Gobierno desde las Nubes

Salomn Rico, CISA, CISM, CGEIT

srico@deloittemx.com

Confidencialidad
Segregacin de
Sostenibilidaddatos
Green
IT
Conformidad legal
Resolucin
Velocidad
disputas
Derecho a auditar
Recuperacin
Acceso
Modelos de
Virtualizacin Aislamiento
madurez
Localizacin
Confianza
Privacidad Web 2.0
Flexibilidad
Arquitecturas
Trazabilidad Emergente
Web Services
Evidencias
Workflow Anlisis forense
Gestin de incidentes
Escalabilidad

Identidad

Mtricas

Qu es Cloud?
La mayor evolucin en tecnologa que puede tener un
impacto similar al del nacimiento de Internet
N 1 de la lista de 10 tecnologas estratgicas de todos los
analistas

A no ser que hayas estado bajo una roca recientemente,

habrs odo el trmino Cloud Computing como la prxima
revolucin en tecnologas de la informacin - CFO Magazine

Qu es Cloud?
Un modelo de pago por uso de aplicaciones,
plataformas de desarrollo y/o infraestructuras de TI

Definicin del modelo

Caractersticas esenciales
Caracterstica

Definicin

Modelos de servicio
Modelo

Definicin

A Considerar

Modelos de despliegue
Modelo de despliegue

Descripcin de
la infraestructura

A considerar

Fuente: ISACA IT Control Objectives for Cloud Computing : Controls and Assurance in the Cloud

Los mismos principios... diferente

contexto

10

Beneficios de Cloud
Optimizacin en uso de infraestructura
Ahorro de costos

Escalabilidad dinmica
Ciclo de desarrollo optimizado

Reduccin de tiempo de implantacin

11

Retos de Cloud
Localizacin de los datos
Infraestructura compartida
Transparencia en polticas y procedimientos de
seguridad
Pertenencia de los datos en la nube
APIs propietarias y dificultades de migracin (lock-in)
Proteccin de la informacin para auditora forense
Gestin de la identidad y acceso
Requerimientos legales
Borrado de datos de uso SaaS o PaaS

12

Razones para no utilizar la nube

Fuente: ISACA Global Status Report on the Governance of Enterprise IT (GEIT) - 2011

13

Vuelta a los orgenes

Qu?
Quin?
Cmo?
Cundo?
Por qu?
14

Dirigido por el negocio

15

Dirigido por el negocio

16

Frameworks de gestin Cloud

17

18

19

Riesgos tradicionales en Outsourcing

Disponibilidad del sistema reducida y
cuestionable integridad de la informacin
Pobre calidad del software, testing
inadecuado y elevado nmero de errores
Fallos para responder de manera ptima los
incidentes con las aprobaciones necesarias
Dedicacin de recursos insuficiente
Responsabilidad diluida
Facturaciones equvocas
Litigacin, mediacin o terminacin del
acuerdo, resultando en mayores costes e
interrupcin o degradacin del servicio
Incapacidad para satisfacer las necesidades
de auditora y los requerimientos de los
reguladores
Reputacin
Fraude

Prdida de foco de negocio

La solucin/servicio no aporta los
resultados esperados o los requerimientos
de los usaurios; no rinde como se espera;
no se integra con el plan estratgico ni la
direccin ni arquitectura tecnolgica
Solucin identificada incorrecta o no
sincronizada con el negocio
Discrepancias contractuales y vacos entre
el negocio y las expectativas/realidades del
proveedor
Vacos de control entre los procesos del
proveedor y la organizacin
Seguridad y confidencialidad del sistema
comprometida
Transacciones invlidas o incorrectas
Costoros controles compensatorios

20

Y riesgos adicionales en Cloud

Inmadurez de los proveedores de servicio

Confianza en Internet como el conducto
principal para gestin de la informacin
puede suponer:

Mayor magnitud de los riesgos de privacidad

Mayores vulnerabilidades por su factor de
exposicin
Riesgo agregado por mltiples datacenters
Mayor dependencia de terceros
Cumplimiento normativo
Flujo de informacin (PII) a travs de
fronteras
Calidad de los procesos de auditora
Cumplimiento contractual

Cuestiones de seguridad en un entorno

pblico
Cuestiones de disponibilidad debido a corte
de suministro de Internet

Debido a la naturaleza dinmica de Cloud

Computing:

La localizacin del centro de proceso de

datos puede cambiar dependiendo del
balanceo de carga
Puede estar varias geografas distintas
Las instalaciones se pueden compartir con
competidores
Cuestiones legales (propiedad,
responsabilidad, etc.) relativas a la
diferentes legislaciones de cada pas

21

22

Componentes de un cumplimiento deTI

UNIFICADO

23

Ejemplo de Objetivos de Control para

Cloud Computing

24

Ejemplo de programa de Aseguramiento/Auditoria

para Cloud Computing

25

Los dominios del cloud

Gobierno y Gestin Riesgo Corporativo
Legalidad y Descubrimiento Digital
Conformidad legal y Auditora
Gestin del ciclo de vida de la informacin
Portabilidad e interoperabilidad

Seguridad y Gestin de la Continuidad

Operando en Cloud

Operaciones del Data Center

Respuesta a incidentes, notificacin y remediacin

Seguridad de aplicaciones
Cifrado y Gestin de claves
Gestin de la identidad y acceso
Virtualizacin

26

Gobernando en Cloud

Arquitectura Cloud

27

28

Uniendo objetivos de negocio y de TI

29

Recursos disponibles

30

Formacin y Certificacin

31

Diez preguntas para la nube

1. Cmo se gestiona la identidad y el acceso en la nube?
2. Dnde estarn mis datos geogrficamente ubicados?
3. Cmo se gestiona la seguridad de mis datos?
4. Cmo se controla el acceso de usuarios privilegiados?
5. Como estn protegidos mis datos frente a abusos de usuarios?
6. Qu nivel de aislamiento puedo esperar?
7. Cmo se protegen mis datos en entornos virtualizados?
8. Cmo se protegen los sistemas de las amenazas de Internet?
9. Cmo se monitorizan y se auditan las actividades?
10. Qu tipo de certificacin de seguridad debo solicitar?

32

Preguntas

G R A C I A S !!!!!!!
Salomn Rico, CISA, CISM, CGEIT
srico@deloittemx.com