gobierno en las nubes

7/17/2019 Gobierno en Las Nubes

http://slidepdf.com/reader/full/gobierno-en-las-nubes 1/34

Gobierno desde las Nubes

Salomón Rico, CISA, CISM, CGEIT

srico@deloittemx.com

Derecho a auditar

Privacidad

Acceso

Emergente

Identidad

FlexibilidadConfianzaAislamiento

TrazabilidadArquitecturas

Análisis forense

Web ServicesEvidencias

Localización

Conformidad legal

Confidencialidad

Web 2.0

MétricasWorkflow

Virtualización

Resolucióndisputas

Gestión de incidentes

Segregación dedatos

Recuperación

Sostenibilidad

Modelos de

madurez

Escalabilidad

Green ITVelocidad

Nº 1 de la lista de ‘10 tecnologías estratégicas’ de todos los

analistas

La mayor evolución en tecnología que puede tener un

impacto similar al del nacimiento de Internet

‘ A no ser que hayas estado bajo una roca recientemente,

habrás oído el término Cloud Computing como la próxima

revolución en tecnologías de la información’ - CFO Magazine

¿Qué es Cloud?

Un modelo de pago por uso de aplicaciones,plataformas de desarrollo y/o infraestructuras de TI

¿Qué es Cloud?

Definición del modelo

Característica Definición

Características esenciales

Modelo Definición A Considerar

Modelos de servicio

Modelo de despliegue

Descripción de

la infraestructura A considerar

Modelos de despliegue

Fuente: ISACA – IT Control Objectives for Cloud Computing : Controls and Assurance in the Cloud

Los mismos principios... diferente

contexto

Optimización en uso de infraestructura

Ahorro de costos

Escalabilidad dinámica

Ciclo de desarrollo optimizado

Reducción de tiempo de implantación

Beneficios de Cloud

Localización de los datos

Infraestructura compartida Transparencia en políticas y procedimientos de

seguridad

Pertenencia de los datos en la nube

APIs propietarias y dificultades de migración (lock-in)

Protección de la información para auditoría forense

Gestión de la identidad y acceso

Requerimientos legales

Borrado de datos de uso SaaS o PaaS

Retos de Cloud

Fuente: ISACA – Global Status Report on the Governance of Enterprise IT (GEIT) - 2011

Razones para no utilizar la nube

¿Qué?¿Quién?

¿Cómo?

¿Cuándo?

¿Por qué?

Vuelta a los orígenes

Dirigido por el negocio

Frameworks de gestión Cloud

• Pérdida de foco de negocio

La solución/servicio no aporta losresultados esperados o los requerimientos

de los usaurios; no rinde como se espera;

no se integra con el plan estratégico ni la

dirección ni arquitectura tecnológica

• Solución identificada incorrecta o no

sincronizada con el negocio

• Discrepancias contractuales y vacíos entre

el negocio y las expectativas/realidades del

proveedor

• Vacíos de control entre los procesos del

proveedor y la organización

• Seguridad y confidencialidad del sistema

comprometida

• Transacciones inválidas o incorrectas

• Costoros controles compensatorios

• Disponibilidad del sistema reducida y

cuestionable integridad de la información

• Pobre calidad del software, testing

inadecuado y elevado número de errores

• Fallos para responder de manera óptima los

incidentes con las aprobaciones necesarias

• Dedicación de recursos insuficiente

Responsabilidad diluida• Facturaciones equívocas

• Litigación, mediación o terminación del

acuerdo, resultando en mayores costes e

interrupción o degradación del servicio

• Incapacidad para satisfacer las necesidades

de auditoría y los requerimientos de losreguladores

• Reputación

• Fraude

Riesgos tradicionales

en Outsourcing

• Inmadurez de los proveedores de servicio

Confianza en Internet como el conductoprincipal para gestión de la información

puede suponer:

– Cuestiones de seguridad en un entorno

público

– Cuestiones de disponibilidad debido a corte

de suministro de Internet

• Debido a la naturaleza dinámica de CloudComputing:

– La localización del centro de proceso de

datos puede cambiar dependiendo del

balanceo de carga

– Puede estar varias geografías distintas

– Las instalaciones se pueden compartir con

competidores

– Cuestiones legales (propiedad,

responsabilidad, etc.) relativas a la

diferentes legislaciones de cada país

• Mayor magnitud de los riesgos de privacidad

• Mayores vulnerabilidades por su factor de

exposición

• Riesgo agregado por múltiples datacenters

• Mayor dependencia de terceros

• Cumplimiento normativo

• Flujo de información (PII) a través de

fronteras

• Calidad de los procesos de auditoría

• Cumplimiento contractual

Y riesgos adicionales en Cloud

Componentes de un cumplimiento deTI

UNIFICADO

Ejemplo de Objetivos de Control para

Cloud Computing

Ejemplo de programa de Aseguramiento/Auditoria

para Cloud Computing

Gobierno y Gestión Riesgo Corporativo

Legalidad y Descubrimiento Digital

Conformidad legal y Auditoría

Gestión del ciclo de vida de la información

Portabilidad e interoperabilidad

Seguridad y Gestión de la Continuidad

Operaciones del Data Center

Respuesta a incidentes, notificación y remediación

Seguridad de aplicaciones

Cifrado y Gestión de claves

Gestión de la identidad y acceso

Virtualización

Arquitectura Cloud

O p e r a n d o e n C

l o u d

er n an d o

en C l o u

Los dominios del cloud

Uniendo objetivos de negocio y de TI

Recursos disponibles

Formación y Certificación

1. ¿Cómo se gestiona la identidad y el acceso en la nube?

2. ¿Dónde estarán mis datos geográficamente ubicados?

3. ¿Cómo se gestiona la seguridad de mis datos?

4. ¿Cómo se controla el acceso de usuarios privilegiados?

5. ¿Como están protegidos mis datos frente a abusos de usuarios?

6. ¿Qué nivel de aislamiento puedo esperar?

7. ¿Cómo se protegen mis datos en entornos virtualizados?

8. ¿Cómo se protegen los sistemas de las amenazas de Internet?

9. ¿Cómo se monitorizan y se auditan las actividades?

10. ¿Qué tipo de certificación de seguridad debo solicitar?

Diez preguntas para la nube

Preguntas

G R A C I A S !!!!!!!

Salomón Rico, CISA, CISM, CGEIT

srico@deloittemx.com

gobierno en las nubes

Documents

may 4th spanish 1...las nubes en el cielo se pusieron grises...

tipos de nubes 2

together we can ‘make education...

2013-0318 02 etf las cortes y el gobierno

la fabrica de nubes

el estudio de las instituciones del gobierno colonial. una

aracterÍsticasdela democracia ontemporÁnea … ·...

gobierno y política local en méxico: luces ysombras de las...

la evolución del impacto de las tic como soporte del...

el gobierno corporativo en las empresas …€¦ · web...

alicia servetto - 73 76 el gobierno peronista contra las...

apendice nubes y fenomenos

gloriamartinez109d.files.wordpress.com · web viewescribe...

un paseo por las nubes con windows azure. state of the art...

los códigos de buen gobierno corporativo en las entidades

cielos con nubes

c2i = classification des nuages - of clouds - de las nubes -...

días de nieve...la nieve viene de las nubes. las nubes...

start clearly continue progressively complete...

component of essi european general aviation safety team...