GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD

COMPUTING PARA PYMES

AUTOR
PABLO ANDRÉS HIDALGO LARA

DIRECCIÓN
FREDDY ALEXANDER VARGAS BLANCO

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA
DEPARTAMENTO DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2011

1
Contenido
1. OBJETIVO Y ALCANCE ..................................................................................................... 6
1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES revisara:6
1.2 Alcance ...................................................................................................................... 6
La revisión se enfoca en: ....................................................................................................... 6
2. INTRODUCCIÓN .................................................................................................................... 7
2.1 Propósito ................................................................................................................... 7
2.2 Marco de Control ...................................................................................................... 7
2.3 Gobierno, Riesgo y Control de TI .............................................................................. 7
2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI ............ 7
3. CONCEPTOS GENERALES .................................................................................................... 9
3.1 Fundamentos .................................................................................................................. 9
3.2 Impactos de cloud computing....................................................................................... 19
3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing .................................. 20
3.4 COSO ............................................................................................................................. 22
3.5 COBIT............................................................................................................................. 28
4. CARACTERIZACIÓN DE EMPRESAS ............................................................................ 31
5. ESTABLECER REQUERIMIENTOS ................................................................................ 31
5.1 Escenario ................................................................................................................. 32
5.2 Actores .................................................................................................................... 33
5.2.1 Actor Proveedor .................................................................................................. 33
5.2.2 Actor Cliente ....................................................................................................... 33
5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud Computing 33
5.2.4 Responsabilidades de los Actores ....................................................................... 34
5.3 Encuesta .................................................................................................................. 35
5.4 Resultados ............................................................................................................... 36
5.5 Requerimientos ....................................................................................................... 36
6. COMO USAR ESTE DOCUMENTO ................................................................................. 40
6.1 Pasos del Programa de trabajo ............................................................................... 40
6.2 Objetivo de Control de COBIT ................................................................................. 41
6.3 Componentes de COSO ........................................................................................... 41
6.4 Referencias Cruzadas .............................................................................................. 44
6.5 Comentarios ............................................................................................................ 44
6.6 Habilidades Mínimas en Control y Aseguramiento ................................................ 44
2
 6.7 Análisis Control de Madurez – COBIT ..................................................................... 44
6.8 Marco De Control y Aseguramiento ....................................................................... 47
7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD
COMPUTING PARA PYMES .................................................................................................... 49
1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO .......... 49
2. GOBIERNO EN CLOUD COMPUTING ........................................................................... 52
3. OPERACIÓN EN CLOUD COMPUTING.......................................................................... 75
8. EVALUACIÓN DE MADUREZ ........................................................................................ 91
8.1 Evaluación De Madurez Vs. Objetivo De Madurez ................................................. 94
9. REFERENCIAS Y BIBLIOGRAFÍA .................................................................................. 95
Referencias.......................................................................................................................... 95
10. ANEXOS ......................................................................................................................... 98
Anexo 1. Encuestas ............................................................................................................. 98
Anexo 2. Diagramas Requerimientos.................................................................................. 98

3
 LISTA DE TABLAS

Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM .................... 28
Tabla 2 - División de responsabilidades SaaS [Enisa, 2008] ........................................................ 34
Tabla 3 -División de responsabilidades PaaS [Enisa, 2008] ........................................................ 35
Tabla 4 - División de responsabilidades IaaS [Enisa, 2008]......................................................... 35
Tabla 13 – Requerimientos ......................................................................................................... 38
Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM .................. 43
Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]....................................... 47
Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007] ...................... 93

4
 LISTA DE ILUSTRACIONES

Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] ................................................. 11

Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] ........................................................... 12
Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] ...................................................... 13
Ilustración 4 - ¿Que es PaaS? [Keene, 2009]............................................................................... 13
Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] ............................. 16
Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] .............................. 17
Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]
.................................................................................................................................................... 23
Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] ................................. 30
Ilustración 9 - Diagrama Requerimientos ................................................................................... 38
Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento ..................... 39
Ilustración 11 - Gobierno de Cloud Computing .......................................................................... 39
Ilustración 12 - Operación de Cloud Computing ......................................................................... 40
Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez ............................ 94

5
 1. OBJETIVO Y ALCANCE

1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES

revisara:

 Proporcionar a los interesados una evaluación eficiente de los controles

internos de Cloud Computing por parte del proveedor de servicios y la
seguridad para sus empresas.
 Identificar las deficiencias de control interno en la empresa Pyme del cliente y
su relación con la del proveedor de servicios.
 Proporcionar a los interesados una evaluación de calidad, con la capacidad de
brindar confianza en las certificaciones con las que el proveedor de servicios
cuenta en materia de controles internos. (ITIL, COBIT, Norma 27001,etc.)

La guía metodológica de control y aseguramiento de Cloud Computing no está

diseñada para reemplazar o enfocar el control que se centra en el aseguramiento de una
aplicación en específico y excluye la garantía de funcionalidad de una aplicación e
idoneidad.

1.2 Alcance

La revisión se enfoca en:

 El impacto del gobierno en Cloud Computing

 El cumplimiento contractual entre el proveedor del servicios y el cliente
 Control de problemas específicos en Cloud Computing.
Dado que los temas de la revisión se basan en gran medida en la eficacia de los
controles generales de TI, es recomendable que estos estudios de control y
aseguramiento en las siguientes áreas, sean realizados antes de la ejecución de la
revisión de Cloud Computing, para ser empleadas de forma correcta en estas
evaluaciones:
 Gestión de Identidad (Si el sistema de gestión organizacional está integrado con
el sistema de Cloud Computing)
 Gestión de incidentes de seguridad (Para interactuar y gestionar con los
incidentes en Cloud Computing)
 Seguridad de red perimetral (como un punto de acceso a Internet)
 Desarrollo de Sistemas (en el cual la nube es parte de la infraestructura de las
aplicaciones)
 Gestión de Proyectos
 Gestión de Riesgos de TI
 Gestión de datos (para transmisión y almacenamiento de datos en los sistemas
de Cloud Computing)
 Gestión de vulnerabilidades

6
 2. INTRODUCCIÓN

2.1 Propósito

La guía metodológica de control y aseguramiento en Cloud Computing para pymes, es una

herramienta para ser usada como una hoja de ruta para la realización de un proceso de
aseguramiento especifico. Esta guía está destinada para ser utilizada por profesionales de
tecnología de información, control y aseguramiento de TI que cuenten con los conocimientos
necesarios de la materia objeto de examen.

2.2 Marco de Control

Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT,
más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y
aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y
aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias
para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud
Computing en pequeñas y medianas empresas también conocidas como Pymes
[Hidalgo/Caracterización de las empresa Cloud Computing, 2011].
Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el
Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de
Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos
regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and
Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes
similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido
incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso
de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco
de control y las necesidades de la empresa en la que se encuentre.

2.3 Gobierno, Riesgo y Control de TI

Gobierno, riesgo y control de TI son 3 aspectos críticos en el desarrollo de cualquier proceso de

gestión del aseguramiento. El gobierno del proceso bajo revisión, será evaluado como parte de
las políticas y gestión de controles de supervisión. El riesgo juega un rol importante en la
evaluación de lo que se controla y como se gestionan los enfoques y el riesgo, por lo cual ambos
asuntos son evaluados como pasos en la guía de control y aseguramiento. Los controles son el
punto principal de evaluación en el proceso. La guía de control y aseguramiento identifica los
objetivos de control (Procesos de Cobit) y las medidas para determinar el diseño de control y la
eficacia.

2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI

Se espera que los profesionales de control y aseguramiento de la pyme tengan la posibilidad de

modificar este documento para el entorno en el cual se encuentran desarrollando y asegurando
diferentes tipos de procesos. Este documento será utilizado como herramienta de examen y
7
punto de partida en pymes colombianas que estén haciendo uso de Cloud Computing. Además,
de acuerdo con ese punto de formalidad esta guía no debe ser entendida como una lista de
chequeo o como cuestionario. Se asume que los profesionales de control y aseguramiento tienen
la experiencia necesaria para realizar este trabajo, el cual se recomienda este supervisado por un
profesional con la experiencia necesaria para darle seguimiento al trabajo realizado en esta guía.

8
 3. CONCEPTOS GENERALES

3.1 Fundamentos

A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el
mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor
seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud
Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así,
el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos
perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema
y los retos que debe superar en la actualidad.

3.1.1 ¿Qué es Cloud Computing?

Uno de los temas más confusos que rodean a Cloud Computing ―Computación en la nube‖, y
sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se
puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares
y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009],
quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo
de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de
la nube se describen por medio de servicios, información, aplicaciones e infraestructura que
pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o
interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos
por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros
servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo.
La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes
en los últimos años como las novedades más influyentes de las empresas:
 SaaS o Software como un Servicio: Un modelo de distribución de software a través de
la red.
 Utility Computing: Es el suministro de recursos computacionales, por ejemplo el
procesamiento y almacenamiento como un servicio medible.
 Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de
recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control
central, si no que se hace de forma distribuida. La clave de Grid Computing esta en
conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de
Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la
infraestructura utilizada.
Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza
los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a
ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas
de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través

9
de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir
balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones.

3.1.2 Características Esenciales

En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los

servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos
de estrategias de computación, estas son:
Una de las características más importantes de Cloud Computing es el autoservicio por demanda,
es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les
facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por
ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma
automática sin tener que estar interactuando con su proveedor de servicios.
La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de
internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la
comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de
esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una
necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo
que facilite el uso de las plataformas conectándose a internet
Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando
recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una
misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se
ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se
independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus
tareas independientemente de la disposición física de estas. Algunos de los recursos
computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas
virtuales, etc.
Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y
flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el
servicio. Usualmente para los clientes, las capacidades ofrecidas por el modelo aparecen
ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite.
Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio
del cual los recursos de Cloud Computing se controlan y optimizan de forma automática,
haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al
cliente.
Debido a las características mencionadas, las cuales el proveedor está en la obligación de
cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de
las aplicaciones, toda la información es almacenada de forma redundante en backups que se
utilizarían en algún caso de fallo.

10
 3.1.3 Modelos de Servicio en la Nube

Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de
otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de
forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing.
Usualmente se conoce también como el ―Modelo SPI‖, donde cada sigla de la palabra hace
referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura
(como un servicio).
A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara
[Gutiérrez J, 2010]:

Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009]

 Software as a Service (SaaS)

Es un modelo de distribución de software en el que la empresa proveedora aporta el
servicio de operación diaria, mantenimiento y soporte del software solicitado por el
cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o
sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara
en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las
aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de
utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen
uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos
programas deben tener las condiciones necesarias para trabajar de forma simultánea o
concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se
puede ver un ejemplo del funcionamiento de esta capa:

11
 Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011]

Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o
aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas
necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente
confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin
embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet,
pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS
simplemente ofrece el uso de software a través de la red.
Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez
J, 2010]:

Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o

aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la
aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja.
Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación,
cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel
facilita el mantenimiento del software.
Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia
para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la
aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la
aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan
solo una instancia con la cual trabajar, así como reducción de costos y espacio para
disponer de almacenamiento suficiente para todas las instancias, como sucedía en los
casos anteriores.
Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la
aplicación que se utiliza según las necesidades, dando atención al número de clientes
que estén usando el software, de esta forma el sistema se hace escalable a un número
indeterminado de clientes evitando tener que rediseñarlo.

12
 Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010]

 Platform as a Service (PaaS).

El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual
este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS,
sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo.
Paas incluye todas las facilidades al programador para diseñar, analizar, desarrollar,
documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además
brinda el servicio de integración de la base de datos, escalabilidad, seguridad,
almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de
realizar trabajos colaborativos. [Gutiérrez A, 2009]

Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración

Ilustración 4 - ¿Que es PaaS? [Keene, 2009]

13
Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes
[Keene, 2009]:
Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de
desarrollo.
Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa
proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno
de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.
Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que
el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios,
garantizando la escalabilidad del sistema.
El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.
El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual
proporciona las herramientas de desarrollo que no es necesario que el cliente instale en
su equipo.
El despliegue de la aplicación lo realiza el cliente por medio de las herramientas
proporcionadas por el proveedor, no es necesario contactar ningún intermediario que
despliegue el sistema.
Tal cual como en los demás modelos ―como un Servicio‖, las ventajas se basan en no tener
que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el
desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la
responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente
sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice
en su totalidad.
Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de
internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce
miedo por parte de los clientes de no tener acceso a su propia información o de que personas
ajenas tengan acceso a esta de alguna u otra forma.

 Infrastructure as a Service (IaaS).

El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas
virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento,
hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la
infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal
manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing,
2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores
que estén a su disposición, etc.

Dentro de las principales características del modelo IaaS, encontramos:

Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar
cuales serán las condiciones del contrato para ambos.
Pago según el uso de capacidades computacionales ofrecidas por el proveedor.
El ambiente proporcionado por el proveedor será en forma de maquinas virtuales.
El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las
necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones

14
 El proveedor se encargará de ofrecer todo el software requerido para mantener las
necesidades del cliente, como firewalls, balanceo de carga entre servidores,
sistemas operativos, etc.
El proveedor estará en la capacidad de asegurar al cliente una conectividad a
internet sin problemas, con backups de seguridad que garanticen la integridad de los
datos.
 Data Storage as a Service (DaaS).
El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la
gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja
en conexión con IaaS, [SNIA, 2009]
 Communications as a Service (CaaS).
La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el
mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento
necesario de redes y la gestión de las comunicaciones, como el balanceo de carga.

 Software Kernel.
Esta capa gestiona la parte física del sistema. Controla los servidores a través de los
sistemas operativos instalados, el software que permite la virtualización de las
máquinas, la gestión de los clusters y del grid, etc.[Wolf, 2009]
 Hardware as a Service (HaaS).
HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte
física de los elementos necesarios para trabajar a través de internet, consistiendo estos
en centros con maquinas que ofrecen la computación, almacenamiento, servidores,
etc.[Wolf, 2009]

3.1.4 Modelos de Despliegue de Cloud Computing

Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de

despliegue de Cloud Computing [Mell & Grance, 2009]:
Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles
para los clientes por medio del proveedor a través de internet. El ser pública no implica
totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público
tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de
autenticaciones para hacer uso de los servicios suministrados, además proporciona un
medio flexible y rentable para el desarrollo de soluciones para los clientes.
Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La
diferencia entre ambas se encuentra es que en la privada los datos y procesamientos
están administrados dentro de la organización sin las restricciones del ancho de banda,
seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece
al cliente la posibilidad de tener más control sobre la infraestructura proporcionada,
mejorando la seguridad y la recuperación.

15
 Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de
organizaciones que comparten los mismos intereses, como una misión común o
necesidades de seguridad similares.
Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública
y la privada.

Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009]

3.1.5 Modelo de Referencia de Cloud Computing

Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la

relación y las dependencias entre los modelos de la nube. Aunque en la sección 3.1.3 (Modelos
de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta
que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se
observo es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se
basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se
muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan
capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se
relacionan con la seguridad de la información.
La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las
plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la
capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos.
En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la
administración y diferentes formas en las cuales el cliente interactúa con el servicio.

16
 Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009]

Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de
integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware,
mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que
le adicionan a la plataforma.
Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente
operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se
ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el
manejo fácil y dinámico por parte de los clientes.
A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen
diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad
se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]:
 SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor
extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del
proveedor.
 Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más
baja integración ya que está desarrollada para que los desarrolladores elaboren sus
propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada
con SaaS, compensando así entre capacidades de plataforma con funciones de
seguridad.
 Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia
extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y
funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y
gestione sus propias aplicaciones, sistemas operativos, etc.

17
3.1.6 Ventajas de Cloud Computing

Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing
cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se
han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:
 El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No
es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni
en su casa u oficina, podrá acceder a su información servicios desde cualquier
emplazamiento, pues estos se encuentran en internet.
 Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número
de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.
 Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor
número de recursos según se requiera sin tener que pagar por tenerlos físicamente en
sus sucursales, con un gasto lógico de software, hardware o personal.
 Los clientes no poseen una cantidad de recursos determinada, por el contrario
comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la
carga de cada uno según la actividad que tenga en cada momento, evitando la escasez
de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento.
 El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de
información por fallos del sistema.
La premisa de Cloud Computing es que por la subcontratación de partes de la información
gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los
procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la
actividad operacional de manera más inteligente, más rápida y más barata.

3.1.7 ¿Cómo Cloud logra aportar estas ventajas?

Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:

 Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre,

por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a
funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de
realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de
todo lo que las maquinas necesitan realizar para realizar dicha actividad.
 Rápida movilización de los recursos: los recursos computacionales (servidores, redes,
software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible
incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo
necesario para cumplir los requerimientos del cliente, en el momento que este lo
solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es
totalmente medible.
 Capacidad de ―escalado elástico‖ atiende y gestiona la demanda fluctuante que se
genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la

18
 cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta
equipos, aplicaciones o espacios de almacenamiento.
 Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un
único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y
manejar virtualmente los recursos computacionales por los cuales está pagando el
servicio en el momento que este lo requiera.
 Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en
un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del
acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los
derechos, deberes y las formas debida de uso del servicio al cual esta accediendo.
 Capacidad de medir el consumo: Como se ha mencionado, los recursos
computacionales de Cloud Computing, son totalmente medibles, por lo que en cada
momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente
tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en
marcha para el cumplimiento de sus necesidades.

3.2 Impactos de cloud computing

Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes
demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como
una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la
nube, sin duda está revolucionando el mundo de los servicios por la transformación de la
informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales
como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia
para gestionar los activos de información. La continua influencia e innovación de Internet ha
permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en
servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia.
Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran
potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de
ganancia del negocio para las dos partes, el proveedor y el cliente.
Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su
infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo
plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos,
es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que
ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar
servicios que utilizan en un modelo bajo demanda.
Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio
potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir
sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran
diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se
deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay
un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se
encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para
19
ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas
soluciones de IT y mejorar el negocio.
Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una
alta rentabilidad en términos de reducción de costos y características tales como agilidad y la
velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener
un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la
infraestructura física y el dueño de la información que se almacena y se procesa.
Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico
que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción,
ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía
solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control
Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para
una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la
nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a
Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio.

3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing

Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se
encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que
se encuentra protegida es de vital importancia tener previstas acciones contundentes para la
gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren
seguridad, y los administradores de la de seguridad de la información puede que necesiten
ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones.
Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de
empresas que no externalizan algunas partes de su negocio. Participar en una relación con un
tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que
ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la
empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha
puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la
empresa, que necesitan ser administrados son:
 Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y
sostenibilidad deben ser factores para considerar en el momento de la elección. La
sostenibilidad es de una importancia particular para asegurar que el servicio estará
disponible y la información puede ser vigilada.
 El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de
la información, la cual es una parte crítica del negocio. Si no se aplican los niveles
acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la
disponibilidad, afectando gravemente las operaciones del negocio.
 La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se
encuentra realmente la información. Cuando la recuperación de la información se
requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar
en el que se encuentra almacenada.

20
 El acceso de terceros a información sensible crea un riesgo que compromete la
información confidencial. En Cloud Computing, esto puede provocar una amenaza
significante para asegurar la protección de la propiedad intelectual y secretos
comerciales.
 La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en
niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a
bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la
información con otros clientes de la nube, o inclusive con clientes que pueden ser
competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente
de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace
que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es
fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato
especifica las áreas donde el proveedor de la nube es responsable y responsable de las
ramificaciones derivadas de posibles problemas.
 Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada
inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y
recuperación de negocio deben estar bien documentados y probados. El proveedor de
Cloud Computing debe comprender el rol que juega en términos de backups, respuesta
y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el
contrato.

3.3.1 Estrategias para el manejo de riesgos en Cloud Computing

Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser
gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo
suficientemente flexible para hacer frente a los riesgos de la información debe estar en su
lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes
de una empresa, el acceso no autorizado a los datos en Cloud Computing es una
preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud
Computing, una empresa debe realizar un inventario de sus activos de información y
asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a
determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio
(SLA), la necesidad para cifrar la información transmitida, almacenada y los controles
adicionales de información sensible o de alto valor para la organización.

A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud
Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar
para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la
herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y
describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la
manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas
en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio
y recuperación de desastres, deberá estar informado dentro del contrato.

21
 La protección de la información evoluciona como resultado de un fuerte e integro SLA que
es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo
y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento
ayudara a la empresa en el manejo de su información una vez que sale a la organización y es
transportada, almacenada o procesada en Cloud Computing.

3.3.2 Gobernabilidad y Cuestiones de Cambio con Cloud Computing

La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se

considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los
servicios que han sido tradicionalmente manejados internamente, deben hacer algunos
cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de
aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son
gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el
riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una
relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de
metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la
gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología
de Cloud y sus proveedores.

Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten
estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio,
tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos
de áreas posibles de cambio. Además, los procesos que detallan la forma en que se
almacena la información, archivado y copia de seguridad tendrán que ser examinados de
nuevo.

Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de
las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron
obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente
desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información
tomen muy en cuenta los usos de servicios en Cloud Computing.

3.4 COSO

Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway

Commission, divulgo al mundo un informe de gran importancia para la historia del control
interno. El Control Interno — Marco Integrado, conocido también como COSO ofrece una base
clara y fundamental que establece los sistemas de control interno y determinar su eficacia.
Este marco fue adoptado en 1998 como marco de Control Interno para la Administración
Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al

22
Sistema de Control Interno que fueron determinadas en la Ley 24.156 de Administración
Financiera y Sistemas de Control.
En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base
solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de
la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una
metodología que evalúe la calidad de los controles.
COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los
resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este
marco de control interno para que la información sea utilizada en los informes de alto nivel en la
gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos
términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009].
Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de
control interno son:
1. Asegurar la eficiencia y eficacia de las operaciones
2. Realizar informes financieros fiables
3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.
Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales
dentro de un sistema de control interno eficaz.

El Entorno de Control
Evaluación del Riesgo
Actividades de Control
Información Y Comunicación
Supervisión

Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]

Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado,
examinar los componentes del sistema de control en la organización e informar los resultados a
la dirección o la gerencia.
23
Definición de objetivos.
Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se
debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de
auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor
agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se
deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso
de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente,
tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo,
el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno
seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y
evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es
compromiso del auditor tener que identificar los controles que tendrán mayor concentración por
parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado.

 Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y
la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar
el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en
alcanzar el resultado productivo optimizando los recursos de forma adecuada. El
objetivo de operaciones determina si se puede asegurar a la organización la no
existencia de ineficiencias significativas o que la eficacia en el proceso o en la
organización auditada es poca. Y adicionalmente brinda información útil que se
comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación
del control.

 Información financiera. El objetivo de información financiera, está dirigido a la

adecuación y eficacia de controles de gestión que rigen la confiabilidad de la
información financiera que se utiliza en la comunicación con externos.

 Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles

administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos
e internos. El cumplimiento trata principalmente con la correlación entre las leyes,
procedimientos de la organización y, la práctica real.

3.4.1 COSO II – Gestión de Riesgos Corporativos (ERM)

El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue
revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del
marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos
es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM
está en el proceso de ser adoptada por las grandes empresas.

En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base
fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la
24
ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a
admitir durante el intento por aumentar el valor de sus clientes o interesados.

La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o

disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la
gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la
posibilidad de aumentar valor.
Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima
entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa
maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los
objetivos propuestos por la entidad.
La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]:

 Alinear el riesgo aceptado y la estrategia

Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad,
determinando los objetivos requeridos y empleando mecanismos para
administrar algunos riesgos asociados.

 Mejorar las decisiones de respuesta a los riesgos

La gestión de riesgos corporativos brinda un alto rigor para identificar y
analizar los riesgos con el fin de poder determinar la mejor alternativa de
manejo: evitar, reducir, compartir o aceptar.

 Reducir las sorpresas y pérdidas operativas

Las organizaciones aumentan la capacidad de identificar los acontecimientos
potenciales con el propósito de establecer respuestas acordes a su nivel de
complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o
pérdidas asociados.

 Identificar y gestionar la diversidad de riesgos para toda la entidad

Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra
forma y la gestión de riesgos corporativos facilita genera respuestas que suelen
ser eficaces e integradas a los impactos que se puedan dar en estos riesgos.

 Aprovechar las oportunidades

Considerando eventos potenciales, la gerencia identifica y aprovecha las
oportunidades proactivamente, para poder sacarle valor a sus actividades.

 Mejorar la dotación de capital

Obtener información sólida acerca del riesgo facilita que la gerencia evalué
eficazmente las necesidades de dinero lo cual le facilita la administración del
mismo.

25
Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad
de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información
sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y
sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una
entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.
De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los
riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto
adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una
organización:

 Normalmente se comporta como un proceso continuo que fluye por toda la

organización.
 Todo el personal de la organización está en la capacidad de aplicarlo.
 Se aplica en el establecimiento de la estrategia de control y gestión de riesgos.
 La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo
a nivel conjunto.
 Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los
riesgos que se encuentran aceptados.
 Ofrece seguridad al consejo de administración y a la dirección de la organización.
 Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque
susceptibles de solaparse.
La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por
parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en
todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los
objetivos establecidos por una entidad determinada y proporciona una base para definir la
eficacia de la gestión de riesgos corporativos [Nasaudit, 2009].

Comparación del Control Interno de COSO y del Marco Integrado ERM

Marco de Control Interno Marco integrado ERM
Control del Entorno: El ambiente de Entorno interno: El entorno interno abarca
control establece el tono de una organización, el tono de la organización, y establece las
influenciando de esta forma la conciencia de bases de cómo el riesgo es observado y
control de su gente. Esta es la fundación para direccionado a las personas de la entidad,
todos los otros componentes de control incluyendo la filosofía en gestión de riesgos
interno, proporcionando disciplina y y apetito de riesgo, integridad y valores
estructura. Los factores del ambiente de éticos, y el entorno en el cual todos operan.
control incluyen la integridad, valores éticos,
estilo de gestión de funcionamiento,
delegación de los sistemas de autoridad, así
como los procesos de gestión y desarrollo de
personas dentro de la organización.

26

Evaluación de Riesgos: cada entidad
muestra una variedad y riesgos de fuentes
que deben ser evaluados. Una precondición
para la evaluación de riesgos es el
establecimiento de objetivos, y por tanto la
evaluación de riesgos es la identificación y
análisis de riesgos pertinentes para la
consecución de los objetivos planeados. La
evaluación de riesgos es un prerrequisito para
la determinación de cómo se deben gestionar
los riesgos.
Actividades de Control: Las actividades de
control son las políticas y procedimientos a
ayudan a asegurar que la gestión de las
directivas se llevan a cabo. Ayudan a
garantizar que se toman las medidas
necesarias para hacer frente a los riesgos para
la consecución de los objetivos de la
organización. Las actividades de control
acurren a lo largo de la organización, en
todos los niveles y todas las funciones. Se
incluyen una serie de diversas actividades,
aprobaciones, autorizaciones, verificaciones,
reconciliaciones, revisiones del desempeño
operativo, seguridad de activos y segregación
de funciones.
Marco del objetivo: Los objetivos deben
existir antes de que la administración pueda
identificar eventos potenciales que lo afecten.
La gestión de riesgos empresariales asegura
que la administración ha puesto en ejecución
un proceso para establecer objetivos y que
los objetivos seleccionados apoyan, se
alinean con la misión de la entidad y que
sean consistentes con el apetito de riesgo.
Identificación de Eventos: Los eventos
externos e internos que afectan el logro de los
objetivos de la entidad deben ser
identificados, distinguiendo entre riesgos y
oportunidades. Las oportunidades son
canalizadas de vuelta a la estrategia de
gestión o los procesos en los que se fijan los
objetivos.
Evaluación de Riesgos: Los riesgos son
analizados, considerando la probabilidad y el
impacto, como bases para la determinación
de cómo se pueden gestionar. Las áreas de
riesgo se evaluaran de forma inherente y
formal.
Actividades de Control: Políticas y
procedimientos son establecidos e
implementados para ayudar a garantizar que
las respuestas al riesgo se lleven a cabo de
forma efectiva.
27
Información y Comunicación: Los sistemas Información y Comunicación: La
de información juegan un papel clave en información relevante es identificada,
sistemas de control interno que producen los capturada y comunicada en una forma y
informes, incluyendo operaciones, marco de tiempo que la gente dispone para
Información financiera y de cumplimiento llevar a cabo sus responsabilidades. La
que hace esto posible para ejecutar y comunicación efectiva también ocurre en un
controlar el negocio. En un sentido más sentido más amplio por toda fluyendo de
amplio, la comunicación efectiva debe abajo hacia arriba por toda la entidad.
asegurar que la información fluye hacia
abajo, a través y hacia arriba en la
organización. La comunicación efectiva debe
estar también asegurada con las partes
externas, cada cliente, distribuidores,
reguladores y accionistas.
Monitoreo: Los sistemas de control interno Monitoreo: La totalidad de la gestión de
requieren ser monitoreados, Un proceso que riesgos es monitoreada y se realizan
evalúa la calidad del desempeño del sistema modificaciones en caso de ser necesarias. El
sobre el tiempo, lo cual se logra con monitoreo es realizado a través de las
actividades de monitoreo o de evaluaciones actividades de gestión en ejecución, las
separadas. Las deficiencias del control evaluaciones independientes o ambas cosas.
interno detectadas a través de estas
actividades de monitoreo deberían ser
reportadas en contra de la corriente y las
acciones correctivas para asegurar la mejora
continua del sistema
Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM

3.5 COBIT

En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y
de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes,
es importante optimizar correctamente los recursos con los que cuenta la organización, dentro
de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software
información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la
gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y
control de dichos sistemas.
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus
siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la
administración determinando una conexión entre los riesgos del negocio, los controles
requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008].
Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas ―Buenas
prácticas‖ de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la
inversión de la información y brindan mecanismos medibles que permiten juzgar el buen

28
resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los
sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio,
monitoreo de cada actividad de control de manera que se verifique si está cumpliendo
satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El
impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del
negocio que deben ser alcanzados:
 Eficiencia
 Efectividad
 Confidencialidad
 Integridad
 Disponibilidad
 Cumplimiento
 Confiabilidad.
El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es
responsabilidad de la gerencia.
La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso,
diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la
diligencia requerida.
El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que
pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como
una guía clara y entendible.
Los propietarios de procesos son personas que se hacen responsables de todo aspecto
relacionado con los procesos de negocio tal como ofrecer controles apropiados.
COBIT como marco de referencia brinda al propietario de procesos, herramientas que
simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente
premisa:

“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus
objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI
agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los
cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro
dominios:1
 Planificación y Organización
 Adquisición e Implementación
 Entrega de servicios
 Soporte y Monitorización.‖

1
[NetworkSec, 2008]

29
 Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]

La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión
de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o
resultado final que la organización tiene que alcanzar ejecutando procedimientos de control
dentro de una actividad de TI.
Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio
asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de
información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la
herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los
30
riesgos, el control y monitoreo, optimización de recursos en cada proceso y los beneficios que
están relacionados con información y la tecnología.

4. CARACTERIZACIÓN DE EMPRESAS

El documento de caracterización de empresas fue elaborado para ampliar la visión del lector,
con respecto a la actualidad de las empresas proveedoras y clientes, haciendo un enfoque a las
pymes colombianas que son el objetivo principal para analizar del trabajo.
Este documento se puede ver desde tres perspectivas diferentes. La primera muestra una
descripción de los servicios que brindan las empresas dividido de acuerdo a la capa en la que
hayan logrado un mayor desarrollo. La segunda perspectiva se basa en la comparación de las
empresas anteriormente descritas de acuerdo a sus características y a la capa que se desee
comparar, lo cual brindará al cliente diferentes alternativas para escoger la empresa proveedora
de que cumpla las necesidades de su negocio. Finalmente se exponen las empresas clientes,
haciendo énfasis en las pymes colombianas, que son la base fundamental para el desarrollo del
trabajo.
La caracterización de las empresas profundiza en conocer las necesidades de las empresas,
conociendo los servicios que ofrecen los proveedores o conociendo de forma directa las razones
por las que una empresa pyme toma los servicios de Cloud computing. [Hidalgo/Caracterización
De Empresas Cloud Computing , 2011]

5. ESTABLECER REQUERIMIENTOS

Este apartado del documento, permite complementar y analizar la información recopilada a

través del marco teórico y la caracterización de las empresas con el propósito de darle cuerpo a
la guía metodológica. Como se ha podido observar en los apartados anteriores, se ha realizado
un levantamiento claro de la información con el fin de brindar al lector una amplia introducción
al entorno en el que se desarrolla la guía metodológica y además se profundizó aun más en el
análisis de caracterización de las empresas en donde se vio las principales necesidades de las
pymes alrededor de Cloud Computing y como los proveedores por medio de los servicios que
ofrecen intentan cumplir estas necesidades para aquellos que desean dar este paso tecnológico
en sus empresas.
Pues bien, como se menciona al inicio el propósito de este apartado es complementar la
información requerida para dar inicio a la guía metodológica, la cual nace por una necesidad en
este tipo de empresas que han optado por tener Cloud Computing al interior de su negocio.
Teniendo en cuenta que el modelo de servicios de Cloud Computing es tan novedoso, con un
rápido desarrollo y gran acogida en la sociedad por las razones observadas en secciones
anteriores (Costo, rapidez, eficiencia, etc.), surge la inquietud de cómo brindarle control y
aseguramiento de forma detallada a un entorno empresarial que maneje Cloud Computing.

31
Al día de hoy, existen diversos documentos que brindan las pautas claras y concretas para
manejar la seguridad en Cloud Computing. Uno de estos documentos es la Guía para la
seguridad en Áreas Críticas de Atención en Cloud Computing [Alliance, 2009], el cual se
tendrá como base apoyar al establecimiento de los requerimientos.
Además de establecer los requerimientos necesarios para la elaboración de la guía metodológica
de control y aseguramiento en Cloud Computing para pymes también se determinarán
escenarios, actores y la interacción entres estos. Teniendo en cuenta que no se cuenta con unos
requerimientos definidos oficialmente, se desarrolló una encuesta que permitan aclarar y
confirmar las necesidades que se tienen en cuanto al control y aseguramiento de Cloud
Computing dentro de algunas empresas que ya cuentan con este servicio.

5.1 Escenario

El desarrollo del trabajo contempla 2 escenarios diferentes, dentro de los cuales se deberá
centrar el hallazgo de los requerimientos dentro de esta sección. El primer escenario hace
referencia al modelo de servicio de Cloud Computing, todo lo que lo caracteriza, sus diferentes
elementos, actores o interesados, entre otro tipo de detalles. Y el segundo escenario gira en
torno de los sistemas de control y aseguramiento requeridos para realizar la guía metodológica.

5.1.1 Escenario de Cloud Computing

Por medio del marco teórico se pudo establecer toda la información referente a este novedoso
modelo de servicios que ha causado gran éxito tanto para las empresas que lo utilizan como para
las que lo ofrecen. A pesar que desde el inicio de Cloud Computing las pymes no fueron las
pioneras en el uso del modelo, hoy en día son este tipo de empresas (Pymes) las que más
ganancia le sacan al uso de Cloud Computing, pero como no se cuenta con un sistema claro de
control que les garantice seguridad y continuo crecimiento, se hace necesario crear uno que les
brinde este servicio.

5.1.2 Escenario Control y Aseguramiento.

Durante los últimos años se ha visto la necesidad de contar con un sistema que brinde a las
empresas el apoyo en la gestión de su negocio especialmente en el área de TI, es por ello que
hoy en día existen numerosos marcos de referencia que le dan soporte a las empresas en el
manejo de su negocio. Dentro de esos marcos de referencia se pueden nombrar algunos como
COSO, COBIT, ITIL V3 o normas como la Sarbanes Oxley entre otros, que aunque están
diseñados de forma sencilla para que el profesional de la empresa lo pueda manejar de forma
fácil y dinámica de acuerdo a las necesidades del negocio. De acuerdo con los beneficios que
han logrado alcanzar los marcos de referencia dentro de las organizaciones, se considera
importante tenerlo en cuenta como un escenario para los requerimientos que se especificarán en
este apartado.

32
 5.1.3 Interacción entre los escenarios

Usualmente los marcos de control son diseñados de forma sencilla para ser aplicados por el
personal de TI de tal forma que sea acorde al negocio de la empresa. Estos marcos brindan la
forma de gestionar, controlar y asegurar que el área de TI trabaje de forma segura y eficiente.
La interacción entre los escenarios es de gran importancia ya que de esta forma se identifican
más claramente a cada uno y se pueden relacionar fácilmente. Como ya se mencionó el primer
escenario es el modelo de servicios de Cloud Computing, y el segundo será el marco de
referencia de COBIT, de los cuales se tiene la información ampliada en el marco teórico.

5.2 Actores

Los actores que se tienen en cuenta para el establecimiento y desarrollo de los requerimientos
son dos específicamente. El primer actor es el proveedor de servicios y el segundo es el cliente
que recibe los servicios de Cloud Computing, estos dos actores son los que interactúan en todo
el proceso de control y aseguramiento de Cloud Computing en las Pymes.

5.2.1 Actor Proveedor

Este actor se encarga de brindar los servicios de Cloud Computing a los clientes. Estos servicios
son creados a partir de las necesidades más comunes de los clientes y su finalidad es satisfacer y
mejorar la experiencia del usuario. Usualmente el proveedor puede enfocarse en alguno o en
todos los modelos de servicio que ofrece la nube tales como SaaS, PaaS e IaaS. En la actualidad
se cuenta con numerosas empresas reconocidas a nivel internacional que han enfocado sus
esfuerzos en cumplir las necesidades del usuario, ofreciendo diferentes tipos de paquete de
servicios que se acomoden al negocio.

5.2.2 Actor Cliente

El actor cliente, es la figura que hace uso de los servicios en la nube con el propósito de generar
mejores ganancias y una mejor experiencia e impacto a su negocio o vida personal, es por ello
que en base a sus necesidades el proveedor ofrece paquetes de servicios con los cuales pueda
cumplir la expectativa del cliente. Para el desarrollo de este documento el actor cliente está
representado por las pymes colombianas que han tomado la decisión de hacer uso de Cloud
Computing.

5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud

Computing

Es importante tener en cuenta que así como hay una amplia interacción entre estos dos actores
para establecer un contrato del servicio de Cloud Computing, también debe existir un
compromiso de las dos partes para generar un entorno de control y aseguramiento que les brinde
una mayor facilidad de administrar los servicios que han contraído en la Cloud.

33
 5.2.4 Responsabilidades de los Actores

Con respecto a los incidentes de seguridad, hay necesidad de poner en claro la definición y el
entendimiento entre el cliente y el proveedor de las funciones relevantes para la seguridad y las
responsabilidades. Las líneas de esta división pueden variar mucho entre las ofertas de SaaS y
ofertas de IaaS, delegando con este ultimo más responsabilidad a los clientes. Una división
típica y racional de la responsabilidad se muestra en la siguiente tabla. En cualquier caso, para
cada tipo de servicio, el cliente y el proveedor deben definir claramente cuál de ellos es
responsable de todos los temas de la lista de abajo. En el caso de los términos estándar de
servicio (es decir, no hay negociación posible), los clientes deben verificar la nube de lo que
está dentro de su responsabilidad.

5.2.5.1 Software as a Service

Cliente
- Cumplimiento con la ley de protección de
datos en relación con los datos recogidos y
tratados del cliente.
- Mantenimiento del sistema de gestión de
identidad
- Administración del sistema de gestión de
identidad
- Administración de la plataforma de
autenticación (incluye política de aplicación
de contraseña)
Tabla 2 - División de responsabilidades SaaS [Enisa, 2008]
Proveedor
- Soporte físico de infraestructura
(instalaciones, espacio de rack, energía,
refrigeración, cableado, etc.)
- Seguridad y disponibilidad de infraestructura
física (Servidores, Almacenamiento, banda
ancha de redes, etc.).
- Gestión de parches en Sistemas operativos, y
procedimientos de endurecimiento (Revisar
algún conflicto entre el procedimiento de
endurecimiento del cliente y la política de
seguridad del proveedor).
- Configuración de la plataforma de seguridad
(Reglas de firewall, IDS, IPS, etc.)
- Monitoreo de sistemas
- Mantenimiento de la plataforma de seguridad
- Historial de registro y monitoreo de seguridad

5.2.5.2 Platform as a Service

Cliente Proveedor
- Mantenimiento del sistema de gestión de - Soporte físico de infraestructura
identidad (instalaciones, espacio de rack, energía,
- Administración del sistema de gestión de refrigeración, cableado, etc.)
identidad - Seguridad y disponibilidad de infraestructura
- Administración de la plataforma de física (Servidores, Almacenamiento, banda
autenticación (Incluye la política de ancha de redes, etc.).
aplicación de contraseña) - Gestión de parches en Sistemas operativos, y
34
 procedimientos de endurecimiento (Revisar
algún conflicto entre el procedimiento de
endurecimiento del cliente y la política de
seguridad del proveedor).
- Configuración de la plataforma de seguridad
(Reglas de firewall, IDS, IPS, etc.)
- Monitoreo de sistemas
- Mantenimiento de la plataforma de seguridad
- Historial de registro y monitoreo de seguridad
Tabla 3 -División de responsabilidades PaaS [Enisa, 2008]

5.2.5.3 Infrastructure as a Service

Cliente Proveedor
- Mantenimiento del sistema de gestión de - Soporte físico de infraestructura
identidad (instalaciones, espacio de rack, energía,
- Administración del sistema de gestión de refrigeración, cableado, etc.)
identidad - Seguridad y disponibilidad de infraestructura
- Administración de la plataforma de física (Servidores, Almacenamiento, banda
autenticación (Incluye la política de ancha de redes, etc.).
aplicación de contraseña) - Sistemas Host (Hipervisor, Firewall virtual,
- Gestión de los resultados de parches del etc.)
sistema operativo y procedimientos de
endurecimiento (ver también cualquier
conflicto entre el procedimiento de
endurecimiento de los clientes y la política
de seguridad del proveedor)
- La configuración de la plataforma de
seguridad de evaluación (las reglas del
cortafuegos, IDS / IPS de sintonía, etc.)
- Habitación de sistemas de vigilancia
- Security platform maintenance (firewall,
Host IDS/IPS, antivirus, packet filtering)
- Log collection and security monitoring
Tabla 4 - División de responsabilidades IaaS [Enisa, 2008]

5.3 Encuesta

De acuerdo con la introducción de esta sección, la encuesta ayudará a definir los requerimientos
de control y aseguramiento necesarios en los cuales se base el desarrollo de la guía
metodológica. Para la elaboración de la encuesta tuvo en cuenta el documento de la CSA
[Alliance, 2009], los escenarios, los actores y la orientación a un público en especial, que
cuente con un conocimiento claro de Cloud Computing y de la empresa en la que trabajan.

35
Además del personal, también se contemplo que estos usuarios hicieran parte del área de
tecnología de las empresas Pymes, pues es allí donde se encuentra todo el conocimiento del
manejo de Cloud Computing para las empresas. Por otro lado, era importante contemplar el
conocimiento de las personas sobre el control y seguridad de la información que manejan sobre
este modelo de tecnología.
La encuesta se realizó a 11 personas diferentes en diversos cargos, las cuales contestaron un
total de 15 preguntas relacionadas con los escenarios establecidos que permitirán identificar los
posibles requerimientos de control y aseguramiento de Cloud que requieren pymes.

5.4 Resultados

Como se menciona anteriormente, la encuesta contiene preguntas orientadas tanto del entorno
de Cloud Computing como el uso de marcos de control, por lo que solo se tuvo en cuenta los
resultados que permitan identificar las necesidades de control y seguridad de la información.
―Anexo1. Encuestas‖
Además, es importante aclarar que los resultados que se obtengan a través de la encuesta, solo
busca identificar requerimientos genéricos de control y aseguramiento por lo cual no es de
esperar que se pueda profundizar más allá de la información con la que se cuenta. Sin embargo,
para estos requerimientos se tratará de dar un amplio detalle en el desarrollo de la guía, con la
ayuda del levantamiento de información realizado en el marco teórico y el documento de
caracterización de empresas, de tal forma que se pueda ir complementando

Los resultados referentes a requerimientos de control y aseguramiento de Cloud Computing

para pymes pueden revisarse en “Anexo 1. Encuestas”

Como se observa en los resultados obtenidos en las encuestas, se encuentran diferentes

posiciones respecto al control y aseguramiento del entorno de Cloud Computing en las pequeñas
y medianas empresas colombianas, objetivo del estudio dentro de la guía, que permitió definir
los requerimientos.

5.5 Requerimientos

De acuerdo a los resultados obtenidos a partir de las encuestas, se establecieron los siguientes
requerimientos para el control y aseguramiento de Cloud Computing para pymes, los cuales se
cuentan con una descripción que permita al lector reconocer la importancia que tiene cada uno
de estos en la elaboración de la guía.

1. Gobierno y gestión de riesgos empresarial (ERM)

2. Cuestiones legales y descubrimiento electrónico
3. Cumplimiento de estándares y auditoría
4. Portabilidad e Interoperabilidad
5. Continuidad de negocio y recuperación de incidentes
6. Respuesta ante incidencias, notificación y solución
7. Seguridad de las aplicaciones

36
 8. Cifrado y gestión de claves.
9. Gestión de acceso e identidades
10. Virtualización

REQUERIMIENTO DESCRIPCION
1. Gobierno y Gestión de Riesgos Las empresas requieren contar con un marco de
Empresariales gobierno que les permita identificar y ejecutar
diversos procesos según las necesidades del negocio
que maneje la organización, cumplir con un marco
regulatorio y contar con sistema de gestión de
riesgos empresariales.
2. Cuestiones legales y Tanto los proveedores como clientes de Cloud
descubrimiento electrónico Computing deben asumir el reto de las leyes, normas
y estándares de TI que se aplican a una gran variedad
de ambientes de gestión de la información, teniendo
en cuenta dimensiones funcionales, contractuales y
jurisdiccionales.
3. Cumplimiento de estándares y Las empresas deben mantener cumplimiento de sus
auditoría propias políticas de seguridad, y de los requisitos
normativos y legislativos alrededor de Cloud
Computing.
4. Portabilidad e Interoperabilidad Las empresas cliente deben establecer un proveedor
estable, con procedimientos estándar y ante todo que
sea confiable, el cual no genere problemas de
portabilidad o interoperabilidad al momento de
interactuar con servicios de otros proveedores.
5. Respuesta ante incidencias, Las empresas, actores del flujo de Cloud Computing
notificación y solución (Proveedores y Clientes), deben tener claridad acerca
de la gestión de incidencias que se presentan sobre el
modelo de servicios.
6. Seguridad de las aplicaciones Todos los Stakeholders deben tener total
entendimiento de la influencia de Cloud Computing
en el ciclo de vida útil de toda aplicación.
7. Seguridad e Integridad de datos Tanto la información como las aplicaciones que se
encuentren sobre el entorno de Cloud Computing
deben contar con las medidas de protección
necesarias para no se vea afectada la integridad,
confidencialidad o disponibilidad de los datos.
8. Cifrado y gestión de claves. Las empresas proveedoras deben ofrecer a las
empresas cliente medidas de protección orientadas a
la gestión de acceso e identidades, que fortalezcan el
nivel de acceso a la información por parte del

37
 personal.
9. Virtualización Las empresas cliente deben contar con un sistema
operativo virtualizado con las medidas necesarias de
seguridad como un hipervisor (monitor de maquina
virtual), que mitigue el impacto que tiene el tema de
la virtualización sobre la seguridad de la red.
Tabla 5 – Requerimientos

Teniendo en cuenta que aun es muy ambiguo el nivel de detalle que se quiere lograr con la
elaboración de este documento en el control y aseguramiento de Cloud Computing, se ha
elaborado un diagrama que será utilizado como guía para conocer la profundidad en la que se
evaluarán y documentarán los requerimientos. A continuación se relaciona el diagrama y las
secciones en las que se han dividido los requerimientos establecidos o se podrán visualizar en
―Anexo 2. Diagramas Requerimientos‖

Ilustración 9 - Diagrama Requerimientos

38
Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento

Ilustración 11 - Gobierno de Cloud Computing

39
 Ilustración 12 - Operación de Cloud Computing

6. COMO USAR ESTE DOCUMENTO

Esta guía metodológica de control y aseguramiento en Cloud Computing fue desarrollada para
asistir al profesional encargado del área de TI dentro de las Pymes, por lo cual se incluyen los
detalles relativos al formato y utilización del documento de seguimiento de esta nueva
tecnología.

6.1 Pasos del Programa de trabajo

La primera columna de la guía describe los pasos para realizar. El esquema de numeración
utilizado en el documento facilita el manejo de referencias cruzadas a través del trabajo
específico para esta sección. Teniendo en cuenta que se pueden encontrar Pymes con diferentes
tipos de negocio, se anima al profesional de TI o control y aseguramiento a realizar
modificaciones de este documento para reflejar el negocio de la empresa y el ambiente
específico que se desee examinar.
El paso 1 es parte del levantamiento de información y la preparación previa del campo de
trabajo. Debido a que el trabajo de campo previo es tan importante para obtener una revisión
exitosa y profesional, se han detallado bastante los pasos en este plan. El primer nivel de los
pasos a seguir en la guía, por ejemplo 1.1, es mostrado en formato de Negrita y proporciona al
revisor un ámbito de aplicación o una descripción de alto nivel del propósito de los sub pasos.
Iniciando en el paso 2, los pasos asociados con la guía de trabajo son detallados más
profundamente. Para simplicidad en el uso de la guía, esta describe el objetivo de control y
aseguramiento que se desea observar, la razón de realizar los pasos en el área temática y los
controles de seguimiento específico. Cada paso de revisión es listado a continuación del control.
40
Estos pasos pueden incluir la evaluación del diseño de control pasando a través de un proceso,
entrevistas, observando o de otro modo la verificación del proceso y los controles que se
encargan de este proceso. En muchos casos, una vez el diseño de control ha sido verificado, las
pruebas específicas necesitan ser realizadas para proporcionar las garantías que el proceso
asociado con el control se está siguiendo.
La evaluación de madurez que se describe más detalladamente después en este documento,
constituye la última sección de la guía metodológica..

6.2 Objetivo de Control de COBIT

Los objetivos de control o procesos COBIT proporcionan al profesional de aseguramiento de TI

la habilidad para referir el objetivo de control específico de COBIT que soporta el paso de
control y aseguramiento. El objetivo de control de COBIT se debe identificar para cada paso en
la sección, ya que es muy frecuente encontrar múltiples referencias cruzadas.

La guía de control y aseguramiento de Cloud Computing está organizada de un modo que

facilita una evaluación a través de una estructura paralela para el desarrollo de procesos. COBIT
proporciona los objetivos de control en profundidad y sugiere unas prácticas de control para
cada nivel. Como profesionales de revisión de cada control, ellos deben referir a COBIT 4.1
como una guía en las buenas prácticas de control.

6.3 Componentes de COSO

Como se observa en la introducción, COSO y marcos similares se han vuelto cada vez más
populares entre los profesionales de aéreas de TI, lo cual permite que se vincule al trabajo de
aseguramiento que se realice dentro de las pymes. Mientras la función de control y seguridad
de TI es usar COBIT como el marco de referencia para profesionales, la auditoría operativa y
profesionales de aseguramiento utilizan el marco establecido por la empresa en la que trabajan.
Ya que COSO es el marco de control interno más frecuente y que se encuentran empresas de
todo tipo, este ha sido incluido en la guía como puente de alineación entre control de TI con el
resto de la función de aseguramiento. Varias organizaciones de aseguramiento incluyen los
componentes de control de COSO dentro de sus informes y el resumen de sus actividades de
aseguramiento para el comité de aseguramiento del consejo de administración.
Para cada control, el profesional de control y aseguramiento debe indicar el componente de
COSO. Esto es posible, pero en general no es necesario para extender el análisis al nivel de un
paso específico para aseguramiento.
El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue
revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del
marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos
es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM
está en el proceso de ser adoptada por las grandes empresas. A continuación se realiza una
comparación entre los dos marcos para tener una mayor claridad en sus diferencias.

41
 Comparación del Control Interno de COSO y del Marco Integrado ERM
Marco de Control Interno Marco integrado ERM
Control del Entorno: El ambiente de control Entorno interno: El entorno interno abarca el
establece el tono de una organización, tono de la organización, y establece las bases
influenciando de esta forma la conciencia de de cómo el riesgo es observado y
control de su gente. Esta es la fundación para direccionado a las personas de la entidad,
todos los otros componentes de control incluyendo la filosofía en gestión de riesgos y
interno, proporcionando disciplina y apetito de riesgo, integridad y valores éticos, y
estructura. Los factores del ambiente de el entorno en el cual todos operan.
control incluyen la integridad, valores éticos,
estilo de gestión de funcionamiento,
delegación de los sistemas de autoridad, así
como los procesos de gestión y desarrollo de
personas dentro de la organización.
Marco del objetivo: Los objetivos deben
existir antes de que la administración pueda
identificar eventos potenciales que lo afecten.
La gestión de riesgos empresariales asegura
que la administración ha puesto en ejecución
un proceso para establecer objetivos y que los
objetivos seleccionados apoyan, se alinean
con la misión de la entidad y que sean
consistentes con el apetito de riesgo.
Identificación de Eventos: Los eventos
externos e internos que afectan el logro de los
objetivos de la entidad deben ser
identificados, distinguiendo entre riesgos y
oportunidades. Las oportunidades son
canalizadas de vuelta a la estrategia de gestión
o los procesos en los que se fijan los
objetivos.
Evaluación de Riesgos: cada entidad muestra Evaluación de Riesgos: Los riesgos son
una variedad y riesgos de fuentes que deben analizados, considerando la probabilidad y el
ser evaluados. Una precondición para la impacto, como bases para la determinación de
evaluación de riesgos es el establecimiento de cómo se pueden gestionar. Las áreas de riesgo
objetivos, y por tanto la evaluación de riesgos se evaluaran de forma inherente y formal.
es la identificación y análisis de riesgos
pertinentes para la consecución de los
objetivos planeados. La evaluación de riesgos
es un prerrequisito para la determinación de
cómo se deben gestionar los riesgos.
Actividades de Control: Las actividades de Actividades de Control: Políticas y
control son las políticas y procedimientos a procedimientos son establecidos e

42
ayudan a asegurar que la gestión de las implementados para ayudar a garantizar que
directivas se llevan a cabo. Ayudan a las respuestas al riesgo se lleven a cabo de
garantizar que se toman las medidas forma efectiva.
necesarias para hacer frente a los riesgos para
la consecución de los objetivos de la
organización. Las actividades de control
acurren a lo largo de la organización, en todos
los niveles y todas las funciones. Se incluyen
una serie de diversas actividades,
aprobaciones, autorizaciones, verificaciones,
reconciliaciones, revisiones del desempeño
operativo, seguridad de activos y segregación
de funciones.
Información y Comunicación: Los sistemas de Información y Comunicación: La información
información juegan un papel clave en relevante es identificada, capturada y
sistemas de control interno que producen los comunicada en una forma y marco de tiempo
informes, incluyendo operaciones, que la gente dispone para llevar a cabo sus
Información financiera y de cumplimiento que responsabilidades. La comunicación efectiva
hace esto posible para ejecutar y controlar el también ocurre en un sentido más amplio por
negocio. En un sentido más amplio, la toda fluyendo de abajo hacia arriba por toda la
comunicación efectiva debe asegurar que la entidad.
información fluye hacia abajo, a través y hacia
arriba en la organización. La comunicación
efectiva debe estar también asegurada con las
partes externas, cada cliente, distribuidores,
reguladores y accionistas.
Monitoreo: Los sistemas de control interno Monitoreo: La totalidad de la gestión de
requieren ser monitoreados, Un proceso que riesgos es monitoreada y se realizan
evalúa la calidad del desempeño del sistema modificaciones en caso de ser necesarias. El
sobre el tiempo, lo cual se logra con monitoreo es realizado a través de las
actividades de monitoreo o de evaluaciones actividades de gestión en ejecución, las
separadas. Las deficiencias del control interno evaluaciones independientes o ambas cosas.
detectadas a través de estas actividades de
monitoreo deberían ser reportadas en contra
de la corriente y las acciones correctivas para
asegurar la mejora continua del sistema
Tabla 6 - Comparación del Control Interno de COSO y del Marco Integrado ERM

El marco de control interno de COSO dirige las necesidades del aseguramiento de TI por medio
del entorno de control, evaluación de riesgos, actividades de control, información y
comunicación, y monitoreo, las cuales se tomarán para la elaboración de esta guía. Sin embargo,
se tendrá en cuenta el marco integrado ERM para la PYME que la requiera…según sean las
necesidades de negocio.

43
 6.4 Referencias Cruzadas

Esta columna puede ser usada para marcar un hallazgo que el profesional de aseguramiento
desee investigar en detalle o establecer como un hallazgo potencial. Los hallazgos potenciales
deben ser establecidos en un documento que indica la disposición de los hallazgos y además
permite verificar otros numerales que tengan una alta relación con el punto que este revisando el
profesional de la empresa.

6.5 Comentarios

La columna de comentarios puede ser usada para indicar todo tipo de anotaciones que permitan
dar una aclaración al paso que se esté evaluando. El comentario debe ser utilizado como un
documento que describa todo el trabajo realizado, sino como sencillas anotaciones.

6.6 Habilidades Mínimas en Control y Aseguramiento

Actualmente Cloud Computing incorpora muchos procesos de TI, y dado que la información de
enfoca en el gobierno y gestión de TI, datos, red, contingencia y controles de cifrado, el
profesional de aseguramiento de TI debe tener el conocimiento requerido de todas estas
cuestiones. Además, una alta competencia en monitoreo y evaluación de riesgos, administración
de riesgos, componentes de seguridad de la información en la arquitectura de TI, amenazas y
vulnerabilidades de Cloud Computing y procesamiento de datos en internet es requerido. Por
otro lado, es recomendable que la persona que realiza la evaluación tenga la experiencia
requerida y las relaciones necesarias dentro de la empresa para ejecutar de forma eficaz el
aseguramiento de los procesos. Debido a que Cloud Computing es dependiente de los servicios
en Web, sería bueno que el profesional encargado tenga un entendimiento básico de Seguridad
en servicios WEB.

6.7 Análisis Control de Madurez – COBIT

Una de las peticiones comunes y consistentes por parte de los stakeholders que han sido
sometidos a exámenes de control y aseguramiento, es entender como su rendimiento se
compara con las buenas prácticas. Los profesionales de aseguramiento de TI en las empresas
deben proporcionar una base objetiva que contribuya a la revisión de las conclusiones. El
modelo de madurez para gestión y control de procesos de TI, está basado en un método de
evaluación de la empresa para que pueda ser evaluado desde un nivel de madurez de
inexistencia (0) hasta el optimizado (5). Este enfoque esta derivado del modelo de madurez que
el Instituto de Ingeniería de Software (Software Engineering Institute, SEI) de Carnegie Mellon
University define para la madurez en el desarrollo de software.
Modelo de Madurez de Control Interno de COBIT, proporciona un modelo de madurez genérico
que muestra el estado del entorno de control interno y el establecimiento de los controles
internos dentro de la empresa. Este muestra como la administración de control interno, y la
coincidencia de la necesidad de establecer mejores controles internos, típicamente se realiza
desde un nivel Inicial también conocido como ad hoc, hasta el nivel optimizado. El modelo
proporciona una guía de alto nivel para que los usuarios de COBIT a perciban lo que es
44
necesario para tener unos controles internos efectivos en TI y para ayudar a posicionar su
empresa en la escala de madurez.
Modelo de Madurez para Control Interno
Nivel de Madurez Estado del Entorno de Control
Interno
0- No Existente No hay reconocimiento de la
necesidad de un Control Interno.
El control no es parte de la cultura
o misión organizacional. Hay un
alto riesgo de deficiencias en el
control e incidentes.
1- Inicial / Ad Se reconoce la necesidad de un
Hoc control interno. El enfoque para
riesgos y requerimientos de
control es desorganizado, sin
control ni comunicación. Las
deficiencias no se encuentran
identificadas. Los empleados no
se encuentran conscientes de sus
responsabilidades.
2- Repetible Los Controles existen pero no
pero intuitivo están documentados. Esta
operación depende del
conocimiento y la motivación de
los individuos. La efectividad no
se evaluada adecuadamente.
Existen muchas deficiencias de
control que no se monitorean
adecuadamente por lo que el
impacto puede ser severo. Las
acciones administrativas para
resolver los problemas no están
priorizados ni son coherentes.
Los empleados no pueden no estar
al conscientes de sus
responsabilidades
3- Definido Los controles existen y son
documentados adecuadamente. La
efectividad operativa es evaluada
periódicamente y existe un
número promedio de problemas,
sin embargo el proceso de
Establecimiento de Controles
Internos
No se intenta evaluar la necesidad de
control interno. Los incidentes se van
tratando a medida que surjan.
No hay conciencia de la necesidad de
evaluación de lo que se requiere en
términos de controles para TI. Cuando
se realiza, es solo sobre una base de
Ad hoc, en un alto nivel y en caso de
incidentes significativos. Solo se
evalúan los incidentes que ocurren de
momento
La evaluación de las necesidades de
control se produce cuando sea
necesario para procesos seleccionados
que permitan determinar el nivel de
madurez actual con el que cuenta la
empresa. Un enfoque informal de
taller, con la participación de los
administradores de TI y el equipo
envuelto en el proceso, es usado para
definir un enfoque adecuado que
controle los procesos y motive un plan
de acción acordado.
Los procesos críticos de TI son
identificados basados en factores de
valor y riesgo. Un análisis detallado es
realizado para identificar los
requerimientos de control y la causa
de lagunas y desarrollar oportunidades
45
 evaluación no está documentado.
Si bien la administración es capaz
de hacer frente a la mayor parte de
problemas de control de forma
predecible, algunas debilidades de
control persisten y los impactos
podrían ser graves. Los empleados
son conscientes de sus
responsabilidades de control.
4- Administrado Se encuentra un ambiente de
y Medido administración de riesgos y de
control interno efectivo. Hay una
evaluación formal y documentada
de los controles que se producen
frecuentemente. Muchos controles
están automatizados y se revisan
regularmente. Es probable que la
gerencia detecte la mayor parte de
problemas de control, pero no
todos se identifican de forma
rutinaria. Hay un seguimiento
constante para atender las
deficiencias de control. Un uso
táctico y limitado de la tecnología
es aplicado para automatizar
controles.
5- Optimizado Un programa organizacional de
riesgo y control proporciona
solución continua y efectiva a los
diferentes problemas que se
puedan presentar. El control
interno y la gestión de riesgo están
integrados con las practicas de la
empresa, apoyadas por un
monitoreo automatizado en
tiempo real y una rendición de
cuentas completa para el
seguimiento de controles,
administración de riesgo e
implantación del cumplimiento.
Las evaluaciones de control son
continuas, basadas en las
de mejora. Además de los talleres
facilitados, se utilizan herramientas y
se realizan entrevistas para apoyar el
análisis y asegurar que el propietario
de un proceso de TI posee y dirige el
proceso de evaluación y mejora.
La criticidad de los procesos de TI son
regularmente definidos con un
completo apoyo y el acuerdo de los
propietarios de procesos de negocio
relevantes. La evaluación de
requerimientos de control está basada
en políticas y la madurez real de los
procesos, tras un análisis minucioso y
medido que involucre a los actores. La
rendición de cuentas para estas
evaluaciones es clara y forzada. Las
estrategias de mejora son apoyadas
pos los casos de negocio. El
rendimiento en el logro de los
resultados deseados es constantemente
supervisado. Las revisiones de control
externo son organizadas
ocasionalmente.
Los cambios en el negocio consideran
la criticidad de los procesos de TI y
cubre alguna necesidad de volver a
evaluar la capacidad de control en los
procesos. Los dueños de Procesos de
TI regularmente desarrollan la
autoevaluación para confirmar que los
controles están en el nivel adecuado
de madurez para satisfacer las
necesidades del negocio y tienen en
cuenta los atributos de la madurez
para encontrar caminos que permitan
hacer los controles más eficientes y
efectivos. Para procesos críticos, se
realizan revisiones independientes que
proporcione seguridad de que los
46
 autoevaluaciones, las causas de controles están en un nivel deseado de
raíz y el análisis de brechas. madurez y trabajan según lo planeado.
Tabla 7 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]

La evaluación del modelo de madurez es uno de los pasos finales en el proceso de evaluación.
El profesional de TI puede dirigir los controles clave dentro del ámbito de programa de trabajo y
formular una evaluación objetivo de los niveles de madurez de las prácticas de control. La
evaluación de madurez puede ser una parte del informe de control y aseguramiento, como
herramienta de medición de año tras año que permita reflejar el progreso en la mejora de
controles. Sin embargo, hay que señalar que la percepción del nivel de madurez puede tener una
variación entre el propietario del proceso de TI y el asegurador. Por lo tanto, se debe obtener
primero el acuerdo de los stakeholders antes de presentar el informe final a la dirección.
Al final de la revisión, una vez todos los hallazgos y recomendaciones han sido completados, el
profesional evalúa el estado actual del marco de control COBIT y asigna un nivel de madurez
utilizando la escala de los 6 niveles. Algunas personas utilizan decimales para indicar grados de
cada nivel en el modelo de madurez. Como una referencia mas, COBIT proporciona una
definición de las designaciones de madurez para el objetivo de control [Domenech & Lenis,
2007]. Si bien este enfoque no es obligatorio, el proceso es suministrado como una sección de
separación en el fin de la guía metodológica de control y aseguramiento de Cloud Computing
para las Pymes que deseen implementarlo. Además es sugerido que una evaluación de madurez
este hecho a nivel de control de COBIT, para proporcionar más valor al cliente, obteniendo los
objetivos de madurez directamente de stakeholder. Usando la evaluación y los niveles objetivo
de madurez, la persona puede crear una presentación grafica que describe los logros y las
debilidades entre los objetivos de la madurez real y el objetivo planteado. Para tal fin se
proporciona una grafica de este documento, basada en evaluaciones sencillas.

6.8 Marco De Control y Aseguramiento

COBIT es un marco para el gobierno de TI que ofrece un conjunto de herramientas de apoyo

para que los administradores del sistema puedan reducir la brecha entre los requerimientos de
control, problemas técnicos y riesgos del negocio. Además, desarrolla políticas claras y buenas
prácticas para el control de TI dentro de las empresas.
Cloud Computing afecta todo TI y las funciones de unidad del negocio, tal como se puede
observar en los siguientes dominios con sus respectivos procesos de TI de COBIT [Domenech
& Lenis, 2007]:

 Planeación y Organización (PO).

PO9 Evaluar y Administrar los riesgos de TI
 Entregar y Dar Soporte (DS)
DS1 Definir y administrar los niveles de servicio,
DS2 Administrar los servicios de terceras partes,
DS4 Garantizar la continuidad del servicio,
DS5 Garantizar la seguridad de los Sistemas,
DS8 Administrar la mesa de servicios e incidentes,
DS9 Administrar las configuraciones,
47
 DS11 Administrar los datos
 Monitorear y Evaluar (ME).
ME2 Monitorear y evaluar el control interno
ME3 Garantizar el cumplimiento regulatorio

De estos procesos de debe tener en cuenta que son el principal control para dirigir y mantener
las relaciones con terceros y además tienen referencias cruzadas dentro de la guía de control y
aseguramiento de la nube.
Cloud Computing ha tocado puntos con la infraestructura total de TI y por eso, esta guía
metodológica de control y aseguramiento de Cloud Computing para Pymes tiene numerosas
referencias cruzadas con los dominios y procesos de COBIT. Estas secciones aparecen en la
columna de cruce de referencias de COBIT de la guía metodológica.

48
 7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES

Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control

Monitoreo
Cruzadas Comentarios
COBIT

1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y

ASEGURAMIENTO
1.1 Definir los objetivos del proceso de Control y Aseguramiento
Los objetivos de control y aseguramiento son de alto nivel y describen los objetivos
de control general.
1.1.1 Revisar los objetivos de control y aseguramiento en la introducción, para la
guía metodológica.
1.1.2 Modificar los objetivos de control y aseguramiento para alinear con el
universo de control, el plan anual de la pyme.
1.2 Definir los límites de la revisión
La revisión debe tener definido un alcance. Entender el proceso principal de negocio
y su alineamiento con TI, en su forma de Cloud y no Cloud de aplicación actual y
futura.
1.2.1 Obtener una descripción de todos los ambientes en uso de Cloud Computing
y bajo consideración.
1.2.2 Obtener una descripción de todas las aplicaciones en uso de Cloud
Computing y bajo consideración.
1.2.3 Identificar los tipos de servicios en la Cloud (IaaS, PaaS, SaaS) en uso o bajo
estudio, y determinar los servicios las soluciones de negocios para ser incluidas

49
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

en la revisión.
1.2.4 Obtener y revisar los informes de control anteriores y los planes de
remediación. Identificar las cuestiones pendientes y evaluar cambios a los
documentos con respecto a estas cuestiones.
1.3 Identificar y Documentar los Riesgos
La evaluación de riesgos es necesaria para evaluar los recursos de aseguramiento en
los que se debe centrar. En las empresas pymes, los recursos de seguridad no están
disponibles para todos los procesos. Los riesgos se basan en el enfoque de garantizar
la utilización de los recursos de seguridad de la manera más eficaz.
1.3.1 Identificar los riesgos del negocio asociados con Cloud Computing de interés
para los dueños del negocio y los principales interesados.
1.3.2 Verificar que los riesgos del negocio están alineados, calificados y
clasificados con los criterios de seguridad en Cloud Computing tales como la
Integridad, Disponibilidad y la Confidencialidad.
1.3.3 Revisar programas de aseguramiento anteriores de Cloud Computing dentro
de la pyme.
1.3.4 Determinar si el riesgo identificado previamente ha sido dirigido
apropiadamente.
1.3.5 Evaluar el factor de riesgo en general para realizar la revisión dentro de la
pyme.
1.3.6 Basado en la evaluación de riesgos, identificar cambios en el alcance.
1.3.7 Discutir los riesgos con la administración de TI, y ajustar la evaluación de
riesgo.
50
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

1.3.8 Basado en la evaluación de riesgo, revisar el alcance.

1.4 Definir el proceso de cambio
El enfoque inicial de aseguramiento está basado en el entendimiento del revisor del
ambiente operativo y riesgos asociados. Como la investigación y el análisis están
desarrollados, se pueden generar cambios en el alcance y el enfoque.
1.4.1 Identificar el aseguramiento de altos recursos de TI responsables para la
revisión.
1.4.2 Establecer el proceso para sugerir y aplicar los cambios a la guía de control
y aseguramiento con las autorizaciones requeridas.
1.5 Definir asignación de éxito.
Los factores de éxito necesarios para ser identificados. Comunicación entre el equipo de
TI, otros equipos de aseguramiento, y los directivos de la empresa.
1.5.1 Identificar los controladores para una revisión exitosa.
1.5.2 Comunicar los atributos de éxito al dueño del proceso o a los interesados, y
obtener el acuerdo.
1.6 Definir los recursos de control y aseguramiento requeridos
Los recursos de seguridad requeridos para una revisión exitosa necesitan ser
definidos.
1.6.1 Estimar el total de recursos de seguridad (horas) en marco de tiempo (Datos
de inicio y finalización) requerido para hacer la revisión.
1.7 Definir los resultados finales
Los resultados finales no se deben limitar a ser registrados en el informe final. La
comunicación en el equipo de seguridad, el dueño del proceso acerca del número, el
51
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

formato, el calendario y la naturaleza de las prestaciones es esencial para la asignación

de éxito.
1.7.1 Determinar los entregables provisionales, incluyendo hallazgos iniciales,
estado de los informes, borrador de los informes, fecha de vencimiento en
respuestas o reuniones y el informe final.
1.8 Comunicaciones
El proceso de control y aseguramiento debe ser claramente comunicado al cliente.
1.8.1 Conducir una conferencia de apertura para discutir:
• Revisión de objetivos con los interesados
• Documentos y recursos de información de seguridad son necesarios
para realizar efectivo el examen
• Líneas de tiempo del resultado final
2. GOBIERNO EN CLOUD COMPUTING
2.1 Gobierno y Gestión de Riesgo Empresarial (ERM)
2.1.1 Gobierno
Objetivo de Control y Aseguramiento: Las funciones de gobierno son
establecidas para asegurar una gestión eficiente y sostenible que genere
transparencia en las decisiones de negocio, líneas claras de responsabilidad,
información segura en alineamiento con estándares de la empresa
proveedora, reglamentación de los clientes y la rendición de cuentas.
2.1.1.1 Modelo de Gobierno DS5.1
Control: La pyme tiene mecanismos que permite identificar todos los ME1.5 x x x x
proveedores e intermediarios de los servicios en Cloud Computing ME4.1
52
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

con los que opera actualmente y todas las implementaciones que ME4.2
existen a través de la empresa. La empresa asegura que los clientes, la
seguridad de información y las unidades de negocio participan
activamente en las actividades de gobierno para alinear los objetivos
de negocio y las capacidades en seguridad de la información del
proveedor de servicios con los de la pyme.
2.1.1.1.1 Determinar si en TI, la seguridad de la información, y las
funciones clave del negocio han definido el marco de
gobierno y procesos integrados de monitoreo.
2.1.1.1.2 Determinar si en TI, las funciones de seguridad de la
información y las unidades clave de negocio participan
activamente en el establecimiento de ANS y las obligaciones
contractuales.
2.1.1.1.3 Determinar si la función de seguridad de la información ha
realizado un análisis de brechas en las habilidades de
seguridad informática con las que cuenta el proveedor del
servicio en contra de las políticas de la pyme respecto a la
seguridad de la información, amenazas, y las
vulnerabilidades que surgen de la transición a Cloud
Computing.
2.1.1.1.4 Determinar si el proveedor de Cloud Computing tiene
identificado los objetivos de control de los servicios
prestados.
53
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.1.1.1.5 Determinar si la pyme mantiene un inventario de todos los

servicios prestados a través de Cloud Computing.
2.1.1.1.6 Determinar que el negocio no puede adquirir servicios de
Cloud Computing sin la participación de TI y seguridad de
la información.
2.1.1.2 Información de Colaboración de la Seguridad PO4.5
Control: Ambas partes definen la relación de informes y PO4.6
responsabilidades PO4.14 x x x x
DS2.2
ME2.1
2.1.1.2.1 Determinar si las responsabilidades de gobierno son
documentadas y aprobadas por el proveedor de servicio y el
cliente.
2.1.1.2.2 Determinar si las relaciones de dependencia entre el
proveedor de servicio y el cliente están claramente
definidas, identificando las obligaciones de los procesos de
gobernanza de ambas organizaciones.
2.1.1.3 Métricas y Acuerdo a Nivel de Servicio (ANSs) PO4.8
Control: ANSs que apoyan los requerimientos de negocio están DS1.2
definidos y aceptados por el proveedor del servicio y seguimiento. DS1.3
x x x
DS1.5
DS1.6
DS2.4
54
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.1.1.3.1 Obtener los ANSs y determinar si reflejan los

requerimientos del negocio.
2.1.1.3.2 Determinar que los ANSs son monitoreados utilizando
indicadores medibles que proporcionan una supervisión
adecuada y la alarma temprana de rendimiento inaceptable.
2.1.1.3.3 Determinar si el ANSs contiene clausulas que aseguren
servicios en caso de cambios en la gestión o adquisiciones.
2.1.2 Gestión de Riesgo Empresarial (ERM)
Objetivo de Control y Aseguramiento: Las practicas de gestión de riesgo son
implementadas para evaluar riesgos inherentes en el modelo de Cloud
Computing, como identificar apropiadamente mecanismos de control, y
asegurar que el riesgo residual está dentro de los niveles aceptables.

2.1.2.1 Identificación de Riesgos

PO9.3
Control: El proceso de gestión de riesgos, proporciona una evaluación
PO9.5
de los riesgos para el negocio, mediante la implementación del x x x
ME4.2
modelo de procesamiento en Cloud Computing y está alineado con el
ME4.5
ERM.
2.1.2.1.1 Determinar si la empresa tiene el modelo de ERM
2.1.2.1.2 Si un modelo de ERM ha sido implementado, determinar si
la evaluación de riesgos de Cloud Computing está alineado
con el ERM de la empresa.
2.1.2.1.3 Determinar si los servicios prestados por el proveedor y el
55
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

modelo de procesamiento seleccionado limita la

disponibilidad o la ejecución de las actividades de seguridad
de la información requerida, tales como:
• Restricciones en las evaluaciones de vulnerabilidades y
la prueba de penetración.
• Disponibilidad de registros de aseguramiento
• Acceso a los informes de seguimiento de la actividades
• Segregación de funciones y responsabilidades
2.1.2.1.4 Determinar si el enfoque de gestión de riesgo incluye lo
siguiente:
• Identificación y valoración de activos y servicios
• Identificación y análisis de amenazas y
vulnerabilidades con el impacto sobre los activos.
• Análisis del riesgo de eventos, con enfoque en los
escenarios
• Documentos de aprobación de la gerencia, de los
niveles de aceptación del riesgo y los criterios
• Plan de Acción de Riesgos (Control, evadir,
transferir o aceptar)
2.1.2.1.5 Determinar si durante la evaluación de riesgo, los activos
identificados incluyen los activos del proveedor, los del
cliente y la clasificación de seguridad de la información
usados en la evaluación de riesgos están alineados.
56
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.1.2.1.6 Determinar si la evaluación de riesgo incluye el modelo de

servicio, las capacidades del proveedor de servicios y
condición financiera.
2.1.2.2 Integración de Riesgos y ANSs PO9.3
Control: Los ANSs están alineados y desarrollados en conjunto con PO9.4
los resultados de la evaluación de riesgos. DS1.1
DS1.2
DS1.3
x x x
DS1.4
DS1.5
DS2.3
DS2.4
DS2.5
2.1.2.2.1 Determinar si los resultados del plan de acción de riesgos
están incorporados dentro de los ANSs.
2.1.2.2.2 Determinar si un proveedor de servicios común o la
evaluación de riesgos de los clientes se lleva a cabo para
verificar si todos los riesgos razonables han sido
identificados y si las alternativas de remediación de riesgos
se han identificado y documentado.
2.1.2.2.3 Cuando la evaluación de riesgos del proveedor ha
identificado que la gestión de riesgos no es efectiva,
determinar si la pyme ha realizado un análisis de sus
57
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

controles compensatorios y si cada control se ocupa de las

debilidades del proveedor de servicios.
2.1.2.3 Aceptación del Riesgo PO9.3
Control: La aceptación del riesgo está aprobada por un miembro de PO9.4
x x
la gerencia con la autoridad de aceptarlo en nombre de la empresa PO9.5
pyme y entiende las implicaciones de su decisión. ME4.5
2.1.2.3.1 Determinar si la gerencia ha realizado un análisis de la
cuantificación y aceptación del riesgo residual antes de
implementar la solución de Cloud Computing.
2.1.2.3.2 Determinar si la persona que acepta el riesgo tiene la
autoridad de tomar la decisión.
2.1.3 Información sobre la Gestión de Riesgos
Objetivo de Control y Aseguramiento: Un proceso para administrar la
información de riesgo, existe y está integrado en el marco general de ERM.
La información de gestión de riesgos de información e indicadores está
disponible para la función de seguridad de la información, que administra
riesgos dentro de la tolerancia de riesgo del propietario.
2.1.3.1 Marco de gestión de Riesgo y Modelo de Madurez PO9.1
Control: El marco de gestión de riesgos y el modelo de madurez PO9.2
han sido implementados para cuantificar el riesgo y evaluar la PO9.3
x x x
efectividad del modelo de riesgo. PO9.4
DS5.1
ME4.5
58
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.1.3.1.1 Determinar si el marco de riesgo ha sido identificado y

aprobado.
2.1.3.1.2 Determinar si el modelo de madurez es usado para evaluar
la efectividad.
2.1.3.1.3 Revisar los resultados del modelo de madurez, y
determinar si la falta de madurez material afecta los
objetivos del control y aseguramiento.
2.1.3.2 Gestión de Controles de Riesgo PO9.3
Control: La gestión de controles de riesgo es en efecto para PO9.4
x x x
administrar las decisiones basadas en el riesgo. PO9.5
PO9.6
2.1.3.2.1 Identificar los controles de la tecnología y los
requerimientos contractuales necesarios para tomar
decisiones basadas en hechos de información de riesgos, se
debe considerar:
• Uso de la información
• Controles de acceso
• Controles de seguridad
• Ubicación de la gestión
• Privacidad de controles
2.1.3.2.2 Para SaaS, determinar que la pyme tiene identificada la
información analítica necesaria del proveedor para apoyar
las obligaciones contractuales relacionadas con el
59
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

rendimiento, seguridad y logro de las ANSs.

2.1.3.2.3 Obtener los requerimientos analíticos de los datos,
determinar si la empresa monitorea de forma rutinaria y
evalúa el cumplimiento de las ANSs.
2.1.3.2.4 Para PaaS, determinar que la pyme tiene identificada la
disponibilidad de la información, las prácticas de control
necesarias para gestionar la aplicación y desarrolla
procesos de manera efectiva que guie la disponibilidad, la
confidencialidad, la propiedad de los datos, privacidad y
asuntos legales.
2.1.3.2.5 Determinar si la pyme ha establecido prácticas de
monitoreo que identifique problemas de riesgo.
2.1.3.2.6 Para IaaS, determinar que la pyme ha identificado y
monitorea el control, y la seguridad de los procesos
necesarios para proporcionar un entorno operativo seguro.
2.1.3.2.7 Determinar si el proveedor lleva a cabo los indicadores y
controles disponibles para ayudar a los clientes a cumplir
la gestión de riesgos de la información.
2.1.4 Administración de Terceras Partes
Objetivo de Control y Aseguramiento: El cliente reconoce las relaciones de
contratación externa con el proveedor del servicio. El cliente entiende sus
responsabilidades en el cumplimiento de los controles, y el proveedor de
servicio ha dado garantías de sostenibilidad en los controles.
60
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.1.4.1 Procedimientos del Proveedor de Servicios

Control: El proveedor de servicios pone a disposición de los clientes DS2.2
las evaluaciones a terceras partes, utilizando generalmente ME2.5 x x x
procedimientos aceptados, para describir las prácticas de control en ME2.6
lugares donde el proveedor hace acto de presencia.
2.1.4.1.1 Determinar si el proveedor de servicios ha realizado y
publicado evaluaciones rutinarias.
2.1.4.1.2 Determinar si el alcance de la evaluación de la tercera parte
incluye descripción de los procesos ejecutados:
• Administración de Incidentes
• Continuidad del negocio y recuperación de desastres
• Copia de seguridad y localización de instalaciones
2.1.4.1.3 Determina si el proveedor de servicio realiza evaluaciones
internas de conformidad para sus políticas, procedimientos
y disponibilidad de métricas de control.
2.1.4.2 Responsabilidades del Proveedor de Servicios DS2.2
Control: El proveedor de servicios ha establecido procesos para ME2.5 x x
alinear sus operaciones con los requerimientos del cliente. ME2.6
2.1.4.2.1 Determinar si los procesos de seguridad de información,
gestión de riesgos y procesos de cumplimiento por parte
del proveedor son evaluados continuamente e incluyen:
• Evaluaciones de riesgo y revisiones de instalaciones
y servicios para el control de debilidades
61
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

• Definición de servicio crítico, factores críticos para

el éxito de la seguridad de la información e
indicadores claves de desempeño.
• Evaluaciones de frecuencia.
• Procedimientos de mitigación para asegurar la
finalización oportuna de problemas identificados.
• Revisión del aspecto legal, control regulatorio y
requerimientos contractuales e industriales.
• El proveedor de servicios Cloud supervisa los
riesgos desde sus propios proveedores
• Los términos de uso deben estar diligenciados para
identificar roles, responsabilidades y rendición de
cuentas del proveedor de servicios.
• Revisión de disposiciones del contrato legal, las
leyes relativas a las cuestiones jurisdiccionales que
son responsabilidad del prestador del servicio
2.1.4.3 Responsabilidades del Cliente DS4.2
Control: El cliente realiza los deberes que garanticen la sostenibilidad DS4.4
y cumplimiento de los requisitos regulatorios DS4.5
ME2.6 x x x
ME3.1
ME3.3
ME3.4
62
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.1.4.3.1 Determinar si el cliente ha realizado la debida diligencia con

respecto al gobierno en seguridad de la información por
parte del proveedor de servicios, gestión de riesgos y
cumplimiento de procesos como esta descrito en 2.1.4.2
Responsabilidades del Proveedor de Servicios.
2.1.4.3.2 Determinar si la pyme se ha preparado para la pérdida de los
servicios del proveedor, dentro de lo que se incluye:
• Una continuidad de negocio y un plan recuperación
de desastres para varios escenarios de interrupción de
procesamiento.
• Pruebas de continuidad de negocio y plan contra
desastres.
• Inclusión de los usuarios del negocio y los análisis
de impacto empresarial en el plan de continuidad

2.2 Cuestiones Legales y Descubrimiento Electrónico.

2.2.1 Obligaciones Contractuales
Objetivo de Control y Aseguramiento: El proveedor y la pyme como cliente
establecen acuerdos bilaterales y procedimientos para asegurar que las
obligaciones contractuales se cumplan, y que estas dirijan el cumplimiento de
requerimientos de ambos (El cliente y el proveedor de servicio)
2.2.1.1 Términos del Contrato DS1.6
x
Control: Un equipo de contrato que representa a la pyme de forma legal, DS2.2
63
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

financiera, en la seguridad de la información y las unidades de negocio han DS2.4

identificado e incluido cuestiones contractuales requeridas dentro del ME2.5
acuerdo desde la perspectiva del cliente, y el equipo legal del proveedor de ME2.6
servicio ha proporcionado una evaluación contractual para satisfacción del ME3.1
cliente.
2.2.1.1.1 Determinar si el acuerdo contractual define las responsabilidades
de ambas partes relacionado con la investigación de hallazgos, el
mantenimiento de litigios, preservación de la evidencia y
testimonio de expertos.
2.2.1.1.2 Determinar que el contrato del proveedor de servicios requiere
asegurar a la pyme como cliente que sus datos están preservados
y guardados, incluyendo datos principales e información
secundaria (Registros y Metadatos).
2.2.1.1.3 Determinar que el proveedor de servicios entiende sus
obligaciones contractuales para ofrecer a la pyme la guarda y
seguridad de sus datos. Revisar contratos que lleven a determinar
que estos están direccionados específicamente.
2.2.1.1.4Determinar que los derechos del cliente sobre la atención incluye
alcance total en monitoreo del contrato, incluyendo :
• Diligenciamiento de un precontrato
• Negociación de los términos del contrato
• Transferencia de la custodia de los datos
• Terminación del negocio o renegociación.
64
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

• Transición del procesamiento

2.2.1.1.5 Determinar que el contrato estipula que ambas partes entienden
sus obligaciones para la terminación prevista y no prevista de la
relación durante y después de las negociaciones y que el acuerdo
de precontrato o el contrato establece el regreso oportuno o la
eliminación segura de los activos.
2.2.1.1.6 Determinar que las obligaciones contractuales identifican
específicamente posibles responsabilidades en la violación de
datos de ambas partes y procesos cooperativos para ser
implementados durante la investigación y acciones de
seguimiento.
2.2.1.1.7 Determinar que el acuerdo ofrezca al cliente tener acceso al
rendimiento del proveedor de servicios y a pruebas de detección
de vulnerabilidades en una base regular.
2.2.1.1.8 Determinar que el contrato establece derechos y obligaciones
para ambas partes durante la transición al finalizar la relación y
después de la terminar el contrato.
2.2.1.1.9 Determinar si el contrato establece los siguientes procesos de
protección para datos:
• Divulgación completa de las prácticas y procedimientos en
seguridad interna del proveedor de servicios
• Políticas de retención de datos en conformidad con la
jurisdicción local de requerimientos.
65
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

• Presentación de informes sobre la localización geográfica en

la que se encuentran los datos del cliente.
• Circunstancias en las cuales los datos pueden ser embargados
y notificación de cada evento
• Notificación de la cita o descubrimiento concerniente a
cualquier dato o proceso del cliente.
• Sanciones por infracciones en los datos
• Protección contra la contaminación de datos entre los clientes.
2.2.1.1.10 Los requisitos de cifrado de datos en tránsito, en reposo y de
copia de seguridad están claramente indicadas en el acuerdo
contractual del modelo de servicio Cloud.
2.2.1.2 Implementación de Requerimientos Contractuales DS1.5
Control: El cliente ha implementado apropiadamente los controles de DS1.6
monitoreo para asegurar que las obligaciones contractuales se satisfagan. DS2.4 x
ME2.5
ME2.6
2.2.1.2.1 Determinar que el cliente ha considerado y establecido
controles dentro de las obligaciones contractuales para garantizar
la retención de datos, la propiedad intelectual y la privacidad de
los datos contenidos dentro de su información.
2.2.1.2.2 Determinar que el cliente ha desarrollado apropiadamente la
cuestión de monitoreo de procesos para supervisar el desempeño
del proveedor de servicios sobre los requerimientos del contrato.
66
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.2.1.2.3 Determinar que el cliente ha establecido monitoreo de asuntos

internos para identificar las deficiencias en el cumplimiento del
contrato por parte del cliente
2.2.2 Cumplimiento Legal
Objetivo Control y Aseguramiento: Los asuntos legales relacionados con
requerimientos funcionales, jurisdiccional, y contractuales están dirigidos para
proteger ambas partes, documentados, aprobados y debidamente monitoreados.
2.2.2.1 Cumplimiento Legal DS1.6
Control: El cumplimiento legal para leyes nacionales e internacionales ME3.1 X
está definido como un componente del contrato.
2.2.2.1.1 Determinar si las leyes internacionales y nacionales están
definidas y consideradas en el contrato.
2.2.2.1.2 Determinar si el proveedor del servicio y el cliente han
acordado un proceso unificado para responder a las citaciones,
procesos de servicio y otros requisitos legales.
2.3 Cumplimiento de normas y auditoría
2.3.1 Derecho de Auditoría
Objetivo de Control y Aseguramiento: El derecho para auditoría está
claramente definido y satisface los requerimientos de aseguramiento en la
tarjeta de administración del cliente, estatuto de auditoría, auditores externos y
cualquier reglamentación que tenga jurisdicción sobre el cliente.
2.3.1.1 Derechos de Auditoría por contrato ME2.5
x x x
Control: Los derechos de auditoría, según lo acordado en el contrato, ME2.6
67
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

permiten al cliente realizar evaluaciones de control profesionales. ME3.1

ME3.3
ME3.4
2.3.1.1.1 Revisar los derechos de auditoría en el contrato, y
determinar si las actividades de auditoría pueden ser
restringidas o reducidas por el proveedor de servicios.
2.3.1.1.2 Si los problemas de derechos de auditoría están
identificados, se prepara un resumen apropiado de los
hallazgos y se realiza una reunión con el proveedor del
servicio. Si es necesario y apropiado, se busca llegar al
comité de auditoría.
2.3.1.2 Revisiones de Terceras Partes
Control: El proveedor de servicios presenta revisiones de terceros que
cumplan los requerimientos profesionales de los trabajos realizados
por una organización reconocida de auditoría. El informe muestra los
controles en el lugar por el proveedor de servicio y certifica que los
controles han sido probados utilizando reconocidos criterios de
selección. Un periodo de prueba previamente acordado proporciona
una descripción de clientes recomendados, las responsabilidades del
proveedor de servicios y los controles que se deban emplear.
2.3.1.2.1 Obtener el informe de un tercero.
2.3.1.2.2 Determinar que el informe aborda los mecanismos de control
utilizados por el cliente.
68
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.3.1.2.3 Determinar que las descripciones y los procesos son

relevantes para los clientes del proveedor de servicios.
2.3.1.2.4 Determinar que el informe ha descrito los controles clave
necesarios que el revisor evalúa el cumplimiento de
objetivos de control apropiados.
2.3.1.2.5 Determinar que el informe y las pruebas cumplan con las
disposiciones de aseguramiento del cliente y requisitos de
cumplimiento de todos los reguladores que tiene jurisdicción
sobre el cliente.
2.3.1.2.6 Haciendo uso del universo de clientes de auditoría
autorizados, comparar el alcance del universo de auditoría
con el alcance de informes de terceros; Identificar
debilidades en este último requiere cubrimiento adicional de
aseguramiento.
2.3.1.2.7 Determinar si las relaciones del proveedor de servicio cruza
límites internacionales y si esto afecta la capacidad de
confiar en el informe de terceros.
2.3.2 Capacidad de Verificación
Objetivo de Control y Aseguramiento: El entorno de operatividad del proveedor
debe estar sujeto a la auditoría para cumplir los reglamentos de auditoría del
cliente, cumplimiento de requerimientos y los controles de buenas prácticas sin
restricciones.
2.3.2.1 Revisiones de Aseguramiento del Cliente sobre los Procesos del DS2.3 x x x x
69
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

Proveedor de Servicio DS2.4

Control: El cliente realiza revisiones apropiadas para completar o sustituir ME2.1
comentarios de terceros como es requerido en su universo y estatutos de ME2.5
auditoría. ME2.6
ME3.1
ME3.3
ME3.4
2.3.2.1.1 Determinar si las evaluaciones complementarias de
aseguramiento (Si un tercer revisor ha sido proporcionado) o
evaluaciones principales de aseguramiento son requeridas.
2.3.2.1.2 Generar solicitudes apropiadas al proveedor de servicio y
una programación de revisiones. Nota: Hacer uso apropiado
de programas de auditoría para estas revisiones.
2.3.3 Alcance de Cumplimiento
Objetivo de Control y Aseguramiento: El uso de Cloud Computing no es
inválida o viola algún acuerdo de cumplimiento del cliente.
2.3.3.1 Factibilidad de Cumplimiento de Seguridad de Datos
Control: La regulación de datos está identificada en el tema de cumplimiento ME3.1
y son mapeados para el regulador de requerimientos. Las brechas son ME3.2 x x x
evaluadas para determinar si la plataforma de Cloud Computing invalidara o ME3.3
debilitara los requerimientos de cumplimiento.
2.3.3.1.1 Determinar si el cliente ha identificado los requerimientos
legales y regulatorios que se deben cumplir.
70
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.3.3.1.2 Determinar si el cliente ha agregado requerimientos para

reducir la duplicación de los mismos.
2.3.3.1.3 Utilizando la documentación reunida en el Gobierno y
Gestión de Riesgo Empresarial, Descubrimiento Legal,
Electrónico y Derecho de Secciones de Auditoría se realiza un
análisis de debilidades o carencias contra la normatividad de
datos con el fin de determinar si hay algún requisito
regulatorio que no pueda ser completado por el modelo de
Cloud Computing.
2.3.3.2 Responsabilidades en la protección de Datos
Control: El escenario de implementación (SaaS, PaaS, IaaS) define las DS2.2
responsabilidades de protección de datos entre la pyme y el proveedor DS5.1 x
de servicios, y estas responsabilidades son claramente establecidas DS11.6
contractualmente.
2.3.3.2.1 Determinar que las responsabilidades para la protección de
datos está basada sobre el riesgo para la implementación del
escenario.
2.3.3.2.2 Revisar el contrato para determinar la asignación de
responsabilidades.
2.3.3.2.3 Con base en el contrato, determinar si el proveedor del
servicio de cada cliente ha establecido las medidas adecuadas
en la protección de datos en el alcance de sus
responsabilidades.
71
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

2.3.4 Certificación ISO 27001 DS5.1

Objetivo de Control y Aseguramiento: La garantía de seguridad por parte del ME2.6
x
proveedor del servicio esta proporcionada a través de la certificación ISO ME2.7
27001. ME3.4
2.3.4.1 Información de Certificación de Seguridad ISO
Control: La certificación ISO 27001 ofrece el cumplimiento de
aseguramiento del proveedor de servicios a los procesos de seguridad de
mejores prácticas.
2.3.4.1.1 Determinar si el proveedor de servicio ha recibido la
certificación ISO 27001. Si es así, ajustar el alcance del
programa de auditoría para que se vea reflejada esta
certificación.
2.4 Portabilidad e Interoperabilidad
2.4.1 Servicio de Planeación de la Transición
Objetivo de Control y Aseguramiento: La planeación para la migración de
datos, tales como formatos y accesos, es esencial para reducir riesgos
operacionales y financieros al final del contrato. La transición de los servicios
debe ser considerado al inicio de las negociaciones del contrato.
2.4.1.1 Portabilidad PO2.1
Control: Procedimientos, capacidades y alternativas son establecidos, PO4.1
mantenimiento, control, y un estado de alerta ha sido establecido para la PO4.2 x
transferencia de operaciones de Cloud Computing a un proveedor PO4.4
alternativo en caso de que el proveedor de servicio seleccionado no sea PO4.5
72
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

capaz de cumplir con los requisitos contractuales y el cese de

operaciones.
2.4.1.1.1 Todas las soluciones de Cloud.
2.4.1.1.1.1 Determinar que los requisitos de hardware y software,
más la viabilidad de mover desde un proveedor de
servicios existente (Proveedor Legal) a otro proveedor
(Nuevo proveedor) ha sido documentado por cada
iniciativa de Cloud Computing.
2.4.1.1.1.2 Determinar que un proveedor de servicios alternativo
para cada legado de proveedor ha sido identificado y
que la viabilidad para transferir procesos ha sido
evaluado.
2.4.1.1.1.3 Determinar si el análisis de viabilidad incluye
procedimientos y tiempos estimados para mover
grandes volúmenes de datos, en su caso.
2.4.1.1.1.4 Determinar si el proceso de portabilidad ha sido
probado.
2.4.1.1.2 Soluciones Cloud en el escenario IaaS
2.4.1.1.2.1 Determinar si el análisis de viabilidad de transferencia
del escenario IaaS heredado del proveedor de servicios
incluye todas las funciones de propiedad o procesos
que impidan o retrasen la transferencia de operaciones.
2.4.1.1.2.2 Determinar si el análisis de portabilidad incluye
73
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

procesos para proteger la propiedad intelectual y

datos del proveedor de servicios una vez que el
legado de la transferencia ha sido completada.
2.4.1.1.3 Soluciones Cloud en el escenario PaaS
2.4.1.1.3.1 Determinar si el análisis de viabilidad incluye
identificación de componentes de aplicación y
módulos que son propietarios pueden requerir
programación durante la transferencia.
2.4.1.1.3.2 Determinar si el análisis de portabilidad incluye:
• Traducción de funciones para el nuevo proveedor de
servicios
• Procesamiento Interno hasta que un nuevo
proveedor de servicios se encuentre en modo
operacional.
• Prueba de nuevos procesos antes del lanzamiento
para el nuevo ambiente de producción en el nuevo
proveedor de servicio
2.4.1.1.4 Soluciones Cloud en el escenario SaaS
2.4.1.1.4.1 Determinar si el análisis de portabilidad incluye:
• Un plan de copia de seguridad de los datos en un
formato que sea utilizable por otras aplicaciones.
• Rutina de copia de seguridad de los datos
• Identificación de las herramientas personalizadas
74
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

requeridas para procesar los datos y los planes de

ampliación.
• Pruebas de la nueva aplicación del proveedor de
servicio y la debida diligencia antes de la
conversión.
3. OPERACIÓN EN CLOUD COMPUTING
3.1 Respuestas a incidentes, Notificación y Reparación
Objetivo de Control y Aseguramiento: Notificar incidentes, revisar que las respuestas y
corrección son documentados a tiempo, hacer frente al riesgo del incidente
intensificando la gestión cuando sea necesario y dando un cierre formal.
3.1.1 Respuesta a Incidentes DS1.5
Control: El Contrato ANSs describe definiciones especificas de incidentes DS1.6
(Debilidades en los datos, violaciones a la seguridad), actividades sospechosas, y DS2.2
acciones para ser iniciado en responsabilidad de ambas partes. DS2.4
DS5.6 x x
DS8.1
DS8.2
DS8.3
DS8.4
3.1.1.1 Obtener y revisar las ANSs por contrato para determinar que incidentes
y eventos están claramente definidos y las responsabilidades asignadas.
3.1.1.2 Revisar acuerdos de cooperación, y evaluar las responsabilidades para la
investigación de incidentes.
75
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

3.1.1.3 Notificación de procedimientos acordados para leyes locales que están

incorporadas en los incidentes y procesos eventuales.
3.1.2 Problema de Seguimiento del Proveedor de Servicio DS1.5
Control: Los procesos de monitoreo son implementados y activamente usados por DS1.6
el proveedor de servicios para documentar e informar todos los incidentes DS2.2
definidos. DS2.3
DS2.4
x x x
DS5.6
DS8.1
DS8.2
DS8.3
DS8.4
3.1.2.1 Obtener y revisar los procedimientos de monitoreo del proveedor de
servicio.
3.1.2.2 Determinar si los requerimientos del informe de monitoreo están alineados
con la política de notificación de incidentes de la pyme como cliente.
3.1.2.3 Obtener los informes de incidentes monitoreados por un periodo
representativo de tiempo.
3.1.2.3.1 Determinar qué:
• Cliente fue notificado del incidente dentro de los requerimientos
del ANS.
• Corrección fue a tiempo basada en el alcance y riesgo del
incidente.
76
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

• Corrección fue apropiada

• El problema es escalado si es apropiado
• El problema fue cerrado y el cliente es notificado de forma
apropiada.
3.1.3 Problema de Seguimiento del Cliente DS5.6
Control: El cliente ha establecido un proceso de vigilancia para rastrear incidentes DS8.1
internos e incidentes del proveedor de servicios. DS8.2
DS8.3 x x
DS8.4
DS8.5
ME2.3
3.1.3.1 Obtener el procedimiento de control de incidentes del cliente.
3.1.3.2 Determinar si el procedimiento de control de incidentes que rastrea tanto
los incidentes internos como los del proveedor de servicios.
3.1.3.3 Seleccionar una muestra de incidentes, y determinar qué:
• El proveedor de servicio notificó a la pyme como cliente sobre un
tiempo base dentro del alcance del contrato.
• La corrección fue a tiempo basada en el alcance y riesgo del
incidente.
• La corrección fue apropiada.
• El problema fue escalado dentro de la jerarquía del proveedor de
servicio.
• El tema fue cerrado por el proveedor de servicio.
77
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

• El problema fue monitoreado y reportado para la gestión de clientes.

• Los procedimientos del cliente fueron modificados para reconocer el
aumento del riesgo.
• Los incidentes internos del cliente fueron registrados por el cliente,
informados apropiadamente, corregido y cerrado.
3.2 Seguridad de Aplicaciones
3.2.1 Arquitectura de Seguridad aplicaciones
Objetivo de Control y Aseguramiento: Las aplicaciones son desarrolladas con
un entendimiento de la interdependencia inherente a aplicaciones en Cloud
Computing, requiriendo un análisis de riesgos, diseño de gestión de la
configuración y procesos de aprovisionamiento que soportarán cambios en las
arquitecturas de aplicaciones.
3.2.1.1 Arquitectura de Seguridad de Aplicaciones
AI2.4
Control: El diseño aplicaciones basado en Cloud Computing incluye
DS5.1
seguridad de la información, arquitectura de seguridad de la aplicación x
DS5.2
sujeto a expertos en la materia, y el proceso se centra en
DS5.7
interdependencia inherente de aplicaciones en la nube.
3.2.1.1.1 Obtener la documentación del diseño de la aplicación, y
revisar las políticas para la participación de expertos en el
diseño del sistema.
3.2.1.1.2 Determinar que la seguridad de la información y los
especialistas de la arquitectura han estado completamente
comprometidos durante la planeación e implementación de
78
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

aplicaciones en la Cloud Computing.

3.2.1.1.3 Seleccionar las implementaciones recientes, revisar los planes
de proyecto y desarrollo de pruebas de seguridad de la
información y la participación de expertos en la materia.
3.2.1.2 Gestión de la Configuración y Aprovisionamiento
DS5.3
Control: La gestión de configuración y los procedimientos de
DS5.4
aprovisionamiento están segregados desde el proveedor de servicios,
DS9.1 x
limitado a una función de las operaciones de seguridad dentro de la
DS9.2
organización del cliente y proporciona rastros de aseguramiento para
DS9.3
documentar todas las actividades.
3.2.1.2.1 Obtener la gestión de configuración y la arquitectura de
seguridad de aprovisionamiento.
3.2.1.2.2 Determinar si el proveedor de servicio no puede configurar o
aprovisionar usuarios que pueden afectar la integridad de datos,
acceso o la seguridad.
3.2.1.2.3 Determinar si los registros y el seguimiento de aseguramiento
existen, el registro de estas actividades y la forma en que están
monitoreadas y revisadas.
3.2.2 Cumplimiento
Objetivo de Control Y Aseguramiento: Los requisitos de cumplimiento son un
componente integral del diseño y la implementación de la arquitectura de
seguridad de aplicaciones.
3.2.2.1 Cumplimiento AI2.3 x
79
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

Control: El ciclo de vida de desarrollo de sistemas incluye procesos para AI2.4

asegurar que los requisitos de cumplimiento sean identificados, ME3.1
mapeados para la aplicación basada en Cloud Computing, y están ME3.2
incluidos en el producto final. Las brechas de cumplimiento se extienden
a la alta dirección para renunciar a la aprobación.
3.2.2.1.1 Obtener el análisis de cumplimiento utilizado como la base para
autorizar la iniciación de la aplicación basada en la nube.
3.2.2.1.2 Determinar si se lleva a cabo una revisión formal de
cumplimiento, si la autorización de la alta dirección es
requerida cuando las políticas internas de seguridad de
información necesitan una renuncia para permitir la
implementación de la aplicación basada en la Cloud
Computing.
3.2.3 Herramientas y Servicios
Objetivo de Control y Aseguramiento: El uso de herramientas de desarrollo,
librerías aplicación de gestión de bibliotecas y otro software son evaluados para
asegurar que su uso no afecten negativamente en la seguridad de las
aplicaciones.
3.2.3.1 Herramientas y Servicios AI2.5 1.1.1.1 1.1.1.2
Control: Las herramientas y servicios usados en el desarrollo, gestión y AI3.2
monitoreo de aplicaciones son detalladas, documentadas, y analizada de AI3.3 x x x
acuerdo al efecto de la seguridad sobre la aplicación. DS5.1
DS9.1
80
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

3.2.3.1.1 Obtener un análisis de herramientas y servicios en uso. 1.1.1.3 1.1.1.4

3.2.3.1.2 Determinar si la propiedad de cada herramienta y servicio ha
sido identificado.
3.2.3.1.3 Determinar si el riesgo de la seguridad de información ha sido
evaluada para cada herramienta y servicio. Si uno es
considerado como riesgo de seguridad, determinar la
disposición (escalada, renuncia al uso o no permitir el uso de
software en un ambiente de nube).
3.2.3.1.4 Examinar ejemplos de aumento de solicitudes, y determinar el
cumplimiento de procedimientos.
3.2.4 Funcionalidad de la Aplicación
Objetivo de Control y Aseguramiento: Para implementaciones en SaaS, la
aplicación tercerizada por Cloud Computing contiene la funcionalidad apropiada y
controles de procesamiento requeridos por las políticas de control del cliente
dentro del alcance de procesamiento (financiero, operacional, etc.).
3.2.4.1 Funcionalidad de la Aplicación ME2.5
Control: La funcionalidad de la aplicación está sujeta a una revisión de ME2.6 x x x
control como parte del aseguramiento de la aplicación del cliente.
3.3 Seguridad e Integridad de datos
3.3.1 Cifrado
Objetivo de Control y Aseguramiento: Los datos se transmiten y se
mantienen de forma segura para prevenir accesos no autorizados y

81
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

modificaciones.
3.3.1.1 Información en transito DS5.7
Control: Los datos en tránsito son cifrados sobre redes con claves DS5.11 x
privadas conocidas solamente por el cliente. DS11.6
3.3.1.1.1 Obtener las políticas de cifrado y procedimientos para datos
en tránsito.
3.3.1.1.2 Evaluar si el proceso de cifrado incluye lo siguiente:
• Clasificación de los datos que atraviesan las redes de
Cloud Computing (Top Secret, confidencial estándar,
confidencial de la empresa, publico)
• Tecnologías de cifrado en uso
• Gestión de claves (véase el análisis de gestión de claves en
el punto 3.3.2)
• Una lista de organizaciones externas a los clientes que
tienen las claves de descifrado para datos en tránsito.
3.3.1.2 Información en Reposo
Control: Los datos almacenados en bases de datos de producción DS11.2
en vivo sobre sistemas de Cloud Computing que están cifrados y DS11.3 x
con conocimiento de las claves de descifrado limitadas para el DS11.6
usuario.
3.3.1.2.1 Obtener las políticas y procedimientos de cifrado para
datos almacenados en sistemas de Cloud Computing.
3.3.1.2.2 Para implementaciones en SaaS, determinar si el
82
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

proveedor de servicio ha implementado cifrados para

información en reposo.
3.3.1.2.3 Determinar si los datos sensibles necesitan estar
almacenados exclusivamente en los sistemas de la
pyme como cliente para satisfacer sus políticas, los
requisitos de cumplimiento normativo o de otro tipo.
3.3.1.2.4 Evaluar si los proceso de cifrado incluye lo siguiente:
• Clasificación de datos almacenados sobre las redes
de Cloud Computing (Top secret, confidencial
estándar, confidencial de la empresa, publico)
• Tecnologías de cifrado en uso.
• Gestión de claves (véase el análisis de gestión de
claves en el punto 3.3.2)
• Una lista de organizaciones externas a los clientes
que tienen las claves de descifrado para datos en
tránsito.
3.3.1.3 Copia de Seguridad de los Datos DS11.2
Control: Las copias de seguridad de los datos están cifradas. DS11.3
x
DS11.5
DS11.6
3.3.1.3.1 Obtener políticas y procedimientos de copia de
seguridad de los datos para copias de seguridad de
datos basados en Cloud Computing.
83
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

3.3.1.3.2 Determinar si los datos son cifrados para evitar el

acceso no autorizado y la divulgación de datos
confidenciales.
3.3.1.3.3 Determinar si la estructura clave de cifrado proporciona
confidencialidad adecuada de los datos.
3.3.1.3.4 Evaluar si los procesos de copia de seguridad
proporcionan la capacidad para restaurar las
configuraciones y datos por un periodo predeterminado
que permita actividades forenses y otro tipo.
3.3.1.3.5 Determinar si las pruebas de restauración de datos se
llevan a cabo de forma rutinaria.
3.3.1.4 Prueba de Confidencialidad de Datos
Control: La prueba de datos no contiene y prohíbe el uso de AI7.4
x
copias de todos los datos de una producción actual o histórica DS11.6
que contienen información delicada y confidencial.
3.3.1.4.1 Obtener políticas y normas de pruebas.
3.3.1.4.2 Determinar si las políticas excluyen específicamente
el uso de una producción actual o histórica de datos.
3.3.1.4.3 Realizar procedimientos de muestreo para determinar
el cumplimiento con la prueba de datos y la política
de prohibición.
3.3.2 Gestión de Claves
Objetivo de Control y Aseguramiento: Las claves de cifrado están protegidas de
84
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

forma segura contra accesos no autorizados, la separación de deberes existentes

entre los administradores de claves y la organización, además son recuperables.
3.3.2.1 Almacén de Claves Seguras DS5.7
Control: El almacén de claves está protegido durante la trasmisión, DS5.8 x
almacenamiento y copia de seguridad. DS5.11
3.3.2.1.1 Obtener una comprensión de cómo el almacén de claves está
protegidos.
3.3.2.1.2 Evaluar los controles de acceso, controles de transmisión y copias
de seguridad para asegurar que los almacenes de claves están en
posesión de los administradores de claves.
3.3.2.1.3 Identificar las debilidades potenciales de acceso para almacenes
de claves e identificar controles de compensación.
3.3.2.2 Acceso a Almacenes de Claves DS5.7
Control: El acceso a los almacenes de claves está limitado a los DS5.8
x
administradores de claves cuyos puestos de trabajo se encuentran
separados del proceso de protección de los almacenes de clave.
3.3.2.2.1 Identificar los administradores del almacén de claves.
3.3.2.2.2 Realizar una separación de funciones de análisis para
determinar las operaciones funcionales específicas con las que
el administrador del almacén de claves tiene acceso.
3.3.2.2.3 Evaluar si las posiciones de los administradores del almacén de
claves y su acceso a dichos almacenes crean una vulnerabilidad
para la confidencialidad o integridad de datos.
85
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

3.3.2.2.4 Determinar si el proveedor de servicio tiene acceso a las claves

o si tiene los procedimientos y supervisión para asegurar la
confidencialidad de los datos del cliente.
3.3.2.2.5 Determinar si los controles son adecuados para proteger las
claves en su generación y eliminación.
3.3.2.3 Copia de Seguridad de la Clave y su Valoración DS4.3
Control: La copia de seguridad de la clave y la valoración han sido DS4.8
establecidos y probados para asegurar el acceso continuo a las claves de DS4.9 x
los datos. DS5.7
DS5.8
3.3.2.3.1 Obtener las políticas y procedimientos de copia de seguridad y
valoración
3.3.2.3.2 Realizar una evaluación de riesgos, con vulnerabilidades
conocidas, para determinar que la clave de las copias de
seguridad estaría disponible y la recuperación estaría
asegurada.
3.3.2.3.3 Determinar si un proceso de prueba para recuperación de
clave existe y se ejecuta de forma rutinaria.
3.3.2.3.4 Revisar pruebas recientes de recuperación de claves. Evaluar
la validez de cada prueba, el análisis, el proceso de
recomendación usado y la preparación para restauración de
clave.
3.4 Gestión de Acceso e Identidad
86
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

3.4.1 Gestión de Acceso e Identidad

Objetivo de Control y Aseguramiento: El proceso de identidad garantiza que
solo usuarios autorizados tengan acceso a los datos y las fuentes, las
actividades del usuario pueden ser auditadas y analizadas, y el cliente tiene
control sobre la gestión de acceso.
3.4.1.1 Aprovisionamiento de Identidad DS5.3
Control: El aprovisionamiento de usuarios, des aprovisionamiento y DS5.4
cambios de trabajo en función de aplicaciones basadas en la Cloud
x
Computing y las plataformas de operación son gestionados de forma
oportuna y controlada, de acuerdo con las políticas internas de acceso
de usuario.
3.4.1.1.1 Obtener políticas de aprovisionamiento y des
aprovisionamiento interno.
3.4.1.1.2 Analizar las políticas de aprovisionamiento y des
aprovisionamiento en relación con los procedimientos
implementados para sistemas de Cloud Computing.
3.4.1.1.3 Identificar brechas en controles que requieren atención
adicional haciendo uso de otras guías de gestión de la
identidad.

3.4.1.2 Autenticación PO3.4

Control: La responsabilidad de la autenticación de usuario se queda con DS5.3 x
la pyme como cliente; inicio de sesión único y autenticación abierta se DS5.4
87
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

debe utilizar.
3.4.1.2.1 Para SaaS y PaaS, Determinar si el cliente puede establecer
confianza entre el sistema de autenticación interna y el
sistema de Cloud Computing.
3.4.1.2.2 Determinar, donde hay una opción en la que el proceso de
autenticación de propiedad común se ha implementado en el
proveedor de servicios.
3.4.1.2.3 Si un proceso de autenticación de propiedad es la única
opción, determinar si los controles adecuados están en lugar
para:
• Prevenir compartimento de las identidades por parte de los
usuarios
• Proporcionar separación de deberes adecuado para
prevenir que el personal del proveedor obtenga las
identidades de los clientes.
• Proporcionar funciones forenses y registro que ayuda la
historia de las actividades.
• Proporcionar funciones de monitoreo que alerten al cliente
sobre actividades de autenticación no autorizadas.
3.4.1.2.4 Para IaaS:
• Si las VPNs dedicadas están implementadas entre el
proveedor de servicio y las instalaciones del cliente,
determinar si los usuarios están autenticados en la red del
88
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

cliente antes de pasar a las transacciones a través de la

VPN. Las VPNs dedicadas son implementadas para
autenticar usuarios en la red del cliente antes pasar a lo
largo de las transacciones a través de la VPN.
• Donde una VPN dedicada no sea posible, determinar si se
reconoce formatos de autenticación estándar que están en
uso en conjunción con SSL
3.4.1.2.5 Para IaaS e implementaciones privadas, verificar que las
soluciones de control de acceso a terceros opera
efectivamente en ambientes virtualizados o de Cloud
Computing, y que los datos pueden ser agregados y
correlacionados efectivamente para la revisión de gerencia.
3.4.1.2.6 Identificar brechas en controles que requieren atención
adicional haciendo uso de otras guías de gestión de la
identidad.
3.5 Virtualización
3.5.1 Virtualización
Objetivo de Control y Aseguramiento: La virtualización de sistemas
operativos se endurecen para evitar la contaminación cruzada con otros
entornos de clientes.
3.5.1.1 Virtualización DS2.4
Control: El proveedor de servicios implementa controles de seguridad y DS5.5 x
aísla los sistemas operativos para evitar accesos no autorizados y DS9.2
89
 Actividades de Control
Evaluación de Riesgo
Ambiente de Control
Objetivo de
Referencias

Comunicación
Actividades y
Paso Guía Control y Aseguramiento Control
Cruzadas Comentarios

Monitoreo
COBIT

ataques. DS9.3
3.5.1.1.1 Identificar la configuración de la maquina virtual en su sitio
3.5.1.1.2 Determinar si los controles adicionales han sido
implementados, incluyendo lo siguiente:
 Detección de intrusos.
 Prevención de Malware
 Escaneo de vulnerabilidad
 Línea base de gestión y análisis.
 La maquina virtual de imágenes de validación antes de la
puesta en producción.
 Evitar pasar por alto los mecanismos de seguridad por la
identificación de las APIs relacionadas con la seguridad en
uso.
 Separar la producción y el entorno de pruebas.
 Organización interna de gestión de la identidad para el
acceso administrativo.
 Oportuno aislamiento de intrusión de presentación de
informes.

90
 8. EVALUACIÓN DE MADUREZ

La evaluación de madurez es una oportunidad para evaluar la madurez de los procesos revisados. Basado en los resultados de la revisión de control y aseguramiento, más
las observaciones del revisor, se asigna un nivel de madurez para cada una de los siguientes objetivos o procesos de control desarrollada en COBIT. La evaluación debe
estar limitada para los objetivos de control relacionadas directamente con la implementación de Cloud Computing y debe ser aplicable al proveedor de servicios y el
cliente para el control de criterios mencionado previamente.

Madurez Objetivo
Comentarios
Objetivos de Control de COBIT Evaluado Madurez
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
La comunicación efectiva entre la gerencia de TI y los clientes de negocio en relación con los
servicios que son requeridos se hace posible gracias a que se cuenta con una decisión documentada
unida a un acuerdo de servicios de TI y niveles de servicio. Este proceso también incluye
monitoreo y el informe oportuno a los participantes acerca del cumplimiento de los niveles de
servicio. Además, permite la alineación entre los servicios de TI y los requerimientos de negocio
relacionados.

DS2 ADMINISTRAR SERVICIOS DE TERCERAS PARTES

La necesidad de asegurar que los servicios proporcionados por terceros cumplan con los
requerimientos del negocio, requiere de un proceso efectivo de gestión de terceros. Este proceso se
cumple por la definición clara de roles, responsabilidades y expectativas en acuerdos con terceros
así como el monitoreo y la revisión del cumplimiento y la efectividad de los acuerdos. La gestión
eficiente de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores
que no se desempeñan adecuadamente.

DS4 ASEGURAR SERVICIO CONTINUO

La necesidad de brindar continuidad a los servicios de TI requiere desarrollar, mantener y probar
los planes de continuidad de TI, almacenar copias de seguridad fuera de las instalaciones y entrenar
91
 Madurez Objetivo
Comentarios
Objetivos de Control de COBIT Evaluado Madurez
de forma habitual a cerca de los planes de continuidad. Un proceso efectivo de continuidad de
servicios minimiza la probabilidad y el impacto de una mayor interrupción de los servicios de TI,
sobre funciones y procesos clave del negocio.

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

La necesidad de mantener la integridad de la información y la protección de los activos de TI
requiere de un proceso de gestión de la seguridad. Este proceso incluye establecer y mantener de
los roles y responsabilidades de la seguridad, políticas, normas y procedimientos de TI. La
administración de la seguridad también incluye llevar a cabo monitoreo de seguridad, pruebas
periódicas y acciones correctivas de implementación para las debilidades o incidentes de seguridad
identificados.

DS8 GESTIONAR LA MESA DE SERVICIO E INCIDENTES.

Responder oportuna y efectivamente las consultas y problemas de los usuarios de TI, requiere un
buen diseño y buena ejecución de la mesa de servicio, y de un proceso de administración de
incidentes. Este proceso incluye la creación de una función de la mesa de servicio con registro,
escalamiento de incidentes, análisis de tendencias, análisis de causa, raíz y resolución. Los
beneficios del negocio incluyen incremento de la productividad gracias a la rápida resolución de
las consultas hechas por los usuarios. Además, el negocio puede identificar la causa raíz por medio
de un proceso de informes efectivos.

DS9 ADMINISTRAR LA CONFIGURACIÓN

Asegurar la integridad de configuraciones de hardware y software requiere establecer y mantener
un repositorio de configuraciones completo y efectivo. Este proceso incluye la recolección de
información de la configuración inicial, estableciendo líneas base, la verificación y aseguramiento
de la información de configuración, y la actualización del repositorio de configuraciones de
acuerdo a la necesidad.
92
 Madurez Objetivo
Comentarios
Objetivos de Control de COBIT Evaluado Madurez

DS11 ADMINISTRACIÓN DE DATOS

La administración efectiva de datos requiere identificar requerimientos de datos. El proceso de
administración de datos también incluye el establecimiento de procedimientos efectivos para
administrar la librería de medios, copias de seguridad y recuperación de datos, y la eliminación
apropiada de medios.

ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO

Establecer un programa de control interno para TI requiere un proceso de monitoreo bien definido.
Este proceso incluye el monitoreo y reporte de excepciones de control, resultados de
autoevaluación y revisiones de terceros.

ME3 ASEGURAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS

Una efectiva supervisión del cumplimiento requiere el establecimiento de un proceso de revisión
para asegurar el cumplimiento de leyes, regulaciones y requerimientos contractuales. Este proceso
incluye identificar requerimientos de cumplimiento, optimizando y evaluando la respuesta, obtener
aseguramiento de que los requerimientos han sido cumplidos y finalmente integrados al reporte de
cumplimiento de las TI con el resto del negocio.

Tabla 8 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]

93
 8.1 Evaluación De Madurez Vs. Objetivo De Madurez

Esta grafica de telaraña es un ejemplo de los resultados de la evaluación de madurez y objetivos de madurez para una empresa en específico.

DS5.1 Administración para

seguridad de TI
5
DS5.11 Intercambio de datos
DS5.2 Plan se seguridad de TI
sensitivos
4

3
DS5.3 Administración de
DS5.10 Seguridad de la Red
2 identidad

0
DS5.9 Prevención, detección y
DS5.4 Administración de
corrección de software
Cuentas de usuario
malicioso

DS5.8 Gestión de llaves DS5.5 Monitoreo, Vigilancia y

criptográficas pruebas de seguridad

Evaluación
DS5.7 Protección de la DS5.6 Definición de incidentes
tecnología de seguridad de seguridad
Objetivo

Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez 94

 9. REFERENCIAS Y BIBLIOGRAFÍA

Referencias

Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES
Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011,
de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-
evolucion-revolucion-no.1.html

Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud
Computing', CSA-Cloud Security Alliance.

Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad',
Revista Espaсola de Electrónica, 7.

Asofis (2009), 'Control interno –Informe Coso', Documento abierto al público.

Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado 22
de Febrero, 2011, de http://www.avanxo.com

Ayala, L. (2011), 'En la era de Cloud Computing', Colombia Digital. Recuperado 22 de

Febrero, 2011, de
http://www.colombiadigital.net/index.php?option=com_content&view=article&id=288:en-la-
era-del-cloud-computing&catid=75:apropiacion-tic&Itemid=274

Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recursos
e información tecnológica empresarial para CIOs.

Castellanos, W. A. (2011), 'Consideraciones de seguridad y privacidad en Cloud Computing', in

Wilmar Arturo Castellanos Morales, ed., Deloitte ToucheLTDA, Deloitte,
wcastellanos@deloitte.com, 34.

Computing, S. C. (2009), 'Infrastructure as a Service (IaaS)', SearchCloudComputing.com.

Recuperado 22 de Febrero, 2011, de
http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS

Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information and
related Technology', Information Systems Audit and Control Association, Technical report, IT
Governance Institute, Documento de Gobierno de TI.

Enisa (2008), 'Risk Manegement', Enisa. Recuperado 07 de Marzo, 2011, de

http://www.enisa.europa.eu/act/rm

95
Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado 20
de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-era-
de-desarrollo/

Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.

Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. Qué es? Para qué
sirve?', Arturogoga.

Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)', Global
Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de
http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo

Gutiérrez, J. (2010), 'Cloud Computing: una opción viable para su negocio?', in Juan Gutiérrez,
ed., , ACIS-Asociación Colombiana de Ingenieros de Sistemas.

Gutiérrez, A. (2009), 'Definición de Platform as a Service (PaaS)', Knol Beta - A unit of

knwoledge. Recuperado 18 de Febrero, 2011, de http://knol.google.com/k/qu%C3%A9-es-
paas#

Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04 de
Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-paas.html
Lenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and
related Technology', Information Systems Audit and Control Association, Technical
report, IT Governance Institute, Documento de Gobierno de TI.

Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recuperado
18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/

MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO',
MercadoTendencias.com. Recuperado 20 de Febrero, 2011, de
http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/

MesaSectorial (2010), 'CLOUD COMPUTING UNA PERSPECTIVA PARA COLOMBIA',

Documento PDF.

Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de
gestión empresarial'.

Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de
conocimiento público, info@nasaudit.com.

NetworkSec (2008), 'Implantación de Gobierno de TI(Tecnologías de la Información)',

Resumen Ejecutivo, network-sec@network-sec.com, C/ Xàtiva 4-izquierda 646002 · Valencia.

Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar
conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la
información. Recuperado 20 de Febrero, 2011, de

96
http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemid
=40
Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28 de
Febrero, 2011, de http://www.parallels.com/es/products/saas/

Piebalgs, A. (2010), 'Software as a Service', Noticias.Com. Recuperado 18 de Febrero, 2011, de

http://www.noticias.com/opinion/software-as-service-4h3.html

SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry
Association, 9.

Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Software
Development 32, 5.

Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Riesgos
Corporativos-Marco Integrado'.

Toro, C. A. O. (2009), 'CLOUD COMPUTING COMO HERRAMIENTA FACILITADORA

PARA EL EMPRENDIMIENTO EN COLOMBIA'(23rd)'Proceedings of the 3rd ACORN-
REDECOM Conference México City May', 1.

Wolff, B. (2009), 'Cloud Computing – A Five Layer Model', BlueLock, 1. Recuperado 28 de

Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-
five-layer-model--. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-
from-the-cloud/cloud-computing--a-five-layer-model--

97
 10. ANEXOS

Anexo 1. Encuestas
Anexo 2. Diagramas Requerimientos

98