Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI

Página creada Ismael Francés
 
SEGUIR LEYENDO
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Perspectivas sobre
  los riesgos de TI
 Resumen de negocio

                      Listos para despegar
                      Prepare su viaje hacia la nube

                          Perspectivas sobre los riesgos de TI   1
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Contenido
    La migración exitosa hacia la nube requiere que esté preparado .... 1
    El cielo es el límite para los servicios en la nube ........................... 2
    El despegue para la adopción de la nube ...................................... 6
    Navegar a través del universo de riesgo en la nube ....................... 8
    Abróchese el cinturón – utilice un enfoque pragmático .................. 14
    Actúe ......................................................................................... 16
    Apéndice .................................................................................... 17

2                                                                Ernst & Young
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Manejo de los riesgos en la nube
Muchas organizaciones están considerando utilizar la computación en nube para
aumentar la eficacia de las iniciativas de Tecnología de la Información (TI), reducir
costos de las operaciones internas, aumentar la flexibilidad operativa y crear una
ventaja competitiva. Mediante una estrategia eficiente, la computación en nube
podría permitir que muchas organizaciones hagan mucho más con TI al enfocarse
en la estrategia y no en las operaciones. Los servicios basados en la nube son ágiles
y adaptables, ya que mejoran la capacidad de leer y reaccionar a las condiciones
cambiantes del mercado, al responder a las necesidades de los clientes o consumidores
y a las acciones de la competencia o del mercado en general.

Los expertos y profesionales de negocios reconocen la velocidad y eficiencias que trae
consigo el hecho de adoptar la tecnología de la nube. Las organizaciones que están
reacias a enfocarse en TI, reconocen el enorme valor de poder concentrarse en sus
competencias de negocio clave, lo cual se logra al cambiarse a ser consumidores de
servicios de TI, ya que no necesitan construir y mantener complejas infraestructuras
internas. La computación en nube está evolucionando rápidamente, dando a las
organizaciones una gran variedad de opciones cuando buscan reestructurar su
organización de TI.

Sin embargo, como muchos de los cambios tecnológicos, la computación en nube
presenta sus propios riesgos y retos que los negocios, ya que a menudo pasan por
alto al adoptarla rápidamente y no entenderá por completo. La implementación de
la computación en nube requiere un cambio importante respecto de los métodos
tradicionales. Es recomendable que las organizaciones que están considerando la
computación en nube lleven a cabo una revisión detallada de servicios profesionales
con base en las necesidades del negocio y la capacidad de la TI, a fin de determinar si
están preparadas para adoptar una plataforma en nube. Por lo tanto, se necesita una
estrategia clara y alcanzable para migrar a la nube, tomando en cuenta los riesgos y
retos relacionados así como los requerimientos internos para atender dichos asuntos.

En este documento analizaremos el universo de riesgos de la nube o, en otras palabras,
las áreas de riesgo más importantes que deben atenderse cuando se cambia a la nube.
Como parte de este análisis, proporcionaremos un marco para realizar una evaluación
de riesgos de la nube.

Como firma reconocemos la trascendencia de este tema, por lo que desde febrero
de 2011, somos miembros corporativos de la Cloud Security Alliance (CSA). Si tiene
inquietudes sobre cómo abordar este tema, permítanos orientarle.

  De acuerdo con MarketsandMarkets.com, Mercado de
  Computación en Nube — Pronóstico Global (2010 — 2015),
  se espera que el mercado global de la computación en nube
  crezca de USD 37.8 mil millones en 2010 a USD 121.1 mil
  millones en 2015 con una tasa compuesta de crecimiento
  anual (CAGR, por sus siglas en inglés) del 26.2% entre 2010
  y 2015.

       Perspectivas sobre los riesgos de TI                                               1
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
El cielo es el límite
para los servicios
en la nube

                Los servicios de computación en nube están disponibles en diferentes modalidades.
                El Instituto Nacional de Normas y Tecnología de los EE.UU. (NIST, por sus siglas en
                inglés) define la computación en nube como “un modelo para permitir el acceso
                conveniente por red y por demanda, a un conjunto compartido de recursos informáticos
                configurables (por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios)
                que pueden proporcionarse y liberarse rápidamente con un esfuerzo mínimo de
                administración o interacción por parte del proveedor del servicio”. Si bien la definición
                del NIST1 incluye tres modelos de servicio primarios, el mercado ha evolucionado para
                que pueda comprar como un servicio casi cualquier trozo del “montón de servicios de
                cómputo” tomando en cuenta los siguientes tres modelos:

                1.   Infraestructura como un servicio (IaaS, por sus siglas en inglés): los servicios que
                     se prestan al cliente son para proveer recursos de procesamiento, almacenaje,
                     redes y otros fundamentales de computación en donde el cliente pueda instalar
                     y ejecutar software a voluntad, lo cual podría incluir sistemas operativos y
                     aplicaciones. El cliente no administra ni controla la infraestructura subyacente de
                     la nube, pero tiene control sobre los sistemas operativos, el almacenamiento, las
                     aplicaciones instaladas y posiblemente control limitado de algunos componentes de
                     red (ejemplo, los firewalls).

                2.   Plataforma como un servicio (PaaS, por sus siglas en inglés): los servicios que
                     se prestan al cliente son para distribuir en la infraestructura de la nube las
                     aplicaciones creadas por los clientes o aplicaciones realizadas utilizando lenguajes
                     de programación compatibles con los del proveedor. El cliente no administra ni
                     controla la infraestructura subyacente de la nube, incluyendo la red, servidores,
                     sistemas operativos ni el almacenamiento, pero tiene control sobre las aplicaciones
                     instaladas y posiblemente sobre las configuraciones del ambiente de alojamiento de
                     aplicaciones.

                3.   Software como un servicio (SaaS, por sus siglas en inglés): los servicios que se
                     prestan al cliente son el uso de las aplicaciones del proveedor ejecutadas en
                     una infraestructura de nube. El cliente tiene acceso a las aplicaciones desde
                     diferentes dispositivos a través de una interfaz ligera de clientes, como un buscador
                     web (como el correo electrónico basado en la web). El cliente no administra ni
                     controla la infraestructura subyacente de la nube, incluyendo la red, servidores,
                     sistemas operativos, almacenamiento o incluso las capacidades individuales de
                     las aplicaciones, con la posible excepción de configuraciones limitadas de las
                     aplicaciones específicas del usuario.

                1
                  Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos
                de distribución se extrajeron de la definición del Instituto Nacional de Normas y Tecnología de los EE.UU., NIST
                Definitions of Cloud Computing v15. El texto completo se encuentra disponible en el sitio web del NIST en la
                siguiente dirección: http://nist.gov/itl/cloud/upload/coulddef-v15.pdf

2                                   Ernst & Young
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Consumidor de Servicios en la Nube

                                                                        Recursos
                                                                        Humanos
                                                     ERP                                  Redes Sociales

                                    Facturación                                                            Financieros

                                                                                                            Administración
                                    Ventas
                                                                   Consumidor SaaS                          del Contenido

                                                                                               Productividad en la
                                             CRM                                               Oficina y en Correos
                                                                                                   Electrónicos
                                                                               Administración de
                                                           Colaboración
                                                                                 Documentos
                                                                                                                                         Administración de
                                                                                                                    Almacenaje
                                                                                                                                            Servicios

                                     Base de datos

                                                                                                                                                         Hosting en
          Inteligencia de                                                                              CDN*
                                                             Implementación                                                                              Plataforma
             Negocios                                        de Aplicaciones                                                 Consumidor IaaS

                             Consumidor PaaS

                                                                                                                    Respaldo y
                                                                                                                                               Cómputo
                                                                                                                   Recuperación
                     Desarrollo y
                                                     Integración
                      Pruebas

 Fuente: Gráfica del National Institute of Standards and Technology (NIST), Arquitectura de Referencia de la Computación en Nube (Cloud
 Computing Reference Architecture), Publicación Especial 500-292, http://csrc.nist.gov.

 *Content Delivery Network

                                                                       Perspectivas sobre los riesgos de TI                                                           3
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
El cielo es el límite para los servicios en la nube

Además, está surgiendo un cuarto modelo de servicio llamado                              •      Nube pública: la infraestructura de la nube se pone a
Proceso de Negocio como un Servicio (BPaaS, por sus siglas en                                   disposición del público en general o de un grupo de
inglés), aunque a un paso más lento que los otros tres modelos.                                 industrias grandes y es propiedad de una organización que
El BPaaS combina múltiples componentes de cada uno de los                                       vende los servicios de nube.
tres primeros modelos para proporcionar todo un proceso de
negocios. Hoy en día, los servicios como nómina y facturación                            •      Nube comunitaria: varias organizaciones comparten la
ya se subcontratan utilizando métodos tradicionales. De cara al                                 infraestructura de la nube, la cual apoya a una comunidad
futuro, esperamos que evolucionen los servicios de procesos de                                  específica que tiene inquietudes en común (misión,
negocios de alto valor que se diferencien de la subcontratación                                 requisitos de seguridad, consideraciones de política y
de los procesos de negocios tradicionales, ya que estarán                                       cumplimiento). Puede ser administrada por la organización
habilitados por múltiples servicios subyacentes de la nube.                                     o un tercero y puede existir dentro o fuera de las
                                                                                                instalaciones.
Estos modelos de servicio primarios se pueden implementar a
través de plataformas de nube privadas, públicas, híbridas o                             •      Nube híbrida: la infraestructura de la nube es una
comunitarias.2                                                                                  combinación de dos o más nubes (privada, comunitaria o
                                                                                                pública) que continúan siendo entidades independientes
•    Nube privada: la infraestructura de la nube se proporciona                                 pero que están unidas por tecnología estandarizada o
     por una sola organización. Podría ser propiedad de la                                      de su propiedad que permite la portabilidad de datos y
     organización y ser administrada y operada por esta, un                                     aplicaciones (por ejemplo utilizar nubes públicas para
     tercero o por una combinación de ellos y podría existir                                    equilibrar la carga entre las nubes).
     dentro o fuera de las instalaciones.
                                                                                         El NIST también define cinco características esenciales de la
                                                                                         computación en nube, las cuales se incluyen en el Apéndice).

2
  Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto
Nacional de Normas y Tecnología de los EE.UU.

4                                                                               Ernst & Young
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Nube privada                                                                  Nube pública

                                                                                                                Organización a

                                                                                                                         Organización b
              Red empresarial de los consumidores

                                                                                                                   Organización c

                      Nube comunitaria                                                                Nube hibrida

Consumidores de Servicios en la Nube

                                             Red empresarial de
                                             los consumidores

     Nota: Ilustración basada en los modelos de instalación de servicio del NIST (Cloud Computing Reference Architecture, Publicaciones
     Especiales 500-292).

                                                       Perspectivas sobre los riesgos de TI                                               5
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
El despegue para
la adopción de la
nube

                                                       El cambio de operaciones físicas a virtuales, ha permitido que los negocios aprovechen
                                                       las nuevas tecnologías impulsadas por la necesidad de reducir costos y a la vez lograr
                                                       una mejor agilidad del negocio. De acuerdo con nuestra publicación Salir de la niebla
                                                       para entrar a la nube: XIV Encuesta Global de Seguridad de la Información de
                                                       Ernst & Young (XIV GISS, por sus siglas en inglés), la cantidad de organizaciones que
                                                       utilizaron servicios basados en la nube en 2011 aumentó considerablemente a nivel
                                                       global y en México en comparación con el año anterior.

                                                       Para adoptar aplicaciones altamente configurables, de rápida implementación y
                                                       administradas externamente, cada vez más organizaciones están cambiando sus
                                                       contratos de subcontratación más tradicionales por contratos con proveedores de
                                                       servicios en la nube. De hecho, nuestra encuesta reveló que 61% de los encuestados
                                                       a nivel global y 57% en México actualmente están utilizando, evaluando o planeando
                                                       implementar servicios basados en la nube dentro de los próximos 12 meses.

                                                       A medida que las organizaciones reconozcan los beneficios de trasladar su negocio
                                                       hacia la nube y que aumente la confianza en el modelo de negocios en la misma,
                                                       tendrán la seguridad de que los servicios críticos y, en algunos casos, toda su huella de
                                                       infraestructura de TI pueda existir en ella. Al entrar a la nube, las organizaciones ahora
                                                       tendrán la posibilidad de disminuir considerablemente, alterando así su modelo de
                                                       negocios (XIV GISS).

                                                       Figura 1: ¿Su organización utiliza servicios basados en nube?

                                                                México                                            Global
                No, y no estaba planeado para los                                         41%                                         39%
                             siguientes 12 meses                                                61%                                         55%

                                                                           17%                                                       36%
                                 Sí, ya están en uso
                                                                 7%                                                            23%

                                                                           16%                                    9%
                       Sí, se está evaluando el uso
                                                                      11%                                        7%

                                                                                 24%                                     16%
           No, pero su uso está planeado para los
                              próximos 12 meses                               21%                                      15%

                                        No contestó
                                                        1%
    Muestra: porcentaje de encuestados (XIII
    GISS y XIV GISS)
                                                         XIII       XIV                                 XIII       XIV

6                                                                         Ernst & Young
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Impulsores de la computación en nube
Agilidad del negocio                   Quizá el acelerador más importante para la adopción de la nube es la capacidad de escalar de manera flexible los
                                       recursos de TI hacia arriba y hacia abajo, dependiendo de las necesidades momentáneas o de capacidad del negocio.
                                       Esto resuelve un antiguo dilema para las grandes organizaciones, las cuales pronostican la demanda por sus recursos
                                       de TI, pero que generalmente terminan con una mayor capacidad de lo que necesitan o, peor aún, menos de lo que
                                       necesitan, lo cual se debe a cambios en el negocio durante el proceso de instalación. Los servicios de TI basados en
                                       la nube pueden aumentar o disminuir a medida que cambian las necesidades del negocio, sin que se requieran largos
                                       tiempos de implementación o una inversión agresiva de capital.
Pago conforme se utiliza               El hecho de que ahora la inversión sea por parte del proveedor resulta extremadamente atractivo para las
vs. instalar y poseer                  organizaciones tanto grandes como pequeñas. Esta flexibilidad les permite mantenerse como clientes de la nube y
                                       comprar acceso a la infraestructura y las aplicaciones que necesita a medida que las requieren. En lugar de pagarlo
                                       todo junto por adelantado, así como más capacidad de la que podrían necesitar en ese momento, los clientes de la
                                       nube pagan únicamente lo que utilizan, y solo cuando lo utilizan.

Ahorro en costos                       En un informe, la Institución Brookings señaló que las agencias gubernamentales pueden ahorrar entre 25% y 50% de
                                       sus costos de TI y mejorar la agilidad de sus negocios al migrar su infraestructura de TI a los servicios de la nube.

Plataforma de                          Los servicios de computación en nube reducen los obstáculos de TI para nuevos participantes, permitiendo que los
innovación para la nube                nuevos negocios tengan un menor costo de infraestructura inicial del que se necesitaba antes de la nube. Este ahorro
de crecimiento                         en costos permite una mayor innovación, lo que seguramente permitirá a las organizaciones asignar más tiempo a su
                                       estrategia y su habilitación al utilizar la nube.

Uso de la                              Una mejor eficiencia de la red da como resultado un menor consumo de energía y una menor huella de carbono.
infraestructura                        Esto se debe a la virtualización de los recursos de hardware y software y de proveerlos como un servicio a múltiples
                                       consumidores de manera simultánea.
Inversión pública                      Los gobiernos a nivel mundial están invirtiendo en la creación de regiones económicas de desarrollo de tecnología de
                                       nube (China y Japón), al apoyar la elaboración de normas relacionadas con la nube (ejemplo la UE y los EE.UU.) o al
                                       migrar sus propias infraestructuras de TI a los servicios de nube en un esfuerzo por predicar con el ejemplo
                                       (EE.UU., Reino Unido y Japón). México ha incluido el tema en el Reglamento de la Ley Federal de Protección de Datos
                                       Personales en Posesión de los Particulares.
Investigación de                       La investigación señala la adopción rápida y continua de servicios de nube públicos y privados, lo cual generalmente
mercado                                se convierte en una profecía cumplida.

Seguridad                              Forrester Research pronosticó que en un periodo de cinco años, la seguridad de la información será uno de los
                                       impulsores principales para adoptar la computación en nube3. Ya existe una opinión cada vez más generalizada de
                                       que el uso de un proveedor de servicios de nube (CSP, por sus siglas en inglés) aumenta la seguridad4. La viabilidad
                                       del CSP depende, en parte, de que cuente con una reputación de ser confiable. De acuerdo con este punto de vista,
                                       el CSP le asignará muchos más recursos a la seguridad y a la protección de datos que un negocio normal, cuyos
                                       departamentos de TI son centros de costos que a menudo enfrentan presupuestos decrecientes. De hecho, esto es
                                       algo que ya se está viendo: los CSP líder consideran que la seguridad es uno de los asuntos más importantes para la
                                       adopción generalizada, y las medidas que están tomando están “estableciendo la norma” eficazmente para otros.

Esfuerzos de                           Es probable que las normas reduzcan o eliminen el riesgo de muchos de los obstáculos actuales para la adopción
estandarización                        de la nube. Muchas coaliciones de gobierno, de la industria y públicas y privadas están buscando establecer dichas
                                       normas y, por ende, facilitar la administración de riesgos para los CSP y sus consumidores de la nube.

Asesores de la nube                    Los asesores emergentes de servicios de la nube simplifican la transición de una organización a la nube al ayudarles
                                       con problemas específicos de seguridad, privacidad, cumplimiento y ayudándoles a lograr interoperabilidad en
                                       múltiples nubes (públicas y privadas) y en su infraestructura interna de TI.

Riesgo de ser excluido                 Las organizaciones que no adoptan la computación en nube a la par que sus competidores están en riesgo de
                                       no disfrutar de los beneficios esperados, como la flexibilidad y agilidad que otorgan los servicios por demanda y
                                       acceso a las versiones más recientes de las tecnologías. Esto se debe a que generalmente, los CSP llevan a cabo
                                       actualizaciones de sistema más oportunas que la mayoría de las organizaciones privadas.
3
    IDC Predictions 2011: Welcome to the New Mainstream, International Data Corporation, diciembre de 2010.
4
    Seguridad sin Fronteras: Encuesta Global de Seguridad de la Información de 2010 de Ernst & Young, Ernst & Young, 2010.
                                                                     Perspectivas sobre los riesgos de TI                                                     7
Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
Navegar a través
del universo de
riesgo en la nube

              Un punto de vista holístico
              Como se mencionó anteriormente, la computación en nube está en camino a ser
              adoptada por la mayoría de las empresas. Sin embargo, muchas organizaciones aún no
              tienen claras sus implicaciones y están preocupadas por los riesgos y retos asociados
              con su uso.

              La vista 360° de la nube de Ernst & Young (Figura 2) proporciona un mapa holístico de
              las áreas que las organizaciones deben tomar en cuenta al explorar la computación en
              nube. Las cuatro áreas principales de la vista 360° de la nube (que se encuentran en el
              centro) son: posicionamiento de la nube, suministro de la nube, realización de la nube y
              aseguramiento de la nube. Cada categoría se divide en cuatro componentes, lo que da
              un total de 16 áreas de enfoque.

              Tal y como se muestra en el diagrama, la implementación de una solución de nube
              puede afectar muchas de las áreas de una organización.

              La decisión de migrar a la nube no se debe tomar a la ligera. En primer lugar, las
              organizaciones deben tener una visión clara de lo que quieren lograr con dicha
              migración en términos de sus objetivos generales. También deben entender los riesgos
              e implicaciones para la organización en conjunto, no solo con lo relacionado a la TI.
              Igualmente deben incluir el diseño de medidas y estrategias de mitigación adecuadas
              para manejar los riesgos y retos asociados.

                 El hecho de integrarse a la nube no es solo otro programa
                 de cambio; es una transición completa de los procesos de
                 negocio.

8                             Ernst & Young
Figura 2: Vista 360º de la nube

                                                                                                                                        Modelos y
                                                                                Evaluación y                                          oportunidades
                                                                             justificación de la                                      de negocios de
                                                                             cartera de la nube                                           la nube
                                                                                                                                                                                 Gobierno
                                              Visión y estrategia                                                                                                              corporativo e
                                                  de la nube                                                                                                                  incentivos de la
                                                                                                        Revisión del            Planteamiento                                      nube
                                                                                                        panorama de            sector por sector
                                                                                                       la aplicación –        de nuevos modelos
                                                                                                       determinar la             de negocios
                                                                                                    alineación entre el          de industrias
                                                             Establecimiento del                    valor de negocios                                             Apoyo económico
                                                                                                                               habilitados en la
                                                               rumbo adecuado                              básico                                                 de cualquier parte
                                                                                                                                     nube
                             Riesgo y                        de la nube y contar                          y el valor                                              del mundo para el
                                                             con una estructura                                                                                                                        Abastecimiento y
                          comunicación de                                                               de negocios                                              desarrollo de la nube
                                                              adecuada de toma                                                                                                                         adquisiciones en
                             la nube                                                                     estratégico
                                                                 de decisiones                                                                                                                          torno a la nube
                                                                 relacionadas
                                             Los riesgos clave       con la nube
                                               de la nube y el                                                                                                               Investigación, idoneidad,
                                         desarrollo de un modelo de                                                                                                            acuerdos y estrategia
                                      riesgos de la nube que ayuden a                                                                                                         de retención y salida del
                                            mitigar estos riesgos                                                                                                            proveedor de servicios de
                                                                                                                      miento de la
                                                                                                                  iona             nub                                                la nube
                                                                                                            sic                       e                                                                              Administración
                 Continuidad y                                                                            Po                                                                                                           y gobierno
               disponibilidad del                                                                                                                                                                                    corporativo de
              negocio de la nube
                                                                                                      e

                                      Aseguramiento de que la                                                                                                                                                        proveedores de
                                                                                                    ub

                                    nube apoyará las inquietudes                                                                                                                          Nueva ideología sobre     servicios de nube
                                                                                                                                                  Su
                                                                                   ramiento de la n

                                        relacionadas con las                                                                                                                              los SLA* y el gobierno
                                                                                                                                                    mini

                                                                                                          Vista 360°
                                       operaciones continuas                                                                                                                             corporativo de múltiples
                                                                                                                                                                                               proveedores
                                                                                                                                                        stro de la nu

                                                                                                          de la nube
                                                                               egu

                                    Asuntos relacionados con                                                                                                                         Modelos de negocios y
                                                                                                                                                                      be

                                     “ceder el control” y una                                                                                                                                                            Precios y
                                                                             As

                 Seguridad y                                                                                                                                                        modelos de precios de la
                                    nueva cultura de confianza                                                                                                                      nube que los optimizan          rendimiento sobre
               privacidad de la
                    nube                                                                                                                                                                                            las inversiones de
                                                                                                                                            e                                                                             la nube
                                                                                                             Rea                      nub
                                                                                                                 lizac    ión de la
                                                                                                                                                                               Sistemas de administración
                                            Apego a las reglas y                                                                                                                 contable, ideas sobre su
                                        reglamentos en el mundo sin                                                                                                            ubicación y caracterización
                                            fronteras de la nube                                                                                                                          fiscal

                                                                   Uso de
                          Cumplimiento y                       plataformas de                                                                                                                            Impuestos y
                          reglamentos de                        la nube para                                                                                                                            contabilidad de
                              la nube                          desarrollar un
                                                              nuevo gobierno
                                                                                                                                                             Administración del                             la nube
                                                                                                                                                          programa de transición/
                                                                 corporativo                                                    La madurez y
                                                                                                     Definición de su                                         transformación
                                                             relacionado con el                                                  adopción de
                                                                   mismo                            enfoque respecto
                                                                                                                               normas y retos
                                                                                                    de la arquitectura
                                                                                                                              más amplios para
                                                                                                     de la empresa a
                                                                                                                              la integración de
                                                                                                    corto, mediano y
                                                 Sistemas y                                                                      los servicios                              Administración del
                                                                                                        largo plazo
                                               desarrollo de la                                                                                                             cambio y adopción
                                                    nube                                                                                                                       de la nube
                                                                                  Modelo de                                          Normas e
                                                                                arquitectura y                                   interoperabilidad
                                                                               desarrollo de la                                      de la nube
                                                                                    nube

*Service Level Agreements

                                                                                       Perspectivas sobre los riesgos de TI                                                                                                              9
Navegar a través del universo de riesgo en la nube

Implicaciones para el negocio                                                         supervisión sobre el proceso de administración de contratos con
                                                                                      los proveedores de servicios de nube. En México, la medida más
El hecho de integrarse a la nube no es solo otro programa de                          común es establecer controles más robustos de administración
cambio; es una transición completa de los procesos de negocio.                        de acceso e identidad. Cabe mencionar que ambas medidas
                                                                                      únicamente son adoptadas por un poco más del 20% de los
Si no están bien preparadas, las organizaciones podrían luchar                        encuestados (22% y 21%, respectivamente), lo cual indica que
por integrar la computación en nube externa en su negocio.                            hay un alto y posiblemente equivocado nivel de confianza.
El XIV GISS arrojó que 64% de los encuestados en México y
48% a nivel global mencionaron que la implementación de                               Debido a la falta de una guía clara, muchas organizaciones
la computación en nube es un reto difícil o muy difícil, y un                         parecen tomar decisiones apresuradas, ya sea al cambiarse a la
poco más de la mitad aún no ha implementado controles para                            nube antes de tiempo y sin considerar los riesgos relacionados,
mitigar los riesgos relacionados con la computación en nube.                          o al evitarla en su totalidad. Los resultados de la encuesta
Las organizaciones, que se muestran inciertas acerca de sus                           señalaron que aunque muchas organizaciones se han cambiado
opciones de control, eligen e implementan solo un subconjunto                         a la nube, muchas lo han hecho con cierta renuencia, como
de los que se encuentran disponibles, y a veces no implementan                        lo demuestra 88% de los encuestados en México y 81% a nivel
ninguno. A nivel global la medida más común es una mayor                              global, quienes reconocen que deben ofrecer iniciativas de
                                                                                      seguridad de la información para las nuevas tecnologías, como la
                                                                                      computación en nube y virtualización.

Figura 3: ¿Cuál de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de
cómputo en la nube?
                                                                                                                                               52%
                                                                                               Ninguno
                                                                                                                                               50%
                                     Una mayor supervisión del proceso de gestión de contratos de los                        22%
                                                                 proveedores de servicios de la nube                  15%
                                                                                                                         21%
                                      Una mayor agilidad de respuesta de los proveedores del servicio
                                                                                                                       15%
                                                                                                                         19%
                                      Controles más robustos de administración de acceso e identidad
                                                                                                                          21%
                                                                                                                       18%
                                                                                 Técnicas de encripción
                                                                                                                        19%
                                                                                                                       16%
                        Inspección de las instalaciones por su propio equipo de seguridad/riesgos de TI
                                                                                                                        17%

                                         Más actividades de auditoría al proveedor de servicio en nube                 15%
                                                                                                                       15%

                          Incrementar la confianza mediante la certificación de los servicios de la nube            13%
                                                                                  por parte de terceros             12%
                                                                                                                      13%
                                             Contratar a un tercero para control de pruebas en la nube
                                                                                                                      13%
                            Establecer una mayor responsabilidad para los proveedores de servicios en              11%
                                                                                nube en los contratos             10%
                                                                                                                   11%
                                                         Ajuste de procesos para gestión de incidentes
                                                                                                                    12%
                                                                                                                 8%
                                               Sanciones económicas en caso de brechas de seguridad                                   Global
                                                                                                                 7%
                                                                                                           0%                         México
                                                                                           No contestó
Muestra: porcentaje de encuestados                                                                         3%

10                                                                           Ernst & Young
Áreas de riesgo de la computación en nube
Arquitectura e             Los riesgos de infraestructura y arquitectura surgen cuando el proveedor no cumple con los requisitos de desempeño
implementación de la       acordados por las organizaciones y el proveedor y que se definen en los acuerdos a nivel servicio al inicio del
nube                       contrato. Estos riesgos pueden incluir asuntos relacionados con la disponibilidad y confiabilidad debido a caídas
                           del sistema no planeadas o ancho de banda comprometida debido a que las organizaciones están compartiendo la
                           infraestructura con otros clientes durante las horas pico.
Normas y operabilidad      Los CSP generalmente ofrecen servicios personalizados que satisfacen las necesidades de su público objetivo. Sin
de la nube                 embargo, para interactuar eficazmente con las aplicaciones, arquitectura e infraestructura del proveedor, es de suma
                           importancia que los sistemas de las organizaciones y aquellos del proveedor se pueden comunicar entre sí. Si los
                           sistemas no se pueden comunicar entre sí, se pone en riesgo la continuidad del procesamiento, el desempeño de la
                           aplicación, la capacidad de poder personalizar las aplicaciones y la eficiencia general de los servicios deseados.

                           Las normas de la industria, generalmente una medida de protección de la administración de riesgos, están rezagadas
                           en comparación con el rápido crecimiento de los servicios de la nube. La falta de normas específicas, especialmente
                           en cuanto a la seguridad, privacidad y disponibilidad, pueden crear un alto grado de incertidumbre sobre los riesgos
                           que los consumidores están asumiendo.

                           Muchas coaliciones de gobierno, de la industria y públicas y privadas están buscando establecer dichas normas y, por
                           ende, facilitar la administración de riesgos para los CSP y sus consumidores. Sin embargo, la elaboración de normas
                           es un proceso impulsado por la opinión general y por lo tanto, es un proceso largo y el proceso de elaboración de
                           normas para la nube apenas comenzó hace poco.
Cumplimiento y             Cada vez más, las organizaciones están obligadas, por ley o norma de su industria, a almacenar, rastrear o
reglamentos de la nube     transferir cierta información. A menudo esta información es confidencial, clasificada o privilegiada. Por lo tanto,
                           la transferencia y almacenamiento seguro de la información es de primordial importancia. Este tipo de requisito se
                           puede encontrar en muchos sectores industriales y se plasma en legislaciones tales como la Ley Sarbanes-Oxley
                           (SOX, por sus siglas en inglés), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas
                           en inglés). Y en el caso de México, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión
                           de los Particulares. Para aquellas organizaciones que tienen que cumplir con estos reglamentos, la seguridad,
                           disponibilidad, privacidad e integridad de los datos son cruciales.

                           Las organizaciones podrían enfrentar riesgos adicionales legales, reglamentarios y de cumplimiento en relación
                           con las leyes sobre la privacidad, búsqueda y decomiso, notificación y descubrimiento electrónico de los datos,
                           dependiendo no solo de la jurisdicción de la organización, sino también del lado del proveedor de los servicios de
                           nube. El transferir datos a la nube no exime a una organización de la obligación de cumplir con los reglamentos, sino
                           al contrario. Independientemente de dónde se encuentran almacenados los datos, la organización aún es responsable
                           por sus obligaciones reglamentarias y de cumplimiento. Como tal, usted tendrá que entender plenamente los
                           requisitos legales y reglamentarios en cada jurisdicción en la que la organización y el proveedor operan.

  Compañía sufre pérdida masiva de datos
  Una importante compañía de telecomunicaciones sufrió un serio revés cuando su nube se cayó por más de una semana, dejando
  a millones de clientes sin acceso a sus calendarios, agendas telefónicas y otras funcionalidades clave de los servicios que
  prestaba. Además, la falla en el sistema provocó la pérdida de datos en las bases de datos centrales y de respaldo.

                                                      Perspectivas sobre los riesgos de TI                                                       11
Navegar a través del universo de riesgo en la nube

Áreas de riesgo de la computación en nube (continúa)
Riesgos de seguridad                 Algunos de los riesgos más importantes relacionados con la seguridad de la información cuando se procesa en un
y privacidad de la                   ambiente en la nube incluyen:
información
                                     •     Acceso no autorizado al área lógica y al área física de la red
                                     •     Cambios no autorizados a los sistemas o datos
                                     •     Eliminación no autorizada de datos

                                     A muchas organizaciones les preocupa ceder el control de la información de su negocio a los proveedores de
                                     servicios de nube, ya que dependen de que ellos proporcionen una autenticación segura, credenciales de usuario y
                                     administración de funciones o administración de datos. Sus inquietudes están bien fundadas. Las organizaciones que
                                     utilizan los servicios de computación en nube, y en especial los SaaS, tienen menos transparencia y titularidad sobre
                                     los controles y procesos de seguridad que implementan los proveedores.

                                     Cuando de la privacidad se trata, el mantener la confidencialidad y la integridad de la información personal que
                                     conserva una organización a menudo es sumamente crítico para su supervivencia. Una sola filtración de datos podría
                                     dañar, de manera importante, la marca de la organización, dañar su reputación y afectar su crecimiento en el futuro,
                                     sin mencionar los costos directos relacionados a dicha filtración*. Resulta crítico contar con políticas y controles de
                                     privacidad que sean adecuados para una jurisdicción tanto para la organización como para el proveedor.

                                     Cuando pensamos en riesgos de datos, el enfoque generalmente está en los riesgos de seguridad inherentes
                                     asociados con la transferencia de datos en redes públicas y su almacenamiento en instalaciones que podrían
                                     estar operadas por terceros que no sea el proveedor con el cual la organización celebró el contacto o que se
                                     albergan en una jurisdicción en el extranjero en donde las protecciones a la privacidad son más laxas. Sin embargo,
                                     también podrían surgir asuntos relacionados con los datos como resultado de la captura o el registro incorrecto de
                                     transacciones, si no se implementa correctamente el servicio de computación en nube.
Manejo y gobierno                    Los riesgos contractuales provienen principalmente de los tipos de contratos que los clientes celebran con los
corporativo de                       proveedores de servicio basados en la nube (CSP, por sus siglas en inglés). Estos contratos a nivel servicio o
proveedores de                       contratos a nivel de usuario final a menudo son vinculantes que estipulan la capacidad del cliente de auditar a un
servicios de nube                    proveedor, cualquier recurso legal que pudieran tener en relación con incidentes y cuál de las partes es la propietaria
                                     de los datos almacenados en la nube. Frecuentemente también contienen detalles sumamente importantes en cuanto
                                     a los elementos clave del servicio, tal como el nivel o porcentaje de la disponibilidad y espacio de almacenaje al
                                     que tiene derecho. Por lo general, estos términos no son negociables, especialmente para los consumidores de los
                                     servicios básicos.

                                     En un entorno consciente de los costos, las organizaciones no pueden cometer errores en lo que se refiere a las
                                     inversiones en TI, ni pueden incumplir los reglamentos específicos de su industria, estado o país. Al emprender
                                     el viaje hacia la nube, las organizaciones querrán asegurarse de que tienen una estrategia claramente definida
                                     para los servicios en la nube que esté alineada a su estrategia de negocios más general, que sea compatible con
                                     la arquitectura existente, que se apegue a todas las leyes y reglamentos aplicables dentro de cada jurisdicción en
                                     la que opera la organización y que proporcione rendimiento sobre la inversión que busca la organización. Sin una
                                     estrategia sana de gobierno corporativo que aplique tanto a la organización como a los CSP, las organizaciones están
                                     en riesgo de que haya ineficiencia, pierdan el control y de un posible daño a su reputación por acciones legales o
                                     reglamentarias negativas.

*Ver Artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

12                                                                            Ernst & Young
Soporte de servicios        Ya sea el SaaS, PaaS, IaaS o BPaaS, el servicio en la computación en nube debe significar no tener que preocuparse
                            por los riesgos o incertidumbres, ya que el proveedor ya ha pensado en ellos y cuenta con las soluciones. Sin
                            embargo, mientras algunos de los proveedores más importantes hacen inversiones importantes en soporte a la
                            tecnología (en algunos casos, por una cuota), para muchos proveedores, el soporte al cliente puede ser secundario.
Continuidad y                La continuidad del negocio es un factor crítico. Por lo tanto, es importante entender la cobertura geográfica del
disponibilidad del           proveedor de nube y la forma en que podría afectar a los consumidores de la nube. Además, los consumidores de
negocio                      la nube dependen del programa de continuidad del negocio y las habilidades de recuperación en caso de desastres
                             de su CSP. El usuario de la nube también depende de las habilidades que tiene el CSP en cuanto a procesos de
                             operaciones y de apoyo, como la administración de incidentes y mesa de ayuda.

Adopción y                   El cambio a la nube no es solo un proyecto más. Es una transformación del negocio muy importante. Las
administración de            organizaciones necesitan contar con una sólida administración de la transformación que incluya un programa
cambios de la nube           estructurado de gobierno corporativo y una administración del cambio organizacional.

Alineación y                 Al emprender el viaje hacia la nube, las organizaciones querrán determinar cómo se ajusta a sus objetivos de negocio
gobierno corporativo         generales en términos tanto de los beneficios como de los riesgos. Por lo tanto, las organizaciones necesitan un
de la estrategia             modelo de gobierno corporativo y una estrategia de nube, incluyendo un enfoque de administración de riesgos de
                             la nube. Las normas, prácticas líder y guía para los consumidores de la nube y CSP se encuentran en proceso de
                             desarrollo con varios organismos independientes. Sin embargo, actualmente no se cuenta con bases acordadas.

  Violación de las leyes de protección de datos
  Los dueños de una compañía descubrieron que estaban violando las leyes de protección de datos cuando se enteraron que su
  CSP cambió su centro de datos fuera de la ubicación geográfica permitida sin notificar a la empresa.

  Como resultado del hecho de que el CSP había cambiado su centro de datos, la compañía se hizo acreedora a sanciones por
  haber violado las leyes de protección de datos y se vio obligada a cambiar de CSP, ya que sus requisitos ya no se podán cumplir.

                                                       Perspectivas sobre los riesgos de TI                                                      13
Abróchese el
cinturón – evalúe sus
riesgos relacionados
con la nube
                                                          La adopción de la nube ofrece varios beneficios para las organizaciones, pero requiere
                                                          de un cambio importante en los métodos tradicionales de computación y procesos
                                                          de negocios. Es necesario que los grupos tanto de negocios como de TI dentro de la
                                                          organización lleven a cabo un due diligence y deben tomar en cuenta varios factores,
                                                          tales como impulsores de la industria, tamaño de la organización, necesidades del
                                                          negocio, políticas de seguridad y la base de datos de TI existente, al identificar un
                                                          modelo de nube que mejor satisfaga las necesidades de la organización. La migración
                                                          a la nube debe seguir un mapa estratégico que apoye la visión y los imperativos de
                                                          negocio de la organización.

Figura 4: Marco de evaluación de riesgos de la nube

 •       Retos legales: funcionales, jurisdiccionales,
         contractuales
 •       Retos de gobierno corporativo                                                               •       Arquitectura para varios consumidores
 •       Consideraciones de cumplimiento y auditoría                                                 •       Disponibilidad del servicio: empleados
 •       Planeación de continuidad de negocio y                                                              maliciosos, amenazas externas al servicio
         recuperación en caso de desastres                                                           •       Pérdida y filtración de datos
                                                                                                     •       Privacidad de datos
                                                                                                     •       Gobierno corporativo y recursos de seguridad

                                                                              Legal, gobierno corporativo,
                                                                              cumplimiento y auditoría

                                                                                                                             Seguridad y privacidad

                                                                                                         S   a   a   S
                                                                                                                 P   a   a     S

     •     Estrategia y planeación                                                                           I   a   a   S
     •     Planeación de recursos
                                                     Organizacional                                                      Servicios
     •     Administración del cambio
           organizacional
     •     Valor financiero de la inversión
                                                                                        Tecnología
           (ROI)

                                •     Capacidad de la infraestructura                            •       Administración de contratos y contratos de
                                •     Desarrollo y soporte de aplicaciones:                              nivel de servicio
                                      interoperabilidad y compatibilidad                         •       Integración de la administración del servicio
                                •     Soporte en la nube para dispositivos                       •       Administración de la disponibilidad
                                      portátiles                                                 •       Administración de incidentes
                                                                                                 •       Administración de la capacidad y escalabilidad

14                                                                            Ernst & Young
Es posible que las organizaciones tengan que tomar en cuenta               •     Personal de apoyo para la implementación y operación de
algunos de los factores listados a continuación para poder                       los sistemas en la nube
evaluar qué aplicaciones o servicios se pueden cambiar a la
nube:                                                                      El marco de administración de riesgos de la nube de
                                                                           Ernst & Young abarca todos los aspectos relacionados con el
•   Madurez de la infraestructura y servicios con respecto al              cambio a la nube y las implicaciones que esto tiene para las áreas
    nivel de personalización y el soporte interno de la empresa            del negocio, incluyendo el aspecto organizacional, de tecnología,
    que se requiere.                                                       de seguridad y privacidad, legal, gobierno corporativo, de
                                                                           cumplimiento y auditoría, y de servicios. Este marco está
•   Capacidades para integrarse con los sistemas existentes de             relacionado con inquietudes para todos los tipos de servicio de la
    manera eficiente.                                                      nube: IaaS, PaaS, SaaS y BPaaS.

•   Administración de datos y asuntos de seguridad
    relacionados con la definición de la sensibilidad de datos y
    cómo se maneja.

Panorama general del marco de evaluación de riesgos de la nube
Organizacional               Los factores organizacionales que a menudo se ignoran durante las evaluaciones de riesgo de la nube, son críticos
                             para la migración exitosa al ambiente de la nube y se deben tomar en cuenta. Las organizaciones deben evaluar
                             parámetros como la estrategia y planeación, planeación de recursos, administración del cambio organizacional y el
                             valor financiero de la inversión (ROI).
Tecnología                   La computación en nube puede traer consigo cambios tranformacionales a la cartera de TI de la organización
                             con base en los servicios que la organización esté buscando modificar a la nube. Las organizaciones tendrán que
                             desarrollar capacidades que sustenten estos cambios en cuanto al entendimiento, implementación y al final de
                             cuentas, el uso de tecnología diferente. La evaluación de la tecnología se deberá enfocar en las capacidades de
                             infraestructura, desarrollo e implementación de aplicaciones, así como las funcionalidades existentes, incluyendo la
                             posibilidad para usarse en dispositivos portátiles.
Seguridad y privacidad       En la nube, las organizaciones enfrentan varios retos de seguridad y privacidad de datos relacionados con la
                             administración de identificación y acceso (IAM, por sus siglas en inglés), arquitecturas para varios consumidores,
                             disponibilidad del servicio (empleados maliciosos, amenazas externas al servicio), pérdida y filtración de datos,
                             asuntos de privacidad relacionados con el flujo de información transfronteriza y asuntos de gobierno corporativo
                             respecto de la seguridad y de los recursos. Las organizaciones deben estar conscientes de y planear bien y con
                             anticipación, para mitigar las amenazas asociadas con estos retos.

Legal, gobierno              Las organizaciones necesitan enfocarse en varios aspectos legales, de gobierno corporativo y, de cumplimiento
corporativo,                 y auditoría para asegurarse de que los servicios de la nube no violan leyes o acuerdos. Las organizaciones deben
cumplimiento y               realizar una evaluación cuidadosa específica a su industria de los mandatos legales y de cumplimiento antes de
auditoría                    cambiar su TI a la nube. Además, las organizaciones deben incluir la planeación de la continuidad de negocio/
                             recuperación en caso de desastres (BC/DR, por sus siglas en inglés) como parte de esto para minimizar el impacto de
                             un evento negativo en los procesos de negocio.

Servicios                    Las organizaciones deben realizar una revisión de due diligence del CSP antes de comprar cualquier servicio, a fin de
                             garantizar que puedan cumplir con las condiciones, tomando en cuenta los requisitos organizacionales, tecnológicos,
                             legales, de gobierno corporativo, de cumplimiento y auditoría y de seguridad y privacidad. Además, la migración
                             exitosa a la nube deberá estar sustentada por medidas eficaces de administración de servicio relacionadas con
                             niveles de servicio, planes de contingencia en caso de fallas, contratos de responsabilidad, soporte extendido, y
                             la inclusión de otros términos y condiciones como parte de los contratos de servicios, así como la disponibilidad,
                             incidentes y administración de la capacidad y escalabilidad.

                                                        Perspectivas sobre los riesgos de TI                                                      15
Actúe
     A pesar de los riesgos, la adopción generalizada de la computación en nube es
     inevitable, ya que las organizaciones pueden lograr una agilidad real de negocios en
     cuanto a la TI. Sin embargo, la migración exitosa requiere de una revisión a fondo de
     la estructura organizacional, procesos y tecnología, así como de un entendimiento
     del impacto en el negocio y los riesgos que se presentan. La evaluación de riesgos
     de la nube puede ayudar a su organización a entender cuáles son estos riesgos antes
     de migrar a la nube.

     Listos para despegar
     Después de leer este material, ¿podría usted responder a las siguientes preguntas
     con respecto a su organización?

     Organizacional
     •   ¿Su estrategia de integración a la nube está alineada con el apetito de riesgo de
         la administración?
     •   ¿Su organización cuenta con el personal, habilidades y nivel de experiencia
         adecuados para lograr un cambio exitoso a la nube?

     Tecnología
     •   ¿Se le han realizado pruebas a la infraestructura y arquitectura de TI y de
         seguridad de su organización para verificar si es compatible con la nube?
     •   ¿La red de su organización tiene la capacidad para soportar tráfico de red
         adicional debido al acceso de las aplicaciones a través de internet?

     Seguridad y privacidad
     •  ¿Se ha realizado una evaluación del impacto al negocio para los servicios que se
        cambiarán a la nube para sustentar la planeación de continuidad del negocio y
        la recuperación de desastres?
     •  ¿Su organización cuenta con protocolos de autenticación seguros para los
        consumidores que trabajan en la nube?

     Legal, gobierno corporativo, cumplimiento y auditoría
     •   ¿Su organización ha tomado en cuenta todos los requisitos relacionados con el
         flujo transfronterizo de información?
     •   ¿Su organización ha definido criterios mínimos para la cancelación de los
         servicios (incluyendo datos, devolución de activos, privacidad de datos,
         destrucción y migraciones) en los acuerdos contractuales?

     Servicios
     •   ¿Se ha realizado una revisión de due diligence del CSP para verificar que se
         pueden cumplir los requisitos de la organización?
     •   ¿Su organización cuenta con procesos para mantener el cumplimiento
         reglamentario en áreas clave, como control de cambios entre las operaciones y
         servicios internos y basados en la nube?

16                             Perspectivas sobre los riesgos de TI | Mayo 2012
Apéndice5

                                                          Características esenciales de la computación en nube
                                                          1.   Autoservicio por demanda. Un cliente puede aprovisionar, de manera unilateral,
                                                               capacidades de cómputo, tales como tiempo de servidor y almacenamiento en
                                                               red, conforme las requiera, sin necesidad de interacción humana por parte del
                                                               proveedor del servicio.

                                                          2.   Acceso amplio desde la red. Las capacidades están disponibles sobre la red
                                                               y se acceden a través de mecanismos estándar que fomentan su uso desde
                                                               plataformas del cliente homogéneas, ligeras o pesadas (teléfonos móviles,
                                                               laptops y asistentes digitales personales).

                                                          3.   Conjunto de recursos. Los recursos computacionales del proveedor se habilitan
                                                               para servir a múltiples clientes usando un modelo para varios consumidores
                                                               (multi-tenant), con varios recursos físicos y virtuales asignados y reasignados
                                                               dinámicamente, con base en la demanda de los clientes. Existe un sentido
                                                               de independencia de ubicación en cuanto a que el cliente generalmente no
                                                               posee control ni conocimiento sobre la ubicación exacta de los recursos que se
                                                               proveen, aunque pueda tener la capacidad de especificar la ubicación a un nivel
                                                               más alto de abstracción (por ejemplo: país, estado o centro de datos). Algunos
                                                               ejemplos de estos recursos incluyen almacenamiento, procesamiento, memoria,
                                                               ancho de banda en la red y máquinas virtuales.

                                                          4.   Rápida elasticidad. Las capacidades pueden ser rápida y elásticamente
                                                               abastecidas y, en algunos casos, automáticamente, para escalar hacia afuera
                                                               y luego liberarlas para escalar hacia adentro, todo de manera rápida. Para el
                                                               cliente, estas capacidades disponibles para suministrar, a menudo parecen ser
                                                               ilimitados y se pueden comprar en cualquier cantidad y en cualquier momento.

                                                          5.   Servicio medido. Los sistemas en la nube automáticamente controlan
                                                               y optimizan el uso de los recursos mediante una capacidad de medición
                                                               a algún nivel de abstracción adecuado para el tipo de servicio (ejemplo:
                                                               almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas).
                                                               Se puede monitorear, controlar, y reportar el uso de los recursos, lo cual
                                                               proporciona transparencia para el proveedor y el cliente del servicio utilizado.

5
  Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto
Nacional de Normas y Tecnología de los EE.UU., NIST Definitions of Cloud Computing v15. El texto completo se encuentra disponible en el sitio web del NIST en la siguiente
dirección: http://nist.gov/itl/cloud/upload/coulddef-v15.pdf.

                                                                    Perspectivas sobre los riesgos de TI                                                                17
Ernst & Young
                                                                  Así es como Ernst & Young marca la diferencia.
Auditoría | Asesoría de Negocios |                                En Ernst & Young, nuestros servicios se enfocan en las necesidades y problemas
Fiscal-Legal | Fusiones y Adquisiciones                           específicos del negocio de cada uno de nuestros clientes, porque reconocemos
                                                                  que cada uno es exclusivo de ese negocio.
Acerca de Ernst & Young
Ernst & Young es el líder global en servicios
de aseguramiento, fiscales, transacciones y
                                                                  La Tecnología de la Información es clave para que las organizaciones modernas
asesoría. En todo el mundo, nuestras 152,000                      puedan competir. Ofrece la oportunidad de estar más cerca, de estar más enfocado,
personas se encuentran unidas por nuestros                        de responder con mayor rapidez a los clientes, y puede redefinir tanto la eficacia
valores compartidos y firme compromiso hacia                      como la eficiencia de las operaciones. Sin embargo, conforme crece la oportunidad,
la calidad. Marcamos la diferencia ayudando                       también crece el riesgo. La administración eficaz de riesgos de TI le ayuda a mejorar
a nuestra gente, nuestros clientes y nuestras                     la ventaja competitiva de sus operaciones de TI al lograr que estas operaciones
comunidades en general a alcanzar su                              sean más redituables y para reducir los riesgos relacionados con el funcionamiento
potencial.
                                                                  de sus sistemas. Nuestros 6,000 profesionales en riesgos de TI recurren a nuestra
Ernst & Young se refiere a la organización
                                                                  vasta experiencia personal para darle nuevas perspectivas y asesoría objetiva y
global de firmas miembro de Ernst & Young                         abierta, dondequiera que se encuentre en el mundo. Trabajamos con usted para
Global Limited, cada una de las cuales es una                     desarrollar un enfoque integral y holístico en relación con sus riesgos de TI o para
entidad legal separada. Ernst & Young Global                      tratar asuntos específicos de riesgo y seguridad de la información. Entendemos que
Limited, una compañía del Reino Unido limitada                    para poder alcanzar su potencial, requiere servicios personalizados y metodologías
por garantía, no presta servicios a clientes.                     congruentes. Trabajamos para darles el beneficio de nuestra amplia experiencia en
                                                                  el sector, nuestro profundo conocimiento del tema y las perspectivas más recientes
Acerca de los Servicios de Asesoría de Negocios
                                                                  de nuestro trabajo a nivel mundial. Así es como Ernst & Young marca la diferencia.
de Ernst & Young
La relación entre las mejoras al desempeño
y los riesgos es un desafío cada vez más                          Para obtener más información acerca de cómo podemos marcar la diferencia en su
complejo y primordial para los negocios, ya que                   organización, favor de contactar al profesional de Ernst & Young en su localidad o a
el desempeño del negocio está directamente                        uno de los siguientes integrantes de nuestro equipo.
relacionado con el reconocimiento y la
administración eficaz del riesgo. Ya sea que                      Contactos
su enfoque sea en la transformación del
negocio o en mantener sus logros, contar
                                                                  México
con los asesores adecuados puede marcar la
diferencia.                                                                                                                       Tel.: +52 (55) 1101 6414
                                                                  Carlos Chalico
                                                                  LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA
Nuestros 25,000 profesionales en asesoría                         Socio Asesoría de Negocios
forman una de las redes globales de asesoría                      carlos.chalico@mx.ey.com
más extensas de cualquier firma profesional,
proporcionándole equipos multidisciplinarios                      Miguel Acosta                                                   Tel.: +52 (55) 5283 1407
con experiencia que trabajan con nuestros                         Director Ejecutivo en Asesoría de Negocios
clientes para brindarles una experiencia                          miguel.acosta@mx.ey.com
excelente y de gran calidad. Utilizamos
metodologías comprobadas e integrales
para ayudarle a alcanzar sus prioridades
estratégicas y a efectuar mejoras que sean
sostenibles a más largo plazo. Entendemos que,
para alcanzar su potencial como organización,
requiere de servicios que respondan a sus
necesidades específicas; por lo tanto, le
ofrecemos nuestra amplia experiencia en el
sector y nuestro profundo conocimiento sobre
el tema para aplicarlos de manera proactiva
y objetiva. Sobre todo, nos comprometemos
a medir las ganancias e identificar los casos
en donde la estrategia está proporcionando
el valor que necesita su negocio. Así es como
Ernst & Young marca la diferencia.

Para obtener mayor información visite
www.ey.com/mx/asesoria

© 2012 EYGM Limited.
Derechos Reservados.
CLAVE: LPD001

De acuerdo con el compromiso de Ernst & Young de minimizar
su impacto en el medio ambiente, este documento se imprimió
en papel con un alto contenido reciclable.
Esta publicación contiene información en forma de resumen
y, por lo tanto, su uso es sólo para orientación general. No
debe considerarse como sustituto de la investigación detallada
o del ejercicio de un criterio profesional. Ni EYGM Limited,
ni ningún otro miembro de la organización global de Ernst &
Young acepta responsabilidad alguna por la pérdida ocasionada
a cualquier persona que actúe o deje de actuar como resultado
de algún material en esta publicación. Para cualquier asunto en
particular, deberá consultar al asesor apropiado.
También puede leer