Cloud Computing - ISACA - Monterrey Chapter
Cloud Computing - ISACA - Monterrey Chapter
Cloud Computing - ISACA - Monterrey Chapter
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CONFERENCIA ANUAL <strong>ISACA</strong> MONTERREY 2011<br />
<strong>Cloud</strong> <strong>Computing</strong><br />
Expositor:<br />
Ing. José Ángel Peña Ibarra, CGEIT, CRISC<br />
<strong>Monterrey</strong> <strong>Chapter</strong><br />
www.isacamty.org.mx<br />
www.isaca.org<br />
2011 12 02
japi@alintec.net<br />
Preguntas sobre <strong>Cloud</strong> <strong>Computing</strong><br />
1. ¿Que es <strong>Cloud</strong> <strong>Computing</strong>?<br />
2. ¿Que beneficios aporta?<br />
3. ¿Que riesgos tiene?<br />
4. ¿Qué metodologías y estándares de control<br />
hay?<br />
5. ¿Qué implicaciones financieras tiene?<br />
6. ¿Cuáles son los factores clave para implementar<br />
los servicios de <strong>Cloud</strong> <strong>Computing</strong>?
japi@alintec.net<br />
Introducción<br />
• Hipérbole de Cómputo en la Nube:<br />
– Hay muchas exageraciones sobre sus virtudes y<br />
sus defectos.<br />
– Muchos proveedores de TI dicen que ofrecen<br />
servicios en la nube.<br />
• La realidad es que sí afecta o afectará a casi<br />
todas las organizaciones (e individuos) que<br />
usan recursos y servicios informáticos.
japi@alintec.net<br />
1.Qué es <strong>Cloud</strong> <strong>Computing</strong><br />
• Definición del National Institute of Standards<br />
and Technology (NIST) y la <strong>Cloud</strong> Security<br />
Alliance:<br />
– Un modelo para habilitar un conveniente acceso<br />
en red por demanda, a un “pool” compartido de<br />
recursos informáticos configurables (redes,<br />
servidores, almacenamiento, aplicaciones y<br />
servicios) que se puede conformar y proveer<br />
rápidamente, con un esfuerzo gerencial mínimo o<br />
una interacción mínima con el proveedor de<br />
servicios.
japi@alintec.net<br />
La nube ofrece recursos de TI a usuarios:<br />
Recursos en la Nube:<br />
Redes, Servidores,<br />
Almacenamiento,<br />
Aplicaciones, Servicios
japi@alintec.net<br />
Modelos de servicio en <strong>Cloud</strong> <strong>Computing</strong><br />
Sofware as a Service:<br />
SaaS<br />
Platform as a Service:<br />
PaaS<br />
Infrastructure as a Service:<br />
IaaS
japi@alintec.net<br />
Modelos de servicio<br />
Fuente: <strong>ISACA</strong>, IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
japi@alintec.net<br />
Modelos de implementación<br />
Nube<br />
privada<br />
Nube<br />
pública<br />
Nube<br />
comunitaria<br />
Nube<br />
híbrida
japi@alintec.net<br />
Modelos de implementación<br />
Fuente: <strong>ISACA</strong>, IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
2. Beneficios de <strong>Cloud</strong> <strong>Computing</strong><br />
• Optimización de servidores.<br />
• Ahorros:<br />
– Reducción de las inversiones<br />
– Optimización de gastos de operación.<br />
– Cambio paradigma de CAPEX a OPEX con ahorros<br />
netos.<br />
• Escalabilidad Dinámica<br />
• Reducción del ciclo de<br />
desarrollo.<br />
• Reducción en tiempos de<br />
implementación.<br />
japi@alintec.net
japi@alintec.net<br />
3. Riesgos de <strong>Cloud</strong> <strong>Computing</strong><br />
• Los riesgos de <strong>Cloud</strong> <strong>Computing</strong> siguen siendo<br />
esencialmente riesgos de TI, y siguen siendo<br />
en última instancia responsabilidad de los<br />
clientes, no de los proveedores.<br />
• Los riesgos de <strong>Cloud</strong> <strong>Computing</strong> varían de<br />
acuerdo al modelo de servicios (IaaS, PaaS,<br />
Saas) y al modelo de implementación de la<br />
nube (Privada, Híbrida, Pública).
Administración de riesgos de <strong>Cloud</strong> <strong>Computing</strong><br />
Hardware<br />
Facilities<br />
Connectivity<br />
japi@alintec.net<br />
Middleware Middleware<br />
Hardware<br />
Facilities<br />
Connectivity<br />
Presentation<br />
Applications<br />
Data<br />
Hardware<br />
Facilities<br />
Connectivity<br />
Fuente: <strong>ISACA</strong>, IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
• Seguridad Física<br />
japi@alintec.net<br />
Riesgos en <strong>Cloud</strong> <strong>Computing</strong><br />
– Ubicación de infraestructura del Proveedor de<br />
Servicios de <strong>Cloud</strong>, CSP, en lugares peligrosos.<br />
– Se pierde control de dónde están los datos.<br />
• Riesgos Operacionales<br />
– Mala administración de las actualizaciones y<br />
parches de SW<br />
– Inadecuados procedimientos de respaldo<br />
– Inadecuado Plan de Recuperación de Desastres<br />
– Inadecuado Plan de Continuidad del Negocio
japi@alintec.net<br />
Riesgos en <strong>Cloud</strong> <strong>Computing</strong><br />
• Abuso y mal uso de <strong>Cloud</strong> <strong>Computing</strong><br />
– Usuarios propios y de otros pueden saturar los<br />
servicios y colapsar la nube.<br />
– Inadecuado control del otorgamiento de permisos<br />
crea el riesgo de mal uso de la nube.<br />
• Internos maliciosos<br />
– Muchos de los ataques vienen de adentro, pero<br />
ahora hay que cuidar los internos del cliente y los<br />
internos del proveedor ó proveedores.
japi@alintec.net<br />
Riesgos en <strong>Cloud</strong> <strong>Computing</strong><br />
• Vulnerabilidades en la tecnología compartida<br />
– Muchas veces los componentes de infraestructura<br />
de IaaS no están diseñados para proveer un<br />
adecuado aislamiento entre varios clientes.<br />
• Pérdida/fuga de datos<br />
– En la nubes (sobre todo las públicas y las híbridas)<br />
hay un gran número de usuarios posibles a solo un<br />
nivel de seguridad de distancia.<br />
• Robo de identidad y credenciales de acceso<br />
– Se incrementan las posibles amenazas y se<br />
desconocen algunas vulnerabilidades.
japi@alintec.net<br />
4. Metodologías y Estándares de Control<br />
By <strong>ISACA</strong>
japi@alintec.net<br />
IT CONTROL OBJECTIVES<br />
for CLOUD COMPUTING
japi@alintec.net<br />
IT CONTROL OBJECTIVES<br />
for CLOUD COMPUTING
japi@alintec.net<br />
Fuente: <strong>ISACA</strong>,<br />
IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
Marcos de referencia para evaluación / auditoría<br />
japi@alintec.net<br />
Publicado por la<br />
International Organization<br />
for Standardization<br />
Fuente: <strong>ISACA</strong>, IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
Marcos de referencia para evaluación / auditoría<br />
Publicado por la <strong>Cloud</strong><br />
Security Alliance, CSA<br />
japi@alintec.net<br />
Fuente: <strong>ISACA</strong>, IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
Marcos de referencia para evaluación / auditoría<br />
Publicado por <strong>ISACA</strong><br />
japi@alintec.net<br />
Fuente: <strong>ISACA</strong>, IT Controles Objectives for <strong>Cloud</strong> <strong>Computing</strong>
<strong>ISACA</strong> tiene diversas publicaciones sobre <strong>Cloud</strong><br />
<strong>Computing</strong><br />
japi@alintec.net
japi@alintec.net<br />
Buena noticia: Ya viene COBIT 5<br />
www.isaca.org
japi@alintec.net<br />
Nota: Ya se publicó el COBIT PAM<br />
Basado en COBIT 4.1 y en ISO/IEC 15504.2
japi@alintec.net
japi@alintec.net<br />
5. . Implicaciones Financieras<br />
• Se deben identificar claramente los beneficios y<br />
expresarlos en términos monetarios.<br />
• Se deben identificar todos los costos, tanto actuales,<br />
como los que se adquieren con los nuevos servicios de<br />
nube.<br />
• Siempre será necesario alguna inversión inicial al<br />
migrar servicios a la nube. (en seguridad, controles,<br />
etc.)<br />
• Seguramente pasarán varios años, antes de que los<br />
ahorros acumulados igualen las inversiones<br />
• La razón BCR (Benefit to Cost Rate) variará<br />
dependiendo del modelo de servicio y de<br />
implementación, así como del número de servicios<br />
migrados.
BCR<br />
japi@alintec.net<br />
Ejemplo: BCR vs. No. de servidores<br />
en Nube Pública<br />
8.5 M USD para 100 servers<br />
28 M USD p/4000 servers
japi@alintec.net<br />
Ejemplo: BCR vs. No. de servidores<br />
en Nube Híbrida<br />
3.7 M USD para 100 servers<br />
9.2 M USD P/ 4000 servers
japi@alintec.net<br />
Ejemplo: BCR vs. No. de servidores<br />
en Nube Privada<br />
2.9 M USD para 100 servers<br />
7.0 M USD<br />
Para 4000 servers
japi@alintec.net<br />
Diversos Modelos de Costos
japi@alintec.net<br />
6. . Factores clave para implementar CC<br />
• Contar con un marco de gobierno de CC.<br />
– Políticas de TI considerando <strong>Cloud</strong> <strong>Computing</strong><br />
– Selección del marco de control<br />
– Plan de capacitación para el nuevo paradigma<br />
• Identificar adecuadamente los beneficios<br />
esperados.<br />
– Reducciones de inversiones<br />
– Incremento de la productividad<br />
– Reducción de ciclos de desarrollo<br />
– Flexibilidad
japi@alintec.net<br />
6. . Factores clave para implementar CC<br />
• Identificar las soluciones que necesita la<br />
organización para lograr sus objetivos.<br />
– Soluciones de Infraestructura<br />
– Soluciones de plataforma<br />
– Soluciones de aplicaciones<br />
– Mezcla de soluciones<br />
• Identificar y evaluar los riesgos asociados a<br />
las soluciones.<br />
– Establecer prioridades<br />
– Definir respuesta al riesgo
japi@alintec.net<br />
6. . Factores clave para implementar CC<br />
• Seleccionar los proveedores idóneos y<br />
establecer los contratos y SLAs<br />
adecuadamente.<br />
– Las fronteras de competencia de los proveedores<br />
de servicios de <strong>Cloud</strong> <strong>Computing</strong> desaparecen,<br />
dando lugar a proveedores globales.<br />
– Los acuerdos de niveles de servicio son<br />
prioritarios<br />
– Los proveedores deberán poder ser auditados por<br />
el cliente o por un tercero.
japi@alintec.net<br />
Algunos proveedores<br />
Amazon Web Services IBM <strong>Cloud</strong><br />
Rackspace<br />
Google App Engine
japi@alintec.net<br />
6. . Factores clave para implementar CC<br />
• Definir los KPIs de <strong>Cloud</strong> <strong>Computing</strong>.<br />
Tiempo<br />
• Optimización del<br />
tiempo de ejecución<br />
• % de disponibilidad<br />
Margen<br />
Costos Calidad<br />
• Optimización del<br />
costo de capacidad<br />
• Reducción de costos<br />
de energía.<br />
• Incremento de ingresos<br />
•Mejora de utilidades<br />
• Porcentaje de errores<br />
•Cumplimiento de SLAs
japi@alintec.net<br />
6. . Factores clave para implementar CC<br />
• Hacer un adecuado plan de migración.<br />
– Entre más se tarde la implementación, mayores<br />
serán los paralelos y menores los ahorros.<br />
– Identificar secuencia de migración.<br />
– Definir responsabilidades.<br />
• Contar con la participación activa de<br />
Auditoría Interna.<br />
– Revisar avance de planes de implantación<br />
– Evaluar logro de beneficios<br />
– Evaluar cumplimiento de control interno<br />
– Revisar alineamiento con el negocio.
japi@alintec.net<br />
CONCLUSIONES<br />
• La nube está aquí y llegó para quedarse el<br />
tiempo suficiente como para ser tomada muy<br />
en cuenta por las organizaciones<br />
• Los beneficios económicos pueden ser muy<br />
interesantes para las empresas que definan e<br />
implementen una adecuada estrategia de<br />
servicios en la nube.<br />
• Si las organizaciones no se suben a la nube,<br />
sus empleados sí.
Muchas gracias<br />
Ing. José Ángel Peña Ibarra, CGEIT, CRISC<br />
japi@alintec.net<br />
<strong>Monterrey</strong> <strong>Chapter</strong><br />
2011 11 09