GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO"

Transcripción

1 GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA DEPARTAMENTO DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C

2 Contenido 1. OBJETIVO Y ALCANCE Objetivo El control y aseguramiento de Cloud Computing en las PYMES revisara:6 1.2 Alcance... 6 La revisión se enfoca en: INTRODUCCIÓN Propósito Marco de Control Gobierno, Riesgo y Control de TI Responsabilidades de los Profesionales de Control y Aseguramiento de TI CONCEPTOS GENERALES Fundamentos Impactos de cloud computing Riesgos Y Preocupaciones De Seguridad Con Cloud Computing COSO COBIT CARACTERIZACIÓN DE EMPRESAS ESTABLECER REQUERIMIENTOS Escenario Actores Actor Proveedor Actor Cliente Interacción entre Actores en el Control y Aseguramiento de Cloud Computing Responsabilidades de los Actores Encuesta Resultados Requerimientos COMO USAR ESTE DOCUMENTO Pasos del Programa de trabajo Objetivo de Control de COBIT Componentes de COSO Referencias Cruzadas Comentarios Habilidades Mínimas en Control y Aseguramiento

3 6.7 Análisis Control de Madurez COBIT Marco De Control y Aseguramiento GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO GOBIERNO EN CLOUD COMPUTING OPERACIÓN EN CLOUD COMPUTING EVALUACIÓN DE MADUREZ Evaluación De Madurez Vs. Objetivo De Madurez REFERENCIAS Y BIBLIOGRAFÍA Referencias ANEXOS Anexo 1. Encuestas Anexo 2. Diagramas Requerimientos

4 LISTA DE TABLAS Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM Tabla 2 - División de responsabilidades SaaS [Enisa, 2008] Tabla 3 -División de responsabilidades PaaS [Enisa, 2008] Tabla 4 - División de responsabilidades IaaS [Enisa, 2008] Tabla 13 Requerimientos Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007] Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]

5 LISTA DE ILUSTRACIONES Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] Ilustración 4 - Que es PaaS? [Keene, 2009] Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] Ilustración 9 - Diagrama Requerimientos Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento Ilustración 11 - Gobierno de Cloud Computing Ilustración 12 - Operación de Cloud Computing Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez

6 1. OBJETIVO Y ALCANCE 1.1 Objetivo El control y aseguramiento de Cloud Computing en las PYMES revisara: Proporcionar a los interesados una evaluación eficiente de los controles internos de Cloud Computing por parte del proveedor de servicios y la seguridad para sus empresas. Identificar las deficiencias de control interno en la empresa Pyme del cliente y su relación con la del proveedor de servicios. Proporcionar a los interesados una evaluación de calidad, con la capacidad de brindar confianza en las certificaciones con las que el proveedor de servicios cuenta en materia de controles internos. (ITIL, COBIT, Norma 27001,etc.) La guía metodológica de control y aseguramiento de Cloud Computing no está diseñada para reemplazar o enfocar el control que se centra en el aseguramiento de una aplicación en específico y excluye la garantía de funcionalidad de una aplicación e idoneidad. 1.2 Alcance La revisión se enfoca en: El impacto del gobierno en Cloud Computing El cumplimiento contractual entre el proveedor del servicios y el cliente Control de problemas específicos en Cloud Computing. Dado que los temas de la revisión se basan en gran medida en la eficacia de los controles generales de TI, es recomendable que estos estudios de control y aseguramiento en las siguientes áreas, sean realizados antes de la ejecución de la revisión de Cloud Computing, para ser empleadas de forma correcta en estas evaluaciones: Gestión de Identidad (Si el sistema de gestión organizacional está integrado con el sistema de Cloud Computing) Gestión de incidentes de seguridad (Para interactuar y gestionar con los incidentes en Cloud Computing) Seguridad de red perimetral (como un punto de acceso a Internet) Desarrollo de Sistemas (en el cual la nube es parte de la infraestructura de las aplicaciones) Gestión de Proyectos Gestión de Riesgos de TI Gestión de datos (para transmisión y almacenamiento de datos en los sistemas de Cloud Computing) Gestión de vulnerabilidades 6

7 2. INTRODUCCIÓN 2.1 Propósito La guía metodológica de control y aseguramiento en Cloud Computing para pymes, es una herramienta para ser usada como una hoja de ruta para la realización de un proceso de aseguramiento especifico. Esta guía está destinada para ser utilizada por profesionales de tecnología de información, control y aseguramiento de TI que cuenten con los conocimientos necesarios de la materia objeto de examen. 2.2 Marco de Control Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT, más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud Computing en pequeñas y medianas empresas también conocidas como Pymes [Hidalgo/Caracterización de las empresa Cloud Computing, 2011]. Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco de control y las necesidades de la empresa en la que se encuentre. 2.3 Gobierno, Riesgo y Control de TI Gobierno, riesgo y control de TI son 3 aspectos críticos en el desarrollo de cualquier proceso de gestión del aseguramiento. El gobierno del proceso bajo revisión, será evaluado como parte de las políticas y gestión de controles de supervisión. El riesgo juega un rol importante en la evaluación de lo que se controla y como se gestionan los enfoques y el riesgo, por lo cual ambos asuntos son evaluados como pasos en la guía de control y aseguramiento. Los controles son el punto principal de evaluación en el proceso. La guía de control y aseguramiento identifica los objetivos de control (Procesos de Cobit) y las medidas para determinar el diseño de control y la eficacia. 2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI Se espera que los profesionales de control y aseguramiento de la pyme tengan la posibilidad de modificar este documento para el entorno en el cual se encuentran desarrollando y asegurando diferentes tipos de procesos. Este documento será utilizado como herramienta de examen y 7

8 punto de partida en pymes colombianas que estén haciendo uso de Cloud Computing. Además, de acuerdo con ese punto de formalidad esta guía no debe ser entendida como una lista de chequeo o como cuestionario. Se asume que los profesionales de control y aseguramiento tienen la experiencia necesaria para realizar este trabajo, el cual se recomienda este supervisado por un profesional con la experiencia necesaria para darle seguimiento al trabajo realizado en esta guía. 8

9 3. CONCEPTOS GENERALES 3.1 Fundamentos A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actualidad Qué es Cloud Computing? Uno de los temas más confusos que rodean a Cloud Computing Computación en la nube, y sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009], quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo. La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en los últimos años como las novedades más influyentes de las empresas: SaaS o Software como un Servicio: Un modelo de distribución de software a través de la red. Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesamiento y almacenamiento como un servicio medible. Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada. Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través 9

10 de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones Características Esenciales En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias de computación, estas son: Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que estar interactuando con su proveedor de servicios. La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las plataformas conectándose a internet Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independientemente de la disposición física de estas. Algunos de los recursos computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc. Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usualmente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite. Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente. Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplicaciones, toda la información es almacenada de forma redundante en backups que se utilizarían en algún caso de fallo. 10

11 3.1.3 Modelos de Servicio en la Nube Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente se conoce también como el Modelo SPI, donde cada sigla de la palabra hace referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio). A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara [Gutiérrez J, 2010]: Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] Software as a Service (SaaS) Es un modelo de distribución de software en el que la empresa proveedora aporta el servicio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos programas deben tener las condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcionamiento de esta capa: 11

12 Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de software a través de la red. Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J, 2010]: Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja. Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación, cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el mantenimiento del software. Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instancia con la cual trabajar, así como reducción de costos y espacio para disponer de almacenamiento suficiente para todas las instancias, como sucedía en los casos anteriores. Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la aplicación que se utiliza según las necesidades, dando atención al número de clientes que estén usando el software, de esta forma el sistema se hace escalable a un número indeterminado de clientes evitando tener que rediseñarlo. 12

13 Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] Platform as a Service (PaaS). El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo. Paas incluye todas las facilidades al programador para diseñar, analizar, desarrollar, documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el servicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos. [Gutiérrez A, 2009] Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración Ilustración 4 - Que es PaaS? [Keene, 2009] 13

14 Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene, 2009]: Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo. Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar. Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando la escalabilidad del sistema. El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa. El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual proporciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo. El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcionadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el sistema. Tal cual como en los demás modelos como un Servicio, las ventajas se basan en no tener que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad. Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo por parte de los clientes de no tener acceso a su propia información o de que personas ajenas tengan acceso a esta de alguna u otra forma. Infrastructure as a Service (IaaS). El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores que estén a su disposición, etc. Dentro de las principales características del modelo IaaS, encontramos: Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cuales serán las condiciones del contrato para ambos. Pago según el uso de capacidades computacionales ofrecidas por el proveedor. El ambiente proporcionado por el proveedor será en forma de maquinas virtuales. El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones 14

15 El proveedor se encargará de ofrecer todo el software requerido para mantener las necesidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas operativos, etc. El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet sin problemas, con backups de seguridad que garanticen la integridad de los datos. Data Storage as a Service (DaaS). El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión con IaaS, [SNIA, 2009] Communications as a Service (CaaS). La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento necesario de redes y la gestión de las comunicaciones, como el balanceo de carga. Software Kernel. Esta capa gestiona la parte física del sistema. Controla los servidores a través de los sistemas operativos instalados, el software que permite la virtualización de las máquinas, la gestión de los clusters y del grid, etc.[wolf, 2009] Hardware as a Service (HaaS). HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros con maquinas que ofrecen la computación, almacenamiento, servidores, etc.[wolf, 2009] Modelos de Despliegue de Cloud Computing Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de despliegue de Cloud Computing [Mell & Grance, 2009]: Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para los clientes por medio del proveedor a través de internet. El ser pública no implica totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones para hacer uso de los servicios suministrados, además proporciona un medio flexible y rentable para el desarrollo de soluciones para los clientes. Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La diferencia entre ambas se encuentra es que en la privada los datos y procesamientos están administrados dentro de la organización sin las restricciones del ancho de banda, seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la seguridad y la recuperación. 15

16 Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organizaciones que comparten los mismos intereses, como una misión común o necesidades de seguridad similares. Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la privada. Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] Modelo de Referencia de Cloud Computing Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la relación y las dependencias entre los modelos de la nube. Aunque en la sección (Modelos de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observo es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se relacionan con la seguridad de la información. La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes formas en las cuales el cliente interactúa con el servicio. 16

17 Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a la plataforma. Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y dinámico por parte de los clientes. A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]: SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del proveedor. Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja integración ya que está desarrollada para que los desarrolladores elaboren sus propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, compensando así entre capacidades de plataforma con funciones de seguridad. Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias aplicaciones, sistemas operativos, etc. 17

18 3.1.6 Ventajas de Cloud Computing Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]: El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento, pues estos se encuentran en internet. Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga. Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales, con un gasto lógico de software, hardware o personal. Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno según la actividad que tenga en cada momento, evitando la escasez de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento. El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de información por fallos del sistema. La premisa de Cloud Computing es que por la subcontratación de partes de la información gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de manera más inteligente, más rápida y más barata Cómo Cloud logra aportar estas ventajas? Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características: Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las maquinas necesitan realizar para realizar dicha actividad. Rápida movilización de los recursos: los recursos computacionales (servidores, redes, software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es totalmente medible. Capacidad de escalado elástico atiende y gestiona la demanda fluctuante que se genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la 18

19 cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones o espacios de almacenamiento. Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar virtualmente los recursos computacionales por los cuales está pagando el servicio en el momento que este lo requiera. Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes y las formas debida de uso del servicio al cual esta accediendo. Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus necesidades. 3.2 Impactos de cloud computing Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está revolucionando el mundo de los servicios por la transformación de la informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de información. La continua influencia e innovación de Internet ha permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el cliente. Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un modelo bajo demanda. Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para 19

20 ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio. Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio. 3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuentra protegida es de vital importancia tener previstas acciones contundentes para la gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los administradores de la de seguridad de la información puede que necesiten ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son: Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y sostenibilidad deben ser factores para considerar en el momento de la elección. La sostenibilidad es de una importancia particular para asegurar que el servicio estará disponible y la información puede ser vigilada. El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibilidad, afectando gravemente las operaciones del negocio. La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se encuentra realmente la información. Cuando la recuperación de la información se requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se encuentra almacenada. 20

21 El acceso de terceros a información sensible crea un riesgo que compromete la información confidencial. En Cloud Computing, esto puede provocar una amenaza significante para asegurar la protección de la propiedad intelectual y secretos comerciales. La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la nube es responsable y responsable de las ramificaciones derivadas de posibles problemas. Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing debe comprender el rol que juega en términos de backups, respuesta y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el contrato Estrategias para el manejo de riesgos en Cloud Computing Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemente flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y los controles adicionales de información sensible o de alto valor para la organización. A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desastres, deberá estar informado dentro del contrato. 21

22 La protección de la información evoluciona como resultado de un fuerte e integro SLA que es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento ayudara a la empresa en el manejo de su información una vez que sale a la organización y es transportada, almacenada o procesada en Cloud Computing Gobernabilidad y Cuestiones de Cambio con Cloud Computing La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología de Cloud y sus proveedores. Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas posibles de cambio. Además, los procesos que detallan la forma en que se almacena la información, archivado y copia de seguridad tendrán que ser examinados de nuevo. Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuenta los usos de servicios en Cloud Computing. 3.4 COSO Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commission, divulgo al mundo un informe de gran importancia para la historia del control interno. El Control Interno Marco Integrado, conocido también como COSO ofrece una base clara y fundamental que establece los sistemas de control interno y determinar su eficacia. Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al 22

23 Sistema de Control Interno que fueron determinadas en la Ley de Administración Financiera y Sistemas de Control. En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que evalúe la calidad de los controles. COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de control interno son: 1. Asegurar la eficiencia y eficacia de las operaciones 2. Realizar informes financieros fiables 3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno. Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales dentro de un sistema de control interno eficaz. El Entorno de Control Evaluación del Riesgo Actividades de Control Información Y Comunicación Supervisión Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado, examinar los componentes del sistema de control en la organización e informar los resultados a la dirección o la gerencia. 23

24 Definición de objetivos. Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado. Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el resultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones determina si se puede asegurar a la organización la no existencia de ineficiencias significativas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmente brinda información útil que se comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación del control. Información financiera. El objetivo de información financiera, está dirigido a la adecuación y eficacia de controles de gestión que rigen la confiabilidad de la información financiera que se utiliza en la comunicación con externos. Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e internos. El cumplimiento trata principalmente con la correlación entre las leyes, procedimientos de la organización y, la práctica real COSO II Gestión de Riesgos Corporativos (ERM) El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso de ser adoptada por las grandes empresas. En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la 24

25 ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante el intento por aumentar el valor de sus clientes o interesados. La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad de aumentar valor. Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos por la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]: Alinear el riesgo aceptado y la estrategia Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, determinando los objetivos requeridos y empleando mecanismos para administrar algunos riesgos asociados. Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar, reducir, compartir o aceptar. Reducir las sorpresas y pérdidas operativas Las organizaciones aumentan la capacidad de identificar los acontecimientos potenciales con el propósito de establecer respuestas acordes a su nivel de complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asociados. Identificar y gestionar la diversidad de riesgos para toda la entidad Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser eficaces e integradas a los impactos que se puedan dar en estos riesgos. Aprovechar las oportunidades Considerando eventos potenciales, la gerencia identifica y aprovecha las oportunidades proactivamente, para poder sacarle valor a sus actividades. Mejorar la dotación de capital Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficazmente las necesidades de dinero lo cual le facilita la administración del mismo. 25

26 Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino. De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una organización: Normalmente se comporta como un proceso continuo que fluye por toda la organización. Todo el personal de la organización está en la capacidad de aplicarlo. Se aplica en el establecimiento de la estrategia de control y gestión de riesgos. La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a nivel conjunto. Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los riesgos que se encuentran aceptados. Ofrece seguridad al consejo de administración y a la dirección de la organización. Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos [Nasaudit, 2009]. Comparación del Control Interno de COSO y del Marco Integrado ERM Marco de Control Interno Marco integrado ERM Control del Entorno: El ambiente de control establece el tono de una organización, influenciando de esta forma la conciencia de control de su gente. Esta es la fundación para todos los otros componentes de control Entorno interno: El entorno interno abarca el tono de la organización, y establece las bases de cómo el riesgo es observado y direccionado a las personas de la entidad, incluyendo la filosofía en gestión de riesgos interno, proporcionando disciplina y y apetito de riesgo, integridad y valores estructura. Los factores del ambiente de éticos, y el entorno en el cual todos operan. control incluyen la integridad, valores éticos, estilo de gestión de funcionamiento, delegación de los sistemas de autoridad, así como los procesos de gestión y desarrollo de personas dentro de la organización. 26

27 Evaluación de Riesgos: cada entidad muestra una variedad y riesgos de fuentes que deben ser evaluados. Una precondición para la evaluación de riesgos es el establecimiento de objetivos, y por tanto la evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la consecución de los objetivos planeados. La evaluación de riesgos es un prerrequisito para la determinación de cómo se deben gestionar los riesgos. Actividades de Control: Las actividades de control son las políticas y procedimientos a ayudan a asegurar que la gestión de las directivas se llevan a cabo. Ayudan a garantizar que se toman las medidas necesarias para hacer frente a los riesgos para la consecución de los objetivos de la organización. Las actividades de control acurren a lo largo de la organización, en todos los niveles y todas las funciones. Se incluyen una serie de diversas actividades, aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones del desempeño operativo, seguridad de activos y segregación de funciones. Marco del objetivo: Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que lo afecten. La gestión de riesgos empresariales asegura que la administración ha puesto en ejecución un proceso para establecer objetivos y que los objetivos seleccionados apoyan, se alinean con la misión de la entidad y que sean consistentes con el apetito de riesgo. Identificación de Eventos: Los eventos externos e internos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas de vuelta a la estrategia de gestión o los procesos en los que se fijan los objetivos. Evaluación de Riesgos: Los riesgos son analizados, considerando la probabilidad y el impacto, como bases para la determinación de cómo se pueden gestionar. Las áreas de riesgo se evaluaran de forma inherente y formal. Actividades de Control: Políticas y procedimientos son establecidos e implementados para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de forma efectiva. 27

28 Información y Comunicación: Los sistemas de información juegan un papel clave en sistemas de control interno que producen los informes, incluyendo operaciones, Información financiera y de cumplimiento que hace esto posible para ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurar que la información fluye hacia abajo, a través y hacia arriba en la organización. La comunicación efectiva debe estar también asegurada con las partes externas, cada cliente, distribuidores, reguladores y accionistas. Monitoreo: Los sistemas de control interno requieren ser monitoreados, Un proceso que evalúa la calidad del desempeño del sistema sobre el tiempo, lo cual se logra con actividades de monitoreo o de evaluaciones separadas. Las deficiencias del control interno detectadas a través de estas actividades de monitoreo deberían ser reportadas en contra de la corriente y las acciones correctivas para asegurar la mejora continua del sistema 3.5 COBIT Información y Comunicación: La información relevante es identificada, capturada y comunicada en una forma y marco de tiempo que la gente dispone para llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio por toda fluyendo de abajo hacia arriba por toda la entidad. Monitoreo: La totalidad de la gestión de riesgos es monitoreada y se realizan modificaciones en caso de ser necesarias. El monitoreo es realizado a través de las actividades de gestión en ejecución, las evaluaciones independientes o ambas cosas. Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas Buenas prácticas de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan mecanismos medibles que permiten juzgar el buen 28

29 resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del negocio que deben ser alcanzados: Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad. El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la gerencia. La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia requerida. El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como una guía clara y entendible. Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado con los procesos de negocio tal como ofrecer controles apropiados. COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios: 1 Planificación y Organización Adquisición e Implementación Entrega de servicios Soporte y Monitorización. 1 [NetworkSec, 2008] 29

30 Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una actividad de TI. Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los 30

Emprendiendo negocios juntos

Emprendiendo negocios juntos Emprendiendo negocios juntos Definiendo Cloud Computing Un modelo que permite de manera muy sencilla el acceso a una red de recursos informáticos, los cuales con poco esfuerzo son configurables por el

Más detalles

CA Automation Suite for Hybrid Clouds

CA Automation Suite for Hybrid Clouds HOJA DEL PRODUCTO: For Hybrid Clouds for Hybrid Clouds for Hybrid Clouds está diseñada para aumentar la agilidad y la eficacia, de forma que pueda hacer lo siguiente: Sobrellevar las ráfagas de demanda

Más detalles

Cloud Computing. Rodrigo Moreno Rosales DN-11

Cloud Computing. Rodrigo Moreno Rosales DN-11 Cloud Computing Rodrigo Moreno Rosales DN-11 Cloud Computing La computación en la nube,conocido también como servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, es un paradigma

Más detalles

DESARROLLO DE UNA NUBE DE ALMACENAMIENTO INTELIGENTE CON IBM SMARTCLOUD STORAGE ACCESS

DESARROLLO DE UNA NUBE DE ALMACENAMIENTO INTELIGENTE CON IBM SMARTCLOUD STORAGE ACCESS INFORME DE SOLUCIÓN DESARROLLO DE UNA NUBE DE ALMACENAMIENTO INTELIGENTE CON IBM SMARTCLOUD STORAGE ACCESS ENERO DE 2013 Muchas organizaciones descubren que sus grandes implementaciones de almacenamiento

Más detalles

Cloud Computing. Octubre 2011 / White paper

Cloud Computing. Octubre 2011 / White paper Cloud Computing Octubre 2011 / White paper Cloud Computing El modelo de Computación en la Nube está reemplazando el modelo tradicional de TI para numerosas organizaciones que no han podido seguir el ritmo

Más detalles

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Examen tipo EXIN Cloud Computing Foundation Edición Abril 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system

Más detalles

Elaborado por Víctor Cuchillac (papá)

Elaborado por Víctor Cuchillac (papá) PRE - Especialidad Construyendo la Infraestructura Tecnológica del futuro: Cloud Computing, Seguridad y Virtualización Módulo Cloud Computing Private Cloud Tema Servicios en la nube Víctor Cuchillac (papá)

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Fundamentos de EXIN Cloud Computing

Fundamentos de EXIN Cloud Computing Preguntas de muestra Fundamentos de EXIN Cloud Computing Edición de octubre de 2012 Copyright 2012 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in

Más detalles

PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR:

PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR: CLOUD COMPUTING PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR: 1. Introducción 1. Qué es el Cloud Computing? La computación en nube es un sistema informático basado en Internet y centros de

Más detalles

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer En los últimos años, el interés por la Computación en la Nube (Cloud Computing), tanto para uso personal como para negocios,

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

CAS- CHILE S.A. DE I.

CAS- CHILE S.A. DE I. CAS-CHILE 25 Años ISACA 2011 CAS- CHILE S.A. DE I. Líder en Software de Gestión Pública 1. QUÉ ES CLOUD COMPUTING? 2. QUE BENEFICIOS APORTA? 3. QUE RIESGOS TIENE? 4. QUÉ METODOLOGÍAS Y ESTÁNDARES DE CONTROL

Más detalles

Cloud Computing. Lic. Guillermo Montenegro VicePresidente CPCIPC gmontenegro@universotec.net Octubre 2011

Cloud Computing. Lic. Guillermo Montenegro VicePresidente CPCIPC gmontenegro@universotec.net Octubre 2011 Cloud Computing Lic. Guillermo Montenegro VicePresidente CPCIPC Octubre 2011 Cloud Computing, Qué es? El Cloud computing es un paradigma que permite ofrecer servicios de computación a través de Internet.

Más detalles

REPORTE OFICIAL OCTUBRE DE 2014. Monitoreo unificado. Una perspectiva de negocios

REPORTE OFICIAL OCTUBRE DE 2014. Monitoreo unificado. Una perspectiva de negocios REPORTE OFICIAL OCTUBRE DE 2014 Monitoreo unificado Una perspectiva de negocios 2 White Paper: monitoreo unificado Tabla de contenidos Introducción 3 Sección 1: Entornos informáticos emergentes actuales

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Boletín de Asesoría Gerencial* Business Process Management (BPM)

Boletín de Asesoría Gerencial* Business Process Management (BPM) Espiñeira, Sheldon y Asociados * No. 11-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3 CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE Versión: 1.3 Marzo 2014 INTRODUCCIÓN En la actualidad varias entidades del sector privado y público están evaluando el usar el Cómputo

Más detalles

Almacenamiento en la nube

Almacenamiento en la nube white paper Almacenamiento en la nube Ventajas y retos. Almacenamiento en la nube: Ventajas y retos 1 En el nuevo ecosistema TI en que se mueven hoy las organizaciones cualquier planificación del almacenamiento

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

Tecnologías de la Información en la Gestión Empresarial

Tecnologías de la Información en la Gestión Empresarial Tecnologías de la Información en la Gestión Empresarial 1 Sesión No. 9 Nombre: Cloud Computing Objetivo: Al término de la sesión, el alumno explicará las principales características del Cloud Computing.

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Entregando soluciones innovadoras en infraestructura que permitan un éxito a largo plazo

Entregando soluciones innovadoras en infraestructura que permitan un éxito a largo plazo Liberty Infrastructure Outsourcing Services permite a las empresas crear una infraestructura de tecnologías de información más rentable y responsiva Una que no sólo promueve servicio y confiabilidad, sino

Más detalles

GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA

<CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Plataforma en la nube CA AppLogic para aplicaciones empresariales

Plataforma en la nube CA AppLogic para aplicaciones empresariales HOJA DEL PRODUCTO: CA AppLogic Plataforma en la nube CA AppLogic para aplicaciones empresariales agility made possible CA AppLogic es una plataforma clave de la informática en la nube que ayuda a permitir

Más detalles

ING. YURI RODRIGUEZ ALVA

ING. YURI RODRIGUEZ ALVA Historia y evolución de las Aplicaciones. Acerca de Cloud Computing o Computación para la Nube. Tipos de Aplicaciones para la Nube. Ventajas y desventajas de Cloud Computing Uso y Aplicaciones de Cloud

Más detalles

Plataforma de nube CA AppLogic para aplicaciones de negocio

Plataforma de nube CA AppLogic para aplicaciones de negocio HOJA DE PRODUCTO: CA AppLogic Plataforma de nube CA AppLogic para aplicaciones de negocio agility made possible El software CA AppLogic es una plataforma de computación en la nube lista para utilizarse

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

UNIVERSIDAD PONTIFICIA DE SALAMANCA. Faculta de Informática

UNIVERSIDAD PONTIFICIA DE SALAMANCA. Faculta de Informática UNIVERSIDAD PONTIFICIA DE SALAMANCA Faculta de Informática Sistemas de Información y Auditoría de Sistemas de Información Modelos de servicio en Cloud Computing (SaaS, PaaS, IaaS) Alumno:!!! Alberto Balado

Más detalles

Aproveche al máximo su tecnología y minimice los costes. Servicios de Outsourcing Avanade

Aproveche al máximo su tecnología y minimice los costes. Servicios de Outsourcing Avanade Aproveche al máximo su tecnología y minimice los costes Servicios de Outsourcing Avanade Haga más con menos Reducir costes al tiempo que se aumenta la productividad. Ampliar el alcance de la tecnología

Más detalles

Ofrezca la nueva tendencia de innovación empresarial con un entorno de red abierta

Ofrezca la nueva tendencia de innovación empresarial con un entorno de red abierta Descripción general de la solución Ofrezca la nueva tendencia de innovación empresarial con un entorno de red abierta Lo que aprenderá A medida que tecnologías como la nube, la movilidad, los medios sociales

Más detalles

Cloud Computing. Ing. José Ángel Peña Ibarra, CGEIT, CRISC. Monterrey Chapter. Expositor: www.isacamty.org.mx www.isaca.org

Cloud Computing. Ing. José Ángel Peña Ibarra, CGEIT, CRISC. Monterrey Chapter. Expositor: www.isacamty.org.mx www.isaca.org CONFERENCIA ANUAL ISACA MONTERREY 2011 Cloud Computing Expositor: Ing. José Ángel Peña Ibarra, CGEIT, CRISC Monterrey Chapter www.isacamty.org.mx www.isaca.org 2011 12 02 Preguntas sobre Cloud Computing

Más detalles

Minimice los riesgos para la migración de red del centro de datos

Minimice los riesgos para la migración de red del centro de datos Minimice los riesgos para la migración de red del centro de datos Optimice su arquitectura e inversión de TI y, al mismo tiempo, reduzca la complejidad y los riesgos Los Servicios de migración de centros

Más detalles

Elección de un Sistema de Remuneraciones y Recursos Humanos. Según su modo de operar.

Elección de un Sistema de Remuneraciones y Recursos Humanos. Según su modo de operar. Elección de un Sistema de Remuneraciones y Recursos Humanos. Según su modo de operar. Introducción En la elección de un sistema de remuneraciones para reemplazar a la modalidad actualmente en uso en la

Más detalles

Estrategia de Cómputo en la Nube. Servicios en la Nube

Estrategia de Cómputo en la Nube. Servicios en la Nube Estrategia de Cómputo en la Nube Servicios en la Nube Computación para la Nube? Tecnología informática por la que se proporcionan software y servicios a través de la Internet. El nombre Cloud Computing

Más detalles

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización En esta nota Aprovechar la tecnología de la nube puede contribuir a disminuir los

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Cloud Computing Tendencias. Modelos. Posibilidades. Germán Cortés Lasso gcorteslasso@gmail.com

Cloud Computing Tendencias. Modelos. Posibilidades. Germán Cortés Lasso gcorteslasso@gmail.com Cloud Computing Tendencias. Modelos. Posibilidades Germán Cortés Lasso gcorteslasso@gmail.com Agenda Introducción Qué es Cloud Computing? Características Modelos Tendencias Posibilidades Introducción Todos

Más detalles

Infraestructura Tecnológica

Infraestructura Tecnológica Infraestructura Tecnológica 1 Sesión No. 12 Nombre: Niveles de confiabilidad Contextualización La confianza es un factor determinante y muy importante, con ésta se pueden dar o rechazar peticiones de negocio,

Más detalles

IT COMO SERVICIO: COMO HACERLO REALIDAD. Carlos Andres Neva Vargas Commercial Systems Engineer, VMware

IT COMO SERVICIO: COMO HACERLO REALIDAD. Carlos Andres Neva Vargas Commercial Systems Engineer, VMware IT COMO SERVICIO: COMO HACERLO REALIDAD Carlos Andres Neva Vargas Commercial Systems Engineer, VMware TRES PUNTOS DÉBILES CLAVE PARA LOS CIO Aspectos financieros del proveedor de nube que afectan el modelo

Más detalles

A qué huelen las nubes?: seguridad y privacidad del cloud computing

A qué huelen las nubes?: seguridad y privacidad del cloud computing A qué huelen las nubes?: seguridad y privacidad del cloud computing Fundación DINTEL Congreso Cloud 2012: seguridad y eficiencia en la nube Madrid, 15 de febrero de 2012 Pablo Pérez San-José Gerente del

Más detalles

CENTRO DE RESGUARDO ARQUITECTURA AVANZADA PROF.: JUAN JOSÉ MUÑOZ BUSSI AUTOR: MARIANA FERRETTO

CENTRO DE RESGUARDO ARQUITECTURA AVANZADA PROF.: JUAN JOSÉ MUÑOZ BUSSI AUTOR: MARIANA FERRETTO CENTRO DE RESGUARDO ARQUITECTURA AVANZADA PROF.: JUAN JOSÉ MUÑOZ BUSSI AUTOR: MARIANA FERRETTO CENTRO DE RESGUARDO Centro de Cómputos de Resguardo Sitio para reubicarse luego de un desastre Sitio manejado

Más detalles

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos ANEXO VI. Mejores prácticas para el éxito de un sistema de información Uno de los problemas de información dentro de las empresas es contar con datos importantes del negocio y que éstos estén aislados

Más detalles

A qué huelen las nubes?: seguridad y privacidad del cloud computing

A qué huelen las nubes?: seguridad y privacidad del cloud computing A qué huelen las nubes?: seguridad y privacidad del cloud computing Fundación Dédalo. VI Semana de Seguridad Informática: Seguridad en la nube Tudela, 27 de marzo de 2012 Pablo Pérez San-José Gerente del

Más detalles

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios Cloud Security Alliance Recomendaciones de Seguridad Contenido Qué es el Cloud Computing?... 2 Modelos de Servicios... 2 Modelos de Implementación... 3 Recomendaciones a los Usuarios para la adopción del

Más detalles

Boletín de Asesoría Gerencial* Arquitectura orientada a servicios (SOA)

Boletín de Asesoría Gerencial* Arquitectura orientada a servicios (SOA) Espiñeira, Sheldon y Asociados * No. 12-2009 *connectedthinking Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4 Introducción

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Inteligencia de negocios desde la perspectiva cubana: factores críticos de éxito.

Inteligencia de negocios desde la perspectiva cubana: factores críticos de éxito. Tomado de: La inteligencia de negocios desde la perspectiva cubana: retos y tendencias. Informe publicado en TodoBI. Autora: MSc. Ivette Marrero Antunez Consultora de inteligencia empresarial. E-mail:

Más detalles

MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE

MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE Este material y todos y cada uno de los contenidos en él incorporados constituyen una adaptación de las conferencias de

Más detalles

x.m z e m o lg e o J

x.m z e m o lg e o J Aspectos Legales de la Computación en la Nube Mtro. Joel A. Gómez Treviño Abogado especialista en Derecho Informático Gerente General Jurídico de NCR de México Qué es la Computación en Nube? Computo Tradicional

Más detalles

PÚBLICA, PRIVADA O HÍBRIDA: CUÁL ES LA MEJOR NUBE PARA SUS APLICACIONES?

PÚBLICA, PRIVADA O HÍBRIDA: CUÁL ES LA MEJOR NUBE PARA SUS APLICACIONES? PÚBLICA, PRIVADA O HÍBRIDA: CUÁL ES LA MEJOR NUBE PARA SUS APLICACIONES? Las ofertas de nube pública han aumentado, y la nube privada se ha convertido en la opción más elegida. La cuestión ahora es cómo

Más detalles

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo GUÍA DE AYUDA Tecnologías de Información y Comunicación para un México más Competitivo Estimad@ usuari@, esta guía tiene como objetivo orientarle sobre cómo utilizar la Vitrina de Soluciones Tecnológicas.

Más detalles

BPM: Articulando Estrategia, Procesos y Tecnología

BPM: Articulando Estrategia, Procesos y Tecnología BPM: Articulando Estrategia, Procesos y Tecnología Resumen: La competitividad es el imaginario que dirige las acciones empresariales en la actualidad. Lograr condiciones que permitan competir con mayores

Más detalles

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking ITIL como apoyo a la Seguridad de la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking AGENDA 1. Antecedentes 2. Conceptos de ITIL 3. Etapas de ITIL 4. Soporte de ITIL a la seguridad

Más detalles

El futuro de los servicios Cloud Software como Servicio. Resultado encuesta a expertos

El futuro de los servicios Cloud Software como Servicio. Resultado encuesta a expertos El futuro de los servicios Cloud Software como Servicio Resultado encuesta a expertos Contenido 1. Presentación 5 2. Prestación de servicios en entorno Cloud 6 3. Resultados de la encuesta 8 3.1. Grado

Más detalles

ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING

ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING Porqué es importante la Computación en la nube? Gartner predice que para 2015, el 50% de las 1000 empresas Globales dependerán de servicios

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Implementación, aprovisionamiento y actualización de Windows Server con System Center

Implementación, aprovisionamiento y actualización de Windows Server con System Center Implementación automatizada y centralizada, aprovisionamiento y actualización de Windows Server La implementación y el mantenimiento de Windows Server en sistemas operativos de centros de datos y entornos

Más detalles

Consolidación de Centros de Datos Nuestro enfoque desde una perspectiva global

Consolidación de Centros de Datos Nuestro enfoque desde una perspectiva global Consolidación de Centros de Datos Nuestro enfoque desde una perspectiva global Rosendo Ortiz Director Technology Integration Noviembre, 2012 AGENDA En qué consiste una consolidación? Mejores prácticas

Más detalles

La calidad no está reñida con los costes

La calidad no está reñida con los costes QUIÉNES SOMOS Empresa fundada en 2012. Somos una Consultora de Procesos, Sistemas y Tecnologías de la Información que apuesta por las soluciones Open Source a medida, como alternativa en época de crisis.

Más detalles

TODO COMO UN SERVICIO

TODO COMO UN SERVICIO TODO COMO UN SERVICIO LA PROMESA DE LA NUBE GONZALO A. GOMEZ 1 2010 Copyright 2010 Hewlett Hewlett 2010 Packard Hewlett-Packard Co. Co. Development Company, L.P. AGENDA Qué es Cloud Computing? Características

Más detalles

Implantación de Cloud Computing en el Gobierno de Castilla-La Mancha

Implantación de Cloud Computing en el Gobierno de Castilla-La Mancha Implantación de Cloud Computing en el Gobierno de Castilla-La Mancha Necesidades satisfechas El proyecto acometido dota al Gobierno Regional de Castilla-La Mancha de una infraestructura tecnológica bajo

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Gobierno desde las Nubes. Salomón Rico, CISA, CISM, CGEIT srico@deloittemx.com

Gobierno desde las Nubes. Salomón Rico, CISA, CISM, CGEIT srico@deloittemx.com Gobierno desde las Nubes Salomón Rico, CISA, CISM, CGEIT srico@deloittemx.com Confidencialidad Segregación de Sostenibilidad datos Conformidad legal Green IT Resolución Derecho a auditar disputas Velocidad

Más detalles

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. ÍNDICE 1. INTRODUCCIÓN...3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI...5 3. NECESIDAD DE GOBIERNO DE TI...6 4. COBIT Y GOBIERNO

Más detalles

Catálogo de Servicios

Catálogo de Servicios Catálogo de Servicios Fecha: 14 de mayo de 2013 Índice 1 Presentación... 3 2 Servicios de Consultoría SQL Server... 4 2.1 Monitorización servidores SQL Server... 4 2.2 DBA Remoto... 5 2.3 Consolidación

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Documento de visión: CRM Cloud Colombia

Documento de visión: CRM Cloud Colombia Documento de visión: CRM Cloud Colombia Documento de visión de CRM Cloud Colombia Propósito La intención de este documento es cumplir con los objetivos específicos de la fase metodológica de Inicio del

Más detalles

XV Conferencia Colombiana de Usuarios Esri Bogotá, Agosto 26 30 de 2013

XV Conferencia Colombiana de Usuarios Esri Bogotá, Agosto 26 30 de 2013 Taller Técnico Líder en soluciones geográficas empresariales XV Conferencia Colombiana de Usuarios Esri Bogotá, Agosto 26 30 de 2013 Web GIS, Portal y patrones de despliegue Reinaldo Cartagena Web GIS?

Más detalles

GESTIÓN DE RIESGOS CORPORATIVOS ERM ( COSO 2 )

GESTIÓN DE RIESGOS CORPORATIVOS ERM ( COSO 2 ) GESTIÓN DE RIESGOS CORPORATIVOS MARCO INTEGRADO ERM ( COSO 2 ) Cayetano Mora 1 GESTIÓN DE RIESGOS CORPORATIVOS RELACIÓN ENTRE COSO y ERM Cayetano Mora 2 Derivación del Informe COSO COSO I: Control Interno

Más detalles

WHITE PAPER MIGRACIÓN DE UNA APLICACIÓN ON-PREMISE A WINDOWS AZURE. OSSESoluciones - Cartera de Soluciones en Tecnologías de Información

WHITE PAPER MIGRACIÓN DE UNA APLICACIÓN ON-PREMISE A WINDOWS AZURE. OSSESoluciones - Cartera de Soluciones en Tecnologías de Información WHITE PAPER MIGRACIÓN DE UNA APLICACIÓN ON-PREMISE A WINDOWS AZURE OSSESoluciones - Cartera de Soluciones en Tecnologías de Información Sep2014 Contenido Resumen... 3 Acerca de Windows Azure... 4 Caso

Más detalles

CLOUD COMPUTING: XII CUMBRE IBEROAMERICANA

CLOUD COMPUTING: XII CUMBRE IBEROAMERICANA CLOUD COMPUTING: XII CUMBRE IBEROAMERICANA Implantado en: ENTIDAD PÚBLICA EMPRESARIAL RED.ES ANTECEDENTES/PROBLEMÁTICA Red.es es la entidad pública empresarial adscrita al Ministerio de Industria, Energía

Más detalles

Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI

Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI Duración 120 horas Objetivo general: La complejidad de los problemas que enfrenta TI es cada vez mayor. Con demasiada frecuencia,

Más detalles

Impulsar su negocio al Cloud Computing

Impulsar su negocio al Cloud Computing Impulsar su negocio al Cloud Computing Cómo determinar qué beneficios aporta el Cloud a su organización Claranet S. A. U. - Juan Gris, 10-18, planta 4, torres cerdà - 08014 Barcelona Tel: 902 884 633 -

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Beneficios económicos de la Estrategia de la nube de Cisco

Beneficios económicos de la Estrategia de la nube de Cisco Beneficios económicos de la Estrategia de la nube de Cisco Principales conclusiones Resumen ejecutivo La computación en la nube permite suministrar TI como un servicio cuando y donde se necesite, desde

Más detalles

ADMINISTRACIÓN DE PROYECTOS

ADMINISTRACIÓN DE PROYECTOS ADMINISTRACIÓN DE PROYECTOS QUÉ ES LA ADMINISTRACIÓN DE PROYECTOS? Es la planeación, organización, dirección y control de los recursos para lograr un objetivo a corto plazo. También se dice que la administración

Más detalles

RESUMEN DE LA SOLUCIÓN: CA ARCserve R16. Aprovechamiento de la nube para continuidad del negocio y recuperación frente a desastres

RESUMEN DE LA SOLUCIÓN: CA ARCserve R16. Aprovechamiento de la nube para continuidad del negocio y recuperación frente a desastres Aprovechamiento de la nube para continuidad del negocio y recuperación frente a desastres Hay muchas razones por las que las empresas encuentran un alto valor en los servicios en la nube, ya sea una nube

Más detalles

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS Luis Vinatea Recoba Socio de Miranda & Amado Abogados Profesor de la Pontificia Universidad Católica del Perú Definición Sistema que permite el acceso por

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

POLITICA DE SISTEMA DE CONTROL INTERNO

POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica Cloud Computing: Definición, generalidades, beneficios y controversias Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica Definición Cloud computing se define como una arquitectura mediante

Más detalles

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE RESUMEN Por años, los administradores de seguridad de la información y de giros comerciales

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

IBM Tivoli Asset Management for IT. IBM Tivoli Service Request Manager

IBM Tivoli Asset Management for IT. IBM Tivoli Service Request Manager for IT & IBM Tivoli Service Request Manager Optimice sus procesos IT, maximice sus activos y mejore el nivel de servicio. Para obtener altos niveles de servicio, reducir costes y alcanzar las metas del

Más detalles

LA NUBE SOBRE LA EMPRESA: ACCEDER A LA NUBE EN UN ENTORNO SEGURO?

LA NUBE SOBRE LA EMPRESA: ACCEDER A LA NUBE EN UN ENTORNO SEGURO? LA NUBE SOBRE LA EMPRESA: ACCEDER A LA NUBE EN UN ENTORNO SEGURO? Fdo.- Pedro Tortosa Hernández Director General Econocom Ermestel A día de hoy el Cloud es una tecnología consolidada y fiable para todos

Más detalles

DISFRUTE DE LA EFICACIA DE LA NUBE. DESCUBRA TODO LO QUE LA NUBE PUEDE HACER POR SU NEGOCIO.

DISFRUTE DE LA EFICACIA DE LA NUBE. DESCUBRA TODO LO QUE LA NUBE PUEDE HACER POR SU NEGOCIO. DISFRUTE DE LA EFICACIA DE LA NUBE. DESCUBRA TODO LO QUE LA NUBE PUEDE HACER POR SU NEGOCIO. Las aplicaciones en la nube suponen tanto un cambio de paradigma en la gestión de los centros de datos y la

Más detalles

Motivos para la Adopción del Cloud Computing Junio 2011

Motivos para la Adopción del Cloud Computing Junio 2011 Motivos para la Adopción del Cloud Computing Junio 2011 Título de la presentación 1 C o n f i a n z a S e g u r i d a d F l e x i b i l i d a d E f i c a c i a C o m p r o m i s o I n n o v a c i ó n Qué

Más detalles

Administración de infraestructura IT

Administración de infraestructura IT Administración de infraestructura IT MANAGED IT INFRASTRUCTURE Administración de infraestructura IT No importa cuál sea el tamaño su negocio, la infraestructura IT juega un papel crítico en el mantenimiento

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

Servicios de infraestructura. Aplicaciones web

Servicios de infraestructura. Aplicaciones web 10 Julio 2013 Servicios de infraestructura Compílela o tráigala y nosotros la ejecutamos Windows Azure proporciona infraestructura a petición que se escala y se adapta a las necesidades cambiantes de cada

Más detalles

Definición de PMO Características de una PMO

Definición de PMO Características de una PMO Definición de PMO Existen varios conceptos de una oficina de proyectos (PMO) una de ella la define como una unidad organizacional, física o virtual, especialmente diseñada para dirigir y controlar el desarrollo

Más detalles

Presentación de las soluciones: Protección de datos

Presentación de las soluciones: Protección de datos Archivado, copia de seguridad y recuperación para alcanzar la promesa de la virtualización Gestión unificada de la información para entornos empresariales Windows La explosión de la información no estructurada

Más detalles

La virtualización de servidores, consiste en almacenar en un único servidor o clúster de servidores varios equipos virtuales de forma simultánea.

La virtualización de servidores, consiste en almacenar en un único servidor o clúster de servidores varios equipos virtuales de forma simultánea. VIRTUALIZACIÓN o Introducción La virtualización de servidores, consiste en almacenar en un único servidor o clúster de servidores varios equipos virtuales de forma simultánea. El equipo virtual puede ejecutar

Más detalles