Contenu connexe Similaire à Articulo 3 (20) Plus de EDSON BERNAL MARTINEZ (6) Articulo 31. Computación en la nube: Beneficios de negocio
con perspectivas de seguridad, gobierno
y aseguramiento
Resumen
La globalización y las recientes presiones económicas han incrementado los requerimientos relacionados con la disponibilidad,
escalabilidad y eficiencia de las soluciones de tecnología de la información (TI) de las empresas. Un gran número de líderes de negocios
ha aumentado su interés en los costos y en la tecnología subyacente utilizada para proporcionar dichas soluciones, debido al creciente
impacto de éstas en los resultados finales. Muchos aseguran que la “computación en la nube” puede ayudar a que las empresas satisfagan
los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversión (ROI), mayor eficiencia, aprovisionamiento
dinámico y servicios de pago acorde con el uso similares a los de las compañías de servicios públicos. Sin embargo, muchos profesionales
de TI afirman que los riesgos elevados asociados a confiar activos de información a la nube deben entenderse claramente y ser manejados
por las partes relevantes interesadas. Este documento define la computación en la nube, identifica los servicios ofrecidos en la nube y
también examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.
Un documento técnico
de ISACA sobre
tecnología emergente
2. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
2
ISACA®
Con más de 86.000 integrantes en más de 160 países, ISACA (www.isaca.org) es un líder mundialmente reconocido,
proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de
sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Fundada en 1969,
ISACA patrocina conferencias internacionales, publica el ISACA®
Journal y desarrolla estándares de auditoría y control
de sistemas de información a nivel internacional. También administra las designaciones mundialmente respetadas
Certified Information Systems Auditor™ (CISA®
), Certified Information Security Manager®
(CISM®
) y Certified
in the Governance of Enterprise IT®
(CGEIT®
).
ISACA desarrolló y actualiza continuamente los marcos generales de COBIT,®
Val IT™ y Risk IT, los cuales ayudan a
los profesionales de TI y a los líderes empresariales a satisfacer sus responsabilidades de gobierno de TI y agregar valor
al negocio.
Cláusula de exención de responsabilidad
ISACA diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y
aseguramiento (el “Trabajo”), en principio, como un recurso educativo para profesionales de seguridad, gobierno y
aseguramiento. ISACA no asegura de modo alguno que el uso de cualquier parte del Trabajo garantizará resultados
satisfactorios. No se debe considerar que el Trabajo incluye información, procedimientos y pruebas apropiados o
excluye cualquier otra información, procedimientos y pruebas que estén razonablemente orientados a obtener los
mismos resultados. Para determinar lo apropiado de cualquier información, procedimiento o prueba en particular, los
profesionales de seguridad, gobierno y aseguramiento deben emplear su propio juicio profesional en relación con las
circunstancias de control específicas que plantean los sistemas o un entorno de tecnología de la información específico.
Reservación de derechos
© 2009 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir,
modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de
ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA.
La reproducción y el uso de toda o de alguna de las partes de esta publicación sólo se permitirá para uso académico,
interno y no comercial, así como para actividades de consultoría/asesoría, y deberá incluir todas las atribuciones de
la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Página Internet: www.isaca.org
Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento
CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo
el mundo.
3. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
3
ISACA desea agradecer a:
Equipo de desarrollo de proyectos
Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Presidente de la junta directiva
Phil Agcaoili, CISM, CISSP, Dell, EE.UU.
Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EE.UU.
Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega
David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EE.UU.
H. Peet Rapp, CISA, Rapp Consulting, EE.UU.
Jim Reavis, Cloud Security Alliance, EE.UU.
Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EE.UU.
Joel Scambray, CISSP, Consciere, EE.UU.
Ward Spangenberg, CISA, CISSP, QSA, IOActive, EE.UU.
Consejo de dirección de ISACA
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vicepresidente
Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japón, Vicepresidente
Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vicepresidente
Ria Lucas, CISA, CGEIT, Telstra Corp., Australia, Vicepresidente
Robert Stroud, CGEIT, CA Inc., EE.UU., Vicepresidente
Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemania, Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Vicepresidente
Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional Pasado
Everett Johnson, CPA, Deloitte & Touche LLP (retirado), EE.UU., Presidente Internacional Pasado
Gregory T. Grocholski, CISA, The Dow Chemical Company, EE.UU., Director
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Director
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Director
Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EE.UU., Administrador de Bienes
Comité de orientación y prácticas
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EE.UU., Presidente de la junta directiva
Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU.
Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE.UU.
Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canadá
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., India
Anthony P. Noble, CISA, Viacom, EE.UU.
Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., México
Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Bélgica
Frank Van Der Zwaag, CISA, CISSP, Westpac, Nueva Zelanda
The Cloud Security Alliance, del cual ISACA es miembro fundador
4. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
4
Impactos de la computación en la nube
Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la
computación en la nube como una opción real para sus necesidades empresariales. Podría decirse que la promesa de
una computación en la nube está revolucionando el mundo de servicios de TI al transformar la computación en una
unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y
redundancia para gerenciar activos de información. La influencia continua y el uso innovador de Internet ha permitido
que la computación en la nube utilice la infraestructura existente y la transforme en servicios que podrían proporcionar
a las empresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas están descubriendo que
hay un potencial en aprovechar esta innovación para prestar un mejor servicio a los clientes y obtener ventajas de negocio.
Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computación en la
nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reducción de costos de
infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso
de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad
a los negocios con nuevos servicios de TI.
Por todas estas razones, es fácil ver por qué la computación en la nube es una atractiva
oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al
tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los
beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida
que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor
dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes
y eficientes. Aunque muchas empresas están acostumbradas a gerenciar este tipo de riesgos
internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno
(governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los
procesos de negocio.
Al igual que ocurre con cualquier tecnología emergente, la computación en la nube ofrece
la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y
características como agilidad y velocidad de suministro. Sin embargo, como una “nueva”
iniciativa, también puede traer consigo un posible riesgo alto. La computación en la nube
introduce un nivel de abstracción entre la infraestructura física y el propietario de la información
que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control
directo o indirecto del entorno físico que afecta sus datos. En la nube, éste ya no es el caso.
Debido a esta abstracción, ya existe una demanda ampliamente generalizada de mayor
transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del
proveedor de computación en la nube.
Una vez que se ha determinado que los servicios en la nube son una solución plausible para una empresa, es importante
identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué
tipo de datos de la nube son confiables, así como cuáles servicios podrían ofrecer el mayor beneficio.
¿Qué es computación en la nube?
Uno de los asuntos más confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las
definiciones. Tal como ocurre con todas las tecnologías emergentes, la falta de claridad y acuerdo suele dificultar la
evaluación general y adopción de esa tecnología. Dos grupos que han ofrecido una línea base (baseline) de definiciones
“Podría decirse
que la promesa de
una computación
en la nube está
revolucionando
el mundo de
servicios de TI
al transformar
la computación
en una unidad
ubicua”.
5. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
5
son el National Institute of Standards and Technology (NIST) y la Cloud Security Alliance. Ambos definen la
computación en la nube como un modelo para habilitar un cómodo acceso en red por demanda a un pool compartido
de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que
se puede conformar y proveer rápidamente con un esfuerzo administrativo mínimo o una interacción mínima con el
proveedor de servicios. Otra manera de describir los servicios ofrecidos en la nube es comparándolos con los de una
empresa de servicios públicos. Tal como las empresas pagan por la electricidad, el gas y el agua que utilizan, ahora tienen
la opción de pagar por los servicios de TI dependiendo del consumo.
Se puede pensar en el modelo de nube como un diseño compuesto por tres modelos de servicio (figura 1), cuatro modelos
de implementación (figura 2) y cinco características esenciales (figura 3). Los riesgos y beneficios generales diferirán
según el modelo y es importante destacar que al considerar los diferentes tipos de modelos de servicio e implementación,
las empresas deben considerar los riesgos relacionados.
Figura 1—Modelos de servicio de la computación en la nube
Modelo de servicio Definición Lo que se debe considerar
Infraestructura como un servicio (IaaS) Capacidad para configurar procesamiento,
almacenamiento, redes y otros recursos
de computación fundamentales, ofreciendo
al cliente la posibilidad de implementar y
ejecutar software arbitrario, el cual puede
incluir sistemas operativos y aplicaciones.
IaaS coloca estas operaciones de TI en las
manos de un tercero.
Opciones de minimizar el impacto si el
proveedor de la nube experimenta una
interrupción del servicio
Plataforma como un servicio (PaaS) Capacidad para implementar en la
infraestructura de la nube aplicaciones
creadas o adquiridas por el cliente que
se hayan creado utilizando lenguajes y
herramientas de programación que estén
respaldados por el proveedor
• Disponibilidad
• Confidencialidad
• La privacidad y la responsabilidad legal
en caso de una violación de la seguridad
(ya que las bases de datos que contienen
información sensitiva ahora estarán
hospedadas fuera del sitio)
• Propiedad de los datos
• Preocupaciones acerca del e-discovery
Software como un servicio (SaaS) Capacidad para utilizar las aplicaciones
del proveedor que se ejecutan en la
infraestructura de la nube. Se puede
acceder a las aplicaciones desde diferentes
dispositivos cliente a través de una interfaz de
cliente ligero (thin client), como un explorador
web (por ejemplo, correo electrónico basado
en la web).
• ¿Quién es el dueño de las aplicaciones?
• ¿Dónde residen las aplicaciones?
Figura 2—Modelos de implementación de la computación en la nube (Cont.)
Modelo de implementación Descripción de la infraestructura
de la nube
Lo que se debe considerar
Nube privada • Operada únicamente para una organización
• Puede ser manejada por la organización o
un tercero
• Puede existir dentro o fuera de las
instalaciones
• Servicios en la nube con riesgo mínimo
• Es posible que no proporcione la
escalabilidad y agilidad de los servicios
de la nube pública
6. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
6
Figura 2—Modelos de implementación de la computación en la nube (Cont.)
Modelo de implementación Descripción de la infraestructura
de la nube
Lo que se debe considerar
Nube comunitaria • Compartida por varias organizaciones
• Respalda una comunidad específica que
haya compartido su misión o interés.
• Puede ser manejada por las organizaciones
o un tercero
• Puede residir dentro o fuera de las
instalaciones
• Igual que la nube privada, pero
adicionalmente:
• Los datos pueden estar almacenados
con los datos de los competidores.
Nube pública • Esta disponible para el público en general o
un grupo industrial grande
• Pertenece a una organización que vende
servicios en la nube
• Igual que la nube comunitaria, pero
adicionalmente:
• Los datos pueden estar almacenados
en ubicaciones desconocidas y pudieran
no ser fáciles de recuperar.
Nube híbrida Una composición de dos o más nubes
(privada, comunitaria o pública) que continúan
siendo entidades únicas, pero que están
unidas mediante tecnología estandarizada
o propietaria que permite la portabilidad de
datos y aplicaciones (por ejemplo, ampliación
de la nube [cloud bursting] para equilibrar la
carga entre las nubes.)
• El riesgo agregado de combinar dos
modelos de implementación diferentes
• La clasificación y el etiquetado de datos
ayudará al gerente de seguridad a
garantizar que los datos se asignen
al tipo de nube correcto.
Figura 3—Características fundamentales de la computación en la nube
Característica Definición
Autoservicio a solicitud El proveedor de la nube debe poder suministrar capacidades de computación, tales como el
almacenamiento en servidores y redes, según sea necesario sin requerir interacción humana
con cada proveedor de servicios.
Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por
medio de cualquier dispositivo (por ejemplo, teléfono inteligente, laptop, dispositivos móviles, PDA).
Agrupación de recursos Los recursos informáticos del proveedor se agrupan para prestar servicios a diversos clientes
utilizando un modelo de múltiples usuarios, con diferentes recursos físicos y virtuales asignados
y reasignados de manera dinámica según la demanda. Existe un sentido de independencia
geográfica. Generalmente, el cliente no tiene control o conocimiento de la ubicación exacta de los
recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicación en un nivel de
abstracción mayor (por ejemplo, país, región o centro de datos). Los ejemplos de recursos incluyen
almacenamiento, procesamiento, memoria, ancho de banda de la red y máquinas virtuales.
Elasticidad rápida Las capacidades se pueden suministrar de manera rápida y elástica, en muchos casos
automáticamente, para una rápida expansión y liberar rápidamente para una rápida contracción.
Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas,
además, se puede adquirir cualquier cantidad de capacidades en cualquier momento.
Servicio medido Los sistemas en la nube controlan y optimizan el uso de recursos de manera automática utilizando
una capacidad de medición (por ejemplo, almacenamiento, procesamiento, ancho de banda y
cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo
que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio.
Como se puede observar en las características que contiene la figura 3, existen diferentes enfoques y dificultades en
relación con la computación en la nube. Los beneficios para la empresa, así como los riesgos, variarán dependiendo
de los tipos de modelo de servicio e implementación seleccionados.
7. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
7
Los beneficios de negocio de la computación en la nube
Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la
mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de
innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de
la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal,
en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con
el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más
confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados.
Algunos de los beneficios clave de negocio que ofrece la nube son:
• Contención de costos—La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros
que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de
capital directos son mínimos e incluso inexistentes. Los servicios y el almacenamiento están disponibles a solicitud y el
precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos.
Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos
tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión.
Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos
de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales.
• Inmediatez—Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la
capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales
que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un
impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo.
• Disponibilidad—Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los
requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que
estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar
que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad,
los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio.
• Escalabilidad—La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para
las necesidades cambiantes de TI. El suministro y la implementación se realizan a solicitud, lo que permite controlar
el tráfico y reducir el tiempo necesario para implementar nuevos servicios.
• Eficiencia—Reasignar actividades operacionales de gestión de la información a la nube
ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la
investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y
pudiera incluso ser más útil que las ventajas financieras que ofrece la nube.
• Resiliencia—Los proveedores de la nube poseen soluciones duplicadas que se pueden
utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir
un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico
pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar
la sostenibilidad durante un evento inesperado.
El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los
empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad
e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más
inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera
efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las
oportunidades que ofrecen los servicios en la nube.
“…al tercerizar
parte de la gestión
de información y
las operaciones de
TI, los trabajadores
de una empresa se
sentirán libres de
mejorar procesos,
aumentar la
productividad e
innovar…”
8. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
8
Riesgos y preocupaciones de seguridad relacionados con la computación en la nube
Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las
empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que
la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la
seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos
de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinámico de los negocios y a la atención
puesta sobre la globalización, es muy reducido el número de empresas que no terceriza una parte determinada de su
negocio. Establecer una relación con un tercero significa que el negocio no sólo utiliza los servicios y la tecnología del
proveedor de la nube, sino que también debe lidiar con la manera como el proveedor dirige su organización, la arquitectura
de la que éste dispone, así como con la cultura y las políticas de la organización del proveedor. Algunos ejemplos de los
riesgos que plantea la computación en la nube para la empresa son:
• Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad
son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar
que los servicios estarán disponibles y que los datos se podrán rastrear.
• Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye
una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no
sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio.
• La naturaleza dinámica de la computación en la nube podría resultar confusa en cuanto a dónde reside la información
realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras.
• El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la
información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar
la protección de la propiedad intelectual (IP) y los secretos comerciales.
• Las nubes públicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia,
son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta
disponibilidad es que es posible mezclar los activos de información con los de otros clientes de la nube, incluso de
competidores. Cumplir con las regulaciones y leyes de diferentes regiones geográficas puede ser desafiante para las
empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario
obtener asesoría legal apropiada para asegurar que el contrato especifique las áreas donde el proveedor de la red es
responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales.
• Debido a la naturaleza dinámica de la nube, es posible que la información no se localice inmediatamente si ocurriera un
desastre. Los planes de continuidad del negocio y de recuperación en caso de desastre deben estar bien documentados y
probados. El proveedor de la nube debe entender la función que desempeña en términos de copias de respaldo, respuesta
y recuperación en caso de desastre. Los tiempos objetivos de recuperación deben estar especificados en el contrato.
Estrategias para tratar riesgos relacionados con la computación en la nube
Estos riesgos, y los que pudiera identificar una empresa, se deben gerenciar de forma efectiva. Se debe implementar un
programa de gestión de riesgos robusto que sea suficientemente flexible para lidiar con riesgos en constante evolución.
En un ambiente donde la privacidad se ha vuelto vital para los clientes empresariales, el acceso no autorizado a datos
constituye una preocupación significativa. Cuando se establece un acuerdo con un proveedor de la nube, una empresa
debe realizar un inventario de sus activos de información y asegurar que los datos se clasifiquen y etiqueten de forma
apropiada. Esto ayudará a determinar qué se debe especificar a la hora de redactar un acuerdo de nivel de servicio, si
es necesario encriptar los datos que se transmiten o almacenan y los controles adicionales para la información que sea
sensitiva o de gran valor para la organización.
9. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
9
Por ser el vínculo que define la relación entre el negocio y el proveedor de la nube, el
acuerdo de nivel de servicio representa uno de los mecanismos más efectivos que puede
utilizar la empresa para asegurar la adecuada protección de la información que se confía
a la nube. El acuerdo de nivel de servicio será la herramienta en la que los clientes pueden
especificar si se utilizarán marcos de control conjunto y describir la expectativa de una
auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener
las expectativas relacionadas con el manejo, el uso, el almacenamiento y la disponibilidad
de la información. Además, los requerimientos correspondientes a la continuidad del
negocio y a la recuperación en caso de desastre (que se discutieron anteriormente) se
deberán expresar en el acuerdo.
La protección de la información evolucionará como resultado de un acuerdo de nivel de
servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido
e integral. La estructuración de un acuerdo de nivel de servicio detallado y completo que
incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la
gestión de su información una vez que ya no esté en la compañía y se haya transportado,
almacenado o procesado en la nube.
Problemas de gobierno y cambios relacionados con la computación en la nube
La dirección estratégica del negocio, y en general de TI, es el foco principal a la hora de considerar el uso de la
computación en la nube. Debido a que las empresas recurren a la nube para que les proporcione servicios de TI que
anteriormente se gerenciaban de forma interna, éstas tendrán que realizar algunos cambios para asegurar que se siguen
cumpliendo los objetivos de desempeño, que la tecnología de la que disponen y el negocio están alineados de forma
estratégica y que se gerencian los riesgos. Asegurarse de que TI está alineada con el negocio, que los sistemas son
seguros y que se gerencia el riesgo es desafiante en cualquier ambiente e incluso es más complejo en una relación con un
tercero. Las actividades típicas de gobierno, tales como el establecimiento de metas, desarrollo de políticas y estándares,
definir roles y responsabilidades y gerenciar riesgos, deben incluir consideraciones especiales cuando se utilizan la
tecnología de computación en la nube y sus proveedores.
Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de
sistemas del negocio, la transición a la computación en la nube esencialmente requiere que
se incluya un oficial o director de seguridad de la información de la compañía en todos los
nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas.
Como con todos los cambios de la organización, se espera que sea necesario realizar algunos ajustes a la manera en
que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo
y la recuperación de información, son ejemplos de posibles áreas de cambio. Adicionalmente, será necesario revisar los
procesos que detallan la manera cómo se almacena, archiva y respalda la información.
La nube presenta muchas situaciones únicas que deben resolver los negocios. Un gran problema de gobierno es que
el personal de la unidad de negocios, que antes debía pasar por TI, ahora puede pasar por alto TI y recibir servicios
directamente desde la nube. Por lo tanto, es sumamente importante que las políticas de seguridad de la información aborden
los usos de los servicios en la nube.
“En un ambiente
donde la privacidad
se ha vuelto crucial
para los clientes
empresariales,
el acceso no
autorizado a
información en la
nube es una gran
preocupación”.
10. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
10
Consideraciones sobre el aseguramiento en relación con la computación en la nube
Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a través de la computación en la nube,
son muchos los retos que enfrentan los proveedores de aseguramiento. ¿Qué se puede hacer para mejorar la capacidad del
profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la
nube entre los usuarios directos e indirectos de la computación en la nube?
Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes:
• Transparencia—Los proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y
robustos, para asegurar a los clientes que su información está protegida adecuadamente contra acceso no autorizado,
cambio o destrucción. Las preguntas clave que se deben responder son: ¿Cuánta transparencia es suficiente? ¿Qué debe ser
transparente? ¿Ayudará la transparencia a los malhechores? Entre las áreas clave en las que es importante la transparencia
del proveedor están: ¿Cuáles empleados (del proveedor) tienen acceso a la información de los clientes? ¿Se mantiene la
segregación de funciones entre los empleados del proveedor? ¿Cómo se segrega la información de diferentes clientes?
¿Cuáles controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia?
• Privacidad—Con la creciente preocupación en el todo el mundo por los asuntos relacionados con la privacidad,
será esencial que los proveedores de servicios de computación en la nube garanticen a los clientes actuales y probables
que se están aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante
las violaciones de privacidad de manera oportuna. Se deben acordar e implementar líneas de comunicación tanto de
información como de notificación antes de que comience la prestación de los servicios. Estos canales de comunicación
se deben probar periódicamente durante las operaciones.
• Cumplimiento—La mayoría de las organizaciones de hoy deben cumplir con una lista
interminable de leyes, regulaciones y estándares. En lo que respecta a la computación
en la nube, existe la preocupación de que los datos puedan no estar almacenados en
un solo lugar y puedan no ser fáciles de recuperar. Es fundamental asegurar que si los
datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro
otras informaciones. Las auditorías realizadas por las propias autoridades legales, de
estandarización y reguladoras demuestran que puede haber muchas extralimitaciones en
tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garantía de que una
empresa podrá obtener su información cuando la necesite, y algunos proveedores incluso
se están reservando el derecho a limitar la información que proporcionan a las autoridades.
• Flujo de información transfronterizo—Cuando la información se puede almacenar
en cualquier lugar de la nube, la ubicación física de la información puede convertirse
en un problema. La ubicación física determina la jurisdicción y la obligación legal.
Las leyes nacionales que rigen la información personal identificable (PII) pueden variar
considerablemente. Lo que está permitido en un país puede considerarse una violación en otro.
• Certificación—Los proveedores de servicios de computación en la nube tendrán que asegurarle a sus clientes que están
haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditorías
de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento.
El uso de estándares y marcos ayudarán a que los negocios se sientan más seguros con respecto a los controles internos
y la seguridad del proveedor de computación en la nube. Al momento de la redacción, no existen estándares disponibles
públicamente que se apliquen de manera específica al paradigma de computación en la nube. Sin embargo, se deben
consultar los estándares existentes para abordar las áreas relevantes y los negocios deberían intentar ajustar sus marcos
de control actuales. La computación en nube representa una singular oportunidad para rediseñar la seguridad y los
controles de TI para un mejor mañana. Muchos negocios no dudarán en aprovechar esta oportunidad para mejorar tanto
la eficiencia como la seguridad integrada de su portafolio de TI.
“La computación en
la nube representa
una oportunidad
excepcional de
actualizar la
seguridad y los
controles de TI para
un mejor futuro”.
11. © 2 0 0 9 I S A C A . T o d o s l o s d e r e c h o s r e s e r v a d o s .
Computación en la nube: Beneficios de negocio con perspectivas
de seguridad, gobierno y aseguramiento
11
Conclusión
Si bien la computación en la nube sin dudas está destinada a proveer muchos beneficios, los profesionales de
aseguramiento y seguridad de la información deberían realizar análisis de impacto al negocio y evaluaciones de riesgos
para informar a los líderes del negocio de los posibles riesgos para su empresa. Las actividades de gestión de riesgos se
deben gerenciar a través del ciclo de vida de la información y los riesgos se deben volver a evaluar regularmente o en
caso de que ocurra un cambio.
Las empresas que hayan estado considerando el uso de la nube en su ambiente deberían determinar cuáles ahorros
de costos les puede ofrecer la nube y cuáles son los riesgos adicionales en los que se incurre. Una vez identificados
los posibles ahorros de costos y los riesgos, las empresas entenderán mejor cómo pueden aprovechar los servicios
en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para
garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la
forma en que se utilizarán los recursos de computación y, como tal, será una iniciativa de gobierno importante dentro
de las organizaciones que la adopten, requiriendo la participación de un amplio conjunto de partes interesadas.
Recursos adicionales relacionados con la computación en nube: www.isaca.org/cloudcomputingresources