Cloud Computing ISACAMTYv2 - Information Assurance Clou… · Riesgos en Cloud Computing ... Amazon...

39
Cloud Computing Expositor: Ing. José Ángel Peña Ibarra, CGEIT, CRISC 2011 12 02 Monterrey Chapter www.isacamty.org.mx www.isaca.org CONFERENCIA ANUAL ISACA MONTERREY 2011 CONFERENCIA ANUAL ISACA MONTERREY 2011

Transcript of Cloud Computing ISACAMTYv2 - Information Assurance Clou… · Riesgos en Cloud Computing ... Amazon...

Cloud Computing Expositor:

Ing. José Ángel Peña Ibarra, CGEIT, CRISC

2011 12 02

Monterrey Chapter

www.isacamty.org.mx

www.isaca.org

CONFERENCIA ANUAL ISACA MONTERREY 2011CONFERENCIA ANUAL ISACA MONTERREY 2011

[email protected]

Preguntas sobre Cloud ComputingPreguntas sobre Cloud Computing

1. ¿Que es Cloud Computing?

2. ¿Que beneficios aporta?

3. ¿Que riesgos tiene?

4. ¿Qué metodologías y estándares de control hay?

5. ¿Qué implicaciones financieras tiene?

6. ¿Cuáles son los factores clave para implementar los servicios de Cloud Computing?

[email protected]

IntroducciónIntroducción

• Hipérbole de Cómputo en la Nube:

– Hay muchas exageraciones sobre sus virtudes ysus defectos.

– Muchos proveedores de TI dicen que ofrecenservicios en la nube.

• La realidad es que sí afecta o afectará a casitodas las organizaciones (e individuos) queusan recursos y servicios informáticos.

[email protected]

1.Qué es Cloud Computing1.Qué es Cloud Computing

• Definición del National Institute of Standards and Technology (NIST) y la Cloud Security Alliance:

– Un modelo para habilitar un conveniente accesoen red por demanda, a un “pool” compartido derecursos informáticos configurables (redes,servidores, almacenamiento, aplicaciones yservicios) que se puede conformar y proveerrápidamente, con un esfuerzo gerencial mínimo ouna interacción mínima con el proveedor deservicios.

[email protected]

La nube ofrece recursos de TI a usuarios:La nube ofrece recursos de TI a usuarios:

Recursos en la Nube:Redes, Servidores,

Almacenamiento,

Aplicaciones, Servicios

[email protected]

Modelos de servicio en Cloud ComputingModelos de servicio en Cloud Computing

Sofware as a Service:

SaaS

Platform as a Service:

PaaS

Infrastructure as a Service:

IaaS

[email protected]

Modelos de servicioModelos de servicio

Fuente: ISACA, IT Controles Objectives for Cloud Computing

[email protected]

Modelos de implementaciónModelos de implementación

Nube privada

Nube comuni-

taria

Nube pública

Nube híbrida

[email protected]

Modelos de implementaciónModelos de implementación

Fuente: ISACA, IT Controles Objectives for Cloud Computing

[email protected]

2. Beneficios de Cloud Computing2. Beneficios de Cloud Computing

• Escalabilidad Dinámica

• Reducción del ciclo de desarrollo.

• Reducción en tiempos de implementación.

• Optimización de servidores.

• Ahorros:

– Reducción de las inversiones

– Optimización de gastos de operación.

– Cambio paradigma de CAPEX a OPEX con ahorros netos.

[email protected]

3. Riesgos de Cloud Computing3. Riesgos de Cloud Computing

• Los riesgos de Cloud Computing siguen siendoesencialmente riesgos de TI, y siguen siendoen última instancia responsabilidad de losclientes, no de los proveedores.

• Los riesgos de Cloud Computing varían deacuerdo al modelo de servicios (IaaS, PaaS,Saas) y al modelo de implementación de lanube (Privada, Híbrida, Pública).

[email protected]

Administración de riesgos de Cloud ComputingAdministración de riesgos de Cloud Computing

Fuente: ISACA, IT Controles Objectives for Cloud Computing

Hardware

Facilities

Connectivity

Middleware Middleware

Presentation

Applications

Data

Hardware

Facilities

Connectivity

Hardware

Facilities

Connectivity

[email protected]

Riesgos en Cloud ComputingRiesgos en Cloud Computing

• Seguridad Física

– Ubicación de infraestructura del Proveedor de Servicios de Cloud, CSP, en lugares peligrosos.

– Se pierde control de dónde están los datos.

• Riesgos Operacionales

– Mala administración de las actualizaciones y parches de SW

– Inadecuados procedimientos de respaldo

– Inadecuado Plan de Recuperación de Desastres

– Inadecuado Plan de Continuidad del Negocio

[email protected]

Riesgos en Cloud ComputingRiesgos en Cloud Computing

• Abuso y mal uso de Cloud Computing

– Usuarios propios y de otros pueden saturar los servicios y colapsar la nube.

– Inadecuado control del otorgamiento de permisos crea el riesgo de mal uso de la nube.

• Internos maliciosos

– Muchos de los ataques vienen de adentro, peroahora hay que cuidar los internos del cliente y losinternos del proveedor ó proveedores.

[email protected]

Riesgos en Cloud ComputingRiesgos en Cloud Computing

• Vulnerabilidades en la tecnología compartida

– Muchas veces los componentes de infraestructurade IaaS no están diseñados para proveer unadecuado aislamiento entre varios clientes.

• Pérdida/fuga de datos

– En la nubes (sobre todo las públicas y las híbridas) hay un gran número de usuarios posibles a solo un nivel de seguridad de distancia.

• Robo de identidad y credenciales de acceso

– Se incrementan las posibles amenazas y se desconocen algunas vulnerabilidades.

[email protected]

4. Metodologías y Estándares de Control4. Metodologías y Estándares de Control

By ISACA

[email protected]

IT CONTROL OBJECTIVES IT CONTROL OBJECTIVES forfor CLOUD COMPUTINGCLOUD COMPUTING

[email protected]

IT CONTROL OBJECTIVES IT CONTROL OBJECTIVES forfor CLOUD COMPUTINGCLOUD COMPUTING

[email protected] Fuente: ISACA, IT Controles Objectives for Cloud Computing

[email protected]

Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría

Fuente: ISACA, IT Controles Objectives for Cloud Computing

Publicado por la

International Organization

for Standardization

[email protected]

Fuente: ISACA, IT Controles Objectives for Cloud Computing

Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría

Publicado por la Cloud

Security Alliance, CSA

[email protected]

Fuente: ISACA, IT Controles Objectives for Cloud Computing

Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría

Publicado por ISACA

[email protected]

ISACA tiene diversas publicaciones sobre Cloud ISACA tiene diversas publicaciones sobre Cloud ComputingComputing

[email protected]

Buena noticia: Ya viene COBIT 5Buena noticia: Ya viene COBIT 5

www.isaca.org

[email protected]

Nota: Ya se publicó el COBIT PAMNota: Ya se publicó el COBIT PAM

Basado en COBIT 4.1 y en ISO/IEC 15504.2

[email protected]

55. Implicaciones Financieras. Implicaciones Financieras

• Se deben identificar claramente los beneficios yexpresarlos en términos monetarios.

• Se deben identificar todos los costos, tanto actuales,como los que se adquieren con los nuevos servicios denube.

• Siempre será necesario alguna inversión inicial almigrar servicios a la nube. (en seguridad, controles,etc.)

• Seguramente pasarán varios años, antes de que losahorros acumulados igualen las inversiones

• La razón BCR (Benefit to Cost Rate) variarádependiendo del modelo de servicio y deimplementación, así como del número de serviciosmigrados.

[email protected]

Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Públicaen Nube Pública

BC

R

28 M USD p/4000 servers

8.5 M USD para 100 servers

[email protected]

Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Híbridaen Nube Híbrida

9.2 M USD P/ 4000 servers

3.7 M USD para 100 servers

[email protected]

Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Privadaen Nube Privada

7.0 M USDPara 4000 servers

2.9 M USD para 100 servers

[email protected]

Diversos Modelos de CostosDiversos Modelos de Costos

[email protected]

66. Factores clave para implementar CC. Factores clave para implementar CC

• Contar con un marco de gobierno de CC.

– Políticas de TI considerando Cloud Computing

– Selección del marco de control

– Plan de capacitación para el nuevo paradigma

• Identificar adecuadamente los beneficios

esperados.

– Reducciones de inversiones

– Incremento de la productividad

– Reducción de ciclos de desarrollo

– Flexibilidad

[email protected]

66. Factores clave para implementar CC. Factores clave para implementar CC

• Identificar las soluciones que necesita la

organización para lograr sus objetivos.

– Soluciones de Infraestructura

– Soluciones de plataforma

– Soluciones de aplicaciones

– Mezcla de soluciones

• Identificar y evaluar los riesgos asociados a

las soluciones.

– Establecer prioridades

– Definir respuesta al riesgo

[email protected]

66. Factores clave para implementar CC. Factores clave para implementar CC

• Seleccionar los proveedores idóneos y

establecer los contratos y SLAs

adecuadamente.

– Las fronteras de competencia de los proveedoresde servicios de Cloud Computing desaparecen,dando lugar a proveedores globales.

– Los acuerdos de niveles de servicio sonprioritarios

– Los proveedores deberán poder ser auditados porel cliente o por un tercero.

[email protected]

Algunos proveedoresAlgunos proveedores

Amazon Web Services IBM Cloud

Rackspace

Google App Engine

[email protected]

66. Factores clave para implementar CC. Factores clave para implementar CC

• Definir los KPIs de Cloud Computing.

Tiempo

Costos Calidad

Margen

• Optimización del

tiempo de ejecución

• % de disponibilidad

• Optimización del

costo de capacidad

• Reducción de costos

de energía.

• Incremento de ingresos

•Mejora de utilidades

• Porcentaje de errores

•Cumplimiento de SLAs

[email protected]

66. Factores clave para implementar CC. Factores clave para implementar CC

• Hacer un adecuado plan de migración.

– Entre más se tarde la implementación, mayoresserán los paralelos y menores los ahorros.

– Identificar secuencia de migración.

– Definir responsabilidades.

• Contar con la participación activa deAuditoría Interna.

– Revisar avance de planes de implantación

– Evaluar logro de beneficios

– Evaluar cumplimiento de control interno

– Revisar alineamiento con el negocio.

[email protected]

CONCLUSIONESCONCLUSIONES

• La nube está aquí y llegó para quedarse eltiempo suficiente como para ser tomada muyen cuenta por las organizaciones

• Los beneficios económicos pueden ser muyinteresantes para las empresas que definan eimplementen una adecuada estrategia deservicios en la nube.

• Si las organizaciones no se suben a la nube,sus empleados sí.

Muchas gracias

Ing. José Ángel Peña Ibarra, CGEIT, CRISC

[email protected]

2011 11 09

Monterrey Chapter