Cloud Computing
Implicaciones en el
Control y la Auditoría
Agenda
1. ¿Qué significa Cloud Computing?
2. ¿Hacia dónde va el Cloud Computing?
3. Ventajas del esquema Cloud Computing
4. Riesgos asociados al Cloud Computing.
5. Implicaciones en el sistema de control interno
Cloud computing
generará $2.5 billones en el 2015
01/02/2011 12:02 PM
Gustavo Arias R.
Los sistemas de cloud computing (informática en la nube) tendrán un crecimiento vertiginoso durante los próximos años, según un estudio de la firma International Data Corporation
Las proyecciones de IDC indican que el sector generará $2.5 billones en el 2015
IDC considera que los beneficios económicos que tiene la ―cloud computing‖,
especialmente para las empresas, será la clave para su crecimiento. . Google Apps y Amazon EC2 son ejemplos de dicha tecnología.
Fuente: www.elfinancierocr.com
Cuatro de cada 10 empresarios consideran clave
asignar presupuesto a
cloud computing
22/09/2010 09:49 AM Carolina Ruiz Vega
A nivel mundial, 39% de 1.587 empresarios en 40 países consideran que asignar presupuesto de tecnología a cloud computing ha sido una iniciativa fundamental para su organización.
El estudio, realizado por Gartner , indica que, de lo invertido en proveedores de servicios externos, 10,2% se ha asignado a servicios que se brindan por
medio de Internet , bajo el esquema de terciarización conocido como cloud computing .
• Racsa inaugura plataforma de
cloud computing
• Construcción de este centro de datos costó $15 millones
• 06/05/2010 11:15 AM Carolina Ruiz Vega
• Tras una inversión de $15 millones y cuatro meses de construcción, Radiográfica Costarricense (Racsa) se subió oficialmente a la nube de cómputo este 6 de mayo, tras inaugurar las instalaciones del Telepuerto Zurquí .
• Estas le permitirán ofrecer sus servicios de cloud computing , como el alquiler de un escritorio virtual y de almacenamiento en línea.
• Para ello, alquila una terminal liviana que tiene un monitor, un mouse , un teclado y una especie de CPU. Este no permite almacenar información, sino que se le inserta una tarjeta inteligente que codifica la del usuario que la ingresa, para que este pueda a su vez acceder al software que corre en la nube de Internet.
• Por ahora, se tiene acceso a los programas de OpenOfic e, suite ofimática de código libre, pero esperan pronto correr programas licenciados también. Además,
cada usuario tiene entre 5 Gb y 10 Gb de espacio de almacenamiento virtual
(aunque esta capacidad puede aumentarse, si así lo requiere la empresa). • El alquiler de este servicio ronda entre los $65 y los $70 mensuales .
2010 ISACA IT Risk/Reward Barometer—Latin America Edition April 2010
Respondents are business and IT professionals in Latin America who are members of ISACA
6. Which of the following do you believe about cloud computing (including software as a service)? (Please select one.) (n=424)
a. The benefits achieved with cloud computing outweigh the risks. 18%
b . The risks of cloud computing outweigh the benefits. 41%
c. The risks and benefits of cloud computing are appropriately balanced. 42%
7. Which of the following best describes your organization’s 2010 cloud computing plan (including software as a service)? (n=431)
a. We plan to limit cloud computing to low-risk, non-mission-critical IT services. 15%
b. We plan to use cloud computing for mission-critical IT services. 17%
c. We do not currently plan to use cloud computing for any IT services. 34%
d. We have not finalized our plans with regard to cloud computing at this time. 12%
“According to The Economist, the rise of
cloud computing is “more than just another
platform shift. It will undoubtedly transform
the IT industry, but it will also profoundly
change the way people work and
companies operate
.
‖
• Es como el sabor del mes • Falta de consenso
• National Institute of Standards and Technology (NIST) y Cloud Security Alliance; definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una
Cloud Computing está enfocado en una necesidad siempre presente en TI que consiste en: incrementar capacidad o implementar servicios de manera muy rápida y sin tener que invertir en nueva
infraestructura, capacitando lo
El término cloud computing fue utilizado por primera vez por el profesor Kenneth K Chellapa en
1997 en la ―Informs Conference‖ en Dallas definiendo al cloud computing
como ―un paradigma de
computación donde los límites de la computación serán determinados por razones económicas en lugar de límites técnicos‖.
Modelo
Cloud Computing
M O D E L O S D E S E R V I C I O M O D E L O S D E I M P L E M E N T A C I O N C A R A C T E R I S T I C A S PLATAFORMA COMO UN SERVICIO (PaaS)INFRA-ESTRUCTURA COMO UN SERVICIO (IaaS)
SOFTWARE COMO UN SERVICIO (SaaS)
Las implementaciones deben ofrecer SLA´s adecuados.
Los usuarios contarán con herramientas de control.
La reglamentación regulará el proceso de auditoría, de seguridad, así como el almacenamiento y resguardo de los datos del cliente, que son gestionados y alojados dentro de la nube.
Las compañías tendrán el reto de ofrecer interfaces de integración claras y sostenibles en el tiempo, como
Las empresas proveedoras de hardware, software y servicios deberán enfrentar simultáneamente dos desafíos:
•Desarrollar o adaptar sus productos, procesos y herramientas para participar de este nuevo
modelo.
•Modificar sus estructuras de venta y soporte, y en algunos casos también sus mercados
En el caso de las empresas que venden aplicativos, el impacto se va a dar en la estructura de venta y de soporte, ya que deberán pasar de vender licencias a vender y a soportar servicios.
Las empresas proveedoras de servicios de TI deberán: • integrar las comunicaciones a sus servicios,
• adaptar su portafolio a la categoría de Cloud en la que decidan participar,
• adecuar sus procesos de venta, entrega y facturación al modelo por demanda, y
• Las organizaciones se pueden enfocar en su negocio principal, en lugar de
preocuparse por la escalabilidad de la infraestructura.
• Capacidad de modernizar los procesos
• Aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido
excesivamente costosos.
• Contención de costos, se
minimizan las inversiones directas de capital a la adopción de nuevas tecnologías.
• Los costos están asociados al uso y no a la previsión de picos de
demanda.
• Capacidad de configurar y utilizar un servicio de forma casi
inmediata, comparado con los largos procesos de
• Disponibilidad, evitando los altos costos asociados a la redundancia.
• Escalabilidad, lo que reduce los
costos asociados a la administración y gestión de la infraestructura.
• Redirigir los esfuerzos a la
• Muchos de los riesgos asociados al cloud computing no son nuevos y están ya presentes en la
organización.
• Es necesaria una buena planificación y la gestión de riesgos.
• La selección del proveedor se vuelve
critica, la reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración.
• El proveedor asume la responsabilidad de manejar la información, por lo que se
requieren SLA adecuados y contratos de confidencialidad muy bien diseñados.
• La naturaleza dinámica de la computación en la nube podría resultar confusa en
• Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son
imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de
• El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la
confidencialidad de la información. Esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad
intelectual y los secretos comerciales.
• Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que
desempeña en términos de
copias de respaldo, respuesta y recuperación en caso de
5. Implicaciones en el
sistema de control
• Gobernabilidad, la dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de
considerar el uso de la computación en la nube.
• Alineamiento de los
negocios y los servicios de TI.
• Seguridad de los sistemas. • Establecimiento de metas,
• El acceso no autorizado a los datos es una
preocupación relevante y la privacidad de los mismos es fundamental en las
organizaciones de hoy, por lo tanto se requiere un
inventario de los activos de información y la
clasificación y etiquetado de los mismos.
• Acuerdo de nivel de servicio.
• Selección de proveedores • Encripción.
• La estructura organizacional del Departamento de
Tecnología, requiere reorganización en los
actividades de procesamiento de datos, desarrollo de
aplicaciones, administración de la infraestructura, seguridad y gestión de riesgos.
• El personal del negocio que antes requería de TI ahora podría pasar por encima de TI y recibir servicios directamente desde la nube.
• Segregación de Funciones. • Las políticas de seguridad
deben establecer en que casos se usa servicios en la nube.
• Los riesgos legales
asociados al contrato de servicios con el proveedor, hace que sea necesaria la participación de
especialistas en derecho. Se debe considerar:
– Transparencia. – Privacidad.
– Cumplimiento normativo. – Flujo de información
transfronterizo. – Certificación.
• Evaluación de proveedores. • Participación de asesores
El Auditor de TI y los
encargados de gerenciar riesgos, para dar un
servicio de calidad,
necesitan tener un claro entendimiento de cada uno de los aspectos de la
computación en la nube.
Cloud Computing Management
Objetivo del
Estudio de Auditoría
• Proveer a los stakeholders de una evaluación sobre la efectividad de los servicios del proveedor de
cloud computing en cuanto a los controles internos y la seguridad.
• Identificar las deficiencias del
control interno en la organización cliente y en las interfaces con el proveedor de servicios.
• Proveer a los stakeholders de una evaluación sobre la calidad y la habilidad del proveedor de
Alcance del
Estudio de Auditoría
• Los elementos de
Gobernabilidad que afectan
el cloud computing.
• El cumplimiento contractual
entre el proveedor de
servicios y el cliente.
• Los elementos de control
específicos del cloud
Consideraciones del
Estudio de Auditoría
El auditor debe obtener una
descripción de todo el ambiente de cloud computing, las
aplicaciones, en uso y en
consideración. El tipo de cloud computing que se utiliza (IaaS, PaaS, SaaS).
Se puede considerar si el
proveedor de servicios cuenta con una certificación ISO 27001 sobre adherencia a las mejores
Consideraciones del
Estudio de Auditoría
El auditor debe identificar los riesgos del negocio asociados al cloud computing, tanto para los dueños como para los
interesados claves.
El auditor debe verificar que los riesgos del negocio, están
alineados y clasificados con los criterios de seguridad de la
Consideraciones del
Estudio de Auditoría
El auditor debe identificar el
modelo de Gobernabilidad de los proveedores de servicios de cloud computing que se utilizan en toda la organización.
Se deben entender y evaluar las métricas que se utilizan y los
Consideraciones del
Estudio de Auditoría
El Auditor debe evaluar si el riesgo aceptado
(riesgo residual) ha sido aprobado por el nivel administrativo con autoridad y se entienden las
implicaciones de tal decisión.
Verificar si el contrato establece
adecuadamente las responsabilidades del proveedor y del
Consideraciones del
Estudio de Auditoría
El Auditor debe evaluar las interfaces entre la organización y el proveedor de servicios.
Especialmente todo lo relacionado a los
esquemas de
encriptación de los datos transportados y las políticas de back up.
En los servicios SaaS evaluar la
transportabilidad y flexibilidad del
Consideraciones del
Estudio de Auditoría
El Auditor debe evaluar
los esquemas de
autenticación y la
“Cloud Computing”
COBIT
COBIT
Bibliografía
• Artículo: “Risk Landscape of Cloud Computing” Vasant Raval, CISA, DBA, ISACA Journal Volumen 1. 2010.
• Artículo ―Auditing Security Risks in Virtual IT Systems‖ Abnik Chaudhuri, MCA, PMP y otros.
• 2010 ISACA IT Risk/Reward Barometer—Latin America Edition.
• 2011 SaaS Poll: Serving Two Masters? Michael Biddick, InformationWeek. March 2011.
• Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (www.isaca.org)