Cloud Computing

El Cloud Computing, o Computacin en la Nube, nace de los trminos:

Cloud y Computing.
Cloud, o Nube, es el smbolo que se usa generalmente para representar la Internet.

Computing, o Computacin, rene los conceptos de informtica, lgica de coordinacin y

almacenamiento.

Es un trmino que se define como una tecnologa que ofrece servicios a travs de la
plataforma de internet. Los usuarios de este servicio tienen acceso de forma gratuita o
de pago todo depende del servicio que se necesite usar.

El trmino es una tendencia que responde a mltiples caractersticas integradas. Uno de los ejemplos
de esta nube es el servicio que presta Google Apps que incorpora desde un navegador hasta el
almacenamiento de datos en sus servidores. Los
programas deben estar en los servidores en lnea y puedas acceder a los servicios y la
informacin a travs de internet. El cambio paradigmtico que ofrece computacin en nube es que
permite aumentar el
nmero de servicios basados en la red. Esto genera beneficios tanto para los
proveedores, que pueden ofrecer, de forma ms rpida y eficiente, un mayor nmero
de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos,
disfrutando de la transparencia e inmediatez del sistema y de un modelo de pago por
consumo.

Caractersticas:
El modelo Cloud Computing est compuesto por cinco caractersticas esenciales (NIST,
2009):
Auto-servicio por demanda
Los servicios pueden ser solicitados por el usuario o cliente a travs de Internet directamente. El
usuario paga nicamente por el tiempo de uso del servicio.

Fondo comn de recursos

Los servicios se encuentran en la Nube para ser usados por mltiples usuarios bajo un modelo
multi-arrendatario en diferentes lugares del mundo. Esto genera una independencia de la
ubicacin de los recursos aprovechando la naturaleza del Internet (Internet, Intranet o Extranet).

Acceso ubicuo a la red

Los servicios estn desplegados en la nube y son accesibles desde cualquier medio con acceso a la
red (Internet, Intranet o Extranet).

Rpida elasticidad
La cantidad o calidad de los servicios ofrecidos en la Nube puede aumentar o disminuir rpidamente
dependiendo de las necesidades cambiantes de los usuarios.

Servicio medido
Cada recurso que consume el usuario y que es facturable debe ser medido, no slo para fines de
tarificacin sino tambin de control. Este servicio puede ser vendido al mismo usuario o cliente
dentro de su contexto y/o ambiente.

Auditoria en la nube
Las auditoras generalmente se enfocan en proveer garantas, lo que normalmente involucra evaluar la
efectividad de los controles que revelan informacin acerca de la conducta de uno o ms procesos de
negocio. Todas las compaas cotizadas deben realizar auditoras internas para garantizar la efectividad
de sus controles para los propsitos de subsecuentes auditoras financieras o de revisin de polticas
internas.

Sin embargo, el entorno de provisin de servicios TIC a travs de la nube presenta caractersticas
especficas diferenciales frente a otros entornos de provisin de servicios TIC. Estas diferencias sugieren
la necesidad de revisar la forma en que la funcin auditora puede cumplir sus fines en este nuevo
entorno, as como la de adaptar la operativa concreta aplicable al mismo: herramientas, metodologas,
responsabilidades, colaboraciones, etc. Estas caractersticas diferenciales estn estrechamente ligadas
con los modelos de nube definidas por la Cloud Security Alliance (Pblica, Privada, Hbrida o
Compartida) [CSA, 2009].

A efectos de la funcin de auditora se pueden listar las siguientes caractersticas diferenciales de los
entornos de computacin en la nube respecto a los que no lo son:

Los elementos incluidos en el programa de auditora pueden estar fsicamente ubicados en una o ms
instalaciones, incluso separadas geogrficamente entre s. De esta forma, la posibilidad de que un
equipo auditor realice su labor presencialmente requiere de mayor esfuerzo, complejidad y por
consiguiente en mayores costes.
Debido a la distribucin geogrfica de los recursos de la nube, la accin auditora deber seleccionar
cules de aqullos marcos jurdicos involucrados deben ser considerados.
Debido a que los elementos fsicos incluidos en el programa de auditora no son propiedad del cliente
auditado (ni su uso es privativo por l), en entornos compartidos como es la nube (multi-inquilino),
existirn recursos lgicos de otros clientes que queden excluidos del alcance de la accin auditora.
En general, los auditores internos y externos para la nube buscarn las suficientes garantas basadas en
el riesgo evaluado de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los
auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirn las
suficientes garantas de este ltimo en controles tales como la continuidad del negocio o los procesos de
seguridad. Adicionalmente, hay otros elementos que, si bien forman parte del modelo de computacin
en la nube, no resultan diferenciales sobre otros ecosistemas TIC existentes. Para estos, son aplicables
las metodologas tradicionales de auditora:

Prestacin de servicios TIC a travs de un tercero, modelado mediante un Acuerdo de Nivel de Servicio
(ANS). Incluyendo:
Gestin y resolucin de conflictos entre proveedor y clientes,
Albergado de datos, servicios y recursos TIC en instalaciones de un tercero (considerado
individualmente, un tercero y uno cualquiera de los Centros de Procesamiento de Datos de un servidor
de computacin en la nube).
Responsabilidad del prestador del servicio por deficiencias en el mismo.
Seguimiento del cumplimiento del ANS, y aplicacin de medidas correctivas o compensatorias en su
caso.

Finalizacin de los contratos.

Acceso a datos propios por terceros, incluyendo personal y proveedores del proveedor del cliente.
Exportacin / importacin de datos de carcter personal entre pases.
Riesgos reputacionales o de fraude por dependencias de terceros.
Es importante resaltar que el resto de esta seccin no pretende dar un cuestionario o lista de
verificacin para realizar una auditora de servicios en la nube, sino mostrar las diferentes metodologas
y tecnologas existentes o que se estn desarrollando actualmente e indicar mejores prcticas de
auditora en el nuevo entorno.

En este cambio de paradigma, las TIC ya no se encuentran en el lmite fsico de las organizaciones, sino
que estn dispersas en muchos casos en diversos territorios, cada uno con legislaciones especficas ms
o menos restrictivas en trminos de manejo de privacidad, polticas de gobernabilidad de informacin,
etc.

- See more at: http://blog.nexica.com/2011/06/cloud-compilance-report-auditoria-de-entornos-decomputacion-en-la-nube-7/#sthash.VU4kAzlt.dpuf