subcontratación segura en la nube: cinco preguntas que se deben hacer

Transcripción

1 INFORME OFICIAL Subcontratación segura julio de 2012 subcontratación segura en la nube: cinco preguntas que se deben hacer Russell Miller Tyson Whitten CA Technologies, Administración de seguridad agility made possible

2 tabla de contenido SECCIÓN 1: Desafío 3 No ignore la seguridad durante el traslado a la nube SECCIÓN 2: Oportunidad 3 La administración de identidades con privilegios y la protección de la información pueden ser útiles para una subcontratación más segura. SECCIÓN 3: Conclusiones 11 SECCIÓN 4: Referencias 11 SECCIÓN 5: Acerca de los autores 12

3 Sección 1: Desafío No ignore la seguridad durante el traslado a la nube Organizaciones de todos los tamaños y tipos dependen cada vez más de servicios de nube no sólo para funciones importantes de negocios, sino también para almacenar y procesar sus datos más confidenciales. De acuerdo con Gartner, Para fines de 2016, más del 50% de los integrantes de la lista global 1000 habrán almacenado datos confidenciales de clientes en la nube pública. 1 Otros se resisten a la atracción de los servicios basados en la nube debido a inquietudes respecto de la seguridad. Ambos tipos de organizaciones están descubriendo que la seguridad en la nube aún está en etapas preliminares y carece de estándares establecidos e incluso de normas informales. Administrar y monitorear las identidades y los datos con privilegios se ha convertido en un requisito para numerosas organizaciones. Con ello se reduce el riesgo de violaciones internas, ayuda a garantizar la responsabilidad de los administradores, facilita el cumplimiento y puede incluso acelerar la adopción de nuevas tecnologías. No obstante, las mismas organizaciones que controlan meticulosamente sus identidades y datos internos suelen subcontratar los servicios de TI a algo que es, básicamente, una caja negra y así renuncian al control directo y dependen de empresas de alojamiento de servicio en la nube para proteger sus datos. Mientras que la seguridad está regulada por acuerdos sobre políticas y procedimientos de seguridad, las acciones de los administradores individuales están frecuentemente ocultas. Lo que esto implica es que los privilegios individuales y las acciones de los administradores se consideran de algún modo menos riesgosos si están suministrados por una entidad externa. Lamentablemente, no es así. De forma similar, los datos por sí mismos no son más o menos seguros contra el acceso no autorizado si están almacenados en una red interna de una empresa o en el centro de datos de una empresa de alojamiento. Al momento de elegir subcontratar, las organizaciones poseen un alto grado de flexibilidad. Puede que elijan mantener una gran cantidad de control si usan un entorno de nube privada autoadministrado, o puede que empleen un tercero para administrar y alojar su infraestructura, plataforma o servicios en la nube. Cada tipo de nube y de servicio plantea desafíos de seguridad únicos; no obstante, en todos los tipos de nube, la seguridad de identidades y datos puede aumentar la transparencia y reducir los riesgos. Sección 2: Oportunidad La administración de identidades con privilegios y la protección de la información pueden ser útiles para una subcontratación más segura. La clave para comprender la seguridad en un entorno de nube es tomar conciencia de que los aspectos fundamentales de la protección de la confidencialidad, la integridad y la disponibilidad de la información no han cambiado. Cuando se utiliza un entorno de nube, las organizaciones deben comprender los riesgos que corren sus sistemas y datos. La manera de hacerlo es seguir las mejores prácticas de la administración de identidades y accesos (IAM), internamente y también exigiendo que lo hagan las empresas de alojamiento. 3

4 El traslado a un entorno de nube requiere la renuncia a un nivel de control; no obstante, no es necesario que sea a expensas de la seguridad. Las herramientas actuales de administración de identidades y accesos permiten que una organización determine el nivel de seguridad y transparencia que requieren de su empresa de alojamiento. El nivel de transparencia de la IAM depende del tipo de servicios de nube que se están considerando: Nube privada (interna y externa) Infraestructura como servicio (IaaS) Plataforma como servicio (PaaS) Software como servicio (SaaS) Cada tipo de servicio de nube plantea sus propios desafíos de seguridad y el modo en que las organizaciones deben abordar cada uno se debe adaptar tanto al tipo de servicio de nube como a los requisitos de seguridad organizativa. Lo que define a un entorno de nube privada no es la ubicación de alojamiento, sino la falta de recursos compartidos o plataforma multiclientes. Esto se puede realizar dentro de una organización, con hardware propiedad de la empresa o bien, utilizando sistemas y dispositivos propiedad de la empresa de alojamiento. No obstante, el riesgo es significativamente mayor cuando se aloja fuera del sitio, ya que la separación de la infraestructura debe ser verificada. Para todos los tipos de nube, además de las mejores prácticas estándar de reforzamiento, arquitectura de red y políticas y procedimientos, las herramientas de administración de identidades y accesos son fundamentales para hacer posible que sólo las personas adecuadas tengan acceso a los sistemas y datos correctos. Esto implica comprender las identidades y los accesos, la seguridad de sistemas y datos y el registro y la generación de reportes de actividades del usuario. Las 5 preguntas principales que se deben realizar al subcontratista Preguntas Seguimientos 1. Dónde están ubicados mis datos? Dónde estarán ubicados mis datos confidenciales? Puedo estipular ubicaciones donde no se puedan almacenar? Proporcionarán visibilidad en tiempo real? 2. Quién tiene acceso a mis servidores y datos? Cuáles son sus roles? Son los responsables exclusivos de mi cuenta? De qué modo se les permite o deniega el acceso a mis datos? 3. Cómo se protegen mis sistemas y datos? De qué modo se administran los derechos administrativos del hipervisor? De qué modo se controlan mis datos? De qué modo pueden comprobar que sus controles cumplen con las normativas que, en mi opinión, son relevantes? 4

5 4. Cuáles datos de actividades se captan y registran? Qué nivel de granularidad se registra? De qué modo se garantiza la responsabilidad para las cuentas compartidas (por ej., raíz )? De qué modo se administran los administradores temporales? Cuál es el proceso para otorgar acceso a cuentas de emergencia? 5. Cómo hará posible el cumplimiento? Que tipo de generación de reportes ofrecerá? Los reportes serán automatizados y generados fácilmente para los auditores? Dónde están ubicados mis datos? La implicación de la liberación del control de activos de datos confidenciales de la organización a subcontratistas terceros sigue siendo un inhibidor importante para la transición de los negocios hacia los servicios basados en la nube. Según Gartner, La seguridad de los datos confidenciales en la nube es el problema principal para la adopción de la nube. 2 Las empresas necesitan que les garanticen que el riesgo de exposición de datos y de incumplimiento normativo permanecerá igual o se reducirá cuando utilicen la subcontratación. Existen múltiples medidas que las empresas deben adoptar a medida que los datos realizan la transición fuera de la organización y durante el transcurso de la administración. 1. Comprender lo que posee: el primer paso es realizar un inventario de datos en relación con lo que se entregará en subcontratación. Si se subcontratan las aplicaciones de negocios a un proveedor de alojamiento, comprender el tipo de datos que están almacenados y comunicados en relación con esas aplicaciones. Además, comprender la confidencialidad de la información en relación con las políticas corporativas y normativas. Las tecnologías de clasificación automatizada resultan un buen lugar donde comenzar el inventario de información confidencial. Es fundamental comprender si se trasladarán a un tercero datos de información de identificación personal (PII), propiedad intelectual (IP) o de la industria de las tarjetas de pago (PCI). 2. Determinar qué es aceptable para realizar la transición: el próximo paso es determinar qué es lo que se puede trasladar. El negocio necesita tomar una decisión basada en riesgos sobre cuáles elementos es aceptable que sean administrados por un tercero. Independientemente de los controles, puede que cierta información sea demasiado confidencial como para subcontratar. Es importante comprender esto al inicio, antes de comenzar con el recorrido de la subcontratación. 3. Exigir visibilidad: una vez que comprendió aquello que es aceptable subcontratar, debe determinar de qué modo le garantizarán que los datos serán almacenados en una cierta ubicación. Los requisitos normativos para almacenar y proteger elementos de datos varían según el área global y regional. Si la ley le exige que almacene determine en una cierta región tipos de datos específicos, necesita tener la garantía que así será durante toda la vigencia del contrato. Sin embargo, la negociación inicial de términos contractuales de que los datos serán almacenados en una cierta región ya no es aceptable como completo reaseguro. Los negocios comienzan a exigir visibilidad en tiempo real de la ubicación de la información confidencial que subcontrató. Y los proveedores responden entregando visibilidad en tiempo real de la ubicación de los datos, como diferenciador de servicio. 5

6 La capacidad de comprender dónde está ubicada su información durante el transcurso de la subcontratación le permitirá continuar tomando decisiones informadas y basadas en el riesgo aun cuando los datos estén fuera de su control, en tanto que se las medidas de cumplimiento se verán facilitadas al momento de la auditoría anual. Quién tiene acceso a mis servidores y datos? Luego de conocer de qué modo el proveedor brindará visibilidad en la ubicación de los datos confidenciales, el próximo paso es determinar de qué modo administrarán el acceso a los sistemas donde residirá la información confidencial. Para lograrlo, resulta esencial comprender cómo usa las identidades la empresa de alojamiento y su modelo de seguridad. Una empresa de alojamiento debería poder demostrar su comprensión e implementación de los principios básicos de administración de identidades: Privilegios mínimos: todas las identidades, y especialmente los administradores, deberían poseer únicamente los derechos de acceso mínimos como para realizar su tarea. División de las obligaciones: el concepto de división de las obligaciones exige que sea necesaria más de una persona para completar una tarea (por ej., una misma persona no puede iniciar Y aprobar una transacción). Una empresa de alojamiento debería ser capaz de describir sus roles administrativos y el modo en que se administran. Por ejemplo, la administración de la seguridad de los sistemas y aplicaciones importantes (como las bases de datos) de debe mantener separada de la administración del sistema. Ningún administrador debería ser responsable tanto de las operaciones diarias como de la seguridad de un sistema o aplicación. Idealmente, los administradores de la empresa de alojamiento que requieren de un amplio acceso a los datos más confidenciales de una empresa deberían atender exclusivamente a ese cliente y no tener acceso a datos de la competencia. Asimismo, las organizaciones deberían reunir información, provista por la empresa de alojamiento, sobre las personas que tendrán acceso a sus sistemas y datos. Además de las verificaciones de antecedentes, el país en que se ubica un empleado podría tener consecuencias significativas; podrían existir leyes que limiten el monitoreo de una empresa sobre sus acciones. Cómo se protegen mis sistemas y datos? Las empresas de alojamiento deberían también contar con un proceso documentado para el manejo de derechos de acceso, incluyendo los empleados que se incorporan o abandonan la empresa, o los cambios de roles. Estos procesos deberían exigir el inmediato la revocación de los privilegios de acceso cuando ya no son necesarios. Se deberían realizar auditorías regulares para confirmar que todos los privilegios concuerdan con los roles y necesidades actuales. Una vez que está clara la seguridad del acceso, es importante determinar de qué modo se protegerán los sistemas que alojan su información más confidencial y se controlarán los datos en sí. La virtualización es el elemento que verdaderamente hace posible los entornos de nube. Hace posible la creación de cargas de trabajo que son móviles y pueden funcionar en un entorno dinámico. Por lo tanto, para proteger un entorno de nube, la seguridad de virtualización es esencial. Las organizaciones también deben implementar la Administración de Identidades y Accesos en la capa del hipervisor. Sin embargo, controlar el acceso al contenedor es sólo la mitad de la respuesta. Los proveedores deben adoptar un enfoque de seguridad centrado en los datos sin importar de qué forma se controla el acceso a las aplicaciones y sistemas. Y una vez que se otorga el acceso a los datos, también debe controlarse el uso de estos datos. 6

7 Protección de entornos virtuales Las herramientas de control del acceso se pueden configurar para restringir el acceso a máquinas virtuales individuales en función de los privilegios de la identidad del administrador de cada hipervisor. Así se ayuda a garantizar que aun en un entorno compartido, únicamente los administradores apropiados tendrán acceso a las máquinas virtuales de una organización. Los controles de seguridad automatizados en la capa del hipervisor son necesarios para proteger las máquinas virtuales individuales. La naturaleza flexible y dinámica de un entorno virtual permite que las máquinas se trasladen, elimine, copien o que se modifiquen parámetros importantes casi sin esfuerzo. Por consiguiente, los controles de la seguridad del hipervisor son necesarios para prevenir que las máquinas virtuales individuales sean administradas de forma tal que se viole la seguridad requerida. Por ejemplos, las máquinas virtuales que contienen datos PCI se deberían etiquetar de modo que los administradores no las puedan mover a un entorno de red sin conformidad normativa. A los fines de cambiar parámetros clave de seguridad de una máquina virtual, se deberían modificar las etiquetas o las reglas de etiquetado. Este paso suplementario reduce las posibilidades de errores administrativos durante la administración de las máquinas virtuales. Protección de entornos multicliente Los servicios de nube pública plantean sus propios desafíos de seguridad y el modo en que las organizaciones deben abordar estos desafíos se debe adaptar tanto al tipo de servicio de nube como a los requisitos de seguridad de la organización. Sin embargo, en todos los casos, una organización debería tomar medidas para mantener sus datos seguros de terceros que puedan compartir los mismos servicios: Ilustración A. Representación visual de un entorno multicliente. 7

8 En un entorno multicliente en la nube, los requisitos de seguridad se definen según el tipo de nube: Tipo de nube Descripción Capa de seguridad Infraestructura como servicio (IaaS) Plataforma como servicio (PaaS) Software como servicio (SaaS) Los recursos de infraestructura son compartidos, incluso los servidores físicos, dispositivos de red y bases de datos (por ej., Amazon EC2, RackSpace Cloud) Los servicios a nivel de plataforma son compartidos (por ej., Google App Engine, Microsoft Windows AzureTM, Force.com) Servicios de aplicaciones compartidos (e.g., Salesforce.com) Generalmente, cada cliente está segregado en la capa de la máquina virtual. Una empresa de alojamiento puede valerse de un único hipervisor para administrar las máquinas virtuales que pertenecen a múltiples organizaciones diferentes. Para ayudar a garantizar la seguridad de sus máquinas virtuales, una organización debe implementar la administración de identidades y accesos en la capa de hipervisor. Al igual que en la nube privada, las herramientas de IAM se pueden configurar para restringir el acceso a máquinas virtuales individuales basándose en los parámetros de seguridad asociados con la identidad de cada hipervisor de modo tal que, aun en un entorno compartido, únicamente los administradores apropiados tengan acceso a las máquinas virtuales de una organización. Cada cliente comparte recursos en la capa de plataforma de software. Además de la seguridad de la virtualización, las organizaciones deben asegurarse de que la empresa de alojamiento respete las mejores prácticas de técnicas de administración de identidades con privilegios para los usuarios que administran el software de la plataforma. En tanto que la transparencia suele ser limitada en un entorno SaaS, una organización que busca subcontratar un proveedor de SaaS debe mirar más allá de la capa de servicio de aplicaciones para comprender cómo se emplean las herramientas de administración de identidades y accesos en cada capa de la infraestructura, abarcando el hardware físico, las máquinas virtuales, las plataformas y la seguridad de codificación. en todos los tipos de nube, los proveedores de alojamiento tienen la capacidad de proporcionar datos de las actividades de usuarios como servicio, para su descarga en las herramientas de seguridad internas del cliente. Esto ayuda a que las organizaciones que subcontratan tengan conocimiento sobre quién tiene acceso a sus datos, en tanto se mantienen registros de actividad de usuario para cumplir con los requisitos de auditoría. Protección de los datos Si bien controlar las identidades y los accesos a la información confidencial es un aspecto importante, no es suficiente. La confidencialidad de los datos es inherente a los datos sin importar su ubicación. Por lo tanto, mientras que el control de los datos a nivel del contenedor proporciona un nivel de seguridad, no basta en el caso de que los datos salgan de los límites de la empresa o del centro de datos. Lo que se debe exigir al proveedor es un enfoque de seguridad que incorpore seguridad centrada en los datos a fin de proteger eficazmente los activos corporativos confidenciales que se subcontratan. Esto ayuda a reducir el riesgo de la subcontratación y permite la movilidad de los datos mientras se mantiene el control con la organización. Los componentes de una solución de seguridad centrada en los datos integral incluye la clasificación, la prevención de fuga de datos, el cifrado y la administración de derechos de información (IRM). 8

9 Usted debería tener conocimiento además del modo en que la seguridad centrada en los datos se aplica a los datos mientras están en reposo, en el acceso, en uso y en movimiento. Ejemplos: En reposo: una vez que los datos realizaron la transición y se almacenaron dentro de la red y los repositorios del proveedor, se deben cifrar siempre que sea posible. Parte de la información, como datos relacionados con la PCI, se requiere que se cifre, mientras que otra parte de la información se debe cifrar en función de la confidencialidad del negocio. En el acceso: cuando los administradores o empleados intentan tener acceso a información confidencial, se debe tener en cuenta la confidencialidad de los datos. Conocer la confidencialidad de la información antes de otorgar el acceso permite que se tomen decisiones de control de acceso más específicas. Además, la información que está cifrada protege a la organización contra el acceso inapropiado debido a un control ineficaz de políticas del contenedor. En uso: una vez que el usuario obtiene acceso a los datos, se deben controlar en el terminal. Los administradores que tienen acceso a información confidencial de clientes no deberían poder copiarla en una unidad extraíble ni imprimirla sin autorización. En movimiento: también debe controlarse el manejo de la información a través de la red. Los roles que tengan acceso a los datos deben controlarse selectivamente según el rol y la confidencialidad de los datos. La capacidad de advertir, bloquear o cifrar información que se envía a través de la red debería servir para controlar eficazmente el manejo de la información. Cuáles datos de actividades se captan y registran? Al igual que con la seguridad, determinar el nivel correcto de información sobre actividades que se debe exigir a la empresa de alojamiento requiere de un cuidadoso equilibro de los aspectos a favor y en contra. Granularidad: transparencia en comparación con costo En una empresa de alojamiento, las identidades se pueden administrar y seguir con el mismo estándar de los empleados internos en un entorno de nube privada; no obstante, existen beneficios y costos en cada nivel de granularidad: Nivel de granularidad Descripción Transparencia Grupos administrativos (por ej., Grupo de administración de Linux ) Roles individuales (por ej., Linux Admin #1 ) Identidades individuales (por ej., Third_Party_ ID15624 o Third_Party_ JohnSmith ) La organización subcontratada puede monitorear todos los privilegios y registros de auditorías a nivel de grupo. Es posible que la empresa de alojamiento agregue o elimine personas de estos grupos, sin el conocimiento de las organizaciones cliente. El usuario asociado con esa identidad puede cambiar a medida que el subcontratista se mueve en torno a recursos. La empresa de alojamiento debe hacer un seguimiento acerca de quién se desempeña en qué rol, en cualquier momento determinado. Cada usuario individual se asocia a una única identidad. La empresa de alojamiento transmite los registros de privilegios y actividades a la organización que subcontrata. Granularidad mínima Más granular Granularidad máxima 9

10 Se debe elegir el nivel de transparencia con el cual abordar las necesidades del proveedor del servicio de nube y también del consumidor. Cuanta más sea la información suministrada por el proveedor del servicio de nube, mayores serán las posibilidades de transparencia y de realizar auditorías; no obstante, también requiere de un gran esfuerzo y costo. Cuando las organizaciones eligen aceptar la transparencia a nivel de grupo, deberían asegurarse de que la empresa de alojamiento realice el seguimiento de manera interna de usuarios individuales, de modo que exista una responsabilidad en caso de una violación. Cómo hará posible el cumplimiento? La última pregunta, y en ocasiones la más importante según el negocio y el sector, se refiere al cumplimiento. Las organizaciones exigen que los subcontratistas proporcionen herramientas y generación de reportes que les permitan cumplir sus objetivos de cumplimiento. Además de los reportes que están disponibles y que necesitan de un procesamiento individual, los reportes de cumplimiento clave se deberían suministrar inmediatamente, utilizando datos en tiempo real. El proveedor en la nube debe permitirle cumplir los requisitos normativos y por lo tanto debe ofrecerle capacidades equivalentes a las que ha implementado en sus propios controles de cumplimiento. Si sus controles están bien consolidados y funcionan eficazmente, resultará más fácil especificar los requisitos al proveedor en la nube. Si sus controles no están consolidados y generan problemas durante sus propias auditorías de cumplimiento, entonces el proveedor en la nube tendrá menos orientación sobre los requisitos que debe cumplir. Aun cuando los datos de actividades se registren y los datos se controlen efectivamente, es necesario contar con un tipo de generación de reportes que le permita cumplir sus metas. Estos reportes deben incluir información altamente resumida para las audiencias de nivel ejecutivo, así como también información detallada satisfactoria para el auditor técnico. Si bien los requisitos individuales variarán, una empresa de alojamiento debería ofrecer reportes sobre los siguientes puntos: Dónde están almacenados los datos (país, ciudad, etc.) En qué momento se tiene acceso a los datos y quién tiene acceso (siempre con seguimiento de accesos a sus identidades individuales, no sólo a cuentas administrativas compartidas) A qué datos se tuvo acceso (incluido el tipo: información de tarjeta de crédito, información privada de salud, etc.) Qué se hizo con los datos a los que se tuvo acceso? ( se exportaron del sistema, fueron procesados por una aplicación?) Cada vez más las empresas de alojamiento ofrecen reportes que abordan directamente requisitos específicos. Con ello se puede reducir, si no eliminar, la necesidad de que la organización subcontratada tenga que perseguir los datos en reportes y armar una presentación desorganizada del cumplimiento. Al tener los reportes adaptados específicamente a los requisitos individuales analizados por los auditores, una organización puede eliminar un nivel de interpretación que queda abierto a los evaluadores individuales, y así reducir el riesgo de incumplimiento. 10

11 Sección 3: Conclusiones La demanda de transparencia en los entornos de nube alojados está convirtiéndose velozmente en un requisito del mercado. Las organizaciones que buscan subcontratar a un entorno de nube actualmente exigen un nivel sin precedentes de transparencia en sus servicios de nube, y ya no necesitan depender exclusivamente de los contratos y las certificaciones de su proveedor de servicios respecto de la seguridad. Básicamente confía pero verifica. Cuando la visibilidad en el entorno de una empresa de alojamiento es limitada, no hay necesidad de conocimiento de su infraestructura de IAM. Al elegir un proveedor de servicios en la nube, las organizaciones ya no deben aceptar garantías sobre las prácticas de seguridad; en lugar de ello, deberían insistir en tener conocimiento pleno sobre el uso de las identidades por parte de la empresa de alojamiento de modo que permita la división de obligaciones y restricciones de acceso correspondientes en cada capa de su infraestructura. Las organizaciones con aversión al riesgo pueden asegurarse de que sus empresas de alojamiento utilizan herramientas actuales de administración de identidades y accesos útiles para habilitar la computación en la nube de una manera coherente con sus requisitos de seguridad. Sección 4: Referencias 1 Gartner, Inc.; Gartner s Top Predictions for IT Organizations and Users, 2012 and Beyond: Control Slips Away; (Las principales predicciones de Gartner para organizaciones y usuarios de TI, 2012 y más allá: el control se resbala) Darryl C. Plummer et al, 23 de noviembre de Gartner, Inc.; 2012 Planning Guide: Security and Risk Management; Dan Blum et al; (Guía de planificación 2012; administración de seguridad y riesgo) 1 de noviembre de

12 Sección 5: Acerca de los autores Russell Miller trabaja desde hace más de cinco años en el área de seguridad de red, en distintos roles que comprenden desde el ataque informático ético al marketing de productos. Actualmente administra el área de marketing de los productos de CA ControlMinder para administración de identidades con privilegios y seguridad de virtualización. Russell se graduó en Ciencias de Computación en el Middlebury College y obtuvo una maestría en la Escuela de Administración y Dirección de Empresas del Instituto Tecnológico de Massachusetts (MIT). Tyson Whitten es un profesional certificado de la seguridad de sistemas de información (CISSP), con más de 10 años de experiencia en la seguridad de la información a cargo del manejo de productos y servicios basados en aplicaciones, redes y riesgos. En su puesto actual es responsable de productos de CA DLP dentro de la unidad de soluciones de clientes de CA Technologies Security. Antes de CA Technologies, Tyson se desempeñó en puestos de Genuity, Guardent, VeriSign y SecureWorks. Se graduó en Sistemas de Información y posee una maestría en Administración General y de Productos del Boston College. CA Technologies es una empresa de software y soluciones de administración de TI con experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra y asegura los entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la perspectiva y el control esencial para que las organizaciones de TI mejoren la agilidad del negocio. La mayor parte de las empresas de Global Fortune 500 confía en CA Technologies para administrar sus ecosistemas de TI en evolución. Si desea obtener más información, visite CA Technologies en ca.com/ar. Copyright 2012 CA. Todos los derechos reservados. Microsoft y Microsoft Windows Azure son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos o en otros países. Linux es la marca registrada de Linus Torvalds en los EE. UU. y en otros países. Todas las marcas registradas y nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación en las condiciones de entrega, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CS2579_0712