gobierno en las nubes
DESCRIPTION
Gobierno en las NubesTRANSCRIPT
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 1/34
Gobierno desde las Nubes
Salomón Rico, CISA, CISM, CGEIT
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 2/34
Derecho a auditar
Privacidad
Acceso
Emergente
Identidad
FlexibilidadConfianzaAislamiento
TrazabilidadArquitecturas
Análisis forense
Web ServicesEvidencias
Localización
Conformidad legal
Confidencialidad
Web 2.0
MétricasWorkflow
Virtualización
Resolucióndisputas
Gestión de incidentes
Segregación dedatos
Recuperación
Sostenibilidad
Modelos de
madurez
Escalabilidad
Green ITVelocidad
3
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 3/34
Nº 1 de la lista de ‘10 tecnologías estratégicas’ de todos los
analistas
La mayor evolución en tecnología que puede tener un
impacto similar al del nacimiento de Internet
‘ A no ser que hayas estado bajo una roca recientemente,
habrás oído el término Cloud Computing como la próxima
revolución en tecnologías de la información’ - CFO Magazine
4
¿Qué es Cloud?
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 4/34
Un modelo de pago por uso de aplicaciones,plataformas de desarrollo y/o infraestructuras de TI
5
¿Qué es Cloud?
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 5/34
6
Definición del modelo
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 6/34
6
Característica Definición
Características esenciales
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 7/347
Modelo Definición A Considerar
Modelos de servicio
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 8/348
Modelo de despliegue
Descripción de
la infraestructura A considerar
Modelos de despliegue
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 9/349
Fuente: ISACA – IT Control Objectives for Cloud Computing : Controls and Assurance in the Cloud
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 10/34
10
Los mismos principios... diferente
contexto
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 11/34
11
Optimización en uso de infraestructura
Ahorro de costos
Escalabilidad dinámica
Ciclo de desarrollo optimizado
Reducción de tiempo de implantación
Beneficios de Cloud
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 12/34
12
Localización de los datos
Infraestructura compartida Transparencia en políticas y procedimientos de
seguridad
Pertenencia de los datos en la nube
APIs propietarias y dificultades de migración (lock-in)
Protección de la información para auditoría forense
Gestión de la identidad y acceso
Requerimientos legales
Borrado de datos de uso SaaS o PaaS
Retos de Cloud
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 13/3413
Fuente: ISACA – Global Status Report on the Governance of Enterprise IT (GEIT) - 2011
Razones para no utilizar la nube
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 14/34
14
¿Qué?¿Quién?
¿Cómo?
¿Cuándo?
¿Por qué?
Vuelta a los orígenes
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 15/34
15
Dirigido por el negocio
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 16/34
16
Dirigido por el negocio
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 17/34
17
Frameworks de gestión Cloud
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 18/34
18
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 19/34
19
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 20/34
20
• Pérdida de foco de negocio
•
La solución/servicio no aporta losresultados esperados o los requerimientos
de los usaurios; no rinde como se espera;
no se integra con el plan estratégico ni la
dirección ni arquitectura tecnológica
• Solución identificada incorrecta o no
sincronizada con el negocio
• Discrepancias contractuales y vacíos entre
el negocio y las expectativas/realidades del
proveedor
• Vacíos de control entre los procesos del
proveedor y la organización
• Seguridad y confidencialidad del sistema
comprometida
• Transacciones inválidas o incorrectas
• Costoros controles compensatorios
• Disponibilidad del sistema reducida y
cuestionable integridad de la información
• Pobre calidad del software, testing
inadecuado y elevado número de errores
• Fallos para responder de manera óptima los
incidentes con las aprobaciones necesarias
• Dedicación de recursos insuficiente
•
Responsabilidad diluida• Facturaciones equívocas
• Litigación, mediación o terminación del
acuerdo, resultando en mayores costes e
interrupción o degradación del servicio
• Incapacidad para satisfacer las necesidades
de auditoría y los requerimientos de losreguladores
• Reputación
• Fraude
Riesgos tradicionales
en Outsourcing
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 21/34
21
• Inmadurez de los proveedores de servicio
•
Confianza en Internet como el conductoprincipal para gestión de la información
puede suponer:
– Cuestiones de seguridad en un entorno
público
– Cuestiones de disponibilidad debido a corte
de suministro de Internet
• Debido a la naturaleza dinámica de CloudComputing:
– La localización del centro de proceso de
datos puede cambiar dependiendo del
balanceo de carga
– Puede estar varias geografías distintas
– Las instalaciones se pueden compartir con
competidores
– Cuestiones legales (propiedad,
responsabilidad, etc.) relativas a la
diferentes legislaciones de cada país
• Mayor magnitud de los riesgos de privacidad
• Mayores vulnerabilidades por su factor de
exposición
• Riesgo agregado por múltiples datacenters
• Mayor dependencia de terceros
• Cumplimiento normativo
• Flujo de información (PII) a través de
fronteras
• Calidad de los procesos de auditoría
• Cumplimiento contractual
Y riesgos adicionales en Cloud
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 22/34
22
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 23/34
23
Componentes de un cumplimiento deTI
UNIFICADO
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 24/34
24
Ejemplo de Objetivos de Control para
Cloud Computing
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 25/34
25
Ejemplo de programa de Aseguramiento/Auditoria
para Cloud Computing
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 26/34
26
Gobierno y Gestión Riesgo Corporativo
Legalidad y Descubrimiento Digital
Conformidad legal y Auditoría
Gestión del ciclo de vida de la información
Portabilidad e interoperabilidad
Seguridad y Gestión de la Continuidad
Operaciones del Data Center
Respuesta a incidentes, notificación y remediación
Seguridad de aplicaciones
Cifrado y Gestión de claves
Gestión de la identidad y acceso
Virtualización
Arquitectura Cloud
O p e r a n d o e n C
l o u d
G o b
er n an d o
en C l o u
d
Los dominios del cloud
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 27/34
27
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 28/34
28
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 29/34
Uniendo objetivos de negocio y de TI
29
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 30/34
Recursos disponibles
30
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 31/34
31
Formación y Certificación
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 32/34
1. ¿Cómo se gestiona la identidad y el acceso en la nube?
2. ¿Dónde estarán mis datos geográficamente ubicados?
3. ¿Cómo se gestiona la seguridad de mis datos?
4. ¿Cómo se controla el acceso de usuarios privilegiados?
5. ¿Como están protegidos mis datos frente a abusos de usuarios?
6. ¿Qué nivel de aislamiento puedo esperar?
7. ¿Cómo se protegen mis datos en entornos virtualizados?
8. ¿Cómo se protegen los sistemas de las amenazas de Internet?
9. ¿Cómo se monitorizan y se auditan las actividades?
10. ¿Qué tipo de certificación de seguridad debo solicitar?
Diez preguntas para la nube
32
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 33/34
Preguntas
7/17/2019 Gobierno en Las Nubes
http://slidepdf.com/reader/full/gobierno-en-las-nubes 34/34
G R A C I A S !!!!!!!
Salomón Rico, CISA, CISM, CGEIT