GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO"

Transcripción

1 GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA DEPARTAMENTO DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C

2 Contenido 1. OBJETIVO Y ALCANCE Objetivo El control y aseguramiento de Cloud Computing en las PYMES revisara:6 1.2 Alcance... 6 La revisión se enfoca en: INTRODUCCIÓN Propósito Marco de Control Gobierno, Riesgo y Control de TI Responsabilidades de los Profesionales de Control y Aseguramiento de TI CONCEPTOS GENERALES Fundamentos Impactos de cloud computing Riesgos Y Preocupaciones De Seguridad Con Cloud Computing COSO COBIT CARACTERIZACIÓN DE EMPRESAS ESTABLECER REQUERIMIENTOS Escenario Actores Actor Proveedor Actor Cliente Interacción entre Actores en el Control y Aseguramiento de Cloud Computing Responsabilidades de los Actores Encuesta Resultados Requerimientos COMO USAR ESTE DOCUMENTO Pasos del Programa de trabajo Objetivo de Control de COBIT Componentes de COSO Referencias Cruzadas Comentarios Habilidades Mínimas en Control y Aseguramiento

3 6.7 Análisis Control de Madurez COBIT Marco De Control y Aseguramiento GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO GOBIERNO EN CLOUD COMPUTING OPERACIÓN EN CLOUD COMPUTING EVALUACIÓN DE MADUREZ Evaluación De Madurez Vs. Objetivo De Madurez REFERENCIAS Y BIBLIOGRAFÍA Referencias ANEXOS Anexo 1. Encuestas Anexo 2. Diagramas Requerimientos

4 LISTA DE TABLAS Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM Tabla 2 - División de responsabilidades SaaS [Enisa, 2008] Tabla 3 -División de responsabilidades PaaS [Enisa, 2008] Tabla 4 - División de responsabilidades IaaS [Enisa, 2008] Tabla 13 Requerimientos Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007] Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]

5 LISTA DE ILUSTRACIONES Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] Ilustración 4 - Que es PaaS? [Keene, 2009] Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] Ilustración 9 - Diagrama Requerimientos Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento Ilustración 11 - Gobierno de Cloud Computing Ilustración 12 - Operación de Cloud Computing Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez

6 1. OBJETIVO Y ALCANCE 1.1 Objetivo El control y aseguramiento de Cloud Computing en las PYMES revisara: Proporcionar a los interesados una evaluación eficiente de los controles internos de Cloud Computing por parte del proveedor de servicios y la seguridad para sus empresas. Identificar las deficiencias de control interno en la empresa Pyme del cliente y su relación con la del proveedor de servicios. Proporcionar a los interesados una evaluación de calidad, con la capacidad de brindar confianza en las certificaciones con las que el proveedor de servicios cuenta en materia de controles internos. (ITIL, COBIT, Norma 27001,etc.) La guía metodológica de control y aseguramiento de Cloud Computing no está diseñada para reemplazar o enfocar el control que se centra en el aseguramiento de una aplicación en específico y excluye la garantía de funcionalidad de una aplicación e idoneidad. 1.2 Alcance La revisión se enfoca en: El impacto del gobierno en Cloud Computing El cumplimiento contractual entre el proveedor del servicios y el cliente Control de problemas específicos en Cloud Computing. Dado que los temas de la revisión se basan en gran medida en la eficacia de los controles generales de TI, es recomendable que estos estudios de control y aseguramiento en las siguientes áreas, sean realizados antes de la ejecución de la revisión de Cloud Computing, para ser empleadas de forma correcta en estas evaluaciones: Gestión de Identidad (Si el sistema de gestión organizacional está integrado con el sistema de Cloud Computing) Gestión de incidentes de seguridad (Para interactuar y gestionar con los incidentes en Cloud Computing) Seguridad de red perimetral (como un punto de acceso a Internet) Desarrollo de Sistemas (en el cual la nube es parte de la infraestructura de las aplicaciones) Gestión de Proyectos Gestión de Riesgos de TI Gestión de datos (para transmisión y almacenamiento de datos en los sistemas de Cloud Computing) Gestión de vulnerabilidades 6

7 2. INTRODUCCIÓN 2.1 Propósito La guía metodológica de control y aseguramiento en Cloud Computing para pymes, es una herramienta para ser usada como una hoja de ruta para la realización de un proceso de aseguramiento especifico. Esta guía está destinada para ser utilizada por profesionales de tecnología de información, control y aseguramiento de TI que cuenten con los conocimientos necesarios de la materia objeto de examen. 2.2 Marco de Control Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT, más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud Computing en pequeñas y medianas empresas también conocidas como Pymes [Hidalgo/Caracterización de las empresa Cloud Computing, 2011]. Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco de control y las necesidades de la empresa en la que se encuentre. 2.3 Gobierno, Riesgo y Control de TI Gobierno, riesgo y control de TI son 3 aspectos críticos en el desarrollo de cualquier proceso de gestión del aseguramiento. El gobierno del proceso bajo revisión, será evaluado como parte de las políticas y gestión de controles de supervisión. El riesgo juega un rol importante en la evaluación de lo que se controla y como se gestionan los enfoques y el riesgo, por lo cual ambos asuntos son evaluados como pasos en la guía de control y aseguramiento. Los controles son el punto principal de evaluación en el proceso. La guía de control y aseguramiento identifica los objetivos de control (Procesos de Cobit) y las medidas para determinar el diseño de control y la eficacia. 2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI Se espera que los profesionales de control y aseguramiento de la pyme tengan la posibilidad de modificar este documento para el entorno en el cual se encuentran desarrollando y asegurando diferentes tipos de procesos. Este documento será utilizado como herramienta de examen y 7

8 punto de partida en pymes colombianas que estén haciendo uso de Cloud Computing. Además, de acuerdo con ese punto de formalidad esta guía no debe ser entendida como una lista de chequeo o como cuestionario. Se asume que los profesionales de control y aseguramiento tienen la experiencia necesaria para realizar este trabajo, el cual se recomienda este supervisado por un profesional con la experiencia necesaria para darle seguimiento al trabajo realizado en esta guía. 8

9 3. CONCEPTOS GENERALES 3.1 Fundamentos A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actualidad Qué es Cloud Computing? Uno de los temas más confusos que rodean a Cloud Computing Computación en la nube, y sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009], quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo. La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en los últimos años como las novedades más influyentes de las empresas: SaaS o Software como un Servicio: Un modelo de distribución de software a través de la red. Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesamiento y almacenamiento como un servicio medible. Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada. Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través 9

10 de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones Características Esenciales En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias de computación, estas son: Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que estar interactuando con su proveedor de servicios. La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las plataformas conectándose a internet Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independientemente de la disposición física de estas. Algunos de los recursos computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc. Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usualmente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite. Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente. Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplicaciones, toda la información es almacenada de forma redundante en backups que se utilizarían en algún caso de fallo. 10

11 3.1.3 Modelos de Servicio en la Nube Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente se conoce también como el Modelo SPI, donde cada sigla de la palabra hace referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio). A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara [Gutiérrez J, 2010]: Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] Software as a Service (SaaS) Es un modelo de distribución de software en el que la empresa proveedora aporta el servicio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos programas deben tener las condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcionamiento de esta capa: 11

12 Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de software a través de la red. Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J, 2010]: Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja. Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación, cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el mantenimiento del software. Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instancia con la cual trabajar, así como reducción de costos y espacio para disponer de almacenamiento suficiente para todas las instancias, como sucedía en los casos anteriores. Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la aplicación que se utiliza según las necesidades, dando atención al número de clientes que estén usando el software, de esta forma el sistema se hace escalable a un número indeterminado de clientes evitando tener que rediseñarlo. 12

13 Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] Platform as a Service (PaaS). El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo. Paas incluye todas las facilidades al programador para diseñar, analizar, desarrollar, documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el servicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos. [Gutiérrez A, 2009] Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración Ilustración 4 - Que es PaaS? [Keene, 2009] 13

14 Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene, 2009]: Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo. Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar. Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando la escalabilidad del sistema. El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa. El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual proporciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo. El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcionadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el sistema. Tal cual como en los demás modelos como un Servicio, las ventajas se basan en no tener que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad. Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo por parte de los clientes de no tener acceso a su propia información o de que personas ajenas tengan acceso a esta de alguna u otra forma. Infrastructure as a Service (IaaS). El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores que estén a su disposición, etc. Dentro de las principales características del modelo IaaS, encontramos: Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cuales serán las condiciones del contrato para ambos. Pago según el uso de capacidades computacionales ofrecidas por el proveedor. El ambiente proporcionado por el proveedor será en forma de maquinas virtuales. El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones 14

15 El proveedor se encargará de ofrecer todo el software requerido para mantener las necesidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas operativos, etc. El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet sin problemas, con backups de seguridad que garanticen la integridad de los datos. Data Storage as a Service (DaaS). El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión con IaaS, [SNIA, 2009] Communications as a Service (CaaS). La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento necesario de redes y la gestión de las comunicaciones, como el balanceo de carga. Software Kernel. Esta capa gestiona la parte física del sistema. Controla los servidores a través de los sistemas operativos instalados, el software que permite la virtualización de las máquinas, la gestión de los clusters y del grid, etc.[wolf, 2009] Hardware as a Service (HaaS). HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros con maquinas que ofrecen la computación, almacenamiento, servidores, etc.[wolf, 2009] Modelos de Despliegue de Cloud Computing Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de despliegue de Cloud Computing [Mell & Grance, 2009]: Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para los clientes por medio del proveedor a través de internet. El ser pública no implica totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones para hacer uso de los servicios suministrados, además proporciona un medio flexible y rentable para el desarrollo de soluciones para los clientes. Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La diferencia entre ambas se encuentra es que en la privada los datos y procesamientos están administrados dentro de la organización sin las restricciones del ancho de banda, seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la seguridad y la recuperación. 15

16 Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organizaciones que comparten los mismos intereses, como una misión común o necesidades de seguridad similares. Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la privada. Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] Modelo de Referencia de Cloud Computing Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la relación y las dependencias entre los modelos de la nube. Aunque en la sección (Modelos de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observo es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se relacionan con la seguridad de la información. La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes formas en las cuales el cliente interactúa con el servicio. 16

17 Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a la plataforma. Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y dinámico por parte de los clientes. A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]: SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del proveedor. Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja integración ya que está desarrollada para que los desarrolladores elaboren sus propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, compensando así entre capacidades de plataforma con funciones de seguridad. Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias aplicaciones, sistemas operativos, etc. 17

18 3.1.6 Ventajas de Cloud Computing Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]: El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento, pues estos se encuentran en internet. Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga. Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales, con un gasto lógico de software, hardware o personal. Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno según la actividad que tenga en cada momento, evitando la escasez de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento. El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de información por fallos del sistema. La premisa de Cloud Computing es que por la subcontratación de partes de la información gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de manera más inteligente, más rápida y más barata Cómo Cloud logra aportar estas ventajas? Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características: Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las maquinas necesitan realizar para realizar dicha actividad. Rápida movilización de los recursos: los recursos computacionales (servidores, redes, software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es totalmente medible. Capacidad de escalado elástico atiende y gestiona la demanda fluctuante que se genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la 18

19 cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones o espacios de almacenamiento. Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar virtualmente los recursos computacionales por los cuales está pagando el servicio en el momento que este lo requiera. Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes y las formas debida de uso del servicio al cual esta accediendo. Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus necesidades. 3.2 Impactos de cloud computing Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está revolucionando el mundo de los servicios por la transformación de la informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de información. La continua influencia e innovación de Internet ha permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el cliente. Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un modelo bajo demanda. Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para 19

20 ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio. Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio. 3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuentra protegida es de vital importancia tener previstas acciones contundentes para la gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los administradores de la de seguridad de la información puede que necesiten ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son: Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y sostenibilidad deben ser factores para considerar en el momento de la elección. La sostenibilidad es de una importancia particular para asegurar que el servicio estará disponible y la información puede ser vigilada. El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibilidad, afectando gravemente las operaciones del negocio. La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se encuentra realmente la información. Cuando la recuperación de la información se requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se encuentra almacenada. 20

21 El acceso de terceros a información sensible crea un riesgo que compromete la información confidencial. En Cloud Computing, esto puede provocar una amenaza significante para asegurar la protección de la propiedad intelectual y secretos comerciales. La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la nube es responsable y responsable de las ramificaciones derivadas de posibles problemas. Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing debe comprender el rol que juega en términos de backups, respuesta y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el contrato Estrategias para el manejo de riesgos en Cloud Computing Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemente flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y los controles adicionales de información sensible o de alto valor para la organización. A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desastres, deberá estar informado dentro del contrato. 21

22 La protección de la información evoluciona como resultado de un fuerte e integro SLA que es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento ayudara a la empresa en el manejo de su información una vez que sale a la organización y es transportada, almacenada o procesada en Cloud Computing Gobernabilidad y Cuestiones de Cambio con Cloud Computing La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología de Cloud y sus proveedores. Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas posibles de cambio. Además, los procesos que detallan la forma en que se almacena la información, archivado y copia de seguridad tendrán que ser examinados de nuevo. Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuenta los usos de servicios en Cloud Computing. 3.4 COSO Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commission, divulgo al mundo un informe de gran importancia para la historia del control interno. El Control Interno Marco Integrado, conocido también como COSO ofrece una base clara y fundamental que establece los sistemas de control interno y determinar su eficacia. Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al 22

23 Sistema de Control Interno que fueron determinadas en la Ley de Administración Financiera y Sistemas de Control. En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que evalúe la calidad de los controles. COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de control interno son: 1. Asegurar la eficiencia y eficacia de las operaciones 2. Realizar informes financieros fiables 3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno. Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales dentro de un sistema de control interno eficaz. El Entorno de Control Evaluación del Riesgo Actividades de Control Información Y Comunicación Supervisión Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado, examinar los componentes del sistema de control en la organización e informar los resultados a la dirección o la gerencia. 23

24 Definición de objetivos. Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado. Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el resultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones determina si se puede asegurar a la organización la no existencia de ineficiencias significativas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmente brinda información útil que se comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación del control. Información financiera. El objetivo de información financiera, está dirigido a la adecuación y eficacia de controles de gestión que rigen la confiabilidad de la información financiera que se utiliza en la comunicación con externos. Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e internos. El cumplimiento trata principalmente con la correlación entre las leyes, procedimientos de la organización y, la práctica real COSO II Gestión de Riesgos Corporativos (ERM) El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso de ser adoptada por las grandes empresas. En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la 24

25 ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante el intento por aumentar el valor de sus clientes o interesados. La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad de aumentar valor. Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos por la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]: Alinear el riesgo aceptado y la estrategia Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, determinando los objetivos requeridos y empleando mecanismos para administrar algunos riesgos asociados. Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar, reducir, compartir o aceptar. Reducir las sorpresas y pérdidas operativas Las organizaciones aumentan la capacidad de identificar los acontecimientos potenciales con el propósito de establecer respuestas acordes a su nivel de complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asociados. Identificar y gestionar la diversidad de riesgos para toda la entidad Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser eficaces e integradas a los impactos que se puedan dar en estos riesgos. Aprovechar las oportunidades Considerando eventos potenciales, la gerencia identifica y aprovecha las oportunidades proactivamente, para poder sacarle valor a sus actividades. Mejorar la dotación de capital Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficazmente las necesidades de dinero lo cual le facilita la administración del mismo. 25

26 Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino. De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una organización: Normalmente se comporta como un proceso continuo que fluye por toda la organización. Todo el personal de la organización está en la capacidad de aplicarlo. Se aplica en el establecimiento de la estrategia de control y gestión de riesgos. La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a nivel conjunto. Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los riesgos que se encuentran aceptados. Ofrece seguridad al consejo de administración y a la dirección de la organización. Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos [Nasaudit, 2009]. Comparación del Control Interno de COSO y del Marco Integrado ERM Marco de Control Interno Marco integrado ERM Control del Entorno: El ambiente de control establece el tono de una organización, influenciando de esta forma la conciencia de control de su gente. Esta es la fundación para todos los otros componentes de control Entorno interno: El entorno interno abarca el tono de la organización, y establece las bases de cómo el riesgo es observado y direccionado a las personas de la entidad, incluyendo la filosofía en gestión de riesgos interno, proporcionando disciplina y y apetito de riesgo, integridad y valores estructura. Los factores del ambiente de éticos, y el entorno en el cual todos operan. control incluyen la integridad, valores éticos, estilo de gestión de funcionamiento, delegación de los sistemas de autoridad, así como los procesos de gestión y desarrollo de personas dentro de la organización. 26

27 Evaluación de Riesgos: cada entidad muestra una variedad y riesgos de fuentes que deben ser evaluados. Una precondición para la evaluación de riesgos es el establecimiento de objetivos, y por tanto la evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la consecución de los objetivos planeados. La evaluación de riesgos es un prerrequisito para la determinación de cómo se deben gestionar los riesgos. Actividades de Control: Las actividades de control son las políticas y procedimientos a ayudan a asegurar que la gestión de las directivas se llevan a cabo. Ayudan a garantizar que se toman las medidas necesarias para hacer frente a los riesgos para la consecución de los objetivos de la organización. Las actividades de control acurren a lo largo de la organización, en todos los niveles y todas las funciones. Se incluyen una serie de diversas actividades, aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones del desempeño operativo, seguridad de activos y segregación de funciones. Marco del objetivo: Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que lo afecten. La gestión de riesgos empresariales asegura que la administración ha puesto en ejecución un proceso para establecer objetivos y que los objetivos seleccionados apoyan, se alinean con la misión de la entidad y que sean consistentes con el apetito de riesgo. Identificación de Eventos: Los eventos externos e internos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas de vuelta a la estrategia de gestión o los procesos en los que se fijan los objetivos. Evaluación de Riesgos: Los riesgos son analizados, considerando la probabilidad y el impacto, como bases para la determinación de cómo se pueden gestionar. Las áreas de riesgo se evaluaran de forma inherente y formal. Actividades de Control: Políticas y procedimientos son establecidos e implementados para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de forma efectiva. 27

28 Información y Comunicación: Los sistemas de información juegan un papel clave en sistemas de control interno que producen los informes, incluyendo operaciones, Información financiera y de cumplimiento que hace esto posible para ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurar que la información fluye hacia abajo, a través y hacia arriba en la organización. La comunicación efectiva debe estar también asegurada con las partes externas, cada cliente, distribuidores, reguladores y accionistas. Monitoreo: Los sistemas de control interno requieren ser monitoreados, Un proceso que evalúa la calidad del desempeño del sistema sobre el tiempo, lo cual se logra con actividades de monitoreo o de evaluaciones separadas. Las deficiencias del control interno detectadas a través de estas actividades de monitoreo deberían ser reportadas en contra de la corriente y las acciones correctivas para asegurar la mejora continua del sistema 3.5 COBIT Información y Comunicación: La información relevante es identificada, capturada y comunicada en una forma y marco de tiempo que la gente dispone para llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio por toda fluyendo de abajo hacia arriba por toda la entidad. Monitoreo: La totalidad de la gestión de riesgos es monitoreada y se realizan modificaciones en caso de ser necesarias. El monitoreo es realizado a través de las actividades de gestión en ejecución, las evaluaciones independientes o ambas cosas. Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas Buenas prácticas de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan mecanismos medibles que permiten juzgar el buen 28

29 resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del negocio que deben ser alcanzados: Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad. El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la gerencia. La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia requerida. El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como una guía clara y entendible. Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado con los procesos de negocio tal como ofrecer controles apropiados. COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios: 1 Planificación y Organización Adquisición e Implementación Entrega de servicios Soporte y Monitorización. 1 [NetworkSec, 2008] 29

30 Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una actividad de TI. Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los 30

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA

<CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS

Más detalles

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3 CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE Versión: 1.3 Marzo 2014 INTRODUCCIÓN En la actualidad varias entidades del sector privado y público están evaluando el usar el Cómputo

Más detalles

PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR:

PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR: CLOUD COMPUTING PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR: 1. Introducción 1. Qué es el Cloud Computing? La computación en nube es un sistema informático basado en Internet y centros de

Más detalles

Emprendiendo negocios juntos

Emprendiendo negocios juntos Emprendiendo negocios juntos Definiendo Cloud Computing Un modelo que permite de manera muy sencilla el acceso a una red de recursos informáticos, los cuales con poco esfuerzo son configurables por el

Más detalles

Cloud Computing. Rodrigo Moreno Rosales DN-11

Cloud Computing. Rodrigo Moreno Rosales DN-11 Cloud Computing Rodrigo Moreno Rosales DN-11 Cloud Computing La computación en la nube,conocido también como servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, es un paradigma

Más detalles

Elaborado por Víctor Cuchillac (papá)

Elaborado por Víctor Cuchillac (papá) PRE - Especialidad Construyendo la Infraestructura Tecnológica del futuro: Cloud Computing, Seguridad y Virtualización Módulo Cloud Computing Private Cloud Tema Servicios en la nube Víctor Cuchillac (papá)

Más detalles

Cloud Computing. Octubre 2011 / White paper

Cloud Computing. Octubre 2011 / White paper Cloud Computing Octubre 2011 / White paper Cloud Computing El modelo de Computación en la Nube está reemplazando el modelo tradicional de TI para numerosas organizaciones que no han podido seguir el ritmo

Más detalles

CA Automation Suite for Hybrid Clouds

CA Automation Suite for Hybrid Clouds HOJA DEL PRODUCTO: For Hybrid Clouds for Hybrid Clouds for Hybrid Clouds está diseñada para aumentar la agilidad y la eficacia, de forma que pueda hacer lo siguiente: Sobrellevar las ráfagas de demanda

Más detalles

Cloud Computing. Lic. Guillermo Montenegro VicePresidente CPCIPC gmontenegro@universotec.net Octubre 2011

Cloud Computing. Lic. Guillermo Montenegro VicePresidente CPCIPC gmontenegro@universotec.net Octubre 2011 Cloud Computing Lic. Guillermo Montenegro VicePresidente CPCIPC Octubre 2011 Cloud Computing, Qué es? El Cloud computing es un paradigma que permite ofrecer servicios de computación a través de Internet.

Más detalles

Impulsar su negocio al Cloud Computing

Impulsar su negocio al Cloud Computing Impulsar su negocio al Cloud Computing Cómo determinar qué beneficios aporta el Cloud a su organización Claranet S. A. U. - Juan Gris, 10-18, planta 4, torres cerdà - 08014 Barcelona Tel: 902 884 633 -

Más detalles

CAS- CHILE S.A. DE I.

CAS- CHILE S.A. DE I. CAS-CHILE 25 Años ISACA 2011 CAS- CHILE S.A. DE I. Líder en Software de Gestión Pública 1. QUÉ ES CLOUD COMPUTING? 2. QUE BENEFICIOS APORTA? 3. QUE RIESGOS TIENE? 4. QUÉ METODOLOGÍAS Y ESTÁNDARES DE CONTROL

Más detalles

DESARROLLO DE UNA NUBE DE ALMACENAMIENTO INTELIGENTE CON IBM SMARTCLOUD STORAGE ACCESS

DESARROLLO DE UNA NUBE DE ALMACENAMIENTO INTELIGENTE CON IBM SMARTCLOUD STORAGE ACCESS INFORME DE SOLUCIÓN DESARROLLO DE UNA NUBE DE ALMACENAMIENTO INTELIGENTE CON IBM SMARTCLOUD STORAGE ACCESS ENERO DE 2013 Muchas organizaciones descubren que sus grandes implementaciones de almacenamiento

Más detalles

SEGURIDAD EN CLOUD COMPUTING. Adrián Palma, CISSP, CISA, CISM, CRISC, BSA Director General de Integridata adrian.palma@integridata.com.

SEGURIDAD EN CLOUD COMPUTING. Adrián Palma, CISSP, CISA, CISM, CRISC, BSA Director General de Integridata adrian.palma@integridata.com. SEGURIDAD EN CLOUD COMPUTING Adrián Palma, CISSP, CISA, CISM, CRISC, BSA Director General de Integridata adrian.palma@integridata.com.mx Agenda Qué es Cloud Computing? Cloud Computing en la actualidad

Más detalles

COMPUTACIÓN EN LA NUBE YULIANA SAAVEDRA HECTOR JAIME USMA MONTAÑO CARLOS ANDRES FLOREZ VILLARRAGA PROFESORA LINA MARIA QUINTERO MARTÍNEZ

COMPUTACIÓN EN LA NUBE YULIANA SAAVEDRA HECTOR JAIME USMA MONTAÑO CARLOS ANDRES FLOREZ VILLARRAGA PROFESORA LINA MARIA QUINTERO MARTÍNEZ COMPUTACIÓN EN LA NUBE YULIANA SAAVEDRA HECTOR JAIME USMA MONTAÑO CARLOS ANDRES FLOREZ VILLARRAGA PROFESORA LINA MARIA QUINTERO MARTÍNEZ ESPACIO ACADÉMICO HERRAMIENTAS WEB 2.0 PARA EL DESARROLLO PROFESIONAL

Más detalles

Fundamentos de EXIN Cloud Computing

Fundamentos de EXIN Cloud Computing Preguntas de muestra Fundamentos de EXIN Cloud Computing Edición de octubre de 2012 Copyright 2012 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in

Más detalles

Las ventajas de cloud computing se hacen cada día más evidentes.

Las ventajas de cloud computing se hacen cada día más evidentes. Resumen ejecutivo Las ventajas de cloud computing se hacen cada día más evidentes. La informática en la nube, o cloud computing, es un tema de gran actualidad y por buenos motivos. Con este tipo de solución,

Más detalles

Latin CACS 2011. en la Nube. Octubre 2011

Latin CACS 2011. en la Nube. Octubre 2011 Latin CACS 2011 231 Gobierno de Seguridad en la Nube Octubre 2011 Agenda Qué es la «Nube» o Cloud Computing? Cinco características esenciales Modelos de servicio (SIP). Modelos de implementación. ió Beneficios,

Más detalles

La Inteligencia de Negocios es ya una realidad para las empresas medianas

La Inteligencia de Negocios es ya una realidad para las empresas medianas Reuniones/Entrevistas La Inteligencia de Negocios es ya una realidad para las empresas medianas La Inteligencia de Negocios es el siguiente paso que las empresas deben dar para mejorar su toma de decisiones

Más detalles

IN CLOUD. La propuesta de Indra en la nube. indracompany.com

IN CLOUD. La propuesta de Indra en la nube. indracompany.com La propuesta de Indra en la nube indracompany.com NUESTRA PROPUESTA Innovadora Motor de impulso en la adopción de nuevas tecnologías, social, móvil, analítica Funcional Foco en las aplicaciones con herramientas

Más detalles

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Examen tipo EXIN Cloud Computing Foundation Edición Abril 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system

Más detalles

Almacenamiento en la nube

Almacenamiento en la nube white paper Almacenamiento en la nube Ventajas y retos. Almacenamiento en la nube: Ventajas y retos 1 En el nuevo ecosistema TI en que se mueven hoy las organizaciones cualquier planificación del almacenamiento

Más detalles

Un enfoque estratégico para satisfacer la demanda de servicios en la nube

Un enfoque estratégico para satisfacer la demanda de servicios en la nube Informe técnico Para los proveedores de nube Un enfoque estratégico para satisfacer la demanda de servicios en la nube Introducción: Los nuevos desafíos del cliente impulsan la adopción de la nube En un

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio.

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio. Seguridad orientada al negocio Adopte una estrategia integral de seguridad alineada con el negocio. Junio de 2008 2 Contenido 2 Visión general 3 Optimización y protección de los procesos empresariales

Más detalles

Cloud Computing. Ing. José Ángel Peña Ibarra, CGEIT, CRISC. Monterrey Chapter. Expositor: www.isacamty.org.mx www.isaca.org

Cloud Computing. Ing. José Ángel Peña Ibarra, CGEIT, CRISC. Monterrey Chapter. Expositor: www.isacamty.org.mx www.isaca.org CONFERENCIA ANUAL ISACA MONTERREY 2011 Cloud Computing Expositor: Ing. José Ángel Peña Ibarra, CGEIT, CRISC Monterrey Chapter www.isacamty.org.mx www.isaca.org 2011 12 02 Preguntas sobre Cloud Computing

Más detalles

RESUMEN SOBRE LA SOLUCIÓN

RESUMEN SOBRE LA SOLUCIÓN RESUMEN SOBRE LA SOLUCIÓN CA IT Asset Manager Cómo se puede administrar el ciclo de vida de los activos, optimizar el valor de las inversiones de TI y obtener una vista de cartera de todos los activos?

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales?

puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales? RESUMEN DE LA SOLUCIÓN Service Operations Management puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales? agility made possible (SOM) de CA Technologies es una solución

Más detalles

DISFRUTE DE LA EFICACIA DE LA NUBE. DESCUBRA TODO LO QUE LA NUBE PUEDE HACER POR SU NEGOCIO.

DISFRUTE DE LA EFICACIA DE LA NUBE. DESCUBRA TODO LO QUE LA NUBE PUEDE HACER POR SU NEGOCIO. DISFRUTE DE LA EFICACIA DE LA NUBE. DESCUBRA TODO LO QUE LA NUBE PUEDE HACER POR SU NEGOCIO. Las aplicaciones en la nube suponen tanto un cambio de paradigma en la gestión de los centros de datos y la

Más detalles

Symantec Data Center Transformation

Symantec Data Center Transformation Symantec Data Center Transformation Un marco integral para la evolución de TI A medida que las empresas se hacen cada vez más dependientes de la tecnología de la información, la complejidad, los costos

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

TÍTULO CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES

TÍTULO CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PROPUESTA PARA TRABAJO DE GRADO TÍTULO CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES Guía Metodológica, para evaluar la eficiencia y eficacia en los procesos de pequeñas y medianas empresas colombianas

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

IT COMO SERVICIO: COMO HACERLO REALIDAD. Carlos Andres Neva Vargas Commercial Systems Engineer, VMware

IT COMO SERVICIO: COMO HACERLO REALIDAD. Carlos Andres Neva Vargas Commercial Systems Engineer, VMware IT COMO SERVICIO: COMO HACERLO REALIDAD Carlos Andres Neva Vargas Commercial Systems Engineer, VMware TRES PUNTOS DÉBILES CLAVE PARA LOS CIO Aspectos financieros del proveedor de nube que afectan el modelo

Más detalles

Cloud Computing Tendencias. Modelos. Posibilidades. Germán Cortés Lasso gcorteslasso@gmail.com

Cloud Computing Tendencias. Modelos. Posibilidades. Germán Cortés Lasso gcorteslasso@gmail.com Cloud Computing Tendencias. Modelos. Posibilidades Germán Cortés Lasso gcorteslasso@gmail.com Agenda Introducción Qué es Cloud Computing? Características Modelos Tendencias Posibilidades Introducción Todos

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Plataforma en la nube CA AppLogic para aplicaciones empresariales

Plataforma en la nube CA AppLogic para aplicaciones empresariales HOJA DEL PRODUCTO: CA AppLogic Plataforma en la nube CA AppLogic para aplicaciones empresariales agility made possible CA AppLogic es una plataforma clave de la informática en la nube que ayuda a permitir

Más detalles

agility made possible

agility made possible RESUMEN DE LA SOLUCIÓN Administración de activos de software con CA IT Asset Manager cómo puedo administrar mejor mis activos de software y mitigar el riesgo de las auditorías de cumplimiento? agility

Más detalles

A qué huelen las nubes?: seguridad y privacidad del cloud computing

A qué huelen las nubes?: seguridad y privacidad del cloud computing A qué huelen las nubes?: seguridad y privacidad del cloud computing Fundación DINTEL Congreso Cloud 2012: seguridad y eficiencia en la nube Madrid, 15 de febrero de 2012 Pablo Pérez San-José Gerente del

Más detalles

Entregando soluciones innovadoras en infraestructura que permitan un éxito a largo plazo

Entregando soluciones innovadoras en infraestructura que permitan un éxito a largo plazo Liberty Infrastructure Outsourcing Services permite a las empresas crear una infraestructura de tecnologías de información más rentable y responsiva Una que no sólo promueve servicio y confiabilidad, sino

Más detalles

Claves para externalizar y rentabilizar la gestión de TI en la nube: una combinación híbrida de procesos, Indra Flex-IT.

Claves para externalizar y rentabilizar la gestión de TI en la nube: una combinación híbrida de procesos, Indra Flex-IT. Claves para externalizar y rentabilizar la gestión de TI en la nube: una combinación híbrida de procesos, productos y servicios Indra Flex-IT Madrid 15-02-2012 INDRA FLEX-IT Qué dicen los expertos? Algunas

Más detalles

Catálogo de Servicios

Catálogo de Servicios Catálogo de Servicios Fecha: 14 de mayo de 2013 Índice 1 Presentación... 3 2 Servicios de Consultoría SQL Server... 4 2.1 Monitorización servidores SQL Server... 4 2.2 DBA Remoto... 5 2.3 Consolidación

Más detalles

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer En los últimos años, el interés por la Computación en la Nube (Cloud Computing), tanto para uso personal como para negocios,

Más detalles

Ileana del Socorro vázquez Carrillo migración de negocios a la nube digital Las así denominadas TI han representado una nueva manera de

Ileana del Socorro vázquez Carrillo migración de negocios a la nube digital Las así denominadas TI han representado una nueva manera de InFORmÁTICA PymE Ileana del Socorro vázquez Carrillo migración de negocios a la nube digital Las así denominadas TI han representado una nueva manera de hacer negocios, ya que las funciones más importantes

Más detalles

Cisco Unified Data Center: Bases para la infraestructura de nube privada

Cisco Unified Data Center: Bases para la infraestructura de nube privada Informe técnico Cisco Unified Data Center: Bases para la infraestructura de nube privada Prestación de servicios ágil y eficaz para lograr una ventaja empresarial sostenible Descripción general Con frecuencia,

Más detalles

Modernización del escritorio

Modernización del escritorio Modernización del escritorio Una guía para abordar los requisitos del usuario final y los desafíos de TI con la virtualización de escritorio de VMware Contenido Capítulo 1: El dilema de los escritorios

Más detalles

Gobierno desde las Nubes. Salomón Rico, CISA, CISM, CGEIT srico@deloittemx.com

Gobierno desde las Nubes. Salomón Rico, CISA, CISM, CGEIT srico@deloittemx.com Gobierno desde las Nubes Salomón Rico, CISA, CISM, CGEIT srico@deloittemx.com Confidencialidad Segregación de Sostenibilidad datos Conformidad legal Green IT Resolución Derecho a auditar disputas Velocidad

Más detalles

Agrupación en clusters de las aplicaciones de bases de datos para reducir los costos de TI Introducción

Agrupación en clusters de las aplicaciones de bases de datos para reducir los costos de TI Introducción Enero 2010 Agrupación en clusters de las aplicaciones de bases de datos para reducir los costos de TI Reorganizarse para lograr eficiencia, rendimiento y alta disponibilidad Introducción La agrupación

Más detalles

A qué huelen las nubes?: seguridad y privacidad del cloud computing

A qué huelen las nubes?: seguridad y privacidad del cloud computing A qué huelen las nubes?: seguridad y privacidad del cloud computing Fundación Dédalo. VI Semana de Seguridad Informática: Seguridad en la nube Tudela, 27 de marzo de 2012 Pablo Pérez San-José Gerente del

Más detalles

Pague a medida que crecen sus necesidades

Pague a medida que crecen sus necesidades Folleto Pague a medida que crecen sus necesidades HP Datacenter Care Flexible Capacity Una experiencia de nube pública con las ventajas de las TI en sus instalaciones Principales ventajas de HP Flexible

Más detalles

CLOUD COMPUTING ADAPTADO A NUESTROS CLIENTES

CLOUD COMPUTING ADAPTADO A NUESTROS CLIENTES CLOUD COMPUTING ADAPTADO A NUESTROS CLIENTES En la vanguardia del modelo de entrega del futuro indracompany.com CLOUD COMPUTING CLOUD COMPUTING Consultoría > Acompañar a nuestros clientes en el camino

Más detalles

ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING

ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING Porqué es importante la Computación en la nube? Gartner predice que para 2015, el 50% de las 1000 empresas Globales dependerán de servicios

Más detalles

documento ejecutivo >>

documento ejecutivo >> documento ejecutivo >> >> ASTEIN TECNOLOGIAS S.L, es una empresa mercantil constituida a tiempo indefinido, e inicio de sus actividades en fecha ocho de agosto de dos mil seis, siendo el objeto principal

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

RESUMEN SOBRE LA SOLUCIÓN

RESUMEN SOBRE LA SOLUCIÓN RESUMEN SOBRE LA SOLUCIÓN CA Private Cloud Accelerator for Vblock Platforms qué tan rápido puede su nube privada sostener la creciente demanda de servicios comerciales y acelerar el tiempo de posicionamiento

Más detalles

Sistemas VCE Vblock: La ruta rápida a las soluciones de nube híbrida de EMC

Sistemas VCE Vblock: La ruta rápida a las soluciones de nube híbrida de EMC Sistemas VCE Vblock: La ruta rápida a las soluciones de nube híbrida de EMC 1 Proyección de la infraestructura de nube La nube está experimentando una gran tasa de crecimiento compuesta anual (CAGR), mientras

Más detalles

cómo migrar desde la administración de servicios a SaaS

cómo migrar desde la administración de servicios a SaaS WHITE PAPER Septiembre de 2012 cómo migrar desde la administración de servicios a SaaS Principales desafíos, y cómo CA Nimsoft Service Desk ayuda a resolverlos agility made possible Índice resumen ejecutivo

Más detalles

TODO COMO UN SERVICIO

TODO COMO UN SERVICIO TODO COMO UN SERVICIO LA PROMESA DE LA NUBE GONZALO A. GOMEZ 1 2010 Copyright 2010 Hewlett Hewlett 2010 Packard Hewlett-Packard Co. Co. Development Company, L.P. AGENDA Qué es Cloud Computing? Características

Más detalles

CLOUD COMPUTING ADAPTADO A NUESTROS CLIENTES

CLOUD COMPUTING ADAPTADO A NUESTROS CLIENTES CONSULTORÍA, SOLUCIONES Y SERVICIOS ADAPTADO A NUESTROS CLIENTES En la vanguardia del modelo de entrega del futuro indracompany.com Mapa de Gestión de TI de Indra - Estandarizació n Ahorro de costes Flexibilidad

Más detalles

Cloud Computing: Cloud híbrida y la solución de AWS

Cloud Computing: Cloud híbrida y la solución de AWS Whitepaper Cloud Computing: Cloud híbrida y la solución de AWS BEE PART OF THE CHANGE hablemos@beeva.com www.beeva.com AÑADE EL VALOR DEL CLOUD A TUS PROYECTOS QUÉ ES CLOUD? Entendemos por Cloud todos

Más detalles

El camino hacia Cloud Computing en UTE. Ing. Gabriel Laborda División Sistemas de Información - UTE

El camino hacia Cloud Computing en UTE. Ing. Gabriel Laborda División Sistemas de Información - UTE El camino hacia Cloud Computing en UTE Ing. Gabriel Laborda División Sistemas de Información - UTE JIAP 17 de Agosto de 2012 En momentos en que la oferta abunda Vea que Nube Publica! Lo ultimo en IaaS

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Riesgos asociados al CLOUD

Riesgos asociados al CLOUD Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD

Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD Cloud y SaaS: Siguen creciendo Los ingresos por servicios en modo SaaS (Software como

Más detalles

La virtualización de servidores, consiste en almacenar en un único servidor o clúster de servidores varios equipos virtuales de forma simultánea.

La virtualización de servidores, consiste en almacenar en un único servidor o clúster de servidores varios equipos virtuales de forma simultánea. VIRTUALIZACIÓN o Introducción La virtualización de servidores, consiste en almacenar en un único servidor o clúster de servidores varios equipos virtuales de forma simultánea. El equipo virtual puede ejecutar

Más detalles

LA NUBE SOBRE LA EMPRESA: ACCEDER A LA NUBE EN UN ENTORNO SEGURO?

LA NUBE SOBRE LA EMPRESA: ACCEDER A LA NUBE EN UN ENTORNO SEGURO? LA NUBE SOBRE LA EMPRESA: ACCEDER A LA NUBE EN UN ENTORNO SEGURO? Fdo.- Pedro Tortosa Hernández Director General Econocom Ermestel A día de hoy el Cloud es una tecnología consolidada y fiable para todos

Más detalles

puede ayudar a garantizar a sus clientes la calidad y disponibilidad de los servicios de negocio?

puede ayudar a garantizar a sus clientes la calidad y disponibilidad de los servicios de negocio? RESUMEN DE LA SOLUCIÓN Administración de operaciones de servicio puede ayudar a garantizar a sus clientes la calidad y disponibilidad de los servicios de negocio? agility made possible La Administración

Más detalles

Está brindando valor a sus clientes para ayudarlos a combatir el estancamiento. de la virtualización? y acelerar la madurez

Está brindando valor a sus clientes para ayudarlos a combatir el estancamiento. de la virtualización? y acelerar la madurez RESUMEN PARA SOCIOS DE NEGOCIOS: CA VIRTUAL FOUNDATION SUITE Está brindando valor a sus clientes para ayudarlos a combatir el estancamiento de la virtualización y acelerar la madurez de la virtualización?

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

RED HAT CONSULTING HACEMOS POSIBLE LA INNOVACIÓN

RED HAT CONSULTING HACEMOS POSIBLE LA INNOVACIÓN RED HAT CONSULTING HACEMOS POSIBLE LA INNOVACIÓN www.redhat.com Estamos más que satisfechos con la calidad de las Soluciones y Servicios proporcionados por Red Hat. Debido a la naturaleza de nuestro proyecto

Más detalles

Aproveche todo el potencial de las aplicaciones Java virtualizadas

Aproveche todo el potencial de las aplicaciones Java virtualizadas Documento técnico de Oracle Abril de 2011 Aproveche todo el potencial de las aplicaciones Java virtualizadas Oracle WebLogic Server Virtual Edition Oracle Virtual Assembly Builder Oracle WebLogic Server

Más detalles

Cloud Computing. Su aplicación en la Banca Privada Argentina.

Cloud Computing. Su aplicación en la Banca Privada Argentina. Cloud Computing. Su aplicación en la Banca Privada Argentina. Presentada por: Noceti, Héctor Management Systems Manager / Southern Cone Logicalis Aclaración: Todos los derechos reservados. No está permitida

Más detalles

CA Automation Suite for Data Centers

CA Automation Suite for Data Centers HOJA DEL PRODUCTO: CA Automation Suite for Data Centers CA Automation Suite for Data Centers agility made possible La tecnología ha aventajado a la gestión manual en todas las empresas grandes y en muchas

Más detalles

Correo Gestionado Inteligente, elección 100% segura. Uniway Consultoría. Servicio Gestionado. de Correo Electrónico

Correo Gestionado Inteligente, elección 100% segura. Uniway Consultoría. Servicio Gestionado. de Correo Electrónico WhitePaper Correo Gestionado Inteligente, elección 100% segura Uniway Consultoría Servicio Gestionado de Correo Electrónico Índice Análisis 3-4 Introducción 4-5 Clasificación, tipos de Servicio, Modalidades

Más detalles

[COM(2014) 442 final] (2015/C 242/11) Ponente: Anna NIETYKSZA

[COM(2014) 442 final] (2015/C 242/11) Ponente: Anna NIETYKSZA 23.7.2015 ES Diario Oficial de la Unión Europea C 242/61 Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

Medellín, martes 27 de octubre del 2015

Medellín, martes 27 de octubre del 2015 Medellín, martes 27 de octubre del 2015 José Flavio Guerra Gerente de Innovación OasisCom Introducción Administre con eficiencia sus recursos Servicios En la nube? ERP? Nada? Contenido ERP Definición Características

Más detalles

Comp p ting para par ent en o t rnos empresariales Jord Jor i Mas Mas CEO CE y Dir Dir ctor Gener Gener l a d e nex ne ica

Comp p ting para par ent en o t rnos empresariales Jord Jor i Mas Mas CEO CE y Dir Dir ctor Gener Gener l a d e nex ne ica -1- Cloud Computing para entornos empresariales Jordi Mas CEO y Director General de nexica -2- El rápido crecimiento de la sociedad de la información crea nuevos desafíos x10 La información digital se

Más detalles

Infraestructura Tecnológica

Infraestructura Tecnológica Infraestructura Tecnológica 1 Sesión No. 12 Nombre: Niveles de confiabilidad Contextualización La confianza es un factor determinante y muy importante, con ésta se pueden dar o rechazar peticiones de negocio,

Más detalles

x.m z e m o lg e o J

x.m z e m o lg e o J Aspectos Legales de la Computación en la Nube Mtro. Joel A. Gómez Treviño Abogado especialista en Derecho Informático Gerente General Jurídico de NCR de México Qué es la Computación en Nube? Computo Tradicional

Más detalles

CURSOS DE VERANO 2014

CURSOS DE VERANO 2014 CURSOS DE VERANO 2014 CLOUD COMPUTING: LA INFORMÁTICA COMO SERVICIO EN INTERNET LA PLATAFORMA GOOGLE CLOUD PLATFORM. GOOGLE APP ENGINE Pedro A. Castillo Valdivieso Universidad de Granada http://bit.ly/unia2014

Más detalles

CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS

CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS Volumen I: Resumen Ejecutivo Junio 2006 En 1992 el Comité de Organizaciones Patrocinadoras de la Comisión

Más detalles

Tecnologías de la Información en la Gestión Empresarial

Tecnologías de la Información en la Gestión Empresarial Tecnologías de la Información en la Gestión Empresarial 1 Sesión No. 9 Nombre: Cloud Computing Objetivo: Al término de la sesión, el alumno explicará las principales características del Cloud Computing.

Más detalles

Computación en la nube para la educación superior: Guía de evaluación y adopción

Computación en la nube para la educación superior: Guía de evaluación y adopción Computación en la nube para la educación superior: Guía de evaluación y adopción Resumen ejecutivo La computación en la nube pública, que proporciona infraestructura, servicios y software a pedido a través

Más detalles

UNIVERSIDAD DEL CEMA Buenos Aires Argentina. Serie DOCUMENTOS DE TRABAJO. Área: Ingeniería Informática COMPUTACIÓN EN LA NUBE. Mario S.

UNIVERSIDAD DEL CEMA Buenos Aires Argentina. Serie DOCUMENTOS DE TRABAJO. Área: Ingeniería Informática COMPUTACIÓN EN LA NUBE. Mario S. UNIVERSIDAD DEL CEMA Buenos Aires Argentina Serie DOCUMENTOS DE TRABAJO Área: Ingeniería Informática COMPUTACIÓN EN LA NUBE Mario S. Moreno Junio 2015 Nro. 566 www.cema.edu.ar/publicaciones/doc_trabajo.html

Más detalles

Plataforma de nube CA AppLogic para aplicaciones de negocio

Plataforma de nube CA AppLogic para aplicaciones de negocio HOJA DE PRODUCTO: CA AppLogic Plataforma de nube CA AppLogic para aplicaciones de negocio agility made possible El software CA AppLogic es una plataforma de computación en la nube lista para utilizarse

Más detalles

Cánepa Consultores. Soluciones simples a la complejidad. Soluciones de Integración de Sistemas y Tecnología

Cánepa Consultores. Soluciones simples a la complejidad. Soluciones de Integración de Sistemas y Tecnología PRESENTACIÓN De nuestra mayor consideración: Nos es grato dirigirnos a usted para presentarnos con nuestro nombre comercial Cánepa Consultores, representando a la firma Canepa Castillo Consultores E.I.R.L.

Más detalles

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios Cloud Security Alliance Recomendaciones de Seguridad Contenido Qué es el Cloud Computing?... 2 Modelos de Servicios... 2 Modelos de Implementación... 3 Recomendaciones a los Usuarios para la adopción del

Más detalles

Cloud Computing Retos y Oportunidades. Síntesis del estudio Mayo 2012

Cloud Computing Retos y Oportunidades. Síntesis del estudio Mayo 2012 Cloud Computing Retos y Oportunidades Síntesis del estudio Mayo 2012 Objetivos Se han establecido los siguientes objetivos: Analizar: situación actual e impacto Identificar: oportunidades de crecimiento

Más detalles

Por qué su mesa de servicios actual no es eficaz para su negocio y qué se puede hacer al respecto

Por qué su mesa de servicios actual no es eficaz para su negocio y qué se puede hacer al respecto INFORME OFICIAL Septiembre de 2012 Por qué su mesa de servicios actual no es eficaz para su negocio y qué se puede hacer al respecto agility agility made possible made possible Tabla de contenido Resumen

Más detalles

A qué huelen las nubes?: seguridad y privacidad del cloud computing

A qué huelen las nubes?: seguridad y privacidad del cloud computing A qué huelen las nubes?: seguridad y privacidad del cloud computing 5º Encuentro Internacional de la Seguridad de la Información (ENISE) León, 26 de octubre de 2011 Pablo Pérez San-José Gerente del Observatorio

Más detalles

La calidad no está reñida con los costes

La calidad no está reñida con los costes QUIÉNES SOMOS Empresa fundada en 2012. Somos una Consultora de Procesos, Sistemas y Tecnologías de la Información que apuesta por las soluciones Open Source a medida, como alternativa en época de crisis.

Más detalles

Boletín de Consultoría Gerencial

Boletín de Consultoría Gerencial www.pwc.com/ve Inicio Boletín Digital No. 18-2011 Espiñeira, Sheldon y Asociados Boletín Consultoría Gerencial - No. 18-2011 Haga click en los enlaces para navegar a través del documento 4Introducción

Más detalles

SuScripcioneS a red Hat JBoSS Middleware

SuScripcioneS a red Hat JBoSS Middleware detalle de la tecnología GuÍa de SuScripciÓn de red Hat JBoSS Middleware Una guía para entender el modelo de consumo flexible de la cartera de productos de middleware de Red Hat SuScripcioneS a red Hat

Más detalles

Servicios de infraestructura. Aplicaciones web

Servicios de infraestructura. Aplicaciones web 10 Julio 2013 Servicios de infraestructura Compílela o tráigala y nosotros la ejecutamos Windows Azure proporciona infraestructura a petición que se escala y se adapta a las necesidades cambiantes de cada

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles