COMPUTACION EN LA NUBE

ISACA:
PROVEEDOR
DE
CONOCIMIENTO,
CERTIFICACIONES,
COMUNIDADES, APOYO Y EDUCACION SOBRE ASEGURAMIENTO Y
SEGURIDAD DE SISTEMAS DE INFORMACION, GOBIERNO EMPRESARIAL
DE TI Y RIESGOS Y CUMPLIMIENTOS RELACIONADOS CON TI. DISEO Y
CRE COMPUTACION EN LA NUBE.

IMPACTOS DE LA COMPUTACION DE LA NUBE

TRANSFORMA LA COMPUTACION EN UNA UNIDAD UBICUA. POR

SUS ATRIBUTOS COMO MAYOR AGILIDAD, ELASTICIDAD,
CAPACIDAD DE ALMACENAMIENTO Y REDUNDANCIA PARA
GERENCIAR ACTIVOS DE INFORMACION.
AHORROS SIGNIFICATIVOS EN COSTOS COMO EFICIENCIA EN
AUMENTO.
PROBABILIDAD DE BRINDAR A ESTAS EMPRESAS EN AHORROS DE
TI A LARGO PLAZO, INCLUYENDO REDUCCION DE COSTOS DE
INFRAESTRUCTURA Y MODELOS DE PAGO POR SERVICIO.
AYUDA A LAS EMPRESAS APREVECHAR EL USO DE SERVICIOS EN
UN MODELO POR DEMANDA. SE REQUIERE MENOR GASTO INICIAL
DE CAPITAL, LO QUE PERMITE MAYOR FLEXIBILIDAD CON NUEVOS
SERVICIOS DE TI.
VIENEN RIESGOS Y PREOCUPACIONES DE SEGURIDAD
POSIBILIDAD DE OBTENER UNA ALTA RECOMPENSA EN LO QUE
RESPECTA A CONTENCION DE COSTOS Y CARACTERISTICAS
COMO AGILIDAD Y VELOCIDAD DE SUMINISTRO.

QUE ES COMPUTACION EN LA NUBE?

MODELO PARA HABILITAR UN COMODO ACCESO EN RED POR DEMANDA
A
UN
POOL
COMPARTIDO
DE
RECURSOS
INFORMATICOS
CONFIGURABLES
(
POR
EJEMPLO,
REDES,
SERVIDORES,
ALMACENAMIENTO, APLICACIONES Y SERVICIOS) QUE SE PUEDA
CONFORMAR Y PROVEER RAPIDAMENTE CON UN ESFUERZO
ADMINISTRATIVO MINIMO CON EL PROVEEDOR DE SERVICIOS.
DISEO COMPUESTO POR:
3 MODELOS DE SERVICIO
INFRAESTRUCTURA COMO UN SERVICIO (IaaS): CAPACIDAD PARA
CONFIGURAR PROCESAMIENTO, ALAMCENAMIENT, REDES Y

OTROS
RECURSOS
DE
COMPUTACION
FUNDAMENTALES,
OFRECIENDO AL CLIENTE LA POSIBILIDAD DE IMPLEMENTAR Y
EJECUTAR SOFWARE ARBITRARIO, EL CUAL PUEDE INCLUIR
SISTEMAS OPERATIVOS Y APLICACIONES. SE
COLOCAN EN
MANOS DE UN TERCERO.
PLATAFORMA COMO UN SERVICIO (PaaS): CAPACIDAD PARA
IMPLEMENTAR EN LA INFRAESTRUCTURA DE LA NUBE
APLICACIONES CREADAS POR EL CLIENTE QUE SE HAYAN
UTILIZADO LENGUAJES Y HERRAMIENTAS DE PROGRAMACION
QUE ESTEN RESPALDADOS POR EL PROVEEDOR. CONSIDERAR:
DISPONIBILIDAD,
CONFIDENCIALIDAD,
PROVACIDAD
Y
RESPONSABILIDAD LEGAL.
SOFWARE COMO UN SERVICIO (SaaS): CAPACIDAD PARA UTLIZAR
LAS APLIACIONES DEL PROVEEDOR QUE SE EJECUTAN EN LA
INFRAESTRUCTURA DE LA NUBE. SE PUEDE ACCEDER A LAS
APLICACIONES DESDE DIFERENTES DISPOSITVOS CLIENTE A
TRAVES DE UNA INTERFAZ COMO UN EXPLORADOR WEB.

4 MODELOS DE IMPLEMENTACION
NUBE
PRIVADA:
OPERADA
UNICAMENTE
PARA
UNA
ORGANIZACIN, SE MANEJA POR ESTA O UN TERCERO. EXISTE
DENTRO O FUERA DE LAS INSTALACIONES. RIESGO MINIMO. NO
PROPORCIONA LA ESCALABILIDAD Y AGILIDD DE LA NUBE
PUBLICA.
NUBE
COMUNITARIA:
COMPARTIDA
POR
VARIAS
ORGANIZACIONES, MANEJADA POR LAS ORGANIZACIONES O UN
TERCERO.EXISTE DENTRO O FUERA DE LAS INSTALACIONES.
RESPALDA UNA COMUNIDAD ESPECFICA QUE HAYA COMPARTIDO
SU MISION O INTERES. IGUAL A LA NUBE PRIVADA MS LOS
DATOS PUEDEN ESTAR ALMACENADOS CON LOS DATOS DE LOS
COMPETIDORES.
NUBE PBLICA: DISPONIBLE PARA EL PUBLICO EN GENERAL O
GRUPO INDUSTRIAL GRANDE. PERTENECE A UNA ORGANIZACIN
QUE VENDE SERVICIOS EN LA NUBE. IGUAL A LA COMUNITARIA +
LOS DATOS PUEDEN ESTAR ALAMACENADOS EN UBICACIONES
DESCONOCIDAS Y NO SON FACILES DE RECUPERAR.
NUBE HIBRIDA: COMPOSICION DE 2 O MAS NUBES QUE
CONTINUAN SIENDO ENTIDADES UNICAS, PERO QUE ESTAN

UNIDAS MEDIANTE TECNOLOGIA ESTANDARIZADA O PROPIETARIA

QUE PERMITE PORTABILIDAD DE DATOS Y APLICACIONES
5 CARACTERISTICAS ESENCIALES
AUTOSERVICIO A SOLICITUD: EL PROVEEDOR DEBE SUMISTRAR
CAPACIDADES
DE
COMPUTACION,
TALES
COMO
EL
ALMACENAMIENTO EN SERVIDORES Y REDES, SIN REQUERIR
INTERACCION HUMANA CON CADA PROVEEDOR DE SERVICIOS.
ACCESO A REDES DE BANDA ANCHA: ACCEDER DESDE
CUALQUIER LUGAR Y POR MEDIO DE CUALQUIER DISPOSITIVO
AGRUPACION DE RECURSOS
ELASTICIDAD RAPIDA: SE PUEDE ADQUIRIR CUALQUIER
CAPACIDAD EN CUALQUIER MOMENTO.
SERVICIO MEDIDO: EL USO DE LOS RECURSOS SE PEDE
MONITOREAR, CONTROLAR Y NOTIFICAR.
LOS BENEFICIOS DE NEGOCIO DE LA COMPUTACIN EN LA NUBE
AHORROS FINANCIEROS
CAPACIDAD DE MODERNIZAR LOS PORCESOS Y AUMENTAR EL
NUMERO DE INNOVACIONES
AUMENTAR LA PRODUCTIVIDAD Y TRANSFORMAR LOS PROCESOS
DE NEGOCIO.
ALGUNOS DE LOS BENEFICIOS CLAVE DE NEGOCIO QUE OFRECE LA
NUBE SON:

CONTENCIN DE COSTO: OFRECE A LAS EMPRESAS LA OPCIN

DE ESCALABILIDAD SIN LOS SERIOS COMPROMISOS FINANCIEROS
QUE REQUIEREN LA ADQUISICIN Y EL MANTENIMIENTO DE UNA
INFRAESTRUCTURA. LOS GASTOS DE CAPITAL DIRECTOS SON
MNIMOS E INCLUSO INEXISTENTES. LOS SERVICIOS Y EL
ALMACENAMIENTO ESTN DISPONIBLES A SOLICITUD Y EL
PRECIO DEPENDE DEL USO. ADEMS, EL MODELO DE LA NUBE
PUEDE AYUDAR A AHORRAR COSTOS EN TRMINOS DE
CONSUMIR RECURSOS.
INMEDIATEZ: SE HA RECALCADO LA CAPACIDAD DE
CONFIGURAR Y UTILIZAR UN SERVICIO EN UN MISMO DA.
DISPONIBILIDAD: LOS PROVEEDORES DE LA NUBE TIENEN LA
INFRAESTRUCTURA Y EL ANCHO DE BANDA PARA CUMPLIR CON
LOS REQUERIMIENTOS DEL NEGOCIO RELACIONADOS CON
ACCESO
DE
ALTA
VELOCIDAD,
ALMACENAMIENTO
Y
APLICACIONES.

ESCALABILIDAD: LA CAPACIDAD ILIMITADA DE LOS SERVICIOS

EN LA NUBE OFRECE MAYOR FLEXIBILIDAD Y ESCALABILIDAD
PARA LAS NECESIDADES CAMBIANTES DE TI. PERMITE
CONTROLAR EL TRFICO Y REDUCIR EL TIEMPO NECESARIO PARA
IMPLEMENTAR NUEVOS SERVICIOS.
EFICIENCIA: REASIGNAR ACTIVIDADES OPERACIONALES DE
GESTIN DE LA INFORMACIN A LA NUBE OFRECE A LOS
NEGOCIOS UNA OPORTUNIDAD NICA DE DIRIGIR ESFUERZOS
HACIA LA INNOVACIN, LA INVESTIGACIN Y EL DESARROLLO.
RESILIENCIA: LOS PROVEEDORES DE LA NUBE POSEEN
SOLUCIONES DUPLICADAS QUE SE PUEDEN UTILIZAR EN UN
ESCENARIO DE DESASTRE Y PARA BALANCEAR CARGAS DE
TRFICO.

EL PRINCIPIO DE LA NUBE ES QUE AL TERCERIZAR PARTE DE LA GESTIN

Y LAS OPERACIONES DE TI, LOS EMPLEADOS DE LAS EMPRESAS
TENDRN LA LIBERTAD DE MEJORAR PROCESOS, AUMENTAR LA
PRODUCTIVIDAD E INNOVAR MIENTRAS EL PROVEEDOR DE LA NUBE
MANEJA LA ACTIVIDAD OPERACIONAL DE FORMA MS INTELIGENTE,
RPIDA Y ECONMICA.
RIESGOS Y PREOCUPACIONES DE SEGURIDAD RELACIONADOS CON LA
COMPUTACIN EN LA NUBE

LAS EMPRESAS DEBEN SER ESPECFICAS AL SELECCIONAR UN

PROVEEDOR. LA REPUTACIN, LOS ANTECEDENTES Y LA
SOSTENIBILIDAD SON FACTORES QUE SE DEBEN TOMAR EN
CONSIDERACIN. LA SOSTENIBILIDAD ES PARTICULARMENTE
IMPORTANTE PARA GARANTIZAR QUE LOS SERVICIOS ESTARN
DISPONIBLES Y QUE LOS DATOS SE PODRN RASTREAR.
CON FRECUENCIA, EL PROVEEDOR DE LA NUBE ASUME LA
RESPONSABILIDAD DE MANEJAR LA INFORMACIN, LO CUAL
CONSTITUYE UNA PARTE CRTICA DEL NEGOCIO. NO ACTUAR DE
CONFORMIDAD CON LOS NIVELES DE SERVICIO ACORDADOS
PUEDE PERJUDICAR NO SLO LA CONFIDENCIALIDAD, SINO
TAMBIN LA DISPONIBILIDAD, LO QUE AFECTA ENORMEMENTE
LAS OPERACIONES DEL NEGOCIO.
CUANDO SE REQUIERE LA RECUPERACIN DE LA INFORMACIN,
ES POSIBLE QUE HAYA DEMORAS.
EL ACCESO POR PARTE DE TERCEROS A INFORMACIN SENSITIVA
CREA EL RIESGO DE COMPROMETER LA CONFIDENCIALIDAD DE
LA INFORMACIN. AMENAZA A LA HORA DE ASEGURAR LA
PROTECCION DE LA PROPIEDAD INTELECTUAL Y LOS SECRETOS
COMERCIALES.

LAS NUBES PBLICAS PERMITEN DESARROLLAR SISTEMAS DE

ALTA DISPONIBILIDAD EN NIVELES DE SERVICIO QUE, CON
FRECUENCIA, SON IMPOSIBLES DE CREAR EN REDES PRIVADAS, A
NO SER A UN COSTO EXTREMADAMENTE ALTO.
DEBIDO A LA NATURALEZA DINMICA DE LA NUBE, ES POSIBLE
QUE LA INFORMACIN NO SE LOCALICE INMEDIATAMENTE SI
OCURRIERA UN DESASTRE.

ESTRATEGIAS PARA TRATAR RIESGOS RELACIONADOS CON LA

COMPUTACIN EN LA NUBE
SE DEBE IMPLEMENTAR UN PROGRAMA DE GESTIN DE RIESGOS
ROBUSTO QUE SEA SUFICIENTEMENTE FLEXIBLE PARA LIDIAR CON
RIESGOS EN CONSTANTE EVOLUCIN.
EL ACUERDO DE NIVEL DE SERVICIO REPRESENTA UNO DE LOS
MECANISMOS MS EFECTIVOS QUE PUEDE UTILIZAR LA EMPRESA PARA
ASEGURAR LA ADECUADA PROTECCIN DE LA INFORMACIN QUE SE
CONFA A LA NUBE. EL ACUERDO DE NIVEL DE SERVICIO SER LA
HERRAMIENTA EN LA QUE LOS CLIENTES PUEDEN ESPECIFICAR SI SE
UTILIZARN MARCOS DE CONTROL CONJUNTO Y DESCRIBIR LA
EXPECTATIVA DE UNA AUDITORA EXTERNA POR PARTE DE UN TERCERO.
EL ACUERDO DE NIVEL DE SERVICIO DEBE CONTENER LAS
EXPECTATIVAS RELACIONADAS CON EL MANEJO, EL USO, EL
ALMACENAMIENTO Y LA DISPONIBILIDAD DE LA INFORMACIN.
PROBLEMAS DE GOBIERNO Y CAMBIOS RELACIONADOS CON LA
COMPUTACIN EN LA NUBE
SI AN NO FORMA PARTE DE LOS PROCESOS DE GOBIERNO O CICLO DE
VIDA DEL DESARROLLO DE SISTEMAS DEL NEGOCIO, LA TRANSICIN A
LA COMPUTACIN EN LA NUBE ESENCIALMENTE REQUIERE QUE SE
INCLUYA UN OFICIAL O DIRECTOR DE SEGURIDAD DE LA INFORMACIN
DE LA COMPAA EN TODOS LOS NUEVOS PROCESOS DE GOBIERNO Y
CICLO DE VIDA DEL DESARROLLO DE SISTEMAS.
UN GRAN PROBLEMA DE GOBIERNO ES QUE EL PERSONAL DE LA
UNIDAD DE NEGOCIOS, QUE ANTES DEBA PASAR POR TI, AHORA PUEDE
PASAR POR ALTO TI Y RECIBIR SERVICIOS DIRECTAMENTE DESDE LA
NUBE. POR LO TANTO, ES SUMAMENTE IMPORTANTE QUE LAS POLTICAS
DE SEGURIDAD DE LA INFORMACIN ABORDEN LOS USOS DE LOS
SERVICIOS EN LA NUBE.
CONSIDERACIONES SOBRE EL ASEGURAMIENTO EN RELACIN
CON LA COMPUTACIN EN LA NUBE. PROBLEMAS:

TRANSPARENCIA: LOS PROVEEDORES DE SERVICIOS DEBEN

DEMOSTRAR LA EXISTENCIA DE CONTROLES DE SEGURIDAD
EFECTIVOS Y ROBUSTOS, PARA ASEGURAR A LOS CLIENTES QUE
SU INFORMACIN EST PROTEGIDA ADECUADAMENTE CONTRA
ACCESO NO AUTORIZADO, CAMBIO O DESTRUCCIN.
PRIVACIDAD: ESENCIAL QUE LOS PROVEEDORES DE SERVICIOS
DE COMPUTACIN EN LA NUBE GARANTICEN A LOS CLIENTES
ACTUALES Y PROBABLES QUE SE ESTN APLICANDO CONTROLES
DE PRIVACIDAD Y DEMUESTREN SU CAPACIDAD PARA PREVENIR,
DETECTAR Y REACCIONAR ANTE LAS VIOLACIONES DE
PRIVACIDAD DE MANERA OPORTUNA.
CUMPLIMIENTO: LA MAYORA DE LAS ORGANIZACIONES DE HOY
DEBEN CUMPLIR CON UNA LISTA INTERMINABLE DE LEYES,
REGULACIONES Y ESTNDARES. EN LO QUE RESPECTA A LA
COMPUTACIN EN LA NUBE, EXISTE LA PREOCUPACIN DE QUE
LOS DATOS PUEDAN NO ESTAR ALMACENADOS EN UN SOLO
LUGAR Y PUEDAN NO SER FCILES DE RECUPERAR. ES
FUNDAMENTAL ASEGURAR QUE SI LOS DATOS SON SOLICITADOS
POR LAS AUTORIDADES SE PUEDEN PROPORCIONAR SIN PONER
EN PELIGRO OTRAS INFORMACIONES.
FLUJO DE INFORMACIN TRANSFRONTERIZO: CUANDO LA
INFORMACIN SE PUEDE ALMACENAR EN CUALQUIER LUGAR DE
LA NUBE, LA UBICACIN FSICA DE LA INFORMACIN PUEDE
CONVERTIRSE EN UN PROBLEMA. LA UBICACIN FISICA
DETERMINAN LA JURISDICCION Y LA OBLIGACION LEGAL.
CERTIFICACIN: LOS PROVEEDORES DE SERVICIOS DE
COMPUTACIN EN LA NUBE TENDRN QUE ASEGURARLE A SUS
CLIENTES QUE ESTN HACIENDO LAS COSAS DE UNA FORMA
ADECUADA Y CORRECTA. EL ASEGURAMIENTO INDEPENDIENTE
QUE PROPORCIONAN LAS AUDITORAS DE TERCEROS Y/O LOS
INFORMES DE AUDITORES DE SERVICIOS DEBEN SER UNA PARTE
VITAL DE CUALQUIER PROGRAMA DE ASEGURAMIENTO.

EL USO DE ESTNDARES Y MARCOS AYUDARN A QUE LOS NEGOCIOS SE

SIENTAN MS SEGUROS CON RESPECTO A LOS CONTROLES INTERNOS Y
LA SEGURIDAD DEL PROVEEDOR DE COMPUTACIN EN LA NUBE. AL
MOMENTO DE LA REDACCIN, NO EXISTEN ESTNDARES DISPONIBLES
PBLICAMENTE QUE SE APLIQUEN DE MANERA ESPECFICA AL
PARADIGMA DE COMPUTACIN EN LA NUBE. SIN EMBARGO, SE DEBEN
CONSULTAR LOS ESTANDARES EXISTENTES.
MUCHOS
NEGOCIOS
NO
DUDARN
EN
APROVECHAR
ESTA
OPORTUNIDAD PARA MEJORAR TANTO LA EFICIENCIA COMO LA
SEGURIDAD INTEGRADA DE SU PORTAFOLIO DE TI.