OBJETIVO Y ALCANCE - Trabajos de Grado de la...

GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES

AUTOR PABLO ANDRÉS HIDALGO LARA

DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO

PONTIFICIA UNIVERSIDAD JAVERIANAFACULTAD DE INGENIERÍA

DEPARTAMENTO DE INGENIERÍA DE SISTEMASBOGOTÁ D.C.

2011

1

Contenido1. OBJETIVO Y ALCANCE.....................................................................................................6

1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES revisara:6

1.2 Alcance.....................................................................................................................6

La revisión se enfoca en:......................................................................................................6

2. INTRODUCCIÓN.....................................................................................................................72.1 Propósito..................................................................................................................7

2.2 Marco de Control......................................................................................................7

2.3 Gobierno, Riesgo y Control de TI..............................................................................7

2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI.............7

3. CONCEPTOS GENERALES....................................................................................................93.1 Fundamentos..................................................................................................................9

3.2 Impactos de cloud computing......................................................................................19

3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing...................................20

3.4 COSO............................................................................................................................22

3.5 COBIT............................................................................................................................28

4. CARACTERIZACIÓN DE EMPRESAS............................................................................315. ESTABLECER REQUERIMIENTOS.................................................................................31

5.1 Escenario................................................................................................................32

5.2 Actores...................................................................................................................33

5.2.1 Actor Proveedor.................................................................................................33

5.2.2 Actor Cliente.......................................................................................................33

5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud Computing 33

5.2.4 Responsabilidades de los Actores.......................................................................34

5.3 Encuesta.................................................................................................................35

5.4 Resultados..............................................................................................................36

5.5 Requerimientos......................................................................................................36

6. COMO USAR ESTE DOCUMENTO.................................................................................406.1 Pasos del Programa de trabajo...............................................................................40

6.2 Objetivo de Control de COBIT.................................................................................41

6.3 Componentes de COSO..........................................................................................41

6.4 Referencias Cruzadas..............................................................................................44

6.5 Comentarios...........................................................................................................44

6.6 Habilidades Mínimas en Control y Aseguramiento.................................................442

6.7 Análisis Control de Madurez – COBIT.....................................................................44

6.8 Marco De Control y Aseguramiento.......................................................................47

7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES....................................................................................................49

1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO...........49

2. GOBIERNO EN CLOUD COMPUTING...........................................................................52

3. OPERACIÓN EN CLOUD COMPUTING.........................................................................75

8. EVALUACIÓN DE MADUREZ.........................................................................................918.1 Evaluación De Madurez Vs. Objetivo De Madurez..................................................94

9. REFERENCIAS Y BIBLIOGRAFÍA..................................................................................95Referencias.........................................................................................................................95

10. ANEXOS..........................................................................................................................98Anexo 1. Encuestas.............................................................................................................98

Anexo 2. Diagramas Requerimientos.................................................................................98

3

LISTA DE TABLAS

Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM.....................28Tabla 2 - División de responsabilidades SaaS [Enisa, 2008]........................................................34Tabla 3 -División de responsabilidades PaaS [Enisa, 2008].........................................................35Tabla 4 - División de responsabilidades IaaS [Enisa, 2008].........................................................35Tabla 13 – Requerimientos.........................................................................................................38Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM...................43Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007].......................................47Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]......................93

4

LISTA DE ILUSTRACIONES

Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009].................................................11Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011]...........................................................12Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010].......................................................13Ilustración 4 - ¿Que es PaaS? [Keene, 2009]..............................................................................13Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009]..............................16Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009]..............................17Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]...................................................................................................................................................23Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007].................................30Ilustración 9 - Diagrama Requerimientos...................................................................................38Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento......................39Ilustración 11 - Gobierno de Cloud Computing..........................................................................39Ilustración 12 - Operación de Cloud Computing.........................................................................40Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez.............................94

5

1. OBJETIVO Y ALCANCE

1.1 Objetivo – El control y aseguramiento de Cloud Computing en las PYMES revisara:

Proporcionar a los interesados una evaluación eficiente de los controles internos de Cloud Computing por parte del proveedor de servicios y la seguridad para sus empresas.

Identificar las deficiencias de control interno en la empresa Pyme del cliente y su relación con la del proveedor de servicios.

Proporcionar a los interesados una evaluación de calidad, con la capacidad de brindar confianza en las certificaciones con las que el proveedor de servicios cuenta en materia de controles internos. (ITIL, COBIT, Norma 27001,etc.)

La guía metodológica de control y aseguramiento de Cloud Computing no está diseñada para reemplazar o enfocar el control que se centra en el aseguramiento de una aplicación en específico y excluye la garantía de funcionalidad de una aplicación e idoneidad.

1.2 Alcance

La revisión se enfoca en:

El impacto del gobierno en Cloud Computing El cumplimiento contractual entre el proveedor del servicios y el cliente Control de problemas específicos en Cloud Computing.

Dado que los temas de la revisión se basan en gran medida en la eficacia de los controles generales de TI, es recomendable que estos estudios de control y aseguramiento en las siguientes áreas, sean realizados antes de la ejecución de la revisión de Cloud Computing, para ser empleadas de forma correcta en estas evaluaciones:

Gestión de Identidad (Si el sistema de gestión organizacional está integrado con el sistema de Cloud Computing)

Gestión de incidentes de seguridad (Para interactuar y gestionar con los incidentes en Cloud Computing)

Seguridad de red perimetral (como un punto de acceso a Internet) Desarrollo de Sistemas (en el cual la nube es parte de la infraestructura de las

aplicaciones) Gestión de Proyectos Gestión de Riesgos de TI Gestión de datos (para transmisión y almacenamiento de datos en los sistemas

de Cloud Computing) Gestión de vulnerabilidades

6

2. INTRODUCCIÓN

2.1 Propósito

La guía metodológica de control y aseguramiento en Cloud Computing para pymes, es una herramienta para ser usada como una hoja de ruta para la realización de un proceso de aseguramiento especifico. Esta guía está destinada para ser utilizada por profesionales de tecnología de información, control y aseguramiento de TI que cuenten con los conocimientos necesarios de la materia objeto de examen.

2.2 Marco de Control

Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT, más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud Computing en pequeñas y medianas empresas también conocidas como Pymes [Hidalgo/Caracterización de las empresa Cloud Computing, 2011]. Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco de control y las necesidades de la empresa en la que se encuentre.

2.3 Gobierno, Riesgo y Control de TI

Gobierno, riesgo y control de TI son 3 aspectos críticos en el desarrollo de cualquier proceso de gestión del aseguramiento. El gobierno del proceso bajo revisión, será evaluado como parte de las políticas y gestión de controles de supervisión. El riesgo juega un rol importante en la evaluación de lo que se controla y como se gestionan los enfoques y el riesgo, por lo cual ambos asuntos son evaluados como pasos en la guía de control y aseguramiento. Los controles son el punto principal de evaluación en el proceso. La guía de control y aseguramiento identifica los objetivos de control (Procesos de Cobit) y las medidas para determinar el diseño de control y la eficacia.

2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI

Se espera que los profesionales de control y aseguramiento de la pyme tengan la posibilidad de modificar este documento para el entorno en el cual se encuentran desarrollando y asegurando diferentes tipos de procesos. Este documento será utilizado como herramienta de examen y

7

punto de partida en pymes colombianas que estén haciendo uso de Cloud Computing. Además, de acuerdo con ese punto de formalidad esta guía no debe ser entendida como una lista de chequeo o como cuestionario. Se asume que los profesionales de control y aseguramiento tienen la experiencia necesaria para realizar este trabajo, el cual se recomienda este supervisado por un profesional con la experiencia necesaria para darle seguimiento al trabajo realizado en esta guía.

8

3. CONCEPTOS GENERALES

3.1 Fundamentos

A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actualidad.

3.1.1 ¿Qué es Cloud Computing?

Uno de los temas más confusos que rodean a Cloud Computing “Computación en la nube”, y sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009], quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo.La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en los últimos años como las novedades más influyentes de las empresas:

SaaS o Software como un Servicio: Un modelo de distribución de software a través de la red.

Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesamiento y almacenamiento como un servicio medible.

Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada.

Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través

9

de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones.

3.1.2 Características Esenciales

En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias de computación, estas son:Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que estar interactuando con su proveedor de servicios.La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las plataformas conectándose a internetTeniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independientemente de la disposición física de estas. Algunos de los recursos computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc.Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usualmente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite.Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente. Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplicaciones, toda la información es almacenada de forma redundante en backups que se utilizarían en algún caso de fallo.

10

3.1.3 Modelos de Servicio en la Nube

Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente se conoce también como el “Modelo SPI”, donde cada sigla de la palabra hace referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio).A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara [Gutiérrez J, 2010]:

Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009]

Software as a Service (SaaS) Es un modelo de distribución de software en el que la empresa proveedora aporta el servicio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos programas deben tener las condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcionamiento de esta capa:

11

Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011]

Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de software a través de la red.Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J, 2010]:

Nivel 1: Modelo ASP (Application Service Provider) . El cliente aloja el software o aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja.

Nivel 2: Configurable . Cada usuario cuenta con su propia instancia de la aplicación, cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el mantenimiento del software.

Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instancia con la cual trabajar, así como reducción de costos y espacio para disponer de almacenamiento suficiente para todas las instancias, como sucedía en los casos anteriores.

Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la aplicación que se utiliza según las necesidades, dando atención al número de clientes que estén usando el software, de esta forma el sistema se hace escalable a un número indeterminado de clientes evitando tener que rediseñarlo.

12

Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010]

Platform as a Service (PaaS).El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo.Paas incluye todas las facilidades al programador para diseñar, analizar, desarrollar, documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el servicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos. [Gutiérrez A, 2009]

Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración

Ilustración 4 - ¿Que es PaaS? [Keene, 2009]

13

Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene, 2009]:

Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo.Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando la escalabilidad del sistema. El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual proporciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo.El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcionadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el sistema.

Tal cual como en los demás modelos “como un Servicio”, las ventajas se basan en no tener que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad.Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo por parte de los clientes de no tener acceso a su propia información o de que personas ajenas tengan acceso a esta de alguna u otra forma.

Infrastructure as a Service (IaaS).El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores que estén a su disposición, etc.

Dentro de las principales características del modelo IaaS, encontramos:Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cuales serán las condiciones del contrato para ambos.Pago según el uso de capacidades computacionales ofrecidas por el proveedor.El ambiente proporcionado por el proveedor será en forma de maquinas virtuales.El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones

14

El proveedor se encargará de ofrecer todo el software requerido para mantener las necesidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas operativos, etc.El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet sin problemas, con backups de seguridad que garanticen la integridad de los datos.

Data Storage as a Service (DaaS).El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión con IaaS, [SNIA, 2009]

Communications as a Service (CaaS).La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento necesario de redes y la gestión de las comunicaciones, como el balanceo de carga.

Software Kernel.Esta capa gestiona la parte física del sistema. Controla los servidores a través de los sistemas operativos instalados, el software que permite la virtualización de las máquinas, la gestión de los clusters y del grid, etc.[Wolf, 2009]

Hardware as a Service (HaaS).HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros con maquinas que ofrecen la computación, almacenamiento, servidores, etc.[Wolf, 2009]

3.1.4 Modelos de Despliegue de Cloud Computing

Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de despliegue de Cloud Computing [Mell & Grance, 2009]:

Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para los clientes por medio del proveedor a través de internet. El ser pública no implica totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones para hacer uso de los servicios suministrados, además proporciona un medio flexible y rentable para el desarrollo de soluciones para los clientes.Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La diferencia entre ambas se encuentra es que en la privada los datos y procesamientos están administrados dentro de la organización sin las restricciones del ancho de banda, seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la seguridad y la recuperación.

15

Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organizaciones que comparten los mismos intereses, como una misión común o necesidades de seguridad similares. Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la privada.

Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009]

3.1.5 Modelo de Referencia de Cloud Computing

Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la relación y las dependencias entre los modelos de la nube. Aunque en la sección 3.1.3 (Modelos de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observo es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se relacionan con la seguridad de la información. La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes formas en las cuales el cliente interactúa con el servicio.

16

Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009]

Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a la plataforma.Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y dinámico por parte de los clientes. A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]:

SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del proveedor.

Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja integración ya que está desarrollada para que los desarrolladores elaboren sus propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, compensando así entre capacidades de plataforma con funciones de seguridad.

Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias aplicaciones, sistemas operativos, etc.

17

3.1.6 Ventajas de Cloud Computing

Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:

El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento, pues estos se encuentran en internet.

Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.

Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales, con un gasto lógico de software, hardware o personal.

Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno según la actividad que tenga en cada momento, evitando la escasez de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento.

El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de información por fallos del sistema.

La premisa de Cloud Computing es que por la subcontratación de partes de la información gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de manera más inteligente, más rápida y más barata.

3.1.7 ¿Cómo Cloud logra aportar estas ventajas?

Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:

Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las maquinas necesitan realizar para realizar dicha actividad.

Rápida movilización de los recursos: los recursos computacionales (servidores, redes, software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es totalmente medible.

Capacidad de “escalado elástico” atiende y gestiona la demanda fluctuante que se genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la

18

cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones o espacios de almacenamiento.

Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar virtualmente los recursos computacionales por los cuales está pagando el servicio en el momento que este lo requiera.

Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes y las formas debida de uso del servicio al cual esta accediendo.

Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus necesidades.

3.2 Impactos de cloud computing

Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está revolucionando el mundo de los servicios por la transformación de la informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de información. La continua influencia e innovación de Internet ha permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el cliente. Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un modelo bajo demanda.Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para

19

ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio. Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud Computing y el entorno de controlUna vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio.

3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing

Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuentra protegida es de vital importancia tener previstas acciones contundentes para la gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los administradores de la de seguridad de la información puede que necesiten ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son:

Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y sostenibilidad deben ser factores para considerar en el momento de la elección. La sostenibilidad es de una importancia particular para asegurar que el servicio estará disponible y la información puede ser vigilada.

El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibilidad, afectando gravemente las operaciones del negocio.

La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se encuentra realmente la información. Cuando la recuperación de la información se requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se encuentra almacenada.

20

El acceso de terceros a información sensible crea un riesgo que compromete la información confidencial. En Cloud Computing, esto puede provocar una amenaza significante para asegurar la protección de la propiedad intelectual y secretos comerciales.

La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la nube es responsable y responsable de las ramificaciones derivadas de posibles problemas.

Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing debe comprender el rol que juega en términos de backups, respuesta y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el contrato.

3.3.1 Estrategias para el manejo de riesgos en Cloud Computing

Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemente flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y los controles adicionales de información sensible o de alto valor para la organización.

A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desastres, deberá estar informado dentro del contrato.

21

La protección de la información evoluciona como resultado de un fuerte e integro SLA que es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento ayudara a la empresa en el manejo de su información una vez que sale a la organización y es transportada, almacenada o procesada en Cloud Computing.

3.3.2 Gobernabilidad y Cuestiones de Cambio con Cloud Computing

La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología de Cloud y sus proveedores.

Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas posibles de cambio. Además, los procesos que detallan la forma en que se almacena la información, archivado y copia de seguridad tendrán que ser examinados de nuevo.

Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuenta los usos de servicios en Cloud Computing.

3.4 COSO

Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commission, divulgo al mundo un informe de gran importancia para la historia del control interno. El Control Interno — Marco Integrado, conocido también como COSO ofrece una base clara y fundamental que establece los sistemas de control interno y determinar su eficacia. Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al Sistema de Control Interno que fueron determinadas en la Ley 24.156 de Administración Financiera y Sistemas de Control.

22

En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que evalúe la calidad de los controles.COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de control interno son:

1. Asegurar la eficiencia y eficacia de las operaciones2. Realizar informes financieros fiables3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.

Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales dentro de un sistema de control interno eficaz.

El Entorno de Control Evaluación del RiesgoActividades de ControlInformación Y ComunicaciónSupervisión

Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]

Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado, examinar los componentes del sistema de control en la organización e informar los resultados a la dirección o la gerencia.

Definición de objetivos. 23

Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado.

Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el resultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones determina si se puede asegurar a la organización la no existencia de ineficiencias significativas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmente brinda información útil que se comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación del control.

Información financiera. El objetivo de información financiera, está dirigido a la adecuación y eficacia de controles de gestión que rigen la confiabilidad de la información financiera que se utiliza en la comunicación con externos.

Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e internos. El cumplimiento trata principalmente con la correlación entre las leyes, procedimientos de la organización y, la práctica real.

3.4.1 COSO II – Gestión de Riesgos Corporativos (ERM)

El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso de ser adoptada por las grandes empresas.

En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la

24

ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante el intento por aumentar el valor de sus clientes o interesados.

La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad de aumentar valor. Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos por la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]:

Alinear el riesgo aceptado y la estrategia Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, determinando los objetivos requeridos y empleando mecanismos para administrar algunos riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar, reducir, compartir o aceptar.

Reducir las sorpresas y pérdidas operativas Las organizaciones aumentan la capacidad de identificar los acontecimientos potenciales con el propósito de establecer respuestas acordes a su nivel de complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asociados.

Identificar y gestionar la diversidad de riesgos para toda la entidad Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser eficaces e integradas a los impactos que se puedan dar en estos riesgos.

Aprovechar las oportunidades Considerando eventos potenciales, la gerencia identifica y aprovecha las oportunidades proactivamente, para poder sacarle valor a sus actividades.

Mejorar la dotación de capital Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficazmente las necesidades de dinero lo cual le facilita la administración del mismo.

25

Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino. De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una organización:

Normalmente se comporta como un proceso continuo que fluye por toda la organización.

Todo el personal de la organización está en la capacidad de aplicarlo. Se aplica en el establecimiento de la estrategia de control y gestión de riesgos. La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo

a nivel conjunto. Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los

riesgos que se encuentran aceptados. Ofrece seguridad al consejo de administración y a la dirección de la organización. Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque

susceptibles de solaparse. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos [Nasaudit, 2009].

Comparación del Control Interno de COSO y del Marco Integrado ERMMarco de Control Interno Marco integrado ERMControl del Entorno: El ambiente de control establece el tono de una organización, influenciando de esta forma la conciencia de control de su gente. Esta es la fundación para todos los otros componentes de control interno, proporcionando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, valores éticos, estilo de gestión de funcionamiento, delegación de los sistemas de autoridad, así como los procesos de gestión y desarrollo de personas dentro de la organización.

Entorno interno: El entorno interno abarca el tono de la organización, y establece las bases de cómo el riesgo es observado y direccionado a las personas de la entidad, incluyendo la filosofía en gestión de riesgos y apetito de riesgo, integridad y valores éticos, y el entorno en el cual todos operan.

26

Marco del objetivo: Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que lo afecten. La gestión de riesgos empresariales asegura que la administración ha puesto en ejecución un proceso para establecer objetivos y que los objetivos seleccionados apoyan, se alinean con la misión de la entidad y que sean consistentes con el apetito de riesgo.Identificación de Eventos: Los eventos externos e internos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas de vuelta a la estrategia de gestión o los procesos en los que se fijan los objetivos.

Evaluación de Riesgos: cada entidad muestra una variedad y riesgos de fuentes que deben ser evaluados. Una precondición para la evaluación de riesgos es el establecimiento de objetivos, y por tanto la evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la consecución de los objetivos planeados. La evaluación de riesgos es un prerrequisito para la determinación de cómo se deben gestionar los riesgos.

Evaluación de Riesgos: Los riesgos son analizados, considerando la probabilidad y el impacto, como bases para la determinación de cómo se pueden gestionar. Las áreas de riesgo se evaluaran de forma inherente y formal.

Actividades de Control: Las actividades de control son las políticas y procedimientos a ayudan a asegurar que la gestión de las directivas se llevan a cabo. Ayudan a garantizar que se toman las medidas necesarias para hacer frente a los riesgos para la consecución de los objetivos de la organización. Las actividades de control acurren a lo largo de la organización, en todos los niveles y todas las funciones. Se incluyen una serie de diversas actividades, aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones del desempeño operativo, seguridad de activos y segregación de funciones.

Actividades de Control: Políticas y procedimientos son establecidos e implementados para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de forma efectiva.

27

Información y Comunicación: Los sistemas de información juegan un papel clave en sistemas de control interno que producen los informes, incluyendo operaciones, Información financiera y de cumplimiento que hace esto posible para ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurar que la información fluye hacia abajo, a través y hacia arriba en la organización. La comunicación efectiva debe estar también asegurada con las partes externas, cada cliente, distribuidores, reguladores y accionistas.

Información y Comunicación: La información relevante es identificada, capturada y comunicada en una forma y marco de tiempo que la gente dispone para llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio por toda fluyendo de abajo hacia arriba por toda la entidad.

Monitoreo: Los sistemas de control interno requieren ser monitoreados, Un proceso que evalúa la calidad del desempeño del sistema sobre el tiempo, lo cual se logra con actividades de monitoreo o de evaluaciones separadas. Las deficiencias del control interno detectadas a través de estas actividades de monitoreo deberían ser reportadas en contra de la corriente y las acciones correctivas para asegurar la mejora continua del sistema

Monitoreo: La totalidad de la gestión de riesgos es monitoreada y se realizan modificaciones en caso de ser necesarias. El monitoreo es realizado a través de las actividades de gestión en ejecución, las evaluaciones independientes o ambas cosas.

Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM

3.5 COBIT

En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas.Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas “Buenas prácticas” de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan mecanismos medibles que permiten juzgar el buen resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los

28

sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del negocio que deben ser alcanzados:

Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad.

El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la gerencia.La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia requerida.El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como una guía clara y entendible.Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado con los procesos de negocio tal como ofrecer controles apropiados.COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa:

“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios:1

Planificación y Organización Adquisición e Implementación Entrega de servicios Soporte y Monitorización.”

1[NetworkSec, 2008]

29

Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]

La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una actividad de TI. Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los

30

riesgos, el control y monitoreo, optimización de recursos en cada proceso y los beneficios que están relacionados con información y la tecnología.

4. CARACTERIZACIÓN DE EMPRESAS

El documento de caracterización de empresas fue elaborado para ampliar la visión del lector, con respecto a la actualidad de las empresas proveedoras y clientes, haciendo un enfoque a las pymes colombianas que son el objetivo principal para analizar del trabajo.Este documento se puede ver desde tres perspectivas diferentes. La primera muestra una descripción de los servicios que brindan las empresas dividido de acuerdo a la capa en la que hayan logrado un mayor desarrollo. La segunda perspectiva se basa en la comparación de las empresas anteriormente descritas de acuerdo a sus características y a la capa que se desee comparar, lo cual brindará al cliente diferentes alternativas para escoger la empresa proveedora de que cumpla las necesidades de su negocio. Finalmente se exponen las empresas clientes, haciendo énfasis en las pymes colombianas, que son la base fundamental para el desarrollo del trabajo.La caracterización de las empresas profundiza en conocer las necesidades de las empresas, conociendo los servicios que ofrecen los proveedores o conociendo de forma directa las razones por las que una empresa pyme toma los servicios de Cloud computing. [Hidalgo/Caracterización De Empresas Cloud Computing , 2011]

5. ESTABLECER REQUERIMIENTOS

Este apartado del documento, permite complementar y analizar la información recopilada a través del marco teórico y la caracterización de las empresas con el propósito de darle cuerpo a la guía metodológica. Como se ha podido observar en los apartados anteriores, se ha realizado un levantamiento claro de la información con el fin de brindar al lector una amplia introducción al entorno en el que se desarrolla la guía metodológica y además se profundizó aun más en el análisis de caracterización de las empresas en donde se vio las principales necesidades de las pymes alrededor de Cloud Computing y como los proveedores por medio de los servicios que ofrecen intentan cumplir estas necesidades para aquellos que desean dar este paso tecnológico en sus empresas.Pues bien, como se menciona al inicio el propósito de este apartado es complementar la información requerida para dar inicio a la guía metodológica, la cual nace por una necesidad en este tipo de empresas que han optado por tener Cloud Computing al interior de su negocio. Teniendo en cuenta que el modelo de servicios de Cloud Computing es tan novedoso, con un rápido desarrollo y gran acogida en la sociedad por las razones observadas en secciones anteriores (Costo, rapidez, eficiencia, etc.), surge la inquietud de cómo brindarle control y aseguramiento de forma detallada a un entorno empresarial que maneje Cloud Computing.

31

Al día de hoy, existen diversos documentos que brindan las pautas claras y concretas para manejar la seguridad en Cloud Computing. Uno de estos documentos es la Guía para la seguridad en Áreas Críticas de Atención en Cloud Computing [Alliance, 2009] , el cual se tendrá como base apoyar al establecimiento de los requerimientos.Además de establecer los requerimientos necesarios para la elaboración de la guía metodológica de control y aseguramiento en Cloud Computing para pymes también se determinarán escenarios, actores y la interacción entres estos. Teniendo en cuenta que no se cuenta con unos requerimientos definidos oficialmente, se desarrolló una encuesta que permitan aclarar y confirmar las necesidades que se tienen en cuanto al control y aseguramiento de Cloud Computing dentro de algunas empresas que ya cuentan con este servicio.

5.1 Escenario

El desarrollo del trabajo contempla 2 escenarios diferentes, dentro de los cuales se deberá centrar el hallazgo de los requerimientos dentro de esta sección. El primer escenario hace referencia al modelo de servicio de Cloud Computing, todo lo que lo caracteriza, sus diferentes elementos, actores o interesados, entre otro tipo de detalles. Y el segundo escenario gira en torno de los sistemas de control y aseguramiento requeridos para realizar la guía metodológica.

5.1.1 Escenario de Cloud Computing

Por medio del marco teórico se pudo establecer toda la información referente a este novedoso modelo de servicios que ha causado gran éxito tanto para las empresas que lo utilizan como para las que lo ofrecen. A pesar que desde el inicio de Cloud Computing las pymes no fueron las pioneras en el uso del modelo, hoy en día son este tipo de empresas (Pymes) las que más ganancia le sacan al uso de Cloud Computing, pero como no se cuenta con un sistema claro de control que les garantice seguridad y continuo crecimiento, se hace necesario crear uno que les brinde este servicio.

5.1.2 Escenario Control y Aseguramiento.

Durante los últimos años se ha visto la necesidad de contar con un sistema que brinde a las empresas el apoyo en la gestión de su negocio especialmente en el área de TI, es por ello que hoy en día existen numerosos marcos de referencia que le dan soporte a las empresas en el manejo de su negocio. Dentro de esos marcos de referencia se pueden nombrar algunos como COSO, COBIT, ITIL V3 o normas como la Sarbanes Oxley entre otros, que aunque están diseñados de forma sencilla para que el profesional de la empresa lo pueda manejar de forma fácil y dinámica de acuerdo a las necesidades del negocio. De acuerdo con los beneficios que han logrado alcanzar los marcos de referencia dentro de las organizaciones, se considera importante tenerlo en cuenta como un escenario para los requerimientos que se especificarán en este apartado.

32

5.1.3 Interacción entre los escenarios

Usualmente los marcos de control son diseñados de forma sencilla para ser aplicados por el personal de TI de tal forma que sea acorde al negocio de la empresa. Estos marcos brindan la forma de gestionar, controlar y asegurar que el área de TI trabaje de forma segura y eficiente. La interacción entre los escenarios es de gran importancia ya que de esta forma se identifican más claramente a cada uno y se pueden relacionar fácilmente. Como ya se mencionó el primer escenario es el modelo de servicios de Cloud Computing, y el segundo será el marco de referencia de COBIT, de los cuales se tiene la información ampliada en el marco teórico.

5.2 Actores

Los actores que se tienen en cuenta para el establecimiento y desarrollo de los requerimientos son dos específicamente. El primer actor es el proveedor de servicios y el segundo es el cliente que recibe los servicios de Cloud Computing, estos dos actores son los que interactúan en todo el proceso de control y aseguramiento de Cloud Computing en las Pymes.

5.2.1 Actor Proveedor

Este actor se encarga de brindar los servicios de Cloud Computing a los clientes. Estos servicios son creados a partir de las necesidades más comunes de los clientes y su finalidad es satisfacer y mejorar la experiencia del usuario. Usualmente el proveedor puede enfocarse en alguno o en todos los modelos de servicio que ofrece la nube tales como SaaS, PaaS e IaaS. En la actualidad se cuenta con numerosas empresas reconocidas a nivel internacional que han enfocado sus esfuerzos en cumplir las necesidades del usuario, ofreciendo diferentes tipos de paquete de servicios que se acomoden al negocio.

5.2.2 Actor Cliente

El actor cliente, es la figura que hace uso de los servicios en la nube con el propósito de generar mejores ganancias y una mejor experiencia e impacto a su negocio o vida personal, es por ello que en base a sus necesidades el proveedor ofrece paquetes de servicios con los cuales pueda cumplir la expectativa del cliente. Para el desarrollo de este documento el actor cliente está representado por las pymes colombianas que han tomado la decisión de hacer uso de Cloud Computing.

5.2.3 Interacción entre Actores en el Control y Aseguramiento de Cloud Computing

Es importante tener en cuenta que así como hay una amplia interacción entre estos dos actores para establecer un contrato del servicio de Cloud Computing, también debe existir un compromiso de las dos partes para generar un entorno de control y aseguramiento que les brinde una mayor facilidad de administrar los servicios que han contraído en la Cloud.

33

5.2.4 Responsabilidades de los Actores

Con respecto a los incidentes de seguridad, hay necesidad de poner en claro la definición y el entendimiento entre el cliente y el proveedor de las funciones relevantes para la seguridad y las responsabilidades. Las líneas de esta división pueden variar mucho entre las ofertas de SaaS y ofertas de IaaS, delegando con este ultimo más responsabilidad a los clientes. Una división típica y racional de la responsabilidad se muestra en la siguiente tabla. En cualquier caso, para cada tipo de servicio, el cliente y el proveedor deben definir claramente cuál de ellos es responsable de todos los temas de la lista de abajo. En el caso de los términos estándar de servicio (es decir, no hay negociación posible), los clientes deben verificar la nube de lo que está dentro de su responsabilidad.

5.2.5.1 Software as a Service

Cliente Proveedor- Cumplimiento con la ley de protección

de datos en relación con los datos recogidos y tratados del cliente.

- Mantenimiento del sistema de gestión de identidad

- Administración del sistema de gestión de identidad

- Administración de la plataforma de autenticación (incluye política de aplicación de contraseña)

- Soporte físico de infraestructura (instalaciones, espacio de rack, energía, refrigeración, cableado, etc.)

- Seguridad y disponibilidad de infraestructura física (Servidores, Almacenamiento, banda ancha de redes, etc.).

- Gestión de parches en Sistemas operativos, y procedimientos de endurecimiento (Revisar algún conflicto entre el procedimiento de endurecimiento del cliente y la política de seguridad del proveedor).

- Configuración de la plataforma de seguridad (Reglas de firewall, IDS, IPS, etc.)

- Monitoreo de sistemas- Mantenimiento de la plataforma de seguridad

- Historial de registro y monitoreo de seguridad

Tabla 2 - División de responsabilidades SaaS [Enisa, 2008]

5.2.5.2 Platform as a Service

Cliente Proveedor- Mantenimiento del sistema de gestión de

identidad- Administración del sistema de gestión de


34

identidad- Administración de la plataforma de

autenticación (Incluye la política de aplicación de contraseña)


- Gestión de parches en Sistemas operativos, y procedimientos de endurecimiento (Revisar algún conflicto entre el procedimiento de endurecimiento del cliente y la política de seguridad del proveedor).

- Configuración de la plataforma de seguridad (Reglas de firewall, IDS, IPS, etc.)

- Monitoreo de sistemas- Mantenimiento de la plataforma de seguridad

- Historial de registro y monitoreo de seguridad

Tabla 3 -División de responsabilidades PaaS [Enisa, 2008]

5.2.5.3 Infrastructure as a Service

Cliente Proveedor- Mantenimiento del sistema de gestión de

identidad- Administración del sistema de gestión de

identidad- Administración de la plataforma de

autenticación (Incluye la política de aplicación de contraseña)

- Gestión de los resultados de parches del sistema operativo y procedimientos de endurecimiento (ver también cualquier conflicto entre el procedimiento de endurecimiento de los clientes y la política de seguridad del proveedor)

- La configuración de la plataforma de seguridad de evaluación (las reglas del cortafuegos, IDS / IPS de sintonía, etc.)

- Habitación de sistemas de vigilancia- Security platform maintenance (firewall,

Host IDS/IPS, antivirus, packet filtering)- Log collection and security monitoring



- Sistemas Host (Hipervisor, Firewall virtual, etc.)

Tabla 4 - División de responsabilidades IaaS [Enisa, 2008]

35

5.3 Encuesta

De acuerdo con la introducción de esta sección, la encuesta ayudará a definir los requerimientos de control y aseguramiento necesarios en los cuales se base el desarrollo de la guía metodológica. Para la elaboración de la encuesta tuvo en cuenta el documento de la CSA [Alliance, 2009], los escenarios, los actores y la orientación a un público en especial, que cuente con un conocimiento claro de Cloud Computing y de la empresa en la que trabajan. Además del personal, también se contemplo que estos usuarios hicieran parte del área de tecnología de las empresas Pymes, pues es allí donde se encuentra todo el conocimiento del manejo de Cloud Computing para las empresas. Por otro lado, era importante contemplar el conocimiento de las personas sobre el control y seguridad de la información que manejan sobre este modelo de tecnología. La encuesta se realizó a 11 personas diferentes en diversos cargos, las cuales contestaron un total de 15 preguntas relacionadas con los escenarios establecidos que permitirán identificar los posibles requerimientos de control y aseguramiento de Cloud que requieren pymes.

5.4 Resultados

Como se menciona anteriormente, la encuesta contiene preguntas orientadas tanto del entorno de Cloud Computing como el uso de marcos de control, por lo que solo se tuvo en cuenta los resultados que permitan identificar las necesidades de control y seguridad de la información. “Anexo1. Encuestas” Además, es importante aclarar que los resultados que se obtengan a través de la encuesta, solo busca identificar requerimientos genéricos de control y aseguramiento por lo cual no es de esperar que se pueda profundizar más allá de la información con la que se cuenta. Sin embargo, para estos requerimientos se tratará de dar un amplio detalle en el desarrollo de la guía, con la ayuda del levantamiento de información realizado en el marco teórico y el documento de caracterización de empresas, de tal forma que se pueda ir complementando

Los resultados referentes a requerimientos de control y aseguramiento de Cloud Computing para pymes pueden revisarse en “Anexo 1. Encuestas”

Como se observa en los resultados obtenidos en las encuestas, se encuentran diferentes posiciones respecto al control y aseguramiento del entorno de Cloud Computing en las pequeñas y medianas empresas colombianas, objetivo del estudio dentro de la guía, que permitió definir los requerimientos.

5.5 Requerimientos

De acuerdo a los resultados obtenidos a partir de las encuestas, se establecieron los siguientes requerimientos para el control y aseguramiento de Cloud Computing para pymes, los cuales se cuentan con una descripción que permita al lector reconocer la importancia que tiene cada uno de estos en la elaboración de la guía.

1. Gobierno y gestión de riesgos empresarial (ERM)36

2. Cuestiones legales y descubrimiento electrónico3. Cumplimiento de estándares y auditoría4. Portabilidad e Interoperabilidad5. Continuidad de negocio y recuperación de incidentes6. Respuesta ante incidencias, notificación y solución7. Seguridad de las aplicaciones8. Cifrado y gestión de claves.9. Gestión de acceso e identidades10. Virtualización

REQUERIMIENTO DESCRIPCION1. Gobierno y Gestión de

Riesgos EmpresarialesLas empresas requieren contar con un marco de gobierno que les permita identificar y ejecutar diversos procesos según las necesidades del negocio que maneje la organización, cumplir con un marco regulatorio y contar con sistema de gestión de riesgos empresariales.

2. Cuestiones legales y descubrimiento electrónico

Tanto los proveedores como clientes de Cloud Computing deben asumir el reto de las leyes, normas y estándares de TI que se aplican a una gran variedad de ambientes de gestión de la información, teniendo en cuenta dimensiones funcionales, contractuales y jurisdiccionales.

3. Cumplimiento de estándares y auditoría

Las empresas deben mantener cumplimiento de sus propias políticas de seguridad, y de los requisitos normativos y legislativos alrededor de Cloud Computing.

4. Portabilidad e Interoperabilidad

Las empresas cliente deben establecer un proveedor estable, con procedimientos estándar y ante todo que sea confiable, el cual no genere problemas de portabilidad o interoperabilidad al momento de interactuar con servicios de otros proveedores.

5. Respuesta ante incidencias, notificación y solución

Las empresas, actores del flujo de Cloud Computing (Proveedores y Clientes), deben tener claridad acerca de la gestión de incidencias que se presentan sobre el modelo de servicios.

6. Seguridad de las aplicaciones Todos los Stakeholders deben tener total entendimiento de la influencia de Cloud Computing en el ciclo de vida útil de toda aplicación.

7. Seguridad e Integridad de datos

Tanto la información como las aplicaciones que se encuentren sobre el entorno de Cloud Computing

37

deben contar con las medidas de protección necesarias para no se vea afectada la integridad, confidencialidad o disponibilidad de los datos.

8. Cifrado y gestión de claves. Las empresas proveedoras deben ofrecer a las empresas cliente medidas de protección orientadas a la gestión de acceso e identidades, que fortalezcan el nivel de acceso a la información por parte del personal.

9. Virtualización Las empresas cliente deben contar con un sistema operativo virtualizado con las medidas necesarias de seguridad como un hipervisor (monitor de maquina virtual), que mitigue el impacto que tiene el tema de la virtualización sobre la seguridad de la red.

Tabla 5 – Requerimientos

Teniendo en cuenta que aun es muy ambiguo el nivel de detalle que se quiere lograr con la elaboración de este documento en el control y aseguramiento de Cloud Computing, se ha elaborado un diagrama que será utilizado como guía para conocer la profundidad en la que se evaluarán y documentarán los requerimientos. A continuación se relaciona el diagrama y las secciones en las que se han dividido los requerimientos establecidos o se podrán visualizar en “Anexo 2. Diagramas Requerimientos”

38

Ilustración 9 - Diagrama Requerimientos

Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento

39

Ilustración 11 - Gobierno de Cloud Computing

Ilustración 12 - Operación de Cloud Computing

40

6. COMO USAR ESTE DOCUMENTO

Esta guía metodológica de control y aseguramiento en Cloud Computing fue desarrollada para asistir al profesional encargado del área de TI dentro de las Pymes, por lo cual se incluyen los detalles relativos al formato y utilización del documento de seguimiento de esta nueva tecnología.

6.1 Pasos del Programa de trabajoLa primera columna de la guía describe los pasos para realizar. El esquema de numeración utilizado en el documento facilita el manejo de referencias cruzadas a través del trabajo específico para esta sección. Teniendo en cuenta que se pueden encontrar Pymes con diferentes tipos de negocio, se anima al profesional de TI o control y aseguramiento a realizar modificaciones de este documento para reflejar el negocio de la empresa y el ambiente específico que se desee examinar. El paso 1 es parte del levantamiento de información y la preparación previa del campo de trabajo. Debido a que el trabajo de campo previo es tan importante para obtener una revisión exitosa y profesional, se han detallado bastante los pasos en este plan. El primer nivel de los pasos a seguir en la guía, por ejemplo 1.1, es mostrado en formato de Negrita y proporciona al revisor un ámbito de aplicación o una descripción de alto nivel del propósito de los sub pasos.Iniciando en el paso 2, los pasos asociados con la guía de trabajo son detallados más profundamente. Para simplicidad en el uso de la guía, esta describe el objetivo de control y aseguramiento que se desea observar, la razón de realizar los pasos en el área temática y los controles de seguimiento específico. Cada paso de revisión es listado a continuación del control. Estos pasos pueden incluir la evaluación del diseño de control pasando a través de un proceso, entrevistas, observando o de otro modo la verificación del proceso y los controles que se encargan de este proceso. En muchos casos, una vez el diseño de control ha sido verificado, las pruebas específicas necesitan ser realizadas para proporcionar las garantías que el proceso asociado con el control se está siguiendo.La evaluación de madurez que se describe más detalladamente después en este documento, constituye la última sección de la guía metodológica..

6.2 Objetivo de Control de COBIT

Los objetivos de control o procesos COBIT proporcionan al profesional de aseguramiento de TI la habilidad para referir el objetivo de control específico de COBIT que soporta el paso de control y aseguramiento. El objetivo de control de COBIT se debe identificar para cada paso en la sección, ya que es muy frecuente encontrar múltiples referencias cruzadas. La guía de control y aseguramiento de Cloud Computing está organizada de un modo que facilita una evaluación a través de una estructura paralela para el desarrollo de procesos. COBIT proporciona los objetivos de control en profundidad y sugiere unas prácticas de control para cada nivel. Como profesionales de revisión de cada control, ellos deben referir a COBIT 4.1 como una guía en las buenas prácticas de control.

41

6.3 Componentes de COSO

Como se observa en la introducción, COSO y marcos similares se han vuelto cada vez más populares entre los profesionales de aéreas de TI, lo cual permite que se vincule al trabajo de aseguramiento que se realice dentro de las pymes. Mientras la función de control y seguridad de TI es usar COBIT como el marco de referencia para profesionales, la auditoría operativa y profesionales de aseguramiento utilizan el marco establecido por la empresa en la que trabajan. Ya que COSO es el marco de control interno más frecuente y que se encuentran empresas de todo tipo, este ha sido incluido en la guía como puente de alineación entre control de TI con el resto de la función de aseguramiento. Varias organizaciones de aseguramiento incluyen los componentes de control de COSO dentro de sus informes y el resumen de sus actividades de aseguramiento para el comité de aseguramiento del consejo de administración.Para cada control, el profesional de control y aseguramiento debe indicar el componente de COSO. Esto es posible, pero en general no es necesario para extender el análisis al nivel de un paso específico para aseguramiento.El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso de ser adoptada por las grandes empresas. A continuación se realiza una comparación entre los dos marcos para tener una mayor claridad en sus diferencias.

Comparación del Control Interno de COSO y del Marco Integrado ERMMarco de Control Interno Marco integrado ERMControl del Entorno: El ambiente de control establece el tono de una organización, influenciando de esta forma la conciencia de control de su gente. Esta es la fundación para todos los otros componentes de control interno, proporcionando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, valores éticos, estilo de gestión de funcionamiento, delegación de los sistemas de autoridad, así como los procesos de gestión y desarrollo de personas dentro de la organización.

Entorno interno: El entorno interno abarca el tono de la organización, y establece las bases de cómo el riesgo es observado y direccionado a las personas de la entidad, incluyendo la filosofía en gestión de riesgos y apetito de riesgo, integridad y valores éticos, y el entorno en el cual todos operan.

Marco del objetivo: Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que lo afecten. La gestión de riesgos empresariales asegura que la administración ha puesto en ejecución un proceso para establecer objetivos y que los objetivos seleccionados apoyan, se alinean

42

con la misión de la entidad y que sean consistentes con el apetito de riesgo.Identificación de Eventos: Los eventos externos e internos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas de vuelta a la estrategia de gestión o los procesos en los que se fijan los objetivos.

Evaluación de Riesgos: cada entidad muestra una variedad y riesgos de fuentes que deben ser evaluados. Una precondición para la evaluación de riesgos es el establecimiento de objetivos, y por tanto la evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la consecución de los objetivos planeados. La evaluación de riesgos es un prerrequisito para la determinación de cómo se deben gestionar los riesgos.

Evaluación de Riesgos: Los riesgos son analizados, considerando la probabilidad y el impacto, como bases para la determinación de cómo se pueden gestionar. Las áreas de riesgo se evaluaran de forma inherente y formal.

Actividades de Control: Las actividades de control son las políticas y procedimientos a ayudan a asegurar que la gestión de las directivas se llevan a cabo. Ayudan a garantizar que se toman las medidas necesarias para hacer frente a los riesgos para la consecución de los objetivos de la organización. Las actividades de control acurren a lo largo de la organización, en todos los niveles y todas las funciones. Se incluyen una serie de diversas actividades, aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones del desempeño operativo, seguridad de activos y segregación de funciones.

Actividades de Control: Políticas y procedimientos son establecidos e implementados para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de forma efectiva.

Información y Comunicación: Los sistemas de información juegan un papel clave en sistemas de control interno que producen los informes, incluyendo operaciones, Información financiera y de cumplimiento que hace esto posible para ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurar que la información fluye hacia abajo, a través y hacia

Información y Comunicación: La información relevante es identificada, capturada y comunicada en una forma y marco de tiempo que la gente dispone para llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio por toda fluyendo de abajo hacia arriba por toda la entidad.

43

arriba en la organización. La comunicación efectiva debe estar también asegurada con las partes externas, cada cliente, distribuidores, reguladores y accionistas. Monitoreo: Los sistemas de control interno requieren ser monitoreados, Un proceso que evalúa la calidad del desempeño del sistema sobre el tiempo, lo cual se logra con actividades de monitoreo o de evaluaciones separadas. Las deficiencias del control interno detectadas a través de estas actividades de monitoreo deberían ser reportadas en contra de la corriente y las acciones correctivas para asegurar la mejora continua del sistema

Monitoreo: La totalidad de la gestión de riesgos es monitoreada y se realizan modificaciones en caso de ser necesarias. El monitoreo es realizado a través de las actividades de gestión en ejecución, las evaluaciones independientes o ambas cosas.

Tabla 6 - Comparación del Control Interno de COSO y del Marco Integrado ERM

El marco de control interno de COSO dirige las necesidades del aseguramiento de TI por medio del entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo, las cuales se tomarán para la elaboración de esta guía. Sin embargo, se tendrá en cuenta el marco integrado ERM para la PYME que la requiera…según sean las necesidades de negocio.

6.4 Referencias Cruzadas

Esta columna puede ser usada para marcar un hallazgo que el profesional de aseguramiento desee investigar en detalle o establecer como un hallazgo potencial. Los hallazgos potenciales deben ser establecidos en un documento que indica la disposición de los hallazgos y además permite verificar otros numerales que tengan una alta relación con el punto que este revisando el profesional de la empresa.

6.5 Comentarios

La columna de comentarios puede ser usada para indicar todo tipo de anotaciones que permitan dar una aclaración al paso que se esté evaluando. El comentario debe ser utilizado como un documento que describa todo el trabajo realizado, sino como sencillas anotaciones.

6.6 Habilidades Mínimas en Control y Aseguramiento

Actualmente Cloud Computing incorpora muchos procesos de TI, y dado que la información de enfoca en el gobierno y gestión de TI, datos, red, contingencia y controles de cifrado, el profesional de aseguramiento de TI debe tener el conocimiento requerido de todas estas cuestiones. Además, una alta competencia en monitoreo y evaluación de riesgos, administración de riesgos, componentes de seguridad de la información en la arquitectura de TI, amenazas y vulnerabilidades de Cloud Computing y procesamiento de datos en internet es requerido. Por otro lado, es recomendable que la persona que realiza la evaluación tenga la experiencia

44

requerida y las relaciones necesarias dentro de la empresa para ejecutar de forma eficaz el aseguramiento de los procesos. Debido a que Cloud Computing es dependiente de los servicios en Web, sería bueno que el profesional encargado tenga un entendimiento básico de Seguridad en servicios WEB.

6.7 Análisis Control de Madurez – COBIT

Una de las peticiones comunes y consistentes por parte de los stakeholders que han sido sometidos a exámenes de control y aseguramiento, es entender como su rendimiento se compara con las buenas prácticas. Los profesionales de aseguramiento de TI en las empresas deben proporcionar una base objetiva que contribuya a la revisión de las conclusiones. El modelo de madurez para gestión y control de procesos de TI, está basado en un método de evaluación de la empresa para que pueda ser evaluado desde un nivel de madurez de inexistencia (0) hasta el optimizado (5). Este enfoque esta derivado del modelo de madurez que el Instituto de Ingeniería de Software (Software Engineering Institute, SEI) de Carnegie Mellon University define para la madurez en el desarrollo de software. Modelo de Madurez de Control Interno de COBIT, proporciona un modelo de madurez genérico que muestra el estado del entorno de control interno y el establecimiento de los controles internos dentro de la empresa. Este muestra como la administración de control interno, y la coincidencia de la necesidad de establecer mejores controles internos, típicamente se realiza desde un nivel Inicial también conocido como ad hoc, hasta el nivel optimizado. El modelo proporciona una guía de alto nivel para que los usuarios de COBIT a perciban lo que es necesario para tener unos controles internos efectivos en TI y para ayudar a posicionar su empresa en la escala de madurez.

Modelo de Madurez para Control InternoNivel de Madurez Estado del Entorno de Control

InternoEstablecimiento de Controles Internos

0- No Existente

No hay reconocimiento de la necesidad de un Control Interno. El control no es parte de la cultura o misión organizacional. Hay un alto riesgo de deficiencias en el control e incidentes.

No se intenta evaluar la necesidad de control interno. Los incidentes se van tratando a medida que surjan.

1- Inicial / Ad Hoc

Se reconoce la necesidad de un control interno. El enfoque para riesgos y requerimientos de control es desorganizado, sin control ni comunicación. Las deficiencias no se encuentran identificadas. Los empleados no se encuentran conscientes de sus responsabilidades.

No hay conciencia de la necesidad de evaluación de lo que se requiere en términos de controles para TI. Cuando se realiza, es solo sobre una base de Ad hoc, en un alto nivel y en caso de incidentes significativos. Solo se evalúan los incidentes que ocurren de momento

2- Repetible Los Controles existen pero no La evaluación de las necesidades de 45

pero intuitivo están documentados. Esta operación depende del conocimiento y la motivación de los individuos. La efectividad no se evaluada adecuadamente. Existen muchas deficiencias de control que no se monitorean adecuadamente por lo que el impacto puede ser severo. Las acciones administrativas para resolver los problemas no están priorizados ni son coherentes. Los empleados no pueden no estar al conscientes de sus responsabilidades

control se produce cuando sea necesario para procesos seleccionados que permitan determinar el nivel de madurez actual con el que cuenta la empresa. Un enfoque informal de taller, con la participación de los administradores de TI y el equipo envuelto en el proceso, es usado para definir un enfoque adecuado que controle los procesos y motive un plan de acción acordado.

3- Definido Los controles existen y son documentados adecuadamente. La efectividad operativa es evaluada periódicamente y existe un número promedio de problemas, sin embargo el proceso de evaluación no está documentado. Si bien la administración es capaz de hacer frente a la mayor parte de problemas de control de forma predecible, algunas debilidades de control persisten y los impactos podrían ser graves. Los empleados son conscientes de sus responsabilidades de control.

Los procesos críticos de TI son identificados basados en factores de valor y riesgo. Un análisis detallado es realizado para identificar los requerimientos de control y la causa de lagunas y desarrollar oportunidades de mejora. Además de los talleres facilitados, se utilizan herramientas y se realizan entrevistas para apoyar el análisis y asegurar que el propietario de un proceso de TI posee y dirige el proceso de evaluación y mejora.

4- Administrado y Medido

Se encuentra un ambiente de administración de riesgos y de control interno efectivo. Hay una evaluación formal y documentada de los controles que se producen frecuentemente. Muchos controles están automatizados y se revisan regularmente. Es probable que la gerencia detecte la mayor parte de problemas de control, pero no todos se identifican de forma rutinaria. Hay un seguimiento constante para atender las deficiencias de control. Un uso

La criticidad de los procesos de TI son regularmente definidos con un completo apoyo y el acuerdo de los propietarios de procesos de negocio relevantes. La evaluación de requerimientos de control está basada en políticas y la madurez real de los procesos, tras un análisis minucioso y medido que involucre a los actores. La rendición de cuentas para estas evaluaciones es clara y forzada. Las estrategias de mejora son apoyadas pos los casos de negocio. El rendimiento en el logro de los

46

táctico y limitado de la tecnología es aplicado para automatizar controles.

resultados deseados es constantemente supervisado. Las revisiones de control externo son organizadas ocasionalmente.

5- Optimizado Un programa organizacional de riesgo y control proporciona solución continua y efectiva a los diferentes problemas que se puedan presentar. El control interno y la gestión de riesgo están integrados con las practicas de la empresa, apoyadas por un monitoreo automatizado en tiempo real y una rendición de cuentas completa para el seguimiento de controles, administración de riesgo e implantación del cumplimiento. Las evaluaciones de control son continuas, basadas en las autoevaluaciones, las causas de raíz y el análisis de brechas.

Los cambios en el negocio consideran la criticidad de los procesos de TI y cubre alguna necesidad de volver a evaluar la capacidad de control en los procesos. Los dueños de Procesos de TI regularmente desarrollan la autoevaluación para confirmar que los controles están en el nivel adecuado de madurez para satisfacer las necesidades del negocio y tienen en cuenta los atributos de la madurez para encontrar caminos que permitan hacer los controles más eficientes y efectivos. Para procesos críticos, se realizan revisiones independientes que proporcione seguridad de que los controles están en un nivel deseado de madurez y trabajan según lo planeado.

Tabla 7 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007]

La evaluación del modelo de madurez es uno de los pasos finales en el proceso de evaluación. El profesional de TI puede dirigir los controles clave dentro del ámbito de programa de trabajo y formular una evaluación objetivo de los niveles de madurez de las prácticas de control. La evaluación de madurez puede ser una parte del informe de control y aseguramiento, como herramienta de medición de año tras año que permita reflejar el progreso en la mejora de controles. Sin embargo, hay que señalar que la percepción del nivel de madurez puede tener una variación entre el propietario del proceso de TI y el asegurador. Por lo tanto, se debe obtener primero el acuerdo de los stakeholders antes de presentar el informe final a la dirección.Al final de la revisión, una vez todos los hallazgos y recomendaciones han sido completados, el profesional evalúa el estado actual del marco de control COBIT y asigna un nivel de madurez utilizando la escala de los 6 niveles. Algunas personas utilizan decimales para indicar grados de cada nivel en el modelo de madurez. Como una referencia mas, COBIT proporciona una definición de las designaciones de madurez para el objetivo de control [Domenech & Lenis, 2007]. Si bien este enfoque no es obligatorio, el proceso es suministrado como una sección de separación en el fin de la guía metodológica de control y aseguramiento de Cloud Computing para las Pymes que deseen implementarlo. Además es sugerido que una evaluación de madurez este hecho a nivel de control de COBIT, para proporcionar más valor al cliente, obteniendo los objetivos de madurez directamente de stakeholder. Usando la evaluación y los niveles objetivo de madurez, la persona puede crear una presentación grafica que describe los logros y las

47

debilidades entre los objetivos de la madurez real y el objetivo planteado. Para tal fin se proporciona una grafica de este documento, basada en evaluaciones sencillas.

6.8 Marco De Control y Aseguramiento

COBIT es un marco para el gobierno de TI que ofrece un conjunto de herramientas de apoyo para que los administradores del sistema puedan reducir la brecha entre los requerimientos de control, problemas técnicos y riesgos del negocio. Además, desarrolla políticas claras y buenas prácticas para el control de TI dentro de las empresas. Cloud Computing afecta todo TI y las funciones de unidad del negocio, tal como se puede observar en los siguientes dominios con sus respectivos procesos de TI de COBIT [Domenech & Lenis, 2007]:

Planeación y Organización (PO).PO9 Evaluar y Administrar los riesgos de TI

Entregar y Dar Soporte (DS)DS1 Definir y administrar los niveles de servicio, DS2 Administrar los servicios de terceras partes, DS4 Garantizar la continuidad del servicio, DS5 Garantizar la seguridad de los Sistemas,DS8 Administrar la mesa de servicios e incidentes, DS9 Administrar las configuraciones, DS11 Administrar los datos

Monitorear y Evaluar (ME).ME2 Monitorear y evaluar el control interno ME3 Garantizar el cumplimiento regulatorio

De estos procesos de debe tener en cuenta que son el principal control para dirigir y mantener las relaciones con terceros y además tienen referencias cruzadas dentro de la guía de control y aseguramiento de la nube. Cloud Computing ha tocado puntos con la infraestructura total de TI y por eso, esta guía metodológica de control y aseguramiento de Cloud Computing para Pymes tiene numerosas referencias cruzadas con los dominios y procesos de COBIT. Estas secciones aparecen en la columna de cruce de referencias de COBIT de la guía metodológica.

48

7. GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES

Paso Guía Control y AseguramientoObjetivo de Control COBIT

Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo

Referencias Cruzadas Comentarios

1. PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO

1.1 Definir los objetivos del proceso de Control y AseguramientoLos objetivos de control y aseguramiento son de alto nivel y describen los objetivos de control general.

1.1.1 Revisar los objetivos de control y aseguramiento en la introducción, para la guía metodológica.

1.1.2 Modificar los objetivos de control y aseguramiento para alinear con el universo de control, el plan anual de la pyme.

1.2 Definir los límites de la revisión La revisión debe tener definido un alcance. Entender el proceso principal de negocio y su alineamiento con TI, en su forma de Cloud y no Cloud de aplicación actual y futura.

1.2.1 Obtener una descripción de todos los ambientes en uso de Cloud Computing y bajo consideración.

1.2.2 Obtener una descripción de todas las aplicaciones en uso de Cloud Computing y bajo consideración.

1.2.3 Identificar los tipos de servicios en la Cloud (IaaS, PaaS, SaaS) en uso o bajo estudio, y determinar los servicios las soluciones de negocios para ser incluidas

49


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


en la revisión. 1.2.4 Obtener y revisar los informes de control anteriores y los planes de

remediación. Identificar las cuestiones pendientes y evaluar cambios a los documentos con respecto a estas cuestiones.

1.3 Identificar y Documentar los RiesgosLa evaluación de riesgos es necesaria para evaluar los recursos de aseguramiento en los que se debe centrar. En las empresas pymes, los recursos de seguridad no están disponibles para todos los procesos. Los riesgos se basan en el enfoque de garantizar la utilización de los recursos de seguridad de la manera más eficaz.

1.3.1 Identificar los riesgos del negocio asociados con Cloud Computing de interés para los dueños del negocio y los principales interesados.

1.3.2 Verificar que los riesgos del negocio están alineados, calificados y clasificados con los criterios de seguridad en Cloud Computing tales como la Integridad, Disponibilidad y la Confidencialidad.

1.3.3 Revisar programas de aseguramiento anteriores de Cloud Computing dentro de la pyme.

1.3.4 Determinar si el riesgo identificado previamente ha sido dirigido apropiadamente.

1.3.5 Evaluar el factor de riesgo en general para realizar la revisión dentro de la pyme.

1.3.6 Basado en la evaluación de riesgos, identificar cambios en el alcance. 1.3.7 Discutir los riesgos con la administración de TI, y ajustar la evaluación de

riesgo.

50


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


1.3.8 Basado en la evaluación de riesgo, revisar el alcance.1.4 Definir el proceso de cambio

El enfoque inicial de aseguramiento está basado en el entendimiento del revisor del ambiente operativo y riesgos asociados. Como la investigación y el análisis están desarrollados, se pueden generar cambios en el alcance y el enfoque.

1.4.1 Identificar el aseguramiento de altos recursos de TI responsables para la revisión.

1.4.2 Establecer el proceso para sugerir y aplicar los cambios a la guía de control y aseguramiento con las autorizaciones requeridas.

1.5 Definir asignación de éxito. Los factores de éxito necesarios para ser identificados. Comunicación entre el equipo de TI, otros equipos de aseguramiento, y los directivos de la empresa.

1.5.1 Identificar los controladores para una revisión exitosa.1.5.2 Comunicar los atributos de éxito al dueño del proceso o a los interesados, y

obtener el acuerdo. 1.6 Definir los recursos de control y aseguramiento requeridos

Los recursos de seguridad requeridos para una revisión exitosa necesitan ser definidos.

1.6.1 Estimar el total de recursos de seguridad (horas) en marco de tiempo (Datos de inicio y finalización) requerido para hacer la revisión.

1.7 Definir los resultados finalesLos resultados finales no se deben limitar a ser registrados en el informe final. La comunicación en el equipo de seguridad, el dueño del proceso acerca del número, el

51


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


formato, el calendario y la naturaleza de las prestaciones es esencial para la asignación de éxito.

1.7.1 Determinar los entregables provisionales, incluyendo hallazgos iniciales, estado de los informes, borrador de los informes, fecha de vencimiento en respuestas o reuniones y el informe final.

1.8 ComunicacionesEl proceso de control y aseguramiento debe ser claramente comunicado al cliente.

1.8.1 Conducir una conferencia de apertura para discutir:• Revisión de objetivos con los interesados • Documentos y recursos de información de seguridad son necesarios

para realizar efectivo el examen• Líneas de tiempo del resultado final

2. GOBIERNO EN CLOUD COMPUTING2.1 Gobierno y Gestión de Riesgo Empresarial (ERM)

2.1.1 GobiernoObjetivo de Control y Aseguramiento: Las funciones de gobierno son establecidas para asegurar una gestión eficiente y sostenible que genere transparencia en las decisiones de negocio, líneas claras de responsabilidad, información segura en alineamiento con estándares de la empresa proveedora, reglamentación de los clientes y la rendición de cuentas.

2.1.1.1 Modelo de GobiernoControl: La pyme tiene mecanismos que permite identificar todos los proveedores e intermediarios de los servicios en Cloud Computing

DS5.1ME1.5ME4.1

x x x x

52


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


con los que opera actualmente y todas las implementaciones que existen a través de la empresa. La empresa asegura que los clientes, la seguridad de información y las unidades de negocio participan activamente en las actividades de gobierno para alinear los objetivos de negocio y las capacidades en seguridad de la información del proveedor de servicios con los de la pyme.

ME4.2

2.1.1.1.1 Determinar si en TI, la seguridad de la información, y las funciones clave del negocio han definido el marco de gobierno y procesos integrados de monitoreo.

2.1.1.1.2 Determinar si en TI, las funciones de seguridad de la información y las unidades clave de negocio participan activamente en el establecimiento de ANS y las obligaciones contractuales.

2.1.1.1.3 Determinar si la función de seguridad de la información ha realizado un análisis de brechas en las habilidades de seguridad informática con las que cuenta el proveedor del servicio en contra de las políticas de la pyme respecto a la seguridad de la información, amenazas, y las vulnerabilidades que surgen de la transición a Cloud Computing.

2.1.1.1.4 Determinar si el proveedor de Cloud Computing tiene identificado los objetivos de control de los servicios prestados.

53


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.1.1.1.5 Determinar si la pyme mantiene un inventario de todos los servicios prestados a través de Cloud Computing.

2.1.1.1.6 Determinar que el negocio no puede adquirir servicios de Cloud Computing sin la participación de TI y seguridad de la información.

2.1.1.2 Información de Colaboración de la SeguridadControl: Ambas partes definen la relación de informes y responsabilidades

PO4.5PO4.6PO4.14DS2.2ME2.1

x x x x

2.1.1.2.1 Determinar si las responsabilidades de gobierno son documentadas y aprobadas por el proveedor de servicio y el cliente.

2.1.1.2.2 Determinar si las relaciones de dependencia entre el proveedor de servicio y el cliente están claramente definidas, identificando las obligaciones de los procesos de gobernanza de ambas organizaciones.

2.1.1.3 Métricas y Acuerdo a Nivel de Servicio (ANSs)Control: ANSs que apoyan los requerimientos de negocio están definidos y aceptados por el proveedor del servicio y seguimiento.

PO4.8DS1.2DS1.3DS1.5DS1.6DS2.4

x x x

54


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.1.1.3.1 Obtener los ANSs y determinar si reflejan los requerimientos del negocio.

2.1.1.3.2 Determinar que los ANSs son monitoreados utilizando indicadores medibles que proporcionan una supervisión adecuada y la alarma temprana de rendimiento inaceptable.

2.1.1.3.3 Determinar si el ANSs contiene clausulas que aseguren servicios en caso de cambios en la gestión o adquisiciones.

2.1.2 Gestión de Riesgo Empresarial (ERM)Objetivo de Control y Aseguramiento: Las practicas de gestión de riesgo son implementadas para evaluar riesgos inherentes en el modelo de Cloud Computing, como identificar apropiadamente mecanismos de control, y asegurar que el riesgo residual está dentro de los niveles aceptables.

2.1.2.1 Identificación de RiesgosControl: El proceso de gestión de riesgos, proporciona una evaluación de los riesgos para el negocio, mediante la implementación del modelo de procesamiento en Cloud Computing y está alineado con el ERM.

PO9.3PO9.5ME4.2ME4.5

x x x

2.1.2.1.1 Determinar si la empresa tiene el modelo de ERM 2.1.2.1.2 Si un modelo de ERM ha sido implementado, determinar si

la evaluación de riesgos de Cloud Computing está alineado con el ERM de la empresa.

2.1.2.1.3 Determinar si los servicios prestados por el proveedor y el

55


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


modelo de procesamiento seleccionado limita la disponibilidad o la ejecución de las actividades de seguridad de la información requerida, tales como: • Restricciones en las evaluaciones de vulnerabilidades y

la prueba de penetración.• Disponibilidad de registros de aseguramiento • Acceso a los informes de seguimiento de la actividades• Segregación de funciones y responsabilidades

2.1.2.1.4 Determinar si el enfoque de gestión de riesgo incluye lo siguiente:

•Identificación y valoración de activos y servicios•Identificación y análisis de amenazas y

vulnerabilidades con el impacto sobre los activos.•Análisis del riesgo de eventos, con enfoque en los

escenarios •Documentos de aprobación de la gerencia, de los

niveles de aceptación del riesgo y los criterios•Plan de Acción de Riesgos (Control, evadir, transferir

o aceptar)2.1.2.1.5 Determinar si durante la evaluación de riesgo, los activos

identificados incluyen los activos del proveedor, los del cliente y la clasificación de seguridad de la información usados en la evaluación de riesgos están alineados.

56


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.1.2.1.6 Determinar si la evaluación de riesgo incluye el modelo de servicio, las capacidades del proveedor de servicios y condición financiera.

2.1.2.2 Integración de Riesgos y ANSsControl: Los ANSs están alineados y desarrollados en conjunto con los resultados de la evaluación de riesgos.

PO9.3PO9.4DS1.1DS1.2DS1.3DS1.4DS1.5DS2.3DS2.4DS2.5

x x x

2.1.2.2.1 Determinar si los resultados del plan de acción de riesgos están incorporados dentro de los ANSs.

2.1.2.2.2 Determinar si un proveedor de servicios común o la evaluación de riesgos de los clientes se lleva a cabo para verificar si todos los riesgos razonables han sido identificados y si las alternativas de remediación de riesgos se han identificado y documentado.

2.1.2.2.3 Cuando la evaluación de riesgos del proveedor ha identificado que la gestión de riesgos no es efectiva, determinar si la pyme ha realizado un análisis de sus

57


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


controles compensatorios y si cada control se ocupa de las debilidades del proveedor de servicios.

2.1.2.3 Aceptación del RiesgoControl: La aceptación del riesgo está aprobada por un miembro de la gerencia con la autoridad de aceptarlo en nombre de la empresa pyme y entiende las implicaciones de su decisión.

PO9.3PO9.4PO9.5ME4.5

x x

2.1.2.3.1 Determinar si la gerencia ha realizado un análisis de la cuantificación y aceptación del riesgo residual antes de implementar la solución de Cloud Computing.

2.1.2.3.2 Determinar si la persona que acepta el riesgo tiene la autoridad de tomar la decisión.

2.1.3 Información sobre la Gestión de RiesgosObjetivo de Control y Aseguramiento: Un proceso para administrar la información de riesgo, existe y está integrado en el marco general de ERM. La información de gestión de riesgos de información e indicadores está disponible para la función de seguridad de la información, que administra riesgos dentro de la tolerancia de riesgo del propietario.2.1.3.1 Marco de gestión de Riesgo y Modelo de Madurez

Control: El marco de gestión de riesgos y el modelo de madurez han sido implementados para cuantificar el riesgo y evaluar la efectividad del modelo de riesgo.

PO9.1PO9.2PO9.3PO9.4DS5.1ME4.5

x x x

58


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.1.3.1.1 Determinar si el marco de riesgo ha sido identificado y aprobado.

2.1.3.1.2 Determinar si el modelo de madurez es usado para evaluar la efectividad.

2.1.3.1.3 Revisar los resultados del modelo de madurez, y determinar si la falta de madurez material afecta los objetivos del control y aseguramiento.

2.1.3.2 Gestión de Controles de RiesgoControl: La gestión de controles de riesgo es en efecto para administrar las decisiones basadas en el riesgo.

PO9.3PO9.4PO9.5PO9.6

x x x

2.1.3.2.1 Identificar los controles de la tecnología y los requerimientos contractuales necesarios para tomar decisiones basadas en hechos de información de riesgos, se debe considerar:

•Uso de la información•Controles de acceso•Controles de seguridad•Ubicación de la gestión •Privacidad de controles

2.1.3.2.2 Para SaaS, determinar que la pyme tiene identificada la información analítica necesaria del proveedor para apoyar las obligaciones contractuales relacionadas con el

59


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


rendimiento, seguridad y logro de las ANSs. 2.1.3.2.3 Obtener los requerimientos analíticos de los datos,

determinar si la empresa monitorea de forma rutinaria y evalúa el cumplimiento de las ANSs.

2.1.3.2.4 Para PaaS, determinar que la pyme tiene identificada la disponibilidad de la información, las prácticas de control necesarias para gestionar la aplicación y desarrolla procesos de manera efectiva que guie la disponibilidad, la confidencialidad, la propiedad de los datos, privacidad y asuntos legales.

2.1.3.2.5 Determinar si la pyme ha establecido prácticas de monitoreo que identifique problemas de riesgo.

2.1.3.2.6 Para IaaS, determinar que la pyme ha identificado y monitorea el control, y la seguridad de los procesos necesarios para proporcionar un entorno operativo seguro.

2.1.3.2.7 Determinar si el proveedor lleva a cabo los indicadores y controles disponibles para ayudar a los clientes a cumplir la gestión de riesgos de la información.

2.1.4 Administración de Terceras PartesObjetivo de Control y Aseguramiento: El cliente reconoce las relaciones de contratación externa con el proveedor del servicio. El cliente entiende sus responsabilidades en el cumplimiento de los controles, y el proveedor de servicio ha dado garantías de sostenibilidad en los controles.

60


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.1.4.1 Procedimientos del Proveedor de ServiciosControl: El proveedor de servicios pone a disposición de los clientes las evaluaciones a terceras partes, utilizando generalmente procedimientos aceptados, para describir las prácticas de control en lugares donde el proveedor hace acto de presencia.

DS2.2ME2.5ME2.6

x x x

2.1.4.1.1 Determinar si el proveedor de servicios ha realizado y publicado evaluaciones rutinarias.

2.1.4.1.2 Determinar si el alcance de la evaluación de la tercera parte incluye descripción de los procesos ejecutados:

•Administración de Incidentes •Continuidad del negocio y recuperación de desastres •Copia de seguridad y localización de instalaciones

2.1.4.1.3 Determina si el proveedor de servicio realiza evaluaciones internas de conformidad para sus políticas, procedimientos y disponibilidad de métricas de control.

2.1.4.2 Responsabilidades del Proveedor de ServiciosControl: El proveedor de servicios ha establecido procesos para alinear sus operaciones con los requerimientos del cliente.

DS2.2ME2.5ME2.6

x x

2.1.4.2.1 Determinar si los procesos de seguridad de información, gestión de riesgos y procesos de cumplimiento por parte del proveedor son evaluados continuamente e incluyen:

•Evaluaciones de riesgo y revisiones de instalaciones y servicios para el control de debilidades

61


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


•Definición de servicio crítico, factores críticos para el éxito de la seguridad de la información e indicadores claves de desempeño.

•Evaluaciones de frecuencia. •Procedimientos de mitigación para asegurar la

finalización oportuna de problemas identificados. •Revisión del aspecto legal, control regulatorio y

requerimientos contractuales e industriales. •El proveedor de servicios Cloud supervisa los riesgos

desde sus propios proveedores•Los términos de uso deben estar diligenciados para

identificar roles, responsabilidades y rendición de cuentas del proveedor de servicios.

•Revisión de disposiciones del contrato legal, las leyes relativas a las cuestiones jurisdiccionales que son responsabilidad del prestador del servicio

2.1.4.3 Responsabilidades del ClienteControl: El cliente realiza los deberes que garanticen la sostenibilidad y cumplimiento de los requisitos regulatorios

DS4.2DS4.4DS4.5ME2.6ME3.1ME3.3ME3.4

x x x

62


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.1.4.3.1 Determinar si el cliente ha realizado la debida diligencia con respecto al gobierno en seguridad de la información por parte del proveedor de servicios, gestión de riesgos y cumplimiento de procesos como esta descrito en 2.1.4.2 Responsabilidades del Proveedor de Servicios.

2.1.4.3.2 Determinar si la pyme se ha preparado para la pérdida de los servicios del proveedor, dentro de lo que se incluye:

•Una continuidad de negocio y un plan recuperación de desastres para varios escenarios de interrupción de procesamiento.

•Pruebas de continuidad de negocio y plan contra desastres.

•Inclusión de los usuarios del negocio y los análisis de impacto empresarial en el plan de continuidad

2.2 Cuestiones Legales y Descubrimiento Electrónico.2.2.1 Obligaciones Contractuales

Objetivo de Control y Aseguramiento: El proveedor y la pyme como cliente establecen acuerdos bilaterales y procedimientos para asegurar que las obligaciones contractuales se cumplan, y que estas dirijan el cumplimiento de requerimientos de ambos (El cliente y el proveedor de servicio)2.2.1.1 Términos del Contrato

Control: Un equipo de contrato que representa a la pyme de forma legal, DS1.6DS2.2

x

63


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


financiera, en la seguridad de la información y las unidades de negocio han identificado e incluido cuestiones contractuales requeridas dentro del acuerdo desde la perspectiva del cliente, y el equipo legal del proveedor de servicio ha proporcionado una evaluación contractual para satisfacción del cliente.

DS2.4ME2.5ME2.6ME3.1

2.2.1.1.1 Determinar si el acuerdo contractual define las responsabilidades de ambas partes relacionado con la investigación de hallazgos, el mantenimiento de litigios, preservación de la evidencia y testimonio de expertos.

2.2.1.1.2 Determinar que el contrato del proveedor de servicios requiere asegurar a la pyme como cliente que sus datos están preservados y guardados, incluyendo datos principales e información secundaria (Registros y Metadatos).

2.2.1.1.3 Determinar que el proveedor de servicios entiende sus obligaciones contractuales para ofrecer a la pyme la guarda y seguridad de sus datos. Revisar contratos que lleven a determinar que estos están direccionados específicamente.

2.2.1.1.4Determinar que los derechos del cliente sobre la atención incluye alcance total en monitoreo del contrato, incluyendo :

•Diligenciamiento de un precontrato •Negociación de los términos del contrato •Transferencia de la custodia de los datos •Terminación del negocio o renegociación.

64


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


•Transición del procesamiento2.2.1.1.5 Determinar que el contrato estipula que ambas partes entienden

sus obligaciones para la terminación prevista y no prevista de la relación durante y después de las negociaciones y que el acuerdo de precontrato o el contrato establece el regreso oportuno o la eliminación segura de los activos.

2.2.1.1.6 Determinar que las obligaciones contractuales identifican específicamente posibles responsabilidades en la violación de datos de ambas partes y procesos cooperativos para ser implementados durante la investigación y acciones de seguimiento.

2.2.1.1.7 Determinar que el acuerdo ofrezca al cliente tener acceso al rendimiento del proveedor de servicios y a pruebas de detección de vulnerabilidades en una base regular.

2.2.1.1.8 Determinar que el contrato establece derechos y obligaciones para ambas partes durante la transición al finalizar la relación y después de la terminar el contrato.

2.2.1.1.9 Determinar si el contrato establece los siguientes procesos de protección para datos: •Divulgación completa de las prácticas y procedimientos en

seguridad interna del proveedor de servicios •Políticas de retención de datos en conformidad con la

jurisdicción local de requerimientos.

65


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


•Presentación de informes sobre la localización geográfica en la que se encuentran los datos del cliente.

•Circunstancias en las cuales los datos pueden ser embargados y notificación de cada evento

•Notificación de la cita o descubrimiento concerniente a cualquier dato o proceso del cliente.

•Sanciones por infracciones en los datos •Protección contra la contaminación de datos entre los clientes.

2.2.1.1.10 Los requisitos de cifrado de datos en tránsito, en reposo y de copia de seguridad están claramente indicadas en el acuerdo contractual del modelo de servicio Cloud.

2.2.1.2 Implementación de Requerimientos Contractuales Control: El cliente ha implementado apropiadamente los controles de monitoreo para asegurar que las obligaciones contractuales se satisfagan.

DS1.5DS1.6DS2.4ME2.5ME2.6

x

2.2.1.2.1 Determinar que el cliente ha considerado y establecido controles dentro de las obligaciones contractuales para garantizar la retención de datos, la propiedad intelectual y la privacidad de los datos contenidos dentro de su información.

2.2.1.2.2 Determinar que el cliente ha desarrollado apropiadamente la cuestión de monitoreo de procesos para supervisar el desempeño del proveedor de servicios sobre los requerimientos del contrato.

66


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.2.1.2.3 Determinar que el cliente ha establecido monitoreo de asuntos internos para identificar las deficiencias en el cumplimiento del contrato por parte del cliente

2.2.2 Cumplimiento LegalObjetivo Control y Aseguramiento: Los asuntos legales relacionados con requerimientos funcionales, jurisdiccional, y contractuales están dirigidos para proteger ambas partes, documentados, aprobados y debidamente monitoreados. 2.2.2.1 Cumplimiento Legal

Control: El cumplimiento legal para leyes nacionales e internacionales está definido como un componente del contrato.

DS1.6ME3.1 X

2.2.2.1.1 Determinar si las leyes internacionales y nacionales están definidas y consideradas en el contrato.

2.2.2.1.2 Determinar si el proveedor del servicio y el cliente han acordado un proceso unificado para responder a las citaciones, procesos de servicio y otros requisitos legales.

2.3 Cumplimiento de normas y auditoría 2.3.1 Derecho de Auditoría

Objetivo de Control y Aseguramiento: El derecho para auditoría está claramente definido y satisface los requerimientos de aseguramiento en la tarjeta de administración del cliente, estatuto de auditoría, auditores externos y cualquier reglamentación que tenga jurisdicción sobre el cliente. 2.3.1.1 Derechos de Auditoría por contrato

Control: Los derechos de auditoría, según lo acordado en el contrato, ME2.5ME2.6

x x x

67


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


permiten al cliente realizar evaluaciones de control profesionales. ME3.1ME3.3ME3.4

2.3.1.1.1 Revisar los derechos de auditoría en el contrato, y determinar si las actividades de auditoría pueden ser restringidas o reducidas por el proveedor de servicios.

2.3.1.1.2 Si los problemas de derechos de auditoría están identificados, se prepara un resumen apropiado de los hallazgos y se realiza una reunión con el proveedor del servicio. Si es necesario y apropiado, se busca llegar al comité de auditoría.

2.3.1.2 Revisiones de Terceras PartesControl: El proveedor de servicios presenta revisiones de terceros que cumplan los requerimientos profesionales de los trabajos realizados por una organización reconocida de auditoría. El informe muestra los controles en el lugar por el proveedor de servicio y certifica que los controles han sido probados utilizando reconocidos criterios de selección. Un periodo de prueba previamente acordado proporciona una descripción de clientes recomendados, las responsabilidades del proveedor de servicios y los controles que se deban emplear.2.3.1.2.1 Obtener el informe de un tercero.2.3.1.2.2 Determinar que el informe aborda los mecanismos de control

utilizados por el cliente.

68


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.3.1.2.3 Determinar que las descripciones y los procesos son relevantes para los clientes del proveedor de servicios.

2.3.1.2.4 Determinar que el informe ha descrito los controles clave necesarios que el revisor evalúa el cumplimiento de objetivos de control apropiados.

2.3.1.2.5 Determinar que el informe y las pruebas cumplan con las disposiciones de aseguramiento del cliente y requisitos de cumplimiento de todos los reguladores que tiene jurisdicción sobre el cliente.

2.3.1.2.6 Haciendo uso del universo de clientes de auditoría autorizados, comparar el alcance del universo de auditoría con el alcance de informes de terceros; Identificar debilidades en este último requiere cubrimiento adicional de aseguramiento.

2.3.1.2.7 Determinar si las relaciones del proveedor de servicio cruza límites internacionales y si esto afecta la capacidad de confiar en el informe de terceros.

2.3.2 Capacidad de VerificaciónObjetivo de Control y Aseguramiento: El entorno de operatividad del proveedor debe estar sujeto a la auditoría para cumplir los reglamentos de auditoría del cliente, cumplimiento de requerimientos y los controles de buenas prácticas sin restricciones. 2.3.2.1 Revisiones de Aseguramiento del Cliente sobre los Procesos del DS2.3 x x x x

69


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


Proveedor de Servicio Control: El cliente realiza revisiones apropiadas para completar o sustituir comentarios de terceros como es requerido en su universo y estatutos de auditoría.

DS2.4ME2.1ME2.5ME2.6ME3.1ME3.3ME3.4

2.3.2.1.1 Determinar si las evaluaciones complementarias de aseguramiento (Si un tercer revisor ha sido proporcionado) o evaluaciones principales de aseguramiento son requeridas.

2.3.2.1.2 Generar solicitudes apropiadas al proveedor de servicio y una programación de revisiones. Nota: Hacer uso apropiado de programas de auditoría para estas revisiones.

2.3.3 Alcance de CumplimientoObjetivo de Control y Aseguramiento: El uso de Cloud Computing no es inválida o viola algún acuerdo de cumplimiento del cliente. 2.3.3.1 Factibilidad de Cumplimiento de Seguridad de Datos

Control: La regulación de datos está identificada en el tema de cumplimiento y son mapeados para el regulador de requerimientos. Las brechas son evaluadas para determinar si la plataforma de Cloud Computing invalidara o debilitara los requerimientos de cumplimiento.

ME3.1ME3.2ME3.3

x x x

2.3.3.1.1 Determinar si el cliente ha identificado los requerimientos legales y regulatorios que se deben cumplir.

70


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.3.3.1.2 Determinar si el cliente ha agregado requerimientos para reducir la duplicación de los mismos.

2.3.3.1.3 Utilizando la documentación reunida en el Gobierno y Gestión de Riesgo Empresarial, Descubrimiento Legal, Electrónico y Derecho de Secciones de Auditoría se realiza un análisis de debilidades o carencias contra la normatividad de datos con el fin de determinar si hay algún requisito regulatorio que no pueda ser completado por el modelo de Cloud Computing.

2.3.3.2 Responsabilidades en la protección de Datos Control: El escenario de implementación (SaaS, PaaS, IaaS) define las responsabilidades de protección de datos entre la pyme y el proveedor de servicios, y estas responsabilidades son claramente establecidas contractualmente.

DS2.2DS5.1DS11.6

x

2.3.3.2.1 Determinar que las responsabilidades para la protección de datos está basada sobre el riesgo para la implementación del escenario.

2.3.3.2.2 Revisar el contrato para determinar la asignación de responsabilidades.

2.3.3.2.3 Con base en el contrato, determinar si el proveedor del servicio de cada cliente ha establecido las medidas adecuadas en la protección de datos en el alcance de sus responsabilidades.

71


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


2.3.4 Certificación ISO 27001 Objetivo de Control y Aseguramiento: La garantía de seguridad por parte del proveedor del servicio esta proporcionada a través de la certificación ISO 27001.

DS5.1ME2.6ME2.7ME3.4

x

2.3.4.1 Información de Certificación de Seguridad ISOControl: La certificación ISO 27001 ofrece el cumplimiento de aseguramiento del proveedor de servicios a los procesos de seguridad de mejores prácticas. 2.3.4.1.1 Determinar si el proveedor de servicio ha recibido la

certificación ISO 27001. Si es así, ajustar el alcance del programa de auditoría para que se vea reflejada esta certificación.

2.4Portabilidad e Interoperabilidad 2.4.1 Servicio de Planeación de la Transición

Objetivo de Control y Aseguramiento: La planeación para la migración de datos, tales como formatos y accesos, es esencial para reducir riesgos operacionales y financieros al final del contrato. La transición de los servicios debe ser considerado al inicio de las negociaciones del contrato. 2.4.1.1 Portabilidad

Control: Procedimientos, capacidades y alternativas son establecidos, mantenimiento, control, y un estado de alerta ha sido establecido para la transferencia de operaciones de Cloud Computing a un proveedor alternativo en caso de que el proveedor de servicio seleccionado no sea

PO2.1PO4.1PO4.2PO4.4PO4.5

x

72


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


capaz de cumplir con los requisitos contractuales y el cese de operaciones. 2.4.1.1.1 Todas las soluciones de Cloud.

2.4.1.1.1.1 Determinar que los requisitos de hardware y software, más la viabilidad de mover desde un proveedor de servicios existente (Proveedor Legal) a otro proveedor (Nuevo proveedor) ha sido documentado por cada iniciativa de Cloud Computing.

2.4.1.1.1.2 Determinar que un proveedor de servicios alternativo para cada legado de proveedor ha sido identificado y que la viabilidad para transferir procesos ha sido evaluado.

2.4.1.1.1.3 Determinar si el análisis de viabilidad incluye procedimientos y tiempos estimados para mover grandes volúmenes de datos, en su caso.

2.4.1.1.1.4 Determinar si el proceso de portabilidad ha sido probado.

2.4.1.1.2 Soluciones Cloud en el escenario IaaS2.4.1.1.2.1 Determinar si el análisis de viabilidad de transferencia

del escenario IaaS heredado del proveedor de servicios incluye todas las funciones de propiedad o procesos que impidan o retrasen la transferencia de operaciones.

2.4.1.1.2.2 Determinar si el análisis de portabilidad incluye

73


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


procesos para proteger la propiedad intelectual y datos del proveedor de servicios una vez que el legado de la transferencia ha sido completada.

2.4.1.1.3 Soluciones Cloud en el escenario PaaS2.4.1.1.3.1 Determinar si el análisis de viabilidad incluye

identificación de componentes de aplicación y módulos que son propietarios pueden requerir programación durante la transferencia.

2.4.1.1.3.2 Determinar si el análisis de portabilidad incluye:•Traducción de funciones para el nuevo proveedor de

servicios •Procesamiento Interno hasta que un nuevo

proveedor de servicios se encuentre en modo operacional.

•Prueba de nuevos procesos antes del lanzamiento para el nuevo ambiente de producción en el nuevo proveedor de servicio

2.4.1.1.4 Soluciones Cloud en el escenario SaaS2.4.1.1.4.1 Determinar si el análisis de portabilidad incluye:

•Un plan de copia de seguridad de los datos en un formato que sea utilizable por otras aplicaciones.

•Rutina de copia de seguridad de los datos • Identificación de las herramientas personalizadas

74


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


requeridas para procesar los datos y los planes de ampliación.

•Pruebas de la nueva aplicación del proveedor de servicio y la debida diligencia antes de la conversión.

3. OPERACIÓN EN CLOUD COMPUTING3.1 Respuestas a incidentes, Notificación y Reparación Objetivo de Control y Aseguramiento: Notificar incidentes, revisar que las respuestas y corrección son documentados a tiempo, hacer frente al riesgo del incidente intensificando la gestión cuando sea necesario y dando un cierre formal.3.1.1 Respuesta a Incidentes

Control: El Contrato ANSs describe definiciones especificas de incidentes (Debilidades en los datos, violaciones a la seguridad), actividades sospechosas, y acciones para ser iniciado en responsabilidad de ambas partes.

DS1.5DS1.6DS2.2DS2.4DS5.6DS8.1DS8.2DS8.3DS8.4

x x

3.1.1.1 Obtener y revisar las ANSs por contrato para determinar que incidentes y eventos están claramente definidos y las responsabilidades asignadas.

3.1.1.2 Revisar acuerdos de cooperación, y evaluar las responsabilidades para la investigación de incidentes.

75


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


3.1.1.3 Notificación de procedimientos acordados para leyes locales que están incorporadas en los incidentes y procesos eventuales.

3.1.2 Problema de Seguimiento del Proveedor de ServicioControl: Los procesos de monitoreo son implementados y activamente usados por el proveedor de servicios para documentar e informar todos los incidentes definidos.

DS1.5DS1.6DS2.2DS2.3DS2.4DS5.6DS8.1DS8.2DS8.3DS8.4

x x x

3.1.2.1 Obtener y revisar los procedimientos de monitoreo del proveedor de servicio. 3.1.2.2 Determinar si los requerimientos del informe de monitoreo están alineados

con la política de notificación de incidentes de la pyme como cliente.3.1.2.3 Obtener los informes de incidentes monitoreados por un periodo

representativo de tiempo. 3.1.2.3.1 Determinar qué:

•Cliente fue notificado del incidente dentro de los requerimientos del ANS.

•Corrección fue a tiempo basada en el alcance y riesgo del incidente.

76


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


•Corrección fue apropiada•El problema es escalado si es apropiado•El problema fue cerrado y el cliente es notificado de forma

apropiada. 3.1.3 Problema de Seguimiento del ClienteControl: El cliente ha establecido un proceso de vigilancia para rastrear incidentes internos e incidentes del proveedor de servicios.

DS5.6DS8.1DS8.2DS8.3DS8.4DS8.5ME2.3

x x

3.1.3.1 Obtener el procedimiento de control de incidentes del cliente. 3.1.3.2 Determinar si el procedimiento de control de incidentes que rastrea tanto

los incidentes internos como los del proveedor de servicios. 3.1.3.3 Seleccionar una muestra de incidentes, y determinar qué:

•El proveedor de servicio notificó a la pyme como cliente sobre un tiempo base dentro del alcance del contrato.

•La corrección fue a tiempo basada en el alcance y riesgo del incidente. •La corrección fue apropiada.•El problema fue escalado dentro de la jerarquía del proveedor de

servicio. •El tema fue cerrado por el proveedor de servicio. •El problema fue monitoreado y reportado para la gestión de clientes.

77


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


•Los procedimientos del cliente fueron modificados para reconocer el aumento del riesgo.

•Los incidentes internos del cliente fueron registrados por el cliente, informados apropiadamente, corregido y cerrado.

3.2 Seguridad de Aplicaciones3.2.1 Arquitectura de Seguridad aplicaciones

Objetivo de Control y Aseguramiento: Las aplicaciones son desarrolladas con un entendimiento de la interdependencia inherente a aplicaciones en Cloud Computing, requiriendo un análisis de riesgos, diseño de gestión de la configuración y procesos de aprovisionamiento que soportarán cambios en las arquitecturas de aplicaciones. 3.2.1.1 Arquitectura de Seguridad de Aplicaciones

Control: El diseño aplicaciones basado en Cloud Computing incluye seguridad de la información, arquitectura de seguridad de la aplicación sujeto a expertos en la materia, y el proceso se centra en interdependencia inherente de aplicaciones en la nube.

AI2.4DS5.1DS5.2DS5.7

x

3.2.1.1.1 Obtener la documentación del diseño de la aplicación, y revisar las políticas para la participación de expertos en el diseño del sistema.

3.2.1.1.2 Determinar que la seguridad de la información y los especialistas de la arquitectura han estado completamente comprometidos durante la planeación e implementación de aplicaciones en la Cloud Computing.

78


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


3.2.1.1.3 Seleccionar las implementaciones recientes, revisar los planes de proyecto y desarrollo de pruebas de seguridad de la información y la participación de expertos en la materia.

3.2.1.2 Gestión de la Configuración y AprovisionamientoControl: La gestión de configuración y los procedimientos de aprovisionamiento están segregados desde el proveedor de servicios, limitado a una función de las operaciones de seguridad dentro de la organización del cliente y proporciona rastros de aseguramiento para documentar todas las actividades.

DS5.3DS5.4DS9.1DS9.2DS9.3

x

3.2.1.2.1 Obtener la gestión de configuración y la arquitectura de seguridad de aprovisionamiento.

3.2.1.2.2 Determinar si el proveedor de servicio no puede configurar o aprovisionar usuarios que pueden afectar la integridad de datos, acceso o la seguridad.

3.2.1.2.3 Determinar si los registros y el seguimiento de aseguramiento existen, el registro de estas actividades y la forma en que están monitoreadas y revisadas.

3.2.2 CumplimientoObjetivo de Control Y Aseguramiento: Los requisitos de cumplimiento son un componente integral del diseño y la implementación de la arquitectura de seguridad de aplicaciones. 3.2.2.1 Cumplimiento

Control: El ciclo de vida de desarrollo de sistemas incluye procesos para AI2.3AI2.4

x

79


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


asegurar que los requisitos de cumplimiento sean identificados, mapeados para la aplicación basada en Cloud Computing, y están incluidos en el producto final. Las brechas de cumplimiento se extienden a la alta dirección para renunciar a la aprobación.

ME3.1ME3.2

3.2.2.1.1 Obtener el análisis de cumplimiento utilizado como la base para autorizar la iniciación de la aplicación basada en la nube.

3.2.2.1.2 Determinar si se lleva a cabo una revisión formal de cumplimiento, si la autorización de la alta dirección es requerida cuando las políticas internas de seguridad de información necesitan una renuncia para permitir la implementación de la aplicación basada en la Cloud Computing.

3.2.3 Herramientas y ServiciosObjetivo de Control y Aseguramiento: El uso de herramientas de desarrollo, librerías aplicación de gestión de bibliotecas y otro software son evaluados para asegurar que su uso no afecten negativamente en la seguridad de las aplicaciones.3.2.3.1 Herramientas y Servicios

Control: Las herramientas y servicios usados en el desarrollo, gestión y monitoreo de aplicaciones son detalladas, documentadas, y analizada de acuerdo al efecto de la seguridad sobre la aplicación.

AI2.5AI3.2AI3.3DS5.1DS9.1

x x x

1.1.1.1 1.1.1.2

3.2.3.1.1 Obtener un análisis de herramientas y servicios en uso. 1.1.1.3 1.1.1.480


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


3.2.3.1.2 Determinar si la propiedad de cada herramienta y servicio ha sido identificado.

3.2.3.1.3 Determinar si el riesgo de la seguridad de información ha sido evaluada para cada herramienta y servicio. Si uno es considerado como riesgo de seguridad, determinar la disposición (escalada, renuncia al uso o no permitir el uso de software en un ambiente de nube).

3.2.3.1.4 Examinar ejemplos de aumento de solicitudes, y determinar el cumplimiento de procedimientos.

3.2.4 Funcionalidad de la Aplicación Objetivo de Control y Aseguramiento: Para implementaciones en SaaS, la aplicación tercerizada por Cloud Computing contiene la funcionalidad apropiada y controles de procesamiento requeridos por las políticas de control del cliente dentro del alcance de procesamiento (financiero, operacional, etc.).3.2.4.1 Funcionalidad de la Aplicación

Control: La funcionalidad de la aplicación está sujeta a una revisión de control como parte del aseguramiento de la aplicación del cliente.

ME2.5ME2.6 x x x

3.3 Seguridad e Integridad de datos3.3.1 Cifrado

Objetivo de Control y Aseguramiento: Los datos se transmiten y se mantienen de forma segura para prevenir accesos no autorizados y

81


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


modificaciones. 3.3.1.1 Información en transito

Control: Los datos en tránsito son cifrados sobre redes con claves privadas conocidas solamente por el cliente.

DS5.7DS5.11DS11.6

x

3.3.1.1.1 Obtener las políticas de cifrado y procedimientos para datos en tránsito.

3.3.1.1.2 Evaluar si el proceso de cifrado incluye lo siguiente: •Clasificación de los datos que atraviesan las redes de

Cloud Computing (Top Secret, confidencial estándar, confidencial de la empresa, publico)

•Tecnologías de cifrado en uso •Gestión de claves (véase el análisis de gestión de claves en

el punto 3.3.2) •Una lista de organizaciones externas a los clientes que

tienen las claves de descifrado para datos en tránsito. 3.3.1.2 Información en Reposo

Control: Los datos almacenados en bases de datos de producción en vivo sobre sistemas de Cloud Computing que están cifrados y con conocimiento de las claves de descifrado limitadas para el usuario.

DS11.2DS11.3DS11.6

x

3.3.1.2.1 Obtener las políticas y procedimientos de cifrado para datos almacenados en sistemas de Cloud Computing.

3.3.1.2.2 Para implementaciones en SaaS, determinar si el

82


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


proveedor de servicio ha implementado cifrados para información en reposo.

3.3.1.2.3 Determinar si los datos sensibles necesitan estar almacenados exclusivamente en los sistemas de la pyme como cliente para satisfacer sus políticas, los requisitos de cumplimiento normativo o de otro tipo.

3.3.1.2.4 Evaluar si los proceso de cifrado incluye lo siguiente: • Clasificación de datos almacenados sobre las redes

de Cloud Computing (Top secret, confidencial estándar, confidencial de la empresa, publico)

• Tecnologías de cifrado en uso. • Gestión de claves (véase el análisis de gestión de

claves en el punto 3.3.2) • Una lista de organizaciones externas a los clientes

que tienen las claves de descifrado para datos en tránsito.

3.3.1.3 Copia de Seguridad de los DatosControl: Las copias de seguridad de los datos están cifradas.

DS11.2DS11.3DS11.5DS11.6

x

3.3.1.3.1 Obtener políticas y procedimientos de copia de seguridad de los datos para copias de seguridad de datos basados en Cloud Computing.

83


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


3.3.1.3.2 Determinar si los datos son cifrados para evitar el acceso no autorizado y la divulgación de datos confidenciales.

3.3.1.3.3 Determinar si la estructura clave de cifrado proporciona confidencialidad adecuada de los datos.

3.3.1.3.4 Evaluar si los procesos de copia de seguridad proporcionan la capacidad para restaurar las configuraciones y datos por un periodo predeterminado que permita actividades forenses y otro tipo.

3.3.1.3.5 Determinar si las pruebas de restauración de datos se llevan a cabo de forma rutinaria.

3.3.1.4 Prueba de Confidencialidad de Datos Control: La prueba de datos no contiene y prohíbe el uso de copias de todos los datos de una producción actual o histórica que contienen información delicada y confidencial.

AI7.4DS11.6

x

3.3.1.4.1 Obtener políticas y normas de pruebas. 3.3.1.4.2 Determinar si las políticas excluyen específicamente

el uso de una producción actual o histórica de datos. 3.3.1.4.3 Realizar procedimientos de muestreo para determinar

el cumplimiento con la prueba de datos y la política de prohibición.

3.3.2 Gestión de ClavesObjetivo de Control y Aseguramiento: Las claves de cifrado están protegidas de

84


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


forma segura contra accesos no autorizados, la separación de deberes existentes entre los administradores de claves y la organización, además son recuperables.

3.3.2.1 Almacén de Claves SegurasControl: El almacén de claves está protegido durante la trasmisión, almacenamiento y copia de seguridad.

DS5.7DS5.8DS5.11

x

3.3.2.1.1 Obtener una comprensión de cómo el almacén de claves está protegidos.

3.3.2.1.2 Evaluar los controles de acceso, controles de transmisión y copias de seguridad para asegurar que los almacenes de claves están en posesión de los administradores de claves.

3.3.2.1.3 Identificar las debilidades potenciales de acceso para almacenes de claves e identificar controles de compensación.

3.3.2.2 Acceso a Almacenes de ClavesControl: El acceso a los almacenes de claves está limitado a los administradores de claves cuyos puestos de trabajo se encuentran separados del proceso de protección de los almacenes de clave.

DS5.7DS5.8

x

3.3.2.2.1 Identificar los administradores del almacén de claves. 3.3.2.2.2 Realizar una separación de funciones de análisis para

determinar las operaciones funcionales específicas con las que el administrador del almacén de claves tiene acceso.

3.3.2.2.3 Evaluar si las posiciones de los administradores del almacén de claves y su acceso a dichos almacenes crean una vulnerabilidad para la confidencialidad o integridad de datos.

85


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


3.3.2.2.4 Determinar si el proveedor de servicio tiene acceso a las claves o si tiene los procedimientos y supervisión para asegurar la confidencialidad de los datos del cliente.

3.3.2.2.5 Determinar si los controles son adecuados para proteger las claves en su generación y eliminación.

3.3.2.3 Copia de Seguridad de la Clave y su Valoración Control: La copia de seguridad de la clave y la valoración han sido establecidos y probados para asegurar el acceso continuo a las claves de los datos.

DS4.3DS4.8DS4.9DS5.7DS5.8

x

3.3.2.3.1 Obtener las políticas y procedimientos de copia de seguridad y valoración

3.3.2.3.2 Realizar una evaluación de riesgos, con vulnerabilidades conocidas, para determinar que la clave de las copias de seguridad estaría disponible y la recuperación estaría asegurada.

3.3.2.3.3 Determinar si un proceso de prueba para recuperación de clave existe y se ejecuta de forma rutinaria.

3.3.2.3.4 Revisar pruebas recientes de recuperación de claves. Evaluar la validez de cada prueba, el análisis, el proceso de recomendación usado y la preparación para restauración de clave.

3.4 Gestión de Acceso e Identidad

86


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


3.4.1 Gestión de Acceso e IdentidadObjetivo de Control y Aseguramiento: El proceso de identidad garantiza que solo usuarios autorizados tengan acceso a los datos y las fuentes, las actividades del usuario pueden ser auditadas y analizadas, y el cliente tiene control sobre la gestión de acceso. 3.4.1.1 Aprovisionamiento de Identidad

Control: El aprovisionamiento de usuarios, des aprovisionamiento y cambios de trabajo en función de aplicaciones basadas en la Cloud Computing y las plataformas de operación son gestionados de forma oportuna y controlada, de acuerdo con las políticas internas de acceso de usuario.

DS5.3DS5.4

x

3.4.1.1.1 Obtener políticas de aprovisionamiento y des aprovisionamiento interno.

3.4.1.1.2 Analizar las políticas de aprovisionamiento y des aprovisionamiento en relación con los procedimientos implementados para sistemas de Cloud Computing.

3.4.1.1.3 Identificar brechas en controles que requieren atención adicional haciendo uso de otras guías de gestión de la identidad.

3.4.1.2 Autenticación Control: La responsabilidad de la autenticación de usuario se queda con la pyme como cliente; inicio de sesión único y autenticación abierta se

PO3.4DS5.3DS5.4

x

87


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


debe utilizar. 3.4.1.2.1 Para SaaS y PaaS, Determinar si el cliente puede establecer

confianza entre el sistema de autenticación interna y el sistema de Cloud Computing.

3.4.1.2.2 Determinar, donde hay una opción en la que el proceso de autenticación de propiedad común se ha implementado en el proveedor de servicios.

3.4.1.2.3 Si un proceso de autenticación de propiedad es la única opción, determinar si los controles adecuados están en lugar para: •Prevenir compartimento de las identidades por parte de los

usuarios •Proporcionar separación de deberes adecuado para

prevenir que el personal del proveedor obtenga las identidades de los clientes.

•Proporcionar funciones forenses y registro que ayuda la historia de las actividades.

•Proporcionar funciones de monitoreo que alerten al cliente sobre actividades de autenticación no autorizadas.

3.4.1.2.4 Para IaaS: •Si las VPNs dedicadas están implementadas entre el

proveedor de servicio y las instalaciones del cliente, determinar si los usuarios están autenticados en la red del

88


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


cliente antes de pasar a las transacciones a través de la VPN. Las VPNs dedicadas son implementadas para autenticar usuarios en la red del cliente antes pasar a lo largo de las transacciones a través de la VPN.

•Donde una VPN dedicada no sea posible, determinar si se reconoce formatos de autenticación estándar que están en uso en conjunción con SSL

3.4.1.2.5 Para IaaS e implementaciones privadas, verificar que las soluciones de control de acceso a terceros opera efectivamente en ambientes virtualizados o de Cloud Computing, y que los datos pueden ser agregados y correlacionados efectivamente para la revisión de gerencia.

3.4.1.2.6 Identificar brechas en controles que requieren atención adicional haciendo uso de otras guías de gestión de la identidad.

3.5 Virtualización 3.5.1 Virtualización

Objetivo de Control y Aseguramiento: La virtualización de sistemas operativos se endurecen para evitar la contaminación cruzada con otros entornos de clientes.3.5.1.1 Virtualización

Control: El proveedor de servicios implementa controles de seguridad y aísla los sistemas operativos para evitar accesos no autorizados y

DS2.4DS5.5DS9.2

x

89


Am

bien

te d

e C

ontro

l

Eval

uaci

ón d

e R

iesg

o

Act

ivid

ades

de

Con

trol

Act

ivid

ades

y

Com

unic

ació

nM

onito

reo


ataques. DS9.33.5.1.1.1 Identificar la configuración de la maquina virtual en su sitio 3.5.1.1.2 Determinar si los controles adicionales han sido

implementados, incluyendo lo siguiente: Detección de intrusos. Prevención de Malware Escaneo de vulnerabilidad Línea base de gestión y análisis. La maquina virtual de imágenes de validación antes de la

puesta en producción. Evitar pasar por alto los mecanismos de seguridad por la

identificación de las APIs relacionadas con la seguridad en uso.

Separar la producción y el entorno de pruebas. Organización interna de gestión de la identidad para el

acceso administrativo. Oportuno aislamiento de intrusión de presentación de

informes.

90

8. EVALUACIÓN DE MADUREZ

La evaluación de madurez es una oportunidad para evaluar la madurez de los procesos revisados. Basado en los resultados de la revisión de control y aseguramiento, más las observaciones del revisor, se asigna un nivel de madurez para cada una de los siguientes objetivos o procesos de control desarrollada en COBIT. La evaluación debe estar limitada para los objetivos de control relacionadas directamente con la implementación de Cloud Computing y debe ser aplicable al proveedor de servicios y el cliente para el control de criterios mencionado previamente.

Objetivos de Control de COBITMadurez Evaluado

Objetivo Madurez Comentarios

DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO La comunicación efectiva entre la gerencia de TI y los clientes de negocio en relación con los servicios que son requeridos se hace posible gracias a que se cuenta con una decisión documentada unida a un acuerdo de servicios de TI y niveles de servicio. Este proceso también incluye monitoreo y el informe oportuno a los participantes acerca del cumplimiento de los niveles de servicio. Además, permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados. DS2 ADMINISTRAR SERVICIOS DE TERCERAS PARTESLa necesidad de asegurar que los servicios proporcionados por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de gestión de terceros. Este proceso se cumple por la definición clara de roles, responsabilidades y expectativas en acuerdos con terceros así como el monitoreo y la revisión del cumplimiento y la efectividad de los acuerdos. La gestión eficiente de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan adecuadamente. DS4 ASEGURAR SERVICIO CONTINUOLa necesidad de brindar continuidad a los servicios de TI requiere desarrollar, mantener y probar los planes de continuidad de TI, almacenar copias de seguridad fuera de las instalaciones y

91


Objetivo Madurez

Comentarios

entrenar de forma habitual a cerca de los planes de continuidad. Un proceso efectivo de continuidad de servicios minimiza la probabilidad y el impacto de una mayor interrupción de los servicios de TI, sobre funciones y procesos clave del negocio. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMASLa necesidad de mantener la integridad de la información y la protección de los activos de TI requiere de un proceso de gestión de la seguridad. Este proceso incluye establecer y mantener de los roles y responsabilidades de la seguridad, políticas, normas y procedimientos de TI. La administración de la seguridad también incluye llevar a cabo monitoreo de seguridad, pruebas periódicas y acciones correctivas de implementación para las debilidades o incidentes de seguridad identificados.

DS8 GESTIONAR LA MESA DE SERVICIO E INCIDENTES. Responder oportuna y efectivamente las consultas y problemas de los usuarios de TI, requiere un buen diseño y buena ejecución de la mesa de servicio, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de la mesa de servicio con registro, escalamiento de incidentes, análisis de tendencias, análisis de causa, raíz y resolución. Los beneficios del negocio incluyen incremento de la productividad gracias a la rápida resolución de las consultas hechas por los usuarios. Además, el negocio puede identificar la causa raíz por medio de un proceso de informes efectivos. DS9 ADMINISTRAR LA CONFIGURACIÓN Asegurar la integridad de configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y efectivo. Este proceso incluye la recolección de información de la configuración inicial, estableciendo líneas base, la verificación y aseguramiento de la información de configuración, y la actualización del repositorio de configuraciones de acuerdo a la necesidad.

92


Objetivo Madurez

Comentarios

DS11 ADMINISTRACIÓN DE DATOSLa administración efectiva de datos requiere identificar requerimientos de datos. El proceso de administración de datos también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, copias de seguridad y recuperación de datos, y la eliminación apropiada de medios.

ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNOEstablecer un programa de control interno para TI requiere un proceso de monitoreo bien definido. Este proceso incluye el monitoreo y reporte de excepciones de control, resultados de autoevaluación y revisiones de terceros. ME3 ASEGURAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOSUna efectiva supervisión del cumplimiento requiere el establecimiento de un proceso de revisión para asegurar el cumplimiento de leyes, regulaciones y requerimientos contractuales. Este proceso incluye identificar requerimientos de cumplimiento, optimizando y evaluando la respuesta, obtener aseguramiento de que los requerimientos han sido cumplidos y finalmente integrados al reporte de cumplimiento de las TI con el resto del negocio.

Tabla 8 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]

93

8.1 Evaluación De Madurez Vs. Objetivo De Madurez

Esta grafica de telaraña es un ejemplo de los resultados de la evaluación de madurez y objetivos de madurez para una empresa en específico.

94

DS5.1 Administración para seguridad de TI

DS5.2 Plan se seguridad de TI

DS5.3 Administración de identidad

DS5.4 Administración de Cuentas de usuario

DS5.5 Monitoreo, Vigilancia y pruebas de seguridad

DS5.6 Definición de incidentes de seguridad DS5.7 Protección de la tecnología de seguridad

DS5.8 Gestión de llaves criptográficas

DS5.9 Prevención, detección y corrección de software malicioso

DS5.10 Seguridad de la Red

DS5.11 Intercambio de datos sensitivos

0

1

2

3

4

5

Eval-uaciónObjetivo

Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez

9. REFERENCIAS Y BIBLIOGRAFÍA

Referencias

Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011, de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-evolucion-revolucion-no.1.html

Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud Computing', CSA-Cloud Security Alliance.

Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad', Revista Espaсola de Electrónica, 7.

Asofis (2009), 'Control interno –Informe Coso', Documento abierto al público.

Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado 22 de Febrero, 2011, de http://www.avanxo.com

Ayala, L. (2011), 'En la era de Cloud Computing', Colombia Digital. Recuperado 22 de Febrero, 2011, de http://www.colombiadigital.net/index.php?option=com_content&view=article&id=288:en-la-era-del-cloud-computing&catid=75:apropiacion-tic&Itemid=274

Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recursos e información tecnológica empresarial para CIOs.

Castellanos, W. A. (2011), 'Consideraciones de seguridad y privacidad en Cloud Computing', in Wilmar Arturo Castellanos Morales, ed., Deloitte ToucheLTDA, Deloitte, [email protected], 34.

Computing, S. C. (2009), 'Infrastructure as a Service (IaaS)', SearchCloudComputing.com. Recuperado 22 de Febrero, 2011, de http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS

Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information and related Technology', Information Systems Audit and Control Association, Technical report, IT Governance Institute, Documento de Gobierno de TI.

Enisa (2008), 'Risk Manegement', Enisa. Recuperado 07 de Marzo, 2011, de http://www.enisa.europa.eu/act/rm

95

Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado 20 de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-era-de-desarrollo/

Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.

Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. Qué es? Para qué sirve?', Arturogoga.

Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)', Global Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo

Gutiérrez, J. (2010), 'Cloud Computing: una opción viable para su negocio?', in Juan Gutiérrez, ed., , ACIS-Asociación Colombiana de Ingenieros de Sistemas.

Gutiérrez, A. (2009), 'Definición de Platform as a Service (PaaS)', Knol Beta - A unit of knwoledge. Recuperado 18 de Febrero, 2011, de http://knol.google.com/k/qu%C3%A9-es-paas#

Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04 de Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-paas.htmlLenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and related Technology', Information Systems Audit and Control Association, Technical report, IT Governance Institute, Documento de Gobierno de TI.

Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recuperado 18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/

MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO', MercadoTendencias.com. Recuperado 20 de Febrero, 2011, de http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/

MesaSectorial (2010), 'CLOUD COMPUTING UNA PERSPECTIVA PARA COLOMBIA', Documento PDF.

Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de gestión empresarial'.

Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de conocimiento público, [email protected].

NetworkSec (2008), 'Implantación de Gobierno de TI(Tecnologías de la Información)', Resumen Ejecutivo, [email protected], C/ Xàtiva 4-izquierda 646002 · Valencia.

Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la

96

información. Recuperado 20 de Febrero, 2011, de http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemid=40Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28 de Febrero, 2011, de http://www.parallels.com/es/products/saas/

Piebalgs, A. (2010), 'Software as a Service', Noticias.Com. Recuperado 18 de Febrero, 2011, de http://www.noticias.com/opinion/software-as-service-4h3.html

SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry Association, 9.

Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Software Development 32, 5.

Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Riesgos Corporativos-Marco Integrado'.

Toro, C. A. O. (2009), 'CLOUD COMPUTING COMO HERRAMIENTA FACILITADORA PARA EL EMPRENDIMIENTO EN COLOMBIA'(23rd)'Proceedings of the 3rd ACORN-REDECOM Conference México City May', 1.

Wolff, B. (2009), 'Cloud Computing – A Five Layer Model', BlueLock, 1. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--

97

10. ANEXOS

Anexo 1. EncuestasAnexo 2. Diagramas Requerimientos

98

OBJETIVO Y ALCANCE - Trabajos de Grado de la...

Documents

Transcript of OBJETIVO Y ALCANCE - Trabajos de Grado de la...