Documente Academic
Documente Profesional
Documente Cultură
AUTOR
PABLO ANDRÉS HIDALGO LARA
DIRECCIÓN
FREDDY ALEXANDER VARGAS BLANCO
1
Contenido
1. OBJETIVO Y ALCANCE ..................................................................................................... 6
1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES revisara:6
1.2 Alcance ...................................................................................................................... 6
La revisión se enfoca en: ....................................................................................................... 6
2. INTRODUCCIÓN .................................................................................................................... 7
2.1 Propósito ................................................................................................................... 7
2.2 Marco de Control ...................................................................................................... 7
2.3 Gobierno, Riesgo y Control de TI .............................................................................. 7
2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI ............ 7
3. CONCEPTOS GENERALES .................................................................................................... 9
3.1 Fundamentos .................................................................................................................. 9
3.2 Impactos de cloud computing....................................................................................... 19
3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing .................................. 20
3.4 COSO ............................................................................................................................. 22
3.5 COBIT............................................................................................................................. 28
4. CARACTERIZACIÓN DE EMPRESAS ............................................................................ 31
5. ESTABLECER REQUERIMIENTOS ................................................................................ 31
5.1 Escenario ................................................................................................................. 32
5.2 Actores .................................................................................................................... 33
5.2.1 Actor Proveedor .................................................................................................. 33
5.2.2 Actor Cliente ....................................................................................................... 33
5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud Computing 33
5.2.4 Responsabilidades de los Actores ....................................................................... 34
5.3 Encuesta .................................................................................................................. 35
5.4 Resultados ............................................................................................................... 36
5.5 Requerimientos ....................................................................................................... 36
6. COMO USAR ESTE DOCUMENTO ................................................................................. 40
6.1 Pasos del Programa de trabajo ............................................................................... 40
6.2 Objetivo de Control de COBIT ................................................................................. 41
6.3 Componentes de COSO ........................................................................................... 41
6.4 Referencias Cruzadas .............................................................................................. 44
6.5 Comentarios ............................................................................................................ 44
6.6 Habilidades Mínimas en Control y Aseguramiento ................................................ 44
2
6.7 Análisis Control de Madurez – COBIT ..................................................................... 44
6.8 Marco De Control y Aseguramiento ....................................................................... 47
7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD
COMPUTING PARA PYMES .................................................................................................... 49
1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO .......... 49
2. GOBIERNO EN CLOUD COMPUTING ........................................................................... 52
3. OPERACIÓN EN CLOUD COMPUTING.......................................................................... 75
8. EVALUACIÓN DE MADUREZ ........................................................................................ 91
8.1 Evaluación De Madurez Vs. Objetivo De Madurez ................................................. 94
9. REFERENCIAS Y BIBLIOGRAFÍA .................................................................................. 95
Referencias.......................................................................................................................... 95
10. ANEXOS ......................................................................................................................... 98
Anexo 1. Encuestas ............................................................................................................. 98
Anexo 2. Diagramas Requerimientos.................................................................................. 98
3
LISTA DE TABLAS
Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM .................... 28
Tabla 2 - División de responsabilidades SaaS [Enisa, 2008] ........................................................ 34
Tabla 3 -División de responsabilidades PaaS [Enisa, 2008] ........................................................ 35
Tabla 4 - División de responsabilidades IaaS [Enisa, 2008]......................................................... 35
Tabla 13 – Requerimientos ......................................................................................................... 38
Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM .................. 43
Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]....................................... 47
Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007] ...................... 93
4
LISTA DE ILUSTRACIONES
5
1. OBJETIVO Y ALCANCE
1.2 Alcance
6
2. INTRODUCCIÓN
2.1 Propósito
Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT,
más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y
aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y
aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias
para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud
Computing en pequeñas y medianas empresas también conocidas como Pymes
[Hidalgo/Caracterización de las empresa Cloud Computing, 2011].
Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el
Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de
Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos
regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and
Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes
similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido
incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso
de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco
de control y las necesidades de la empresa en la que se encuentre.
8
3. CONCEPTOS GENERALES
3.1 Fundamentos
A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el
mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor
seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud
Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así,
el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos
perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema
y los retos que debe superar en la actualidad.
Uno de los temas más confusos que rodean a Cloud Computing ―Computación en la nube‖, y
sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se
puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares
y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009],
quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo
de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de
la nube se describen por medio de servicios, información, aplicaciones e infraestructura que
pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o
interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos
por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros
servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo.
La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes
en los últimos años como las novedades más influyentes de las empresas:
SaaS o Software como un Servicio: Un modelo de distribución de software a través de
la red.
Utility Computing: Es el suministro de recursos computacionales, por ejemplo el
procesamiento y almacenamiento como un servicio medible.
Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de
recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control
central, si no que se hace de forma distribuida. La clave de Grid Computing esta en
conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de
Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la
infraestructura utilizada.
Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza
los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a
ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas
de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través
9
de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir
balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones.
10
3.1.3 Modelos de Servicio en la Nube
Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de
otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de
forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing.
Usualmente se conoce también como el ―Modelo SPI‖, donde cada sigla de la palabra hace
referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura
(como un servicio).
A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara
[Gutiérrez J, 2010]:
11
Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011]
Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o
aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas
necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente
confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin
embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet,
pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS
simplemente ofrece el uso de software a través de la red.
Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez
J, 2010]:
12
Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010]
13
Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes
[Keene, 2009]:
Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de
desarrollo.
Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa
proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno
de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.
Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que
el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios,
garantizando la escalabilidad del sistema.
El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.
El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual
proporciona las herramientas de desarrollo que no es necesario que el cliente instale en
su equipo.
El despliegue de la aplicación lo realiza el cliente por medio de las herramientas
proporcionadas por el proveedor, no es necesario contactar ningún intermediario que
despliegue el sistema.
Tal cual como en los demás modelos ―como un Servicio‖, las ventajas se basan en no tener
que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el
desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la
responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente
sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice
en su totalidad.
Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de
internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce
miedo por parte de los clientes de no tener acceso a su propia información o de que personas
ajenas tengan acceso a esta de alguna u otra forma.
14
El proveedor se encargará de ofrecer todo el software requerido para mantener las
necesidades del cliente, como firewalls, balanceo de carga entre servidores,
sistemas operativos, etc.
El proveedor estará en la capacidad de asegurar al cliente una conectividad a
internet sin problemas, con backups de seguridad que garanticen la integridad de los
datos.
Data Storage as a Service (DaaS).
El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la
gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja
en conexión con IaaS, [SNIA, 2009]
Communications as a Service (CaaS).
La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el
mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento
necesario de redes y la gestión de las comunicaciones, como el balanceo de carga.
Software Kernel.
Esta capa gestiona la parte física del sistema. Controla los servidores a través de los
sistemas operativos instalados, el software que permite la virtualización de las
máquinas, la gestión de los clusters y del grid, etc.[Wolf, 2009]
Hardware as a Service (HaaS).
HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte
física de los elementos necesarios para trabajar a través de internet, consistiendo estos
en centros con maquinas que ofrecen la computación, almacenamiento, servidores,
etc.[Wolf, 2009]
15
Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de
organizaciones que comparten los mismos intereses, como una misión común o
necesidades de seguridad similares.
Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública
y la privada.
16
Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009]
Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de
integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware,
mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que
le adicionan a la plataforma.
Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente
operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se
ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el
manejo fácil y dinámico por parte de los clientes.
A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen
diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad
se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]:
SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor
extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del
proveedor.
Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más
baja integración ya que está desarrollada para que los desarrolladores elaboren sus
propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada
con SaaS, compensando así entre capacidades de plataforma con funciones de
seguridad.
Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia
extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y
funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y
gestione sus propias aplicaciones, sistemas operativos, etc.
17
3.1.6 Ventajas de Cloud Computing
Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing
cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se
han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:
El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No
es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni
en su casa u oficina, podrá acceder a su información servicios desde cualquier
emplazamiento, pues estos se encuentran en internet.
Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número
de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.
Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor
número de recursos según se requiera sin tener que pagar por tenerlos físicamente en
sus sucursales, con un gasto lógico de software, hardware o personal.
Los clientes no poseen una cantidad de recursos determinada, por el contrario
comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la
carga de cada uno según la actividad que tenga en cada momento, evitando la escasez
de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento.
El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de
información por fallos del sistema.
La premisa de Cloud Computing es que por la subcontratación de partes de la información
gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los
procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la
actividad operacional de manera más inteligente, más rápida y más barata.
Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:
18
cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta
equipos, aplicaciones o espacios de almacenamiento.
Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un
único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y
manejar virtualmente los recursos computacionales por los cuales está pagando el
servicio en el momento que este lo requiera.
Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en
un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del
acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los
derechos, deberes y las formas debida de uso del servicio al cual esta accediendo.
Capacidad de medir el consumo: Como se ha mencionado, los recursos
computacionales de Cloud Computing, son totalmente medibles, por lo que en cada
momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente
tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en
marcha para el cumplimiento de sus necesidades.
Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes
demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como
una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la
nube, sin duda está revolucionando el mundo de los servicios por la transformación de la
informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales
como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia
para gestionar los activos de información. La continua influencia e innovación de Internet ha
permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en
servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia.
Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran
potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de
ganancia del negocio para las dos partes, el proveedor y el cliente.
Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su
infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo
plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos,
es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que
ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar
servicios que utilizan en un modelo bajo demanda.
Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio
potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir
sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran
diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se
deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay
un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se
encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para
19
ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas
soluciones de IT y mejorar el negocio.
Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una
alta rentabilidad en términos de reducción de costos y características tales como agilidad y la
velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener
un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la
infraestructura física y el dueño de la información que se almacena y se procesa.
Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico
que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción,
ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía
solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control
Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para
una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la
nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a
Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio.
Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se
encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que
se encuentra protegida es de vital importancia tener previstas acciones contundentes para la
gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren
seguridad, y los administradores de la de seguridad de la información puede que necesiten
ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones.
Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de
empresas que no externalizan algunas partes de su negocio. Participar en una relación con un
tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que
ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la
empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha
puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la
empresa, que necesitan ser administrados son:
Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y
sostenibilidad deben ser factores para considerar en el momento de la elección. La
sostenibilidad es de una importancia particular para asegurar que el servicio estará
disponible y la información puede ser vigilada.
El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de
la información, la cual es una parte crítica del negocio. Si no se aplican los niveles
acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la
disponibilidad, afectando gravemente las operaciones del negocio.
La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se
encuentra realmente la información. Cuando la recuperación de la información se
requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar
en el que se encuentra almacenada.
20
El acceso de terceros a información sensible crea un riesgo que compromete la
información confidencial. En Cloud Computing, esto puede provocar una amenaza
significante para asegurar la protección de la propiedad intelectual y secretos
comerciales.
La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en
niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a
bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la
información con otros clientes de la nube, o inclusive con clientes que pueden ser
competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente
de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace
que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es
fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato
especifica las áreas donde el proveedor de la nube es responsable y responsable de las
ramificaciones derivadas de posibles problemas.
Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada
inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y
recuperación de negocio deben estar bien documentados y probados. El proveedor de
Cloud Computing debe comprender el rol que juega en términos de backups, respuesta
y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el
contrato.
Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser
gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo
suficientemente flexible para hacer frente a los riesgos de la información debe estar en su
lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes
de una empresa, el acceso no autorizado a los datos en Cloud Computing es una
preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud
Computing, una empresa debe realizar un inventario de sus activos de información y
asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a
determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio
(SLA), la necesidad para cifrar la información transmitida, almacenada y los controles
adicionales de información sensible o de alto valor para la organización.
A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud
Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar
para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la
herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y
describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la
manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas
en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio
y recuperación de desastres, deberá estar informado dentro del contrato.
21
La protección de la información evoluciona como resultado de un fuerte e integro SLA que
es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo
y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento
ayudara a la empresa en el manejo de su información una vez que sale a la organización y es
transportada, almacenada o procesada en Cloud Computing.
Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten
estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio,
tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos
de áreas posibles de cambio. Además, los procesos que detallan la forma en que se
almacena la información, archivado y copia de seguridad tendrán que ser examinados de
nuevo.
Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de
las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron
obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente
desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información
tomen muy en cuenta los usos de servicios en Cloud Computing.
3.4 COSO
22
Sistema de Control Interno que fueron determinadas en la Ley 24.156 de Administración
Financiera y Sistemas de Control.
En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base
solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de
la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una
metodología que evalúe la calidad de los controles.
COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los
resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este
marco de control interno para que la información sea utilizada en los informes de alto nivel en la
gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos
términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009].
Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de
control interno son:
1. Asegurar la eficiencia y eficacia de las operaciones
2. Realizar informes financieros fiables
3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.
Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales
dentro de un sistema de control interno eficaz.
El Entorno de Control
Evaluación del Riesgo
Actividades de Control
Información Y Comunicación
Supervisión
Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado,
examinar los componentes del sistema de control en la organización e informar los resultados a
la dirección o la gerencia.
23
Definición de objetivos.
Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se
debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de
auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor
agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se
deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso
de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente,
tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo,
el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno
seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y
evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es
compromiso del auditor tener que identificar los controles que tendrán mayor concentración por
parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado.
Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y
la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar
el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en
alcanzar el resultado productivo optimizando los recursos de forma adecuada. El
objetivo de operaciones determina si se puede asegurar a la organización la no
existencia de ineficiencias significativas o que la eficacia en el proceso o en la
organización auditada es poca. Y adicionalmente brinda información útil que se
comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación
del control.
El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue
revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del
marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos
es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM
está en el proceso de ser adoptada por las grandes empresas.
En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base
fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la
24
ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a
admitir durante el intento por aumentar el valor de sus clientes o interesados.
25
Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad
de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información
sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y
sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una
entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.
De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los
riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto
adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una
organización:
26
Marco del objetivo: Los objetivos deben
existir antes de que la administración pueda
identificar eventos potenciales que lo afecten.
La gestión de riesgos empresariales asegura
que la administración ha puesto en ejecución
un proceso para establecer objetivos y que
los objetivos seleccionados apoyan, se
alinean con la misión de la entidad y que
sean consistentes con el apetito de riesgo.
Identificación de Eventos: Los eventos
externos e internos que afectan el logro de los
objetivos de la entidad deben ser
identificados, distinguiendo entre riesgos y
oportunidades. Las oportunidades son
canalizadas de vuelta a la estrategia de
gestión o los procesos en los que se fijan los
objetivos.
Evaluación de Riesgos: cada entidad Evaluación de Riesgos: Los riesgos son
muestra una variedad y riesgos de fuentes analizados, considerando la probabilidad y el
que deben ser evaluados. Una precondición impacto, como bases para la determinación
para la evaluación de riesgos es el de cómo se pueden gestionar. Las áreas de
establecimiento de objetivos, y por tanto la riesgo se evaluaran de forma inherente y
evaluación de riesgos es la identificación y formal.
análisis de riesgos pertinentes para la
consecución de los objetivos planeados. La
evaluación de riesgos es un prerrequisito para
la determinación de cómo se deben gestionar
los riesgos.
Actividades de Control: Las actividades de Actividades de Control: Políticas y
control son las políticas y procedimientos a procedimientos son establecidos e
ayudan a asegurar que la gestión de las implementados para ayudar a garantizar que
directivas se llevan a cabo. Ayudan a las respuestas al riesgo se lleven a cabo de
garantizar que se toman las medidas forma efectiva.
necesarias para hacer frente a los riesgos para
la consecución de los objetivos de la
organización. Las actividades de control
acurren a lo largo de la organización, en
todos los niveles y todas las funciones. Se
incluyen una serie de diversas actividades,
aprobaciones, autorizaciones, verificaciones,
reconciliaciones, revisiones del desempeño
operativo, seguridad de activos y segregación
de funciones.
27
Información y Comunicación: Los sistemas Información y Comunicación: La
de información juegan un papel clave en información relevante es identificada,
sistemas de control interno que producen los capturada y comunicada en una forma y
informes, incluyendo operaciones, marco de tiempo que la gente dispone para
Información financiera y de cumplimiento llevar a cabo sus responsabilidades. La
que hace esto posible para ejecutar y comunicación efectiva también ocurre en un
controlar el negocio. En un sentido más sentido más amplio por toda fluyendo de
amplio, la comunicación efectiva debe abajo hacia arriba por toda la entidad.
asegurar que la información fluye hacia
abajo, a través y hacia arriba en la
organización. La comunicación efectiva debe
estar también asegurada con las partes
externas, cada cliente, distribuidores,
reguladores y accionistas.
Monitoreo: Los sistemas de control interno Monitoreo: La totalidad de la gestión de
requieren ser monitoreados, Un proceso que riesgos es monitoreada y se realizan
evalúa la calidad del desempeño del sistema modificaciones en caso de ser necesarias. El
sobre el tiempo, lo cual se logra con monitoreo es realizado a través de las
actividades de monitoreo o de evaluaciones actividades de gestión en ejecución, las
separadas. Las deficiencias del control evaluaciones independientes o ambas cosas.
interno detectadas a través de estas
actividades de monitoreo deberían ser
reportadas en contra de la corriente y las
acciones correctivas para asegurar la mejora
continua del sistema
Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM
3.5 COBIT
En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y
de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes,
es importante optimizar correctamente los recursos con los que cuenta la organización, dentro
de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software
información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la
gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y
control de dichos sistemas.
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus
siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la
administración determinando una conexión entre los riesgos del negocio, los controles
requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008].
Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas ―Buenas
prácticas‖ de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la
inversión de la información y brindan mecanismos medibles que permiten juzgar el buen
28
resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los
sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio,
monitoreo de cada actividad de control de manera que se verifique si está cumpliendo
satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El
impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del
negocio que deben ser alcanzados:
Eficiencia
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad.
El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es
responsabilidad de la gerencia.
La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso,
diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la
diligencia requerida.
El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que
pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como
una guía clara y entendible.
Los propietarios de procesos son personas que se hacen responsables de todo aspecto
relacionado con los procesos de negocio tal como ofrecer controles apropiados.
COBIT como marco de referencia brinda al propietario de procesos, herramientas que
simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente
premisa:
“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus
objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI
agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los
cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro
dominios:1
Planificación y Organización
Adquisición e Implementación
Entrega de servicios
Soporte y Monitorización.‖
1
[NetworkSec, 2008]
29
Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]
La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión
de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o
resultado final que la organización tiene que alcanzar ejecutando procedimientos de control
dentro de una actividad de TI.
Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio
asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de
información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la
herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los
30
riesgos, el control y monitoreo, optimización de recursos en cada proceso y los beneficios que
están relacionados con información y la tecnología.
4. CARACTERIZACIÓN DE EMPRESAS
El documento de caracterización de empresas fue elaborado para ampliar la visión del lector,
con respecto a la actualidad de las empresas proveedoras y clientes, haciendo un enfoque a las
pymes colombianas que son el objetivo principal para analizar del trabajo.
Este documento se puede ver desde tres perspectivas diferentes. La primera muestra una
descripción de los servicios que brindan las empresas dividido de acuerdo a la capa en la que
hayan logrado un mayor desarrollo. La segunda perspectiva se basa en la comparación de las
empresas anteriormente descritas de acuerdo a sus características y a la capa que se desee
comparar, lo cual brindará al cliente diferentes alternativas para escoger la empresa proveedora
de que cumpla las necesidades de su negocio. Finalmente se exponen las empresas clientes,
haciendo énfasis en las pymes colombianas, que son la base fundamental para el desarrollo del
trabajo.
La caracterización de las empresas profundiza en conocer las necesidades de las empresas,
conociendo los servicios que ofrecen los proveedores o conociendo de forma directa las razones
por las que una empresa pyme toma los servicios de Cloud computing. [Hidalgo/Caracterización
De Empresas Cloud Computing , 2011]
5. ESTABLECER REQUERIMIENTOS
31
Al día de hoy, existen diversos documentos que brindan las pautas claras y concretas para
manejar la seguridad en Cloud Computing. Uno de estos documentos es la Guía para la
seguridad en Áreas Críticas de Atención en Cloud Computing [Alliance, 2009], el cual se
tendrá como base apoyar al establecimiento de los requerimientos.
Además de establecer los requerimientos necesarios para la elaboración de la guía metodológica
de control y aseguramiento en Cloud Computing para pymes también se determinarán
escenarios, actores y la interacción entres estos. Teniendo en cuenta que no se cuenta con unos
requerimientos definidos oficialmente, se desarrolló una encuesta que permitan aclarar y
confirmar las necesidades que se tienen en cuanto al control y aseguramiento de Cloud
Computing dentro de algunas empresas que ya cuentan con este servicio.
5.1 Escenario
El desarrollo del trabajo contempla 2 escenarios diferentes, dentro de los cuales se deberá
centrar el hallazgo de los requerimientos dentro de esta sección. El primer escenario hace
referencia al modelo de servicio de Cloud Computing, todo lo que lo caracteriza, sus diferentes
elementos, actores o interesados, entre otro tipo de detalles. Y el segundo escenario gira en
torno de los sistemas de control y aseguramiento requeridos para realizar la guía metodológica.
Por medio del marco teórico se pudo establecer toda la información referente a este novedoso
modelo de servicios que ha causado gran éxito tanto para las empresas que lo utilizan como para
las que lo ofrecen. A pesar que desde el inicio de Cloud Computing las pymes no fueron las
pioneras en el uso del modelo, hoy en día son este tipo de empresas (Pymes) las que más
ganancia le sacan al uso de Cloud Computing, pero como no se cuenta con un sistema claro de
control que les garantice seguridad y continuo crecimiento, se hace necesario crear uno que les
brinde este servicio.
Durante los últimos años se ha visto la necesidad de contar con un sistema que brinde a las
empresas el apoyo en la gestión de su negocio especialmente en el área de TI, es por ello que
hoy en día existen numerosos marcos de referencia que le dan soporte a las empresas en el
manejo de su negocio. Dentro de esos marcos de referencia se pueden nombrar algunos como
COSO, COBIT, ITIL V3 o normas como la Sarbanes Oxley entre otros, que aunque están
diseñados de forma sencilla para que el profesional de la empresa lo pueda manejar de forma
fácil y dinámica de acuerdo a las necesidades del negocio. De acuerdo con los beneficios que
han logrado alcanzar los marcos de referencia dentro de las organizaciones, se considera
importante tenerlo en cuenta como un escenario para los requerimientos que se especificarán en
este apartado.
32
5.1.3 Interacción entre los escenarios
Usualmente los marcos de control son diseñados de forma sencilla para ser aplicados por el
personal de TI de tal forma que sea acorde al negocio de la empresa. Estos marcos brindan la
forma de gestionar, controlar y asegurar que el área de TI trabaje de forma segura y eficiente.
La interacción entre los escenarios es de gran importancia ya que de esta forma se identifican
más claramente a cada uno y se pueden relacionar fácilmente. Como ya se mencionó el primer
escenario es el modelo de servicios de Cloud Computing, y el segundo será el marco de
referencia de COBIT, de los cuales se tiene la información ampliada en el marco teórico.
5.2 Actores
Los actores que se tienen en cuenta para el establecimiento y desarrollo de los requerimientos
son dos específicamente. El primer actor es el proveedor de servicios y el segundo es el cliente
que recibe los servicios de Cloud Computing, estos dos actores son los que interactúan en todo
el proceso de control y aseguramiento de Cloud Computing en las Pymes.
Este actor se encarga de brindar los servicios de Cloud Computing a los clientes. Estos servicios
son creados a partir de las necesidades más comunes de los clientes y su finalidad es satisfacer y
mejorar la experiencia del usuario. Usualmente el proveedor puede enfocarse en alguno o en
todos los modelos de servicio que ofrece la nube tales como SaaS, PaaS e IaaS. En la actualidad
se cuenta con numerosas empresas reconocidas a nivel internacional que han enfocado sus
esfuerzos en cumplir las necesidades del usuario, ofreciendo diferentes tipos de paquete de
servicios que se acomoden al negocio.
El actor cliente, es la figura que hace uso de los servicios en la nube con el propósito de generar
mejores ganancias y una mejor experiencia e impacto a su negocio o vida personal, es por ello
que en base a sus necesidades el proveedor ofrece paquetes de servicios con los cuales pueda
cumplir la expectativa del cliente. Para el desarrollo de este documento el actor cliente está
representado por las pymes colombianas que han tomado la decisión de hacer uso de Cloud
Computing.
Es importante tener en cuenta que así como hay una amplia interacción entre estos dos actores
para establecer un contrato del servicio de Cloud Computing, también debe existir un
compromiso de las dos partes para generar un entorno de control y aseguramiento que les brinde
una mayor facilidad de administrar los servicios que han contraído en la Cloud.
33
5.2.4 Responsabilidades de los Actores
Con respecto a los incidentes de seguridad, hay necesidad de poner en claro la definición y el
entendimiento entre el cliente y el proveedor de las funciones relevantes para la seguridad y las
responsabilidades. Las líneas de esta división pueden variar mucho entre las ofertas de SaaS y
ofertas de IaaS, delegando con este ultimo más responsabilidad a los clientes. Una división
típica y racional de la responsabilidad se muestra en la siguiente tabla. En cualquier caso, para
cada tipo de servicio, el cliente y el proveedor deben definir claramente cuál de ellos es
responsable de todos los temas de la lista de abajo. En el caso de los términos estándar de
servicio (es decir, no hay negociación posible), los clientes deben verificar la nube de lo que
está dentro de su responsabilidad.
Cliente Proveedor
- Cumplimiento con la ley de protección de - Soporte físico de infraestructura
datos en relación con los datos recogidos y (instalaciones, espacio de rack, energía,
tratados del cliente. refrigeración, cableado, etc.)
- Mantenimiento del sistema de gestión de - Seguridad y disponibilidad de infraestructura
identidad física (Servidores, Almacenamiento, banda
- Administración del sistema de gestión de ancha de redes, etc.).
identidad - Gestión de parches en Sistemas operativos, y
- Administración de la plataforma de procedimientos de endurecimiento (Revisar
autenticación (incluye política de aplicación algún conflicto entre el procedimiento de
de contraseña) endurecimiento del cliente y la política de
seguridad del proveedor).
- Configuración de la plataforma de seguridad
(Reglas de firewall, IDS, IPS, etc.)
- Monitoreo de sistemas
- Mantenimiento de la plataforma de seguridad
- Historial de registro y monitoreo de seguridad
Tabla 2 - División de responsabilidades SaaS [Enisa, 2008]
Cliente Proveedor
- Mantenimiento del sistema de gestión de - Soporte físico de infraestructura
identidad (instalaciones, espacio de rack, energía,
- Administración del sistema de gestión de refrigeración, cableado, etc.)
identidad - Seguridad y disponibilidad de infraestructura
- Administración de la plataforma de física (Servidores, Almacenamiento, banda
autenticación (Incluye la política de ancha de redes, etc.).
aplicación de contraseña) - Gestión de parches en Sistemas operativos, y
34
procedimientos de endurecimiento (Revisar
algún conflicto entre el procedimiento de
endurecimiento del cliente y la política de
seguridad del proveedor).
- Configuración de la plataforma de seguridad
(Reglas de firewall, IDS, IPS, etc.)
- Monitoreo de sistemas
- Mantenimiento de la plataforma de seguridad
- Historial de registro y monitoreo de seguridad
Tabla 3 -División de responsabilidades PaaS [Enisa, 2008]
Cliente Proveedor
- Mantenimiento del sistema de gestión de - Soporte físico de infraestructura
identidad (instalaciones, espacio de rack, energía,
- Administración del sistema de gestión de refrigeración, cableado, etc.)
identidad - Seguridad y disponibilidad de infraestructura
- Administración de la plataforma de física (Servidores, Almacenamiento, banda
autenticación (Incluye la política de ancha de redes, etc.).
aplicación de contraseña) - Sistemas Host (Hipervisor, Firewall virtual,
- Gestión de los resultados de parches del etc.)
sistema operativo y procedimientos de
endurecimiento (ver también cualquier
conflicto entre el procedimiento de
endurecimiento de los clientes y la política
de seguridad del proveedor)
- La configuración de la plataforma de
seguridad de evaluación (las reglas del
cortafuegos, IDS / IPS de sintonía, etc.)
- Habitación de sistemas de vigilancia
- Security platform maintenance (firewall,
Host IDS/IPS, antivirus, packet filtering)
- Log collection and security monitoring
Tabla 4 - División de responsabilidades IaaS [Enisa, 2008]
5.3 Encuesta
De acuerdo con la introducción de esta sección, la encuesta ayudará a definir los requerimientos
de control y aseguramiento necesarios en los cuales se base el desarrollo de la guía
metodológica. Para la elaboración de la encuesta tuvo en cuenta el documento de la CSA
[Alliance, 2009], los escenarios, los actores y la orientación a un público en especial, que
cuente con un conocimiento claro de Cloud Computing y de la empresa en la que trabajan.
35
Además del personal, también se contemplo que estos usuarios hicieran parte del área de
tecnología de las empresas Pymes, pues es allí donde se encuentra todo el conocimiento del
manejo de Cloud Computing para las empresas. Por otro lado, era importante contemplar el
conocimiento de las personas sobre el control y seguridad de la información que manejan sobre
este modelo de tecnología.
La encuesta se realizó a 11 personas diferentes en diversos cargos, las cuales contestaron un
total de 15 preguntas relacionadas con los escenarios establecidos que permitirán identificar los
posibles requerimientos de control y aseguramiento de Cloud que requieren pymes.
5.4 Resultados
Como se menciona anteriormente, la encuesta contiene preguntas orientadas tanto del entorno
de Cloud Computing como el uso de marcos de control, por lo que solo se tuvo en cuenta los
resultados que permitan identificar las necesidades de control y seguridad de la información.
―Anexo1. Encuestas‖
Además, es importante aclarar que los resultados que se obtengan a través de la encuesta, solo
busca identificar requerimientos genéricos de control y aseguramiento por lo cual no es de
esperar que se pueda profundizar más allá de la información con la que se cuenta. Sin embargo,
para estos requerimientos se tratará de dar un amplio detalle en el desarrollo de la guía, con la
ayuda del levantamiento de información realizado en el marco teórico y el documento de
caracterización de empresas, de tal forma que se pueda ir complementando
5.5 Requerimientos
De acuerdo a los resultados obtenidos a partir de las encuestas, se establecieron los siguientes
requerimientos para el control y aseguramiento de Cloud Computing para pymes, los cuales se
cuentan con una descripción que permita al lector reconocer la importancia que tiene cada uno
de estos en la elaboración de la guía.
36
8. Cifrado y gestión de claves.
9. Gestión de acceso e identidades
10. Virtualización
REQUERIMIENTO DESCRIPCION
1. Gobierno y Gestión de Riesgos Las empresas requieren contar con un marco de
Empresariales gobierno que les permita identificar y ejecutar
diversos procesos según las necesidades del negocio
que maneje la organización, cumplir con un marco
regulatorio y contar con sistema de gestión de
riesgos empresariales.
2. Cuestiones legales y Tanto los proveedores como clientes de Cloud
descubrimiento electrónico Computing deben asumir el reto de las leyes, normas
y estándares de TI que se aplican a una gran variedad
de ambientes de gestión de la información, teniendo
en cuenta dimensiones funcionales, contractuales y
jurisdiccionales.
3. Cumplimiento de estándares y Las empresas deben mantener cumplimiento de sus
auditoría propias políticas de seguridad, y de los requisitos
normativos y legislativos alrededor de Cloud
Computing.
4. Portabilidad e Interoperabilidad Las empresas cliente deben establecer un proveedor
estable, con procedimientos estándar y ante todo que
sea confiable, el cual no genere problemas de
portabilidad o interoperabilidad al momento de
interactuar con servicios de otros proveedores.
5. Respuesta ante incidencias, Las empresas, actores del flujo de Cloud Computing
notificación y solución (Proveedores y Clientes), deben tener claridad acerca
de la gestión de incidencias que se presentan sobre el
modelo de servicios.
6. Seguridad de las aplicaciones Todos los Stakeholders deben tener total
entendimiento de la influencia de Cloud Computing
en el ciclo de vida útil de toda aplicación.
7. Seguridad e Integridad de datos Tanto la información como las aplicaciones que se
encuentren sobre el entorno de Cloud Computing
deben contar con las medidas de protección
necesarias para no se vea afectada la integridad,
confidencialidad o disponibilidad de los datos.
8. Cifrado y gestión de claves. Las empresas proveedoras deben ofrecer a las
empresas cliente medidas de protección orientadas a
la gestión de acceso e identidades, que fortalezcan el
nivel de acceso a la información por parte del
37
personal.
9. Virtualización Las empresas cliente deben contar con un sistema
operativo virtualizado con las medidas necesarias de
seguridad como un hipervisor (monitor de maquina
virtual), que mitigue el impacto que tiene el tema de
la virtualización sobre la seguridad de la red.
Tabla 5 – Requerimientos
Teniendo en cuenta que aun es muy ambiguo el nivel de detalle que se quiere lograr con la
elaboración de este documento en el control y aseguramiento de Cloud Computing, se ha
elaborado un diagrama que será utilizado como guía para conocer la profundidad en la que se
evaluarán y documentarán los requerimientos. A continuación se relaciona el diagrama y las
secciones en las que se han dividido los requerimientos establecidos o se podrán visualizar en
―Anexo 2. Diagramas Requerimientos‖
38
Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento
39
Ilustración 12 - Operación de Cloud Computing
Esta guía metodológica de control y aseguramiento en Cloud Computing fue desarrollada para
asistir al profesional encargado del área de TI dentro de las Pymes, por lo cual se incluyen los
detalles relativos al formato y utilización del documento de seguimiento de esta nueva
tecnología.
Como se observa en la introducción, COSO y marcos similares se han vuelto cada vez más
populares entre los profesionales de aéreas de TI, lo cual permite que se vincule al trabajo de
aseguramiento que se realice dentro de las pymes. Mientras la función de control y seguridad
de TI es usar COBIT como el marco de referencia para profesionales, la auditoría operativa y
profesionales de aseguramiento utilizan el marco establecido por la empresa en la que trabajan.
Ya que COSO es el marco de control interno más frecuente y que se encuentran empresas de
todo tipo, este ha sido incluido en la guía como puente de alineación entre control de TI con el
resto de la función de aseguramiento. Varias organizaciones de aseguramiento incluyen los
componentes de control de COSO dentro de sus informes y el resumen de sus actividades de
aseguramiento para el comité de aseguramiento del consejo de administración.
Para cada control, el profesional de control y aseguramiento debe indicar el componente de
COSO. Esto es posible, pero en general no es necesario para extender el análisis al nivel de un
paso específico para aseguramiento.
El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue
revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del
marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos
es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM
está en el proceso de ser adoptada por las grandes empresas. A continuación se realiza una
comparación entre los dos marcos para tener una mayor claridad en sus diferencias.
41
Comparación del Control Interno de COSO y del Marco Integrado ERM
Marco de Control Interno Marco integrado ERM
Control del Entorno: El ambiente de control Entorno interno: El entorno interno abarca el
establece el tono de una organización, tono de la organización, y establece las bases
influenciando de esta forma la conciencia de de cómo el riesgo es observado y
control de su gente. Esta es la fundación para direccionado a las personas de la entidad,
todos los otros componentes de control incluyendo la filosofía en gestión de riesgos y
interno, proporcionando disciplina y apetito de riesgo, integridad y valores éticos, y
estructura. Los factores del ambiente de el entorno en el cual todos operan.
control incluyen la integridad, valores éticos,
estilo de gestión de funcionamiento,
delegación de los sistemas de autoridad, así
como los procesos de gestión y desarrollo de
personas dentro de la organización.
Marco del objetivo: Los objetivos deben
existir antes de que la administración pueda
identificar eventos potenciales que lo afecten.
La gestión de riesgos empresariales asegura
que la administración ha puesto en ejecución
un proceso para establecer objetivos y que los
objetivos seleccionados apoyan, se alinean
con la misión de la entidad y que sean
consistentes con el apetito de riesgo.
Identificación de Eventos: Los eventos
externos e internos que afectan el logro de los
objetivos de la entidad deben ser
identificados, distinguiendo entre riesgos y
oportunidades. Las oportunidades son
canalizadas de vuelta a la estrategia de gestión
o los procesos en los que se fijan los
objetivos.
Evaluación de Riesgos: cada entidad muestra Evaluación de Riesgos: Los riesgos son
una variedad y riesgos de fuentes que deben analizados, considerando la probabilidad y el
ser evaluados. Una precondición para la impacto, como bases para la determinación de
evaluación de riesgos es el establecimiento de cómo se pueden gestionar. Las áreas de riesgo
objetivos, y por tanto la evaluación de riesgos se evaluaran de forma inherente y formal.
es la identificación y análisis de riesgos
pertinentes para la consecución de los
objetivos planeados. La evaluación de riesgos
es un prerrequisito para la determinación de
cómo se deben gestionar los riesgos.
Actividades de Control: Las actividades de Actividades de Control: Políticas y
control son las políticas y procedimientos a procedimientos son establecidos e
42
ayudan a asegurar que la gestión de las implementados para ayudar a garantizar que
directivas se llevan a cabo. Ayudan a las respuestas al riesgo se lleven a cabo de
garantizar que se toman las medidas forma efectiva.
necesarias para hacer frente a los riesgos para
la consecución de los objetivos de la
organización. Las actividades de control
acurren a lo largo de la organización, en todos
los niveles y todas las funciones. Se incluyen
una serie de diversas actividades,
aprobaciones, autorizaciones, verificaciones,
reconciliaciones, revisiones del desempeño
operativo, seguridad de activos y segregación
de funciones.
Información y Comunicación: Los sistemas de Información y Comunicación: La información
información juegan un papel clave en relevante es identificada, capturada y
sistemas de control interno que producen los comunicada en una forma y marco de tiempo
informes, incluyendo operaciones, que la gente dispone para llevar a cabo sus
Información financiera y de cumplimiento que responsabilidades. La comunicación efectiva
hace esto posible para ejecutar y controlar el también ocurre en un sentido más amplio por
negocio. En un sentido más amplio, la toda fluyendo de abajo hacia arriba por toda la
comunicación efectiva debe asegurar que la entidad.
información fluye hacia abajo, a través y hacia
arriba en la organización. La comunicación
efectiva debe estar también asegurada con las
partes externas, cada cliente, distribuidores,
reguladores y accionistas.
Monitoreo: Los sistemas de control interno Monitoreo: La totalidad de la gestión de
requieren ser monitoreados, Un proceso que riesgos es monitoreada y se realizan
evalúa la calidad del desempeño del sistema modificaciones en caso de ser necesarias. El
sobre el tiempo, lo cual se logra con monitoreo es realizado a través de las
actividades de monitoreo o de evaluaciones actividades de gestión en ejecución, las
separadas. Las deficiencias del control interno evaluaciones independientes o ambas cosas.
detectadas a través de estas actividades de
monitoreo deberían ser reportadas en contra
de la corriente y las acciones correctivas para
asegurar la mejora continua del sistema
Tabla 6 - Comparación del Control Interno de COSO y del Marco Integrado ERM
El marco de control interno de COSO dirige las necesidades del aseguramiento de TI por medio
del entorno de control, evaluación de riesgos, actividades de control, información y
comunicación, y monitoreo, las cuales se tomarán para la elaboración de esta guía. Sin embargo,
se tendrá en cuenta el marco integrado ERM para la PYME que la requiera…según sean las
necesidades de negocio.
43
6.4 Referencias Cruzadas
Esta columna puede ser usada para marcar un hallazgo que el profesional de aseguramiento
desee investigar en detalle o establecer como un hallazgo potencial. Los hallazgos potenciales
deben ser establecidos en un documento que indica la disposición de los hallazgos y además
permite verificar otros numerales que tengan una alta relación con el punto que este revisando el
profesional de la empresa.
6.5 Comentarios
La columna de comentarios puede ser usada para indicar todo tipo de anotaciones que permitan
dar una aclaración al paso que se esté evaluando. El comentario debe ser utilizado como un
documento que describa todo el trabajo realizado, sino como sencillas anotaciones.
Actualmente Cloud Computing incorpora muchos procesos de TI, y dado que la información de
enfoca en el gobierno y gestión de TI, datos, red, contingencia y controles de cifrado, el
profesional de aseguramiento de TI debe tener el conocimiento requerido de todas estas
cuestiones. Además, una alta competencia en monitoreo y evaluación de riesgos, administración
de riesgos, componentes de seguridad de la información en la arquitectura de TI, amenazas y
vulnerabilidades de Cloud Computing y procesamiento de datos en internet es requerido. Por
otro lado, es recomendable que la persona que realiza la evaluación tenga la experiencia
requerida y las relaciones necesarias dentro de la empresa para ejecutar de forma eficaz el
aseguramiento de los procesos. Debido a que Cloud Computing es dependiente de los servicios
en Web, sería bueno que el profesional encargado tenga un entendimiento básico de Seguridad
en servicios WEB.
Una de las peticiones comunes y consistentes por parte de los stakeholders que han sido
sometidos a exámenes de control y aseguramiento, es entender como su rendimiento se
compara con las buenas prácticas. Los profesionales de aseguramiento de TI en las empresas
deben proporcionar una base objetiva que contribuya a la revisión de las conclusiones. El
modelo de madurez para gestión y control de procesos de TI, está basado en un método de
evaluación de la empresa para que pueda ser evaluado desde un nivel de madurez de
inexistencia (0) hasta el optimizado (5). Este enfoque esta derivado del modelo de madurez que
el Instituto de Ingeniería de Software (Software Engineering Institute, SEI) de Carnegie Mellon
University define para la madurez en el desarrollo de software.
Modelo de Madurez de Control Interno de COBIT, proporciona un modelo de madurez genérico
que muestra el estado del entorno de control interno y el establecimiento de los controles
internos dentro de la empresa. Este muestra como la administración de control interno, y la
coincidencia de la necesidad de establecer mejores controles internos, típicamente se realiza
desde un nivel Inicial también conocido como ad hoc, hasta el nivel optimizado. El modelo
proporciona una guía de alto nivel para que los usuarios de COBIT a perciban lo que es
44
necesario para tener unos controles internos efectivos en TI y para ayudar a posicionar su
empresa en la escala de madurez.
45
evaluación no está documentado. de mejora. Además de los talleres
Si bien la administración es capaz facilitados, se utilizan herramientas y
de hacer frente a la mayor parte de se realizan entrevistas para apoyar el
problemas de control de forma análisis y asegurar que el propietario
predecible, algunas debilidades de de un proceso de TI posee y dirige el
control persisten y los impactos proceso de evaluación y mejora.
podrían ser graves. Los empleados
son conscientes de sus
responsabilidades de control.
4- Administrado Se encuentra un ambiente de La criticidad de los procesos de TI son
y Medido administración de riesgos y de regularmente definidos con un
control interno efectivo. Hay una completo apoyo y el acuerdo de los
evaluación formal y documentada propietarios de procesos de negocio
de los controles que se producen relevantes. La evaluación de
frecuentemente. Muchos controles requerimientos de control está basada
están automatizados y se revisan en políticas y la madurez real de los
regularmente. Es probable que la procesos, tras un análisis minucioso y
gerencia detecte la mayor parte de medido que involucre a los actores. La
problemas de control, pero no rendición de cuentas para estas
todos se identifican de forma evaluaciones es clara y forzada. Las
rutinaria. Hay un seguimiento estrategias de mejora son apoyadas
constante para atender las pos los casos de negocio. El
deficiencias de control. Un uso rendimiento en el logro de los
táctico y limitado de la tecnología resultados deseados es constantemente
es aplicado para automatizar supervisado. Las revisiones de control
controles. externo son organizadas
ocasionalmente.
5- Optimizado Un programa organizacional de Los cambios en el negocio consideran
riesgo y control proporciona la criticidad de los procesos de TI y
solución continua y efectiva a los cubre alguna necesidad de volver a
diferentes problemas que se evaluar la capacidad de control en los
puedan presentar. El control procesos. Los dueños de Procesos de
interno y la gestión de riesgo están TI regularmente desarrollan la
integrados con las practicas de la autoevaluación para confirmar que los
empresa, apoyadas por un controles están en el nivel adecuado
monitoreo automatizado en de madurez para satisfacer las
tiempo real y una rendición de necesidades del negocio y tienen en
cuentas completa para el cuenta los atributos de la madurez
seguimiento de controles, para encontrar caminos que permitan
administración de riesgo e hacer los controles más eficientes y
implantación del cumplimiento. efectivos. Para procesos críticos, se
Las evaluaciones de control son realizan revisiones independientes que
continuas, basadas en las proporcione seguridad de que los
46
autoevaluaciones, las causas de controles están en un nivel deseado de
raíz y el análisis de brechas. madurez y trabajan según lo planeado.
Tabla 7 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]
La evaluación del modelo de madurez es uno de los pasos finales en el proceso de evaluación.
El profesional de TI puede dirigir los controles clave dentro del ámbito de programa de trabajo y
formular una evaluación objetivo de los niveles de madurez de las prácticas de control. La
evaluación de madurez puede ser una parte del informe de control y aseguramiento, como
herramienta de medición de año tras año que permita reflejar el progreso en la mejora de
controles. Sin embargo, hay que señalar que la percepción del nivel de madurez puede tener una
variación entre el propietario del proceso de TI y el asegurador. Por lo tanto, se debe obtener
primero el acuerdo de los stakeholders antes de presentar el informe final a la dirección.
Al final de la revisión, una vez todos los hallazgos y recomendaciones han sido completados, el
profesional evalúa el estado actual del marco de control COBIT y asigna un nivel de madurez
utilizando la escala de los 6 niveles. Algunas personas utilizan decimales para indicar grados de
cada nivel en el modelo de madurez. Como una referencia mas, COBIT proporciona una
definición de las designaciones de madurez para el objetivo de control [Domenech & Lenis,
2007]. Si bien este enfoque no es obligatorio, el proceso es suministrado como una sección de
separación en el fin de la guía metodológica de control y aseguramiento de Cloud Computing
para las Pymes que deseen implementarlo. Además es sugerido que una evaluación de madurez
este hecho a nivel de control de COBIT, para proporcionar más valor al cliente, obteniendo los
objetivos de madurez directamente de stakeholder. Usando la evaluación y los niveles objetivo
de madurez, la persona puede crear una presentación grafica que describe los logros y las
debilidades entre los objetivos de la madurez real y el objetivo planteado. Para tal fin se
proporciona una grafica de este documento, basada en evaluaciones sencillas.
De estos procesos de debe tener en cuenta que son el principal control para dirigir y mantener
las relaciones con terceros y además tienen referencias cruzadas dentro de la guía de control y
aseguramiento de la nube.
Cloud Computing ha tocado puntos con la infraestructura total de TI y por eso, esta guía
metodológica de control y aseguramiento de Cloud Computing para Pymes tiene numerosas
referencias cruzadas con los dominios y procesos de COBIT. Estas secciones aparecen en la
columna de cruce de referencias de COBIT de la guía metodológica.
48
7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Monitoreo
Cruzadas Comentarios
COBIT
49
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
en la revisión.
1.2.4 Obtener y revisar los informes de control anteriores y los planes de
remediación. Identificar las cuestiones pendientes y evaluar cambios a los
documentos con respecto a estas cuestiones.
1.3 Identificar y Documentar los Riesgos
La evaluación de riesgos es necesaria para evaluar los recursos de aseguramiento en
los que se debe centrar. En las empresas pymes, los recursos de seguridad no están
disponibles para todos los procesos. Los riesgos se basan en el enfoque de garantizar
la utilización de los recursos de seguridad de la manera más eficaz.
1.3.1 Identificar los riesgos del negocio asociados con Cloud Computing de interés
para los dueños del negocio y los principales interesados.
1.3.2 Verificar que los riesgos del negocio están alineados, calificados y
clasificados con los criterios de seguridad en Cloud Computing tales como la
Integridad, Disponibilidad y la Confidencialidad.
1.3.3 Revisar programas de aseguramiento anteriores de Cloud Computing dentro
de la pyme.
1.3.4 Determinar si el riesgo identificado previamente ha sido dirigido
apropiadamente.
1.3.5 Evaluar el factor de riesgo en general para realizar la revisión dentro de la
pyme.
1.3.6 Basado en la evaluación de riesgos, identificar cambios en el alcance.
1.3.7 Discutir los riesgos con la administración de TI, y ajustar la evaluación de
riesgo.
50
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
con los que opera actualmente y todas las implementaciones que ME4.2
existen a través de la empresa. La empresa asegura que los clientes, la
seguridad de información y las unidades de negocio participan
activamente en las actividades de gobierno para alinear los objetivos
de negocio y las capacidades en seguridad de la información del
proveedor de servicios con los de la pyme.
2.1.1.1.1 Determinar si en TI, la seguridad de la información, y las
funciones clave del negocio han definido el marco de
gobierno y procesos integrados de monitoreo.
2.1.1.1.2 Determinar si en TI, las funciones de seguridad de la
información y las unidades clave de negocio participan
activamente en el establecimiento de ANS y las obligaciones
contractuales.
2.1.1.1.3 Determinar si la función de seguridad de la información ha
realizado un análisis de brechas en las habilidades de
seguridad informática con las que cuenta el proveedor del
servicio en contra de las políticas de la pyme respecto a la
seguridad de la información, amenazas, y las
vulnerabilidades que surgen de la transición a Cloud
Computing.
2.1.1.1.4 Determinar si el proveedor de Cloud Computing tiene
identificado los objetivos de control de los servicios
prestados.
53
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
81
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
modificaciones.
3.3.1.1 Información en transito DS5.7
Control: Los datos en tránsito son cifrados sobre redes con claves DS5.11 x
privadas conocidas solamente por el cliente. DS11.6
3.3.1.1.1 Obtener las políticas de cifrado y procedimientos para datos
en tránsito.
3.3.1.1.2 Evaluar si el proceso de cifrado incluye lo siguiente:
• Clasificación de los datos que atraviesan las redes de
Cloud Computing (Top Secret, confidencial estándar,
confidencial de la empresa, publico)
• Tecnologías de cifrado en uso
• Gestión de claves (véase el análisis de gestión de claves en
el punto 3.3.2)
• Una lista de organizaciones externas a los clientes que
tienen las claves de descifrado para datos en tránsito.
3.3.1.2 Información en Reposo
Control: Los datos almacenados en bases de datos de producción DS11.2
en vivo sobre sistemas de Cloud Computing que están cifrados y DS11.3 x
con conocimiento de las claves de descifrado limitadas para el DS11.6
usuario.
3.3.1.2.1 Obtener las políticas y procedimientos de cifrado para
datos almacenados en sistemas de Cloud Computing.
3.3.1.2.2 Para implementaciones en SaaS, determinar si el
82
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
debe utilizar.
3.4.1.2.1 Para SaaS y PaaS, Determinar si el cliente puede establecer
confianza entre el sistema de autenticación interna y el
sistema de Cloud Computing.
3.4.1.2.2 Determinar, donde hay una opción en la que el proceso de
autenticación de propiedad común se ha implementado en el
proveedor de servicios.
3.4.1.2.3 Si un proceso de autenticación de propiedad es la única
opción, determinar si los controles adecuados están en lugar
para:
• Prevenir compartimento de las identidades por parte de los
usuarios
• Proporcionar separación de deberes adecuado para
prevenir que el personal del proveedor obtenga las
identidades de los clientes.
• Proporcionar funciones forenses y registro que ayuda la
historia de las actividades.
• Proporcionar funciones de monitoreo que alerten al cliente
sobre actividades de autenticación no autorizadas.
3.4.1.2.4 Para IaaS:
• Si las VPNs dedicadas están implementadas entre el
proveedor de servicio y las instalaciones del cliente,
determinar si los usuarios están autenticados en la red del
88
Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios
Monitoreo
COBIT
ataques. DS9.3
3.5.1.1.1 Identificar la configuración de la maquina virtual en su sitio
3.5.1.1.2 Determinar si los controles adicionales han sido
implementados, incluyendo lo siguiente:
Detección de intrusos.
Prevención de Malware
Escaneo de vulnerabilidad
Línea base de gestión y análisis.
La maquina virtual de imágenes de validación antes de la
puesta en producción.
Evitar pasar por alto los mecanismos de seguridad por la
identificación de las APIs relacionadas con la seguridad en
uso.
Separar la producción y el entorno de pruebas.
Organización interna de gestión de la identidad para el
acceso administrativo.
Oportuno aislamiento de intrusión de presentación de
informes.
90
8. EVALUACIÓN DE MADUREZ
La evaluación de madurez es una oportunidad para evaluar la madurez de los procesos revisados. Basado en los resultados de la revisión de control y aseguramiento, más
las observaciones del revisor, se asigna un nivel de madurez para cada una de los siguientes objetivos o procesos de control desarrollada en COBIT. La evaluación debe
estar limitada para los objetivos de control relacionadas directamente con la implementación de Cloud Computing y debe ser aplicable al proveedor de servicios y el
cliente para el control de criterios mencionado previamente.
Madurez Objetivo
Comentarios
Objetivos de Control de COBIT Evaluado Madurez
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
La comunicación efectiva entre la gerencia de TI y los clientes de negocio en relación con los
servicios que son requeridos se hace posible gracias a que se cuenta con una decisión documentada
unida a un acuerdo de servicios de TI y niveles de servicio. Este proceso también incluye
monitoreo y el informe oportuno a los participantes acerca del cumplimiento de los niveles de
servicio. Además, permite la alineación entre los servicios de TI y los requerimientos de negocio
relacionados.
93
8.1 Evaluación De Madurez Vs. Objetivo De Madurez
Esta grafica de telaraña es un ejemplo de los resultados de la evaluación de madurez y objetivos de madurez para una empresa en específico.
3
DS5.3 Administración de
DS5.10 Seguridad de la Red
2 identidad
0
DS5.9 Prevención, detección y
DS5.4 Administración de
corrección de software
Cuentas de usuario
malicioso
Evaluación
DS5.7 Protección de la DS5.6 Definición de incidentes
tecnología de seguridad de seguridad
Objetivo
Referencias
Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES
Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011,
de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-
evolucion-revolucion-no.1.html
Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud
Computing', CSA-Cloud Security Alliance.
Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad',
Revista Espaсola de Electrónica, 7.
Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado 22
de Febrero, 2011, de http://www.avanxo.com
Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recursos
e información tecnológica empresarial para CIOs.
Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information and
related Technology', Information Systems Audit and Control Association, Technical report, IT
Governance Institute, Documento de Gobierno de TI.
95
Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado 20
de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-era-
de-desarrollo/
Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.
Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. Qué es? Para qué
sirve?', Arturogoga.
Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)', Global
Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de
http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo
Gutiérrez, J. (2010), 'Cloud Computing: una opción viable para su negocio?', in Juan Gutiérrez,
ed., , ACIS-Asociación Colombiana de Ingenieros de Sistemas.
Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04 de
Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-paas.html
Lenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and
related Technology', Information Systems Audit and Control Association, Technical
report, IT Governance Institute, Documento de Gobierno de TI.
Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recuperado
18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/
MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO',
MercadoTendencias.com. Recuperado 20 de Febrero, 2011, de
http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/
Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de
gestión empresarial'.
Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de
conocimiento público, info@nasaudit.com.
Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar
conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la
información. Recuperado 20 de Febrero, 2011, de
96
http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemid
=40
Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28 de
Febrero, 2011, de http://www.parallels.com/es/products/saas/
SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry
Association, 9.
Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Software
Development 32, 5.
Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Riesgos
Corporativos-Marco Integrado'.
97
10. ANEXOS
Anexo 1. Encuestas
Anexo 2. Diagramas Requerimientos
98