cloud-governance whp spa 0413
TRANSCRIPT
-
7/26/2019 Cloud-Governance Whp Spa 0413
1/9
GOBIERNO EN LA
NUBE:preguntas que los conse
josdirectivos deben formula
La computacin en la nube est adquiriendoimportancia. A medida que las ofertas de serviciosen la nube adquieren madurez, los proveedoresde estos servicios se tornan cada vez mscompetitivos. Algunos proveedores reducen sus
precios dado que realizan inversiones y aprovechanlas economas de escala. Otros se diferencian enfuncin de la calidad, por ejemplo, proporcionandomayor disponibilidad, mejor seguridad ycapacidad superior para administrar los servicios.Si bien los benecios de la computacin en la nubeson reales en trminos econmicos, estratgicos yoperacionales, obtenerlos no es un proceso simple.Para alcanzar tales benecios, los factores queimpulsan la adopcin de la computacin en la nubedeben estar alineados con los objetivos y las metasempresariales, a la vez que los factores culturales yde negocio deben ser favorables a dicha adopcin.
Al igual que con cualquier inversin, los proyectosen la nube deben ser guiados por el consejodirectivo para asegurar la creacin de valor y laoptimizacin del riesgo. Al evaluar las iniciativas enla nube, los miembros del consejo deben formulardeterminadas preguntas especcas a sus equiposde gestin. Preguntas cuyas respuestas, a su turno,determinarn si los servicios en la nube tendrn unimpacto positivo y sostenible sobre los objetivosempresariales y si el riesgo permanecer dentrodel grado de tolerancia de la empresa.
UN ARTCULO TCNICO DE ISACA DE LA SERIE SOBRE VISIN DE LA NUBE
-
7/26/2019 Cloud-Governance Whp Spa 0413
2/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 2
ISACA
Con ms de 100 000 miembros en
180 pases, ISACA (www.isaca.org)es unproveedor lder global de conocimiento,
certicaciones, comunidad profesional,
promocin y educacin en materia de
aseguramiento y seguridad de los sistemas
de informacin (information systems, IS),
gobierno de la empresa y gestin de TI,
riesgos relacionados con la TI y cumplimiento
de las normas. Fundada en 1969, ISACA,
una organizacin independiente sin nimo de
lucro, auspicia conferencias internacionales,
publica el ISACAJournal, y desarrolla
normas internacionales de control y auditora
para los IS, lo que ayuda a sus miembros
a asegurar el valor y la conanza en los
sistemas de informacin. Tambin desarrolla
y certica habilidades y conocimientos en
TI a travs de las siguientes designaciones
mundialmente reconocidas: Certied
Information Systems Auditor(Auditor
Certicado en Sistemas de Informacin)
(CISA), Certied Information Security
Manager(Gerente Certicado en Seguridad
de la Informacin) (CISM), Certied in the
Governance of Enterprise IT(Certicado en
el Gobierno de Tecnologas de la Informacin
Corporativa) (CGEIT) y Certied in Risk and
Information Systems ControlTM(Certicado
en Riesgo y Control de Sistemas de
Informacin) (CRISCTM).
ISACA actualiza y expande
permanentemente la orientacin prctica y
la familia de productos basadas en el marco
COBIT. COBIT ayuda a los profesionales
de TI y a los lderes empresariales a cumplir
con sus responsabilidades de gestin y
gobierno de TI, particularmente en las reas
de aseguramiento, seguridad, riesgo y
control, y a aportar valor al negocio.
Exencin de responsabilidad
ISACA ha diseado y creado el informe
Gobierno en la nube: preguntas que
los consejos directivos deben formular
(el Trabajo), ante todo como un recurso
educativo para profesionales en el rea
de gobierno y aseguramiento. ISACA
no garantiza que el uso de cualquier
componente del Trabajo asegure un
resultado exitoso. El Trabajo no debe
ser considerado como abarcativo de toda
la informacin, procedimientos y pruebas
apropiadas, ni tampoco como excluyente de
otra informacin, procedimientos y pruebas
que se aplican razonablemente para obtener
los mismos resultados. Para determinar
la conveniencia de cualquier informacin
especca, procedimiento o prueba, los
profesionales de gobierno y aseguramiento
debern aplicar su propio criterio profesional
a las circunstancias especcas presentadas
por los sistemas particulares o por el entorno
de tecnologa de la informacin.
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
Telfono:+1.847.253.1545
Fax:+1.847.253.1443
Correo electrnico:[email protected]
Sitio web:www.isaca.org
Enve sus comentarios:www.isaca.org/cloud-governance
Participe en el Centro deConocimiento de ISACA:www.isaca.org/knowledge-center
Siga a ISACA en Twitter:https://twitter.com/ISACANews
nase a ISACA en LinkedIn:ISACA (Ofcial)
http://linkd.in/ISACAOfficial
Pulse Me gusta en el perfl
de ISACA en Facebook:www.facebook.com/ISACAHQ
Reserva de derechos 2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacin se puede utilizar, copiar, reproducir, modicar, distribuir, mostrar, almacenar
en un sistema de recuperacin ni transmitir de ninguna manera a travs de ningn medio (electrnico, mecnico, fotocopiado, grabacin u otros) sin la autorizacin
previa por escrito de ISACA. La reproduccin y utilizacin de toda o parte de esta publicacin estn permitidas nicamente para el uso acadmico, interno y
no comercial, y para los compromisos de consultora y asesoramiento, y debern incluir la referencia completa de la fuente del material. No se otorga otra clase
de derechos ni permisos en relacin con este trabajo.
Gobierno en la nube: preguntas que los consejos directivos deben formular
-
7/26/2019 Cloud-Governance Whp Spa 0413
3/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 3
ISACA desea agradecer a:
Consejo directivo de ISACA
Gregory T. Grocholski,CISA, The Dow Chemical Co., EE. UU., Presidente
Internacional
Allan Boardman,CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP,
Morgan Stanley, RU, Vicepresidente
Juan Luis Carselle,CISA, CGEIT, CRISC, Wal-Mart, Mxico, Vicepresidente
Christos K. Dimitriadis,Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia
Vicepresidente
Ramses Gallego,CISM, CGEIT, CCSK, CISSP, SCPM, Cinturn Negro
de Six Sigma, Dell, Espaa, Vicepresidente
Tony Hayes,CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA,
Queensland Government, Australia, Vicepresidente
Je Spivey,
CRISC, CPP, PSP, Security Risk Management, Inc.,
EE. UU., Vicepresidente
Marc Vael,Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo,
Blgica, Vicepresidente
Kenneth L. Vander Wal,CISA, CPA, Ernst & Young LLP (jubilado), EE. UU.,
Expresidente Internacional
Emil DAngelo,CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (jubilado),
EE. UU., Expresidente Internacional
John Ho Chi,CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP,
Singapur, Director
Krysten McCabe,CISA, The Home Depot, EE. UU., Directora
Jo Stewart-Rattray,CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich,
Australia, Director
Comit de Conocimiento
Marc Vael,Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo,
Blgica, Presidente
Rosemary M. Amato,CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb,CGEIT, CRISC, Betfair, RU
Thomas E. Borton,
CISA, CISM, CRISC, CISSP, Cost Plus, EE. UU.
Phil J. Lageschulte,CGEIT, CPA, KPMG LLP, EE. UU.
Jamie Pasfeld,
CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, RU
Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, Mxico
Comit de Orientacin y Prcticas
Phil J. Lageschulte,
CGEIT, CPA, KPMG LLP, EE. UU., Presidente
Dan Haley,
CISA, CGEIT, CRISC, MCP, Johnson & Johnson, EE. UU.
Yves Marcel Le Roux,
CISM, CISSP, CA Technologies, Francia
Aureo Monteiro Tavares Da Silva,
CISM, CGEIT, Brasil
Jotham Nyamari,
CISA, Deloitte, EE. UU.
Connie Lynn Spinelli,CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA,
BKD LLP, EE. UU.
Siang Jun Julia Yeo,CISA, CPA (Australia), MasterCard Asia/Pacific Pte. Ltd.,
Singapur
Nikolaos Zacharopoulos,CISA, CISSP, DeutschePostDHL, Alemania
Aliados y patrocinadores de ISACA
y del IT Governance Institute(ITGI)
Foro de Seguridad de la Informacin
(Information Security Forum)
Institute of Management Accountants Inc.
Captulos de ISACA
ITGI Francia
ITGI Japn
Norwich University
Socitum Performance Management Group
Solvay Brussels School of Economics andManagement
Strategic Technology Management
Institute (STMI) of the National University of
Singapore
University of Antwerp Management School
ASIS International
Hewlett-Packard
IBM
Symantec Corp.
-
7/26/2019 Cloud-Governance Whp Spa 0413
4/9
Introduccin
Los miembros del consejo escuchan cada vez ms y ms que sus
equipos de gestin destacan los benecios empresariales signicativos
de la computacin en la nube. entre los que se encuentran:
Las estrategias basadas en la nube hacen
que la empresa sea ms eciente y gil.
La computacin en la nube permite prestar servicios
ms innovadores y ms competitivos.
La computacin en la nube reduce los costos
operativos generales.
Pero qu grado de conanza deberan tener los consejos directivos
respecto de que los planes de gestin lograrn estos benecios?
Hay alguna manera de saber que, aun si los benecios son reales,
el incremento del riesgo operacional no superar tales benecios?
Afortunadamente, si se comprende qu es y qu no es la nube, y
se formulan algunas preguntas clave a los equipos de gestin, los
consejos pueden alcanzar ese grado de conanza necesario respecto
de planes de gestin y objetivos estratgicos, as como en relacin
con las decisiones que se tomen en respuesta a esos planes.
Este informe ofrece una visin general breve sobre la computacin en
la nube y presenta las preguntas importantes que los miembros del
consejo deben formular cuando evalan esta temtica como parte
de su estrategia empresarial general. Estas preguntas sirven como
punto de partida para iniciar las conversaciones entre los ejecutivos,
los lderes de las lneas de negocio y la gestin de tecnologa de la
informacin (TI); adems, sientan las bases para desarrollar un
entendimiento comn sobre los benecios que se esperan, la
asignacin de recursos y las estrategias de optimizacin para
cualquier riesgo asociado.
-
7/26/2019 Cloud-Governance Whp Spa 0413
5/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 5
Para comprender el valor de la computacin
en la nube, los miembros del consejo primero
deben entender cul es su propsito. El
objetivo central de la computacin en la nube
es convertir los recursos informticos de
la empresa en una materia prima fungible.
En el modelo tradicional de TI, la empresa
adquiere y mantiene un portafolio de activos
tecnolgicos que se deprecian lentamente y
que tal vez se empleen de manera eciente
o no. Por el contrario el objetivo de la nube
es permitir que la empresa gestione los
recursos informticos del mismo modo que
la electricidad, es decir, que compre solo lo
que utiliza (ni ms ni menos). Otra analoga
es la decisin que toma la empresa respectode comprar o alquilar un espacio fsico para
ocina. Ambos enfoques tienen ventajas
y desventajas, como consideraciones en
materia de impuestos, previsibilidad de
costos, gastos operacionales o de capital,
y factores comunitarios y culturales. La
decisin es una eleccin, una que el consejo
realiza en funcin de los objetivos nancieros,
culturales u operacionales de la empresa.
La computacin en la nube intenta que la
compra y el uso de los recursos informticos
sean una eleccin similar, basada en
parmetros similares.
Dado que el sustrato informtico subyacente
de la computacin en la nube se puede
reemplazar, suministrar o reasignar de
manera dinmica segn sea necesario, una
empresa puede aprovechar la competencia
entre los proveedores de servicios paranegociar el mejor precio, buscar el proveedor
que mejor respalde las necesidades
especcas de la empresa e incorporar
rpidamente nuevas capacidades en su
portafolio tecnolgico. Este modelo se
puede aplicar a los recursos informticos a
nivel de la infraestructura (almacenamiento
o redes), a las aplicaciones del negocio
o a algn lugar intermedio. Al analizar la
computacin en la nube de esta manera,
el consejo directivo puede comenzara vislumbrar sus posibles benecios,
como por ejemplo:
Trasladar el fnanciamiento de TI
de grandes inversiones de capital
(activos de TI heredados) a gastos
operacionales.
Reasignar los recursos de TI a
actividades del negocio central.
Obtener aplicaciones que son
ms fciles y ms econmicas de
implementar, utilizar y respaldar.
Aumentar la escalabilidad y
exibilidad, mejorando la capacidad
de respuesta ante las cambiantes
condiciones de mercado.
Fomentar la innovacin, al trasladar
esfuerzos y recursos de proyectos
de implementacin a desarrollo
del producto fnal.
Desde un punto de vista tecnolgico,
los componentes que hacen posible elmodelo de computacin en la nube no
son nuevos. Aplica numerosos avances
tecnolgicos que han estado presentes
desde hace largo tiempo: acceso a
Internet de alta velocidad, virtualizacin
de servidores, nuevos desarrollos de
software, avances en almacenamiento de
gran capacidad, etc. La computacin en
la nube tiene implicancias ms all del
escenario de TI tradicional. Su impacto
se extiende por toda la empresa, facilitacambios potenciales en la cultura de
la empresa y demanda cambios en
reas como servicio de atencin al
cliente, gestin de cambios y gestin
de proveedores, para adaptarse a las
cualidades y requisitos singulares de la
computacin en la nube. Una empresa
puede aprovechar la computacin en la
nube para mejorar el modelo de negocio,
facilitando el pasaje de hacerlo con
servicios tradicionales a trabajar con
servicios en lnea, o para ampliar el alcance
a los mercados, eliminando las barreras
geogrcas. La computacin en la nube
podra ser un habilitador perturbador
(un resultado benecioso que podra
requerir cambios sustanciales) del valor
del negocio y un medio para proporcionar
servicios tecnolgicos disponibles ms
rpidamente y a un costo total ms bajo.
El desafo implica que los miembros del
consejo tengan suciente conocimiento
de la oportunidad que presenta la nube,
como para que puedan dirigir y supervisar
con ecacia los planes a n de aprovecha
la nube e impulsar el xito.
Valor de la computacin en la nube
El objetivo de la nube espermitir que la empresagestione los recursosinformticos en funcin desus objetivos fnancieros,culturales u operacionales.
La computacin en la nube
podra ser un habilitadorperturbador del valor delnegocio y un medio paraproporcionar serviciostecnolgicos disponiblesms rpidamente y a uncosto total ms bajo.
-
7/26/2019 Cloud-Governance Whp Spa 0413
6/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 6
Al igual que con cualquier otra inversin, se debe ejercer el
gobierno sobre la nube; no obstante, algunas caractersticas de
la computacin en la nube (virtualizacin, agilidad, exibilidad,
rpida implementacin y mnima inversin inicial) demandan
consideraciones adicionales de gobierno para asegurar que se
obtengan benecios dentro de niveles aceptables de riesgo.
Los servicios en la nube a menudo se proporcionan de
manera medible, de modo muy similar a la forma en que los
consumidores y las empresas compran electricidad. Una empresa
puede rpida y fcilmente aumentar o disminuir los niveles de
servicio en funcin de sus uctuantes necesidades (necesitan ms,
compran ms). Dentro de este modelo, las unidades de negocioindividuales pueden identicar necesidades, negociar contratos e
implementar servicios de tal manera que se omitan los procesos
de compra requeridos para un gobierno apropiado. Por ejemplo,
Forrester estima que hoy da por cada iniciativa en la nube que
tenga seguimiento central por parte de los departamentos de TI,
hay entre tres y seis iniciativas que no lo tienen.1 La exibilidad
o el mtodo pago por uso permite a una unidad de negocio
incrementar la capacidad o solicitar servicios adicionales
mediante una simple llamada. Pero hay un aspecto negativo,
esta exibilidad tambin podra dar como resultado que se pase
por alto la autorizacin de gastos, los procesos de control de
cambio, los controles de proteccin de la informacin y otros
procesos de supervisin general.
La omisin de procesos de gobierno establecidos y no informar a
otros dentro de la empresa sobre las iniciativas de computacin
en la nube puede ocasionar que la empresa asuma riesgos no
conocidos, y por tanto, incremente su potencial exposicin. Si
no existe una supervisin estrecha y una disciplina adecuada,
es posible incurrir en gastos superiores a los previstos si no
se desactivan los servicios, una vez que ya no se los necesita.
Los servicios comprados de manera individual pueden ser
incompatibles con las estrategias tecnolgicas establecidas.
En algunos casos, la adquisicin de servicios en la nube dio
lugar a problemas normativos; que se podran haber evitado
si los planes de uso se hubieran comunicado y considerado
sistemticamente con antelacin.
Gobierno de la computacin en la nube
1Staten, James; What are Enterprises Really Doing in the Cloud?, del blog de Forrester, 25 de octubre
de 2011,http://blogs.forrester.com/james_staten/11-10-25-what_are_enterprises_really_doing_in_the_cloud
-
7/26/2019 Cloud-Governance Whp Spa 0413
7/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 7
Para establecer una direccin clara que est alineada con la estrategia de la empresa, los miembros del consejo deben comprender
cabalmente los benecios de la computacin en la nube y cmo se los puede maximizar, a travs de prcticas de gobierno ecaces
e implementadas en todas las etapas. Esto exige que el consejo considere a la computacin en la nube no como un proyecto de TI,
sino ms bien, como una estrategia tecnolgica de negocio. Esta comprensin ayuda a asegurar que se consideren y se satisfagan
las necesidades de las partes interesadas, a la vez que se optimiza el riesgo y la utilizacin de recursos.
Las siguientes preguntas contribuyen a identicar el valor estratgico que los servicios en la nube pueden aportarle a la empresa
y el impacto que sta podra tener sobre los recursos y los controles de la empresa:
1. Los equipos de gestin tienen un plan para la computacin en la nube? Han sopesado el valor y los costos de oportunidad?
El riesgo de la adopcin de la nube puede ser irrelevante si se lo compara con la prdida de la oportunidad de transformar
la empresa, mediante el uso ecaz y estratgico de la computacin en la nube. La prdida puede ser especialmente signicativa
cuando las empresas de la competencia adoptan medidas para aprovechar esas mismas oportunidades. Desde una perspectiva
estratgica, la computacin en la nube puede ser un vehculo para:
Obtener una ventaja competitiva
Alcanzar nuevos mercados
Mejorar los productos y servicios existentes
Retener los clientes existentes
Aumentar la productividad
Contener los costos
Desarrollar productos o servicios que no seran posibles sin los servicios de la nube
Eliminar las barreras geogrcas
2. De qu manera los planes actuales en la nube respaldan la misin de la empresa?
Los servicios en la nube deben apoyar los esfuerzos para alcanzar los objetivos de negocio que se derivan de las necesidades de
las partes interesadas (tal como fueron aprobados por el equipo de liderazgo). Las iniciativas en la nube deben tener un vnculo
claro y susceptible de seguimiento con la estrategia de la empresa, de manera que el valor esperado de los servicios en la nube
est claramente denido, medido y aceptado. Este vnculo tambin ayuda a determinar la prioridad asignada a las iniciativas en
la nube y respalda el desarrollo de mtricas para medir los resultados y compararlos con las expectativas.
El alineamiento entre los objetivos referidos a la nube y los de la empresa es vital para ser ecaz a la hora de gestionar riesgos
y contener costos. Los potenciales benecios de los servicios en la nube son atractivos, pero con la graticacin viene el riesgo.
La empresa debe decidir si el riesgo potencial se encuentra dentro de lmites aceptables.
3. Los equipos ejecutivos evaluaron sistemticamente la preparacin organizacional?
Los puntos de presin surgen:
cuando la implementacin de la computacin en la nube es incompatible con la cultura de la empresa;
cuando no se dispone de las habilidades requeridas para respaldar las soluciones en la nube;
cuando los procesos relacionados con la nube entran en conicto con otros procesos establecidos;
cuando la estructura organizacional no maximiza la ecacia y eciencia en la nube.
Preguntas de gobierno sobre la nubeque el consejo directivo debe formular
-
7/26/2019 Cloud-Governance Whp Spa 0413
8/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 8
La evaluacin de la preparacin de la empresa antes de la adopcin de servicios en la nube evita la cultura reactiva y los cambios
de procesos y habilidades tambin reactivos, que sern necesarios para eliminar los puntos de presin no previstos. Una
evaluacin sistemtica del estado de preparacin puede ayudar a la gestin a identicar costos y riesgos adicionales que deben
incluirse en el proceso de decisin. Esta evaluacin de la preparacin debe incluir los siguientes elementos: Polticas y procedimientos:es probable que se necesiten nuevas polticas y procedimientos que guen la adopcin,
la gestin y el uso correcto de la computacin en la nube.
Procesos:los procesos existentes que utilizan servicios de TI tradicionales, posiblemente deban ser rediseados para
incorporar nuevas actividades relacionadas con el uso de servicios en la nube.
Estructuras organizacionales:la gestin en la nube puede demandar nuevas capacidades organizacionales o modicaciones
de las ya existentes, en particular en el rea de operaciones y respaldo de TI.
Cultura y comportamiento:la cultura y el comportamiento organizacional pueden ser crticos para la adopcin exitosa
de soluciones en la nube.
Habilidades y competencias:las reas de compras, legales, cumplimiento y auditora son algunos ejemplos de funciones que
tal vez deban desarrollar las habilidades necesarias para gestionar servicios en la nube, desde evaluacin y
abastecimiento a operaciones y retiros.4. Los equipos de gestin han considerado en su planicacin de la nube, qu inversiones ya existentes podran perderse?
La computacin en la nube tal vez no se ajuste de inmediato y sin suras al portafolio de la tecnologa existente en la empresa.
La adopcin de un servicio en la nube puede, por ejemplo, obviar inversiones en tecnologa ya realizadas que an no han alcanzado
su fecha nal programada. La decisin sobre cundo y cmo llevar a cabo esa prdida debe considerarse con suma precaucin.
Las reas que se deben considerar son:
Procesos:la organizacin de TI tal vez necesite adaptar procesos, como abastecimiento y gestin de cambios.
Cultura y comportamiento:los servicios en la nube demandarn mayor rapidez de respuesta por parte de la organizacin
de TI, que probablemente necesite realizar cambios en los procesos internos y en las herramientas.
Servicios, infraestructuras y aplicaciones:la empresa posiblemente necesite actualizar los centros de datos, las aplicaciones
de software y las infraestructuras de red, lo cual puede dar lugar a cierto nivel de prdida de inversiones realizadas.
Habilidades y competencias:la organizacin de TI necesitar desarrollar o adquirir las habilidades necesarias para respaldar
a los usuarios de servicios en la nube, cuando el personal actual no las posee.
5. Los equipos de gestin tienen estrategias para medir y dar seguimiento al valor del rendimiento de la inversin en la nube
en relacin con el riesgo?
Antes de decidir adoptar la computacin en la nube, el consejo debe darle a los equipos de gestin la tarea de asegurar que
se implementen los mecanismos correctos de informe para medir el valor y el riesgo alineados con los objetivos de la empresa.
-
7/26/2019 Cloud-Governance Whp Spa 0413
9/9
GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR
2013 ISACA. TODOS LOS DERECHOS RESERVADOS. 9
A medida que maduran los servicios en la nube y sus proveedores, ms empresas utilizarn
alguna forma de computacin en la nube. Los consejos directivos deben proporcionarpautas para ayudar a las empresas a obtener los benecios, optimizar el riesgo y controlar
el costo. Una buena manera para que los consejos inicien esta orientacin es realizar
preguntas especcas sobre la nube. Las respuestas a estas preguntas pueden ayudar
a determinar si la empresa est lista para adoptar la computacin en la nube y si el valor
creado tendr un impacto positivo en las metas y los objetivos de la empresa.
Para que un consejo pueda saber si los servicios en la nube respondern a las expectativas,
primero deben saber si dichas expectativas estn alineadas con la estrategia de la
empresa. El primer paso para el gobierno de la computacin en la nube es que el
consejo establezca un entendimiento comn sobre los benecios esperados y los
mecanismos para su seguimiento y medicin. COBIT 5 y sus productos relacionados
pueden ser utilizados para dirigir y gestionar complejas inversiones como los servicios
en la nube. El uso de COBIT 5 para implementar prcticas coherentes puede ayudar
a maximizar el valor y el riesgo de control.
Conclusin
Comprender el entornoactual y la relacin entre lacomputacin en la nube ylos objetivos empresarialesayudar a evitar los puntosde presin, y a optimizarel riesgo y los recursos.
Recursos adicionales y retroalimentacinVisite www.isaca.org/cloud-governance para obtener recursos adicionales y utilizar la funcin de retroalimentacin para aportar sus
comentarios y sugerencias sobre este documento. Su opinin es muy importante en el desarrollo de las guas de ISACA para sus
miembros y es muy valorada.