para configurar procesamiento,almacenamiento, redes y otros recursosde computación fundamentales, ofreciendoal cliente la posibilidad de implementar yejecutar software arbitrario, el cual puedeincluir sistemas operativos y aplicaciones.IaaS coloca estas operaciones de TI en lasmanos de un tercero.Opciones de minimizar el impacto si elproveedor de la nube experimenta unainterrupción del servicioPlataforma como un servicio (PaaS) Capacidad para implementar en lainfraestructura de la nube aplicacionescreadas o adquiridas por el cliente quese hayan creado utilizando lenguajes yherramientas de programación que esténrespaldados por el proveedor• Disponibilidad• Confidencialidad• La privacidad y la responsabilidad legalen caso de una violación de la seguridad(ya que las bases de datos que contieneninformación sensitiva ahora estaránhospedadas fuera del sitio)• Propiedad de los datos• Preocupaciones acerca del e-discoverySoftware como un servicio (SaaS) Capacidad para utilizar las aplicacionesdel proveedor que se ejecutan en lainfraestructura de la nube. Se puedeacceder a las aplicaciones desde diferentesdispositivos cliente a través de una interfaz decliente ligero (thin client), como un exploradorweb (por ejemplo, correo electrónico basadoen la web).• ¿Quién es el dueño de las aplicaciones?• ¿Dónde residen las aplicaciones?Figura 2—Modelos de implementación de la computación en la nube (Cont.)Modelo de implementación Descripción de la infraestructurade la nubeLo que se debe considerarNube privada • Operada únicamente para una organización• Puede ser manejada por la organización oun tercero• Puede existir dentro o fuera de lasinstalaciones• Servicios en la nube con riesgo mínimo• Es posible que no proporcione laescalabilidad y agilidad de los serviciosde la nube pública
  6. 6. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento6Figura 2—Modelos de implementación de la computación en la nube (Cont.)Modelo de implementación Descripción de la infraestructurade la nubeLo que se debe considerarNube comunitaria • Compartida por varias organizaciones• Respalda una comunidad específica quehaya compartido su misión o interés.• Puede ser manejada por las organizacioneso un tercero• Puede residir dentro o fuera de lasinstalaciones• Igual que la nube privada, peroadicionalmente:• Los datos pueden estar almacenadoscon los datos de los competidores.Nube pública • Esta disponible para el público en general oun grupo industrial grande• Pertenece a una organización que vendeservicios en la nube• Igual que la nube comunitaria, peroadicionalmente:• Los datos pueden estar almacenadosen ubicaciones desconocidas y pudieranno ser fáciles de recuperar.Nube híbrida Una composición de dos o más nubes(privada, comunitaria o pública) que continúansiendo entidades únicas, pero que estánunidas mediante tecnología estandarizadao propietaria que permite la portabilidad dedatos y aplicaciones (por ejemplo, ampliaciónde la nube [cloud bursting] para equilibrar lacarga entre las nubes.)• El riesgo agregado de combinar dosmodelos de implementación diferentes• La clasificación y el etiquetado de datosayudará al gerente de seguridad agarantizar que los datos se asignenal tipo de nube correcto.Figura 3—Características fundamentales de la computación en la nubeCaracterística DefiniciónAutoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como elalmacenamiento en servidores y redes, según sea necesario sin requerir interacción humanacon cada proveedor de servicios.Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y pormedio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA).Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientesutilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignadosy reasignados de manera dinámica según la demanda. Existe un sentido de independenciageográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de losrecursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel deabstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyenalmacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales.Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casosautomáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción.Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas,además, se puede adquirir cualquier cantidad de capacidades en cualquier momento.Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizandouna capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda ycuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, loque proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio.Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades enrelación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendode los tipos de modelo de servicio e implementación seleccionados.
  7. 7. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento7Los beneficios de negocio de la computación en la nubeSi bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás lamejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número deinnovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes dela nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal,en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas conel desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo másconfiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados.Algunos de los beneficios clave de negocio que ofrece la nube son:• Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financierosque requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos decapital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y elprecio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos.Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientostecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión.Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelosde TCO para entender si los servicios en la nube ofrecerán ahorros potenciales.• Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado lacapacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionalesque pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene unimpacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo.• Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con losrequerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a queestos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurarque no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad,los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio.• Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad paralas necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlarel tráfico y reducir el tiempo necesario para implementar nuevos servicios.• Eficiencia—Reasignar actividades operacionales de gestión de la información a la nubeofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, lainvestigación y el desarrollo. Esto permite un crecimiento del negocio y los productos ypudiera incluso ser más útil que las ventajas financieras que ofrece la nube.• Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se puedenutilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrirun desastre natural que requiera un sitio en otra área geográfica o simplemente tráficopesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurarla sostenibilidad durante un evento inesperado.El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, losempleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividade innovar mientras el proveedor de la nube maneja la actividad operacional de forma másinteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requieraefectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar lasoportunidades que ofrecen los servicios en la nube.“…al tercerizarparte de la gestiónde información ylas operaciones deTI, los trabajadoresde una empresa sesentirán libres demejorar procesos,aumentar laproductividad einnovar…”
  8. 8. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento8Riesgos y preocupaciones de seguridad relacionados con la computación en la nubeMuchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en lasempresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar quela información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de laseguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientosde sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atenciónpuesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de sunegocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología delproveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitecturade la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de losriesgos que plantea la computación en la nube para la empresa son:• Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidadson factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizarque los servicios estarán disponibles y que los datos se podrán rastrear.• Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituyeuna parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar nosólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio.• La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la informaciónrealmente. Cuando se requiere la recuperación de la información, es posible que haya demoras.• El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de lainformación. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurarla protección de la propiedad intelectual (IP) y los secretos comerciales.• Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia,son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de estadisponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso decompetidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para lasempresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesarioobtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red esresponsable legal y financieramente por las ramificaciones resultantes de problemas potenciales.• Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera undesastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados yprobados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuestay recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato.Estrategias para tratar riesgos relacionados con la computación en la nubeEstos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar unprograma de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución.En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datosconstituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresadebe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de formaapropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, sies necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que seasensitiva o de gran valor para la organización.
  9. 9. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento9Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, elacuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puedeutilizar la empresa para asegurar la adecuada protección de la información que se confíaa la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes puedenespecificar si se utilizarán marcos de control conjunto y describir la expectativa de unaauditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contenerlas expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidadde la información. Además, los requerimientos correspondientes a la continuidad delnegocio y a la recuperación en caso de desastre (que se discutieron anteriormente) sedeberán expresar en el acuerdo.La protección de la información evolucionará como resultado de un acuerdo de nivel deservicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólidoe integral. La estructuración de un acuerdo de nivel de servicio detallado y completo queincluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en lagestión de su información una vez que ya no esté en la compañía y se haya transportado,almacenado o procesado en la nube.Problemas de gobierno y cambios relacionados con la computación en la nubeLa dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de lacomputación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI queanteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguencumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de formaestratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas sonseguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con untercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares,definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan latecnología de computación en la nube y sus proveedores.Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo desistemas del negocio, la transición a la computación en la nube esencialmente requiere quese incluya un oficial o director de seguridad de la información de la compañía en todos losnuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas.Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera enque se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrolloy la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar losprocesos que detallan la manera cómo se almacena, archiva y respalda la información.La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es queel personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir serviciosdirectamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información abordenlos usos de los servicios en la nube.“En un ambientedonde la privacidadse ha vuelto crucialpara los clientesempresariales,el acceso noautorizado ainformación en lanube es una granpreocupación”.
  10. 10. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento10Consideraciones sobre el aseguramiento en relación con la computación en la nubeAnte el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube,son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad delprofesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman lanube entre los usuarios directos e indirectos de la computación en la nube?Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes:• Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos yrobustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado,cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe sertransparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparenciadel proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene lasegregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes?¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia?• Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad,será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probablesque se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar antelas violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto deinformación como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicaciónse deben probar periódicamente durante las operaciones.• Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una listainterminable de leyes, regulaciones y estándares. En lo que respecta a la computaciónen la nube, existe la preocupación de que los datos puedan no estar almacenados enun solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si losdatos son solicitados por las autoridades, se pueden proporcionar sin poner en peligrootras informaciones. Las auditorías realizadas por las propias autoridades legales, deestandarización y reguladoras demuestran que puede haber muchas extralimitaciones entales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que unaempresa podrá obtener su información cuando la necesite, y algunos proveedores inclusose están reservando el derecho a limitar la información que proporcionan a las autoridades.• Flujo de información transfronterizo—Cuando la información se puede almacenaren cualquier lugar de la nube, la ubicación física de la información puede convertirseen un problema. La ubicación física determina la jurisdicción y la obligación legal.Las leyes nacionales que rigen la información personal identificable (PII) pueden variarconsiderablemente. Lo que está permitido en un país puede considerarse una violación en otro.• Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que estánhaciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditoríasde terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento.El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internosy la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponiblespúblicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se debenconsultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcosde control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y loscontroles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tantola eficiencia como la seguridad integrada de su portafolio de TI.“La computación enla nube representauna oportunidadexcepcional deactualizar laseguridad y loscontroles de TI paraun mejor futuro”.
  11. 11. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .Computación en la nube: Beneficios de negocio con perspectivasde seguridad, gobierno y aseguramiento11ConclusiónSi bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales deaseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgospara informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos sedeben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o encaso de que ocurra un cambio.Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorrosde costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificadoslos posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los serviciosen la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento paragarantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en laforma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentrode las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas.Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources

×