Resumen La globalizacin y las recientes presiones econmicas han incrementado los requerimientos relacionados con la disponibilidad, escalabilidad y eficiencia de las soluciones de tecnologa de la informacin (TI) de las empresas. Un gran nmero de lderes de negocios ha aumentado su inters en los costos y en la tecnologa subyacente utilizada para proporcionar dichas soluciones, debido al creciente impacto de stas en los resultados finales. Muchos aseguran que la computacin en la nube puede ayudar a que las empresas satisfagan los altos requerimientos de bajo costo total de propiedad (TCO), alto retorno de la inversin (ROI), mayor eficiencia, aprovisionamiento dinmico y servicios de pago acorde con el uso similares a los de las compaas de servicios pblicos. Sin embargo, muchos profesionales de TI afirman que los riesgos elevados asociados a confiar activos de informacin a la nube deben entenderse claramente y ser manejados por las partes relevantes interesadas. Este documento define la computacin en la nube, identifica los servicios ofrecidos en la nube y tambin examina potenciales beneficios de negocio, riesgos y consideraciones relacionadas con el aseguramiento.
Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento CGEIT es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en pases en todo elmundo.
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Impactos de la computacin en la nube
Mientras los CxO buscan maneras de satisfacer las cada vez mayores demandas de TI, muchos examinan de cerca la computacin en la nube como una opcin real para sus necesidades empresariales. Podra decirse que la promesa de una computacin en la nube est revolucionando el mundo de servicios de TI al transformar la computacin en una unidad ubicua, al sacar provecho de atributos tales como mayor agilidad, elasticidad, capacidad de almacenamiento y redundancia para gerenciar activos de informacin. La influencia continua y el uso innovador de Internet ha permitido quela computacin en la nube utilice la infraestructura existente y la transforme en servicios que podran proporcionar alasempresas tanto ahorros significativos en costos como aumento en la eficiencia. Las empresas estn descubriendo que hay unpotencial en aprovechar esta innovacin para prestar un mejor servicio a los clientes y obtener ventajas de negocio. Al ofrecer a las empresas la oportunidad de separar sus necesidades de TI y su infraestructura, la computacin en la nube tiene la probabilidad de brindar a estas empresas ahorros en TI a largo plazo, incluyendo reduccin de costos de infraestructura y modelos de pago por servicio. Mover servicios de TI a la nube permite a las empresas aprovechar el uso de servicios en un modelo por demanda. Se requiere un menor gasto inicial de capital, lo que permite mayor flexibilidad a los negocios con nuevos servicios de TI. Por todas estas razones, es fcil ver por qu la computacin en la nube es una atractiva oferta de servicio potencial para cualquier oferta que busca mejorar sus recursos de TI al tiempo que controla los costos. Sin embargo, hay que tener en cuenta que junto con los beneficios vienen riesgos y preocupaciones de seguridad que debe considerarse. A medida que se contratan servicios de TI fuera de la empresa, existe un riesgo agregado de mayor dependencia de un tercero que proporcione servicios de TI flexibles, disponibles, resilientes y eficientes. Aunque muchas empresas estn acostumbradas a gerenciar este tipo de riesgos internamente, se requieren cambios para expandir los enfoques y las estructuras de gobierno (governance) a fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los procesos de negocio. Al igual que ocurre con cualquier tecnologa emergente, la computacin en la nube ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contencin de costos y caractersticas como agilidad y velocidad de suministro. Sin embargo, como una nueva iniciativa, tambin puede traer consigo un posible riesgo alto. La computacin en la nube introduce un nivel de abstraccin entre la infraestructura fsica y el propietario de la informacin que se almacena y se procesa. Tradicionalmente, el propietario de los datos ha tenido control directo o indirecto del entorno fsico que afecta sus datos. En la nube, ste ya no es el caso. Debido a esta abstraccin, ya existe una demanda ampliamente generalizada de mayor transparencia y un enfoque de seguridad robusto del ambiente de seguridad y control del proveedor de computacin en la nube.
Podra decirse que la promesa de una computacin en la nube est revolucionando el mundo de servicios de TI al transformar la computacin en una unidad ubicua.
Una vez que se ha determinado que los servicios en la nube son una solucin plausible para una empresa, es importante identificar los objetivos y riesgos de negocio que acompaan a la nube. Esto ayudar a las empresas a determinar qu tipo de datos de la nube son confiables, as como cules servicios podran ofrecer el mayor beneficio.
Qu es computacin en la nube?
Uno de los asuntos ms confusos que rodean la nube y sus servicios relacionados es la falta de consenso en las definiciones. Tal como ocurre con todas las tecnologas emergentes, la falta de claridad y acuerdo suele dificultar la evaluacin general y adopcin de esa tecnologa. Dos grupos que han ofrecido una lnea base (baseline) de definiciones
4
2009 ISACA. T
o d o s l o s d e r e c h o s r e s e r v a d o s
Disponibilidad Confidencialidad La privacidad y la responsabilidad legal en caso de una violacin de la seguridad (ya que las bases de datos que contienen informacin sensitiva ahora estarn hospedadas fuera del sitio) Propiedad de los datos Preocupaciones acerca del e-discovery
Capacidad para utilizar las aplicaciones Quin es el dueo de las aplicaciones? del proveedor que se ejecutan en la Dnde residen las aplicaciones? infraestructura de la nube. Se puede acceder a las aplicaciones desde diferentes dispositivos cliente a travs de una interfaz de cliente ligero (thin client), como un explorador web (por ejemplo, correo electrnico basado en la web).
Figura 2Modelos de implementacin de la computacin en la nube (Cont.) Modelo de implementacin Nube privada Descripcin de la infraestructura de la nube Operada nicamente para una organizacin Puede ser manejada por la organizacin o un tercero Puede existir dentro o fuera de las instalaciones Lo que se debe considerar Servicios en la nube con riesgo mnimo Es posible que no proporcione la escalabilidad y agilidad de los servicios dela nube pblica
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Nube pblica
Igual que la nube comunitaria, pero adicionalmente: Los datos pueden estar almacenados en ubicaciones desconocidas y pudieran no ser fciles de recuperar.
Nube hbrida
Una composicin de dos o ms nubes El riesgo agregado de combinar dos (privada, comunitaria o pblica) que continan modelos de implementacin diferentes siendo entidades nicas, pero que estn La clasificacin y el etiquetado de datos unidas mediante tecnologa estandarizada ayudar al gerente de seguridad a o propietaria que permite la portabilidad de garantizar que los datos se asignen datos y aplicaciones (por ejemplo, ampliacin al tipo de nube correcto. de la nube [cloud bursting] para equilibrar la carga entre las nubes.) Figura 3Caractersticas fundamentales de la computacin en la nube Caracterstica Definicin El proveedor de la nube debe poder suministrar capacidades de computacin, tales como el almacenamiento en servidores y redes, segn sea necesario sin requerir interaccin humana con cada proveedor de servicios. De acuerdo con el NIST, debe ser posible acceder a la red en la nube desde cualquier lugar y por medio de cualquier dispositivo (por ejemplo, telfono inteligente, laptop, dispositivos mviles, PDA). Los recursos informticos del proveedor se agrupan para prestar servicios a diversos clientes utilizando un modelo de mltiples usuarios, con diferentes recursos fsicos y virtuales asignados y reasignados de manera dinmica segn la demanda. Existe un sentido de independencia geogrfica. Generalmente, el cliente no tiene control o conocimiento de la ubicacin exacta de los recursos proporcionados. Sin embargo, puede ser capaz de especificar una ubicacin en un nivel de abstraccin mayor (por ejemplo, pas, regin o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria, ancho de banda de la red y mquinas virtuales. Las capacidades se pueden suministrar de manera rpida y elstica, en muchos casos automticamente, para una rpida expansin y liberar rpidamente para una rpida contraccin. Para el cliente, las capacidades disponibles para suministro, con frecuencia, parecen ser ilimitadas, adems, se puede adquirir cualquier cantidad de capacidades en cualquier momento. Los sistemas en la nube controlan y optimizan el uso de recursos de manera automtica utilizando una capacidad de medicin (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar y notificar, lo que proporciona transparencia tanto para el proveedor como para el cliente que utiliza el servicio.
Autoservicio a solicitud
Elasticidad rpida
Servicio medido
Como se puede observar en las caractersticas que contiene la figura 3, existen diferentes enfoques y dificultades en relacin con la computacin en la nube. Los beneficios para la empresa, as como los riesgos, variarn dependiendo delos tipos de modelo de servicio e implementacin seleccionados.
6
2009 ISACA. T
o d o s l o s d e r e c h o s r e s e r v a d o s
Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Los beneficios de negocio de la computacin en la nube
Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computacin en la nube, quizs la mejor oportunidad que sta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el nmero de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habran sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad denegocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atenderlas altas demandas de negocio relacionadas con el desempeo se puede lograr fcilmente a travs de la computacin en la nubelo que se traduce en un respaldo ms confiable, clientesms satisfechos, aumento de la escalabilidad y mrgenes ms elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: Contencin de costosLa nube ofrece a las empresas la opcin de escalabilidad sin los serios compromisos financieros que requieren la adquisicin y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mnimos e incluso inexistentes. Los servicios y el almacenamiento estn disponibles a solicitud y el precio depende del uso. Adems, el modelo de la nube puede ayudar a ahorrar costos en trminos de consumir recursos. Ahorrarespacio no utilizado en servidores permite a las empresas contener costos en trminos de requerimientos tecnolgicos existentes y experimentar con nuevas tecnologas y servicios sin tener que hacer una gran inversin. Lasempresas tendrn que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos deTCO para entender si los servicios en la nube ofrecern ahorros potenciales. InmediatezMuchas de las primeras personas en adoptar la tecnologa de computacin en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo da. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reduccin de costos asociados con demoras de tiempo. DisponibilidadLos proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar queno se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. EscalabilidadLa capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para lasnecesidades cambiantes de TI. El suministro y la implementacin se realizan a solicitud, lo que permite controlar eltrfico y reducir el tiempo necesario para implementar nuevos servicios. EficienciaReasignar actividades operacionales de gestin de la informacin a la nube al tercerizar ofrece a los negocios una oportunidad nica de dirigir esfuerzos hacia la innovacin, la parte de la gestin investigacin y el desarrollo. Esto permite un crecimiento del negocio y los productos y pudiera incluso ser ms til que las ventajas financieras que ofrece la nube. de informacin y ResilienciaLos proveedores de la nube poseen soluciones duplicadas que se pueden las operaciones de utilizar en un escenario de desastre y para balancear cargas de trfico. Si llegara a ocurrir TI, los trabajadores un desastre natural que requiera un sitio en otra rea geogrfica o simplemente trfico pesado, los proveedores de la nube tendrn la resiliencia y capacidad para asegurar de una empresa se lasostenibilidad durante un evento inesperado. El principio de la nube es que al tercerizar parte de la gestin y las operaciones de TI, los empleados de las empresas tendrn la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma ms inteligente, rpida y econmica. Asumiendo que ste sea el caso, es posible que se requiera efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las oportunidades que ofrecen los servicios en la nube.
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Riesgos y preocupaciones de seguridad relacionados con la computacin en la nube
Muchos de los riesgos frecuentemente asociados a la computacin en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificacin de las actividades de gestin de riesgos ser crucial para asegurar que la informacin est tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la informacin deban ajustar las polticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio. Debido al ambiente dinmico de los negocios y a la atencin puesta sobre la globalizacin, es muy reducido el nmero de empresas que no terceriza una parte determinada de su negocio. Establecer una relacin con un tercero significa que el negocio no slo utiliza los servicios y la tecnologa del proveedor de la nube, sino que tambin debe lidiar con la manera como el proveedor dirige su organizacin, la arquitectura de la que ste dispone, as como con la cultura y las polticas de la organizacin del proveedor. Algunos ejemplos de los riesgos que plantea la computacin en la nube para la empresa son: Las empresas deben ser especficas al seleccionar un proveedor. La reputacin, los antecedentes y la sostenibilidad sonfactores que se deben tomar en consideracin. Lasostenibilidad es particularmente importante para garantizar quelos servicios estarndisponibles y que los datos se podrn rastrear. Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la informacin, lo cual constituye unaparte crtica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no slola confidencialidad, sino tambin la disponibilidad, lo que afecta enormemente las operaciones del negocio. La naturaleza dinmica de la computacin en la nube podra resultar confusa en cuanto a dnde reside la informacin realmente. Cuando se requiere la recuperacin de la informacin, es posible que haya demoras. El acceso por parte de terceros a informacin sensitiva crea el riesgo de comprometer la confidencialidad de la informacin. En la computacin en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar laproteccin de la propiedad intelectual (IP) y los secretos comerciales. Las nubes pblicas permiten desarrollar sistemas de alta disponibilidad en niveles de servicio que, con frecuencia, son imposibles de crear en redes privadas, a no ser a un costo extremadamente alto. El aspecto negativo de esta disponibilidad es que es posible mezclar los activos de informacin con los de otros clientes de la nube, incluso de competidores. Cumplir con las regulaciones y leyes de diferentes regiones geogrficas puede ser desafiante para las empresas. En estos momentos, es muy limitado el precedente relacionado con la confiabilidad en la nube. Es necesario obtener asesora legal apropiada para asegurar que el contrato especifique las reas donde el proveedor de la red es responsable legal y financieramente por las ramificaciones resultantes de problemas potenciales. Debido a la naturaleza dinmica de la nube, es posible que la informacin no se localice inmediatamente si ocurriera un desastre. Los planes de continuidad del negocio y de recuperacin en caso de desastre deben estar bien documentados y probados. El proveedor de la nube debe entender la funcin que desempea en trminos de copias de respaldo, respuesta yrecuperacin en caso de desastre. Los tiempos objetivos de recuperacin deben estar especificados en el contrato.
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
En un ambiente donde la privacidad se ha vuelto crucial para los clientes empresariales, el acceso no autorizado a informacin en la nube es una gran preocupacin.
Si an no forma parte de los procesos de gobierno o ciclo de vida del desarrollo de sistemas del negocio, la transicin a la computacin en la nube esencialmente requiere que se incluya un oficial o director de seguridad de la informacin de la compaa en todos los nuevos procesos de gobierno y ciclo de vida del desarrollo de sistemas.
Como con todos los cambios de la organizacin, se espera que sea necesario realizar algunos ajustes a la manera en que se manejan los procesos de negocio. Los procesos de negocio, tales como el procesamiento de datos, el desarrollo y la recuperacin de informacin, son ejemplos de posibles reas de cambio. Adicionalmente, ser necesario revisar los procesos que detallan la manera cmo se almacena, archiva y respalda la informacin. La nube presenta muchas situaciones nicas que deben resolver los negocios. Un gran problema de gobierno es que el personal de la unidad de negocios, que antes deba pasar por TI, ahora puede pasar por alto TI y recibir servicios directamente desde la nube. Por lo tanto, es sumamente importante que las polticas de seguridad de la informacin aborden los usos de los servicios en la nube.
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Consideraciones sobre el aseguramiento en relacin con la computacin en la nube
Ante el cambio de paradigma y la naturaleza de los servicios que se proporcionan a travs de la computacin en la nube, son muchos los retos que enfrentan los proveedores de aseguramiento. Qu se puede hacer para mejorar la capacidad del profesional de aseguramiento para inspirar confianza en los servicios de software y la infraestructura que conforman la nube entre los usuarios directos e indirectos de la computacin en la nube? Algunos de los problemas clave de aseguramiento que se deben resolver son los siguientes: TransparenciaLos proveedores de servicios deben demostrar la existencia de controles de seguridad efectivos y robustos, para asegurar a los clientes que su informacin est protegida adecuadamente contra acceso no autorizado, cambio o destruccin. Las preguntas clave que se deben responder son: Cunta transparencia es suficiente? Qu debe ser transparente? Ayudar la transparencia a los malhechores? Entre las reas clave en las que es importante la transparencia del proveedor estn: Cules empleados (del proveedor) tienen acceso a la informacin de los clientes? Se mantiene la segregacin de funciones entre los empleados del proveedor? Cmo se segrega la informacin de diferentes clientes? Cules controles se han implementado para prevenir, detectar y reaccionar ante violaciones de la transparencia? PrivacidadCon la creciente preocupacin en el todo el mundo por los asuntos relacionados con la privacidad, seresencial que los proveedores de servicios de computacin en la nube garanticen a los clientes actuales y probables que se estn aplicando controles de privacidad y demuestren su capacidad para prevenir, detectar y reaccionar ante las violaciones de privacidad de manera oportuna. Se deben acordar e implementar lneas de comunicacin tanto de informacin como de notificacin antes de que comience la prestacin de los servicios. Estos canales de comunicacin se deben probar peridicamente durante las operaciones. CumplimientoLa mayora de las organizaciones de hoy deben cumplir con una lista interminable de leyes, regulaciones y estndares. En lo que respecta a la computacin La computacin en en la nube, existe la preocupacin de que los datos puedan no estar almacenados en un solo lugar y puedan no ser fciles de recuperar. Es fundamental asegurar que si los la nube representa datos son solicitados por las autoridades, se pueden proporcionar sin poner en peligro una oportunidad otras informaciones. Las auditoras realizadas por las propias autoridades legales, de excepcional de estandarizacin y reguladoras demuestran que puede haber muchas extralimitaciones en tales confiscaciones. Cuando se utilizan servicios en la nube, no existe garanta de que una actualizar la empresa podr obtener su informacin cuando la necesite, y algunos proveedores incluso seguridad y los se estn reservando el derecho a limitar la informacin que proporcionan a las autoridades. controles de TI para Flujo de informacin transfronterizoCuando la informacin se puede almacenar en cualquier lugar de la nube, la ubicacin fsica de la informacin puede convertirse un mejor futuro. en un problema. La ubicacin fsica determina la jurisdiccin y la obligacin legal. Lasleyes nacionales que rigen la informacin personal identificable (PII) pueden variar considerablemente. Lo que est permitido en un pas puede considerarse una violacin en otro. CertificacinLos proveedores de servicios de computacin en la nube tendrn que asegurarle a sus clientes que estn haciendo las cosas de una forma adecuada y correcta. El aseguramiento independiente que proporcionan las auditoras de terceros y/o los informes de auditores de servicios deben ser una parte vital de cualquier programa de aseguramiento. El uso de estndares y marcos ayudarn a que los negocios se sientan ms seguros con respecto a los controles internos y la seguridad del proveedor de computacin en la nube. Al momento de la redaccin, no existen estndares disponibles pblicamente que se apliquen de manera especfica al paradigma de computacin en la nube. Sin embargo, se deben consultar los estndares existentes para abordar las reas relevantes y los negocios deberan intentar ajustar sus marcos decontrol actuales. La computacin en nube representa una singular oportunidad para redisear la seguridad y los controles de TI para un mejor maana. Muchos negocios no dudarn en aprovechar esta oportunidad para mejorar tanto laeficiencia como la seguridad integrada de su portafolio de TI.
10
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Computacin en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento Conclusin
Si bien la computacin en la nube sin dudas est destinada a proveer muchos beneficios, los profesionales de aseguramiento y seguridad de la informacin deberan realizar anlisis de impacto al negocio y evaluaciones de riesgos para informar a los lderes del negocio de los posibles riesgos para su empresa. Las actividades de gestin de riesgos se deben gerenciar a travs del ciclo de vida de la informacin y los riesgos se deben volver a evaluar regularmente o en caso de que ocurra un cambio. Las empresas que hayan estado considerando el uso de la nube en su ambiente deberan determinar cules ahorros de costos les puede ofrecer la nube y cules son los riesgos adicionales en los que se incurre. Una vez identificados los posibles ahorros de costos y los riesgos, las empresas entendern mejor cmo pueden aprovechar los servicios en la nube. El negocio debe trabajar con los profesionales de asuntos legales, de seguridad y de aseguramiento para garantizar que se alcancen los niveles apropiados de seguridad y privacidad. La nube representa un gran cambio en la forma en que se utilizarn los recursos de computacin y, como tal, ser una iniciativa de gobierno importante dentro delasorganizaciones que la adopten, requiriendo la participacin de un amplio conjunto de partes interesadas. Recursos adicionales relacionados con la computacin en nube: www.isaca.org/cloudcomputingresources
2009 ISACA. T
o d o s
l o s
d e r e c h o s
r e s e r v a d o s
11