1

GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD

COMPUTING PARA PYMES

AUTOR

PABLO ANDRÉS HIDALGO LARA

DIRECCIÓN

FREDDY ALEXANDER VARGAS BLANCO

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

DEPARTAMENTO DE INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

2011

2

Contenido 1. OBJETIVO Y ALCANCE ..................................................................................................... 6

1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES revisara:6

1.2 Alcance ...................................................................................................................... 6

La revisión se enfoca en: ....................................................................................................... 6

2. INTRODUCCIÓN .................................................................................................................... 7 2.1 Propósito ................................................................................................................... 7

2.2 Marco de Control ...................................................................................................... 7

2.3 Gobierno, Riesgo y Control de TI .............................................................................. 7

2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI ............ 7

3. CONCEPTOS GENERALES .................................................................................................... 9 3.1 Fundamentos .................................................................................................................. 9

3.2 Impactos de cloud computing ....................................................................................... 19

3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing .................................. 20

3.4 COSO ............................................................................................................................. 22

3.5 COBIT ............................................................................................................................. 28

4. CARACTERIZACIÓN DE EMPRESAS ............................................................................ 31 5. ESTABLECER REQUERIMIENTOS ................................................................................ 31

5.1 Escenario ................................................................................................................. 32

5.2 Actores .................................................................................................................... 33

5.2.1 Actor Proveedor .................................................................................................. 33

5.2.2 Actor Cliente ....................................................................................................... 33

5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud Computing 33

5.2.4 Responsabilidades de los Actores ....................................................................... 34

5.3 Encuesta .................................................................................................................. 35

5.4 Resultados ............................................................................................................... 36

5.5 Requerimientos ....................................................................................................... 36

6. COMO USAR ESTE DOCUMENTO ................................................................................. 40 6.1 Pasos del Programa de trabajo ............................................................................... 40

6.2 Objetivo de Control de COBIT ................................................................................. 41

6.3 Componentes de COSO ........................................................................................... 41

6.4 Referencias Cruzadas .............................................................................................. 44

6.5 Comentarios ............................................................................................................ 44

6.6 Habilidades Mínimas en Control y Aseguramiento ................................................ 44

3

6.7 Análisis Control de Madurez – COBIT ..................................................................... 44

6.8 Marco De Control y Aseguramiento ....................................................................... 47

7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD

COMPUTING PARA PYMES .................................................................................................... 49 1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO .......... 49

2. GOBIERNO EN CLOUD COMPUTING ........................................................................... 52

3. OPERACIÓN EN CLOUD COMPUTING.......................................................................... 75

8. EVALUACIÓN DE MADUREZ ........................................................................................ 91 8.1 Evaluación De Madurez Vs. Objetivo De Madurez ................................................. 94

9. REFERENCIAS Y BIBLIOGRAFÍA .................................................................................. 95 Referencias .......................................................................................................................... 95

10. ANEXOS ......................................................................................................................... 98 Anexo 1. Encuestas ............................................................................................................. 98

Anexo 2. Diagramas Requerimientos .................................................................................. 98

4

LISTA DE TABLAS

Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM .................... 28

Tabla 2 - División de responsabilidades SaaS [Enisa, 2008] ........................................................ 34

Tabla 3 -División de responsabilidades PaaS [Enisa, 2008] ........................................................ 35

Tabla 4 - División de responsabilidades IaaS [Enisa, 2008] ......................................................... 35

Tabla 13 – Requerimientos ......................................................................................................... 38

Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM .................. 43

Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]....................................... 47

Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007] ...................... 93

5

LISTA DE ILUSTRACIONES

Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] ................................................. 11

Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] ........................................................... 12

Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] ...................................................... 13

Ilustración 4 - ¿Que es PaaS? [Keene, 2009]............................................................................... 13

Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] ............................. 16

Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] .............................. 17

Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]

.................................................................................................................................................... 23

Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] ................................. 30

Ilustración 9 - Diagrama Requerimientos ................................................................................... 38

Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento ..................... 39

Ilustración 11 - Gobierno de Cloud Computing .......................................................................... 39

Ilustración 12 - Operación de Cloud Computing ......................................................................... 40

Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez ............................ 94

6

1. OBJETIVO Y ALCANCE

1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES

revisara:

Proporcionar a los interesados una evaluación eficiente de los controles

internos de Cloud Computing por parte del proveedor de servicios y la

seguridad para sus empresas.

Identificar las deficiencias de control interno en la empresa Pyme del cliente y

su relación con la del proveedor de servicios.

Proporcionar a los interesados una evaluación de calidad, con la capacidad de

brindar confianza en las certificaciones con las que el proveedor de servicios

cuenta en materia de controles internos. (ITIL, COBIT, Norma 27001,etc.)

La guía metodológica de control y aseguramiento de Cloud Computing no está

diseñada para reemplazar o enfocar el control que se centra en el aseguramiento de una

aplicación en específico y excluye la garantía de funcionalidad de una aplicación e

idoneidad.

1.2 Alcance

La revisión se enfoca en:

El impacto del gobierno en Cloud Computing

El cumplimiento contractual entre el proveedor del servicios y el cliente

Control de problemas específicos en Cloud Computing.

Dado que los temas de la revisión se basan en gran medida en la eficacia de los

controles generales de TI, es recomendable que estos estudios de control y

aseguramiento en las siguientes áreas, sean realizados antes de la ejecución de la

revisión de Cloud Computing, para ser empleadas de forma correcta en estas

evaluaciones:

Gestión de Identidad (Si el sistema de gestión organizacional está integrado con

el sistema de Cloud Computing)

Gestión de incidentes de seguridad (Para interactuar y gestionar con los

incidentes en Cloud Computing)

Seguridad de red perimetral (como un punto de acceso a Internet)

Desarrollo de Sistemas (en el cual la nube es parte de la infraestructura de las

aplicaciones)

Gestión de Proyectos

Gestión de Riesgos de TI

Gestión de datos (para transmisión y almacenamiento de datos en los sistemas

de Cloud Computing)

Gestión de vulnerabilidades

7

2. INTRODUCCIÓN

2.1 Propósito

La guía metodológica de control y aseguramiento en Cloud Computing para pymes, es una

herramienta para ser usada como una hoja de ruta para la realización de un proceso de

aseguramiento especifico. Esta guía está destinada para ser utilizada por profesionales de

tecnología de información, control y aseguramiento de TI que cuenten con los conocimientos

necesarios de la materia objeto de examen.

2.2 Marco de Control

Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT,

más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y

aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y

aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias

para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud

Computing en pequeñas y medianas empresas también conocidas como Pymes

[Hidalgo/Caracterización de las empresa Cloud Computing, 2011].

Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el

Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de

Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos

regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and

Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes

similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido

incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso

de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco

de control y las necesidades de la empresa en la que se encuentre.

2.3 Gobierno, Riesgo y Control de TI

Gobierno, riesgo y control de TI son 3 aspectos críticos en el desarrollo de cualquier proceso de

gestión del aseguramiento. El gobierno del proceso bajo revisión, será evaluado como parte de

las políticas y gestión de controles de supervisión. El riesgo juega un rol importante en la

evaluación de lo que se controla y como se gestionan los enfoques y el riesgo, por lo cual ambos

asuntos son evaluados como pasos en la guía de control y aseguramiento. Los controles son el

punto principal de evaluación en el proceso. La guía de control y aseguramiento identifica los

objetivos de control (Procesos de Cobit) y las medidas para determinar el diseño de control y la

eficacia.

2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI

Se espera que los profesionales de control y aseguramiento de la pyme tengan la posibilidad de

modificar este documento para el entorno en el cual se encuentran desarrollando y asegurando

diferentes tipos de procesos. Este documento será utilizado como herramienta de examen y

8

punto de partida en pymes colombianas que estén haciendo uso de Cloud Computing. Además,

de acuerdo con ese punto de formalidad esta guía no debe ser entendida como una lista de

chequeo o como cuestionario. Se asume que los profesionales de control y aseguramiento tienen

la experiencia necesaria para realizar este trabajo, el cual se recomienda este supervisado por un

profesional con la experiencia necesaria para darle seguimiento al trabajo realizado en esta guía.

9

3. CONCEPTOS GENERALES

3.1 Fundamentos

A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el

mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor

seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud

Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así,

el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos

perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema

y los retos que debe superar en la actualidad.

3.1.1 ¿Qué es Cloud Computing?

Uno de los temas más confusos que rodean a Cloud Computing ―Computación en la nube‖, y

sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se

puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares

y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009],

quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo

de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de

la nube se describen por medio de servicios, información, aplicaciones e infraestructura que

pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o

interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos

por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros

servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo.

La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes

en los últimos años como las novedades más influyentes de las empresas:

SaaS o Software como un Servicio: Un modelo de distribución de software a través de

la red.

Utility Computing: Es el suministro de recursos computacionales, por ejemplo el

procesamiento y almacenamiento como un servicio medible.

Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de

recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control

central, si no que se hace de forma distribuida. La clave de Grid Computing esta en

conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de

Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la

infraestructura utilizada.

Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza

los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a

ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas

de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través

10

de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir

balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones.

3.1.2 Características Esenciales

En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los

servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos

de estrategias de computación, estas son:

Una de las características más importantes de Cloud Computing es el autoservicio por demanda,

es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les

facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por

ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma

automática sin tener que estar interactuando con su proveedor de servicios.

La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de

internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la

comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de

esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una

necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo

que facilite el uso de las plataformas conectándose a internet

Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando

recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una

misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se

ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se

independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus

tareas independientemente de la disposición física de estas. Algunos de los recursos

computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas

virtuales, etc.

Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y

flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el

servicio. Usualmente para los clientes, las capacidades ofrecidas por el modelo aparecen

ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite.

Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio

del cual los recursos de Cloud Computing se controlan y optimizan de forma automática,

haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al

cliente.

Debido a las características mencionadas, las cuales el proveedor está en la obligación de

cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de

las aplicaciones, toda la información es almacenada de forma redundante en backups que se

utilizarían en algún caso de fallo.

11

3.1.3 Modelos de Servicio en la Nube

Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de

otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de

forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing.

Usualmente se conoce también como el ―Modelo SPI‖, donde cada sigla de la palabra hace

referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura

(como un servicio).

A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara

[Gutiérrez J, 2010]:

Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009]

Software as a Service (SaaS)

Es un modelo de distribución de software en el que la empresa proveedora aporta el

servicio de operación diaria, mantenimiento y soporte del software solicitado por el

cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o

sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara

en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las

aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de

utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen

uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos

programas deben tener las condiciones necesarias para trabajar de forma simultánea o

concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se

puede ver un ejemplo del funcionamiento de esta capa:

12

Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011]

Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o

aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas

necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente

confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin

embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet,

pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS

simplemente ofrece el uso de software a través de la red.

Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez

J, 2010]:

Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o

aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la

aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja.

Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación,

cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel

facilita el mantenimiento del software.

Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia

para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la

aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la

aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan

solo una instancia con la cual trabajar, así como reducción de costos y espacio para

disponer de almacenamiento suficiente para todas las instancias, como sucedía en los

casos anteriores.

Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la

aplicación que se utiliza según las necesidades, dando atención al número de clientes

que estén usando el software, de esta forma el sistema se hace escalable a un número

indeterminado de clientes evitando tener que rediseñarlo.

13

Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010]

Platform as a Service (PaaS).

El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual

este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS,

sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo.

Paas incluye todas las facilidades al programador para diseñar, analizar, desarrollar,

documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además

brinda el servicio de integración de la base de datos, escalabilidad, seguridad,

almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de

realizar trabajos colaborativos. [Gutiérrez A, 2009]

Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración

Ilustración 4 - ¿Que es PaaS? [Keene, 2009]

14

Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes

[Keene, 2009]:

Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de

desarrollo.

Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa

proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno

de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.

Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que

el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios,

garantizando la escalabilidad del sistema.

El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.

El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual

proporciona las herramientas de desarrollo que no es necesario que el cliente instale en

su equipo.

El despliegue de la aplicación lo realiza el cliente por medio de las herramientas

proporcionadas por el proveedor, no es necesario contactar ningún intermediario que

despliegue el sistema.

Tal cual como en los demás modelos ―como un Servicio‖, las ventajas se basan en no tener

que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el

desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la

responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente

sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice

en su totalidad.

Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de

internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce

miedo por parte de los clientes de no tener acceso a su propia información o de que personas

ajenas tengan acceso a esta de alguna u otra forma.

Infrastructure as a Service (IaaS).

El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas

virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento,

hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la

infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal

manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing,

2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores

que estén a su disposición, etc.

Dentro de las principales características del modelo IaaS, encontramos:

Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar

cuales serán las condiciones del contrato para ambos.

Pago según el uso de capacidades computacionales ofrecidas por el proveedor.

El ambiente proporcionado por el proveedor será en forma de maquinas virtuales.

El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las

necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones

15

El proveedor se encargará de ofrecer todo el software requerido para mantener las

necesidades del cliente, como firewalls, balanceo de carga entre servidores,

sistemas operativos, etc.

El proveedor estará en la capacidad de asegurar al cliente una conectividad a

internet sin problemas, con backups de seguridad que garanticen la integridad de los

datos.

Data Storage as a Service (DaaS).

El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la

gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja

en conexión con IaaS, [SNIA, 2009]

Communications as a Service (CaaS).

La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el

mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento

necesario de redes y la gestión de las comunicaciones, como el balanceo de carga.

Software Kernel.

Esta capa gestiona la parte física del sistema. Controla los servidores a través de los

sistemas operativos instalados, el software que permite la virtualización de las

máquinas, la gestión de los clusters y del grid, etc.[Wolf, 2009]

Hardware as a Service (HaaS).

HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte

física de los elementos necesarios para trabajar a través de internet, consistiendo estos

en centros con maquinas que ofrecen la computación, almacenamiento, servidores,

etc.[Wolf, 2009]

3.1.4 Modelos de Despliegue de Cloud Computing

Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de

despliegue de Cloud Computing [Mell & Grance, 2009]:

Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles

para los clientes por medio del proveedor a través de internet. El ser pública no implica

totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público

tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de

autenticaciones para hacer uso de los servicios suministrados, además proporciona un

medio flexible y rentable para el desarrollo de soluciones para los clientes.

Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La

diferencia entre ambas se encuentra es que en la privada los datos y procesamientos

están administrados dentro de la organización sin las restricciones del ancho de banda,

seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece

al cliente la posibilidad de tener más control sobre la infraestructura proporcionada,

mejorando la seguridad y la recuperación.

16

Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de

organizaciones que comparten los mismos intereses, como una misión común o

necesidades de seguridad similares.

Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública

y la privada.

Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009]

3.1.5 Modelo de Referencia de Cloud Computing

Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la

relación y las dependencias entre los modelos de la nube. Aunque en la sección 3.1.3 (Modelos

de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta

que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se

observo es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se

basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se

muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan

capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se

relacionan con la seguridad de la información.

La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las

plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la

capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos.

En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la

administración y diferentes formas en las cuales el cliente interactúa con el servicio.

17

Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009]

Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de

integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware,

mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que

le adicionan a la plataforma.

Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente

operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se

ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el

manejo fácil y dinámico por parte de los clientes.

A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen

diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad

se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]:

SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor

extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del

proveedor.

Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más

baja integración ya que está desarrollada para que los desarrolladores elaboren sus

propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada

con SaaS, compensando así entre capacidades de plataforma con funciones de

seguridad.

Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia

extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y

funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y

gestione sus propias aplicaciones, sistemas operativos, etc.

18

3.1.6 Ventajas de Cloud Computing

Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing

cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se

han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:

El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No

es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni

en su casa u oficina, podrá acceder a su información servicios desde cualquier

emplazamiento, pues estos se encuentran en internet.

Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número

de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.

Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor

número de recursos según se requiera sin tener que pagar por tenerlos físicamente en

sus sucursales, con un gasto lógico de software, hardware o personal.

Los clientes no poseen una cantidad de recursos determinada, por el contrario

comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la

carga de cada uno según la actividad que tenga en cada momento, evitando la escasez

de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento.

El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de

información por fallos del sistema.

La premisa de Cloud Computing es que por la subcontratación de partes de la información

gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los

procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la

actividad operacional de manera más inteligente, más rápida y más barata.

3.1.7 ¿Cómo Cloud logra aportar estas ventajas?

Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:

Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre,

por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a

funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de

realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de

todo lo que las maquinas necesitan realizar para realizar dicha actividad.

Rápida movilización de los recursos: los recursos computacionales (servidores, redes,

software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible

incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo

necesario para cumplir los requerimientos del cliente, en el momento que este lo

solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es

totalmente medible.

Capacidad de ―escalado elástico‖ atiende y gestiona la demanda fluctuante que se

genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la

19

cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta

equipos, aplicaciones o espacios de almacenamiento.

Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un

único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y

manejar virtualmente los recursos computacionales por los cuales está pagando el

servicio en el momento que este lo requiera.

Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en

un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del

acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los

derechos, deberes y las formas debida de uso del servicio al cual esta accediendo.

Capacidad de medir el consumo: Como se ha mencionado, los recursos

computacionales de Cloud Computing, son totalmente medibles, por lo que en cada

momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente

tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en

marcha para el cumplimiento de sus necesidades.

3.2 Impactos de cloud computing

Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes

demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como

una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la

nube, sin duda está revolucionando el mundo de los servicios por la transformación de la

informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales

como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia

para gestionar los activos de información. La continua influencia e innovación de Internet ha

permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en

servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia.

Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran

potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de

ganancia del negocio para las dos partes, el proveedor y el cliente.

Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su

infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo

plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos,

es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que

ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar

servicios que utilizan en un modelo bajo demanda.

Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio

potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir

sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran

diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se

deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay

un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se

encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para

20

ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas

soluciones de IT y mejorar el negocio.

Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una

alta rentabilidad en términos de reducción de costos y características tales como agilidad y la

velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener

un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la

infraestructura física y el dueño de la información que se almacena y se procesa.

Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico

que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción,

ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía

solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control

Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para

una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la

nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a

Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio.

3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing

Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se

encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que

se encuentra protegida es de vital importancia tener previstas acciones contundentes para la

gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren

seguridad, y los administradores de la de seguridad de la información puede que necesiten

ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones.

Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de

empresas que no externalizan algunas partes de su negocio. Participar en una relación con un

tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que

ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la

empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha

puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la

empresa, que necesitan ser administrados son:

Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y

sostenibilidad deben ser factores para considerar en el momento de la elección. La

sostenibilidad es de una importancia particular para asegurar que el servicio estará

disponible y la información puede ser vigilada.

El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de

la información, la cual es una parte crítica del negocio. Si no se aplican los niveles

acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la

disponibilidad, afectando gravemente las operaciones del negocio.

La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se

encuentra realmente la información. Cuando la recuperación de la información se

requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar

en el que se encuentra almacenada.

21

El acceso de terceros a información sensible crea un riesgo que compromete la

información confidencial. En Cloud Computing, esto puede provocar una amenaza

significante para asegurar la protección de la propiedad intelectual y secretos

comerciales.

La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en

niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a

bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la

información con otros clientes de la nube, o inclusive con clientes que pueden ser

competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente

de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace

que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es

fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato

especifica las áreas donde el proveedor de la nube es responsable y responsable de las

ramificaciones derivadas de posibles problemas.

Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada

inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y

recuperación de negocio deben estar bien documentados y probados. El proveedor de

Cloud Computing debe comprender el rol que juega en términos de backups, respuesta

y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el

contrato.

3.3.1 Estrategias para el manejo de riesgos en Cloud Computing

Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser

gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo

suficientemente flexible para hacer frente a los riesgos de la información debe estar en su

lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes

de una empresa, el acceso no autorizado a los datos en Cloud Computing es una

preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud

Computing, una empresa debe realizar un inventario de sus activos de información y

asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a

determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio

(SLA), la necesidad para cifrar la información transmitida, almacenada y los controles

adicionales de información sensible o de alto valor para la organización.

A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud

Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar

para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la

herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y

describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la

manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas

en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio

y recuperación de desastres, deberá estar informado dentro del contrato.

22

La protección de la información evoluciona como resultado de un fuerte e integro SLA que

es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo

y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento

ayudara a la empresa en el manejo de su información una vez que sale a la organización y es

transportada, almacenada o procesada en Cloud Computing.

3.3.2 Gobernabilidad y Cuestiones de Cambio con Cloud Computing

La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se

considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los

servicios que han sido tradicionalmente manejados internamente, deben hacer algunos

cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de

aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son

gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el

riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una

relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de

metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la

gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología

de Cloud y sus proveedores.

Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten

estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio,

tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos

de áreas posibles de cambio. Además, los procesos que detallan la forma en que se

almacena la información, archivado y copia de seguridad tendrán que ser examinados de

nuevo.

Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de

las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron

obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente

desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información

tomen muy en cuenta los usos de servicios en Cloud Computing.

3.4 COSO

Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway

Commission, divulgo al mundo un informe de gran importancia para la historia del control

interno. El Control Interno — Marco Integrado, conocido también como COSO ofrece una base

clara y fundamental que establece los sistemas de control interno y determinar su eficacia.

Este marco fue adoptado en 1998 como marco de Control Interno para la Administración

Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al

23

Sistema de Control Interno que fueron determinadas en la Ley 24.156 de Administración

Financiera y Sistemas de Control.

En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base

solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de

la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una

metodología que evalúe la calidad de los controles.

COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los

resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este

marco de control interno para que la información sea utilizada en los informes de alto nivel en la

gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos

términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009].

Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de

control interno son:

1. Asegurar la eficiencia y eficacia de las operaciones

2. Realizar informes financieros fiables

3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.

Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales

dentro de un sistema de control interno eficaz.

El Entorno de Control

Evaluación del Riesgo

Actividades de Control

Información Y Comunicación

Supervisión

Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]

Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado,

examinar los componentes del sistema de control en la organización e informar los resultados a

la dirección o la gerencia.

24

Definición de objetivos.

Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se

debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de

auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor

agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se

deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso

de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente,

tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo,

el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno

seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y

evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es

compromiso del auditor tener que identificar los controles que tendrán mayor concentración por

parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado.

Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y

la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar

el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en

alcanzar el resultado productivo optimizando los recursos de forma adecuada. El

objetivo de operaciones determina si se puede asegurar a la organización la no

existencia de ineficiencias significativas o que la eficacia en el proceso o en la

organización auditada es poca. Y adicionalmente brinda información útil que se

comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación

del control.

Información financiera. El objetivo de información financiera, está dirigido a la

adecuación y eficacia de controles de gestión que rigen la confiabilidad de la

información financiera que se utiliza en la comunicación con externos.

Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles

administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos

e internos. El cumplimiento trata principalmente con la correlación entre las leyes,

procedimientos de la organización y, la práctica real.

3.4.1 COSO II – Gestión de Riesgos Corporativos (ERM)

El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue

revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del

marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos

es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM

está en el proceso de ser adoptada por las grandes empresas.

En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base

fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la

25

ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a

admitir durante el intento por aumentar el valor de sus clientes o interesados.

La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o

disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la

gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la

posibilidad de aumentar valor.

Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima

entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa

maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los

objetivos propuestos por la entidad.

La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]:

Alinear el riesgo aceptado y la estrategia

Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad,

determinando los objetivos requeridos y empleando mecanismos para

administrar algunos riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos

La gestión de riesgos corporativos brinda un alto rigor para identificar y

analizar los riesgos con el fin de poder determinar la mejor alternativa de

manejo: evitar, reducir, compartir o aceptar.

Reducir las sorpresas y pérdidas operativas

Las organizaciones aumentan la capacidad de identificar los acontecimientos

potenciales con el propósito de establecer respuestas acordes a su nivel de

complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o

pérdidas asociados.

Identificar y gestionar la diversidad de riesgos para toda la entidad

Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra

forma y la gestión de riesgos corporativos facilita genera respuestas que suelen

ser eficaces e integradas a los impactos que se puedan dar en estos riesgos.

Aprovechar las oportunidades

Considerando eventos potenciales, la gerencia identifica y aprovecha las

oportunidades proactivamente, para poder sacarle valor a sus actividades.

Mejorar la dotación de capital

Obtener información sólida acerca del riesgo facilita que la gerencia evalué

eficazmente las necesidades de dinero lo cual le facilita la administración del

mismo.

26

Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad

de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información

sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y

sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una

entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.

De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los

riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto

adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una

organización:

Normalmente se comporta como un proceso continuo que fluye por toda la

organización.

Todo el personal de la organización está en la capacidad de aplicarlo.

Se aplica en el establecimiento de la estrategia de control y gestión de riesgos.

La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo

a nivel conjunto.

Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los

riesgos que se encuentran aceptados.

Ofrece seguridad al consejo de administración y a la dirección de la organización.

Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque

susceptibles de solaparse.

La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por

parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en

todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los

objetivos establecidos por una entidad determinada y proporciona una base para definir la

eficacia de la gestión de riesgos corporativos [Nasaudit, 2009].

Comparación del Control Interno de COSO y del Marco Integrado ERM

Marco de Control Interno Marco integrado ERM

Control del Entorno: El ambiente de

control establece el tono de una organización,

influenciando de esta forma la conciencia de

control de su gente. Esta es la fundación para

todos los otros componentes de control

interno, proporcionando disciplina y

estructura. Los factores del ambiente de

control incluyen la integridad, valores éticos,

estilo de gestión de funcionamiento,

delegación de los sistemas de autoridad, así

como los procesos de gestión y desarrollo de

personas dentro de la organización.

Entorno interno: El entorno interno abarca

el tono de la organización, y establece las

bases de cómo el riesgo es observado y

direccionado a las personas de la entidad,

incluyendo la filosofía en gestión de riesgos

y apetito de riesgo, integridad y valores

éticos, y el entorno en el cual todos operan.

27

Marco del objetivo: Los objetivos deben

existir antes de que la administración pueda

identificar eventos potenciales que lo afecten.

La gestión de riesgos empresariales asegura

que la administración ha puesto en ejecución

un proceso para establecer objetivos y que

los objetivos seleccionados apoyan, se

alinean con la misión de la entidad y que

sean consistentes con el apetito de riesgo.

Identificación de Eventos: Los eventos

externos e internos que afectan el logro de los

objetivos de la entidad deben ser

identificados, distinguiendo entre riesgos y

oportunidades. Las oportunidades son

canalizadas de vuelta a la estrategia de

gestión o los procesos en los que se fijan los

objetivos.

Evaluación de Riesgos: cada entidad

muestra una variedad y riesgos de fuentes

que deben ser evaluados. Una precondición

para la evaluación de riesgos es el

establecimiento de objetivos, y por tanto la

evaluación de riesgos es la identificación y

análisis de riesgos pertinentes para la

consecución de los objetivos planeados. La

evaluación de riesgos es un prerrequisito para

la determinación de cómo se deben gestionar

los riesgos.

Evaluación de Riesgos: Los riesgos son

analizados, considerando la probabilidad y el

impacto, como bases para la determinación

de cómo se pueden gestionar. Las áreas de

riesgo se evaluaran de forma inherente y

formal.

Actividades de Control: Las actividades de

control son las políticas y procedimientos a

ayudan a asegurar que la gestión de las

directivas se llevan a cabo. Ayudan a

garantizar que se toman las medidas

necesarias para hacer frente a los riesgos para

la consecución de los objetivos de la

organización. Las actividades de control

acurren a lo largo de la organización, en

todos los niveles y todas las funciones. Se

incluyen una serie de diversas actividades,

aprobaciones, autorizaciones, verificaciones,

reconciliaciones, revisiones del desempeño

operativo, seguridad de activos y segregación

de funciones.

Actividades de Control: Políticas y

procedimientos son establecidos e

implementados para ayudar a garantizar que

las respuestas al riesgo se lleven a cabo de

forma efectiva.

28

Información y Comunicación: Los sistemas

de información juegan un papel clave en

sistemas de control interno que producen los

informes, incluyendo operaciones,

Información financiera y de cumplimiento

que hace esto posible para ejecutar y

controlar el negocio. En un sentido más

amplio, la comunicación efectiva debe

asegurar que la información fluye hacia

abajo, a través y hacia arriba en la

organización. La comunicación efectiva debe

estar también asegurada con las partes

externas, cada cliente, distribuidores,

reguladores y accionistas.

Información y Comunicación: La

información relevante es identificada,

capturada y comunicada en una forma y

marco de tiempo que la gente dispone para

llevar a cabo sus responsabilidades. La

comunicación efectiva también ocurre en un

sentido más amplio por toda fluyendo de

abajo hacia arriba por toda la entidad.

Monitoreo: Los sistemas de control interno

requieren ser monitoreados, Un proceso que

evalúa la calidad del desempeño del sistema

sobre el tiempo, lo cual se logra con

actividades de monitoreo o de evaluaciones

separadas. Las deficiencias del control

interno detectadas a través de estas

actividades de monitoreo deberían ser

reportadas en contra de la corriente y las

acciones correctivas para asegurar la mejora

continua del sistema

Monitoreo: La totalidad de la gestión de

riesgos es monitoreada y se realizan

modificaciones en caso de ser necesarias. El

monitoreo es realizado a través de las

actividades de gestión en ejecución, las

evaluaciones independientes o ambas cosas.

Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM

3.5 COBIT

En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y

de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes,

es importante optimizar correctamente los recursos con los que cuenta la organización, dentro

de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software

información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la

gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y

control de dichos sistemas.

Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus

siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la

administración determinando una conexión entre los riesgos del negocio, los controles

requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008].

Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas ―Buenas

prácticas‖ de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la

inversión de la información y brindan mecanismos medibles que permiten juzgar el buen

29

resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los

sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio,

monitoreo de cada actividad de control de manera que se verifique si está cumpliendo

satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El

impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del

negocio que deben ser alcanzados:

Eficiencia

Efectividad

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad.

El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es

responsabilidad de la gerencia.

La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso,

diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la

diligencia requerida.

El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que

pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como

una guía clara y entendible.

Los propietarios de procesos son personas que se hacen responsables de todo aspecto

relacionado con los procesos de negocio tal como ofrecer controles apropiados.

COBIT como marco de referencia brinda al propietario de procesos, herramientas que

simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente

premisa:

“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus

objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI

agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los

cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro

dominios:1

Planificación y Organización

Adquisición e Implementación

Entrega de servicios

Soporte y Monitorización.‖

1[NetworkSec, 2008]

30

Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]

La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión

de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o

resultado final que la organización tiene que alcanzar ejecutando procedimientos de control

dentro de una actividad de TI.

Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio

asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de

información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la

herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los

31

riesgos, el control y monitoreo, optimización de recursos en cada proceso y los beneficios que

están relacionados con información y la tecnología.

4. CARACTERIZACIÓN DE EMPRESAS

El documento de caracterización de empresas fue elaborado para ampliar la visión del lector,

con respecto a la actualidad de las empresas proveedoras y clientes, haciendo un enfoque a las

pymes colombianas que son el objetivo principal para analizar del trabajo.

Este documento se puede ver desde tres perspectivas diferentes. La primera muestra una

descripción de los servicios que brindan las empresas dividido de acuerdo a la capa en la que

hayan logrado un mayor desarrollo. La segunda perspectiva se basa en la comparación de las

empresas anteriormente descritas de acuerdo a sus características y a la capa que se desee

comparar, lo cual brindará al cliente diferentes alternativas para escoger la empresa proveedora

de que cumpla las necesidades de su negocio. Finalmente se exponen las empresas clientes,

haciendo énfasis en las pymes colombianas, que son la base fundamental para el desarrollo del

trabajo.

La caracterización de las empresas profundiza en conocer las necesidades de las empresas,

conociendo los servicios que ofrecen los proveedores o conociendo de forma directa las razones

por las que una empresa pyme toma los servicios de Cloud computing. [Hidalgo/Caracterización

De Empresas Cloud Computing , 2011]

5. ESTABLECER REQUERIMIENTOS

Este apartado del documento, permite complementar y analizar la información recopilada a

través del marco teórico y la caracterización de las empresas con el propósito de darle cuerpo a

la guía metodológica. Como se ha podido observar en los apartados anteriores, se ha realizado

un levantamiento claro de la información con el fin de brindar al lector una amplia introducción

al entorno en el que se desarrolla la guía metodológica y además se profundizó aun más en el

análisis de caracterización de las empresas en donde se vio las principales necesidades de las

pymes alrededor de Cloud Computing y como los proveedores por medio de los servicios que

ofrecen intentan cumplir estas necesidades para aquellos que desean dar este paso tecnológico

en sus empresas.

Pues bien, como se menciona al inicio el propósito de este apartado es complementar la

información requerida para dar inicio a la guía metodológica, la cual nace por una necesidad en

este tipo de empresas que han optado por tener Cloud Computing al interior de su negocio.

Teniendo en cuenta que el modelo de servicios de Cloud Computing es tan novedoso, con un

rápido desarrollo y gran acogida en la sociedad por las razones observadas en secciones

anteriores (Costo, rapidez, eficiencia, etc.), surge la inquietud de cómo brindarle control y

aseguramiento de forma detallada a un entorno empresarial que maneje Cloud Computing.

32

Al día de hoy, existen diversos documentos que brindan las pautas claras y concretas para

manejar la seguridad en Cloud Computing. Uno de estos documentos es la Guía para la

seguridad en Áreas Críticas de Atención en Cloud Computing [Alliance, 2009], el cual se

tendrá como base apoyar al establecimiento de los requerimientos.

Además de establecer los requerimientos necesarios para la elaboración de la guía metodológica

de control y aseguramiento en Cloud Computing para pymes también se determinarán

escenarios, actores y la interacción entres estos. Teniendo en cuenta que no se cuenta con unos

requerimientos definidos oficialmente, se desarrolló una encuesta que permitan aclarar y

confirmar las necesidades que se tienen en cuanto al control y aseguramiento de Cloud

Computing dentro de algunas empresas que ya cuentan con este servicio.

5.1 Escenario

El desarrollo del trabajo contempla 2 escenarios diferentes, dentro de los cuales se deberá

centrar el hallazgo de los requerimientos dentro de esta sección. El primer escenario hace

referencia al modelo de servicio de Cloud Computing, todo lo que lo caracteriza, sus diferentes

elementos, actores o interesados, entre otro tipo de detalles. Y el segundo escenario gira en

torno de los sistemas de control y aseguramiento requeridos para realizar la guía metodológica.

5.1.1 Escenario de Cloud Computing

Por medio del marco teórico se pudo establecer toda la información referente a este novedoso

modelo de servicios que ha causado gran éxito tanto para las empresas que lo utilizan como para

las que lo ofrecen. A pesar que desde el inicio de Cloud Computing las pymes no fueron las

pioneras en el uso del modelo, hoy en día son este tipo de empresas (Pymes) las que más

ganancia le sacan al uso de Cloud Computing, pero como no se cuenta con un sistema claro de

control que les garantice seguridad y continuo crecimiento, se hace necesario crear uno que les

brinde este servicio.

5.1.2 Escenario Control y Aseguramiento.

Durante los últimos años se ha visto la necesidad de contar con un sistema que brinde a las

empresas el apoyo en la gestión de su negocio especialmente en el área de TI, es por ello que

hoy en día existen numerosos marcos de referencia que le dan soporte a las empresas en el

manejo de su negocio. Dentro de esos marcos de referencia se pueden nombrar algunos como

COSO, COBIT, ITIL V3 o normas como la Sarbanes Oxley entre otros, que aunque están

diseñados de forma sencilla para que el profesional de la empresa lo pueda manejar de forma

fácil y dinámica de acuerdo a las necesidades del negocio. De acuerdo con los beneficios que

han logrado alcanzar los marcos de referencia dentro de las organizaciones, se considera

importante tenerlo en cuenta como un escenario para los requerimientos que se especificarán en

este apartado.

33

5.1.3 Interacción entre los escenarios

Usualmente los marcos de control son diseñados de forma sencilla para ser aplicados por el

personal de TI de tal forma que sea acorde al negocio de la empresa. Estos marcos brindan la

forma de gestionar, controlar y asegurar que el área de TI trabaje de forma segura y eficiente.

La interacción entre los escenarios es de gran importancia ya que de esta forma se identifican

más claramente a cada uno y se pueden relacionar fácilmente. Como ya se mencionó el primer

escenario es el modelo de servicios de Cloud Computing, y el segundo será el marco de

referencia de COBIT, de los cuales se tiene la información ampliada en el marco teórico.

5.2 Actores

Los actores que se tienen en cuenta para el establecimiento y desarrollo de los requerimientos

son dos específicamente. El primer actor es el proveedor de servicios y el segundo es el cliente

que recibe los servicios de Cloud Computing, estos dos actores son los que interactúan en todo

el proceso de control y aseguramiento de Cloud Computing en las Pymes.

5.2.1 Actor Proveedor

Este actor se encarga de brindar los servicios de Cloud Computing a los clientes. Estos servicios

son creados a partir de las necesidades más comunes de los clientes y su finalidad es satisfacer y

mejorar la experiencia del usuario. Usualmente el proveedor puede enfocarse en alguno o en

todos los modelos de servicio que ofrece la nube tales como SaaS, PaaS e IaaS. En la actualidad

se cuenta con numerosas empresas reconocidas a nivel internacional que han enfocado sus

esfuerzos en cumplir las necesidades del usuario, ofreciendo diferentes tipos de paquete de

servicios que se acomoden al negocio.

5.2.2 Actor Cliente

El actor cliente, es la figura que hace uso de los servicios en la nube con el propósito de generar

mejores ganancias y una mejor experiencia e impacto a su negocio o vida personal, es por ello

que en base a sus necesidades el proveedor ofrece paquetes de servicios con los cuales pueda

cumplir la expectativa del cliente. Para el desarrollo de este documento el actor cliente está

representado por las pymes colombianas que han tomado la decisión de hacer uso de Cloud

Computing.

5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud

Computing

Es importante tener en cuenta que así como hay una amplia interacción entre estos dos actores

para establecer un contrato del servicio de Cloud Computing, también debe existir un

compromiso de las dos partes para generar un entorno de control y aseguramiento que les brinde

una mayor facilidad de administrar los servicios que han contraído en la Cloud.

34

5.2.4 Responsabilidades de los Actores

Con respecto a los incidentes de seguridad, hay necesidad de poner en claro la definición y el

entendimiento entre el cliente y el proveedor de las funciones relevantes para la seguridad y las

responsabilidades. Las líneas de esta división pueden variar mucho entre las ofertas de SaaS y

ofertas de IaaS, delegando con este ultimo más responsabilidad a los clientes. Una división

típica y racional de la responsabilidad se muestra en la siguiente tabla. En cualquier caso, para

cada tipo de servicio, el cliente y el proveedor deben definir claramente cuál de ellos es

responsable de todos los temas de la lista de abajo. En el caso de los términos estándar de

servicio (es decir, no hay negociación posible), los clientes deben verificar la nube de lo que

está dentro de su responsabilidad.

5.2.5.1 Software as a Service

Cliente Proveedor

- Cumplimiento con la ley de protección de

datos en relación con los datos recogidos y

tratados del cliente.

- Mantenimiento del sistema de gestión de

identidad

- Administración del sistema de gestión de

identidad

- Administración de la plataforma de

autenticación (incluye política de aplicación

de contraseña)

- Soporte físico de infraestructura

(instalaciones, espacio de rack, energía,

refrigeración, cableado, etc.)

- Seguridad y disponibilidad de infraestructura

física (Servidores, Almacenamiento, banda

ancha de redes, etc.).

- Gestión de parches en Sistemas operativos, y

procedimientos de endurecimiento (Revisar

algún conflicto entre el procedimiento de

endurecimiento del cliente y la política de

seguridad del proveedor).

- Configuración de la plataforma de seguridad

(Reglas de firewall, IDS, IPS, etc.)

- Monitoreo de sistemas

- Mantenimiento de la plataforma de seguridad

- Historial de registro y monitoreo de seguridad

Tabla 2 - División de responsabilidades SaaS [Enisa, 2008]

5.2.5.2 Platform as a Service

Cliente Proveedor

- Mantenimiento del sistema de gestión de

identidad

- Administración del sistema de gestión de

identidad

- Administración de la plataforma de

autenticación (Incluye la política de

aplicación de contraseña)

- Soporte físico de infraestructura

(instalaciones, espacio de rack, energía,

refrigeración, cableado, etc.)

- Seguridad y disponibilidad de infraestructura

física (Servidores, Almacenamiento, banda

ancha de redes, etc.).

- Gestión de parches en Sistemas operativos, y

35

procedimientos de endurecimiento (Revisar

algún conflicto entre el procedimiento de

endurecimiento del cliente y la política de

seguridad del proveedor).

- Configuración de la plataforma de seguridad

(Reglas de firewall, IDS, IPS, etc.)

- Monitoreo de sistemas

- Mantenimiento de la plataforma de seguridad

- Historial de registro y monitoreo de seguridad

Tabla 3 -División de responsabilidades PaaS [Enisa, 2008]

5.2.5.3 Infrastructure as a Service

Cliente Proveedor

- Mantenimiento del sistema de gestión de

identidad

- Administración del sistema de gestión de

identidad

- Administración de la plataforma de

autenticación (Incluye la política de

aplicación de contraseña)

- Gestión de los resultados de parches del

sistema operativo y procedimientos de

endurecimiento (ver también cualquier

conflicto entre el procedimiento de

endurecimiento de los clientes y la política

de seguridad del proveedor)

- La configuración de la plataforma de

seguridad de evaluación (las reglas del

cortafuegos, IDS / IPS de sintonía, etc.)

- Habitación de sistemas de vigilancia

- Security platform maintenance (firewall,

Host IDS/IPS, antivirus, packet filtering)

- Log collection and security monitoring

- Soporte físico de infraestructura

(instalaciones, espacio de rack, energía,

refrigeración, cableado, etc.)

- Seguridad y disponibilidad de infraestructura

física (Servidores, Almacenamiento, banda

ancha de redes, etc.).

- Sistemas Host (Hipervisor, Firewall virtual,

etc.)

Tabla 4 - División de responsabilidades IaaS [Enisa, 2008]

5.3 Encuesta

De acuerdo con la introducción de esta sección, la encuesta ayudará a definir los requerimientos

de control y aseguramiento necesarios en los cuales se base el desarrollo de la guía

metodológica. Para la elaboración de la encuesta tuvo en cuenta el documento de la CSA

[Alliance, 2009], los escenarios, los actores y la orientación a un público en especial, que

cuente con un conocimiento claro de Cloud Computing y de la empresa en la que trabajan.

36

Además del personal, también se contemplo que estos usuarios hicieran parte del área de

tecnología de las empresas Pymes, pues es allí donde se encuentra todo el conocimiento del

manejo de Cloud Computing para las empresas. Por otro lado, era importante contemplar el

conocimiento de las personas sobre el control y seguridad de la información que manejan sobre

este modelo de tecnología.

La encuesta se realizó a 11 personas diferentes en diversos cargos, las cuales contestaron un

total de 15 preguntas relacionadas con los escenarios establecidos que permitirán identificar los

posibles requerimientos de control y aseguramiento de Cloud que requieren pymes.

5.4 Resultados

Como se menciona anteriormente, la encuesta contiene preguntas orientadas tanto del entorno

de Cloud Computing como el uso de marcos de control, por lo que solo se tuvo en cuenta los

resultados que permitan identificar las necesidades de control y seguridad de la información.

―Anexo1. Encuestas‖

Además, es importante aclarar que los resultados que se obtengan a través de la encuesta, solo

busca identificar requerimientos genéricos de control y aseguramiento por lo cual no es de

esperar que se pueda profundizar más allá de la información con la que se cuenta. Sin embargo,

para estos requerimientos se tratará de dar un amplio detalle en el desarrollo de la guía, con la

ayuda del levantamiento de información realizado en el marco teórico y el documento de

caracterización de empresas, de tal forma que se pueda ir complementando

Los resultados referentes a requerimientos de control y aseguramiento de Cloud Computing

para pymes pueden revisarse en “Anexo 1. Encuestas”

Como se observa en los resultados obtenidos en las encuestas, se encuentran diferentes

posiciones respecto al control y aseguramiento del entorno de Cloud Computing en las pequeñas

y medianas empresas colombianas, objetivo del estudio dentro de la guía, que permitió definir

los requerimientos.

5.5 Requerimientos

De acuerdo a los resultados obtenidos a partir de las encuestas, se establecieron los siguientes

requerimientos para el control y aseguramiento de Cloud Computing para pymes, los cuales se

cuentan con una descripción que permita al lector reconocer la importancia que tiene cada uno

de estos en la elaboración de la guía.

1. Gobierno y gestión de riesgos empresarial (ERM)

2. Cuestiones legales y descubrimiento electrónico

3. Cumplimiento de estándares y auditoría

4. Portabilidad e Interoperabilidad

5. Continuidad de negocio y recuperación de incidentes

6. Respuesta ante incidencias, notificación y solución

7. Seguridad de las aplicaciones

37

8. Cifrado y gestión de claves.

9. Gestión de acceso e identidades

10. Virtualización

REQUERIMIENTO DESCRIPCION

1. Gobierno y Gestión de Riesgos

Empresariales

Las empresas requieren contar con un marco de

gobierno que les permita identificar y ejecutar

diversos procesos según las necesidades del negocio

que maneje la organización, cumplir con un marco

regulatorio y contar con sistema de gestión de

riesgos empresariales.

2. Cuestiones legales y

descubrimiento electrónico

Tanto los proveedores como clientes de Cloud

Computing deben asumir el reto de las leyes, normas

y estándares de TI que se aplican a una gran variedad

de ambientes de gestión de la información, teniendo

en cuenta dimensiones funcionales, contractuales y

jurisdiccionales.

3. Cumplimiento de estándares y

auditoría

Las empresas deben mantener cumplimiento de sus

propias políticas de seguridad, y de los requisitos

normativos y legislativos alrededor de Cloud

Computing.

4. Portabilidad e Interoperabilidad

Las empresas cliente deben establecer un proveedor

estable, con procedimientos estándar y ante todo que

sea confiable, el cual no genere problemas de

portabilidad o interoperabilidad al momento de

interactuar con servicios de otros proveedores.

5. Respuesta ante incidencias,

notificación y solución

Las empresas, actores del flujo de Cloud Computing

(Proveedores y Clientes), deben tener claridad acerca

de la gestión de incidencias que se presentan sobre el

modelo de servicios.

6. Seguridad de las aplicaciones

Todos los Stakeholders deben tener total

entendimiento de la influencia de Cloud Computing

en el ciclo de vida útil de toda aplicación.

7. Seguridad e Integridad de datos Tanto la información como las aplicaciones que se

encuentren sobre el entorno de Cloud Computing

deben contar con las medidas de protección

necesarias para no se vea afectada la integridad,

confidencialidad o disponibilidad de los datos.

8. Cifrado y gestión de claves.

Las empresas proveedoras deben ofrecer a las

empresas cliente medidas de protección orientadas a

la gestión de acceso e identidades, que fortalezcan el

nivel de acceso a la información por parte del

38

personal.

9. Virtualización

Las empresas cliente deben contar con un sistema

operativo virtualizado con las medidas necesarias de

seguridad como un hipervisor (monitor de maquina

virtual), que mitigue el impacto que tiene el tema de

la virtualización sobre la seguridad de la red.

Tabla 5 – Requerimientos

Teniendo en cuenta que aun es muy ambiguo el nivel de detalle que se quiere lograr con la

elaboración de este documento en el control y aseguramiento de Cloud Computing, se ha

elaborado un diagrama que será utilizado como guía para conocer la profundidad en la que se

evaluarán y documentarán los requerimientos. A continuación se relaciona el diagrama y las

secciones en las que se han dividido los requerimientos establecidos o se podrán visualizar en

―Anexo 2. Diagramas Requerimientos‖

Ilustración 9 - Diagrama Requerimientos

39

Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento

Ilustración 11 - Gobierno de Cloud Computing

40

Ilustración 12 - Operación de Cloud Computing

6. COMO USAR ESTE DOCUMENTO

Esta guía metodológica de control y aseguramiento en Cloud Computing fue desarrollada para

asistir al profesional encargado del área de TI dentro de las Pymes, por lo cual se incluyen los

detalles relativos al formato y utilización del documento de seguimiento de esta nueva

tecnología.

6.1 Pasos del Programa de trabajo

La primera columna de la guía describe los pasos para realizar. El esquema de numeración

utilizado en el documento facilita el manejo de referencias cruzadas a través del trabajo

específico para esta sección. Teniendo en cuenta que se pueden encontrar Pymes con diferentes

tipos de negocio, se anima al profesional de TI o control y aseguramiento a realizar

modificaciones de este documento para reflejar el negocio de la empresa y el ambiente

específico que se desee examinar.

El paso 1 es parte del levantamiento de información y la preparación previa del campo de

trabajo. Debido a que el trabajo de campo previo es tan importante para obtener una revisión

exitosa y profesional, se han detallado bastante los pasos en este plan. El primer nivel de los

pasos a seguir en la guía, por ejemplo 1.1, es mostrado en formato de Negrita y proporciona al

revisor un ámbito de aplicación o una descripción de alto nivel del propósito de los sub pasos.

Iniciando en el paso 2, los pasos asociados con la guía de trabajo son detallados más

profundamente. Para simplicidad en el uso de la guía, esta describe el objetivo de control y

aseguramiento que se desea observar, la razón de realizar los pasos en el área temática y los

controles de seguimiento específico. Cada paso de revisión es listado a continuación del control.

41

Estos pasos pueden incluir la evaluación del diseño de control pasando a través de un proceso,

entrevistas, observando o de otro modo la verificación del proceso y los controles que se

encargan de este proceso. En muchos casos, una vez el diseño de control ha sido verificado, las

pruebas específicas necesitan ser realizadas para proporcionar las garantías que el proceso

asociado con el control se está siguiendo.

La evaluación de madurez que se describe más detalladamente después en este documento,

constituye la última sección de la guía metodológica..

6.2 Objetivo de Control de COBIT

Los objetivos de control o procesos COBIT proporcionan al profesional de aseguramiento de TI

la habilidad para referir el objetivo de control específico de COBIT que soporta el paso de

control y aseguramiento. El objetivo de control de COBIT se debe identificar para cada paso en

la sección, ya que es muy frecuente encontrar múltiples referencias cruzadas.

La guía de control y aseguramiento de Cloud Computing está organizada de un modo que

facilita una evaluación a través de una estructura paralela para el desarrollo de procesos. COBIT

proporciona los objetivos de control en profundidad y sugiere unas prácticas de control para

cada nivel. Como profesionales de revisión de cada control, ellos deben referir a COBIT 4.1

como una guía en las buenas prácticas de control.

6.3 Componentes de COSO

Como se observa en la introducción, COSO y marcos similares se han vuelto cada vez más

populares entre los profesionales de aéreas de TI, lo cual permite que se vincule al trabajo de

aseguramiento que se realice dentro de las pymes. Mientras la función de control y seguridad

de TI es usar COBIT como el marco de referencia para profesionales, la auditoría operativa y

profesionales de aseguramiento utilizan el marco establecido por la empresa en la que trabajan.

Ya que COSO es el marco de control interno más frecuente y que se encuentran empresas de

todo tipo, este ha sido incluido en la guía como puente de alineación entre control de TI con el

resto de la función de aseguramiento. Varias organizaciones de aseguramiento incluyen los

componentes de control de COSO dentro de sus informes y el resumen de sus actividades de

aseguramiento para el comité de aseguramiento del consejo de administración.

Para cada control, el profesional de control y aseguramiento debe indicar el componente de

COSO. Esto es posible, pero en general no es necesario para extender el análisis al nivel de un

paso específico para aseguramiento.

El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue

revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del

marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos

es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM

está en el proceso de ser adoptada por las grandes empresas. A continuación se realiza una

comparación entre los dos marcos para tener una mayor claridad en sus diferencias.

42

Comparación del Control Interno de COSO y del Marco Integrado ERM

Marco de Control Interno Marco integrado ERM

Control del Entorno: El ambiente de control

establece el tono de una organización,

influenciando de esta forma la conciencia de

control de su gente. Esta es la fundación para

todos los otros componentes de control

interno, proporcionando disciplina y

estructura. Los factores del ambiente de

control incluyen la integridad, valores éticos,

estilo de gestión de funcionamiento,

delegación de los sistemas de autoridad, así

como los procesos de gestión y desarrollo de

personas dentro de la organización.

Entorno interno: El entorno interno abarca el

tono de la organización, y establece las bases

de cómo el riesgo es observado y

direccionado a las personas de la entidad,

incluyendo la filosofía en gestión de riesgos y

apetito de riesgo, integridad y valores éticos, y

el entorno en el cual todos operan.

Marco del objetivo: Los objetivos deben

existir antes de que la administración pueda

identificar eventos potenciales que lo afecten.

La gestión de riesgos empresariales asegura

que la administración ha puesto en ejecución

un proceso para establecer objetivos y que los

objetivos seleccionados apoyan, se alinean

con la misión de la entidad y que sean

consistentes con el apetito de riesgo.

Identificación de Eventos: Los eventos

externos e internos que afectan el logro de los

objetivos de la entidad deben ser

identificados, distinguiendo entre riesgos y

oportunidades. Las oportunidades son

canalizadas de vuelta a la estrategia de gestión

o los procesos en los que se fijan los

objetivos.

Evaluación de Riesgos: cada entidad muestra

una variedad y riesgos de fuentes que deben

ser evaluados. Una precondición para la

evaluación de riesgos es el establecimiento de

objetivos, y por tanto la evaluación de riesgos

es la identificación y análisis de riesgos

pertinentes para la consecución de los

objetivos planeados. La evaluación de riesgos

es un prerrequisito para la determinación de

cómo se deben gestionar los riesgos.

Evaluación de Riesgos: Los riesgos son

analizados, considerando la probabilidad y el

impacto, como bases para la determinación de

cómo se pueden gestionar. Las áreas de riesgo

se evaluaran de forma inherente y formal.

Actividades de Control: Las actividades de

control son las políticas y procedimientos a

Actividades de Control: Políticas y

procedimientos son establecidos e

43

ayudan a asegurar que la gestión de las

directivas se llevan a cabo. Ayudan a

garantizar que se toman las medidas

necesarias para hacer frente a los riesgos para

la consecución de los objetivos de la

organización. Las actividades de control

acurren a lo largo de la organización, en todos

los niveles y todas las funciones. Se incluyen

una serie de diversas actividades,

aprobaciones, autorizaciones, verificaciones,

reconciliaciones, revisiones del desempeño

operativo, seguridad de activos y segregación

de funciones.

implementados para ayudar a garantizar que

las respuestas al riesgo se lleven a cabo de

forma efectiva.

Información y Comunicación: Los sistemas de

información juegan un papel clave en

sistemas de control interno que producen los

informes, incluyendo operaciones,

Información financiera y de cumplimiento que

hace esto posible para ejecutar y controlar el

negocio. En un sentido más amplio, la

comunicación efectiva debe asegurar que la

información fluye hacia abajo, a través y hacia

arriba en la organización. La comunicación

efectiva debe estar también asegurada con las

partes externas, cada cliente, distribuidores,

reguladores y accionistas.

Información y Comunicación: La información

relevante es identificada, capturada y

comunicada en una forma y marco de tiempo

que la gente dispone para llevar a cabo sus

responsabilidades. La comunicación efectiva

también ocurre en un sentido más amplio por

toda fluyendo de abajo hacia arriba por toda la

entidad.

Monitoreo: Los sistemas de control interno

requieren ser monitoreados, Un proceso que

evalúa la calidad del desempeño del sistema

sobre el tiempo, lo cual se logra con

actividades de monitoreo o de evaluaciones

separadas. Las deficiencias del control interno

detectadas a través de estas actividades de

monitoreo deberían ser reportadas en contra

de la corriente y las acciones correctivas para

asegurar la mejora continua del sistema

Monitoreo: La totalidad de la gestión de

riesgos es monitoreada y se realizan

modificaciones en caso de ser necesarias. El

monitoreo es realizado a través de las

actividades de gestión en ejecución, las

evaluaciones independientes o ambas cosas.

Tabla 6 - Comparación del Control Interno de COSO y del Marco Integrado ERM

El marco de control interno de COSO dirige las necesidades del aseguramiento de TI por medio

del entorno de control, evaluación de riesgos, actividades de control, información y

comunicación, y monitoreo, las cuales se tomarán para la elaboración de esta guía. Sin embargo,

se tendrá en cuenta el marco integrado ERM para la PYME que la requiera…según sean las

necesidades de negocio.

44

6.4 Referencias Cruzadas

Esta columna puede ser usada para marcar un hallazgo que el profesional de aseguramiento

desee investigar en detalle o establecer como un hallazgo potencial. Los hallazgos potenciales

deben ser establecidos en un documento que indica la disposición de los hallazgos y además

permite verificar otros numerales que tengan una alta relación con el punto que este revisando el

profesional de la empresa.

6.5 Comentarios

La columna de comentarios puede ser usada para indicar todo tipo de anotaciones que permitan

dar una aclaración al paso que se esté evaluando. El comentario debe ser utilizado como un

documento que describa todo el trabajo realizado, sino como sencillas anotaciones.

6.6 Habilidades Mínimas en Control y Aseguramiento

Actualmente Cloud Computing incorpora muchos procesos de TI, y dado que la información de

enfoca en el gobierno y gestión de TI, datos, red, contingencia y controles de cifrado, el

profesional de aseguramiento de TI debe tener el conocimiento requerido de todas estas

cuestiones. Además, una alta competencia en monitoreo y evaluación de riesgos, administración

de riesgos, componentes de seguridad de la información en la arquitectura de TI, amenazas y

vulnerabilidades de Cloud Computing y procesamiento de datos en internet es requerido. Por

otro lado, es recomendable que la persona que realiza la evaluación tenga la experiencia

requerida y las relaciones necesarias dentro de la empresa para ejecutar de forma eficaz el

aseguramiento de los procesos. Debido a que Cloud Computing es dependiente de los servicios

en Web, sería bueno que el profesional encargado tenga un entendimiento básico de Seguridad

en servicios WEB.

6.7 Análisis Control de Madurez – COBIT

Una de las peticiones comunes y consistentes por parte de los stakeholders que han sido

sometidos a exámenes de control y aseguramiento, es entender como su rendimiento se

compara con las buenas prácticas. Los profesionales de aseguramiento de TI en las empresas

deben proporcionar una base objetiva que contribuya a la revisión de las conclusiones. El

modelo de madurez para gestión y control de procesos de TI, está basado en un método de

evaluación de la empresa para que pueda ser evaluado desde un nivel de madurez de

inexistencia (0) hasta el optimizado (5). Este enfoque esta derivado del modelo de madurez que

el Instituto de Ingeniería de Software (Software Engineering Institute, SEI) de Carnegie Mellon

University define para la madurez en el desarrollo de software.

Modelo de Madurez de Control Interno de COBIT, proporciona un modelo de madurez genérico

que muestra el estado del entorno de control interno y el establecimiento de los controles

internos dentro de la empresa. Este muestra como la administración de control interno, y la

coincidencia de la necesidad de establecer mejores controles internos, típicamente se realiza

desde un nivel Inicial también conocido como ad hoc, hasta el nivel optimizado. El modelo

proporciona una guía de alto nivel para que los usuarios de COBIT a perciban lo que es

45

necesario para tener unos controles internos efectivos en TI y para ayudar a posicionar su

empresa en la escala de madurez.

Modelo de Madurez para Control Interno

Nivel de Madurez Estado del Entorno de Control

Interno

Establecimiento de Controles

Internos

0- No Existente No hay reconocimiento de la

necesidad de un Control Interno.

El control no es parte de la cultura

o misión organizacional. Hay un

alto riesgo de deficiencias en el

control e incidentes.

No se intenta evaluar la necesidad de

control interno. Los incidentes se van

tratando a medida que surjan.

1- Inicial / Ad

Hoc

Se reconoce la necesidad de un

control interno. El enfoque para

riesgos y requerimientos de

control es desorganizado, sin

control ni comunicación. Las

deficiencias no se encuentran

identificadas. Los empleados no

se encuentran conscientes de sus

responsabilidades.

No hay conciencia de la necesidad de

evaluación de lo que se requiere en

términos de controles para TI. Cuando

se realiza, es solo sobre una base de

Ad hoc, en un alto nivel y en caso de

incidentes significativos. Solo se

evalúan los incidentes que ocurren de

momento

2- Repetible

pero intuitivo

Los Controles existen pero no

están documentados. Esta

operación depende del

conocimiento y la motivación de

los individuos. La efectividad no

se evaluada adecuadamente.

Existen muchas deficiencias de

control que no se monitorean

adecuadamente por lo que el

impacto puede ser severo. Las

acciones administrativas para

resolver los problemas no están

priorizados ni son coherentes.

Los empleados no pueden no estar

al conscientes de sus

responsabilidades

La evaluación de las necesidades de

control se produce cuando sea

necesario para procesos seleccionados

que permitan determinar el nivel de

madurez actual con el que cuenta la

empresa. Un enfoque informal de

taller, con la participación de los

administradores de TI y el equipo

envuelto en el proceso, es usado para

definir un enfoque adecuado que

controle los procesos y motive un plan

de acción acordado.

3- Definido Los controles existen y son

documentados adecuadamente. La

efectividad operativa es evaluada

periódicamente y existe un

número promedio de problemas,

sin embargo el proceso de

Los procesos críticos de TI son

identificados basados en factores de

valor y riesgo. Un análisis detallado es

realizado para identificar los

requerimientos de control y la causa

de lagunas y desarrollar oportunidades

46

evaluación no está documentado.

Si bien la administración es capaz

de hacer frente a la mayor parte de

problemas de control de forma

predecible, algunas debilidades de

control persisten y los impactos

podrían ser graves. Los empleados

son conscientes de sus

responsabilidades de control.

de mejora. Además de los talleres

facilitados, se utilizan herramientas y

se realizan entrevistas para apoyar el

análisis y asegurar que el propietario

de un proceso de TI posee y dirige el

proceso de evaluación y mejora.

4- Administrado

y Medido

Se encuentra un ambiente de

administración de riesgos y de

control interno efectivo. Hay una

evaluación formal y documentada

de los controles que se producen

frecuentemente. Muchos controles

están automatizados y se revisan

regularmente. Es probable que la

gerencia detecte la mayor parte de

problemas de control, pero no

todos se identifican de forma

rutinaria. Hay un seguimiento

constante para atender las

deficiencias de control. Un uso

táctico y limitado de la tecnología

es aplicado para automatizar

controles.

La criticidad de los procesos de TI son

regularmente definidos con un

completo apoyo y el acuerdo de los

propietarios de procesos de negocio

relevantes. La evaluación de

requerimientos de control está basada

en políticas y la madurez real de los

procesos, tras un análisis minucioso y

medido que involucre a los actores. La

rendición de cuentas para estas

evaluaciones es clara y forzada. Las

estrategias de mejora son apoyadas

pos los casos de negocio. El

rendimiento en el logro de los

resultados deseados es constantemente

supervisado. Las revisiones de control

externo son organizadas

ocasionalmente.

5- Optimizado Un programa organizacional de

riesgo y control proporciona

solución continua y efectiva a los

diferentes problemas que se

puedan presentar. El control

interno y la gestión de riesgo están

integrados con las practicas de la

empresa, apoyadas por un

monitoreo automatizado en

tiempo real y una rendición de

cuentas completa para el

seguimiento de controles,

administración de riesgo e

implantación del cumplimiento.

Las evaluaciones de control son

continuas, basadas en las

Los cambios en el negocio consideran

la criticidad de los procesos de TI y

cubre alguna necesidad de volver a

evaluar la capacidad de control en los

procesos. Los dueños de Procesos de

TI regularmente desarrollan la

autoevaluación para confirmar que los

controles están en el nivel adecuado

de madurez para satisfacer las

necesidades del negocio y tienen en

cuenta los atributos de la madurez

para encontrar caminos que permitan

hacer los controles más eficientes y

efectivos. Para procesos críticos, se

realizan revisiones independientes que

proporcione seguridad de que los

47

autoevaluaciones, las causas de

raíz y el análisis de brechas.

controles están en un nivel deseado de

madurez y trabajan según lo planeado.

Tabla 7 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]

La evaluación del modelo de madurez es uno de los pasos finales en el proceso de evaluación.

El profesional de TI puede dirigir los controles clave dentro del ámbito de programa de trabajo y

formular una evaluación objetivo de los niveles de madurez de las prácticas de control. La

evaluación de madurez puede ser una parte del informe de control y aseguramiento, como

herramienta de medición de año tras año que permita reflejar el progreso en la mejora de

controles. Sin embargo, hay que señalar que la percepción del nivel de madurez puede tener una

variación entre el propietario del proceso de TI y el asegurador. Por lo tanto, se debe obtener

primero el acuerdo de los stakeholders antes de presentar el informe final a la dirección.

Al final de la revisión, una vez todos los hallazgos y recomendaciones han sido completados, el

profesional evalúa el estado actual del marco de control COBIT y asigna un nivel de madurez

utilizando la escala de los 6 niveles. Algunas personas utilizan decimales para indicar grados de

cada nivel en el modelo de madurez. Como una referencia mas, COBIT proporciona una

definición de las designaciones de madurez para el objetivo de control [Domenech & Lenis,

2007]. Si bien este enfoque no es obligatorio, el proceso es suministrado como una sección de

separación en el fin de la guía metodológica de control y aseguramiento de Cloud Computing

para las Pymes que deseen implementarlo. Además es sugerido que una evaluación de madurez

este hecho a nivel de control de COBIT, para proporcionar más valor al cliente, obteniendo los

objetivos de madurez directamente de stakeholder. Usando la evaluación y los niveles objetivo

de madurez, la persona puede crear una presentación grafica que describe los logros y las

debilidades entre los objetivos de la madurez real y el objetivo planteado. Para tal fin se

proporciona una grafica de este documento, basada en evaluaciones sencillas.

6.8 Marco De Control y Aseguramiento

COBIT es un marco para el gobierno de TI que ofrece un conjunto de herramientas de apoyo

para que los administradores del sistema puedan reducir la brecha entre los requerimientos de

control, problemas técnicos y riesgos del negocio. Además, desarrolla políticas claras y buenas

prácticas para el control de TI dentro de las empresas.

Cloud Computing afecta todo TI y las funciones de unidad del negocio, tal como se puede

observar en los siguientes dominios con sus respectivos procesos de TI de COBIT [Domenech

& Lenis, 2007]:

Planeación y Organización (PO).

PO9 Evaluar y Administrar los riesgos de TI

Entregar y Dar Soporte (DS)

DS1 Definir y administrar los niveles de servicio,

DS2 Administrar los servicios de terceras partes,

DS4 Garantizar la continuidad del servicio,

DS5 Garantizar la seguridad de los Sistemas,

DS8 Administrar la mesa de servicios e incidentes,

DS9 Administrar las configuraciones,

48

DS11 Administrar los datos

Monitorear y Evaluar (ME).

ME2 Monitorear y evaluar el control interno

ME3 Garantizar el cumplimiento regulatorio

De estos procesos de debe tener en cuenta que son el principal control para dirigir y mantener

las relaciones con terceros y además tienen referencias cruzadas dentro de la guía de control y

aseguramiento de la nube.

Cloud Computing ha tocado puntos con la infraestructura total de TI y por eso, esta guía

metodológica de control y aseguramiento de Cloud Computing para Pymes tiene numerosas

referencias cruzadas con los dominios y procesos de COBIT. Estas secciones aparecen en la

columna de cruce de referencias de COBIT de la guía metodológica.

49

7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y

ASEGURAMIENTO

1.1 Definir los objetivos del proceso de Control y Aseguramiento

Los objetivos de control y aseguramiento son de alto nivel y describen los objetivos

de control general.

1.1.1 Revisar los objetivos de control y aseguramiento en la introducción, para la

guía metodológica.

1.1.2 Modificar los objetivos de control y aseguramiento para alinear con el

universo de control, el plan anual de la pyme.

1.2 Definir los límites de la revisión

La revisión debe tener definido un alcance. Entender el proceso principal de negocio

y su alineamiento con TI, en su forma de Cloud y no Cloud de aplicación actual y

futura.

1.2.1 Obtener una descripción de todos los ambientes en uso de Cloud Computing

y bajo consideración.

1.2.2 Obtener una descripción de todas las aplicaciones en uso de Cloud

Computing y bajo consideración.

1.2.3 Identificar los tipos de servicios en la Cloud (IaaS, PaaS, SaaS) en uso o bajo

estudio, y determinar los servicios las soluciones de negocios para ser incluidas

50

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

en la revisión.

1.2.4 Obtener y revisar los informes de control anteriores y los planes de

remediación. Identificar las cuestiones pendientes y evaluar cambios a los

documentos con respecto a estas cuestiones.

1.3 Identificar y Documentar los Riesgos

La evaluación de riesgos es necesaria para evaluar los recursos de aseguramiento en

los que se debe centrar. En las empresas pymes, los recursos de seguridad no están

disponibles para todos los procesos. Los riesgos se basan en el enfoque de garantizar

la utilización de los recursos de seguridad de la manera más eficaz.

1.3.1 Identificar los riesgos del negocio asociados con Cloud Computing de interés

para los dueños del negocio y los principales interesados.

1.3.2 Verificar que los riesgos del negocio están alineados, calificados y

clasificados con los criterios de seguridad en Cloud Computing tales como la

Integridad, Disponibilidad y la Confidencialidad.

1.3.3 Revisar programas de aseguramiento anteriores de Cloud Computing dentro

de la pyme.

1.3.4 Determinar si el riesgo identificado previamente ha sido dirigido

apropiadamente.

1.3.5 Evaluar el factor de riesgo en general para realizar la revisión dentro de la

pyme.

1.3.6 Basado en la evaluación de riesgos, identificar cambios en el alcance.

1.3.7 Discutir los riesgos con la administración de TI, y ajustar la evaluación de

riesgo.

51

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

1.3.8 Basado en la evaluación de riesgo, revisar el alcance.

1.4 Definir el proceso de cambio

El enfoque inicial de aseguramiento está basado en el entendimiento del revisor del

ambiente operativo y riesgos asociados. Como la investigación y el análisis están

desarrollados, se pueden generar cambios en el alcance y el enfoque.

1.4.1 Identificar el aseguramiento de altos recursos de TI responsables para la

revisión.

1.4.2 Establecer el proceso para sugerir y aplicar los cambios a la guía de control

y aseguramiento con las autorizaciones requeridas.

1.5 Definir asignación de éxito.

Los factores de éxito necesarios para ser identificados. Comunicación entre el equipo de

TI, otros equipos de aseguramiento, y los directivos de la empresa.

1.5.1 Identificar los controladores para una revisión exitosa.

1.5.2 Comunicar los atributos de éxito al dueño del proceso o a los interesados, y

obtener el acuerdo.

1.6 Definir los recursos de control y aseguramiento requeridos

Los recursos de seguridad requeridos para una revisión exitosa necesitan ser

definidos.

1.6.1 Estimar el total de recursos de seguridad (horas) en marco de tiempo (Datos

de inicio y finalización) requerido para hacer la revisión.

1.7 Definir los resultados finales

Los resultados finales no se deben limitar a ser registrados en el informe final. La

comunicación en el equipo de seguridad, el dueño del proceso acerca del número, el

52

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

formato, el calendario y la naturaleza de las prestaciones es esencial para la asignación

de éxito.

1.7.1 Determinar los entregables provisionales, incluyendo hallazgos iniciales,

estado de los informes, borrador de los informes, fecha de vencimiento en

respuestas o reuniones y el informe final.

1.8 Comunicaciones

El proceso de control y aseguramiento debe ser claramente comunicado al cliente.

1.8.1 Conducir una conferencia de apertura para discutir:

• Revisión de objetivos con los interesados

• Documentos y recursos de información de seguridad son necesarios

para realizar efectivo el examen

• Líneas de tiempo del resultado final

2. GOBIERNO EN CLOUD COMPUTING

2.1 Gobierno y Gestión de Riesgo Empresarial (ERM)

2.1.1 Gobierno

Objetivo de Control y Aseguramiento: Las funciones de gobierno son

establecidas para asegurar una gestión eficiente y sostenible que genere

transparencia en las decisiones de negocio, líneas claras de responsabilidad,

información segura en alineamiento con estándares de la empresa

proveedora, reglamentación de los clientes y la rendición de cuentas.

2.1.1.1 Modelo de Gobierno

Control: La pyme tiene mecanismos que permite identificar todos los

proveedores e intermediarios de los servicios en Cloud Computing

DS5.1

ME1.5

ME4.1

x x x x

53

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

con los que opera actualmente y todas las implementaciones que

existen a través de la empresa. La empresa asegura que los clientes, la

seguridad de información y las unidades de negocio participan

activamente en las actividades de gobierno para alinear los objetivos

de negocio y las capacidades en seguridad de la información del

proveedor de servicios con los de la pyme.

ME4.2

2.1.1.1.1 Determinar si en TI, la seguridad de la información, y las

funciones clave del negocio han definido el marco de

gobierno y procesos integrados de monitoreo.

2.1.1.1.2 Determinar si en TI, las funciones de seguridad de la

información y las unidades clave de negocio participan

activamente en el establecimiento de ANS y las obligaciones

contractuales.

2.1.1.1.3 Determinar si la función de seguridad de la información ha

realizado un análisis de brechas en las habilidades de

seguridad informática con las que cuenta el proveedor del

servicio en contra de las políticas de la pyme respecto a la

seguridad de la información, amenazas, y las

vulnerabilidades que surgen de la transición a Cloud

Computing.

2.1.1.1.4 Determinar si el proveedor de Cloud Computing tiene

identificado los objetivos de control de los servicios

prestados.

54

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.1.1.1.5 Determinar si la pyme mantiene un inventario de todos los

servicios prestados a través de Cloud Computing.

2.1.1.1.6 Determinar que el negocio no puede adquirir servicios de

Cloud Computing sin la participación de TI y seguridad de

la información.

2.1.1.2 Información de Colaboración de la Seguridad

Control: Ambas partes definen la relación de informes y

responsabilidades

PO4.5

PO4.6

PO4.14

DS2.2

ME2.1

x x x x

2.1.1.2.1 Determinar si las responsabilidades de gobierno son

documentadas y aprobadas por el proveedor de servicio y el

cliente.

2.1.1.2.2 Determinar si las relaciones de dependencia entre el

proveedor de servicio y el cliente están claramente

definidas, identificando las obligaciones de los procesos de

gobernanza de ambas organizaciones.

2.1.1.3 Métricas y Acuerdo a Nivel de Servicio (ANSs)

Control: ANSs que apoyan los requerimientos de negocio están

definidos y aceptados por el proveedor del servicio y seguimiento.

PO4.8

DS1.2

DS1.3

DS1.5

DS1.6

DS2.4

x x x

55

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.1.1.3.1 Obtener los ANSs y determinar si reflejan los

requerimientos del negocio.

2.1.1.3.2 Determinar que los ANSs son monitoreados utilizando

indicadores medibles que proporcionan una supervisión

adecuada y la alarma temprana de rendimiento inaceptable.

2.1.1.3.3 Determinar si el ANSs contiene clausulas que aseguren

servicios en caso de cambios en la gestión o adquisiciones.

2.1.2 Gestión de Riesgo Empresarial (ERM)

Objetivo de Control y Aseguramiento: Las practicas de gestión de riesgo son

implementadas para evaluar riesgos inherentes en el modelo de Cloud

Computing, como identificar apropiadamente mecanismos de control, y

asegurar que el riesgo residual está dentro de los niveles aceptables.

2.1.2.1 Identificación de Riesgos

Control: El proceso de gestión de riesgos, proporciona una evaluación

de los riesgos para el negocio, mediante la implementación del

modelo de procesamiento en Cloud Computing y está alineado con el

ERM.

PO9.3

PO9.5

ME4.2

ME4.5

x x x

2.1.2.1.1 Determinar si la empresa tiene el modelo de ERM

2.1.2.1.2 Si un modelo de ERM ha sido implementado, determinar si

la evaluación de riesgos de Cloud Computing está alineado

con el ERM de la empresa.

2.1.2.1.3 Determinar si los servicios prestados por el proveedor y el

56

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

modelo de procesamiento seleccionado limita la

disponibilidad o la ejecución de las actividades de seguridad

de la información requerida, tales como:

• Restricciones en las evaluaciones de vulnerabilidades y

la prueba de penetración.

• Disponibilidad de registros de aseguramiento

• Acceso a los informes de seguimiento de la actividades

• Segregación de funciones y responsabilidades

2.1.2.1.4 Determinar si el enfoque de gestión de riesgo incluye lo

siguiente:

• Identificación y valoración de activos y servicios

• Identificación y análisis de amenazas y

vulnerabilidades con el impacto sobre los activos.

• Análisis del riesgo de eventos, con enfoque en los

escenarios

• Documentos de aprobación de la gerencia, de los

niveles de aceptación del riesgo y los criterios

• Plan de Acción de Riesgos (Control, evadir,

transferir o aceptar)

2.1.2.1.5 Determinar si durante la evaluación de riesgo, los activos

identificados incluyen los activos del proveedor, los del

cliente y la clasificación de seguridad de la información

usados en la evaluación de riesgos están alineados.

57

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.1.2.1.6 Determinar si la evaluación de riesgo incluye el modelo de

servicio, las capacidades del proveedor de servicios y

condición financiera.

2.1.2.2 Integración de Riesgos y ANSs

Control: Los ANSs están alineados y desarrollados en conjunto con

los resultados de la evaluación de riesgos.

PO9.3

PO9.4

DS1.1

DS1.2

DS1.3

DS1.4

DS1.5

DS2.3

DS2.4

DS2.5

x x x

2.1.2.2.1 Determinar si los resultados del plan de acción de riesgos

están incorporados dentro de los ANSs.

2.1.2.2.2 Determinar si un proveedor de servicios común o la

evaluación de riesgos de los clientes se lleva a cabo para

verificar si todos los riesgos razonables han sido

identificados y si las alternativas de remediación de riesgos

se han identificado y documentado.

2.1.2.2.3 Cuando la evaluación de riesgos del proveedor ha

identificado que la gestión de riesgos no es efectiva,

determinar si la pyme ha realizado un análisis de sus

58

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

controles compensatorios y si cada control se ocupa de las

debilidades del proveedor de servicios.

2.1.2.3 Aceptación del Riesgo

Control: La aceptación del riesgo está aprobada por un miembro de

la gerencia con la autoridad de aceptarlo en nombre de la empresa

pyme y entiende las implicaciones de su decisión.

PO9.3

PO9.4

PO9.5

ME4.5

x x

2.1.2.3.1 Determinar si la gerencia ha realizado un análisis de la

cuantificación y aceptación del riesgo residual antes de

implementar la solución de Cloud Computing.

2.1.2.3.2 Determinar si la persona que acepta el riesgo tiene la

autoridad de tomar la decisión.

2.1.3 Información sobre la Gestión de Riesgos

Objetivo de Control y Aseguramiento: Un proceso para administrar la

información de riesgo, existe y está integrado en el marco general de ERM.

La información de gestión de riesgos de información e indicadores está

disponible para la función de seguridad de la información, que administra

riesgos dentro de la tolerancia de riesgo del propietario.

2.1.3.1 Marco de gestión de Riesgo y Modelo de Madurez

Control: El marco de gestión de riesgos y el modelo de madurez

han sido implementados para cuantificar el riesgo y evaluar la

efectividad del modelo de riesgo.

PO9.1

PO9.2

PO9.3

PO9.4

DS5.1

ME4.5

x x x

59

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.1.3.1.1 Determinar si el marco de riesgo ha sido identificado y

aprobado.

2.1.3.1.2 Determinar si el modelo de madurez es usado para evaluar

la efectividad.

2.1.3.1.3 Revisar los resultados del modelo de madurez, y

determinar si la falta de madurez material afecta los

objetivos del control y aseguramiento.

2.1.3.2 Gestión de Controles de Riesgo

Control: La gestión de controles de riesgo es en efecto para

administrar las decisiones basadas en el riesgo.

PO9.3

PO9.4

PO9.5

PO9.6

x x x

2.1.3.2.1 Identificar los controles de la tecnología y los

requerimientos contractuales necesarios para tomar

decisiones basadas en hechos de información de riesgos, se

debe considerar:

• Uso de la información

• Controles de acceso

• Controles de seguridad

• Ubicación de la gestión

• Privacidad de controles

2.1.3.2.2 Para SaaS, determinar que la pyme tiene identificada la

información analítica necesaria del proveedor para apoyar

las obligaciones contractuales relacionadas con el

60

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

rendimiento, seguridad y logro de las ANSs.

2.1.3.2.3 Obtener los requerimientos analíticos de los datos,

determinar si la empresa monitorea de forma rutinaria y

evalúa el cumplimiento de las ANSs.

2.1.3.2.4 Para PaaS, determinar que la pyme tiene identificada la

disponibilidad de la información, las prácticas de control

necesarias para gestionar la aplicación y desarrolla

procesos de manera efectiva que guie la disponibilidad, la

confidencialidad, la propiedad de los datos, privacidad y

asuntos legales.

2.1.3.2.5 Determinar si la pyme ha establecido prácticas de

monitoreo que identifique problemas de riesgo.

2.1.3.2.6 Para IaaS, determinar que la pyme ha identificado y

monitorea el control, y la seguridad de los procesos

necesarios para proporcionar un entorno operativo seguro.

2.1.3.2.7 Determinar si el proveedor lleva a cabo los indicadores y

controles disponibles para ayudar a los clientes a cumplir

la gestión de riesgos de la información.

2.1.4 Administración de Terceras Partes

Objetivo de Control y Aseguramiento: El cliente reconoce las relaciones de

contratación externa con el proveedor del servicio. El cliente entiende sus

responsabilidades en el cumplimiento de los controles, y el proveedor de

servicio ha dado garantías de sostenibilidad en los controles.

61

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.1.4.1 Procedimientos del Proveedor de Servicios

Control: El proveedor de servicios pone a disposición de los clientes

las evaluaciones a terceras partes, utilizando generalmente

procedimientos aceptados, para describir las prácticas de control en

lugares donde el proveedor hace acto de presencia.

DS2.2

ME2.5

ME2.6

x x x

2.1.4.1.1 Determinar si el proveedor de servicios ha realizado y

publicado evaluaciones rutinarias.

2.1.4.1.2 Determinar si el alcance de la evaluación de la tercera parte

incluye descripción de los procesos ejecutados:

• Administración de Incidentes

• Continuidad del negocio y recuperación de desastres

• Copia de seguridad y localización de instalaciones

2.1.4.1.3 Determina si el proveedor de servicio realiza evaluaciones

internas de conformidad para sus políticas, procedimientos

y disponibilidad de métricas de control.

2.1.4.2 Responsabilidades del Proveedor de Servicios

Control: El proveedor de servicios ha establecido procesos para

alinear sus operaciones con los requerimientos del cliente.

DS2.2

ME2.5

ME2.6

x x

2.1.4.2.1 Determinar si los procesos de seguridad de información,

gestión de riesgos y procesos de cumplimiento por parte

del proveedor son evaluados continuamente e incluyen:

• Evaluaciones de riesgo y revisiones de instalaciones

y servicios para el control de debilidades

62

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

• Definición de servicio crítico, factores críticos para

el éxito de la seguridad de la información e

indicadores claves de desempeño.

• Evaluaciones de frecuencia.

• Procedimientos de mitigación para asegurar la

finalización oportuna de problemas identificados.

• Revisión del aspecto legal, control regulatorio y

requerimientos contractuales e industriales.

• El proveedor de servicios Cloud supervisa los

riesgos desde sus propios proveedores

• Los términos de uso deben estar diligenciados para

identificar roles, responsabilidades y rendición de

cuentas del proveedor de servicios.

• Revisión de disposiciones del contrato legal, las

leyes relativas a las cuestiones jurisdiccionales que

son responsabilidad del prestador del servicio

2.1.4.3 Responsabilidades del Cliente

Control: El cliente realiza los deberes que garanticen la sostenibilidad

y cumplimiento de los requisitos regulatorios

DS4.2

DS4.4

DS4.5

ME2.6

ME3.1

ME3.3

ME3.4

x x x

63

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.1.4.3.1 Determinar si el cliente ha realizado la debida diligencia con

respecto al gobierno en seguridad de la información por

parte del proveedor de servicios, gestión de riesgos y

cumplimiento de procesos como esta descrito en 2.1.4.2

Responsabilidades del Proveedor de Servicios.

2.1.4.3.2 Determinar si la pyme se ha preparado para la pérdida de los

servicios del proveedor, dentro de lo que se incluye:

• Una continuidad de negocio y un plan recuperación

de desastres para varios escenarios de interrupción de

procesamiento.

• Pruebas de continuidad de negocio y plan contra

desastres.

• Inclusión de los usuarios del negocio y los análisis

de impacto empresarial en el plan de continuidad

2.2 Cuestiones Legales y Descubrimiento Electrónico.

2.2.1 Obligaciones Contractuales

Objetivo de Control y Aseguramiento: El proveedor y la pyme como cliente

establecen acuerdos bilaterales y procedimientos para asegurar que las

obligaciones contractuales se cumplan, y que estas dirijan el cumplimiento de

requerimientos de ambos (El cliente y el proveedor de servicio)

2.2.1.1 Términos del Contrato

Control: Un equipo de contrato que representa a la pyme de forma legal,

DS1.6

DS2.2 x

64

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

financiera, en la seguridad de la información y las unidades de negocio han

identificado e incluido cuestiones contractuales requeridas dentro del

acuerdo desde la perspectiva del cliente, y el equipo legal del proveedor de

servicio ha proporcionado una evaluación contractual para satisfacción del

cliente.

DS2.4

ME2.5

ME2.6

ME3.1

2.2.1.1.1 Determinar si el acuerdo contractual define las responsabilidades

de ambas partes relacionado con la investigación de hallazgos, el

mantenimiento de litigios, preservación de la evidencia y

testimonio de expertos.

2.2.1.1.2 Determinar que el contrato del proveedor de servicios requiere

asegurar a la pyme como cliente que sus datos están preservados

y guardados, incluyendo datos principales e información

secundaria (Registros y Metadatos).

2.2.1.1.3 Determinar que el proveedor de servicios entiende sus

obligaciones contractuales para ofrecer a la pyme la guarda y

seguridad de sus datos. Revisar contratos que lleven a determinar

que estos están direccionados específicamente.

2.2.1.1.4Determinar que los derechos del cliente sobre la atención incluye

alcance total en monitoreo del contrato, incluyendo :

• Diligenciamiento de un precontrato

• Negociación de los términos del contrato

• Transferencia de la custodia de los datos

• Terminación del negocio o renegociación.

65

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

• Transición del procesamiento

2.2.1.1.5 Determinar que el contrato estipula que ambas partes entienden

sus obligaciones para la terminación prevista y no prevista de la

relación durante y después de las negociaciones y que el acuerdo

de precontrato o el contrato establece el regreso oportuno o la

eliminación segura de los activos.

2.2.1.1.6 Determinar que las obligaciones contractuales identifican

específicamente posibles responsabilidades en la violación de

datos de ambas partes y procesos cooperativos para ser

implementados durante la investigación y acciones de

seguimiento.

2.2.1.1.7 Determinar que el acuerdo ofrezca al cliente tener acceso al

rendimiento del proveedor de servicios y a pruebas de detección

de vulnerabilidades en una base regular.

2.2.1.1.8 Determinar que el contrato establece derechos y obligaciones

para ambas partes durante la transición al finalizar la relación y

después de la terminar el contrato.

2.2.1.1.9 Determinar si el contrato establece los siguientes procesos de

protección para datos:

• Divulgación completa de las prácticas y procedimientos en

seguridad interna del proveedor de servicios

• Políticas de retención de datos en conformidad con la

jurisdicción local de requerimientos.

66

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

• Presentación de informes sobre la localización geográfica en

la que se encuentran los datos del cliente.

• Circunstancias en las cuales los datos pueden ser embargados

y notificación de cada evento

• Notificación de la cita o descubrimiento concerniente a

cualquier dato o proceso del cliente.

• Sanciones por infracciones en los datos

• Protección contra la contaminación de datos entre los clientes.

2.2.1.1.10 Los requisitos de cifrado de datos en tránsito, en reposo y de

copia de seguridad están claramente indicadas en el acuerdo

contractual del modelo de servicio Cloud.

2.2.1.2 Implementación de Requerimientos Contractuales

Control: El cliente ha implementado apropiadamente los controles de

monitoreo para asegurar que las obligaciones contractuales se satisfagan.

DS1.5

DS1.6

DS2.4

ME2.5

ME2.6

x

2.2.1.2.1 Determinar que el cliente ha considerado y establecido

controles dentro de las obligaciones contractuales para garantizar

la retención de datos, la propiedad intelectual y la privacidad de

los datos contenidos dentro de su información.

2.2.1.2.2 Determinar que el cliente ha desarrollado apropiadamente la

cuestión de monitoreo de procesos para supervisar el desempeño

del proveedor de servicios sobre los requerimientos del contrato.

67

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.2.1.2.3 Determinar que el cliente ha establecido monitoreo de asuntos

internos para identificar las deficiencias en el cumplimiento del

contrato por parte del cliente

2.2.2 Cumplimiento Legal

Objetivo Control y Aseguramiento: Los asuntos legales relacionados con

requerimientos funcionales, jurisdiccional, y contractuales están dirigidos para

proteger ambas partes, documentados, aprobados y debidamente monitoreados.

2.2.2.1 Cumplimiento Legal

Control: El cumplimiento legal para leyes nacionales e internacionales

está definido como un componente del contrato.

DS1.6

ME3.1 X

2.2.2.1.1 Determinar si las leyes internacionales y nacionales están

definidas y consideradas en el contrato.

2.2.2.1.2 Determinar si el proveedor del servicio y el cliente han

acordado un proceso unificado para responder a las citaciones,

procesos de servicio y otros requisitos legales.

2.3 Cumplimiento de normas y auditoría

2.3.1 Derecho de Auditoría

Objetivo de Control y Aseguramiento: El derecho para auditoría está

claramente definido y satisface los requerimientos de aseguramiento en la

tarjeta de administración del cliente, estatuto de auditoría, auditores externos y

cualquier reglamentación que tenga jurisdicción sobre el cliente.

2.3.1.1 Derechos de Auditoría por contrato

Control: Los derechos de auditoría, según lo acordado en el contrato,

ME2.5

ME2.6 x x x

68

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

permiten al cliente realizar evaluaciones de control profesionales. ME3.1

ME3.3

ME3.4

2.3.1.1.1 Revisar los derechos de auditoría en el contrato, y

determinar si las actividades de auditoría pueden ser

restringidas o reducidas por el proveedor de servicios.

2.3.1.1.2 Si los problemas de derechos de auditoría están

identificados, se prepara un resumen apropiado de los

hallazgos y se realiza una reunión con el proveedor del

servicio. Si es necesario y apropiado, se busca llegar al

comité de auditoría.

2.3.1.2 Revisiones de Terceras Partes

Control: El proveedor de servicios presenta revisiones de terceros que

cumplan los requerimientos profesionales de los trabajos realizados

por una organización reconocida de auditoría. El informe muestra los

controles en el lugar por el proveedor de servicio y certifica que los

controles han sido probados utilizando reconocidos criterios de

selección. Un periodo de prueba previamente acordado proporciona

una descripción de clientes recomendados, las responsabilidades del

proveedor de servicios y los controles que se deban emplear.

2.3.1.2.1 Obtener el informe de un tercero.

2.3.1.2.2 Determinar que el informe aborda los mecanismos de control

utilizados por el cliente.

69

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.3.1.2.3 Determinar que las descripciones y los procesos son

relevantes para los clientes del proveedor de servicios.

2.3.1.2.4 Determinar que el informe ha descrito los controles clave

necesarios que el revisor evalúa el cumplimiento de

objetivos de control apropiados.

2.3.1.2.5 Determinar que el informe y las pruebas cumplan con las

disposiciones de aseguramiento del cliente y requisitos de

cumplimiento de todos los reguladores que tiene jurisdicción

sobre el cliente.

2.3.1.2.6 Haciendo uso del universo de clientes de auditoría

autorizados, comparar el alcance del universo de auditoría

con el alcance de informes de terceros; Identificar

debilidades en este último requiere cubrimiento adicional de

aseguramiento.

2.3.1.2.7 Determinar si las relaciones del proveedor de servicio cruza

límites internacionales y si esto afecta la capacidad de

confiar en el informe de terceros.

2.3.2 Capacidad de Verificación

Objetivo de Control y Aseguramiento: El entorno de operatividad del proveedor

debe estar sujeto a la auditoría para cumplir los reglamentos de auditoría del

cliente, cumplimiento de requerimientos y los controles de buenas prácticas sin

restricciones.

2.3.2.1 Revisiones de Aseguramiento del Cliente sobre los Procesos del DS2.3 x x x x

70

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

Proveedor de Servicio

Control: El cliente realiza revisiones apropiadas para completar o sustituir

comentarios de terceros como es requerido en su universo y estatutos de

auditoría.

DS2.4

ME2.1

ME2.5

ME2.6

ME3.1

ME3.3

ME3.4

2.3.2.1.1 Determinar si las evaluaciones complementarias de

aseguramiento (Si un tercer revisor ha sido proporcionado) o

evaluaciones principales de aseguramiento son requeridas.

2.3.2.1.2 Generar solicitudes apropiadas al proveedor de servicio y

una programación de revisiones. Nota: Hacer uso apropiado

de programas de auditoría para estas revisiones.

2.3.3 Alcance de Cumplimiento

Objetivo de Control y Aseguramiento: El uso de Cloud Computing no es

inválida o viola algún acuerdo de cumplimiento del cliente.

2.3.3.1 Factibilidad de Cumplimiento de Seguridad de Datos

Control: La regulación de datos está identificada en el tema de cumplimiento

y son mapeados para el regulador de requerimientos. Las brechas son

evaluadas para determinar si la plataforma de Cloud Computing invalidara o

debilitara los requerimientos de cumplimiento.

ME3.1

ME3.2

ME3.3

x x x

2.3.3.1.1 Determinar si el cliente ha identificado los requerimientos

legales y regulatorios que se deben cumplir.

71

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.3.3.1.2 Determinar si el cliente ha agregado requerimientos para

reducir la duplicación de los mismos.

2.3.3.1.3 Utilizando la documentación reunida en el Gobierno y

Gestión de Riesgo Empresarial, Descubrimiento Legal,

Electrónico y Derecho de Secciones de Auditoría se realiza un

análisis de debilidades o carencias contra la normatividad de

datos con el fin de determinar si hay algún requisito

regulatorio que no pueda ser completado por el modelo de

Cloud Computing.

2.3.3.2 Responsabilidades en la protección de Datos

Control: El escenario de implementación (SaaS, PaaS, IaaS) define las

responsabilidades de protección de datos entre la pyme y el proveedor

de servicios, y estas responsabilidades son claramente establecidas

contractualmente.

DS2.2

DS5.1

DS11.6

x

2.3.3.2.1 Determinar que las responsabilidades para la protección de

datos está basada sobre el riesgo para la implementación del

escenario.

2.3.3.2.2 Revisar el contrato para determinar la asignación de

responsabilidades.

2.3.3.2.3 Con base en el contrato, determinar si el proveedor del

servicio de cada cliente ha establecido las medidas adecuadas

en la protección de datos en el alcance de sus

responsabilidades.

72

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

2.3.4 Certificación ISO 27001

Objetivo de Control y Aseguramiento: La garantía de seguridad por parte del

proveedor del servicio esta proporcionada a través de la certificación ISO

27001.

DS5.1

ME2.6

ME2.7

ME3.4

x

2.3.4.1 Información de Certificación de Seguridad ISO

Control: La certificación ISO 27001 ofrece el cumplimiento de

aseguramiento del proveedor de servicios a los procesos de seguridad de

mejores prácticas.

2.3.4.1.1 Determinar si el proveedor de servicio ha recibido la

certificación ISO 27001. Si es así, ajustar el alcance del

programa de auditoría para que se vea reflejada esta

certificación.

2.4 Portabilidad e Interoperabilidad

2.4.1 Servicio de Planeación de la Transición

Objetivo de Control y Aseguramiento: La planeación para la migración de

datos, tales como formatos y accesos, es esencial para reducir riesgos

operacionales y financieros al final del contrato. La transición de los servicios

debe ser considerado al inicio de las negociaciones del contrato.

2.4.1.1 Portabilidad

Control: Procedimientos, capacidades y alternativas son establecidos,

mantenimiento, control, y un estado de alerta ha sido establecido para la

transferencia de operaciones de Cloud Computing a un proveedor

alternativo en caso de que el proveedor de servicio seleccionado no sea

PO2.1

PO4.1

PO4.2

PO4.4

PO4.5

x

73

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

capaz de cumplir con los requisitos contractuales y el cese de

operaciones.

2.4.1.1.1 Todas las soluciones de Cloud.

2.4.1.1.1.1 Determinar que los requisitos de hardware y software,

más la viabilidad de mover desde un proveedor de

servicios existente (Proveedor Legal) a otro proveedor

(Nuevo proveedor) ha sido documentado por cada

iniciativa de Cloud Computing.

2.4.1.1.1.2 Determinar que un proveedor de servicios alternativo

para cada legado de proveedor ha sido identificado y

que la viabilidad para transferir procesos ha sido

evaluado.

2.4.1.1.1.3 Determinar si el análisis de viabilidad incluye

procedimientos y tiempos estimados para mover

grandes volúmenes de datos, en su caso.

2.4.1.1.1.4 Determinar si el proceso de portabilidad ha sido

probado.

2.4.1.1.2 Soluciones Cloud en el escenario IaaS

2.4.1.1.2.1 Determinar si el análisis de viabilidad de transferencia

del escenario IaaS heredado del proveedor de servicios

incluye todas las funciones de propiedad o procesos

que impidan o retrasen la transferencia de operaciones.

2.4.1.1.2.2 Determinar si el análisis de portabilidad incluye

74

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

procesos para proteger la propiedad intelectual y

datos del proveedor de servicios una vez que el

legado de la transferencia ha sido completada.

2.4.1.1.3 Soluciones Cloud en el escenario PaaS

2.4.1.1.3.1 Determinar si el análisis de viabilidad incluye

identificación de componentes de aplicación y

módulos que son propietarios pueden requerir

programación durante la transferencia.

2.4.1.1.3.2 Determinar si el análisis de portabilidad incluye:

• Traducción de funciones para el nuevo proveedor de

servicios

• Procesamiento Interno hasta que un nuevo

proveedor de servicios se encuentre en modo

operacional.

• Prueba de nuevos procesos antes del lanzamiento

para el nuevo ambiente de producción en el nuevo

proveedor de servicio

2.4.1.1.4 Soluciones Cloud en el escenario SaaS

2.4.1.1.4.1 Determinar si el análisis de portabilidad incluye:

• Un plan de copia de seguridad de los datos en un

formato que sea utilizable por otras aplicaciones.

• Rutina de copia de seguridad de los datos

• Identificación de las herramientas personalizadas

75

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

requeridas para procesar los datos y los planes de

ampliación.

• Pruebas de la nueva aplicación del proveedor de

servicio y la debida diligencia antes de la

conversión.

3. OPERACIÓN EN CLOUD COMPUTING

3.1 Respuestas a incidentes, Notificación y Reparación

Objetivo de Control y Aseguramiento: Notificar incidentes, revisar que las respuestas y

corrección son documentados a tiempo, hacer frente al riesgo del incidente

intensificando la gestión cuando sea necesario y dando un cierre formal.

3.1.1 Respuesta a Incidentes

Control: El Contrato ANSs describe definiciones especificas de incidentes

(Debilidades en los datos, violaciones a la seguridad), actividades sospechosas, y

acciones para ser iniciado en responsabilidad de ambas partes.

DS1.5

DS1.6

DS2.2

DS2.4

DS5.6

DS8.1

DS8.2

DS8.3

DS8.4

x x

3.1.1.1 Obtener y revisar las ANSs por contrato para determinar que incidentes

y eventos están claramente definidos y las responsabilidades asignadas.

3.1.1.2 Revisar acuerdos de cooperación, y evaluar las responsabilidades para la

investigación de incidentes.

76

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

3.1.1.3 Notificación de procedimientos acordados para leyes locales que están

incorporadas en los incidentes y procesos eventuales.

3.1.2 Problema de Seguimiento del Proveedor de Servicio

Control: Los procesos de monitoreo son implementados y activamente usados por

el proveedor de servicios para documentar e informar todos los incidentes

definidos.

DS1.5

DS1.6

DS2.2

DS2.3

DS2.4

DS5.6

DS8.1

DS8.2

DS8.3

DS8.4

x x x

3.1.2.1 Obtener y revisar los procedimientos de monitoreo del proveedor de

servicio.

3.1.2.2 Determinar si los requerimientos del informe de monitoreo están alineados

con la política de notificación de incidentes de la pyme como cliente.

3.1.2.3 Obtener los informes de incidentes monitoreados por un periodo

representativo de tiempo.

3.1.2.3.1 Determinar qué:

• Cliente fue notificado del incidente dentro de los requerimientos

del ANS.

• Corrección fue a tiempo basada en el alcance y riesgo del

incidente.

77

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

• Corrección fue apropiada

• El problema es escalado si es apropiado

• El problema fue cerrado y el cliente es notificado de forma

apropiada.

3.1.3 Problema de Seguimiento del Cliente

Control: El cliente ha establecido un proceso de vigilancia para rastrear incidentes

internos e incidentes del proveedor de servicios.

DS5.6

DS8.1

DS8.2

DS8.3

DS8.4

DS8.5

ME2.3

x x

3.1.3.1 Obtener el procedimiento de control de incidentes del cliente.

3.1.3.2 Determinar si el procedimiento de control de incidentes que rastrea tanto

los incidentes internos como los del proveedor de servicios.

3.1.3.3 Seleccionar una muestra de incidentes, y determinar qué:

• El proveedor de servicio notificó a la pyme como cliente sobre un

tiempo base dentro del alcance del contrato.

• La corrección fue a tiempo basada en el alcance y riesgo del

incidente.

• La corrección fue apropiada.

• El problema fue escalado dentro de la jerarquía del proveedor de

servicio.

• El tema fue cerrado por el proveedor de servicio.

78

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

• El problema fue monitoreado y reportado para la gestión de clientes.

• Los procedimientos del cliente fueron modificados para reconocer el

aumento del riesgo.

• Los incidentes internos del cliente fueron registrados por el cliente,

informados apropiadamente, corregido y cerrado.

3.2 Seguridad de Aplicaciones

3.2.1 Arquitectura de Seguridad aplicaciones

Objetivo de Control y Aseguramiento: Las aplicaciones son desarrolladas con

un entendimiento de la interdependencia inherente a aplicaciones en Cloud

Computing, requiriendo un análisis de riesgos, diseño de gestión de la

configuración y procesos de aprovisionamiento que soportarán cambios en las

arquitecturas de aplicaciones.

3.2.1.1 Arquitectura de Seguridad de Aplicaciones

Control: El diseño aplicaciones basado en Cloud Computing incluye

seguridad de la información, arquitectura de seguridad de la aplicación

sujeto a expertos en la materia, y el proceso se centra en

interdependencia inherente de aplicaciones en la nube.

AI2.4

DS5.1

DS5.2

DS5.7

x

3.2.1.1.1 Obtener la documentación del diseño de la aplicación, y

revisar las políticas para la participación de expertos en el

diseño del sistema.

3.2.1.1.2 Determinar que la seguridad de la información y los

especialistas de la arquitectura han estado completamente

comprometidos durante la planeación e implementación de

79

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

aplicaciones en la Cloud Computing.

3.2.1.1.3 Seleccionar las implementaciones recientes, revisar los planes

de proyecto y desarrollo de pruebas de seguridad de la

información y la participación de expertos en la materia.

3.2.1.2 Gestión de la Configuración y Aprovisionamiento

Control: La gestión de configuración y los procedimientos de

aprovisionamiento están segregados desde el proveedor de servicios,

limitado a una función de las operaciones de seguridad dentro de la

organización del cliente y proporciona rastros de aseguramiento para

documentar todas las actividades.

DS5.3

DS5.4

DS9.1

DS9.2

DS9.3

x

3.2.1.2.1 Obtener la gestión de configuración y la arquitectura de

seguridad de aprovisionamiento.

3.2.1.2.2 Determinar si el proveedor de servicio no puede configurar o

aprovisionar usuarios que pueden afectar la integridad de datos,

acceso o la seguridad.

3.2.1.2.3 Determinar si los registros y el seguimiento de aseguramiento

existen, el registro de estas actividades y la forma en que están

monitoreadas y revisadas.

3.2.2 Cumplimiento

Objetivo de Control Y Aseguramiento: Los requisitos de cumplimiento son un

componente integral del diseño y la implementación de la arquitectura de

seguridad de aplicaciones.

3.2.2.1 Cumplimiento AI2.3 x

80

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

Control: El ciclo de vida de desarrollo de sistemas incluye procesos para

asegurar que los requisitos de cumplimiento sean identificados,

mapeados para la aplicación basada en Cloud Computing, y están

incluidos en el producto final. Las brechas de cumplimiento se extienden

a la alta dirección para renunciar a la aprobación.

AI2.4

ME3.1

ME3.2

3.2.2.1.1 Obtener el análisis de cumplimiento utilizado como la base para

autorizar la iniciación de la aplicación basada en la nube.

3.2.2.1.2 Determinar si se lleva a cabo una revisión formal de

cumplimiento, si la autorización de la alta dirección es

requerida cuando las políticas internas de seguridad de

información necesitan una renuncia para permitir la

implementación de la aplicación basada en la Cloud

Computing.

3.2.3 Herramientas y Servicios

Objetivo de Control y Aseguramiento: El uso de herramientas de desarrollo,

librerías aplicación de gestión de bibliotecas y otro software son evaluados para

asegurar que su uso no afecten negativamente en la seguridad de las

aplicaciones.

3.2.3.1 Herramientas y Servicios

Control: Las herramientas y servicios usados en el desarrollo, gestión y

monitoreo de aplicaciones son detalladas, documentadas, y analizada de

acuerdo al efecto de la seguridad sobre la aplicación.

AI2.5

AI3.2

AI3.3

DS5.1

DS9.1

x x x

1.1.1.1 1.1.1.2

81

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

3.2.3.1.1 Obtener un análisis de herramientas y servicios en uso. 1.1.1.3 1.1.1.4

3.2.3.1.2 Determinar si la propiedad de cada herramienta y servicio ha

sido identificado.

3.2.3.1.3 Determinar si el riesgo de la seguridad de información ha sido

evaluada para cada herramienta y servicio. Si uno es

considerado como riesgo de seguridad, determinar la

disposición (escalada, renuncia al uso o no permitir el uso de

software en un ambiente de nube).

3.2.3.1.4 Examinar ejemplos de aumento de solicitudes, y determinar el

cumplimiento de procedimientos.

3.2.4 Funcionalidad de la Aplicación

Objetivo de Control y Aseguramiento: Para implementaciones en SaaS, la

aplicación tercerizada por Cloud Computing contiene la funcionalidad apropiada y

controles de procesamiento requeridos por las políticas de control del cliente

dentro del alcance de procesamiento (financiero, operacional, etc.).

3.2.4.1 Funcionalidad de la Aplicación

Control: La funcionalidad de la aplicación está sujeta a una revisión de

control como parte del aseguramiento de la aplicación del cliente.

ME2.5

ME2.6 x x x

3.3 Seguridad e Integridad de datos

3.3.1 Cifrado

Objetivo de Control y Aseguramiento: Los datos se transmiten y se

mantienen de forma segura para prevenir accesos no autorizados y

82

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

modificaciones.

3.3.1.1 Información en transito

Control: Los datos en tránsito son cifrados sobre redes con claves

privadas conocidas solamente por el cliente.

DS5.7

DS5.11

DS11.6

x

3.3.1.1.1 Obtener las políticas de cifrado y procedimientos para datos

en tránsito.

3.3.1.1.2 Evaluar si el proceso de cifrado incluye lo siguiente:

• Clasificación de los datos que atraviesan las redes de

Cloud Computing (Top Secret, confidencial estándar,

confidencial de la empresa, publico)

• Tecnologías de cifrado en uso

• Gestión de claves (véase el análisis de gestión de claves en

el punto 3.3.2)

• Una lista de organizaciones externas a los clientes que

tienen las claves de descifrado para datos en tránsito.

3.3.1.2 Información en Reposo

Control: Los datos almacenados en bases de datos de producción

en vivo sobre sistemas de Cloud Computing que están cifrados y

con conocimiento de las claves de descifrado limitadas para el

usuario.

DS11.2

DS11.3

DS11.6

x

3.3.1.2.1 Obtener las políticas y procedimientos de cifrado para

datos almacenados en sistemas de Cloud Computing.

3.3.1.2.2 Para implementaciones en SaaS, determinar si el

83

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

proveedor de servicio ha implementado cifrados para

información en reposo.

3.3.1.2.3 Determinar si los datos sensibles necesitan estar

almacenados exclusivamente en los sistemas de la

pyme como cliente para satisfacer sus políticas, los

requisitos de cumplimiento normativo o de otro tipo.

3.3.1.2.4 Evaluar si los proceso de cifrado incluye lo siguiente:

• Clasificación de datos almacenados sobre las redes

de Cloud Computing (Top secret, confidencial

estándar, confidencial de la empresa, publico)

• Tecnologías de cifrado en uso.

• Gestión de claves (véase el análisis de gestión de

claves en el punto 3.3.2)

• Una lista de organizaciones externas a los clientes

que tienen las claves de descifrado para datos en

tránsito.

3.3.1.3 Copia de Seguridad de los Datos

Control: Las copias de seguridad de los datos están cifradas.

DS11.2

DS11.3

DS11.5

DS11.6

x

3.3.1.3.1 Obtener políticas y procedimientos de copia de

seguridad de los datos para copias de seguridad de

datos basados en Cloud Computing.

84

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

3.3.1.3.2 Determinar si los datos son cifrados para evitar el

acceso no autorizado y la divulgación de datos

confidenciales.

3.3.1.3.3 Determinar si la estructura clave de cifrado proporciona

confidencialidad adecuada de los datos.

3.3.1.3.4 Evaluar si los procesos de copia de seguridad

proporcionan la capacidad para restaurar las

configuraciones y datos por un periodo predeterminado

que permita actividades forenses y otro tipo.

3.3.1.3.5 Determinar si las pruebas de restauración de datos se

llevan a cabo de forma rutinaria.

3.3.1.4 Prueba de Confidencialidad de Datos

Control: La prueba de datos no contiene y prohíbe el uso de

copias de todos los datos de una producción actual o histórica

que contienen información delicada y confidencial.

AI7.4

DS11.6 x

3.3.1.4.1 Obtener políticas y normas de pruebas.

3.3.1.4.2 Determinar si las políticas excluyen específicamente

el uso de una producción actual o histórica de datos.

3.3.1.4.3 Realizar procedimientos de muestreo para determinar

el cumplimiento con la prueba de datos y la política

de prohibición.

3.3.2 Gestión de Claves

Objetivo de Control y Aseguramiento: Las claves de cifrado están protegidas de

85

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

forma segura contra accesos no autorizados, la separación de deberes existentes

entre los administradores de claves y la organización, además son recuperables.

3.3.2.1 Almacén de Claves Seguras

Control: El almacén de claves está protegido durante la trasmisión,

almacenamiento y copia de seguridad.

DS5.7

DS5.8

DS5.11

x

3.3.2.1.1 Obtener una comprensión de cómo el almacén de claves está

protegidos.

3.3.2.1.2 Evaluar los controles de acceso, controles de transmisión y copias

de seguridad para asegurar que los almacenes de claves están en

posesión de los administradores de claves.

3.3.2.1.3 Identificar las debilidades potenciales de acceso para almacenes

de claves e identificar controles de compensación.

3.3.2.2 Acceso a Almacenes de Claves

Control: El acceso a los almacenes de claves está limitado a los

administradores de claves cuyos puestos de trabajo se encuentran

separados del proceso de protección de los almacenes de clave.

DS5.7

DS5.8 x

3.3.2.2.1 Identificar los administradores del almacén de claves.

3.3.2.2.2 Realizar una separación de funciones de análisis para

determinar las operaciones funcionales específicas con las que

el administrador del almacén de claves tiene acceso.

3.3.2.2.3 Evaluar si las posiciones de los administradores del almacén de

claves y su acceso a dichos almacenes crean una vulnerabilidad

para la confidencialidad o integridad de datos.

86

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

3.3.2.2.4 Determinar si el proveedor de servicio tiene acceso a las claves

o si tiene los procedimientos y supervisión para asegurar la

confidencialidad de los datos del cliente.

3.3.2.2.5 Determinar si los controles son adecuados para proteger las

claves en su generación y eliminación.

3.3.2.3 Copia de Seguridad de la Clave y su Valoración

Control: La copia de seguridad de la clave y la valoración han sido

establecidos y probados para asegurar el acceso continuo a las claves de

los datos.

DS4.3

DS4.8

DS4.9

DS5.7

DS5.8

x

3.3.2.3.1 Obtener las políticas y procedimientos de copia de seguridad y

valoración

3.3.2.3.2 Realizar una evaluación de riesgos, con vulnerabilidades

conocidas, para determinar que la clave de las copias de

seguridad estaría disponible y la recuperación estaría

asegurada.

3.3.2.3.3 Determinar si un proceso de prueba para recuperación de

clave existe y se ejecuta de forma rutinaria.

3.3.2.3.4 Revisar pruebas recientes de recuperación de claves. Evaluar

la validez de cada prueba, el análisis, el proceso de

recomendación usado y la preparación para restauración de

clave.

3.4 Gestión de Acceso e Identidad

87

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

3.4.1 Gestión de Acceso e Identidad

Objetivo de Control y Aseguramiento: El proceso de identidad garantiza que

solo usuarios autorizados tengan acceso a los datos y las fuentes, las

actividades del usuario pueden ser auditadas y analizadas, y el cliente tiene

control sobre la gestión de acceso.

3.4.1.1 Aprovisionamiento de Identidad

Control: El aprovisionamiento de usuarios, des aprovisionamiento y

cambios de trabajo en función de aplicaciones basadas en la Cloud

Computing y las plataformas de operación son gestionados de forma

oportuna y controlada, de acuerdo con las políticas internas de acceso

de usuario.

DS5.3

DS5.4

x

3.4.1.1.1 Obtener políticas de aprovisionamiento y des

aprovisionamiento interno.

3.4.1.1.2 Analizar las políticas de aprovisionamiento y des

aprovisionamiento en relación con los procedimientos

implementados para sistemas de Cloud Computing.

3.4.1.1.3 Identificar brechas en controles que requieren atención

adicional haciendo uso de otras guías de gestión de la

identidad.

3.4.1.2 Autenticación

Control: La responsabilidad de la autenticación de usuario se queda con

la pyme como cliente; inicio de sesión único y autenticación abierta se

PO3.4

DS5.3

DS5.4

x

88

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

debe utilizar.

3.4.1.2.1 Para SaaS y PaaS, Determinar si el cliente puede establecer

confianza entre el sistema de autenticación interna y el

sistema de Cloud Computing.

3.4.1.2.2 Determinar, donde hay una opción en la que el proceso de

autenticación de propiedad común se ha implementado en el

proveedor de servicios.

3.4.1.2.3 Si un proceso de autenticación de propiedad es la única

opción, determinar si los controles adecuados están en lugar

para:

• Prevenir compartimento de las identidades por parte de los

usuarios

• Proporcionar separación de deberes adecuado para

prevenir que el personal del proveedor obtenga las

identidades de los clientes.

• Proporcionar funciones forenses y registro que ayuda la

historia de las actividades.

• Proporcionar funciones de monitoreo que alerten al cliente

sobre actividades de autenticación no autorizadas.

3.4.1.2.4 Para IaaS:

• Si las VPNs dedicadas están implementadas entre el

proveedor de servicio y las instalaciones del cliente,

determinar si los usuarios están autenticados en la red del

89

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

cliente antes de pasar a las transacciones a través de la

VPN. Las VPNs dedicadas son implementadas para

autenticar usuarios en la red del cliente antes pasar a lo

largo de las transacciones a través de la VPN.

• Donde una VPN dedicada no sea posible, determinar si se

reconoce formatos de autenticación estándar que están en

uso en conjunción con SSL

3.4.1.2.5 Para IaaS e implementaciones privadas, verificar que las

soluciones de control de acceso a terceros opera

efectivamente en ambientes virtualizados o de Cloud

Computing, y que los datos pueden ser agregados y

correlacionados efectivamente para la revisión de gerencia.

3.4.1.2.6 Identificar brechas en controles que requieren atención

adicional haciendo uso de otras guías de gestión de la

identidad.

3.5 Virtualización

3.5.1 Virtualización

Objetivo de Control y Aseguramiento: La virtualización de sistemas

operativos se endurecen para evitar la contaminación cruzada con otros

entornos de clientes.

3.5.1.1 Virtualización

Control: El proveedor de servicios implementa controles de seguridad y

aísla los sistemas operativos para evitar accesos no autorizados y

DS2.4

DS5.5

DS9.2

x

90

Paso Guía Control y Aseguramiento

Objetivo de

Control

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mun

icac

ión

Monit

ore

o

Referencias

Cruzadas

Comentarios

ataques. DS9.3

3.5.1.1.1 Identificar la configuración de la maquina virtual en su sitio

3.5.1.1.2 Determinar si los controles adicionales han sido

implementados, incluyendo lo siguiente:

Detección de intrusos.

Prevención de Malware

Escaneo de vulnerabilidad

Línea base de gestión y análisis.

La maquina virtual de imágenes de validación antes de la

puesta en producción.

Evitar pasar por alto los mecanismos de seguridad por la

identificación de las APIs relacionadas con la seguridad en

uso.

Separar la producción y el entorno de pruebas.

Organización interna de gestión de la identidad para el

acceso administrativo.

Oportuno aislamiento de intrusión de presentación de

informes.

91

8. EVALUACIÓN DE MADUREZ

La evaluación de madurez es una oportunidad para evaluar la madurez de los procesos revisados. Basado en los resultados de la revisión de control y aseguramiento, más

las observaciones del revisor, se asigna un nivel de madurez para cada una de los siguientes objetivos o procesos de control desarrollada en COBIT. La evaluación debe

estar limitada para los objetivos de control relacionadas directamente con la implementación de Cloud Computing y debe ser aplicable al proveedor de servicios y el

cliente para el control de criterios mencionado previamente.

Objetivos de Control de COBIT

Madurez

Evaluado

Objetivo

Madurez Comentarios

DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

La comunicación efectiva entre la gerencia de TI y los clientes de negocio en relación con los

servicios que son requeridos se hace posible gracias a que se cuenta con una decisión documentada

unida a un acuerdo de servicios de TI y niveles de servicio. Este proceso también incluye

monitoreo y el informe oportuno a los participantes acerca del cumplimiento de los niveles de

servicio. Además, permite la alineación entre los servicios de TI y los requerimientos de negocio

relacionados.

DS2 ADMINISTRAR SERVICIOS DE TERCERAS PARTES

La necesidad de asegurar que los servicios proporcionados por terceros cumplan con los

requerimientos del negocio, requiere de un proceso efectivo de gestión de terceros. Este proceso se

cumple por la definición clara de roles, responsabilidades y expectativas en acuerdos con terceros

así como el monitoreo y la revisión del cumplimiento y la efectividad de los acuerdos. La gestión

eficiente de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores

que no se desempeñan adecuadamente.

DS4 ASEGURAR SERVICIO CONTINUO

La necesidad de brindar continuidad a los servicios de TI requiere desarrollar, mantener y probar

los planes de continuidad de TI, almacenar copias de seguridad fuera de las instalaciones y entrenar

92

Objetivos de Control de COBIT

Madurez

Evaluado

Objetivo

Madurez Comentarios

de forma habitual a cerca de los planes de continuidad. Un proceso efectivo de continuidad de

servicios minimiza la probabilidad y el impacto de una mayor interrupción de los servicios de TI,

sobre funciones y procesos clave del negocio.

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

La necesidad de mantener la integridad de la información y la protección de los activos de TI

requiere de un proceso de gestión de la seguridad. Este proceso incluye establecer y mantener de

los roles y responsabilidades de la seguridad, políticas, normas y procedimientos de TI. La

administración de la seguridad también incluye llevar a cabo monitoreo de seguridad, pruebas

periódicas y acciones correctivas de implementación para las debilidades o incidentes de seguridad

identificados.

DS8 GESTIONAR LA MESA DE SERVICIO E INCIDENTES.

Responder oportuna y efectivamente las consultas y problemas de los usuarios de TI, requiere un

buen diseño y buena ejecución de la mesa de servicio, y de un proceso de administración de

incidentes. Este proceso incluye la creación de una función de la mesa de servicio con registro,

escalamiento de incidentes, análisis de tendencias, análisis de causa, raíz y resolución. Los

beneficios del negocio incluyen incremento de la productividad gracias a la rápida resolución de

las consultas hechas por los usuarios. Además, el negocio puede identificar la causa raíz por medio

de un proceso de informes efectivos.

DS9 ADMINISTRAR LA CONFIGURACIÓN

Asegurar la integridad de configuraciones de hardware y software requiere establecer y mantener

un repositorio de configuraciones completo y efectivo. Este proceso incluye la recolección de

información de la configuración inicial, estableciendo líneas base, la verificación y aseguramiento

de la información de configuración, y la actualización del repositorio de configuraciones de

acuerdo a la necesidad.

93

Objetivos de Control de COBIT

Madurez

Evaluado

Objetivo

Madurez Comentarios

DS11 ADMINISTRACIÓN DE DATOS

La administración efectiva de datos requiere identificar requerimientos de datos. El proceso de

administración de datos también incluye el establecimiento de procedimientos efectivos para

administrar la librería de medios, copias de seguridad y recuperación de datos, y la eliminación

apropiada de medios.

ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO

Establecer un programa de control interno para TI requiere un proceso de monitoreo bien definido.

Este proceso incluye el monitoreo y reporte de excepciones de control, resultados de

autoevaluación y revisiones de terceros.

ME3 ASEGURAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS

Una efectiva supervisión del cumplimiento requiere el establecimiento de un proceso de revisión

para asegurar el cumplimiento de leyes, regulaciones y requerimientos contractuales. Este proceso

incluye identificar requerimientos de cumplimiento, optimizando y evaluando la respuesta, obtener

aseguramiento de que los requerimientos han sido cumplidos y finalmente integrados al reporte de

cumplimiento de las TI con el resto del negocio.

Tabla 8 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]

94

8.1 Evaluación De Madurez Vs. Objetivo De Madurez

Esta grafica de telaraña es un ejemplo de los resultados de la evaluación de madurez y objetivos de madurez para una empresa en específico.

0

1

2

3

4

5

DS5.1 Administración para seguridad de TI

DS5.2 Plan se seguridad de TI

DS5.3 Administración de identidad

DS5.4 Administración de Cuentas de usuario

DS5.5 Monitoreo, Vigilancia y pruebas de seguridad

DS5.6 Definición de incidentes de seguridad

DS5.7 Protección de la tecnología de seguridad

DS5.8 Gestión de llaves criptográficas

DS5.9 Prevención, detección y corrección de software

malicioso

DS5.10 Seguridad de la Red

DS5.11 Intercambio de datos sensitivos

Evaluación

Objetivo

Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez

95

9. REFERENCIAS Y BIBLIOGRAFÍA

Referencias

Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES

Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011, de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-evolucion-revolucion-no.1.html

Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud

Computing', CSA-Cloud Security Alliance.

Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad',

Revista Espaсola de Electrónica, 7.

Asofis (2009), 'Control interno –Informe Coso', Documento abierto al público.

Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado 22 de Febrero, 2011, de http://www.avanxo.com

Ayala, L. (2011), 'En la era de Cloud Computing', Colombia Digital. Recuperado 22 de Febrero, 2011, de http://www.colombiadigital.net/index.php?option=com_content&view=article&id=288:en-la-era-del-cloud-computing&catid=75:apropiacion-tic&Itemid=274

Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recursos

e información tecnológica empresarial para CIOs.

Castellanos, W. A. (2011), 'Consideraciones de seguridad y privacidad en Cloud Computing', in

Wilmar Arturo Castellanos Morales, ed., Deloitte ToucheLTDA, Deloitte,

wcastellanos@deloitte.com, 34.

Computing, S. C. (2009), 'Infrastructure as a Service (IaaS)', SearchCloudComputing.com.

Recuperado 22 de Febrero, 2011, de http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information and

related Technology', Information Systems Audit and Control Association, Technical report, IT

Governance Institute, Documento de Gobierno de TI.

Enisa (2008), 'Risk Manegement', Enisa. Recuperado 07 de Marzo, 2011, de http://www.enisa.europa.eu/act/rm

96

Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado 20 de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-era-de-desarrollo/

Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.

Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. Qué es? Para qué

sirve?', Arturogoga.

Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)', Global

Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo

Gutiérrez, J. (2010), 'Cloud Computing: una opción viable para su negocio?', in Juan Gutiérrez,

ed., , ACIS-Asociación Colombiana de Ingenieros de Sistemas.

Gutiérrez, A. (2009), 'Definición de Platform as a Service (PaaS)', Knol Beta - A unit of

knwoledge. Recuperado 18 de Febrero, 2011, de http://knol.google.com/k/qu%C3%A9-es-paas#

Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04 de Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-paas.html

Lenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and

related Technology', Information Systems Audit and Control Association, Technical

report, IT Governance Institute, Documento de Gobierno de TI.

Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recuperado 18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/

MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO',

MercadoTendencias.com. Recuperado 20 de Febrero, 2011, de http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/

MesaSectorial (2010), 'CLOUD COMPUTING UNA PERSPECTIVA PARA COLOMBIA',

Documento PDF.

Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de

gestión empresarial'.

Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de

conocimiento público, info@nasaudit.com.

NetworkSec (2008), 'Implantación de Gobierno de TI(Tecnologías de la Información)',

Resumen Ejecutivo, network-sec@network-sec.com, C/ Xàtiva 4-izquierda 646002 · Valencia.

Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar

conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la

información. Recuperado 20 de Febrero, 2011, de

97

http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemid=40

Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28 de

Febrero, 2011, de http://www.parallels.com/es/products/saas/

Piebalgs, A. (2010), 'Software as a Service', Noticias.Com. Recuperado 18 de Febrero, 2011, de http://www.noticias.com/opinion/software-as-service-4h3.html

SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry

Association, 9.

Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Software

Development 32, 5.

Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Riesgos

Corporativos-Marco Integrado'.

Toro, C. A. O. (2009), 'CLOUD COMPUTING COMO HERRAMIENTA FACILITADORA

PARA EL EMPRENDIMIENTO EN COLOMBIA'(23rd)'Proceedings of the 3rd ACORN-

REDECOM Conference México City May', 1.

Wolff, B. (2009), 'Cloud Computing – A Five Layer Model', BlueLock, 1. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--

98

10. ANEXOS

Anexo 1. Encuestas

Anexo 2. Diagramas Requerimientos