Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Perspectivas sobre
los riesgos de TI
Resumen de negocio
Listos para despegar
Prepare su viaje hacia la nube
Perspectivas sobre los riesgos de TI 1
Contenido
La migración exitosa hacia la nube requiere que esté preparado .... 1
El cielo es el límite para los servicios en la nube ........................... 2
El despegue para la adopción de la nube ...................................... 6
Navegar a través del universo de riesgo en la nube ....................... 8
Abróchese el cinturón – utilice un enfoque pragmático .................. 14
Actúe ......................................................................................... 16
Apéndice .................................................................................... 17
2 Ernst & Young
Manejo de los riesgos en la nube
Muchas organizaciones están considerando utilizar la computación en nube para
aumentar la eficacia de las iniciativas de Tecnología de la Información (TI), reducir
costos de las operaciones internas, aumentar la flexibilidad operativa y crear una
ventaja competitiva. Mediante una estrategia eficiente, la computación en nube
podría permitir que muchas organizaciones hagan mucho más con TI al enfocarse
en la estrategia y no en las operaciones. Los servicios basados en la nube son ágiles
y adaptables, ya que mejoran la capacidad de leer y reaccionar a las condiciones
cambiantes del mercado, al responder a las necesidades de los clientes o consumidores
y a las acciones de la competencia o del mercado en general.
Los expertos y profesionales de negocios reconocen la velocidad y eficiencias que trae
consigo el hecho de adoptar la tecnología de la nube. Las organizaciones que están
reacias a enfocarse en TI, reconocen el enorme valor de poder concentrarse en sus
competencias de negocio clave, lo cual se logra al cambiarse a ser consumidores de
servicios de TI, ya que no necesitan construir y mantener complejas infraestructuras
internas. La computación en nube está evolucionando rápidamente, dando a las
organizaciones una gran variedad de opciones cuando buscan reestructurar su
organización de TI.
Sin embargo, como muchos de los cambios tecnológicos, la computación en nube
presenta sus propios riesgos y retos que los negocios, ya que a menudo pasan por
alto al adoptarla rápidamente y no entenderá por completo. La implementación de
la computación en nube requiere un cambio importante respecto de los métodos
tradicionales. Es recomendable que las organizaciones que están considerando la
computación en nube lleven a cabo una revisión detallada de servicios profesionales
con base en las necesidades del negocio y la capacidad de la TI, a fin de determinar si
están preparadas para adoptar una plataforma en nube. Por lo tanto, se necesita una
estrategia clara y alcanzable para migrar a la nube, tomando en cuenta los riesgos y
retos relacionados así como los requerimientos internos para atender dichos asuntos.
En este documento analizaremos el universo de riesgos de la nube o, en otras palabras,
las áreas de riesgo más importantes que deben atenderse cuando se cambia a la nube.
Como parte de este análisis, proporcionaremos un marco para realizar una evaluación
de riesgos de la nube.
Como firma reconocemos la trascendencia de este tema, por lo que desde febrero
de 2011, somos miembros corporativos de la Cloud Security Alliance (CSA). Si tiene
inquietudes sobre cómo abordar este tema, permítanos orientarle.
De acuerdo con MarketsandMarkets.com, Mercado de
Computación en Nube — Pronóstico Global (2010 — 2015),
se espera que el mercado global de la computación en nube
crezca de USD 37.8 mil millones en 2010 a USD 121.1 mil
millones en 2015 con una tasa compuesta de crecimiento
anual (CAGR, por sus siglas en inglés) del 26.2% entre 2010
y 2015.
Perspectivas sobre los riesgos de TI 1
El cielo es el límite
para los servicios
en la nube
Los servicios de computación en nube están disponibles en diferentes modalidades.
El Instituto Nacional de Normas y Tecnología de los EE.UU. (NIST, por sus siglas en
inglés) define la computación en nube como “un modelo para permitir el acceso
conveniente por red y por demanda, a un conjunto compartido de recursos informáticos
configurables (por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios)
que pueden proporcionarse y liberarse rápidamente con un esfuerzo mínimo de
administración o interacción por parte del proveedor del servicio”. Si bien la definición
del NIST1 incluye tres modelos de servicio primarios, el mercado ha evolucionado para
que pueda comprar como un servicio casi cualquier trozo del “montón de servicios de
cómputo” tomando en cuenta los siguientes tres modelos:
1. Infraestructura como un servicio (IaaS, por sus siglas en inglés): los servicios que
se prestan al cliente son para proveer recursos de procesamiento, almacenaje,
redes y otros fundamentales de computación en donde el cliente pueda instalar
y ejecutar software a voluntad, lo cual podría incluir sistemas operativos y
aplicaciones. El cliente no administra ni controla la infraestructura subyacente de
la nube, pero tiene control sobre los sistemas operativos, el almacenamiento, las
aplicaciones instaladas y posiblemente control limitado de algunos componentes de
red (ejemplo, los firewalls).
2. Plataforma como un servicio (PaaS, por sus siglas en inglés): los servicios que
se prestan al cliente son para distribuir en la infraestructura de la nube las
aplicaciones creadas por los clientes o aplicaciones realizadas utilizando lenguajes
de programación compatibles con los del proveedor. El cliente no administra ni
controla la infraestructura subyacente de la nube, incluyendo la red, servidores,
sistemas operativos ni el almacenamiento, pero tiene control sobre las aplicaciones
instaladas y posiblemente sobre las configuraciones del ambiente de alojamiento de
aplicaciones.
3. Software como un servicio (SaaS, por sus siglas en inglés): los servicios que se
prestan al cliente son el uso de las aplicaciones del proveedor ejecutadas en
una infraestructura de nube. El cliente tiene acceso a las aplicaciones desde
diferentes dispositivos a través de una interfaz ligera de clientes, como un buscador
web (como el correo electrónico basado en la web). El cliente no administra ni
controla la infraestructura subyacente de la nube, incluyendo la red, servidores,
sistemas operativos, almacenamiento o incluso las capacidades individuales de
las aplicaciones, con la posible excepción de configuraciones limitadas de las
aplicaciones específicas del usuario.
1
Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos
de distribución se extrajeron de la definición del Instituto Nacional de Normas y Tecnología de los EE.UU., NIST
Definitions of Cloud Computing v15. El texto completo se encuentra disponible en el sitio web del NIST en la
siguiente dirección: http://nist.gov/itl/cloud/upload/coulddef-v15.pdf
2 Ernst & Young
Consumidor de Servicios en la Nube
Recursos
Humanos
ERP Redes Sociales
Facturación Financieros
Administración
Ventas
Consumidor SaaS del Contenido
Productividad en la
CRM Oficina y en Correos
Electrónicos
Administración de
Colaboración
Documentos
Administración de
Almacenaje
Servicios
Base de datos
Hosting en
Inteligencia de CDN*
Implementación Plataforma
Negocios de Aplicaciones Consumidor IaaS
Consumidor PaaS
Respaldo y
Cómputo
Recuperación
Desarrollo y
Integración
Pruebas
Fuente: Gráfica del National Institute of Standards and Technology (NIST), Arquitectura de Referencia de la Computación en Nube (Cloud
Computing Reference Architecture), Publicación Especial 500-292, http://csrc.nist.gov.
*Content Delivery Network
Perspectivas sobre los riesgos de TI 3
El cielo es el límite para los servicios en la nube
Además, está surgiendo un cuarto modelo de servicio llamado • Nube pública: la infraestructura de la nube se pone a
Proceso de Negocio como un Servicio (BPaaS, por sus siglas en disposición del público en general o de un grupo de
inglés), aunque a un paso más lento que los otros tres modelos. industrias grandes y es propiedad de una organización que
El BPaaS combina múltiples componentes de cada uno de los vende los servicios de nube.
tres primeros modelos para proporcionar todo un proceso de
negocios. Hoy en día, los servicios como nómina y facturación • Nube comunitaria: varias organizaciones comparten la
ya se subcontratan utilizando métodos tradicionales. De cara al infraestructura de la nube, la cual apoya a una comunidad
futuro, esperamos que evolucionen los servicios de procesos de específica que tiene inquietudes en común (misión,
negocios de alto valor que se diferencien de la subcontratación requisitos de seguridad, consideraciones de política y
de los procesos de negocios tradicionales, ya que estarán cumplimiento). Puede ser administrada por la organización
habilitados por múltiples servicios subyacentes de la nube. o un tercero y puede existir dentro o fuera de las
instalaciones.
Estos modelos de servicio primarios se pueden implementar a
través de plataformas de nube privadas, públicas, híbridas o • Nube híbrida: la infraestructura de la nube es una
comunitarias.2 combinación de dos o más nubes (privada, comunitaria o
pública) que continúan siendo entidades independientes
• Nube privada: la infraestructura de la nube se proporciona pero que están unidas por tecnología estandarizada o
por una sola organización. Podría ser propiedad de la de su propiedad que permite la portabilidad de datos y
organización y ser administrada y operada por esta, un aplicaciones (por ejemplo utilizar nubes públicas para
tercero o por una combinación de ellos y podría existir equilibrar la carga entre las nubes).
dentro o fuera de las instalaciones.
El NIST también define cinco características esenciales de la
computación en nube, las cuales se incluyen en el Apéndice).
2
Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto
Nacional de Normas y Tecnología de los EE.UU.
4 Ernst & Young
Nube privada Nube pública
Organización a
Organización b
Red empresarial de los consumidores
Organización c
Nube comunitaria Nube hibrida
Consumidores de Servicios en la Nube
Red empresarial de
los consumidores
Nota: Ilustración basada en los modelos de instalación de servicio del NIST (Cloud Computing Reference Architecture, Publicaciones
Especiales 500-292).
Perspectivas sobre los riesgos de TI 5
El despegue para
la adopción de la
nube
El cambio de operaciones físicas a virtuales, ha permitido que los negocios aprovechen
las nuevas tecnologías impulsadas por la necesidad de reducir costos y a la vez lograr
una mejor agilidad del negocio. De acuerdo con nuestra publicación Salir de la niebla
para entrar a la nube: XIV Encuesta Global de Seguridad de la Información de
Ernst & Young (XIV GISS, por sus siglas en inglés), la cantidad de organizaciones que
utilizaron servicios basados en la nube en 2011 aumentó considerablemente a nivel
global y en México en comparación con el año anterior.
Para adoptar aplicaciones altamente configurables, de rápida implementación y
administradas externamente, cada vez más organizaciones están cambiando sus
contratos de subcontratación más tradicionales por contratos con proveedores de
servicios en la nube. De hecho, nuestra encuesta reveló que 61% de los encuestados
a nivel global y 57% en México actualmente están utilizando, evaluando o planeando
implementar servicios basados en la nube dentro de los próximos 12 meses.
A medida que las organizaciones reconozcan los beneficios de trasladar su negocio
hacia la nube y que aumente la confianza en el modelo de negocios en la misma,
tendrán la seguridad de que los servicios críticos y, en algunos casos, toda su huella de
infraestructura de TI pueda existir en ella. Al entrar a la nube, las organizaciones ahora
tendrán la posibilidad de disminuir considerablemente, alterando así su modelo de
negocios (XIV GISS).
Figura 1: ¿Su organización utiliza servicios basados en nube?
México Global
No, y no estaba planeado para los 41% 39%
siguientes 12 meses 61% 55%
17% 36%
Sí, ya están en uso
7% 23%
16% 9%
Sí, se está evaluando el uso
11% 7%
24% 16%
No, pero su uso está planeado para los
próximos 12 meses 21% 15%
No contestó
1%
Muestra: porcentaje de encuestados (XIII
GISS y XIV GISS)
XIII XIV XIII XIV
6 Ernst & Young
Impulsores de la computación en nube
Agilidad del negocio Quizá el acelerador más importante para la adopción de la nube es la capacidad de escalar de manera flexible los
recursos de TI hacia arriba y hacia abajo, dependiendo de las necesidades momentáneas o de capacidad del negocio.
Esto resuelve un antiguo dilema para las grandes organizaciones, las cuales pronostican la demanda por sus recursos
de TI, pero que generalmente terminan con una mayor capacidad de lo que necesitan o, peor aún, menos de lo que
necesitan, lo cual se debe a cambios en el negocio durante el proceso de instalación. Los servicios de TI basados en
la nube pueden aumentar o disminuir a medida que cambian las necesidades del negocio, sin que se requieran largos
tiempos de implementación o una inversión agresiva de capital.
Pago conforme se utiliza El hecho de que ahora la inversión sea por parte del proveedor resulta extremadamente atractivo para las
vs. instalar y poseer organizaciones tanto grandes como pequeñas. Esta flexibilidad les permite mantenerse como clientes de la nube y
comprar acceso a la infraestructura y las aplicaciones que necesita a medida que las requieren. En lugar de pagarlo
todo junto por adelantado, así como más capacidad de la que podrían necesitar en ese momento, los clientes de la
nube pagan únicamente lo que utilizan, y solo cuando lo utilizan.
Ahorro en costos En un informe, la Institución Brookings señaló que las agencias gubernamentales pueden ahorrar entre 25% y 50% de
sus costos de TI y mejorar la agilidad de sus negocios al migrar su infraestructura de TI a los servicios de la nube.
Plataforma de Los servicios de computación en nube reducen los obstáculos de TI para nuevos participantes, permitiendo que los
innovación para la nube nuevos negocios tengan un menor costo de infraestructura inicial del que se necesitaba antes de la nube. Este ahorro
de crecimiento en costos permite una mayor innovación, lo que seguramente permitirá a las organizaciones asignar más tiempo a su
estrategia y su habilitación al utilizar la nube.
Uso de la Una mejor eficiencia de la red da como resultado un menor consumo de energía y una menor huella de carbono.
infraestructura Esto se debe a la virtualización de los recursos de hardware y software y de proveerlos como un servicio a múltiples
consumidores de manera simultánea.
Inversión pública Los gobiernos a nivel mundial están invirtiendo en la creación de regiones económicas de desarrollo de tecnología de
nube (China y Japón), al apoyar la elaboración de normas relacionadas con la nube (ejemplo la UE y los EE.UU.) o al
migrar sus propias infraestructuras de TI a los servicios de nube en un esfuerzo por predicar con el ejemplo
(EE.UU., Reino Unido y Japón). México ha incluido el tema en el Reglamento de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares.
Investigación de La investigación señala la adopción rápida y continua de servicios de nube públicos y privados, lo cual generalmente
mercado se convierte en una profecía cumplida.
Seguridad Forrester Research pronosticó que en un periodo de cinco años, la seguridad de la información será uno de los
impulsores principales para adoptar la computación en nube3. Ya existe una opinión cada vez más generalizada de
que el uso de un proveedor de servicios de nube (CSP, por sus siglas en inglés) aumenta la seguridad4. La viabilidad
del CSP depende, en parte, de que cuente con una reputación de ser confiable. De acuerdo con este punto de vista,
el CSP le asignará muchos más recursos a la seguridad y a la protección de datos que un negocio normal, cuyos
departamentos de TI son centros de costos que a menudo enfrentan presupuestos decrecientes. De hecho, esto es
algo que ya se está viendo: los CSP líder consideran que la seguridad es uno de los asuntos más importantes para la
adopción generalizada, y las medidas que están tomando están “estableciendo la norma” eficazmente para otros.
Esfuerzos de Es probable que las normas reduzcan o eliminen el riesgo de muchos de los obstáculos actuales para la adopción
estandarización de la nube. Muchas coaliciones de gobierno, de la industria y públicas y privadas están buscando establecer dichas
normas y, por ende, facilitar la administración de riesgos para los CSP y sus consumidores de la nube.
Asesores de la nube Los asesores emergentes de servicios de la nube simplifican la transición de una organización a la nube al ayudarles
con problemas específicos de seguridad, privacidad, cumplimiento y ayudándoles a lograr interoperabilidad en
múltiples nubes (públicas y privadas) y en su infraestructura interna de TI.
Riesgo de ser excluido Las organizaciones que no adoptan la computación en nube a la par que sus competidores están en riesgo de
no disfrutar de los beneficios esperados, como la flexibilidad y agilidad que otorgan los servicios por demanda y
acceso a las versiones más recientes de las tecnologías. Esto se debe a que generalmente, los CSP llevan a cabo
actualizaciones de sistema más oportunas que la mayoría de las organizaciones privadas.
3
IDC Predictions 2011: Welcome to the New Mainstream, International Data Corporation, diciembre de 2010.
4
Seguridad sin Fronteras: Encuesta Global de Seguridad de la Información de 2010 de Ernst & Young, Ernst & Young, 2010.
Perspectivas sobre los riesgos de TI 7
Navegar a través
del universo de
riesgo en la nube
Un punto de vista holístico
Como se mencionó anteriormente, la computación en nube está en camino a ser
adoptada por la mayoría de las empresas. Sin embargo, muchas organizaciones aún no
tienen claras sus implicaciones y están preocupadas por los riesgos y retos asociados
con su uso.
La vista 360° de la nube de Ernst & Young (Figura 2) proporciona un mapa holístico de
las áreas que las organizaciones deben tomar en cuenta al explorar la computación en
nube. Las cuatro áreas principales de la vista 360° de la nube (que se encuentran en el
centro) son: posicionamiento de la nube, suministro de la nube, realización de la nube y
aseguramiento de la nube. Cada categoría se divide en cuatro componentes, lo que da
un total de 16 áreas de enfoque.
Tal y como se muestra en el diagrama, la implementación de una solución de nube
puede afectar muchas de las áreas de una organización.
La decisión de migrar a la nube no se debe tomar a la ligera. En primer lugar, las
organizaciones deben tener una visión clara de lo que quieren lograr con dicha
migración en términos de sus objetivos generales. También deben entender los riesgos
e implicaciones para la organización en conjunto, no solo con lo relacionado a la TI.
Igualmente deben incluir el diseño de medidas y estrategias de mitigación adecuadas
para manejar los riesgos y retos asociados.
El hecho de integrarse a la nube no es solo otro programa
de cambio; es una transición completa de los procesos de
negocio.
8 Ernst & YoungFigura 2: Vista 360º de la nube
Modelos y
Evaluación y oportunidades
justificación de la de negocios de
cartera de la nube la nube
Gobierno
Visión y estrategia corporativo e
de la nube incentivos de la
Revisión del Planteamiento nube
panorama de sector por sector
la aplicación – de nuevos modelos
determinar la de negocios
alineación entre el de industrias
Establecimiento del valor de negocios Apoyo económico
habilitados en la
rumbo adecuado básico de cualquier parte
nube
Riesgo y de la nube y contar y el valor del mundo para el
con una estructura Abastecimiento y
comunicación de de negocios desarrollo de la nube
adecuada de toma adquisiciones en
la nube estratégico
de decisiones torno a la nube
relacionadas
Los riesgos clave con la nube
de la nube y el Investigación, idoneidad,
desarrollo de un modelo de acuerdos y estrategia
riesgos de la nube que ayuden a de retención y salida del
mitigar estos riesgos proveedor de servicios de
miento de la
iona nub la nube
sic e Administración
Continuidad y Po y gobierno
disponibilidad del corporativo de
negocio de la nube
e
Aseguramiento de que la proveedores de
ub
nube apoyará las inquietudes Nueva ideología sobre servicios de nube
Su
ramiento de la n
relacionadas con las los SLA* y el gobierno
mini
Vista 360°
operaciones continuas corporativo de múltiples
proveedores
stro de la nu
de la nube
egu
Asuntos relacionados con Modelos de negocios y
be
“ceder el control” y una Precios y
As
Seguridad y modelos de precios de la
nueva cultura de confianza nube que los optimizan rendimiento sobre
privacidad de la
nube las inversiones de
e la nube
Rea nub
lizac ión de la
Sistemas de administración
Apego a las reglas y contable, ideas sobre su
reglamentos en el mundo sin ubicación y caracterización
fronteras de la nube fiscal
Uso de
Cumplimiento y plataformas de Impuestos y
reglamentos de la nube para contabilidad de
la nube desarrollar un
nuevo gobierno
Administración del la nube
programa de transición/
corporativo La madurez y
Definición de su transformación
relacionado con el adopción de
mismo enfoque respecto
normas y retos
de la arquitectura
más amplios para
de la empresa a
la integración de
corto, mediano y
Sistemas y los servicios Administración del
largo plazo
desarrollo de la cambio y adopción
nube de la nube
Modelo de Normas e
arquitectura y interoperabilidad
desarrollo de la de la nube
nube
*Service Level Agreements
Perspectivas sobre los riesgos de TI 9Navegar a través del universo de riesgo en la nube
Implicaciones para el negocio supervisión sobre el proceso de administración de contratos con
los proveedores de servicios de nube. En México, la medida más
El hecho de integrarse a la nube no es solo otro programa de común es establecer controles más robustos de administración
cambio; es una transición completa de los procesos de negocio. de acceso e identidad. Cabe mencionar que ambas medidas
únicamente son adoptadas por un poco más del 20% de los
Si no están bien preparadas, las organizaciones podrían luchar encuestados (22% y 21%, respectivamente), lo cual indica que
por integrar la computación en nube externa en su negocio. hay un alto y posiblemente equivocado nivel de confianza.
El XIV GISS arrojó que 64% de los encuestados en México y
48% a nivel global mencionaron que la implementación de Debido a la falta de una guía clara, muchas organizaciones
la computación en nube es un reto difícil o muy difícil, y un parecen tomar decisiones apresuradas, ya sea al cambiarse a la
poco más de la mitad aún no ha implementado controles para nube antes de tiempo y sin considerar los riesgos relacionados,
mitigar los riesgos relacionados con la computación en nube. o al evitarla en su totalidad. Los resultados de la encuesta
Las organizaciones, que se muestran inciertas acerca de sus señalaron que aunque muchas organizaciones se han cambiado
opciones de control, eligen e implementan solo un subconjunto a la nube, muchas lo han hecho con cierta renuencia, como
de los que se encuentran disponibles, y a veces no implementan lo demuestra 88% de los encuestados en México y 81% a nivel
ninguno. A nivel global la medida más común es una mayor global, quienes reconocen que deben ofrecer iniciativas de
seguridad de la información para las nuevas tecnologías, como la
computación en nube y virtualización.
Figura 3: ¿Cuál de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de
cómputo en la nube?
52%
Ninguno
50%
Una mayor supervisión del proceso de gestión de contratos de los 22%
proveedores de servicios de la nube 15%
21%
Una mayor agilidad de respuesta de los proveedores del servicio
15%
19%
Controles más robustos de administración de acceso e identidad
21%
18%
Técnicas de encripción
19%
16%
Inspección de las instalaciones por su propio equipo de seguridad/riesgos de TI
17%
Más actividades de auditoría al proveedor de servicio en nube 15%
15%
Incrementar la confianza mediante la certificación de los servicios de la nube 13%
por parte de terceros 12%
13%
Contratar a un tercero para control de pruebas en la nube
13%
Establecer una mayor responsabilidad para los proveedores de servicios en 11%
nube en los contratos 10%
11%
Ajuste de procesos para gestión de incidentes
12%
8%
Sanciones económicas en caso de brechas de seguridad Global
7%
0% México
No contestó
Muestra: porcentaje de encuestados 3%
10 Ernst & YoungÁreas de riesgo de la computación en nube
Arquitectura e Los riesgos de infraestructura y arquitectura surgen cuando el proveedor no cumple con los requisitos de desempeño
implementación de la acordados por las organizaciones y el proveedor y que se definen en los acuerdos a nivel servicio al inicio del
nube contrato. Estos riesgos pueden incluir asuntos relacionados con la disponibilidad y confiabilidad debido a caídas
del sistema no planeadas o ancho de banda comprometida debido a que las organizaciones están compartiendo la
infraestructura con otros clientes durante las horas pico.
Normas y operabilidad Los CSP generalmente ofrecen servicios personalizados que satisfacen las necesidades de su público objetivo. Sin
de la nube embargo, para interactuar eficazmente con las aplicaciones, arquitectura e infraestructura del proveedor, es de suma
importancia que los sistemas de las organizaciones y aquellos del proveedor se pueden comunicar entre sí. Si los
sistemas no se pueden comunicar entre sí, se pone en riesgo la continuidad del procesamiento, el desempeño de la
aplicación, la capacidad de poder personalizar las aplicaciones y la eficiencia general de los servicios deseados.
Las normas de la industria, generalmente una medida de protección de la administración de riesgos, están rezagadas
en comparación con el rápido crecimiento de los servicios de la nube. La falta de normas específicas, especialmente
en cuanto a la seguridad, privacidad y disponibilidad, pueden crear un alto grado de incertidumbre sobre los riesgos
que los consumidores están asumiendo.
Muchas coaliciones de gobierno, de la industria y públicas y privadas están buscando establecer dichas normas y, por
ende, facilitar la administración de riesgos para los CSP y sus consumidores. Sin embargo, la elaboración de normas
es un proceso impulsado por la opinión general y por lo tanto, es un proceso largo y el proceso de elaboración de
normas para la nube apenas comenzó hace poco.
Cumplimiento y Cada vez más, las organizaciones están obligadas, por ley o norma de su industria, a almacenar, rastrear o
reglamentos de la nube transferir cierta información. A menudo esta información es confidencial, clasificada o privilegiada. Por lo tanto,
la transferencia y almacenamiento seguro de la información es de primordial importancia. Este tipo de requisito se
puede encontrar en muchos sectores industriales y se plasma en legislaciones tales como la Ley Sarbanes-Oxley
(SOX, por sus siglas en inglés), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas
en inglés). Y en el caso de México, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión
de los Particulares. Para aquellas organizaciones que tienen que cumplir con estos reglamentos, la seguridad,
disponibilidad, privacidad e integridad de los datos son cruciales.
Las organizaciones podrían enfrentar riesgos adicionales legales, reglamentarios y de cumplimiento en relación
con las leyes sobre la privacidad, búsqueda y decomiso, notificación y descubrimiento electrónico de los datos,
dependiendo no solo de la jurisdicción de la organización, sino también del lado del proveedor de los servicios de
nube. El transferir datos a la nube no exime a una organización de la obligación de cumplir con los reglamentos, sino
al contrario. Independientemente de dónde se encuentran almacenados los datos, la organización aún es responsable
por sus obligaciones reglamentarias y de cumplimiento. Como tal, usted tendrá que entender plenamente los
requisitos legales y reglamentarios en cada jurisdicción en la que la organización y el proveedor operan.
Compañía sufre pérdida masiva de datos
Una importante compañía de telecomunicaciones sufrió un serio revés cuando su nube se cayó por más de una semana, dejando
a millones de clientes sin acceso a sus calendarios, agendas telefónicas y otras funcionalidades clave de los servicios que
prestaba. Además, la falla en el sistema provocó la pérdida de datos en las bases de datos centrales y de respaldo.
Perspectivas sobre los riesgos de TI 11Navegar a través del universo de riesgo en la nube
Áreas de riesgo de la computación en nube (continúa)
Riesgos de seguridad Algunos de los riesgos más importantes relacionados con la seguridad de la información cuando se procesa en un
y privacidad de la ambiente en la nube incluyen:
información
• Acceso no autorizado al área lógica y al área física de la red
• Cambios no autorizados a los sistemas o datos
• Eliminación no autorizada de datos
A muchas organizaciones les preocupa ceder el control de la información de su negocio a los proveedores de
servicios de nube, ya que dependen de que ellos proporcionen una autenticación segura, credenciales de usuario y
administración de funciones o administración de datos. Sus inquietudes están bien fundadas. Las organizaciones que
utilizan los servicios de computación en nube, y en especial los SaaS, tienen menos transparencia y titularidad sobre
los controles y procesos de seguridad que implementan los proveedores.
Cuando de la privacidad se trata, el mantener la confidencialidad y la integridad de la información personal que
conserva una organización a menudo es sumamente crítico para su supervivencia. Una sola filtración de datos podría
dañar, de manera importante, la marca de la organización, dañar su reputación y afectar su crecimiento en el futuro,
sin mencionar los costos directos relacionados a dicha filtración*. Resulta crítico contar con políticas y controles de
privacidad que sean adecuados para una jurisdicción tanto para la organización como para el proveedor.
Cuando pensamos en riesgos de datos, el enfoque generalmente está en los riesgos de seguridad inherentes
asociados con la transferencia de datos en redes públicas y su almacenamiento en instalaciones que podrían
estar operadas por terceros que no sea el proveedor con el cual la organización celebró el contacto o que se
albergan en una jurisdicción en el extranjero en donde las protecciones a la privacidad son más laxas. Sin embargo,
también podrían surgir asuntos relacionados con los datos como resultado de la captura o el registro incorrecto de
transacciones, si no se implementa correctamente el servicio de computación en nube.
Manejo y gobierno Los riesgos contractuales provienen principalmente de los tipos de contratos que los clientes celebran con los
corporativo de proveedores de servicio basados en la nube (CSP, por sus siglas en inglés). Estos contratos a nivel servicio o
proveedores de contratos a nivel de usuario final a menudo son vinculantes que estipulan la capacidad del cliente de auditar a un
servicios de nube proveedor, cualquier recurso legal que pudieran tener en relación con incidentes y cuál de las partes es la propietaria
de los datos almacenados en la nube. Frecuentemente también contienen detalles sumamente importantes en cuanto
a los elementos clave del servicio, tal como el nivel o porcentaje de la disponibilidad y espacio de almacenaje al
que tiene derecho. Por lo general, estos términos no son negociables, especialmente para los consumidores de los
servicios básicos.
En un entorno consciente de los costos, las organizaciones no pueden cometer errores en lo que se refiere a las
inversiones en TI, ni pueden incumplir los reglamentos específicos de su industria, estado o país. Al emprender
el viaje hacia la nube, las organizaciones querrán asegurarse de que tienen una estrategia claramente definida
para los servicios en la nube que esté alineada a su estrategia de negocios más general, que sea compatible con
la arquitectura existente, que se apegue a todas las leyes y reglamentos aplicables dentro de cada jurisdicción en
la que opera la organización y que proporcione rendimiento sobre la inversión que busca la organización. Sin una
estrategia sana de gobierno corporativo que aplique tanto a la organización como a los CSP, las organizaciones están
en riesgo de que haya ineficiencia, pierdan el control y de un posible daño a su reputación por acciones legales o
reglamentarias negativas.
*Ver Artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
12 Ernst & YoungSoporte de servicios Ya sea el SaaS, PaaS, IaaS o BPaaS, el servicio en la computación en nube debe significar no tener que preocuparse
por los riesgos o incertidumbres, ya que el proveedor ya ha pensado en ellos y cuenta con las soluciones. Sin
embargo, mientras algunos de los proveedores más importantes hacen inversiones importantes en soporte a la
tecnología (en algunos casos, por una cuota), para muchos proveedores, el soporte al cliente puede ser secundario.
Continuidad y La continuidad del negocio es un factor crítico. Por lo tanto, es importante entender la cobertura geográfica del
disponibilidad del proveedor de nube y la forma en que podría afectar a los consumidores de la nube. Además, los consumidores de
negocio la nube dependen del programa de continuidad del negocio y las habilidades de recuperación en caso de desastres
de su CSP. El usuario de la nube también depende de las habilidades que tiene el CSP en cuanto a procesos de
operaciones y de apoyo, como la administración de incidentes y mesa de ayuda.
Adopción y El cambio a la nube no es solo un proyecto más. Es una transformación del negocio muy importante. Las
administración de organizaciones necesitan contar con una sólida administración de la transformación que incluya un programa
cambios de la nube estructurado de gobierno corporativo y una administración del cambio organizacional.
Alineación y Al emprender el viaje hacia la nube, las organizaciones querrán determinar cómo se ajusta a sus objetivos de negocio
gobierno corporativo generales en términos tanto de los beneficios como de los riesgos. Por lo tanto, las organizaciones necesitan un
de la estrategia modelo de gobierno corporativo y una estrategia de nube, incluyendo un enfoque de administración de riesgos de
la nube. Las normas, prácticas líder y guía para los consumidores de la nube y CSP se encuentran en proceso de
desarrollo con varios organismos independientes. Sin embargo, actualmente no se cuenta con bases acordadas.
Violación de las leyes de protección de datos
Los dueños de una compañía descubrieron que estaban violando las leyes de protección de datos cuando se enteraron que su
CSP cambió su centro de datos fuera de la ubicación geográfica permitida sin notificar a la empresa.
Como resultado del hecho de que el CSP había cambiado su centro de datos, la compañía se hizo acreedora a sanciones por
haber violado las leyes de protección de datos y se vio obligada a cambiar de CSP, ya que sus requisitos ya no se podán cumplir.
Perspectivas sobre los riesgos de TI 13Abróchese el
cinturón – evalúe sus
riesgos relacionados
con la nube
La adopción de la nube ofrece varios beneficios para las organizaciones, pero requiere
de un cambio importante en los métodos tradicionales de computación y procesos
de negocios. Es necesario que los grupos tanto de negocios como de TI dentro de la
organización lleven a cabo un due diligence y deben tomar en cuenta varios factores,
tales como impulsores de la industria, tamaño de la organización, necesidades del
negocio, políticas de seguridad y la base de datos de TI existente, al identificar un
modelo de nube que mejor satisfaga las necesidades de la organización. La migración
a la nube debe seguir un mapa estratégico que apoye la visión y los imperativos de
negocio de la organización.
Figura 4: Marco de evaluación de riesgos de la nube
• Retos legales: funcionales, jurisdiccionales,
contractuales
• Retos de gobierno corporativo • Arquitectura para varios consumidores
• Consideraciones de cumplimiento y auditoría • Disponibilidad del servicio: empleados
• Planeación de continuidad de negocio y maliciosos, amenazas externas al servicio
recuperación en caso de desastres • Pérdida y filtración de datos
• Privacidad de datos
• Gobierno corporativo y recursos de seguridad
Legal, gobierno corporativo,
cumplimiento y auditoría
Seguridad y privacidad
S a a S
P a a S
• Estrategia y planeación I a a S
• Planeación de recursos
Organizacional Servicios
• Administración del cambio
organizacional
• Valor financiero de la inversión
Tecnología
(ROI)
• Capacidad de la infraestructura • Administración de contratos y contratos de
• Desarrollo y soporte de aplicaciones: nivel de servicio
interoperabilidad y compatibilidad • Integración de la administración del servicio
• Soporte en la nube para dispositivos • Administración de la disponibilidad
portátiles • Administración de incidentes
• Administración de la capacidad y escalabilidad
14 Ernst & YoungEs posible que las organizaciones tengan que tomar en cuenta • Personal de apoyo para la implementación y operación de
algunos de los factores listados a continuación para poder los sistemas en la nube
evaluar qué aplicaciones o servicios se pueden cambiar a la
nube: El marco de administración de riesgos de la nube de
Ernst & Young abarca todos los aspectos relacionados con el
• Madurez de la infraestructura y servicios con respecto al cambio a la nube y las implicaciones que esto tiene para las áreas
nivel de personalización y el soporte interno de la empresa del negocio, incluyendo el aspecto organizacional, de tecnología,
que se requiere. de seguridad y privacidad, legal, gobierno corporativo, de
cumplimiento y auditoría, y de servicios. Este marco está
• Capacidades para integrarse con los sistemas existentes de relacionado con inquietudes para todos los tipos de servicio de la
manera eficiente. nube: IaaS, PaaS, SaaS y BPaaS.
• Administración de datos y asuntos de seguridad
relacionados con la definición de la sensibilidad de datos y
cómo se maneja.
Panorama general del marco de evaluación de riesgos de la nube
Organizacional Los factores organizacionales que a menudo se ignoran durante las evaluaciones de riesgo de la nube, son críticos
para la migración exitosa al ambiente de la nube y se deben tomar en cuenta. Las organizaciones deben evaluar
parámetros como la estrategia y planeación, planeación de recursos, administración del cambio organizacional y el
valor financiero de la inversión (ROI).
Tecnología La computación en nube puede traer consigo cambios tranformacionales a la cartera de TI de la organización
con base en los servicios que la organización esté buscando modificar a la nube. Las organizaciones tendrán que
desarrollar capacidades que sustenten estos cambios en cuanto al entendimiento, implementación y al final de
cuentas, el uso de tecnología diferente. La evaluación de la tecnología se deberá enfocar en las capacidades de
infraestructura, desarrollo e implementación de aplicaciones, así como las funcionalidades existentes, incluyendo la
posibilidad para usarse en dispositivos portátiles.
Seguridad y privacidad En la nube, las organizaciones enfrentan varios retos de seguridad y privacidad de datos relacionados con la
administración de identificación y acceso (IAM, por sus siglas en inglés), arquitecturas para varios consumidores,
disponibilidad del servicio (empleados maliciosos, amenazas externas al servicio), pérdida y filtración de datos,
asuntos de privacidad relacionados con el flujo de información transfronteriza y asuntos de gobierno corporativo
respecto de la seguridad y de los recursos. Las organizaciones deben estar conscientes de y planear bien y con
anticipación, para mitigar las amenazas asociadas con estos retos.
Legal, gobierno Las organizaciones necesitan enfocarse en varios aspectos legales, de gobierno corporativo y, de cumplimiento
corporativo, y auditoría para asegurarse de que los servicios de la nube no violan leyes o acuerdos. Las organizaciones deben
cumplimiento y realizar una evaluación cuidadosa específica a su industria de los mandatos legales y de cumplimiento antes de
auditoría cambiar su TI a la nube. Además, las organizaciones deben incluir la planeación de la continuidad de negocio/
recuperación en caso de desastres (BC/DR, por sus siglas en inglés) como parte de esto para minimizar el impacto de
un evento negativo en los procesos de negocio.
Servicios Las organizaciones deben realizar una revisión de due diligence del CSP antes de comprar cualquier servicio, a fin de
garantizar que puedan cumplir con las condiciones, tomando en cuenta los requisitos organizacionales, tecnológicos,
legales, de gobierno corporativo, de cumplimiento y auditoría y de seguridad y privacidad. Además, la migración
exitosa a la nube deberá estar sustentada por medidas eficaces de administración de servicio relacionadas con
niveles de servicio, planes de contingencia en caso de fallas, contratos de responsabilidad, soporte extendido, y
la inclusión de otros términos y condiciones como parte de los contratos de servicios, así como la disponibilidad,
incidentes y administración de la capacidad y escalabilidad.
Perspectivas sobre los riesgos de TI 15Actúe
A pesar de los riesgos, la adopción generalizada de la computación en nube es
inevitable, ya que las organizaciones pueden lograr una agilidad real de negocios en
cuanto a la TI. Sin embargo, la migración exitosa requiere de una revisión a fondo de
la estructura organizacional, procesos y tecnología, así como de un entendimiento
del impacto en el negocio y los riesgos que se presentan. La evaluación de riesgos
de la nube puede ayudar a su organización a entender cuáles son estos riesgos antes
de migrar a la nube.
Listos para despegar
Después de leer este material, ¿podría usted responder a las siguientes preguntas
con respecto a su organización?
Organizacional
• ¿Su estrategia de integración a la nube está alineada con el apetito de riesgo de
la administración?
• ¿Su organización cuenta con el personal, habilidades y nivel de experiencia
adecuados para lograr un cambio exitoso a la nube?
Tecnología
• ¿Se le han realizado pruebas a la infraestructura y arquitectura de TI y de
seguridad de su organización para verificar si es compatible con la nube?
• ¿La red de su organización tiene la capacidad para soportar tráfico de red
adicional debido al acceso de las aplicaciones a través de internet?
Seguridad y privacidad
• ¿Se ha realizado una evaluación del impacto al negocio para los servicios que se
cambiarán a la nube para sustentar la planeación de continuidad del negocio y
la recuperación de desastres?
• ¿Su organización cuenta con protocolos de autenticación seguros para los
consumidores que trabajan en la nube?
Legal, gobierno corporativo, cumplimiento y auditoría
• ¿Su organización ha tomado en cuenta todos los requisitos relacionados con el
flujo transfronterizo de información?
• ¿Su organización ha definido criterios mínimos para la cancelación de los
servicios (incluyendo datos, devolución de activos, privacidad de datos,
destrucción y migraciones) en los acuerdos contractuales?
Servicios
• ¿Se ha realizado una revisión de due diligence del CSP para verificar que se
pueden cumplir los requisitos de la organización?
• ¿Su organización cuenta con procesos para mantener el cumplimiento
reglamentario en áreas clave, como control de cambios entre las operaciones y
servicios internos y basados en la nube?
16 Perspectivas sobre los riesgos de TI | Mayo 2012Apéndice5
Características esenciales de la computación en nube
1. Autoservicio por demanda. Un cliente puede aprovisionar, de manera unilateral,
capacidades de cómputo, tales como tiempo de servidor y almacenamiento en
red, conforme las requiera, sin necesidad de interacción humana por parte del
proveedor del servicio.
2. Acceso amplio desde la red. Las capacidades están disponibles sobre la red
y se acceden a través de mecanismos estándar que fomentan su uso desde
plataformas del cliente homogéneas, ligeras o pesadas (teléfonos móviles,
laptops y asistentes digitales personales).
3. Conjunto de recursos. Los recursos computacionales del proveedor se habilitan
para servir a múltiples clientes usando un modelo para varios consumidores
(multi-tenant), con varios recursos físicos y virtuales asignados y reasignados
dinámicamente, con base en la demanda de los clientes. Existe un sentido
de independencia de ubicación en cuanto a que el cliente generalmente no
posee control ni conocimiento sobre la ubicación exacta de los recursos que se
proveen, aunque pueda tener la capacidad de especificar la ubicación a un nivel
más alto de abstracción (por ejemplo: país, estado o centro de datos). Algunos
ejemplos de estos recursos incluyen almacenamiento, procesamiento, memoria,
ancho de banda en la red y máquinas virtuales.
4. Rápida elasticidad. Las capacidades pueden ser rápida y elásticamente
abastecidas y, en algunos casos, automáticamente, para escalar hacia afuera
y luego liberarlas para escalar hacia adentro, todo de manera rápida. Para el
cliente, estas capacidades disponibles para suministrar, a menudo parecen ser
ilimitados y se pueden comprar en cualquier cantidad y en cualquier momento.
5. Servicio medido. Los sistemas en la nube automáticamente controlan
y optimizan el uso de los recursos mediante una capacidad de medición
a algún nivel de abstracción adecuado para el tipo de servicio (ejemplo:
almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas).
Se puede monitorear, controlar, y reportar el uso de los recursos, lo cual
proporciona transparencia para el proveedor y el cliente del servicio utilizado.
5
Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto
Nacional de Normas y Tecnología de los EE.UU., NIST Definitions of Cloud Computing v15. El texto completo se encuentra disponible en el sitio web del NIST en la siguiente
dirección: http://nist.gov/itl/cloud/upload/coulddef-v15.pdf.
Perspectivas sobre los riesgos de TI 17Ernst & Young
Así es como Ernst & Young marca la diferencia.
Auditoría | Asesoría de Negocios | En Ernst & Young, nuestros servicios se enfocan en las necesidades y problemas
Fiscal-Legal | Fusiones y Adquisiciones específicos del negocio de cada uno de nuestros clientes, porque reconocemos
que cada uno es exclusivo de ese negocio.
Acerca de Ernst & Young
Ernst & Young es el líder global en servicios
de aseguramiento, fiscales, transacciones y
La Tecnología de la Información es clave para que las organizaciones modernas
asesoría. En todo el mundo, nuestras 152,000 puedan competir. Ofrece la oportunidad de estar más cerca, de estar más enfocado,
personas se encuentran unidas por nuestros de responder con mayor rapidez a los clientes, y puede redefinir tanto la eficacia
valores compartidos y firme compromiso hacia como la eficiencia de las operaciones. Sin embargo, conforme crece la oportunidad,
la calidad. Marcamos la diferencia ayudando también crece el riesgo. La administración eficaz de riesgos de TI le ayuda a mejorar
a nuestra gente, nuestros clientes y nuestras la ventaja competitiva de sus operaciones de TI al lograr que estas operaciones
comunidades en general a alcanzar su sean más redituables y para reducir los riesgos relacionados con el funcionamiento
potencial.
de sus sistemas. Nuestros 6,000 profesionales en riesgos de TI recurren a nuestra
Ernst & Young se refiere a la organización
vasta experiencia personal para darle nuevas perspectivas y asesoría objetiva y
global de firmas miembro de Ernst & Young abierta, dondequiera que se encuentre en el mundo. Trabajamos con usted para
Global Limited, cada una de las cuales es una desarrollar un enfoque integral y holístico en relación con sus riesgos de TI o para
entidad legal separada. Ernst & Young Global tratar asuntos específicos de riesgo y seguridad de la información. Entendemos que
Limited, una compañía del Reino Unido limitada para poder alcanzar su potencial, requiere servicios personalizados y metodologías
por garantía, no presta servicios a clientes. congruentes. Trabajamos para darles el beneficio de nuestra amplia experiencia en
el sector, nuestro profundo conocimiento del tema y las perspectivas más recientes
Acerca de los Servicios de Asesoría de Negocios
de nuestro trabajo a nivel mundial. Así es como Ernst & Young marca la diferencia.
de Ernst & Young
La relación entre las mejoras al desempeño
y los riesgos es un desafío cada vez más Para obtener más información acerca de cómo podemos marcar la diferencia en su
complejo y primordial para los negocios, ya que organización, favor de contactar al profesional de Ernst & Young en su localidad o a
el desempeño del negocio está directamente uno de los siguientes integrantes de nuestro equipo.
relacionado con el reconocimiento y la
administración eficaz del riesgo. Ya sea que Contactos
su enfoque sea en la transformación del
negocio o en mantener sus logros, contar
México
con los asesores adecuados puede marcar la
diferencia. Tel.: +52 (55) 1101 6414
Carlos Chalico
LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA
Nuestros 25,000 profesionales en asesoría Socio Asesoría de Negocios
forman una de las redes globales de asesoría carlos.chalico@mx.ey.com
más extensas de cualquier firma profesional,
proporcionándole equipos multidisciplinarios Miguel Acosta Tel.: +52 (55) 5283 1407
con experiencia que trabajan con nuestros Director Ejecutivo en Asesoría de Negocios
clientes para brindarles una experiencia miguel.acosta@mx.ey.com
excelente y de gran calidad. Utilizamos
metodologías comprobadas e integrales
para ayudarle a alcanzar sus prioridades
estratégicas y a efectuar mejoras que sean
sostenibles a más largo plazo. Entendemos que,
para alcanzar su potencial como organización,
requiere de servicios que respondan a sus
necesidades específicas; por lo tanto, le
ofrecemos nuestra amplia experiencia en el
sector y nuestro profundo conocimiento sobre
el tema para aplicarlos de manera proactiva
y objetiva. Sobre todo, nos comprometemos
a medir las ganancias e identificar los casos
en donde la estrategia está proporcionando
el valor que necesita su negocio. Así es como
Ernst & Young marca la diferencia.
Para obtener mayor información visite
www.ey.com/mx/asesoria
© 2012 EYGM Limited.
Derechos Reservados.
CLAVE: LPD001
De acuerdo con el compromiso de Ernst & Young de minimizar
su impacto en el medio ambiente, este documento se imprimió
en papel con un alto contenido reciclable.
Esta publicación contiene información en forma de resumen
y, por lo tanto, su uso es sólo para orientación general. No
debe considerarse como sustituto de la investigación detallada
o del ejercicio de un criterio profesional. Ni EYGM Limited,
ni ningún otro miembro de la organización global de Ernst &
Young acepta responsabilidad alguna por la pérdida ocasionada
a cualquier persona que actúe o deje de actuar como resultado
de algún material en esta publicación. Para cualquier asunto en
particular, deberá consultar al asesor apropiado.También puede leer
