AuditandoelAmbientedela

ComputacinenlaNube

Despusdeterminarestasesinusted
tendr los conocimientos bsicos de:
tendrlosconocimientosbsicosde:
1. Losconceptosbsicosdelacomputacinenla
nube,especialmente,losconceptosde
i f
infraestructura,plataformasysoftwarecomo
t t
l t f
ft
serviciosdelanube.
2 Losprosycontrasdelacomputacinenlanube.
2.
Los pros y contras de la computacin en la nube
3. Losretosalaseguridaddelainformacinenlanube
y la auditoria de ese ambiente
ylaauditoriadeeseambiente.

Despusdeterminarestasesinusted
tendr los conocimientos bsicos de:
tendrlosconocimientosbsicosde:
4. Comomoverlosactivosdeinfraestructura,
plataformasysoftwaredeunambienteinternodela
empresaaunambientedelanube.
bi t d l
b
5. Hacerunanlisisderiesgoparaayudarenmoverlos
activos y operaciones a la nube
activosyoperacionesalanube.
6. ComoelauditordeITpuedeapoyaren:

identificaractivosamoveralanube,
identificar
acti os a mo er a la n be
monitorear lasoperacionesdelanube,
minimizar losriesgosdelanube,y
los riesgos de la nube y
mejorar lasoperacionesenlanube.

EvolucindelaTecnologade
Informtica
f

CentrosdeCmputos
Centros
de Cmputos
ComputacinDistribuida
Redes
d
ClienteServidor
Internet
yahoraComputacinenlaNube(Cloud
y ahora Computacin en la Nube (Cloud
Computing)

Nube: Definicin
Nube:Definicin

ConceptosdelaComputacinenla
Nube
b
Definicin deNIST(NationalInstituteofStandards
(
andTechnology)
LaNubeconsistedelosiguiente:
1. Tres(3)modelosdeserviciosdecomputacin
( )
1. CadamodeloIdentificaque recursosdecomputacin
que se ofrecen como servicio
queseofrecencomoservicio

2. Cuatro(4)modelosdeimplantacin
1. CadamodeloIdentificacomo seofrecenlosservicios

3. Cinco(5)caractersticasdelservicioofrecido
1. Identificalascaractersticasgenricasdelservicio
que se ofrece
queseofrece

QueRecursosdeComputacinSe
OfrecenComoServicios
f
Software Comoservicio(SaaS)
(
)
AccedelaNubeparausarSoftware(aplicacionesy
sistemas).Pagasporeltiempodeconexineuso

Plataforma
Pl t f
comoservicio(PaaS)
i i (P S)
AccedelaNubeparausarherramientasyrecursospara
desarrollar,probar,administrar,ydesplegaraplicacionesy
sistemas.Pagasporeltiempoeusodeesosrecursos.

Infraestructura comoservicio(IaaS)
Accede
AccedelaNubeparausarHardwarecomoservidores
la Nube para usar Hardware como servidores
virtuales,almacenamiento,ydispositivosderedescomo
firewalls.Pagasporeltiempoeusodeesosrecursos.

QueRecursosdeComputacinSe
OfrecenComoServicios
f
OtrascategorasdeServicios
Otras categoras de Servicios
StorageasaService
DatabaseasaService
Database as a Service
ProcessasaService
ApplicationasaService
A li ti
S i
SecurityasaService
TestingasaService
T i
S i
Management/GovernanceasaService

CualessonlosMtodosde
ImplantacindelasNubesdeServicios
l
d l
b d
ElmtododeimplantacindelaNubeindicaquiencontrola
losrecursosdelaNube
Quiencontrola,determinaquienpuedeusaresosrecursosdela
Nube

NubePublica
TodoelmundopuedeusarlosrecursosdelaNube

NubePrivada
SolamenteunainstitucinpuedeusarlosrecursosdelaNube

NubeComunitaria
Solamente
Solamenteungrupo(oComunidad)deinstitucionespueden
un grupo (o Comunidad) de instituciones pueden
usarlosrecursosdelaNube

Hibrido
CombinacindelasNubeanteriores
Combinacin de las Nube anteriores

CualessonlasCaractersticasdeestas
NubesdeServicios
b d
Sepuedepedircambiosenlacantidadde
p
p
recursosoniveldeserviciosdemanera
automticayalademanda
Sepuedeteneraccesoalanubederecursosa
Se puede tener acceso a la nube de recursos a
travsdecualquierdispositivoconcomunicacin
porInternet
Seagrupanlosrecursosparaserviramltiples
clientes
Seproveelarpidaelasticidad
S
l id l i id d
ElServicioesmedidoysepagaporserviciousado

The NIST Cloud Definition Framework

Hybrid Clouds
Deployment
Models
Service
Models

Community
Cloud

Private
Cloud
Software as a
Service (SaaS)

Public Cloud

Platform as a
Service (PaaS)

Infrastructure as a
Service (IaaS)

On Demand Self-Service
Essential
Characteristics

Common
Characteristics

Broad Network Access

Rapid Elasticity

Resource Pooling

Measured Service

Massive Scale

Resilient Computing

Homogeneity

Geographic Distribution

Virtualization

Service Orientation

Low Cost Software

Advanced Security

12

Top 10 Strategic Technology

Areas for 2009

Top 10 Strategic Technology

Areas for 2010

1. Virtualization

1. Cloud Computing

2. Business Intelligence

2. Advanced Analytics

3. Cloud Computing

3. Client Computing
p
g

4. Green IT .

4. IT for Green

5. Unified Communications ..

5. Reshaping the Data Center

6 Social Software and Social

6.
Networking

6 Social Computing
6.

7. Web-Oriented Architecture ..
8 Enterprise Mashups ..
8.
9. Specialized Systems .

7. Security Activity Monitoring

8. Flash Memory
9 Virtualization
9.
Vi
li i for
f Availability
A il bili
10. Mobile Applications

10.Servers Beyond Blades .

Modified for 2010

New for 2010

Dropped for 2010

LosBeneficiosyRetosdelaComputacinenla
Nube

LosBeneficiosdelaComputacinenla
Nube
Reduccinencosto($$$)deadquisicin(Opexvs.
Reduccin en costo($$$) de adquisicin (Opex vs.
Capex)
Accesomasrpidoacambiosrequeridosenlos
p
q
recursosdecmputosqueestnenlaNube
Lodebotenercuandoloquiero

Mayordisponibilidaddeaccesoalosrecursoso
servicios.Mnimotiempodeinactividad
(Downtime)delservicio/recursoenlaNube
/

 Beneficios(cont.)
Beneficios (cont )
Mayorescalabilidad
Quieroms,medasms;quieromenos,medasmeno.
Quiero ms me das ms; quiero menos me das meno

Eficiencia
Menos
MenostiempoconlosproblemasdeIT;mastiempo
tiempo con los problemas de IT; mas tiempo
conelprogresodelnegocio

Mayorresistenciaainterrupcionesenelservicio
ofrecido

 LosretosdelacomputacinenlaNube
p
RiesgosconelsuplidordelosrecursosdelaNube
ConfiabilidaddelsuplidordelaNube
Conocerlareputacindelsuplidorquevaadarlosserviciosde
Conocer la reputacin del suplidor que va a dar los servicios de
computacinenlaNube.
InterrupcinenlosserviciosdesuplidordeNube
AcuerdossobreelNivelenServicio(ServiceLevelAgreement
Acuerdos sobre el Nivel en Servicio (Service Level Agreement
SLA)

Elservicioofrecidopudieraimpactarnegativamentela:
Confidencialidad
Confidencialidad,
Integridad,y
Disponibilidaddelainformacindelaempresaquemovisteala
Nube.
Nube

 Retos(cont.)
Retos (cont )
ElmismodinamismodelambientedelaNube
puede causar confusin con relacin a que niveles
puedecausarconfusinconrelacinaqueniveles
deservicioorecursosdecmputostienes
disponibleenunmomentodado.
LainformacinestaenlaNubeynoestabajotu
controlestrictoofsico.
Estasituacinpudieracausarriesgosdeaccesode
entidadesnoautorizadosalainformacinprivilegiada
de la institucin
delainstitucin.

 Retos(cont.)
Retos (cont )
ElusodelaNubePublicapuedecausarproblemas
con entidades regulatorias y de fiscalizacin por el
conentidadesregulatoriasydefiscalizacinporel
posiblenocumplimientoconlosaspectosdela
seguridaddelainformacin:

FFIEC
FDA
HIPAA
PCI

 Retos(cont.)
Retos (cont )
Ladependenciasobrelaredoconexionesde
banda ancha
bandaancha
Lalatenciadelared
LosriesgosdeseguridadenusarelNavegador,
Los riesgos de seguridad en usar el Navegador
sea,IE,Chrome,FireFox,etc.
Cumplimentoconcontratosestablecidos
Cumplimento con contratos establecidos
SLAs

 Retos(cont.)
Retos (cont )
Losriesgospuedensobrepasarlosbeneficios
Hayquehacerunestudioexhaustivodelos
Hay que hacer un estudio exhaustivo de los
riesgosdeestenuevomodelodecomputacin

LosRetosdelaSeguridaddelaInformacinen
l
laNube
b

 QuientienemsintersenlasNubes?
LosHackers,Pillos,yTerroristasolosEmpresarios?
SeguridadenalNubeesprimordial
ElCloudSecurityAlliance(CSA)secrepara
establecerestndaresdeseguridadparalasNubes.
Ensudocumento:TopThreatstoCloudComputing
E
d
t T Th t t Cl d C
ti
V1.0GuidanceforCriticalAreasofFocusinCloud
ComputingV2.1,seidentificanlasprincipales
p
g
p
p
amenazasacomputacinenlaNubecomo:

PrincipalesAmenazasalaNube
1. Abuso,
Abuso,maluso,yusoilegaldelaNube
mal uso, y uso ilegal de la Nube
2. Interfacesyconexionesinseguros
3 Empleadosmaliciosostrabajandoparael
3.
Empleados maliciosos trabajando para el
proveedordelaNube
4 Recursoscompartidosentrevariosclientes
4.
Recursos compartidos entre varios clientes
5. Perdidayfugadedatos
6 Robodecuentasoservicios
6.
R b d
t
i i
7. Perfilderiesgodelproveedoresdesconocido

Moverinfraestructura,plataformasysoftware
d
deunambienteinternodelaempresaaun
bi t i t
d l
ambientedelanube.

ComonosmovemosalaNube?
Como
nos movemos a la Nube?
1. Identificalosactivosamover
2. Evalalacriticidaddeesosactivos
1. Hagaunanlisisderiesgospreguntandolosiguiente:
1.
2
2.
3.
4.
4
5.
6.

Quepasarelactivoprivilegiadoyconfidencialsehacepublico
Que pasar si un empleado del proveedor accede a la data
Quepasarsiunempleadodelproveedoraccedealadata
Quepasarsilosprocesoofuncionessonmanipuladospor
terceronoautorizados
Que pasar si los procesos o funciones dejan de funcionar
Quepasarsilosprocesosofuncionesdejandefuncionar
Quepasarsilosdatossonalteradosinesperadamente.
Quepasarsilosactivosnoestadisponibleporunperiodode
tiempo

ComonosmovemosalaNube?(cont.)
Como
nos movemos a la Nube? (cont )
3. Relacionalosactivosconlosdiferentes
modelosdeNubes.
d l d N b
4. Evalelospotencialesmodelosylos
proveedoresdeesosmodelos
5. Documenteelflojodedatahaciaydesdela
j
y
Nube

ElAnlisisdeRiesgoySuImpactoenMover
OperacionesalaNube
l
b

CSAhaidentificadodominiosdondesedebe
CSA
ha identificado dominios donde se debe
estudiarlosefectosdelamovidaalaNube.
Estos dominios son:
Estosdominiosson:
1. AchitecturadelaNube
2 GobiernoyManejodeRiesgo
2.
G bi
M
j d Ri
3. AsuntosLegalesyDescubrimientoElectrnica
4. CumplimientoyAuditoria
5 ManejodelCiclodeVidadelaInformacin
5.
Manejo del Ciclo de Vida de la Informacin

Dominiosson(cont.):
Dominios
son(cont ):
6. PortabilidadyoperatividadentreNubes
7. Seguridad,ContinuidaddeNegocios,yPlanes
S
id d C i id d d
i
l
deDesastres
8. OperacionesdelCentrodeCmputos
9. RepuestasaIncidentes
p
10.Seguridaddeaplicaciones

Dominiosson(cont.):
Dominios
son (cont ):
11.Encrypcionymanejodellaves
12.ManejodeIdentidadyAcceso
2
j d d id d
13.Virtualizacin

ElRoldelAuditordeITySuAuditoriadel
Ambiente de Computacin en la Nube
AmbientedeComputacinenlaNube

 AuditarelusodelaNube:
Auditar el uso de la Nube:
Planificarlaauditoriaydeterminarreasarevisar
( de las 13 mencionadas)
(delas13mencionadas)
Recopilaratravsdeentrevistasyrevisinde
documentos
Hacerpruebasdecumplimentoysubstantivos
Documentarsealamientosydiscutirconla
Documentar sealamientos y discutir con la
gerencia
PrepararydiscutirInformeFinal.
Preparar y discutir Informe Final

 Recopilacindeinformacin
Recopilacin de informacin
Obtengaelinformedeauditoriahechaalsuplidor
delaNubeporunafirmacalificado
p
Reviseelmtododeseleccindelsuplidordela
Nubeyloscontratospertinentes
Seanalizaronvariossuplidores?
Secompletounanlisisdecostos?
Determinarcomosemidelacalidaddelservicio
Determinar como se mide la calidad del servicio
recibidooarecibir
AcuerdosenelNiveldeServicio(SLAs)

 Analiceydetermine:
Analice y determine:
comosesegregarlosdatosdelainstitucindelos
datos de otras instituciones
datosdeotrasinstituciones
elusodeencrypciondelosdatosenviadosa,
recibidosde,yguardadosenlaNube
DeterminesipersonaldelsuplidordelaNubetiene
accesoalainformacindelainstitucinyque
controlesdeaccesoexisten
l d
i
DeterminesilainformacinestaprotegidaenlaNube
segn las polticas y procedimientos de seguridad
segnlaspolticasyprocedimientosdeseguridad

Gracias!
JohnR.Robles,CISA,CISM,CRISC
John
R Robles CISA CISM CRISC
President
RoblesandAssociates