Un documento tcnico de ISACA sobre tecnologa emergente

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

Resumen La globalizacin y las recientes presiones econmicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnologa de la informacin (TI) de las empresas. Un gran nmero de lderes de negocios ha aumentado su inters en los costos y en la tecnologa subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de stas en los resultados finales. Muchos aseguran que la computacin en la nube puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversin (ROI), mayor eficiencia, aprovisionamiento dinmico y servicios de pago acorde con el uso similares a los de las compaas de servicios pblicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de informacin a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computacin en la nube, identifica los servicios ofrecidos en la nube y tambin examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

ISACA Con ms de 86.000 integrantes en ms de 160 pases, ISACA (www.isaca.org) es un lder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educacin sobre aseguramiento y seguridad de sistemas de informacin, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA Journal y desarrolla estndares de auditora y control de sistemas de informacin a nivel internacional. Tambin administra las designaciones mundialmente respetadas Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y Certified intheGovernance of Enterprise IT (CGEIT). ISACA desarroll y actualiza continuamente los marcos generales de COBIT, Val IT y Risk IT, los cuales ayudan a losprofesionales de TI y a los lderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor al negocio. Clusula de exencin de responsabilidad ISACA dise y cre Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el Trabajo), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizar resultados satisfactorios. No se debe considerar que el Trabajo incluye informacin, procedimientos y pruebas apropiados o excluye cualquier otra informacin, procedimientos y pruebas que estn razonablemente orientados a obtener los mismos resultados. Para determinar lo apropiado de cualquier informacin, procedimiento o prueba en particular, los profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relacin con las circunstancias de control especficas que plantean los sistemas o un entorno de tecnologa de la informacin especfico. Reservacin de derechos 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacin se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperacin o transmitir de ninguna manera a travs de ningn medio (electrnico, mecnico, fotocopias, grabacin u otros) sin la autorizacin previa por escrito de ISACA. Lareproduccin y el uso de toda o de alguna de las partes de esta publicacin slo se permitir para uso acadmico, interno y no comercial, as como para actividades de consultora/asesora, y deber incluir todas las atribuciones de lafuente del material. No se otorga otra clase de derechos ni permisos en relacin con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrnico: info@isaca.org Pgina Internet: www.isaca.org

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en pases en todo elmundo.

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

ISACA desea agradecer a: Equipo de desarrollo de proyectos Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directiva Phil Agcaoili, CISM, CISSP, Dell, EE.UU. Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU. Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU. H. Peet Rapp, CISA, Rapp Consulting, EE.UU. Jim Reavis, Cloud Security Alliance, EE.UU. Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU. Joel Scambray, CISSP, Consciere, EE.UU. Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU. Consejo de direccin de ISACA Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vicepresidente Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japn, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec, Mxico, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp., Australia, Vicepresidente Robert Stroud, CGEIT, CA Inc., EE.UU., Vicepresidente Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Vicepresidente Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional Pasado Everett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional Pasado Gregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Director Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes Comit de orientacin y prcticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directiva Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU. Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU. Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canad Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India Anthony P. Noble, CISA, Viacom, EE.UU. Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., Mxico Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Blgica Frank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda The Cloud Security Alliance, del cual ISACA es miembro fundador

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Impactos de la computacin en la nube
Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computacin en la nube como una opcin real para sus necesidades empresariales. Podra decirse que la promesa de una computacin en la nube est revolucionando el mundo de servicios de TI al transformar la computacin en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de informacin. La influencia continua y el uso innovador de Internet ha permitido quela computacin en la nube utilice la infraestructura existente y la transforme en servicios que podran proporcionar alasempresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas estn descubriendo que hay unpotencial en aprovechar esta innovacin para prestar un mejor servicio a los clientes y obtener ventajas de negocio. Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computacin en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reduccin de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI. Por todas estas razones, es fcil ver por qu la computacin en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes y eficientes. Aunque muchas empresas estn acostumbradas a gerenciar este tipo de riesgos internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los procesos de negocio. Al igual que ocurre con cualquier tecnologa emergente, la computacin en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contencin de costos y caractersticas como agilidad y velocidad de suministro. Sin embargo, como una nueva iniciativa, tambin puede traer consigo un posible riesgo alto. La computacin en la nube introduce un nivel de abstraccin entre la infraestructura fsica y el propietario de la informacin que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control directo o indirecto del entorno fsico que afecta sus datos. En la nube, ste ya no es el caso. Debido a esta abstraccin, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computacin en la nube.

Podra decirse que la promesa de una computacin en la nube est revolucionando el mundo de servicios de TI al transformar la computacin en una unidad ubicua.

Una vez que se ha determinado que los servicios en la nube son una solucin plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompaan a la nube. Esto ayudar a las empresas a determinar qu tipo de datos de la nube son confiables, as como cules servicios podran ofrecer el mayor beneficio.

Qu es computacin en la nube?
Uno de los asuntos ms confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologas emergentes, la falta de claridad y acuerdo suele dificultar la evaluacin general y adopcin de esa tecnologa. Dos grupos que han ofrecido una lnea base (baseline) de definiciones
4
2009 ISACA. T
o d o s l o s d e r e c h o s r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la computacin en la nube como un modelo para habilitar un cmodo acceso en red por demanda a un pool compartido de recursos informticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede conformar y proveer rpidamente con un esfuerzo administrativo mnimo o una interaccin mnima con el proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparndolos con los de una empresa de servicios pblicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen la opcin de pagar por los servicios de TI dependiendo del consumo. Se puede pensar en el modelo de nube como un diseo compuesto por tres modelos de servicio (figura 1), cuatro modelos de implementacin (figura 2) y cinco caractersticas esenciales (figura 3). Los riesgos y beneficios generales diferirn segn el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementacin, lasempresas deben considerar los riesgos relacionados.
Figura 1Modelos de servicio de la computacin en la nube Modelo de servicio Infraestructura como un servicio (IaaS) Definicin Capacidad para configurar procesamiento, almacenamiento, redes y otros recursos de computacin fundamentales, ofreciendo al cliente la posibilidad de implementar y ejecutar software arbitrario, el cual puede incluir sistemas operativos y aplicaciones. IaaS coloca estas operaciones de TI en las manos de un tercero. Capacidad para implementar en la infraestructura de la nube aplicaciones creadas o adquiridas por el cliente que se hayan creado utilizando lenguajes y herramientas de programacin que estn respaldados por el proveedor Lo que se debe considerar Opciones de minimizar el impacto si el proveedor de la nube experimenta una interrupcin del servicio

Plataforma como un servicio (PaaS)

Disponibilidad Confidencialidad  La privacidad y la responsabilidad legal en caso de una violacin de la seguridad (ya que las bases de datos que contienen informacin sensitiva ahora estarn hospedadas fuera del sitio) Propiedad de los datos Preocupaciones acerca del e-discovery

Software como un servicio (SaaS)

Capacidad para utilizar las aplicaciones Quin es el dueo de las aplicaciones? del proveedor que se ejecutan en la Dnde residen las aplicaciones? infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a travs de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrnico basado en la web).

Figura 2Modelos de implementacin de la computacin en la nube (Cont.) Modelo de implementacin Nube privada Descripcin de la infraestructura de la nube Operada nicamente para una organizacin  Puede ser manejada por la organizacin o un tercero  Puede existir dentro o fuera de las instalaciones Lo que se debe considerar Servicios en la nube con riesgo mnimo  Es posible que no proporcione la escalabilidad y agilidad de los servicios dela nube pblica

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

Figura 2Modelos de implementacin de la computacin en la nube (Cont.) Modelo de implementacin Nube comunitaria Descripcin de la infraestructura de la nube Compartida por varias organizaciones  Respalda una comunidad especfica que haya compartido su misin o inters.  Puede ser manejada por las organizaciones o un tercero  Puede residir dentro o fuera de las instalaciones  Esta disponible para el pblico en general o un grupo industrial grande  Pertenece a una organizacin que vende servicios en la nube Lo que se debe considerar  Igual que la nube privada, pero adicionalmente:  Los datos pueden estar almacenados con los datos de los competidores.

Nube pblica

 Igual que la nube comunitaria, pero adicionalmente:  Los datos pueden estar almacenados en ubicaciones desconocidas y pudieran no ser fciles de recuperar.

Nube hbrida

Una composicin de dos o ms nubes  El riesgo agregado de combinar dos (privada, comunitaria o pblica) que continan modelos de implementacin diferentes siendo entidades nicas, pero que estn  La clasificacin y el etiquetado de datos unidas mediante tecnologa estandarizada ayudar al gerente de seguridad a o propietaria que permite la portabilidad de garantizar que los datos se asignen datos y aplicaciones (por ejemplo, ampliacin al tipo de nube correcto. de la nube [cloud bursting] para equilibrar la carga entre las nubes.) Figura 3Caractersticas fundamentales de la computacin en la nube Caracterstica Definicin El proveedor de la nube debe poder suministrar capacidades de computacin, tales como el almacenamiento en servidores y redes, segn sea necesario sin requerir interaccin humana con cada proveedor de servicios. De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, telfono inteligente, laptop, dispositivos mviles, PDA). Los recursos informticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de mltiples usuarios, con diferentes recursos fsicos y virtuales asignados y reasignados de manera dinmica segn la demanda. Existe un sentido de independencia geogrfica. Generalmente, el cliente no tiene control o conocimiento de la ubicacin exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicacin en un nivel de abstraccin mayor (por ejemplo, pas, regin o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y mquinas virtuales. Las capacidades se pueden suministrar de manera rpida y elstica, en muchos casos automticamente, para una rpida expansin y liberar rpidamente para una rpida contraccin. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, adems, se puede adquirir cualquier cantidad de capacidades en cualquier momento. Los sistemas en la nube controlan y optimizan el uso de recursos de manera automtica utilizando una capacidad de medicin (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio.

Autoservicio a solicitud

Acceso a redes de banda ancha Agrupacin de recursos

Elasticidad rpida

Servicio medido

Como se puede observar en las caractersticas que contiene la figura 3, existen diferentes enfoques y dificultades en relacin con la computacin en la nube. Los beneficios para la empresa, as como los riesgos, variarn dependiendo delos tipos de modelo de servicio e implementacin seleccionados.
6
2009 ISACA. T
o d o s l o s d e r e c h o s r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Los beneficios de negocio de la computacin en la nube
Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computacin en la nube, quizs la mejor oportunidad que sta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el nmero de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habran sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad denegocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atenderlas altas demandas de negocio relacionadas con el desempeo se puede lograr fcilmente a travs de la computacin en la nubelo que se traduce en un respaldo ms confiable, clientesms satisfechos, aumento de la escalabilidad y mrgenes ms elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: Contencin de costosLa nube ofrece a las empresas la opcin de escalabilidad sin los serios compromisos financieros que requieren la adquisicin y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mnimos e incluso inexistentes. Los servicios y el almacenamiento estn disponibles a solicitud y el precio depende del uso. Adems, el modelo de la nube puede ayudar a ahorrar costos en trminos de consumir recursos. Ahorrarespacio no utilizado en servidores permite a las empresas contener costos en trminos de requerimientos tecnolgicos existentes y experimentar con nuevas tecnologas y servicios sin tener que hacer una gran inversin. Lasempresas tendrn que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos deTCO para entender si los servicios en la nube ofrecern ahorros potenciales. InmediatezMuchas de las primeras personas en adoptar la tecnologa de computacin en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo da. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reduccin de costos asociados con demoras de tiempo. DisponibilidadLos proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar queno se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. EscalabilidadLa capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para lasnecesidades cambiantes de TI. El suministro y la implementacin se realizan a solicitud, lo que permite controlar eltrfico y reducir el tiempo necesario para implementar nuevos servicios. EficienciaReasignar actividades operacionales de gestin de la informacin a la nube al tercerizar ofrece a los negocios una oportunidad nica de dirigir esfuerzos hacia la innovacin, la parte de la gestin investigacin y el desarrollo. Esto permite un crecimiento del negocio y los productos y pudiera incluso ser ms til que las ventajas financieras que ofrece la nube. de informacin y ResilienciaLos proveedores de la nube poseen soluciones duplicadas que se pueden las operaciones de utilizar en un escenario de desastre y para balancear cargas de trfico. Si llegara a ocurrir TI, los trabajadores un desastre natural que requiera un sitio en otra rea geogrfica o simplemente trfico pesado, los proveedores de la nube tendrn la resiliencia y capacidad para asegurar de una empresa se lasostenibilidad durante un evento inesperado. El principio de la nube es que al tercerizar parte de la gestin y las operaciones de TI, los empleados de las empresas tendrn la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma ms inteligente, rpida y econmica. Asumiendo que ste sea el caso, es posible que se requiera efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las oportunidades que ofrecen los servicios en la nube.

sentirn libres de mejorar procesos, aumentar la productividad e innovar

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Riesgos y preocupaciones de seguridad relacionados con la computacin en la nube
Muchos de los riesgos frecuentemente asociados a la computacin en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificacin de las actividades de gestin de riesgos ser crucial para asegurar que la informacin est tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la informacin deban ajustar las polticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinmico de los negocios y a la atencin puesta sobre la globalizacin, es muy reducido el nmero de empresas que no terceriza una parte determinada de su negocio. Establecer una relacin con un tercero significa que el negocio no slo utiliza los servicios y la tecnologa del proveedor de la nube, sino que tambin debe lidiar con la manera como el proveedor dirige su organizacin, la arquitectura de la que ste dispone, as como con la cultura y las polticas de la organizacin del proveedor. Algunos ejemplos de los riesgos que plantea la computacin en la nube para la empresa son: Las empresas deben ser especficas al seleccionar un proveedor. La reputacin, los antecedentes y la sostenibilidad sonfactores que se deben tomar en consideracin. Lasostenibilidad es particularmente importante para garantizar quelos servicios estarndisponibles y que los datos se podrn rastrear. Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la informacin, lo cual constituye unaparte crtica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no slola confidencialidad, sino tambin la disponibilidad, lo que afecta enormemente las operaciones del negocio. La naturaleza dinmica de la computacin en la nube podra resultar confusa en cuanto a dnde reside la informacin realmente. Cuando se requiere la recuperacin de la informacin, es posible que haya demoras. El acceso por parte de terceros a informacin sensitiva crea el riesgo de comprometer la confidencialidad de la informacin. En la computacin en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar laproteccin de la propiedad intelectual (IP) y los secretos comerciales. Las nubes pblicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de informacin con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geogrficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesora legal apropiada para asegurar que el contrato especifique las reas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales. Debido a la naturaleza dinmica de la nube, es posible que la informacin no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperacin en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la funcin que desempea en trminos de copias de respaldo, respuesta yrecuperacin en caso de desastre. Los tiempos objetivos de recuperacin deben estar especificados en el contrato.

Estrategias para tratar riesgos relacionados con la computacin en la nube

Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un programa de gestin de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolucin. En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos constituye una preocupacin significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa debe realizar un inventario de sus activos de informacin y asegurar que los datos se clasifiquen y etiqueten de forma apropiada. Esto ayudar a determinar qu se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la informacin que sea sensitiva o de gran valor para la organizacin.

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento

Por ser el vnculo que define la relacin entre el negocio y el proveedor de la nube, el acuerdo de nivel de servicio representa uno de los mecanismos ms efectivos que puede utilizar la empresa para asegurar la adecuada proteccin de la informacin que se confa ala nube. El acuerdo de nivel de servicio ser la herramienta en la que los clientes pueden especificar si se utilizarn marcos de control conjunto y describir la expectativa de una auditora externa por parte de un tercero. El acuerdo de nivel de servicio debe contener lasexpectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad de la informacin. Adems, los requerimientos correspondientes a la continuidad del negocio y a la recuperacin en caso de desastre (que se discutieron anteriormente) se debern expresar en el acuerdo. La proteccin de la informacin evolucionar como resultado de un acuerdo de nivel de servicio slido e integral respaldado por un proceso de aseguramiento igualmente slido e integral. La estructuracin de un acuerdo de nivel de servicio detallado y completo que incluya los derechos especficos para llevar a cabo auditoras ayudar a la empresa en la gestin de su informacin una vez que ya no est en la compaa y se haya transportado, almacenado oprocesado en la nube.

En un ambiente donde la privacidad se ha vuelto crucial para los clientes empresariales, el acceso no autorizado a informacin en la nube es una gran preocupacin.

Problemas de gobierno y cambios relacionados con la computacin en la nube

La direccin estratgica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la computacin en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que anteriormente se gerenciaban de forma interna, stas tendrn que realizar algunos cambios para asegurar que se siguen cumpliendo los objetivos de desempeo, que la tecnologa de la que disponen y el negocio estn alineados de forma estratgica y que se gerencian los riesgos. Asegurarse de que TI est alineada con el negocio, que los sistemas son seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es ms complejo en una relacin con un tercero. Las actividades tpicas de gobierno, tales como el establecimiento de metas, desarrollo de polticas y estndares, definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la tecnologa de computacin en la nube y sus proveedores.

Si an no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transicin a la computacin en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la informacin de la compaa en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas.
Como con todos los cambios de la organizacin, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperacin de informacin, son ejemplos de posibles reas de cambio. Adicionalmente, ser necesario revisar los procesos que detallan la manera cmo se almacena, archiva y respalda la informacin. La nube presenta muchas situaciones nicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes deba pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las polticas de seguridad de la informacin aborden los usos de los servicios en la nube.

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Consideraciones sobre el aseguramiento en relacin con la computacin en la nube
Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a travs de la computacin en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. Qu se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computacin en la nube? Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes: TransparenciaLos proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y robustos, para asegurar a los clientes que su informacin est protegida adecuadamente contra acceso no autorizado, cambio o destruccin. Las preguntas clave que se deben responder son: Cunta transparencia es suficiente? Qu debe ser transparente? Ayudar la transparencia a los malhechores? Entre las reas clave en las que es importante la transparencia del proveedor estn: Cules empleados (del proveedor) tienen acceso a la informacin de los clientes? Se mantiene la segregacin de funciones entre los empleados del proveedor? Cmo se segrega la informacin de diferentes clientes? Cules controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia? PrivacidadCon la creciente preocupacin en el todo el mundo por los asuntos relacionados con la privacidad, seresencial que los proveedores de servicios de computacin en la nube garanticen a los clientes actuales y probables que se estn aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar lneas de comunicacin tanto de informacin como de notificacin antes de que comience la prestacin de los servicios. Estos canales de comunicacin se deben probar peridicamente durante las operaciones. CumplimientoLa mayora de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estndares. En lo que respecta a la computacin La computacin en en la nube, existe la preocupacin de que los datos puedan no estar almacenados en un solo lugar y puedan no ser fciles de recuperar. Es fundamental asegurar que si los la nube representa datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro una oportunidad otras informaciones. Las auditoras realizadas por las propias autoridades legales, de excepcional de estandarizacin y reguladoras demuestran que puede haber muchas extralimitaciones en tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garanta de que una actualizar la empresa podr obtener su informacin cuando la necesite, y algunos proveedores incluso seguridad y los se estn reservando el derecho a limitar la informacin que proporcionan a las autoridades. controles de TI para Flujo de informacin transfronterizoCuando la informacin se puede almacenar en cualquier lugar de la nube, la ubicacin fsica de la informacin puede convertirse un mejor futuro. en un problema. La ubicacin fsica determina la jurisdiccin y la obligacin legal. Lasleyes nacionales que rigen la informacin personal identificable (PII) pueden variar considerablemente. Lo que est permitido en un pas puede considerarse una violacin en otro. CertificacinLos proveedores de servicios de computacin en la nube tendrn que asegurarle a sus clientes que estn haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditoras de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento. El uso de estndares y marcos ayudarn a que los negocios se sientan ms seguros con respecto a los controles internos y la seguridad del proveedor de computacin en la nube. Al momento de la redaccin, no existen estndares disponibles pblicamente que se apliquen de manera especfica al paradigma de computacin en la nube. Sin embargo, se deben consultar los estndares existentes para abordar las reas relevantes y los negocios deberan intentar ajustar sus marcos decontrol actuales. La computacin en nube representa una singular oportunidad para redisear la seguridad y los controles de TI para un mejor maana. Muchos negocios no dudarn en aprovechar esta oportunidad para mejorar tanto laeficiencia como la seguridad integrada de su portafolio de TI.

10

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Conclusin
Si bien la computacin en la nube sin dudas est destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la informacin deberan realizar anlisis de impacto al negocio y evaluaciones de riesgos para informar a los lderes del negocio de los posibles riesgos para su empresa. Las actividades de gestin de riesgos se deben gerenciar a travs del ciclo de vida de la informacin y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio. Las empresas que hayan estado considerando el uso de la nube en su ambiente deberan determinar cules ahorros de costos les puede ofrecer la nube y cules son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entendern mejor cmo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarn los recursos de computacin y, como tal, ser una iniciativa de gobierno importante dentro delasorganizaciones que la adopten, requiriendo la participacin de un amplio conjunto de partes interesadas. Recursos adicionales relacionados con la computacin en nube: www.isaca.org/cloudcomputingresources

2009 ISACA. T

o d o s

l o s

d e r e c h o s

r e s e r v a d o s

11