cloud computing isacamtyv2 - information assurance clou… · riesgos en cloud computing ... amazon...
TRANSCRIPT
Cloud Computing Expositor:
Ing. José Ángel Peña Ibarra, CGEIT, CRISC
2011 12 02
Monterrey Chapter
www.isacamty.org.mx
www.isaca.org
CONFERENCIA ANUAL ISACA MONTERREY 2011CONFERENCIA ANUAL ISACA MONTERREY 2011
Preguntas sobre Cloud ComputingPreguntas sobre Cloud Computing
1. ¿Que es Cloud Computing?
2. ¿Que beneficios aporta?
3. ¿Que riesgos tiene?
4. ¿Qué metodologías y estándares de control hay?
5. ¿Qué implicaciones financieras tiene?
6. ¿Cuáles son los factores clave para implementar los servicios de Cloud Computing?
IntroducciónIntroducción
• Hipérbole de Cómputo en la Nube:
– Hay muchas exageraciones sobre sus virtudes ysus defectos.
– Muchos proveedores de TI dicen que ofrecenservicios en la nube.
• La realidad es que sí afecta o afectará a casitodas las organizaciones (e individuos) queusan recursos y servicios informáticos.
1.Qué es Cloud Computing1.Qué es Cloud Computing
• Definición del National Institute of Standards and Technology (NIST) y la Cloud Security Alliance:
– Un modelo para habilitar un conveniente accesoen red por demanda, a un “pool” compartido derecursos informáticos configurables (redes,servidores, almacenamiento, aplicaciones yservicios) que se puede conformar y proveerrápidamente, con un esfuerzo gerencial mínimo ouna interacción mínima con el proveedor deservicios.
La nube ofrece recursos de TI a usuarios:La nube ofrece recursos de TI a usuarios:
Recursos en la Nube:Redes, Servidores,
Almacenamiento,
Aplicaciones, Servicios
Modelos de servicio en Cloud ComputingModelos de servicio en Cloud Computing
Sofware as a Service:
SaaS
Platform as a Service:
PaaS
Infrastructure as a Service:
IaaS
Modelos de servicioModelos de servicio
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Modelos de implementaciónModelos de implementación
Nube privada
Nube comuni-
taria
Nube pública
Nube híbrida
Modelos de implementaciónModelos de implementación
Fuente: ISACA, IT Controles Objectives for Cloud Computing
2. Beneficios de Cloud Computing2. Beneficios de Cloud Computing
• Escalabilidad Dinámica
• Reducción del ciclo de desarrollo.
• Reducción en tiempos de implementación.
• Optimización de servidores.
• Ahorros:
– Reducción de las inversiones
– Optimización de gastos de operación.
– Cambio paradigma de CAPEX a OPEX con ahorros netos.
3. Riesgos de Cloud Computing3. Riesgos de Cloud Computing
• Los riesgos de Cloud Computing siguen siendoesencialmente riesgos de TI, y siguen siendoen última instancia responsabilidad de losclientes, no de los proveedores.
• Los riesgos de Cloud Computing varían deacuerdo al modelo de servicios (IaaS, PaaS,Saas) y al modelo de implementación de lanube (Privada, Híbrida, Pública).
Administración de riesgos de Cloud ComputingAdministración de riesgos de Cloud Computing
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Hardware
Facilities
Connectivity
Middleware Middleware
Presentation
Applications
Data
Hardware
Facilities
Connectivity
Hardware
Facilities
Connectivity
Riesgos en Cloud ComputingRiesgos en Cloud Computing
• Seguridad Física
– Ubicación de infraestructura del Proveedor de Servicios de Cloud, CSP, en lugares peligrosos.
– Se pierde control de dónde están los datos.
• Riesgos Operacionales
– Mala administración de las actualizaciones y parches de SW
– Inadecuados procedimientos de respaldo
– Inadecuado Plan de Recuperación de Desastres
– Inadecuado Plan de Continuidad del Negocio
Riesgos en Cloud ComputingRiesgos en Cloud Computing
• Abuso y mal uso de Cloud Computing
– Usuarios propios y de otros pueden saturar los servicios y colapsar la nube.
– Inadecuado control del otorgamiento de permisos crea el riesgo de mal uso de la nube.
• Internos maliciosos
– Muchos de los ataques vienen de adentro, peroahora hay que cuidar los internos del cliente y losinternos del proveedor ó proveedores.
Riesgos en Cloud ComputingRiesgos en Cloud Computing
• Vulnerabilidades en la tecnología compartida
– Muchas veces los componentes de infraestructurade IaaS no están diseñados para proveer unadecuado aislamiento entre varios clientes.
• Pérdida/fuga de datos
– En la nubes (sobre todo las públicas y las híbridas) hay un gran número de usuarios posibles a solo un nivel de seguridad de distancia.
• Robo de identidad y credenciales de acceso
– Se incrementan las posibles amenazas y se desconocen algunas vulnerabilidades.
4. Metodologías y Estándares de Control4. Metodologías y Estándares de Control
By ISACA
[email protected] Fuente: ISACA, IT Controles Objectives for Cloud Computing
Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Publicado por la
International Organization
for Standardization
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría
Publicado por la Cloud
Security Alliance, CSA
Fuente: ISACA, IT Controles Objectives for Cloud Computing
Marcos de referencia para evaluación / auditoríaMarcos de referencia para evaluación / auditoría
Publicado por ISACA
ISACA tiene diversas publicaciones sobre Cloud ISACA tiene diversas publicaciones sobre Cloud ComputingComputing
Nota: Ya se publicó el COBIT PAMNota: Ya se publicó el COBIT PAM
Basado en COBIT 4.1 y en ISO/IEC 15504.2
55. Implicaciones Financieras. Implicaciones Financieras
• Se deben identificar claramente los beneficios yexpresarlos en términos monetarios.
• Se deben identificar todos los costos, tanto actuales,como los que se adquieren con los nuevos servicios denube.
• Siempre será necesario alguna inversión inicial almigrar servicios a la nube. (en seguridad, controles,etc.)
• Seguramente pasarán varios años, antes de que losahorros acumulados igualen las inversiones
• La razón BCR (Benefit to Cost Rate) variarádependiendo del modelo de servicio y deimplementación, así como del número de serviciosmigrados.
Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Públicaen Nube Pública
BC
R
28 M USD p/4000 servers
8.5 M USD para 100 servers
Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Híbridaen Nube Híbrida
9.2 M USD P/ 4000 servers
3.7 M USD para 100 servers
Ejemplo: BCR vs. No. de servidoresEjemplo: BCR vs. No. de servidoresen Nube Privadaen Nube Privada
7.0 M USDPara 4000 servers
2.9 M USD para 100 servers
66. Factores clave para implementar CC. Factores clave para implementar CC
• Contar con un marco de gobierno de CC.
– Políticas de TI considerando Cloud Computing
– Selección del marco de control
– Plan de capacitación para el nuevo paradigma
• Identificar adecuadamente los beneficios
esperados.
– Reducciones de inversiones
– Incremento de la productividad
– Reducción de ciclos de desarrollo
– Flexibilidad
66. Factores clave para implementar CC. Factores clave para implementar CC
• Identificar las soluciones que necesita la
organización para lograr sus objetivos.
– Soluciones de Infraestructura
– Soluciones de plataforma
– Soluciones de aplicaciones
– Mezcla de soluciones
• Identificar y evaluar los riesgos asociados a
las soluciones.
– Establecer prioridades
– Definir respuesta al riesgo
66. Factores clave para implementar CC. Factores clave para implementar CC
• Seleccionar los proveedores idóneos y
establecer los contratos y SLAs
adecuadamente.
– Las fronteras de competencia de los proveedoresde servicios de Cloud Computing desaparecen,dando lugar a proveedores globales.
– Los acuerdos de niveles de servicio sonprioritarios
– Los proveedores deberán poder ser auditados porel cliente o por un tercero.
Algunos proveedoresAlgunos proveedores
Amazon Web Services IBM Cloud
Rackspace
Google App Engine
66. Factores clave para implementar CC. Factores clave para implementar CC
• Definir los KPIs de Cloud Computing.
Tiempo
Costos Calidad
Margen
• Optimización del
tiempo de ejecución
• % de disponibilidad
• Optimización del
costo de capacidad
• Reducción de costos
de energía.
• Incremento de ingresos
•Mejora de utilidades
• Porcentaje de errores
•Cumplimiento de SLAs
66. Factores clave para implementar CC. Factores clave para implementar CC
• Hacer un adecuado plan de migración.
– Entre más se tarde la implementación, mayoresserán los paralelos y menores los ahorros.
– Identificar secuencia de migración.
– Definir responsabilidades.
• Contar con la participación activa deAuditoría Interna.
– Revisar avance de planes de implantación
– Evaluar logro de beneficios
– Evaluar cumplimiento de control interno
– Revisar alineamiento con el negocio.
CONCLUSIONESCONCLUSIONES
• La nube está aquí y llegó para quedarse eltiempo suficiente como para ser tomada muyen cuenta por las organizaciones
• Los beneficios económicos pueden ser muyinteresantes para las empresas que definan eimplementen una adecuada estrategia deservicios en la nube.
• Si las organizaciones no se suben a la nube,sus empleados sí.
Muchas gracias
Ing. José Ángel Peña Ibarra, CGEIT, CRISC
2011 11 09
Monterrey Chapter