articulo 3

Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno

y aseguramiento

ResumenLa globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negocios ha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamiento dinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube y también examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.

Un documento técnico de ISACA sobre

tecnología emergente

© 2 0 0 9 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

ComputaCión en la nube: benefiCios de negoCio Con perspeCtivas de seguridad, gobierno y aseguramiento

2

ISACA®

Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA® Journal y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadas Certified Information Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®) y Certified in the Governance of Enterprise IT® (CGEIT®).

ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,® Val IT™ y Risk IT, los cuales ayudan a los profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor al negocio.

Cláusula de exención de responsabilidadISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultados satisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados o excluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener los mismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, los profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con las circunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico.

Reservación de derechos© 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico, interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo.

ISACA3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUATeléfono: +1.847.253.1545Fax: +1.847.253.1443Correo electrónico: [email protected]ágina Internet: www.isaca.org

Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo.



3

ISACA desea agradecer a:

Equipo de desarrollo de proyectosJeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directivaPhil Agcaoili, CISM, CISSP, Dell, EE.UU.Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU.Geir Arild Engh-Hellesvik, Ernst & Young AS, NoruegaDavid Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU.H. Peet Rapp, CISA, Rapp Consulting, EE.UU.Jim Reavis, Cloud Security Alliance, EE.UU.Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU.Joel Scambray, CISSP, Consciere, EE.UU.Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU.

Consejo de dirección de ISACA Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente InternacionalGeorge Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, VicepresidenteYonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, VicepresidenteJose Angel Pena Ibarra, CGEIT, Alintec, México, VicepresidenteRia Lucas, CISA, CGEIT, Telstra Corp., Australia, VicepresidenteRobert Stroud, CGEIT, CA Inc., EE.UU., VicepresidenteRolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, VicepresidenteKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., VicepresidenteLynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional PasadoEverett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional PasadoGregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., DirectorTony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, DirectorHoward Nicholson, CISA, CGEIT, City of Salisbury, Australia, DirectorJeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes

Comité de orientación y prácticasKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directivaPhil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU.Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU.Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, CanadáRavi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India Anthony P. Noble, CISA, Viacom, EE.UU.Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., MéxicoEddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, BélgicaFrank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda

The Cloud Security Alliance, del cual ISACA es miembro fundador



4

Impactos de la computación en la nube

Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitido que la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionar a las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo que hay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio.

Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI.

Por todas estas razones, es fácil ver por qué la computación en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes y eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgos internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los procesos de negocio.

Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y características como agilidad y velocidad de suministro. Sin embargo, como una “nueva” iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nube introduce un nivel de abstracción entre la infraestructura física y el propietario de la información que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control directo o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso. Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computación en la nube.

Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué tipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio.

¿Qué es computación en la nube?

Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar la evaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones

“Podría decirse que la promesa de una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una unidad ubicua”.



5

son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con el proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de una empresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen la opción de pagar por los servicios de TI dependiendo del consumo.

Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelos de implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferirán según el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación, las empresas deben considerar los riesgos relacionados.

Figura 1—Modelos de servicio de la computación en la nube

Modelo de servicio Definición Lo que se debe considerar

Infraestructura como un servicio (IaaS) Capacidad para configurar procesamiento, almacenamiento, redes y otros recursos de computación fundamentales, ofreciendo al cliente la posibilidad de implementar y ejecutar software arbitrario, el cual puede incluir sistemas operativos y aplicaciones. IaaS coloca estas operaciones de TI en las manos de un tercero.

Opciones de minimizar el impacto si el proveedor de la nube experimenta una interrupción del servicio

Plataforma como un servicio (PaaS) Capacidad para implementar en la infraestructura de la nube aplicaciones creadas o adquiridas por el cliente que se hayan creado utilizando lenguajes y herramientas de programación que estén respaldados por el proveedor

• Disponibilidad• Confidencialidad • La privacidad y la responsabilidad legal

en caso de una violación de la seguridad (ya que las bases de datos que contienen información sensitiva ahora estarán hospedadas fuera del sitio)

• Propiedad de los datos • Preocupaciones acerca del e-discovery

Software como un servicio (SaaS) Capacidad para utilizar las aplicaciones del proveedor que se ejecutan en la infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a través de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrónico basado en la web).

• ¿Quién es el dueño de las aplicaciones?• ¿Dónde residen las aplicaciones?

Figura 2—Modelos de implementación de la computación en la nube (Cont.)

Modelo de implementación Descripción de la infraestructura de la nube

Lo que se debe considerar

Nube privada • Operada únicamente para una organización• Puede ser manejada por la organización o

un tercero • Puede existir dentro o fuera de las

instalaciones

• Servicios en la nube con riesgo mínimo• Es posible que no proporcione la

escalabilidad y agilidad de los servicios de la nube pública



6

Figura 2—Modelos de implementación de la computación en la nube (Cont.)

Modelo de implementación Descripción de la infraestructura de la nube

Lo que se debe considerar

Nube comunitaria • Compartida por varias organizaciones • Respalda una comunidad específica que

haya compartido su misión o interés.• Puede ser manejada por las organizaciones

o un tercero • Puede residir dentro o fuera de las

instalaciones

• Igual que la nube privada, pero adicionalmente:

• Los datos pueden estar almacenados con los datos de los competidores.

Nube pública • Esta disponible para el público en general o un grupo industrial grande

• Pertenece a una organización que vende servicios en la nube

• Igual que la nube comunitaria, pero adicionalmente:

• Los datos pueden estar almacenados en ubicaciones desconocidas y pudieran no ser fáciles de recuperar.

Nube híbrida Una composición de dos o más nubes (privada, comunitaria o pública) que continúan siendo entidades únicas, pero que están unidas mediante tecnología estandarizada o propietaria que permite la portabilidad de datos y aplicaciones (por ejemplo, ampliación de la nube [cloud bursting] para equilibrar la carga entre las nubes.)

• El riesgo agregado de combinar dos modelos de implementación diferentes

• La clasificación y el etiquetado de datos ayudará al gerente de seguridad a garantizar que los datos se asignen al tipo de nube correcto.

Figura 3—Características fundamentales de la computación en la nube

Característica Definición

Autoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como el almacenamiento en servidores y redes, según sea necesario sin requerir interacción humana con cada proveedor de servicios.

Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA).

Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignados y reasignados de manera dinámica según la demanda. Existe un sentido de independencia geográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel de abstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales.

Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casos automáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, además, se puede adquirir cualquier cantidad de capacidades en cualquier momento.

Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizando una capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio.

Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades en relación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendo de los tipos de modelo de servicio e implementación seleccionados.



7

Los beneficios de negocio de la computación en la nube

Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados.

Algunos de los beneficios clave de negocio que ofrece la nube son:• Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros

que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y el precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos. Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión. Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales.

• Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo.

• Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio.

• Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para las necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlar el tráfico y reducir el tiempo necesario para implementar nuevos servicios.

• Eficiencia—Reasignar actividades operacionales de gestión de la información a la nube ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y pudiera incluso ser más útil que las ventajas financieras que ofrece la nube.

• Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se pueden utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar la sostenibilidad durante un evento inesperado.

El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las oportunidades que ofrecen los servicios en la nube.

“…al tercerizar parte de la gestión de información y las operaciones de TI, los trabajadores de una empresa se sentirán libres de mejorar procesos, aumentar la productividad e innovar…”



8

Riesgos y preocupaciones de seguridad relacionados con la computación en la nube

Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atención puesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de su negocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología del proveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitectura de la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de los riesgos que plantea la computación en la nube para la empresa son:• Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad

son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar que los servicios estarán disponibles y que los datos se podrán rastrear.

• Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio.

• La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la información realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras.

• El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad intelectual (IP) y los secretos comerciales.

• Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales.

• Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuesta y recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato.

Estrategias para tratar riesgos relacionados con la computación en la nube

Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un programa de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución. En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos constituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de forma apropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que sea sensitiva o de gran valor para la organización.



9

Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, el acuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puede utilizar la empresa para asegurar la adecuada protección de la información que se confía a la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes pueden especificar si se utilizarán marcos de control conjunto y describir la expectativa de una auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener las expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad de la información. Además, los requerimientos correspondientes a la continuidad del negocio y a la recuperación en caso de desastre (que se discutieron anteriormente) se deberán expresar en el acuerdo.

La protección de la información evolucionará como resultado de un acuerdo de nivel de servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido e integral. La estructuración de un acuerdo de nivel de servicio detallado y completo que incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la gestión de su información una vez que ya no esté en la compañía y se haya transportado, almacenado o procesado en la nube.

Problemas de gobierno y cambios relacionados con la computación en la nube

La dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la computación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que anteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguen cumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de forma estratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas son seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con un tercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares, definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la tecnología de computación en la nube y sus proveedores.

Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transición a la computación en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la información de la compañía en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas.

Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar los procesos que detallan la manera cómo se almacena, archiva y respalda la información.

La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información aborden los usos de los servicios en la nube.

“En un ambiente donde la privacidad se ha vuelto crucial para los clientes empresariales, el acceso no autorizado a información en la nube es una gran preocupación”.



10

Consideraciones sobre el aseguramiento en relación con la computación en la nube

Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computación en la nube?

Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes:• Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y

robustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado, cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe ser transparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparencia del proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene la segregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes? ¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia?

• Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad, será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probables que se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto de información como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicación se deben probar periódicamente durante las operaciones.

• Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estándares. En lo que respecta a la computación en la nube, existe la preocupación de que los datos puedan no estar almacenados en un solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si los datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro otras informaciones. Las auditorías realizadas por las propias autoridades legales, de estandarización y reguladoras demuestran que puede haber muchas extralimitaciones en tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que una empresa podrá obtener su información cuando la necesite, y algunos proveedores incluso se están reservando el derecho a limitar la información que proporcionan a las autoridades.

• Flujo de información transfronterizo—Cuando la información se puede almacenar en cualquier lugar de la nube, la ubicación física de la información puede convertirse en un problema. La ubicación física determina la jurisdicción y la obligación legal. Las leyes nacionales que rigen la información personal identificable (PII) pueden variar considerablemente. Lo que está permitido en un país puede considerarse una violación en otro.

• Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que están haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditorías de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento.

El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internos y la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponibles públicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se deben consultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcos de control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y los controles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tanto la eficiencia como la seguridad integrada de su portafolio de TI.

“La computación en la nube representa una oportunidad excepcional de actualizar la seguridad y los controles de TI para un mejor futuro”.



11

Conclusión

Si bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgos para informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos se deben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio.

Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorros de costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentro de las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas.

Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources

articulo 3

Spiritual