Cloud Computing - ISACA - Monterrey Chapter

CONFERENCIA ANUAL ISACA MONTERREY 2011 

Cloud Computing 

Expositor: 

Ing. José Ángel Peña Ibarra, CGEIT, CRISC 

Monterrey Chapter 

www.isacamty.org.mx 

www.isaca.org 

2011 12 02

japi@alintec.net 

Preguntas sobre Cloud Computing 

1. ¿Que es Cloud Computing? 

2. ¿Que beneficios aporta? 

3. ¿Que riesgos tiene? 

4. ¿Qué metodologías y estándares de control 

hay? 

5. ¿Qué implicaciones financieras tiene? 

6. ¿Cuáles son los factores clave para implementar 

los servicios de Cloud Computing?


Introducción 

• Hipérbole de Cómputo en la Nube: 

– Hay muchas exageraciones sobre sus virtudes y 

sus defectos. 

– Muchos proveedores de TI dicen que ofrecen 

servicios en la nube. 

• La realidad es que sí afecta o afectará a casi 

todas las organizaciones (e individuos) que 

usan recursos y servicios informáticos.


1.Qué es Cloud Computing 

• Definición del National Institute of Standards 

and Technology (NIST) y la Cloud Security 

Alliance: 

– Un modelo para habilitar un conveniente acceso 

en red por demanda, a un “pool” compartido de 

recursos informáticos configurables (redes, 

servidores, almacenamiento, aplicaciones y 

servicios) que se puede conformar y proveer 

rápidamente, con un esfuerzo gerencial mínimo o 

una interacción mínima con el proveedor de 

servicios.


La nube ofrece recursos de TI a usuarios: 

Recursos en la Nube: 

Redes, Servidores, 

Almacenamiento, 

Aplicaciones, Servicios


Modelos de servicio en Cloud Computing 

Sofware as a Service: 

SaaS 

Platform as a Service: 

PaaS 

Infrastructure as a Service: 

IaaS


Modelos de servicio 

Fuente: ISACA, IT Controles Objectives for Cloud Computing


Modelos de implementación 

Nube 

privada 

Nube 

pública 

Nube 

comunitaria 

Nube 

híbrida


Modelos de implementación 


2. Beneficios de Cloud Computing 

• Optimización de servidores. 

• Ahorros: 

– Reducción de las inversiones 

– Optimización de gastos de operación. 

– Cambio paradigma de CAPEX a OPEX con ahorros 

netos. 

• Escalabilidad Dinámica 

• Reducción del ciclo de 

desarrollo. 

• Reducción en tiempos de 

implementación. 

japi@alintec.net


3. Riesgos de Cloud Computing 

• Los riesgos de Cloud Computing siguen siendo 

esencialmente riesgos de TI, y siguen siendo 

en última instancia responsabilidad de los 

clientes, no de los proveedores. 

• Los riesgos de Cloud Computing varían de 

acuerdo al modelo de servicios (IaaS, PaaS, 

Saas) y al modelo de implementación de la 

nube (Privada, Híbrida, Pública).

Administración de riesgos de Cloud Computing 

Hardware 

Facilities 

Connectivity 


Middleware Middleware 

Hardware 

Facilities 

Connectivity 

Presentation 

Applications 

Data 

Hardware 

Facilities 

Connectivity 


• Seguridad Física 


Riesgos en Cloud Computing 

– Ubicación de infraestructura del Proveedor de 

Servicios de Cloud, CSP, en lugares peligrosos. 

– Se pierde control de dónde están los datos. 

• Riesgos Operacionales 

– Mala administración de las actualizaciones y 

parches de SW 

– Inadecuados procedimientos de respaldo 

– Inadecuado Plan de Recuperación de Desastres 

– Inadecuado Plan de Continuidad del Negocio



• Abuso y mal uso de Cloud Computing 

– Usuarios propios y de otros pueden saturar los 

servicios y colapsar la nube. 

– Inadecuado control del otorgamiento de permisos 

crea el riesgo de mal uso de la nube. 

• Internos maliciosos 

– Muchos de los ataques vienen de adentro, pero 

ahora hay que cuidar los internos del cliente y los 

internos del proveedor ó proveedores.



• Vulnerabilidades en la tecnología compartida 

– Muchas veces los componentes de infraestructura 

de IaaS no están diseñados para proveer un 

adecuado aislamiento entre varios clientes. 

• Pérdida/fuga de datos 

– En la nubes (sobre todo las públicas y las híbridas) 

hay un gran número de usuarios posibles a solo un 

nivel de seguridad de distancia. 

• Robo de identidad y credenciales de acceso 

– Se incrementan las posibles amenazas y se 

desconocen algunas vulnerabilidades.


4. Metodologías y Estándares de Control 

By ISACA


IT CONTROL OBJECTIVES 

for CLOUD COMPUTING


IT CONTROL OBJECTIVES 

for CLOUD COMPUTING


Fuente: ISACA, 

IT Controles Objectives for Cloud Computing

Marcos de referencia para evaluación / auditoría 


Publicado por la 

International Organization 

for Standardization 



Publicado por la Cloud 

Security Alliance, CSA 




Publicado por ISACA 



ISACA tiene diversas publicaciones sobre Cloud 

Computing 

japi@alintec.net


Buena noticia: Ya viene COBIT 5 

www.isaca.org


Nota: Ya se publicó el COBIT PAM 

Basado en COBIT 4.1 y en ISO/IEC 15504.2

japi@alintec.net


5. . Implicaciones Financieras 

• Se deben identificar claramente los beneficios y 

expresarlos en términos monetarios. 

• Se deben identificar todos los costos, tanto actuales, 

como los que se adquieren con los nuevos servicios de 

nube. 

• Siempre será necesario alguna inversión inicial al 

migrar servicios a la nube. (en seguridad, controles, 

etc.) 

• Seguramente pasarán varios años, antes de que los 

ahorros acumulados igualen las inversiones 

• La razón BCR (Benefit to Cost Rate) variará 

dependiendo del modelo de servicio y de 

implementación, así como del número de servicios 

migrados.

BCR 


Ejemplo: BCR vs. No. de servidores 

en Nube Pública 

8.5 M USD para 100 servers 

28 M USD p/4000 servers



en Nube Híbrida 


9.2 M USD P/ 4000 servers



en Nube Privada 


7.0 M USD 

Para 4000 servers


Diversos Modelos de Costos


6. . Factores clave para implementar CC 

• Contar con un marco de gobierno de CC. 

– Políticas de TI considerando Cloud Computing 

– Selección del marco de control 

– Plan de capacitación para el nuevo paradigma 

• Identificar adecuadamente los beneficios 

esperados. 

– Reducciones de inversiones 

– Incremento de la productividad 

– Reducción de ciclos de desarrollo 

– Flexibilidad



• Identificar las soluciones que necesita la 

organización para lograr sus objetivos. 

– Soluciones de Infraestructura 

– Soluciones de plataforma 

– Soluciones de aplicaciones 

– Mezcla de soluciones 

• Identificar y evaluar los riesgos asociados a 

las soluciones. 

– Establecer prioridades 

– Definir respuesta al riesgo



• Seleccionar los proveedores idóneos y 

establecer los contratos y SLAs 

adecuadamente. 

– Las fronteras de competencia de los proveedores 

de servicios de Cloud Computing desaparecen, 

dando lugar a proveedores globales. 

– Los acuerdos de niveles de servicio son 

prioritarios 

– Los proveedores deberán poder ser auditados por 

el cliente o por un tercero.


Algunos proveedores 

Amazon Web Services IBM Cloud 

Rackspace 

Google App Engine



• Definir los KPIs de Cloud Computing. 

Tiempo 

• Optimización del 

tiempo de ejecución 

• % de disponibilidad 

Margen 

Costos Calidad 

• Optimización del 

costo de capacidad 

• Reducción de costos 

de energía. 

• Incremento de ingresos 

•Mejora de utilidades 

• Porcentaje de errores 

•Cumplimiento de SLAs



• Hacer un adecuado plan de migración. 

– Entre más se tarde la implementación, mayores 

serán los paralelos y menores los ahorros. 

– Identificar secuencia de migración. 

– Definir responsabilidades. 

• Contar con la participación activa de 

Auditoría Interna. 

– Revisar avance de planes de implantación 

– Evaluar logro de beneficios 

– Evaluar cumplimiento de control interno 

– Revisar alineamiento con el negocio.


CONCLUSIONES 

• La nube está aquí y llegó para quedarse el 

tiempo suficiente como para ser tomada muy 

en cuenta por las organizaciones 

• Los beneficios económicos pueden ser muy 

interesantes para las empresas que definan e 

implementen una adecuada estrategia de 

servicios en la nube. 

• Si las organizaciones no se suben a la nube, 

sus empleados sí.

Muchas gracias 

Ing. José Ángel Peña Ibarra, CGEIT, CRISC 


Monterrey Chapter 

2011 11 09

Cloud Computing - ISACA - Monterrey Chapter

Create successful ePaper yourself

Delete template?

Save as template?