Listos para despegar Prepare su viaje hacia la nube - Perspectivas sobre los riesgos de TI
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Perspectivas sobre los riesgos de TI Resumen de negocio Listos para despegar Prepare su viaje hacia la nube Perspectivas sobre los riesgos de TI 1
Contenido La migración exitosa hacia la nube requiere que esté preparado .... 1 El cielo es el límite para los servicios en la nube ........................... 2 El despegue para la adopción de la nube ...................................... 6 Navegar a través del universo de riesgo en la nube ....................... 8 Abróchese el cinturón – utilice un enfoque pragmático .................. 14 Actúe ......................................................................................... 16 Apéndice .................................................................................... 17 2 Ernst & Young
Manejo de los riesgos en la nube Muchas organizaciones están considerando utilizar la computación en nube para aumentar la eficacia de las iniciativas de Tecnología de la Información (TI), reducir costos de las operaciones internas, aumentar la flexibilidad operativa y crear una ventaja competitiva. Mediante una estrategia eficiente, la computación en nube podría permitir que muchas organizaciones hagan mucho más con TI al enfocarse en la estrategia y no en las operaciones. Los servicios basados en la nube son ágiles y adaptables, ya que mejoran la capacidad de leer y reaccionar a las condiciones cambiantes del mercado, al responder a las necesidades de los clientes o consumidores y a las acciones de la competencia o del mercado en general. Los expertos y profesionales de negocios reconocen la velocidad y eficiencias que trae consigo el hecho de adoptar la tecnología de la nube. Las organizaciones que están reacias a enfocarse en TI, reconocen el enorme valor de poder concentrarse en sus competencias de negocio clave, lo cual se logra al cambiarse a ser consumidores de servicios de TI, ya que no necesitan construir y mantener complejas infraestructuras internas. La computación en nube está evolucionando rápidamente, dando a las organizaciones una gran variedad de opciones cuando buscan reestructurar su organización de TI. Sin embargo, como muchos de los cambios tecnológicos, la computación en nube presenta sus propios riesgos y retos que los negocios, ya que a menudo pasan por alto al adoptarla rápidamente y no entenderá por completo. La implementación de la computación en nube requiere un cambio importante respecto de los métodos tradicionales. Es recomendable que las organizaciones que están considerando la computación en nube lleven a cabo una revisión detallada de servicios profesionales con base en las necesidades del negocio y la capacidad de la TI, a fin de determinar si están preparadas para adoptar una plataforma en nube. Por lo tanto, se necesita una estrategia clara y alcanzable para migrar a la nube, tomando en cuenta los riesgos y retos relacionados así como los requerimientos internos para atender dichos asuntos. En este documento analizaremos el universo de riesgos de la nube o, en otras palabras, las áreas de riesgo más importantes que deben atenderse cuando se cambia a la nube. Como parte de este análisis, proporcionaremos un marco para realizar una evaluación de riesgos de la nube. Como firma reconocemos la trascendencia de este tema, por lo que desde febrero de 2011, somos miembros corporativos de la Cloud Security Alliance (CSA). Si tiene inquietudes sobre cómo abordar este tema, permítanos orientarle. De acuerdo con MarketsandMarkets.com, Mercado de Computación en Nube — Pronóstico Global (2010 — 2015), se espera que el mercado global de la computación en nube crezca de USD 37.8 mil millones en 2010 a USD 121.1 mil millones en 2015 con una tasa compuesta de crecimiento anual (CAGR, por sus siglas en inglés) del 26.2% entre 2010 y 2015. Perspectivas sobre los riesgos de TI 1
El cielo es el límite para los servicios en la nube Los servicios de computación en nube están disponibles en diferentes modalidades. El Instituto Nacional de Normas y Tecnología de los EE.UU. (NIST, por sus siglas en inglés) define la computación en nube como “un modelo para permitir el acceso conveniente por red y por demanda, a un conjunto compartido de recursos informáticos configurables (por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios) que pueden proporcionarse y liberarse rápidamente con un esfuerzo mínimo de administración o interacción por parte del proveedor del servicio”. Si bien la definición del NIST1 incluye tres modelos de servicio primarios, el mercado ha evolucionado para que pueda comprar como un servicio casi cualquier trozo del “montón de servicios de cómputo” tomando en cuenta los siguientes tres modelos: 1. Infraestructura como un servicio (IaaS, por sus siglas en inglés): los servicios que se prestan al cliente son para proveer recursos de procesamiento, almacenaje, redes y otros fundamentales de computación en donde el cliente pueda instalar y ejecutar software a voluntad, lo cual podría incluir sistemas operativos y aplicaciones. El cliente no administra ni controla la infraestructura subyacente de la nube, pero tiene control sobre los sistemas operativos, el almacenamiento, las aplicaciones instaladas y posiblemente control limitado de algunos componentes de red (ejemplo, los firewalls). 2. Plataforma como un servicio (PaaS, por sus siglas en inglés): los servicios que se prestan al cliente son para distribuir en la infraestructura de la nube las aplicaciones creadas por los clientes o aplicaciones realizadas utilizando lenguajes de programación compatibles con los del proveedor. El cliente no administra ni controla la infraestructura subyacente de la nube, incluyendo la red, servidores, sistemas operativos ni el almacenamiento, pero tiene control sobre las aplicaciones instaladas y posiblemente sobre las configuraciones del ambiente de alojamiento de aplicaciones. 3. Software como un servicio (SaaS, por sus siglas en inglés): los servicios que se prestan al cliente son el uso de las aplicaciones del proveedor ejecutadas en una infraestructura de nube. El cliente tiene acceso a las aplicaciones desde diferentes dispositivos a través de una interfaz ligera de clientes, como un buscador web (como el correo electrónico basado en la web). El cliente no administra ni controla la infraestructura subyacente de la nube, incluyendo la red, servidores, sistemas operativos, almacenamiento o incluso las capacidades individuales de las aplicaciones, con la posible excepción de configuraciones limitadas de las aplicaciones específicas del usuario. 1 Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto Nacional de Normas y Tecnología de los EE.UU., NIST Definitions of Cloud Computing v15. El texto completo se encuentra disponible en el sitio web del NIST en la siguiente dirección: http://nist.gov/itl/cloud/upload/coulddef-v15.pdf 2 Ernst & Young
Consumidor de Servicios en la Nube Recursos Humanos ERP Redes Sociales Facturación Financieros Administración Ventas Consumidor SaaS del Contenido Productividad en la CRM Oficina y en Correos Electrónicos Administración de Colaboración Documentos Administración de Almacenaje Servicios Base de datos Hosting en Inteligencia de CDN* Implementación Plataforma Negocios de Aplicaciones Consumidor IaaS Consumidor PaaS Respaldo y Cómputo Recuperación Desarrollo y Integración Pruebas Fuente: Gráfica del National Institute of Standards and Technology (NIST), Arquitectura de Referencia de la Computación en Nube (Cloud Computing Reference Architecture), Publicación Especial 500-292, http://csrc.nist.gov. *Content Delivery Network Perspectivas sobre los riesgos de TI 3
El cielo es el límite para los servicios en la nube Además, está surgiendo un cuarto modelo de servicio llamado • Nube pública: la infraestructura de la nube se pone a Proceso de Negocio como un Servicio (BPaaS, por sus siglas en disposición del público en general o de un grupo de inglés), aunque a un paso más lento que los otros tres modelos. industrias grandes y es propiedad de una organización que El BPaaS combina múltiples componentes de cada uno de los vende los servicios de nube. tres primeros modelos para proporcionar todo un proceso de negocios. Hoy en día, los servicios como nómina y facturación • Nube comunitaria: varias organizaciones comparten la ya se subcontratan utilizando métodos tradicionales. De cara al infraestructura de la nube, la cual apoya a una comunidad futuro, esperamos que evolucionen los servicios de procesos de específica que tiene inquietudes en común (misión, negocios de alto valor que se diferencien de la subcontratación requisitos de seguridad, consideraciones de política y de los procesos de negocios tradicionales, ya que estarán cumplimiento). Puede ser administrada por la organización habilitados por múltiples servicios subyacentes de la nube. o un tercero y puede existir dentro o fuera de las instalaciones. Estos modelos de servicio primarios se pueden implementar a través de plataformas de nube privadas, públicas, híbridas o • Nube híbrida: la infraestructura de la nube es una comunitarias.2 combinación de dos o más nubes (privada, comunitaria o pública) que continúan siendo entidades independientes • Nube privada: la infraestructura de la nube se proporciona pero que están unidas por tecnología estandarizada o por una sola organización. Podría ser propiedad de la de su propiedad que permite la portabilidad de datos y organización y ser administrada y operada por esta, un aplicaciones (por ejemplo utilizar nubes públicas para tercero o por una combinación de ellos y podría existir equilibrar la carga entre las nubes). dentro o fuera de las instalaciones. El NIST también define cinco características esenciales de la computación en nube, las cuales se incluyen en el Apéndice). 2 Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto Nacional de Normas y Tecnología de los EE.UU. 4 Ernst & Young
Nube privada Nube pública Organización a Organización b Red empresarial de los consumidores Organización c Nube comunitaria Nube hibrida Consumidores de Servicios en la Nube Red empresarial de los consumidores Nota: Ilustración basada en los modelos de instalación de servicio del NIST (Cloud Computing Reference Architecture, Publicaciones Especiales 500-292). Perspectivas sobre los riesgos de TI 5
El despegue para la adopción de la nube El cambio de operaciones físicas a virtuales, ha permitido que los negocios aprovechen las nuevas tecnologías impulsadas por la necesidad de reducir costos y a la vez lograr una mejor agilidad del negocio. De acuerdo con nuestra publicación Salir de la niebla para entrar a la nube: XIV Encuesta Global de Seguridad de la Información de Ernst & Young (XIV GISS, por sus siglas en inglés), la cantidad de organizaciones que utilizaron servicios basados en la nube en 2011 aumentó considerablemente a nivel global y en México en comparación con el año anterior. Para adoptar aplicaciones altamente configurables, de rápida implementación y administradas externamente, cada vez más organizaciones están cambiando sus contratos de subcontratación más tradicionales por contratos con proveedores de servicios en la nube. De hecho, nuestra encuesta reveló que 61% de los encuestados a nivel global y 57% en México actualmente están utilizando, evaluando o planeando implementar servicios basados en la nube dentro de los próximos 12 meses. A medida que las organizaciones reconozcan los beneficios de trasladar su negocio hacia la nube y que aumente la confianza en el modelo de negocios en la misma, tendrán la seguridad de que los servicios críticos y, en algunos casos, toda su huella de infraestructura de TI pueda existir en ella. Al entrar a la nube, las organizaciones ahora tendrán la posibilidad de disminuir considerablemente, alterando así su modelo de negocios (XIV GISS). Figura 1: ¿Su organización utiliza servicios basados en nube? México Global No, y no estaba planeado para los 41% 39% siguientes 12 meses 61% 55% 17% 36% Sí, ya están en uso 7% 23% 16% 9% Sí, se está evaluando el uso 11% 7% 24% 16% No, pero su uso está planeado para los próximos 12 meses 21% 15% No contestó 1% Muestra: porcentaje de encuestados (XIII GISS y XIV GISS) XIII XIV XIII XIV 6 Ernst & Young
Impulsores de la computación en nube Agilidad del negocio Quizá el acelerador más importante para la adopción de la nube es la capacidad de escalar de manera flexible los recursos de TI hacia arriba y hacia abajo, dependiendo de las necesidades momentáneas o de capacidad del negocio. Esto resuelve un antiguo dilema para las grandes organizaciones, las cuales pronostican la demanda por sus recursos de TI, pero que generalmente terminan con una mayor capacidad de lo que necesitan o, peor aún, menos de lo que necesitan, lo cual se debe a cambios en el negocio durante el proceso de instalación. Los servicios de TI basados en la nube pueden aumentar o disminuir a medida que cambian las necesidades del negocio, sin que se requieran largos tiempos de implementación o una inversión agresiva de capital. Pago conforme se utiliza El hecho de que ahora la inversión sea por parte del proveedor resulta extremadamente atractivo para las vs. instalar y poseer organizaciones tanto grandes como pequeñas. Esta flexibilidad les permite mantenerse como clientes de la nube y comprar acceso a la infraestructura y las aplicaciones que necesita a medida que las requieren. En lugar de pagarlo todo junto por adelantado, así como más capacidad de la que podrían necesitar en ese momento, los clientes de la nube pagan únicamente lo que utilizan, y solo cuando lo utilizan. Ahorro en costos En un informe, la Institución Brookings señaló que las agencias gubernamentales pueden ahorrar entre 25% y 50% de sus costos de TI y mejorar la agilidad de sus negocios al migrar su infraestructura de TI a los servicios de la nube. Plataforma de Los servicios de computación en nube reducen los obstáculos de TI para nuevos participantes, permitiendo que los innovación para la nube nuevos negocios tengan un menor costo de infraestructura inicial del que se necesitaba antes de la nube. Este ahorro de crecimiento en costos permite una mayor innovación, lo que seguramente permitirá a las organizaciones asignar más tiempo a su estrategia y su habilitación al utilizar la nube. Uso de la Una mejor eficiencia de la red da como resultado un menor consumo de energía y una menor huella de carbono. infraestructura Esto se debe a la virtualización de los recursos de hardware y software y de proveerlos como un servicio a múltiples consumidores de manera simultánea. Inversión pública Los gobiernos a nivel mundial están invirtiendo en la creación de regiones económicas de desarrollo de tecnología de nube (China y Japón), al apoyar la elaboración de normas relacionadas con la nube (ejemplo la UE y los EE.UU.) o al migrar sus propias infraestructuras de TI a los servicios de nube en un esfuerzo por predicar con el ejemplo (EE.UU., Reino Unido y Japón). México ha incluido el tema en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Investigación de La investigación señala la adopción rápida y continua de servicios de nube públicos y privados, lo cual generalmente mercado se convierte en una profecía cumplida. Seguridad Forrester Research pronosticó que en un periodo de cinco años, la seguridad de la información será uno de los impulsores principales para adoptar la computación en nube3. Ya existe una opinión cada vez más generalizada de que el uso de un proveedor de servicios de nube (CSP, por sus siglas en inglés) aumenta la seguridad4. La viabilidad del CSP depende, en parte, de que cuente con una reputación de ser confiable. De acuerdo con este punto de vista, el CSP le asignará muchos más recursos a la seguridad y a la protección de datos que un negocio normal, cuyos departamentos de TI son centros de costos que a menudo enfrentan presupuestos decrecientes. De hecho, esto es algo que ya se está viendo: los CSP líder consideran que la seguridad es uno de los asuntos más importantes para la adopción generalizada, y las medidas que están tomando están “estableciendo la norma” eficazmente para otros. Esfuerzos de Es probable que las normas reduzcan o eliminen el riesgo de muchos de los obstáculos actuales para la adopción estandarización de la nube. Muchas coaliciones de gobierno, de la industria y públicas y privadas están buscando establecer dichas normas y, por ende, facilitar la administración de riesgos para los CSP y sus consumidores de la nube. Asesores de la nube Los asesores emergentes de servicios de la nube simplifican la transición de una organización a la nube al ayudarles con problemas específicos de seguridad, privacidad, cumplimiento y ayudándoles a lograr interoperabilidad en múltiples nubes (públicas y privadas) y en su infraestructura interna de TI. Riesgo de ser excluido Las organizaciones que no adoptan la computación en nube a la par que sus competidores están en riesgo de no disfrutar de los beneficios esperados, como la flexibilidad y agilidad que otorgan los servicios por demanda y acceso a las versiones más recientes de las tecnologías. Esto se debe a que generalmente, los CSP llevan a cabo actualizaciones de sistema más oportunas que la mayoría de las organizaciones privadas. 3 IDC Predictions 2011: Welcome to the New Mainstream, International Data Corporation, diciembre de 2010. 4 Seguridad sin Fronteras: Encuesta Global de Seguridad de la Información de 2010 de Ernst & Young, Ernst & Young, 2010. Perspectivas sobre los riesgos de TI 7
Navegar a través del universo de riesgo en la nube Un punto de vista holístico Como se mencionó anteriormente, la computación en nube está en camino a ser adoptada por la mayoría de las empresas. Sin embargo, muchas organizaciones aún no tienen claras sus implicaciones y están preocupadas por los riesgos y retos asociados con su uso. La vista 360° de la nube de Ernst & Young (Figura 2) proporciona un mapa holístico de las áreas que las organizaciones deben tomar en cuenta al explorar la computación en nube. Las cuatro áreas principales de la vista 360° de la nube (que se encuentran en el centro) son: posicionamiento de la nube, suministro de la nube, realización de la nube y aseguramiento de la nube. Cada categoría se divide en cuatro componentes, lo que da un total de 16 áreas de enfoque. Tal y como se muestra en el diagrama, la implementación de una solución de nube puede afectar muchas de las áreas de una organización. La decisión de migrar a la nube no se debe tomar a la ligera. En primer lugar, las organizaciones deben tener una visión clara de lo que quieren lograr con dicha migración en términos de sus objetivos generales. También deben entender los riesgos e implicaciones para la organización en conjunto, no solo con lo relacionado a la TI. Igualmente deben incluir el diseño de medidas y estrategias de mitigación adecuadas para manejar los riesgos y retos asociados. El hecho de integrarse a la nube no es solo otro programa de cambio; es una transición completa de los procesos de negocio. 8 Ernst & Young
Figura 2: Vista 360º de la nube Modelos y Evaluación y oportunidades justificación de la de negocios de cartera de la nube la nube Gobierno Visión y estrategia corporativo e de la nube incentivos de la Revisión del Planteamiento nube panorama de sector por sector la aplicación – de nuevos modelos determinar la de negocios alineación entre el de industrias Establecimiento del valor de negocios Apoyo económico habilitados en la rumbo adecuado básico de cualquier parte nube Riesgo y de la nube y contar y el valor del mundo para el con una estructura Abastecimiento y comunicación de de negocios desarrollo de la nube adecuada de toma adquisiciones en la nube estratégico de decisiones torno a la nube relacionadas Los riesgos clave con la nube de la nube y el Investigación, idoneidad, desarrollo de un modelo de acuerdos y estrategia riesgos de la nube que ayuden a de retención y salida del mitigar estos riesgos proveedor de servicios de miento de la iona nub la nube sic e Administración Continuidad y Po y gobierno disponibilidad del corporativo de negocio de la nube e Aseguramiento de que la proveedores de ub nube apoyará las inquietudes Nueva ideología sobre servicios de nube Su ramiento de la n relacionadas con las los SLA* y el gobierno mini Vista 360° operaciones continuas corporativo de múltiples proveedores stro de la nu de la nube egu Asuntos relacionados con Modelos de negocios y be “ceder el control” y una Precios y As Seguridad y modelos de precios de la nueva cultura de confianza nube que los optimizan rendimiento sobre privacidad de la nube las inversiones de e la nube Rea nub lizac ión de la Sistemas de administración Apego a las reglas y contable, ideas sobre su reglamentos en el mundo sin ubicación y caracterización fronteras de la nube fiscal Uso de Cumplimiento y plataformas de Impuestos y reglamentos de la nube para contabilidad de la nube desarrollar un nuevo gobierno Administración del la nube programa de transición/ corporativo La madurez y Definición de su transformación relacionado con el adopción de mismo enfoque respecto normas y retos de la arquitectura más amplios para de la empresa a la integración de corto, mediano y Sistemas y los servicios Administración del largo plazo desarrollo de la cambio y adopción nube de la nube Modelo de Normas e arquitectura y interoperabilidad desarrollo de la de la nube nube *Service Level Agreements Perspectivas sobre los riesgos de TI 9
Navegar a través del universo de riesgo en la nube Implicaciones para el negocio supervisión sobre el proceso de administración de contratos con los proveedores de servicios de nube. En México, la medida más El hecho de integrarse a la nube no es solo otro programa de común es establecer controles más robustos de administración cambio; es una transición completa de los procesos de negocio. de acceso e identidad. Cabe mencionar que ambas medidas únicamente son adoptadas por un poco más del 20% de los Si no están bien preparadas, las organizaciones podrían luchar encuestados (22% y 21%, respectivamente), lo cual indica que por integrar la computación en nube externa en su negocio. hay un alto y posiblemente equivocado nivel de confianza. El XIV GISS arrojó que 64% de los encuestados en México y 48% a nivel global mencionaron que la implementación de Debido a la falta de una guía clara, muchas organizaciones la computación en nube es un reto difícil o muy difícil, y un parecen tomar decisiones apresuradas, ya sea al cambiarse a la poco más de la mitad aún no ha implementado controles para nube antes de tiempo y sin considerar los riesgos relacionados, mitigar los riesgos relacionados con la computación en nube. o al evitarla en su totalidad. Los resultados de la encuesta Las organizaciones, que se muestran inciertas acerca de sus señalaron que aunque muchas organizaciones se han cambiado opciones de control, eligen e implementan solo un subconjunto a la nube, muchas lo han hecho con cierta renuencia, como de los que se encuentran disponibles, y a veces no implementan lo demuestra 88% de los encuestados en México y 81% a nivel ninguno. A nivel global la medida más común es una mayor global, quienes reconocen que deben ofrecer iniciativas de seguridad de la información para las nuevas tecnologías, como la computación en nube y virtualización. Figura 3: ¿Cuál de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cómputo en la nube? 52% Ninguno 50% Una mayor supervisión del proceso de gestión de contratos de los 22% proveedores de servicios de la nube 15% 21% Una mayor agilidad de respuesta de los proveedores del servicio 15% 19% Controles más robustos de administración de acceso e identidad 21% 18% Técnicas de encripción 19% 16% Inspección de las instalaciones por su propio equipo de seguridad/riesgos de TI 17% Más actividades de auditoría al proveedor de servicio en nube 15% 15% Incrementar la confianza mediante la certificación de los servicios de la nube 13% por parte de terceros 12% 13% Contratar a un tercero para control de pruebas en la nube 13% Establecer una mayor responsabilidad para los proveedores de servicios en 11% nube en los contratos 10% 11% Ajuste de procesos para gestión de incidentes 12% 8% Sanciones económicas en caso de brechas de seguridad Global 7% 0% México No contestó Muestra: porcentaje de encuestados 3% 10 Ernst & Young
Áreas de riesgo de la computación en nube Arquitectura e Los riesgos de infraestructura y arquitectura surgen cuando el proveedor no cumple con los requisitos de desempeño implementación de la acordados por las organizaciones y el proveedor y que se definen en los acuerdos a nivel servicio al inicio del nube contrato. Estos riesgos pueden incluir asuntos relacionados con la disponibilidad y confiabilidad debido a caídas del sistema no planeadas o ancho de banda comprometida debido a que las organizaciones están compartiendo la infraestructura con otros clientes durante las horas pico. Normas y operabilidad Los CSP generalmente ofrecen servicios personalizados que satisfacen las necesidades de su público objetivo. Sin de la nube embargo, para interactuar eficazmente con las aplicaciones, arquitectura e infraestructura del proveedor, es de suma importancia que los sistemas de las organizaciones y aquellos del proveedor se pueden comunicar entre sí. Si los sistemas no se pueden comunicar entre sí, se pone en riesgo la continuidad del procesamiento, el desempeño de la aplicación, la capacidad de poder personalizar las aplicaciones y la eficiencia general de los servicios deseados. Las normas de la industria, generalmente una medida de protección de la administración de riesgos, están rezagadas en comparación con el rápido crecimiento de los servicios de la nube. La falta de normas específicas, especialmente en cuanto a la seguridad, privacidad y disponibilidad, pueden crear un alto grado de incertidumbre sobre los riesgos que los consumidores están asumiendo. Muchas coaliciones de gobierno, de la industria y públicas y privadas están buscando establecer dichas normas y, por ende, facilitar la administración de riesgos para los CSP y sus consumidores. Sin embargo, la elaboración de normas es un proceso impulsado por la opinión general y por lo tanto, es un proceso largo y el proceso de elaboración de normas para la nube apenas comenzó hace poco. Cumplimiento y Cada vez más, las organizaciones están obligadas, por ley o norma de su industria, a almacenar, rastrear o reglamentos de la nube transferir cierta información. A menudo esta información es confidencial, clasificada o privilegiada. Por lo tanto, la transferencia y almacenamiento seguro de la información es de primordial importancia. Este tipo de requisito se puede encontrar en muchos sectores industriales y se plasma en legislaciones tales como la Ley Sarbanes-Oxley (SOX, por sus siglas en inglés), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés). Y en el caso de México, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Para aquellas organizaciones que tienen que cumplir con estos reglamentos, la seguridad, disponibilidad, privacidad e integridad de los datos son cruciales. Las organizaciones podrían enfrentar riesgos adicionales legales, reglamentarios y de cumplimiento en relación con las leyes sobre la privacidad, búsqueda y decomiso, notificación y descubrimiento electrónico de los datos, dependiendo no solo de la jurisdicción de la organización, sino también del lado del proveedor de los servicios de nube. El transferir datos a la nube no exime a una organización de la obligación de cumplir con los reglamentos, sino al contrario. Independientemente de dónde se encuentran almacenados los datos, la organización aún es responsable por sus obligaciones reglamentarias y de cumplimiento. Como tal, usted tendrá que entender plenamente los requisitos legales y reglamentarios en cada jurisdicción en la que la organización y el proveedor operan. Compañía sufre pérdida masiva de datos Una importante compañía de telecomunicaciones sufrió un serio revés cuando su nube se cayó por más de una semana, dejando a millones de clientes sin acceso a sus calendarios, agendas telefónicas y otras funcionalidades clave de los servicios que prestaba. Además, la falla en el sistema provocó la pérdida de datos en las bases de datos centrales y de respaldo. Perspectivas sobre los riesgos de TI 11
Navegar a través del universo de riesgo en la nube Áreas de riesgo de la computación en nube (continúa) Riesgos de seguridad Algunos de los riesgos más importantes relacionados con la seguridad de la información cuando se procesa en un y privacidad de la ambiente en la nube incluyen: información • Acceso no autorizado al área lógica y al área física de la red • Cambios no autorizados a los sistemas o datos • Eliminación no autorizada de datos A muchas organizaciones les preocupa ceder el control de la información de su negocio a los proveedores de servicios de nube, ya que dependen de que ellos proporcionen una autenticación segura, credenciales de usuario y administración de funciones o administración de datos. Sus inquietudes están bien fundadas. Las organizaciones que utilizan los servicios de computación en nube, y en especial los SaaS, tienen menos transparencia y titularidad sobre los controles y procesos de seguridad que implementan los proveedores. Cuando de la privacidad se trata, el mantener la confidencialidad y la integridad de la información personal que conserva una organización a menudo es sumamente crítico para su supervivencia. Una sola filtración de datos podría dañar, de manera importante, la marca de la organización, dañar su reputación y afectar su crecimiento en el futuro, sin mencionar los costos directos relacionados a dicha filtración*. Resulta crítico contar con políticas y controles de privacidad que sean adecuados para una jurisdicción tanto para la organización como para el proveedor. Cuando pensamos en riesgos de datos, el enfoque generalmente está en los riesgos de seguridad inherentes asociados con la transferencia de datos en redes públicas y su almacenamiento en instalaciones que podrían estar operadas por terceros que no sea el proveedor con el cual la organización celebró el contacto o que se albergan en una jurisdicción en el extranjero en donde las protecciones a la privacidad son más laxas. Sin embargo, también podrían surgir asuntos relacionados con los datos como resultado de la captura o el registro incorrecto de transacciones, si no se implementa correctamente el servicio de computación en nube. Manejo y gobierno Los riesgos contractuales provienen principalmente de los tipos de contratos que los clientes celebran con los corporativo de proveedores de servicio basados en la nube (CSP, por sus siglas en inglés). Estos contratos a nivel servicio o proveedores de contratos a nivel de usuario final a menudo son vinculantes que estipulan la capacidad del cliente de auditar a un servicios de nube proveedor, cualquier recurso legal que pudieran tener en relación con incidentes y cuál de las partes es la propietaria de los datos almacenados en la nube. Frecuentemente también contienen detalles sumamente importantes en cuanto a los elementos clave del servicio, tal como el nivel o porcentaje de la disponibilidad y espacio de almacenaje al que tiene derecho. Por lo general, estos términos no son negociables, especialmente para los consumidores de los servicios básicos. En un entorno consciente de los costos, las organizaciones no pueden cometer errores en lo que se refiere a las inversiones en TI, ni pueden incumplir los reglamentos específicos de su industria, estado o país. Al emprender el viaje hacia la nube, las organizaciones querrán asegurarse de que tienen una estrategia claramente definida para los servicios en la nube que esté alineada a su estrategia de negocios más general, que sea compatible con la arquitectura existente, que se apegue a todas las leyes y reglamentos aplicables dentro de cada jurisdicción en la que opera la organización y que proporcione rendimiento sobre la inversión que busca la organización. Sin una estrategia sana de gobierno corporativo que aplique tanto a la organización como a los CSP, las organizaciones están en riesgo de que haya ineficiencia, pierdan el control y de un posible daño a su reputación por acciones legales o reglamentarias negativas. *Ver Artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. 12 Ernst & Young
Soporte de servicios Ya sea el SaaS, PaaS, IaaS o BPaaS, el servicio en la computación en nube debe significar no tener que preocuparse por los riesgos o incertidumbres, ya que el proveedor ya ha pensado en ellos y cuenta con las soluciones. Sin embargo, mientras algunos de los proveedores más importantes hacen inversiones importantes en soporte a la tecnología (en algunos casos, por una cuota), para muchos proveedores, el soporte al cliente puede ser secundario. Continuidad y La continuidad del negocio es un factor crítico. Por lo tanto, es importante entender la cobertura geográfica del disponibilidad del proveedor de nube y la forma en que podría afectar a los consumidores de la nube. Además, los consumidores de negocio la nube dependen del programa de continuidad del negocio y las habilidades de recuperación en caso de desastres de su CSP. El usuario de la nube también depende de las habilidades que tiene el CSP en cuanto a procesos de operaciones y de apoyo, como la administración de incidentes y mesa de ayuda. Adopción y El cambio a la nube no es solo un proyecto más. Es una transformación del negocio muy importante. Las administración de organizaciones necesitan contar con una sólida administración de la transformación que incluya un programa cambios de la nube estructurado de gobierno corporativo y una administración del cambio organizacional. Alineación y Al emprender el viaje hacia la nube, las organizaciones querrán determinar cómo se ajusta a sus objetivos de negocio gobierno corporativo generales en términos tanto de los beneficios como de los riesgos. Por lo tanto, las organizaciones necesitan un de la estrategia modelo de gobierno corporativo y una estrategia de nube, incluyendo un enfoque de administración de riesgos de la nube. Las normas, prácticas líder y guía para los consumidores de la nube y CSP se encuentran en proceso de desarrollo con varios organismos independientes. Sin embargo, actualmente no se cuenta con bases acordadas. Violación de las leyes de protección de datos Los dueños de una compañía descubrieron que estaban violando las leyes de protección de datos cuando se enteraron que su CSP cambió su centro de datos fuera de la ubicación geográfica permitida sin notificar a la empresa. Como resultado del hecho de que el CSP había cambiado su centro de datos, la compañía se hizo acreedora a sanciones por haber violado las leyes de protección de datos y se vio obligada a cambiar de CSP, ya que sus requisitos ya no se podán cumplir. Perspectivas sobre los riesgos de TI 13
Abróchese el cinturón – evalúe sus riesgos relacionados con la nube La adopción de la nube ofrece varios beneficios para las organizaciones, pero requiere de un cambio importante en los métodos tradicionales de computación y procesos de negocios. Es necesario que los grupos tanto de negocios como de TI dentro de la organización lleven a cabo un due diligence y deben tomar en cuenta varios factores, tales como impulsores de la industria, tamaño de la organización, necesidades del negocio, políticas de seguridad y la base de datos de TI existente, al identificar un modelo de nube que mejor satisfaga las necesidades de la organización. La migración a la nube debe seguir un mapa estratégico que apoye la visión y los imperativos de negocio de la organización. Figura 4: Marco de evaluación de riesgos de la nube • Retos legales: funcionales, jurisdiccionales, contractuales • Retos de gobierno corporativo • Arquitectura para varios consumidores • Consideraciones de cumplimiento y auditoría • Disponibilidad del servicio: empleados • Planeación de continuidad de negocio y maliciosos, amenazas externas al servicio recuperación en caso de desastres • Pérdida y filtración de datos • Privacidad de datos • Gobierno corporativo y recursos de seguridad Legal, gobierno corporativo, cumplimiento y auditoría Seguridad y privacidad S a a S P a a S • Estrategia y planeación I a a S • Planeación de recursos Organizacional Servicios • Administración del cambio organizacional • Valor financiero de la inversión Tecnología (ROI) • Capacidad de la infraestructura • Administración de contratos y contratos de • Desarrollo y soporte de aplicaciones: nivel de servicio interoperabilidad y compatibilidad • Integración de la administración del servicio • Soporte en la nube para dispositivos • Administración de la disponibilidad portátiles • Administración de incidentes • Administración de la capacidad y escalabilidad 14 Ernst & Young
Es posible que las organizaciones tengan que tomar en cuenta • Personal de apoyo para la implementación y operación de algunos de los factores listados a continuación para poder los sistemas en la nube evaluar qué aplicaciones o servicios se pueden cambiar a la nube: El marco de administración de riesgos de la nube de Ernst & Young abarca todos los aspectos relacionados con el • Madurez de la infraestructura y servicios con respecto al cambio a la nube y las implicaciones que esto tiene para las áreas nivel de personalización y el soporte interno de la empresa del negocio, incluyendo el aspecto organizacional, de tecnología, que se requiere. de seguridad y privacidad, legal, gobierno corporativo, de cumplimiento y auditoría, y de servicios. Este marco está • Capacidades para integrarse con los sistemas existentes de relacionado con inquietudes para todos los tipos de servicio de la manera eficiente. nube: IaaS, PaaS, SaaS y BPaaS. • Administración de datos y asuntos de seguridad relacionados con la definición de la sensibilidad de datos y cómo se maneja. Panorama general del marco de evaluación de riesgos de la nube Organizacional Los factores organizacionales que a menudo se ignoran durante las evaluaciones de riesgo de la nube, son críticos para la migración exitosa al ambiente de la nube y se deben tomar en cuenta. Las organizaciones deben evaluar parámetros como la estrategia y planeación, planeación de recursos, administración del cambio organizacional y el valor financiero de la inversión (ROI). Tecnología La computación en nube puede traer consigo cambios tranformacionales a la cartera de TI de la organización con base en los servicios que la organización esté buscando modificar a la nube. Las organizaciones tendrán que desarrollar capacidades que sustenten estos cambios en cuanto al entendimiento, implementación y al final de cuentas, el uso de tecnología diferente. La evaluación de la tecnología se deberá enfocar en las capacidades de infraestructura, desarrollo e implementación de aplicaciones, así como las funcionalidades existentes, incluyendo la posibilidad para usarse en dispositivos portátiles. Seguridad y privacidad En la nube, las organizaciones enfrentan varios retos de seguridad y privacidad de datos relacionados con la administración de identificación y acceso (IAM, por sus siglas en inglés), arquitecturas para varios consumidores, disponibilidad del servicio (empleados maliciosos, amenazas externas al servicio), pérdida y filtración de datos, asuntos de privacidad relacionados con el flujo de información transfronteriza y asuntos de gobierno corporativo respecto de la seguridad y de los recursos. Las organizaciones deben estar conscientes de y planear bien y con anticipación, para mitigar las amenazas asociadas con estos retos. Legal, gobierno Las organizaciones necesitan enfocarse en varios aspectos legales, de gobierno corporativo y, de cumplimiento corporativo, y auditoría para asegurarse de que los servicios de la nube no violan leyes o acuerdos. Las organizaciones deben cumplimiento y realizar una evaluación cuidadosa específica a su industria de los mandatos legales y de cumplimiento antes de auditoría cambiar su TI a la nube. Además, las organizaciones deben incluir la planeación de la continuidad de negocio/ recuperación en caso de desastres (BC/DR, por sus siglas en inglés) como parte de esto para minimizar el impacto de un evento negativo en los procesos de negocio. Servicios Las organizaciones deben realizar una revisión de due diligence del CSP antes de comprar cualquier servicio, a fin de garantizar que puedan cumplir con las condiciones, tomando en cuenta los requisitos organizacionales, tecnológicos, legales, de gobierno corporativo, de cumplimiento y auditoría y de seguridad y privacidad. Además, la migración exitosa a la nube deberá estar sustentada por medidas eficaces de administración de servicio relacionadas con niveles de servicio, planes de contingencia en caso de fallas, contratos de responsabilidad, soporte extendido, y la inclusión de otros términos y condiciones como parte de los contratos de servicios, así como la disponibilidad, incidentes y administración de la capacidad y escalabilidad. Perspectivas sobre los riesgos de TI 15
Actúe A pesar de los riesgos, la adopción generalizada de la computación en nube es inevitable, ya que las organizaciones pueden lograr una agilidad real de negocios en cuanto a la TI. Sin embargo, la migración exitosa requiere de una revisión a fondo de la estructura organizacional, procesos y tecnología, así como de un entendimiento del impacto en el negocio y los riesgos que se presentan. La evaluación de riesgos de la nube puede ayudar a su organización a entender cuáles son estos riesgos antes de migrar a la nube. Listos para despegar Después de leer este material, ¿podría usted responder a las siguientes preguntas con respecto a su organización? Organizacional • ¿Su estrategia de integración a la nube está alineada con el apetito de riesgo de la administración? • ¿Su organización cuenta con el personal, habilidades y nivel de experiencia adecuados para lograr un cambio exitoso a la nube? Tecnología • ¿Se le han realizado pruebas a la infraestructura y arquitectura de TI y de seguridad de su organización para verificar si es compatible con la nube? • ¿La red de su organización tiene la capacidad para soportar tráfico de red adicional debido al acceso de las aplicaciones a través de internet? Seguridad y privacidad • ¿Se ha realizado una evaluación del impacto al negocio para los servicios que se cambiarán a la nube para sustentar la planeación de continuidad del negocio y la recuperación de desastres? • ¿Su organización cuenta con protocolos de autenticación seguros para los consumidores que trabajan en la nube? Legal, gobierno corporativo, cumplimiento y auditoría • ¿Su organización ha tomado en cuenta todos los requisitos relacionados con el flujo transfronterizo de información? • ¿Su organización ha definido criterios mínimos para la cancelación de los servicios (incluyendo datos, devolución de activos, privacidad de datos, destrucción y migraciones) en los acuerdos contractuales? Servicios • ¿Se ha realizado una revisión de due diligence del CSP para verificar que se pueden cumplir los requisitos de la organización? • ¿Su organización cuenta con procesos para mantener el cumplimiento reglamentario en áreas clave, como control de cambios entre las operaciones y servicios internos y basados en la nube? 16 Perspectivas sobre los riesgos de TI | Mayo 2012
Apéndice5 Características esenciales de la computación en nube 1. Autoservicio por demanda. Un cliente puede aprovisionar, de manera unilateral, capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, conforme las requiera, sin necesidad de interacción humana por parte del proveedor del servicio. 2. Acceso amplio desde la red. Las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándar que fomentan su uso desde plataformas del cliente homogéneas, ligeras o pesadas (teléfonos móviles, laptops y asistentes digitales personales). 3. Conjunto de recursos. Los recursos computacionales del proveedor se habilitan para servir a múltiples clientes usando un modelo para varios consumidores (multi-tenant), con varios recursos físicos y virtuales asignados y reasignados dinámicamente, con base en la demanda de los clientes. Existe un sentido de independencia de ubicación en cuanto a que el cliente generalmente no posee control ni conocimiento sobre la ubicación exacta de los recursos que se proveen, aunque pueda tener la capacidad de especificar la ubicación a un nivel más alto de abstracción (por ejemplo: país, estado o centro de datos). Algunos ejemplos de estos recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda en la red y máquinas virtuales. 4. Rápida elasticidad. Las capacidades pueden ser rápida y elásticamente abastecidas y, en algunos casos, automáticamente, para escalar hacia afuera y luego liberarlas para escalar hacia adentro, todo de manera rápida. Para el cliente, estas capacidades disponibles para suministrar, a menudo parecen ser ilimitados y se pueden comprar en cualquier cantidad y en cualquier momento. 5. Servicio medido. Los sistemas en la nube automáticamente controlan y optimizan el uso de los recursos mediante una capacidad de medición a algún nivel de abstracción adecuado para el tipo de servicio (ejemplo: almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). Se puede monitorear, controlar, y reportar el uso de los recursos, lo cual proporciona transparencia para el proveedor y el cliente del servicio utilizado. 5 Las definiciones de la computación en nube y sus características principales, modelos de servicio y modelos de distribución se extrajeron de la definición del Instituto Nacional de Normas y Tecnología de los EE.UU., NIST Definitions of Cloud Computing v15. El texto completo se encuentra disponible en el sitio web del NIST en la siguiente dirección: http://nist.gov/itl/cloud/upload/coulddef-v15.pdf. Perspectivas sobre los riesgos de TI 17
Ernst & Young Así es como Ernst & Young marca la diferencia. Auditoría | Asesoría de Negocios | En Ernst & Young, nuestros servicios se enfocan en las necesidades y problemas Fiscal-Legal | Fusiones y Adquisiciones específicos del negocio de cada uno de nuestros clientes, porque reconocemos que cada uno es exclusivo de ese negocio. Acerca de Ernst & Young Ernst & Young es el líder global en servicios de aseguramiento, fiscales, transacciones y La Tecnología de la Información es clave para que las organizaciones modernas asesoría. En todo el mundo, nuestras 152,000 puedan competir. Ofrece la oportunidad de estar más cerca, de estar más enfocado, personas se encuentran unidas por nuestros de responder con mayor rapidez a los clientes, y puede redefinir tanto la eficacia valores compartidos y firme compromiso hacia como la eficiencia de las operaciones. Sin embargo, conforme crece la oportunidad, la calidad. Marcamos la diferencia ayudando también crece el riesgo. La administración eficaz de riesgos de TI le ayuda a mejorar a nuestra gente, nuestros clientes y nuestras la ventaja competitiva de sus operaciones de TI al lograr que estas operaciones comunidades en general a alcanzar su sean más redituables y para reducir los riesgos relacionados con el funcionamiento potencial. de sus sistemas. Nuestros 6,000 profesionales en riesgos de TI recurren a nuestra Ernst & Young se refiere a la organización vasta experiencia personal para darle nuevas perspectivas y asesoría objetiva y global de firmas miembro de Ernst & Young abierta, dondequiera que se encuentre en el mundo. Trabajamos con usted para Global Limited, cada una de las cuales es una desarrollar un enfoque integral y holístico en relación con sus riesgos de TI o para entidad legal separada. Ernst & Young Global tratar asuntos específicos de riesgo y seguridad de la información. Entendemos que Limited, una compañía del Reino Unido limitada para poder alcanzar su potencial, requiere servicios personalizados y metodologías por garantía, no presta servicios a clientes. congruentes. Trabajamos para darles el beneficio de nuestra amplia experiencia en el sector, nuestro profundo conocimiento del tema y las perspectivas más recientes Acerca de los Servicios de Asesoría de Negocios de nuestro trabajo a nivel mundial. Así es como Ernst & Young marca la diferencia. de Ernst & Young La relación entre las mejoras al desempeño y los riesgos es un desafío cada vez más Para obtener más información acerca de cómo podemos marcar la diferencia en su complejo y primordial para los negocios, ya que organización, favor de contactar al profesional de Ernst & Young en su localidad o a el desempeño del negocio está directamente uno de los siguientes integrantes de nuestro equipo. relacionado con el reconocimiento y la administración eficaz del riesgo. Ya sea que Contactos su enfoque sea en la transformación del negocio o en mantener sus logros, contar México con los asesores adecuados puede marcar la diferencia. Tel.: +52 (55) 1101 6414 Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA Nuestros 25,000 profesionales en asesoría Socio Asesoría de Negocios forman una de las redes globales de asesoría carlos.chalico@mx.ey.com más extensas de cualquier firma profesional, proporcionándole equipos multidisciplinarios Miguel Acosta Tel.: +52 (55) 5283 1407 con experiencia que trabajan con nuestros Director Ejecutivo en Asesoría de Negocios clientes para brindarles una experiencia miguel.acosta@mx.ey.com excelente y de gran calidad. Utilizamos metodologías comprobadas e integrales para ayudarle a alcanzar sus prioridades estratégicas y a efectuar mejoras que sean sostenibles a más largo plazo. Entendemos que, para alcanzar su potencial como organización, requiere de servicios que respondan a sus necesidades específicas; por lo tanto, le ofrecemos nuestra amplia experiencia en el sector y nuestro profundo conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva. Sobre todo, nos comprometemos a medir las ganancias e identificar los casos en donde la estrategia está proporcionando el valor que necesita su negocio. Así es como Ernst & Young marca la diferencia. Para obtener mayor información visite www.ey.com/mx/asesoria © 2012 EYGM Limited. Derechos Reservados. CLAVE: LPD001 De acuerdo con el compromiso de Ernst & Young de minimizar su impacto en el medio ambiente, este documento se imprimió en papel con un alto contenido reciclable. Esta publicación contiene información en forma de resumen y, por lo tanto, su uso es sólo para orientación general. No debe considerarse como sustituto de la investigación detallada o del ejercicio de un criterio profesional. Ni EYGM Limited, ni ningún otro miembro de la organización global de Ernst & Young acepta responsabilidad alguna por la pérdida ocasionada a cualquier persona que actúe o deje de actuar como resultado de algún material en esta publicación. Para cualquier asunto en particular, deberá consultar al asesor apropiado.
También puede leer