SlideShare a Scribd company logo

Articulo 3

EDSON BERNAL MARTINEZ
EDSON BERNAL MARTINEZ

buen trabajo

Spiritual
1 of 11
Download to read offline
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Resumen La globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negocios ha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamiento dinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube y también examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento. Un documento técnico de ISACA sobre tecnología emergente
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 2 ISACA® Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA® Journal y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadas Certified Information Systems Auditor™ (CISA® ), Certified Information Security Manager® (CISM® ) y Certified in the Governance of Enterprise IT® (CGEIT® ). ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,® Val IT™ y Risk IT, los cuales ayudan a los profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor al negocio. Cláusula de exención de responsabilidad ISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultados satisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados o excluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener los mismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, los profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con las circunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico. Reservación de derechos © 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico, interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico: info@isaca.org Página Internet: www.isaca.org Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo.
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 3 ISACA desea agradecer a: Equipo de desarrollo de proyectos Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directiva Phil Agcaoili, CISM, CISSP, Dell, EE.UU. Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU. Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU. H. Peet Rapp, CISA, Rapp Consulting, EE.UU. Jim Reavis, Cloud Security Alliance, EE.UU. Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU. Joel Scambray, CISSP, Consciere, EE.UU. Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU. Consejo de dirección de ISACA Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vicepresidente Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp., Australia, Vicepresidente Robert Stroud, CGEIT, CA Inc., EE.UU., Vicepresidente Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Vicepresidente Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional Pasado Everett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional Pasado Gregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Director Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes Comité de orientación y prácticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directiva Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU. Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU. Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canadá Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India Anthony P. Noble, CISA, Viacom, EE.UU. Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., México Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Bélgica Frank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda The Cloud Security Alliance, del cual ISACA es miembro fundador
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 4 Impactos de la computación en la nube Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitido que la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionar a las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo que hay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio. Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI. Por todas estas razones, es fácil ver por qué la computación en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes y eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgos internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los procesos de negocio. Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y características como agilidad y velocidad de suministro. Sin embargo, como una “nueva” iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nube introduce un nivel de abstracción entre la infraestructura física y el propietario de la información que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control directo o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso. Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computación en la nube. Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué tipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio. ¿Qué es computación en la nube? Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar la evaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones “Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua”.
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 5 son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con el proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de una empresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen la opción de pagar por los servicios de TI dependiendo del consumo. Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelos de implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferirán según el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación, las empresas deben considerar los riesgos relacionados. Figura 1—Modelos de servicio de la computación en la nube Modelo de servicio Definición Lo que se debe considerar Infraestructura como un servicio (IaaS) Capacidad para configurar procesamiento, almacenamiento, redes y otros recursos de computación fundamentales, ofreciendo al cliente la posibilidad de implementar y ejecutar software arbitrario, el cual puede incluir sistemas operativos y aplicaciones. IaaS coloca estas operaciones de TI en las manos de un tercero. Opciones de minimizar el impacto si el proveedor de la nube experimenta una interrupción del servicio Plataforma como un servicio (PaaS) Capacidad para implementar en la infraestructura de la nube aplicaciones creadas o adquiridas por el cliente que se hayan creado utilizando lenguajes y herramientas de programación que estén respaldados por el proveedor • Disponibilidad • Confidencialidad • La privacidad y la responsabilidad legal en caso de una violación de la seguridad (ya que las bases de datos que contienen información sensitiva ahora estarán hospedadas fuera del sitio) • Propiedad de los datos • Preocupaciones acerca del e-discovery Software como un servicio (SaaS) Capacidad para utilizar las aplicaciones del proveedor que se ejecutan en la infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a través de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrónico basado en la web). • ¿Quién es el dueño de las aplicaciones? • ¿Dónde residen las aplicaciones? Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura de la nube Lo que se debe considerar Nube privada • Operada únicamente para una organización • Puede ser manejada por la organización o un tercero • Puede existir dentro o fuera de las instalaciones • Servicios en la nube con riesgo mínimo • Es posible que no proporcione la escalabilidad y agilidad de los servicios de la nube pública
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 6 Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura de la nube Lo que se debe considerar Nube comunitaria • Compartida por varias organizaciones • Respalda una comunidad específica que haya compartido su misión o interés. • Puede ser manejada por las organizaciones o un tercero • Puede residir dentro o fuera de las instalaciones • Igual que la nube privada, pero adicionalmente: • Los datos pueden estar almacenados con los datos de los competidores. Nube pública • Esta disponible para el público en general o un grupo industrial grande • Pertenece a una organización que vende servicios en la nube • Igual que la nube comunitaria, pero adicionalmente: • Los datos pueden estar almacenados en ubicaciones desconocidas y pudieran no ser fáciles de recuperar. Nube híbrida Una composición de dos o más nubes (privada, comunitaria o pública) que continúan siendo entidades únicas, pero que están unidas mediante tecnología estandarizada o propietaria que permite la portabilidad de datos y aplicaciones (por ejemplo, ampliación de la nube [cloud bursting] para equilibrar la carga entre las nubes.) • El riesgo agregado de combinar dos modelos de implementación diferentes • La clasificación y el etiquetado de datos ayudará al gerente de seguridad a garantizar que los datos se asignen al tipo de nube correcto. Figura 3—Características fundamentales de la computación en la nube Característica Definición Autoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como el almacenamiento en servidores y redes, según sea necesario sin requerir interacción humana con cada proveedor de servicios. Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA). Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignados y reasignados de manera dinámica según la demanda. Existe un sentido de independencia geográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel de abstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales. Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casos automáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, además, se puede adquirir cualquier cantidad de capacidades en cualquier momento. Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizando una capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio. Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades en relación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendo de los tipos de modelo de servicio e implementación seleccionados.
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 7 Los beneficios de negocio de la computación en la nube Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: • Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y el precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos. Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión. Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales. • Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo. • Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. • Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para las necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlar el tráfico y reducir el tiempo necesario para implementar nuevos servicios. • Eficiencia—Reasignar actividades operacionales de gestión de la información a la nube ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y pudiera incluso ser más útil que las ventajas financieras que ofrece la nube. • Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se pueden utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar la sostenibilidad durante un evento inesperado. El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las oportunidades que ofrecen los servicios en la nube. “…al tercerizar parte de la gestión de información y las operaciones de TI, los trabajadores de una empresa se sentirán libres de mejorar procesos, aumentar la productividad e innovar…”
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 8 Riesgos y preocupaciones de seguridad relacionados con la computación en la nube Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atención puesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de su negocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología del proveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitectura de la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de los riesgos que plantea la computación en la nube para la empresa son: • Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar que los servicios estarán disponibles y que los datos se podrán rastrear. • Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio. • La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la información realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras. • El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad intelectual (IP) y los secretos comerciales. • Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales. • Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuesta y recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato. Estrategias para tratar riesgos relacionados con la computación en la nube Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un programa de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución. En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos constituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de forma apropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que sea sensitiva o de gran valor para la organización.
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 9 Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, el acuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puede utilizar la empresa para asegurar la adecuada protección de la información que se confía a la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes pueden especificar si se utilizarán marcos de control conjunto y describir la expectativa de una auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener las expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad de la información. Además, los requerimientos correspondientes a la continuidad del negocio y a la recuperación en caso de desastre (que se discutieron anteriormente) se deberán expresar en el acuerdo. La protección de la información evolucionará como resultado de un acuerdo de nivel de servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido e integral. La estructuración de un acuerdo de nivel de servicio detallado y completo que incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la gestión de su información una vez que ya no esté en la compañía y se haya transportado, almacenado o procesado en la nube. Problemas de gobierno y cambios relacionados con la computación en la nube La dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la computación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que anteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguen cumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de forma estratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas son seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con un tercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares, definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la tecnología de computación en la nube y sus proveedores. Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transición a la computación en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la información de la compañía en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas. Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar los procesos que detallan la manera cómo se almacena, archiva y respalda la información. La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información aborden los usos de los servicios en la nube. “En un ambiente donde la privacidad se ha vuelto crucial para los clientes empresariales, el acceso no autorizado a información en la nube es una gran preocupación”.
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 10 Consideraciones sobre el aseguramiento en relación con la computación en la nube Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computación en la nube? Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes: • Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y robustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado, cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe ser transparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparencia del proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene la segregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes? ¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia? • Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad, será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probables que se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto de información como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicación se deben probar periódicamente durante las operaciones. • Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estándares. En lo que respecta a la computación en la nube, existe la preocupación de que los datos puedan no estar almacenados en un solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si los datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro otras informaciones. Las auditorías realizadas por las propias autoridades legales, de estandarización y reguladoras demuestran que puede haber muchas extralimitaciones en tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que una empresa podrá obtener su información cuando la necesite, y algunos proveedores incluso se están reservando el derecho a limitar la información que proporcionan a las autoridades. • Flujo de información transfronterizo—Cuando la información se puede almacenar en cualquier lugar de la nube, la ubicación física de la información puede convertirse en un problema. La ubicación física determina la jurisdicción y la obligación legal. Las leyes nacionales que rigen la información personal identificable (PII) pueden variar considerablemente. Lo que está permitido en un país puede considerarse una violación en otro. • Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que están haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditorías de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento. El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internos y la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponibles públicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se deben consultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcos de control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y los controles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tanto la eficiencia como la seguridad integrada de su portafolio de TI. “La computación en la nube representa una oportunidad excepcional de actualizar la seguridad y los controles de TI para un mejor futuro”.
© 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 11 Conclusión Si bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgos para informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos se deben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio. Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorros de costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentro de las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas. Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources

Recommended

Isaca expo
Isaca expoIsaca expo
Isaca expoYadi De La Cruz
 
Dia del patrimonio
Dia del patrimonioDia del patrimonio
Dia del patrimonioAlvaro da Silva
 
Histoire des oeufs Faberge
Histoire des oeufs FabergeHistoire des oeufs Faberge
Histoire des oeufs FabergeFrumoasa Verde
 
Logiques féminines de légitimation du pouvoir monarchique (Maroc)
Logiques féminines de légitimation du pouvoir monarchique (Maroc)Logiques féminines de légitimation du pouvoir monarchique (Maroc)
Logiques féminines de légitimation du pouvoir monarchique (Maroc)Souad Azizi
 
Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...
Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...
Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...Haute Autorité de Santé
 
2do trabajo gte
2do trabajo gte2do trabajo gte
2do trabajo gtejosue
 
Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...
Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...
Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...Gobernabilidad
 
Référencement naturel : les bases ( jusqu'à preuve du contraire !)
Référencement naturel : les bases ( jusqu'à preuve du contraire !)Référencement naturel : les bases ( jusqu'à preuve du contraire !)
Référencement naturel : les bases ( jusqu'à preuve du contraire !)Vincent Brochot Pro
 

Recommended

Isaca expo
Isaca expoIsaca expo
Isaca expoYadi De La Cruz
 
Dia del patrimonio
Dia del patrimonioDia del patrimonio
Dia del patrimonioAlvaro da Silva
 
Histoire des oeufs Faberge
Histoire des oeufs FabergeHistoire des oeufs Faberge
Histoire des oeufs FabergeFrumoasa Verde
 
Logiques féminines de légitimation du pouvoir monarchique (Maroc)
Logiques féminines de légitimation du pouvoir monarchique (Maroc)Logiques féminines de légitimation du pouvoir monarchique (Maroc)
Logiques féminines de légitimation du pouvoir monarchique (Maroc)Souad Azizi
 
Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...
Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...
Rencontres HAS 2011 - L'heure d'une collaboration européenne pour l'évaluatio...Haute Autorité de Santé
 
2do trabajo gte
2do trabajo gte2do trabajo gte
2do trabajo gtejosue
 
Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...
Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...
Presentación conversatorio Voces crítico reflexivas sobre el proceso autonómi...Gobernabilidad
 
Référencement naturel : les bases ( jusqu'à preuve du contraire !)
Référencement naturel : les bases ( jusqu'à preuve du contraire !)Référencement naturel : les bases ( jusqu'à preuve du contraire !)
Référencement naturel : les bases ( jusqu'à preuve du contraire !)Vincent Brochot Pro
 
Beca.MOS para entidades
Beca.MOS para entidadesBeca.MOS para entidades
Beca.MOS para entidadese-Inclusión Fundación Esplai
 
Desnutricion
DesnutricionDesnutricion
DesnutricionUNAM
 
QMX Gold Corporate Presentation (French)
QMX Gold Corporate Presentation (French)QMX Gold Corporate Presentation (French)
QMX Gold Corporate Presentation (French)QMX Gold Corporation
 
neoclasicismo
neoclasicismo neoclasicismo
neoclasicismo karmele
 
Liga petarras fc 20112012
Liga petarras fc 20112012Liga petarras fc 20112012
Liga petarras fc 20112012PABLO DE LA MORENA RAMOS
 
FR - Goodlife Cards (2013)
FR - Goodlife Cards (2013)FR - Goodlife Cards (2013)
FR - Goodlife Cards (2013)BobMagotteaux
 
Test
TestTest
TestTamche
 
Eduardo Sequeira Objetivos Ppt
Eduardo Sequeira Objetivos PptEduardo Sequeira Objetivos Ppt
Eduardo Sequeira Objetivos PptFreelancer
 
Formateurs et réseaux sociaux 3.11.12
Formateurs et réseaux sociaux 3.11.12Formateurs et réseaux sociaux 3.11.12
Formateurs et réseaux sociaux 3.11.12Valérie Demont (-Steck)
 
Wikicité - Diane Mercier
Wikicité - Diane MercierWikicité - Diane Mercier
Wikicité - Diane MercierLouis-Alexandre Cazal
 
Declaration patrimoine-vallaud-belkacem
Declaration patrimoine-vallaud-belkacemDeclaration patrimoine-vallaud-belkacem
Declaration patrimoine-vallaud-belkacemLe Point
 
Dans la tête de l'ennemi (suite)
Dans la tête de l'ennemi (suite) Dans la tête de l'ennemi (suite)
Dans la tête de l'ennemi (suite) Patrice Piardon
 
Federico garcia lorca prese.
Federico garcia lorca prese.Federico garcia lorca prese.
Federico garcia lorca prese.JOSÉ TOMÁS
 
Pour une Université d excellence mondiale au service de la reussite de tous l...
Pour une Université d excellence mondiale au service de la reussite de tous l...Pour une Université d excellence mondiale au service de la reussite de tous l...
Pour une Université d excellence mondiale au service de la reussite de tous l...MEDEF - Mouvement des Entreprises de France
 
Dossier de Presse Didier Super - Bellevilloise 2011
Dossier de Presse Didier Super - Bellevilloise 2011Dossier de Presse Didier Super - Bellevilloise 2011
Dossier de Presse Didier Super - Bellevilloise 2011WE DO MUSIC
 
Chauveau Apero
Chauveau AperoChauveau Apero
Chauveau Aperodark73
 
Bendito Amor
Bendito AmorBendito Amor
Bendito Amorguestd73e0c8
 
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...agence b2b
 
Tableau cd p_m2_2012
Tableau cd p_m2_2012Tableau cd p_m2_2012
Tableau cd p_m2_2012Eremyj_Xeiratei
 
L’étrange cas de "puis" en usages discursif et argumentatif
L’étrange cas de "puis" en usages discursif et argumentatifL’étrange cas de "puis" en usages discursif et argumentatif
L’étrange cas de "puis" en usages discursif et argumentatifLouis de Saussure
 
Cloud wp spanish_23_feb2011
Cloud wp spanish_23_feb2011Cloud wp spanish_23_feb2011
Cloud wp spanish_23_feb2011Jesus Alvarez
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
 

More Related Content

Viewers also liked

Desnutricion
DesnutricionDesnutricion
DesnutricionUNAM
 
QMX Gold Corporate Presentation (French)
QMX Gold Corporate Presentation (French)QMX Gold Corporate Presentation (French)
QMX Gold Corporate Presentation (French)QMX Gold Corporation
 
neoclasicismo
neoclasicismo neoclasicismo
neoclasicismo karmele
 
FR - Goodlife Cards (2013)
FR - Goodlife Cards (2013)FR - Goodlife Cards (2013)
FR - Goodlife Cards (2013)BobMagotteaux
 
Eduardo Sequeira Objetivos Ppt
Eduardo Sequeira Objetivos PptEduardo Sequeira Objetivos Ppt
Eduardo Sequeira Objetivos PptFreelancer
 
Declaration patrimoine-vallaud-belkacem
Declaration patrimoine-vallaud-belkacemDeclaration patrimoine-vallaud-belkacem
Declaration patrimoine-vallaud-belkacemLe Point
 
Dans la tête de l'ennemi (suite)
Dans la tête de l'ennemi (suite) Dans la tête de l'ennemi (suite)
Dans la tête de l'ennemi (suite) Patrice Piardon
 
Federico garcia lorca prese.
Federico garcia lorca prese.Federico garcia lorca prese.
Federico garcia lorca prese.JOSÉ TOMÁS
 
Pour une Université d excellence mondiale au service de la reussite de tous l...
Pour une Université d excellence mondiale au service de la reussite de tous l...Pour une Université d excellence mondiale au service de la reussite de tous l...
Pour une Université d excellence mondiale au service de la reussite de tous l...MEDEF - Mouvement des Entreprises de France
 
Dossier de Presse Didier Super - Bellevilloise 2011
Dossier de Presse Didier Super - Bellevilloise 2011Dossier de Presse Didier Super - Bellevilloise 2011
Dossier de Presse Didier Super - Bellevilloise 2011WE DO MUSIC
 
Chauveau Apero
Chauveau AperoChauveau Apero
Chauveau Aperodark73
 
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...agence b2b
 
L’étrange cas de "puis" en usages discursif et argumentatif
L’étrange cas de "puis" en usages discursif et argumentatifL’étrange cas de "puis" en usages discursif et argumentatif
L’étrange cas de "puis" en usages discursif et argumentatifLouis de Saussure
 

Viewers also liked (20)

Beca.MOS para entidades
Beca.MOS para entidadesBeca.MOS para entidades
Beca.MOS para entidades
 
Desnutricion
DesnutricionDesnutricion
Desnutricion
 
QMX Gold Corporate Presentation (French)
QMX Gold Corporate Presentation (French)QMX Gold Corporate Presentation (French)
QMX Gold Corporate Presentation (French)
 
neoclasicismo
neoclasicismo neoclasicismo
neoclasicismo
 
Liga petarras fc 20112012
Liga petarras fc 20112012Liga petarras fc 20112012
Liga petarras fc 20112012
 
FR - Goodlife Cards (2013)
FR - Goodlife Cards (2013)FR - Goodlife Cards (2013)
FR - Goodlife Cards (2013)
 
Test
TestTest
Test
 
Eduardo Sequeira Objetivos Ppt
Eduardo Sequeira Objetivos PptEduardo Sequeira Objetivos Ppt
Eduardo Sequeira Objetivos Ppt
 
Formateurs et réseaux sociaux 3.11.12
Formateurs et réseaux sociaux 3.11.12Formateurs et réseaux sociaux 3.11.12
Formateurs et réseaux sociaux 3.11.12
 
Wikicité - Diane Mercier
Wikicité - Diane MercierWikicité - Diane Mercier
Wikicité - Diane Mercier
 
Declaration patrimoine-vallaud-belkacem
Declaration patrimoine-vallaud-belkacemDeclaration patrimoine-vallaud-belkacem
Declaration patrimoine-vallaud-belkacem
 
Dans la tête de l'ennemi (suite)
Dans la tête de l'ennemi (suite) Dans la tête de l'ennemi (suite)
Dans la tête de l'ennemi (suite)
 
Federico garcia lorca prese.
Federico garcia lorca prese.Federico garcia lorca prese.
Federico garcia lorca prese.
 
Pour une Université d excellence mondiale au service de la reussite de tous l...
Pour une Université d excellence mondiale au service de la reussite de tous l...Pour une Université d excellence mondiale au service de la reussite de tous l...
Pour une Université d excellence mondiale au service de la reussite de tous l...
 
Dossier de Presse Didier Super - Bellevilloise 2011
Dossier de Presse Didier Super - Bellevilloise 2011Dossier de Presse Didier Super - Bellevilloise 2011
Dossier de Presse Didier Super - Bellevilloise 2011
 
Chauveau Apero
Chauveau AperoChauveau Apero
Chauveau Apero
 
Bendito Amor
Bendito AmorBendito Amor
Bendito Amor
 
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
l'Account Based Marketing (Marketing des Comptes Stratégiques) par Azalead et...
 
Tableau cd p_m2_2012
Tableau cd p_m2_2012Tableau cd p_m2_2012
Tableau cd p_m2_2012
 
L’étrange cas de "puis" en usages discursif et argumentatif
L’étrange cas de "puis" en usages discursif et argumentatifL’étrange cas de "puis" en usages discursif et argumentatif
L’étrange cas de "puis" en usages discursif et argumentatif
 

Similar to Articulo 3

Cloud wp spanish_23_feb2011
Cloud wp spanish_23_feb2011Cloud wp spanish_23_feb2011
Cloud wp spanish_23_feb2011Jesus Alvarez
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
 
Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Moises Navarro
 
Presentacción CA para Canales
Presentacción CA para CanalesPresentacción CA para Canales
Presentacción CA para CanalesDaniel forgione
 
Fast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFelipe Lamus
 
Redes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaRedes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaJulio Quispe
 
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasXimenaOrellana05
 
Computación en la nube
Computación en la nubeComputación en la nube
Computación en la nubedavidrami78
 
Presentación Capitulo 1 Perspectivas de la Tecnología Informatica
Presentación Capitulo 1 Perspectivas de la Tecnología InformaticaPresentación Capitulo 1 Perspectivas de la Tecnología Informatica
Presentación Capitulo 1 Perspectivas de la Tecnología InformaticaMauricio Meza Fajardo
 
liderar la transformación
liderar la transformaciónliderar la transformación
liderar la transformaciónCade Soluciones
 
Infografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciaInfografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciajorge navas
 
SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)
SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)
SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)SVT Cloud Services
 
Business intelligence through big data and cloud computing
Business intelligence through big data and cloud computingBusiness intelligence through big data and cloud computing
Business intelligence through big data and cloud computingOlaf Reitmaier Veracierta
 
Ibm flash system impulsando el futuro de ti tsl03186ares
Ibm flash system impulsando el futuro de ti tsl03186aresIbm flash system impulsando el futuro de ti tsl03186ares
Ibm flash system impulsando el futuro de ti tsl03186aresDiego Alberto Tamayo
 
COBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfCOBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfJorgePugadelaCruz
 
Tendencias en gestión y analítica de datos para el negocio
Tendencias en gestión y analítica de datos para el negocioTendencias en gestión y analítica de datos para el negocio
Tendencias en gestión y analítica de datos para el negocioSoftware Guru
 

Similar to Articulo 3 (20)

Cloud wp spanish_23_feb2011
Cloud wp spanish_23_feb2011Cloud wp spanish_23_feb2011
Cloud wp spanish_23_feb2011
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
 
Cloud
CloudCloud
Cloud
 
Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)Cloud Computing (April 1 2009 Es Es)
Cloud Computing (April 1 2009 Es Es)
 
Ti en la nube
Ti en la nubeTi en la nube
Ti en la nube
 
Presentacción CA para Canales
Presentacción CA para CanalesPresentacción CA para Canales
Presentacción CA para Canales
 
Fast IT Full Study Findings, Espanol
Fast IT Full Study Findings, EspanolFast IT Full Study Findings, Espanol
Fast IT Full Study Findings, Espanol
 
Redes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañanaRedes de proxima generacion valor empresarial para hoy y mañana
Redes de proxima generacion valor empresarial para hoy y mañana
 
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
 
Computación en la nube
Computación en la nubeComputación en la nube
Computación en la nube
 
Tecnologia e innovación
Tecnologia e innovaciónTecnologia e innovación
Tecnologia e innovación
 
ISACA
ISACAISACA
ISACA
 
Presentación Capitulo 1 Perspectivas de la Tecnología Informatica
Presentación Capitulo 1 Perspectivas de la Tecnología InformaticaPresentación Capitulo 1 Perspectivas de la Tecnología Informatica
Presentación Capitulo 1 Perspectivas de la Tecnología Informatica
 
liderar la transformación
liderar la transformaciónliderar la transformación
liderar la transformación
 
Infografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resilienciaInfografia justificacion comercial_de_la_resiliencia
Infografia justificacion comercial_de_la_resiliencia
 
SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)
SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)
SVT. Que es el Cloud. Ejemplos (Sesion EADA 2.14)
 
Business intelligence through big data and cloud computing
Business intelligence through big data and cloud computingBusiness intelligence through big data and cloud computing
Business intelligence through big data and cloud computing
 
Ibm flash system impulsando el futuro de ti tsl03186ares
Ibm flash system impulsando el futuro de ti tsl03186aresIbm flash system impulsando el futuro de ti tsl03186ares
Ibm flash system impulsando el futuro de ti tsl03186ares
 
COBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdfCOBIT-201920191126-107991-19r9205.pdf
COBIT-201920191126-107991-19r9205.pdf
 
Tendencias en gestión y analítica de datos para el negocio
Tendencias en gestión y analítica de datos para el negocioTendencias en gestión y analítica de datos para el negocio
Tendencias en gestión y analítica de datos para el negocio
 

More from EDSON BERNAL MARTINEZ

Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...
Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...
Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...EDSON BERNAL MARTINEZ
 

More from EDSON BERNAL MARTINEZ (6)

Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...
Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...
Nietzsche, friedrich (1874) segunda consideración intempestiva. sobre la ut...
 
Diplomado ifrs concepción
Diplomado ifrs concepciónDiplomado ifrs concepción
Diplomado ifrs concepción
 
Articulo 2
Articulo 2Articulo 2
Articulo 2
 
Articulo 1
Articulo 1Articulo 1
Articulo 1
 
Descriptor curso ley20536
Descriptor curso ley20536Descriptor curso ley20536
Descriptor curso ley20536
 
Descriptor curso ley20536
Descriptor curso ley20536Descriptor curso ley20536
Descriptor curso ley20536
 

Recently uploaded

"espiritu alma y cuerpo" 1 Tesalonicenses 5:23
"espiritu alma y cuerpo" 1 Tesalonicenses 5:23"espiritu alma y cuerpo" 1 Tesalonicenses 5:23
"espiritu alma y cuerpo" 1 Tesalonicenses 5:23JOSE GARCIA PERALTA
 
Hora Santa reflexiva Por la mujer en su día.pdf
Hora Santa reflexiva Por la mujer en su día.pdfHora Santa reflexiva Por la mujer en su día.pdf
Hora Santa reflexiva Por la mujer en su día.pdfGABRIANDSPEREIRA
 
PRIMERA COMUNIÓN SANTA TERESITA 2024.pdf
PRIMERA COMUNIÓN SANTA TERESITA 2024.pdfPRIMERA COMUNIÓN SANTA TERESITA 2024.pdf
PRIMERA COMUNIÓN SANTA TERESITA 2024.pdfJuniorCaldera3
 
Marco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffg
Marco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffgMarco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffg
Marco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffgCiaoswaldeenacColinI
 
disfrutando el tomar la cena del senor.pdf
disfrutando el tomar la cena del senor.pdfdisfrutando el tomar la cena del senor.pdf
disfrutando el tomar la cena del senor.pdfwelter4
 
Guadalupe Ortiz de Landázuri, biografía ilustrada
Guadalupe Ortiz de Landázuri, biografía ilustrada Guadalupe Ortiz de Landázuri, biografía ilustrada
Guadalupe Ortiz de Landázuri, biografía ilustrada Opus Dei
 
ADVOCACIONES MARIANAS EN AMÉRICA LATINA.ppt
ADVOCACIONES MARIANAS EN AMÉRICA LATINA.pptADVOCACIONES MARIANAS EN AMÉRICA LATINA.ppt
ADVOCACIONES MARIANAS EN AMÉRICA LATINA.pptJoseAngel668091
 
Sanidad Interior y Liberacion libro de ayuda espiritual y emocional
Sanidad Interior y Liberacion libro de ayuda espiritual y emocionalSanidad Interior y Liberacion libro de ayuda espiritual y emocional
Sanidad Interior y Liberacion libro de ayuda espiritual y emocionalelianapereira284018
 
Salmo 50 un salmo de mucha bendicion para todos
Salmo 50 un salmo de mucha bendicion para todosSalmo 50 un salmo de mucha bendicion para todos
Salmo 50 un salmo de mucha bendicion para todospregonerodejusticia2
 
tratado-de-egguns70pag-130221102039-phpapp02 4.pdf
tratado-de-egguns70pag-130221102039-phpapp02 4.pdftratado-de-egguns70pag-130221102039-phpapp02 4.pdf
tratado-de-egguns70pag-130221102039-phpapp02 4.pdfalexramires797
 
Recuperando el Rumbo Hasta la Transformación Parte #4.pptx
Recuperando el Rumbo Hasta la Transformación Parte #4.pptxRecuperando el Rumbo Hasta la Transformación Parte #4.pptx
Recuperando el Rumbo Hasta la Transformación Parte #4.pptxjenune
 
Retiro de mayo #DesdeCasa (2024)
Retiro de mayo #DesdeCasa (2024)Retiro de mayo #DesdeCasa (2024)
Retiro de mayo #DesdeCasa (2024)Opus Dei
 
GUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdf
GUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdfGUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdf
GUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdfAntonio Miguel Salas Sierra
 
CARTA de Dios para ti. Dios hablando contigo
CARTA de Dios para ti. Dios hablando contigoCARTA de Dios para ti. Dios hablando contigo
CARTA de Dios para ti. Dios hablando contigomrosemt8596
 

Recently uploaded (19)

"espiritu alma y cuerpo" 1 Tesalonicenses 5:23
"espiritu alma y cuerpo" 1 Tesalonicenses 5:23"espiritu alma y cuerpo" 1 Tesalonicenses 5:23
"espiritu alma y cuerpo" 1 Tesalonicenses 5:23
 
Hora Santa reflexiva Por la mujer en su día.pdf
Hora Santa reflexiva Por la mujer en su día.pdfHora Santa reflexiva Por la mujer en su día.pdf
Hora Santa reflexiva Por la mujer en su día.pdf
 
PRIMERA COMUNIÓN SANTA TERESITA 2024.pdf
PRIMERA COMUNIÓN SANTA TERESITA 2024.pdfPRIMERA COMUNIÓN SANTA TERESITA 2024.pdf
PRIMERA COMUNIÓN SANTA TERESITA 2024.pdf
 
Marco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffg
Marco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffgMarco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffg
Marco_EMS.pdfjhhhgffrhhhjjjjjjhgffddddffg
 
Luisa de Marillac y los niños abandonados
Luisa de Marillac y los niños abandonadosLuisa de Marillac y los niños abandonados
Luisa de Marillac y los niños abandonados
 
Luisa de Marillac y cuidado de las personas ancianas
Luisa de Marillac y cuidado de las personas ancianasLuisa de Marillac y cuidado de las personas ancianas
Luisa de Marillac y cuidado de las personas ancianas
 
Luisa de Marillac: cuidado de los enfermos pobres
Luisa de Marillac: cuidado de los enfermos pobresLuisa de Marillac: cuidado de los enfermos pobres
Luisa de Marillac: cuidado de los enfermos pobres
 
disfrutando el tomar la cena del senor.pdf
disfrutando el tomar la cena del senor.pdfdisfrutando el tomar la cena del senor.pdf
disfrutando el tomar la cena del senor.pdf
 
Guadalupe Ortiz de Landázuri, biografía ilustrada
Guadalupe Ortiz de Landázuri, biografía ilustrada Guadalupe Ortiz de Landázuri, biografía ilustrada
Guadalupe Ortiz de Landázuri, biografía ilustrada
 
ADVOCACIONES MARIANAS EN AMÉRICA LATINA.ppt
ADVOCACIONES MARIANAS EN AMÉRICA LATINA.pptADVOCACIONES MARIANAS EN AMÉRICA LATINA.ppt
ADVOCACIONES MARIANAS EN AMÉRICA LATINA.ppt
 
Sanidad Interior y Liberacion libro de ayuda espiritual y emocional
Sanidad Interior y Liberacion libro de ayuda espiritual y emocionalSanidad Interior y Liberacion libro de ayuda espiritual y emocional
Sanidad Interior y Liberacion libro de ayuda espiritual y emocional
 
Salmo 50 un salmo de mucha bendicion para todos
Salmo 50 un salmo de mucha bendicion para todosSalmo 50 un salmo de mucha bendicion para todos
Salmo 50 un salmo de mucha bendicion para todos
 
tratado-de-egguns70pag-130221102039-phpapp02 4.pdf
tratado-de-egguns70pag-130221102039-phpapp02 4.pdftratado-de-egguns70pag-130221102039-phpapp02 4.pdf
tratado-de-egguns70pag-130221102039-phpapp02 4.pdf
 
Recuperando el Rumbo Hasta la Transformación Parte #4.pptx
Recuperando el Rumbo Hasta la Transformación Parte #4.pptxRecuperando el Rumbo Hasta la Transformación Parte #4.pptx
Recuperando el Rumbo Hasta la Transformación Parte #4.pptx
 
Retiro de mayo #DesdeCasa (2024)
Retiro de mayo #DesdeCasa (2024)Retiro de mayo #DesdeCasa (2024)
Retiro de mayo #DesdeCasa (2024)
 
Luisa de Marillac, cuidado de los galeotes
Luisa de Marillac, cuidado de los galeotesLuisa de Marillac, cuidado de los galeotes
Luisa de Marillac, cuidado de los galeotes
 
GUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdf
GUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdfGUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdf
GUÍA PARA EL REZO DEL SANTO ROSARIO, tamaño cuartilla A5 .pdf
 
Luisa de Marillac y la educación de las niñas pobres
Luisa de Marillac y la educación de las niñas pobresLuisa de Marillac y la educación de las niñas pobres
Luisa de Marillac y la educación de las niñas pobres
 
CARTA de Dios para ti. Dios hablando contigo
CARTA de Dios para ti. Dios hablando contigoCARTA de Dios para ti. Dios hablando contigo
CARTA de Dios para ti. Dios hablando contigo
 

Articulo 3

  • 1. Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Resumen La globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negocios ha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamiento dinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube y también examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento. Un documento técnico de ISACA sobre tecnología emergente
  • 2. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 2 ISACA® Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA® Journal y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadas Certified Information Systems Auditor™ (CISA® ), Certified Information Security Manager® (CISM® ) y Certified in the Governance of Enterprise IT® (CGEIT® ). ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,® Val IT™ y Risk IT, los cuales ayudan a los profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor al negocio. Cláusula de exención de responsabilidad ISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultados satisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados o excluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener los mismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, los profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con las circunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico. Reservación de derechos © 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico, interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico: info@isaca.org Página Internet: www.isaca.org Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo.
  • 3. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 3 ISACA desea agradecer a: Equipo de desarrollo de proyectos Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directiva Phil Agcaoili, CISM, CISSP, Dell, EE.UU. Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU. Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU. H. Peet Rapp, CISA, Rapp Consulting, EE.UU. Jim Reavis, Cloud Security Alliance, EE.UU. Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU. Joel Scambray, CISSP, Consciere, EE.UU. Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU. Consejo de dirección de ISACA Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vicepresidente Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp., Australia, Vicepresidente Robert Stroud, CGEIT, CA Inc., EE.UU., Vicepresidente Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Vicepresidente Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional Pasado Everett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional Pasado Gregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Director Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes Comité de orientación y prácticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directiva Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU. Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU. Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canadá Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India Anthony P. Noble, CISA, Viacom, EE.UU. Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., México Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Bélgica Frank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda The Cloud Security Alliance, del cual ISACA es miembro fundador
  • 4. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 4 Impactos de la computación en la nube Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitido que la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionar a las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo que hay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio. Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI. Por todas estas razones, es fácil ver por qué la computación en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes y eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgos internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los procesos de negocio. Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y características como agilidad y velocidad de suministro. Sin embargo, como una “nueva” iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nube introduce un nivel de abstracción entre la infraestructura física y el propietario de la información que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control directo o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso. Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computación en la nube. Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué tipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio. ¿Qué es computación en la nube? Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar la evaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones “Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua”.
  • 5. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 5 son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con el proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de una empresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen la opción de pagar por los servicios de TI dependiendo del consumo. Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelos de implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferirán según el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación, las empresas deben considerar los riesgos relacionados. Figura 1—Modelos de servicio de la computación en la nube Modelo de servicio Definición Lo que se debe considerar Infraestructura como un servicio (IaaS) Capacidad para configurar procesamiento, almacenamiento, redes y otros recursos de computación fundamentales, ofreciendo al cliente la posibilidad de implementar y ejecutar software arbitrario, el cual puede incluir sistemas operativos y aplicaciones. IaaS coloca estas operaciones de TI en las manos de un tercero. Opciones de minimizar el impacto si el proveedor de la nube experimenta una interrupción del servicio Plataforma como un servicio (PaaS) Capacidad para implementar en la infraestructura de la nube aplicaciones creadas o adquiridas por el cliente que se hayan creado utilizando lenguajes y herramientas de programación que estén respaldados por el proveedor • Disponibilidad • Confidencialidad • La privacidad y la responsabilidad legal en caso de una violación de la seguridad (ya que las bases de datos que contienen información sensitiva ahora estarán hospedadas fuera del sitio) • Propiedad de los datos • Preocupaciones acerca del e-discovery Software como un servicio (SaaS) Capacidad para utilizar las aplicaciones del proveedor que se ejecutan en la infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a través de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrónico basado en la web). • ¿Quién es el dueño de las aplicaciones? • ¿Dónde residen las aplicaciones? Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura de la nube Lo que se debe considerar Nube privada • Operada únicamente para una organización • Puede ser manejada por la organización o un tercero • Puede existir dentro o fuera de las instalaciones • Servicios en la nube con riesgo mínimo • Es posible que no proporcione la escalabilidad y agilidad de los servicios de la nube pública
  • 6. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 6 Figura 2—Modelos de implementación de la computación en la nube (Cont.) Modelo de implementación Descripción de la infraestructura de la nube Lo que se debe considerar Nube comunitaria • Compartida por varias organizaciones • Respalda una comunidad específica que haya compartido su misión o interés. • Puede ser manejada por las organizaciones o un tercero • Puede residir dentro o fuera de las instalaciones • Igual que la nube privada, pero adicionalmente: • Los datos pueden estar almacenados con los datos de los competidores. Nube pública • Esta disponible para el público en general o un grupo industrial grande • Pertenece a una organización que vende servicios en la nube • Igual que la nube comunitaria, pero adicionalmente: • Los datos pueden estar almacenados en ubicaciones desconocidas y pudieran no ser fáciles de recuperar. Nube híbrida Una composición de dos o más nubes (privada, comunitaria o pública) que continúan siendo entidades únicas, pero que están unidas mediante tecnología estandarizada o propietaria que permite la portabilidad de datos y aplicaciones (por ejemplo, ampliación de la nube [cloud bursting] para equilibrar la carga entre las nubes.) • El riesgo agregado de combinar dos modelos de implementación diferentes • La clasificación y el etiquetado de datos ayudará al gerente de seguridad a garantizar que los datos se asignen al tipo de nube correcto. Figura 3—Características fundamentales de la computación en la nube Característica Definición Autoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como el almacenamiento en servidores y redes, según sea necesario sin requerir interacción humana con cada proveedor de servicios. Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA). Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignados y reasignados de manera dinámica según la demanda. Existe un sentido de independencia geográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel de abstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales. Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casos automáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, además, se puede adquirir cualquier cantidad de capacidades en cualquier momento. Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizando una capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio. Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades en relación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendo de los tipos de modelo de servicio e implementación seleccionados.
  • 7. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 7 Los beneficios de negocio de la computación en la nube Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: • Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y el precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos. Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión. Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales. • Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo. • Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. • Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para las necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlar el tráfico y reducir el tiempo necesario para implementar nuevos servicios. • Eficiencia—Reasignar actividades operacionales de gestión de la información a la nube ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y pudiera incluso ser más útil que las ventajas financieras que ofrece la nube. • Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se pueden utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar la sostenibilidad durante un evento inesperado. El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las oportunidades que ofrecen los servicios en la nube. “…al tercerizar parte de la gestión de información y las operaciones de TI, los trabajadores de una empresa se sentirán libres de mejorar procesos, aumentar la productividad e innovar…”
  • 8. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 8 Riesgos y preocupaciones de seguridad relacionados con la computación en la nube Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atención puesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de su negocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología del proveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitectura de la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de los riesgos que plantea la computación en la nube para la empresa son: • Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar que los servicios estarán disponibles y que los datos se podrán rastrear. • Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio. • La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la información realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras. • El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad intelectual (IP) y los secretos comerciales. • Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales. • Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuesta y recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato. Estrategias para tratar riesgos relacionados con la computación en la nube Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un programa de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución. En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos constituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de forma apropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que sea sensitiva o de gran valor para la organización.
  • 9. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 9 Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, el acuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puede utilizar la empresa para asegurar la adecuada protección de la información que se confía a la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes pueden especificar si se utilizarán marcos de control conjunto y describir la expectativa de una auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener las expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad de la información. Además, los requerimientos correspondientes a la continuidad del negocio y a la recuperación en caso de desastre (que se discutieron anteriormente) se deberán expresar en el acuerdo. La protección de la información evolucionará como resultado de un acuerdo de nivel de servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido e integral. La estructuración de un acuerdo de nivel de servicio detallado y completo que incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la gestión de su información una vez que ya no esté en la compañía y se haya transportado, almacenado o procesado en la nube. Problemas de gobierno y cambios relacionados con la computación en la nube La dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la computación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que anteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguen cumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de forma estratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas son seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con un tercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares, definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la tecnología de computación en la nube y sus proveedores. Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transición a la computación en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la información de la compañía en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas. Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar los procesos que detallan la manera cómo se almacena, archiva y respalda la información. La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información aborden los usos de los servicios en la nube. “En un ambiente donde la privacidad se ha vuelto crucial para los clientes empresariales, el acceso no autorizado a información en la nube es una gran preocupación”.
  • 10. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 10 Consideraciones sobre el aseguramiento en relación con la computación en la nube Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computación en la nube? Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes: • Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y robustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado, cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe ser transparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparencia del proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene la segregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes? ¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia? • Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad, será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probables que se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto de información como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicación se deben probar periódicamente durante las operaciones. • Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estándares. En lo que respecta a la computación en la nube, existe la preocupación de que los datos puedan no estar almacenados en un solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si los datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro otras informaciones. Las auditorías realizadas por las propias autoridades legales, de estandarización y reguladoras demuestran que puede haber muchas extralimitaciones en tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que una empresa podrá obtener su información cuando la necesite, y algunos proveedores incluso se están reservando el derecho a limitar la información que proporcionan a las autoridades. • Flujo de información transfronterizo—Cuando la información se puede almacenar en cualquier lugar de la nube, la ubicación física de la información puede convertirse en un problema. La ubicación física determina la jurisdicción y la obligación legal. Las leyes nacionales que rigen la información personal identificable (PII) pueden variar considerablemente. Lo que está permitido en un país puede considerarse una violación en otro. • Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que están haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditorías de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento. El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internos y la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponibles públicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se deben consultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcos de control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y los controles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tanto la eficiencia como la seguridad integrada de su portafolio de TI. “La computación en la nube representa una oportunidad excepcional de actualizar la seguridad y los controles de TI para un mejor futuro”.
  • 11. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s . Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento 11 Conclusión Si bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgos para informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos se deben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio. Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorros de costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentro de las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas. Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources