Post on 26-Feb-2018
Cloud Computing Expositor:
Ing. José Ángel Peña Ibarra, CGEIT, CRISC
2011 12 02
Monterrey Chapter
www.isacamty.org.mx
www.isaca.org
CONFERENCIA ANUAL ISACA MONTERREY 2011CONFERENCIA ANUAL ISACA MONTERREY 2011
japi@alintec.net
Preguntas sobre Cloud ComputingPreguntas sobre Cloud Computing
1. ¿Que es Cloud Computing?
2. ¿Que beneficios aporta?
3. ¿Que riesgos tiene?
4. ¿Qué metodologías y estándares de control hay?
5. ¿Qué implicaciones financieras tiene?
6. ¿Cuáles son los factores clave para implementar los servicios de Cloud Computing?
japi@alintec.net
IntroducciónIntroducción
• Hipérbole de Cómputo en la Nube:
– Hay muchas exageraciones sobre sus virtudes ysus defectos.
– Muchos proveedores de TI dicen que ofrecenservicios en la nube.
• La realidad es que sí afecta o afectará a casitodas las organizaciones (e individuos) queusan recursos y servicios informáticos.
japi@alintec.net
1.Qué es Cloud Computing1.Qué es Cloud Computing
• Definición del National Institute of Standards and Technology (NIST) y la Cloud Security Alliance:
– Un modelo para habilitar un conveniente accesoen red por demanda, a un “pool” compartido derecursos informáticos configurables (redes,servidores, almacenamiento, aplicaciones yservicios) que se puede conformar y proveerrápidamente, con un esfuerzo gerencial mínimo ouna interacción mínima con el proveedor deservicios.
japi@alintec.net
La nube ofrece recursos de TI a usuarios:La nube ofrece recursos de TI a usuarios:
Recursos en la Nube:Redes, Servidores,
Almacenamiento,
Aplicaciones, Servicios
japi@alintec.net
Modelos de servicio en Cloud ComputingModelos de servicio en Cloud Computing
Sofware as a Service:
SaaS
Platform as a Service:
PaaS
Infrastructure as a Service:
IaaS
japi@alintec.net
Modelos de servicioModelos de servicio
Fuente: ISACA, IT Controles Objectives for Cloud Computing
japi@alintec.net
Modelos de implementaciónModelos de implementación
Nube privada
Nube comuni-
taria
Nube pública
Nube híbrida
japi@alintec.net
Modelos de implementaciónModelos de implementación
Fuente: ISACA, IT Controles Objectives for Cloud Computing
japi@alintec.net
2. Beneficios de Cloud Computing2. Beneficios de Cloud Computing
• Escalabilidad Dinámica
• Reducción del ciclo de desarrollo.
• Reducción en tiempos de implementación.
• Optimización de servidores.
• Ahorros:
– Reducción de las inversiones
– Optimización de gastos de operación.
– Cambio paradigma de CAPEX a OPEX con ahorros netos.
japi@alintec.net
3. Riesgos de Cloud Computing3. Riesgos de Cloud Computing
• Los riesgos de Cloud Computing siguen siendoesencialmente riesgos de TI, y siguen siendoen última instancia responsabilidad de losclientes, no de los proveedores.
• Los riesgos de Cloud Computing varían deacuerdo al modelo de servicios (IaaS, PaaS,Saas) y al modelo de implementación de lanube (Privada, Híbrida, Pública).
japi@alintec.net
Administración de riesgos de Cloud ComputingAdministración de riesgos de Cloud Computing
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Hardware
Facilities
Connectivity
Middleware Middleware
Presentation
Applications
Data
Hardware
Facilities
Connectivity
Hardware
Facilities
Connectivity
japi@alintec.net
Riesgos en Cloud ComputingRiesgos en Cloud Computing
• Seguridad Física
– Ubicación de infraestructura del Proveedor de Servicios de Cloud, CSP, en lugares peligrosos.
– Se pierde control de dónde están los datos.
• Riesgos Operacionales
– Mala administración de las actualizaciones y parches de SW
– Inadecuados procedimientos de respaldo
– Inadecuado Plan de Recuperación de Desastres
– Inadecuado Plan de Continuidad del Negocio
japi@alintec.net
Riesgos en Cloud ComputingRiesgos en Cloud Computing
• Abuso y mal uso de Cloud Computing
– Usuarios propios y de otros pueden saturar los servicios y colapsar la nube.
– Inadecuado control del otorgamiento de permisos crea el riesgo de mal uso de la nube.
• Internos maliciosos
– Muchos de los ataques vienen de adentro, peroahora hay que cuidar los internos del cliente y losinternos del proveedor ó proveedores.
japi@alintec.net
Riesgos en Cloud ComputingRiesgos en Cloud Computing
• Vulnerabilidades en la tecnología compartida
– Muchas veces los componentes de infraestructurade IaaS no están diseñados para proveer unadecuado aislamiento entre varios clientes.
• Pérdida/fuga de datos
– En la nubes (sobre todo las públicas y las híbridas) hay un gran número de usuarios posibles a solo un nivel de seguridad de distancia.
• Robo de identidad y credenciales de acceso
– Se incrementan las posibles amenazas y se desconocen algunas vulnerabilidades.
japi@alintec.net
4. Metodologías y Estándares de Control4. Metodologías y Estándares de Control
By ISACA
japi@alintec.net
Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Publicado por la
International Organization
for Standardization
japi@alintec.net
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría
Publicado por la Cloud
Security Alliance, CSA
japi@alintec.net
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría
Publicado por ISACA
japi@alintec.net
ISACA tiene diversas publicaciones sobre Cloud ISACA tiene diversas publicaciones sobre Cloud ComputingComputing
japi@alintec.net
Nota: Ya se publicó el COBIT PAMNota: Ya se publicó el COBIT PAM
Basado en COBIT 4.1 y en ISO/IEC 15504.2
japi@alintec.net
55. Implicaciones Financieras. Implicaciones Financieras
• Se deben identificar claramente los beneficios yexpresarlos en términos monetarios.
• Se deben identificar todos los costos, tanto actuales,como los que se adquieren con los nuevos servicios denube.
• Siempre será necesario alguna inversión inicial almigrar servicios a la nube. (en seguridad, controles,etc.)
• Seguramente pasarán varios años, antes de que losahorros acumulados igualen las inversiones
• La razón BCR (Benefit to Cost Rate) variarádependiendo del modelo de servicio y deimplementación, así como del número de serviciosmigrados.
japi@alintec.net
Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Públicaen Nube Pública
BC
R
28 M USD p/4000 servers
8.5 M USD para 100 servers
japi@alintec.net
Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Híbridaen Nube Híbrida
9.2 M USD P/ 4000 servers
3.7 M USD para 100 servers
japi@alintec.net
Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Privadaen Nube Privada
7.0 M USDPara 4000 servers
2.9 M USD para 100 servers
japi@alintec.net
66. Factores clave para implementar CC. Factores clave para implementar CC
• Contar con un marco de gobierno de CC.
– Políticas de TI considerando Cloud Computing
– Selección del marco de control
– Plan de capacitación para el nuevo paradigma
• Identificar adecuadamente los beneficios
esperados.
– Reducciones de inversiones
– Incremento de la productividad
– Reducción de ciclos de desarrollo
– Flexibilidad
japi@alintec.net
66. Factores clave para implementar CC. Factores clave para implementar CC
• Identificar las soluciones que necesita la
organización para lograr sus objetivos.
– Soluciones de Infraestructura
– Soluciones de plataforma
– Soluciones de aplicaciones
– Mezcla de soluciones
• Identificar y evaluar los riesgos asociados a
las soluciones.
– Establecer prioridades
– Definir respuesta al riesgo
japi@alintec.net
66. Factores clave para implementar CC. Factores clave para implementar CC
• Seleccionar los proveedores idóneos y
establecer los contratos y SLAs
adecuadamente.
– Las fronteras de competencia de los proveedoresde servicios de Cloud Computing desaparecen,dando lugar a proveedores globales.
– Los acuerdos de niveles de servicio sonprioritarios
– Los proveedores deberán poder ser auditados porel cliente o por un tercero.
japi@alintec.net
Algunos proveedoresAlgunos proveedores
Amazon Web Services IBM Cloud
Rackspace
Google App Engine
japi@alintec.net
66. Factores clave para implementar CC. Factores clave para implementar CC
• Definir los KPIs de Cloud Computing.
Tiempo
Costos Calidad
Margen
• Optimización del
tiempo de ejecución
• % de disponibilidad
• Optimización del
costo de capacidad
• Reducción de costos
de energía.
• Incremento de ingresos
•Mejora de utilidades
• Porcentaje de errores
•Cumplimiento de SLAs
japi@alintec.net
66. Factores clave para implementar CC. Factores clave para implementar CC
• Hacer un adecuado plan de migración.
– Entre más se tarde la implementación, mayoresserán los paralelos y menores los ahorros.
– Identificar secuencia de migración.
– Definir responsabilidades.
• Contar con la participación activa deAuditoría Interna.
– Revisar avance de planes de implantación
– Evaluar logro de beneficios
– Evaluar cumplimiento de control interno
– Revisar alineamiento con el negocio.
japi@alintec.net
CONCLUSIONESCONCLUSIONES
• La nube está aquí y llegó para quedarse eltiempo suficiente como para ser tomada muyen cuenta por las organizaciones
• Los beneficios económicos pueden ser muyinteresantes para las empresas que definan eimplementen una adecuada estrategia deservicios en la nube.
• Si las organizaciones no se suben a la nube,sus empleados sí.