• No se han encontrado resultados

Cloud Computing es

N/A
N/A
Protected

Academic year: 2020

Share "Cloud Computing es"

Copied!
52
0
0

Texto completo

(1)

Cloud Computing

Implicaciones en el

Control y la Auditoría

(2)

Agenda

1. ¿Qué significa Cloud Computing?

2. ¿Hacia dónde va el Cloud Computing?

3. Ventajas del esquema Cloud Computing

4. Riesgos asociados al Cloud Computing.

5. Implicaciones en el sistema de control interno

(3)

Cloud computing

generará $2.5 billones en el 2015

01/02/2011 12:02 PM

Gustavo Arias R.

Los sistemas de cloud computing (informática en la nube) tendrán un crecimiento vertiginoso durante los próximos años, según un estudio de la firma International Data Corporation

Las proyecciones de IDC indican que el sector generará $2.5 billones en el 2015

IDC considera que los beneficios económicos que tiene la ―cloud computing‖,

especialmente para las empresas, será la clave para su crecimiento. . Google Apps y Amazon EC2 son ejemplos de dicha tecnología.

(4)

Fuente: www.elfinancierocr.com

Cuatro de cada 10 empresarios consideran clave

asignar presupuesto a

cloud computing

22/09/2010 09:49 AM Carolina Ruiz Vega

A nivel mundial, 39% de 1.587 empresarios en 40 países consideran que asignar presupuesto de tecnología a cloud computing ha sido una iniciativa fundamental para su organización.

El estudio, realizado por Gartner , indica que, de lo invertido en proveedores de servicios externos, 10,2% se ha asignado a servicios que se brindan por

medio de Internet , bajo el esquema de terciarización conocido como cloud computing .

(5)

• Racsa inaugura plataforma de

cloud computing

• Construcción de este centro de datos costó $15 millones

06/05/2010 11:15 AM Carolina Ruiz Vega

• Tras una inversión de $15 millones y cuatro meses de construcción, Radiográfica Costarricense (Racsa) se subió oficialmente a la nube de cómputo este 6 de mayo, tras inaugurar las instalaciones del Telepuerto Zurquí .

• Estas le permitirán ofrecer sus servicios de cloud computing , como el alquiler de un escritorio virtual y de almacenamiento en línea.

• Para ello, alquila una terminal liviana que tiene un monitor, un mouse , un teclado y una especie de CPU. Este no permite almacenar información, sino que se le inserta una tarjeta inteligente que codifica la del usuario que la ingresa, para que este pueda a su vez acceder al software que corre en la nube de Internet.

• Por ahora, se tiene acceso a los programas de OpenOfic e, suite ofimática de código libre, pero esperan pronto correr programas licenciados también. Además,

cada usuario tiene entre 5 Gb y 10 Gb de espacio de almacenamiento virtual

(aunque esta capacidad puede aumentarse, si así lo requiere la empresa). • El alquiler de este servicio ronda entre los $65 y los $70 mensuales .

(6)

2010 ISACA IT Risk/Reward Barometer—Latin America Edition April 2010

Respondents are business and IT professionals in Latin America who are members of ISACA

6. Which of the following do you believe about cloud computing (including software as a service)? (Please select one.) (n=424)

a. The benefits achieved with cloud computing outweigh the risks. 18%

b . The risks of cloud computing outweigh the benefits. 41%

c. The risks and benefits of cloud computing are appropriately balanced. 42%

7. Which of the following best describes your organization’s 2010 cloud computing plan (including software as a service)? (n=431)

a. We plan to limit cloud computing to low-risk, non-mission-critical IT services. 15%

b. We plan to use cloud computing for mission-critical IT services. 17%

c. We do not currently plan to use cloud computing for any IT services. 34%

d. We have not finalized our plans with regard to cloud computing at this time. 12%

(7)

“According to The Economist, the rise of

cloud computing is “more than just another

platform shift. It will undoubtedly transform

the IT industry, but it will also profoundly

change the way people work and

companies operate

.

(8)
(9)

• Es como el sabor del mes • Falta de consenso

(10)
(11)

• National Institute of Standards and Technology (NIST) y Cloud Security Alliance; definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una

(12)

Cloud Computing está enfocado en una necesidad siempre presente en TI que consiste en: incrementar capacidad o implementar servicios de manera muy rápida y sin tener que invertir en nueva

infraestructura, capacitando lo

(13)

El término cloud computing fue utilizado por primera vez por el profesor Kenneth K Chellapa en

1997 en la ―Informs Conference‖ en Dallas definiendo al cloud computing

como ―un paradigma de

computación donde los límites de la computación serán determinados por razones económicas en lugar de límites técnicos‖.

(14)

Modelo

Cloud Computing

M O D E L O S D E S E R V I C I O M O D E L O S D E I M P L E M E N T A C I O N C A R A C T E R I S T I C A S PLATAFORMA COMO UN SERVICIO (PaaS)

INFRA-ESTRUCTURA COMO UN SERVICIO (IaaS)

SOFTWARE COMO UN SERVICIO (SaaS)

(15)
(16)

Las implementaciones deben ofrecer SLA´s adecuados.

Los usuarios contarán con herramientas de control.

La reglamentación regulará el proceso de auditoría, de seguridad, así como el almacenamiento y resguardo de los datos del cliente, que son gestionados y alojados dentro de la nube.

Las compañías tendrán el reto de ofrecer interfaces de integración claras y sostenibles en el tiempo, como

(17)

Las empresas proveedoras de hardware, software y servicios deberán enfrentar simultáneamente dos desafíos:

•Desarrollar o adaptar sus productos, procesos y herramientas para participar de este nuevo

modelo.

•Modificar sus estructuras de venta y soporte, y en algunos casos también sus mercados

(18)

En el caso de las empresas que venden aplicativos, el impacto se va a dar en la estructura de venta y de soporte, ya que deberán pasar de vender licencias a vender y a soportar servicios.

Las empresas proveedoras de servicios de TI deberán: • integrar las comunicaciones a sus servicios,

• adaptar su portafolio a la categoría de Cloud en la que decidan participar,

• adecuar sus procesos de venta, entrega y facturación al modelo por demanda, y

(19)
(20)

• Las organizaciones se pueden enfocar en su negocio principal, en lugar de

preocuparse por la escalabilidad de la infraestructura.

• Capacidad de modernizar los procesos

• Aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido

excesivamente costosos.

(21)

• Contención de costos, se

minimizan las inversiones directas de capital a la adopción de nuevas tecnologías.

• Los costos están asociados al uso y no a la previsión de picos de

demanda.

• Capacidad de configurar y utilizar un servicio de forma casi

inmediata, comparado con los largos procesos de

(22)

• Disponibilidad, evitando los altos costos asociados a la redundancia.

• Escalabilidad, lo que reduce los

costos asociados a la administración y gestión de la infraestructura.

• Redirigir los esfuerzos a la

(23)
(24)

• Muchos de los riesgos asociados al cloud computing no son nuevos y están ya presentes en la

organización.

• Es necesaria una buena planificación y la gestión de riesgos.

(25)

• La selección del proveedor se vuelve

critica, la reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración.

• El proveedor asume la responsabilidad de manejar la información, por lo que se

requieren SLA adecuados y contratos de confidencialidad muy bien diseñados.

• La naturaleza dinámica de la computación en la nube podría resultar confusa en

(26)

• Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son

imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de

(27)

• El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la

confidencialidad de la información. Esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad

intelectual y los secretos comerciales.

(28)

• Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que

desempeña en términos de

copias de respaldo, respuesta y recuperación en caso de

(29)

5. Implicaciones en el

sistema de control

(30)

• Gobernabilidad, la dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de

considerar el uso de la computación en la nube.

• Alineamiento de los

negocios y los servicios de TI.

• Seguridad de los sistemas. • Establecimiento de metas,

(31)

• El acceso no autorizado a los datos es una

preocupación relevante y la privacidad de los mismos es fundamental en las

organizaciones de hoy, por lo tanto se requiere un

inventario de los activos de información y la

clasificación y etiquetado de los mismos.

• Acuerdo de nivel de servicio.

• Selección de proveedores • Encripción.

(32)

• La estructura organizacional del Departamento de

Tecnología, requiere reorganización en los

actividades de procesamiento de datos, desarrollo de

aplicaciones, administración de la infraestructura, seguridad y gestión de riesgos.

• El personal del negocio que antes requería de TI ahora podría pasar por encima de TI y recibir servicios directamente desde la nube.

• Segregación de Funciones. • Las políticas de seguridad

deben establecer en que casos se usa servicios en la nube.

(33)

• Los riesgos legales

asociados al contrato de servicios con el proveedor, hace que sea necesaria la participación de

especialistas en derecho. Se debe considerar:

– Transparencia. – Privacidad.

– Cumplimiento normativo. – Flujo de información

transfronterizo. – Certificación.

• Evaluación de proveedores. • Participación de asesores

(34)
(35)

El Auditor de TI y los

encargados de gerenciar riesgos, para dar un

servicio de calidad,

necesitan tener un claro entendimiento de cada uno de los aspectos de la

computación en la nube.

Cloud Computing Management

(36)

Objetivo del

Estudio de Auditoría

• Proveer a los stakeholders de una evaluación sobre la efectividad de los servicios del proveedor de

cloud computing en cuanto a los controles internos y la seguridad.

• Identificar las deficiencias del

control interno en la organización cliente y en las interfaces con el proveedor de servicios.

• Proveer a los stakeholders de una evaluación sobre la calidad y la habilidad del proveedor de

(37)

Alcance del

Estudio de Auditoría

• Los elementos de

Gobernabilidad que afectan

el cloud computing.

• El cumplimiento contractual

entre el proveedor de

servicios y el cliente.

• Los elementos de control

específicos del cloud

(38)

Consideraciones del

Estudio de Auditoría

El auditor debe obtener una

descripción de todo el ambiente de cloud computing, las

aplicaciones, en uso y en

consideración. El tipo de cloud computing que se utiliza (IaaS, PaaS, SaaS).

Se puede considerar si el

proveedor de servicios cuenta con una certificación ISO 27001 sobre adherencia a las mejores

(39)

Consideraciones del

Estudio de Auditoría

El auditor debe identificar los riesgos del negocio asociados al cloud computing, tanto para los dueños como para los

interesados claves.

El auditor debe verificar que los riesgos del negocio, están

alineados y clasificados con los criterios de seguridad de la

(40)

Consideraciones del

Estudio de Auditoría

El auditor debe identificar el

modelo de Gobernabilidad de los proveedores de servicios de cloud computing que se utilizan en toda la organización.

Se deben entender y evaluar las métricas que se utilizan y los

(41)

Consideraciones del

Estudio de Auditoría

El Auditor debe evaluar si el riesgo aceptado

(riesgo residual) ha sido aprobado por el nivel administrativo con autoridad y se entienden las

implicaciones de tal decisión.

Verificar si el contrato establece

adecuadamente las responsabilidades del proveedor y del

(42)

Consideraciones del

Estudio de Auditoría

El Auditor debe evaluar las interfaces entre la organización y el proveedor de servicios.

Especialmente todo lo relacionado a los

esquemas de

encriptación de los datos transportados y las políticas de back up.

En los servicios SaaS evaluar la

transportabilidad y flexibilidad del

(43)

Consideraciones del

Estudio de Auditoría

El Auditor debe evaluar

los esquemas de

autenticación y la

(44)

“Cloud Computing”

(45)
(46)
(47)
(48)
(49)

COBIT

(50)

COBIT

(51)

Bibliografía

• Artículo: “Risk Landscape of Cloud Computing” Vasant Raval, CISA, DBA, ISACA Journal Volumen 1. 2010.

• Artículo ―Auditing Security Risks in Virtual IT Systems‖ Abnik Chaudhuri, MCA, PMP y otros.

• 2010 ISACA IT Risk/Reward Barometer—Latin America Edition.

• 2011 SaaS Poll: Serving Two Masters? Michael Biddick, InformationWeek. March 2011.

• Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (www.isaca.org)

(52)

Muchas Gracias

Referencias

Documento similar

Residuos de industrias pesqueras. - Las conser- vas de pescados tienen como residuos las cabezas y tripas de estos. animales, que, cocidas para extraer las grasas, desecadas

Service availability: The services will be available 99.99% and depending on the service provider and their policies, the service provider will remain liable to pay service

En este cap´ıtulo se ha desarrollado una propuesta de Broker para servicios de miner´ıa de datos en Cloud Computing llamada BrokerMD. BrokerMD es una propuesta formada por un

1. El equipo directivo del centro se encargará de la elaboración del horario de los auxiliares de conversación y del control de su cumplimiento. Asimismo, remitirá el

1 In this work, the concepts of cloud computing will be explored in a general way, thoroughly investigating the new concept of serverless architecture, an

En este sentido, es importante destacar el hecho de que el verdadero objetivo perseguido en el presente capítulo no reside en la dificultad comprendida en cuanto a la

Por su naturaleza, la tecnología de Cloud Computing se puede integrar con mucha mayor facilidad y rapidez con el resto de sus aplicaciones empresariales (tanto software tradicional

Atendiendo a su definición, el Cloud Computing es un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido de