Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ComputacinenlaNube
Despusdeterminarestasesinusted
tendr los conocimientos bsicos de:
tendrlosconocimientosbsicosde:
1. Losconceptosbsicosdelacomputacinenla
nube,especialmente,losconceptosde
i f
infraestructura,plataformasysoftwarecomo
t t
l t f
ft
serviciosdelanube.
2 Losprosycontrasdelacomputacinenlanube.
2.
Los pros y contras de la computacin en la nube
3. Losretosalaseguridaddelainformacinenlanube
y la auditoria de ese ambiente
ylaauditoriadeeseambiente.
Despusdeterminarestasesinusted
tendr los conocimientos bsicos de:
tendrlosconocimientosbsicosde:
4. Comomoverlosactivosdeinfraestructura,
plataformasysoftwaredeunambienteinternodela
empresaaunambientedelanube.
bi t d l
b
5. Hacerunanlisisderiesgoparaayudarenmoverlos
activos y operaciones a la nube
activosyoperacionesalanube.
6. ComoelauditordeITpuedeapoyaren:
identificaractivosamoveralanube,
identificar
acti os a mo er a la n be
monitorear lasoperacionesdelanube,
minimizar losriesgosdelanube,y
los riesgos de la nube y
mejorar lasoperacionesenlanube.
EvolucindelaTecnologade
Informtica
f
CentrosdeCmputos
Centros
de Cmputos
ComputacinDistribuida
Redes
d
ClienteServidor
Internet
yahoraComputacinenlaNube(Cloud
y ahora Computacin en la Nube (Cloud
Computing)
Nube: Definicin
Nube:Definicin
ConceptosdelaComputacinenla
Nube
b
Definicin deNIST(NationalInstituteofStandards
(
andTechnology)
LaNubeconsistedelosiguiente:
1. Tres(3)modelosdeserviciosdecomputacin
( )
1. CadamodeloIdentificaque recursosdecomputacin
que se ofrecen como servicio
queseofrecencomoservicio
2. Cuatro(4)modelosdeimplantacin
1. CadamodeloIdentificacomo seofrecenlosservicios
3. Cinco(5)caractersticasdelservicioofrecido
1. Identificalascaractersticasgenricasdelservicio
que se ofrece
queseofrece
QueRecursosdeComputacinSe
OfrecenComoServicios
f
Software Comoservicio(SaaS)
(
)
AccedelaNubeparausarSoftware(aplicacionesy
sistemas).Pagasporeltiempodeconexineuso
Plataforma
Pl t f
comoservicio(PaaS)
i i (P S)
AccedelaNubeparausarherramientasyrecursospara
desarrollar,probar,administrar,ydesplegaraplicacionesy
sistemas.Pagasporeltiempoeusodeesosrecursos.
Infraestructura comoservicio(IaaS)
Accede
AccedelaNubeparausarHardwarecomoservidores
la Nube para usar Hardware como servidores
virtuales,almacenamiento,ydispositivosderedescomo
firewalls.Pagasporeltiempoeusodeesosrecursos.
QueRecursosdeComputacinSe
OfrecenComoServicios
f
OtrascategorasdeServicios
Otras categoras de Servicios
StorageasaService
DatabaseasaService
Database as a Service
ProcessasaService
ApplicationasaService
A li ti
S i
SecurityasaService
TestingasaService
T i
S i
Management/GovernanceasaService
CualessonlosMtodosde
ImplantacindelasNubesdeServicios
l
d l
b d
ElmtododeimplantacindelaNubeindicaquiencontrola
losrecursosdelaNube
Quiencontrola,determinaquienpuedeusaresosrecursosdela
Nube
NubePublica
TodoelmundopuedeusarlosrecursosdelaNube
NubePrivada
SolamenteunainstitucinpuedeusarlosrecursosdelaNube
NubeComunitaria
Solamente
Solamenteungrupo(oComunidad)deinstitucionespueden
un grupo (o Comunidad) de instituciones pueden
usarlosrecursosdelaNube
Hibrido
CombinacindelasNubeanteriores
Combinacin de las Nube anteriores
CualessonlasCaractersticasdeestas
NubesdeServicios
b d
Sepuedepedircambiosenlacantidadde
p
p
recursosoniveldeserviciosdemanera
automticayalademanda
Sepuedeteneraccesoalanubederecursosa
Se puede tener acceso a la nube de recursos a
travsdecualquierdispositivoconcomunicacin
porInternet
Seagrupanlosrecursosparaserviramltiples
clientes
Seproveelarpidaelasticidad
S
l id l i id d
ElServicioesmedidoysepagaporserviciousado
Community
Cloud
Private
Cloud
Software as a
Service (SaaS)
Public Cloud
Platform as a
Service (PaaS)
Infrastructure as a
Service (IaaS)
On Demand Self-Service
Essential
Characteristics
Common
Characteristics
Rapid Elasticity
Resource Pooling
Measured Service
Massive Scale
Resilient Computing
Homogeneity
Geographic Distribution
Virtualization
Service Orientation
Advanced Security
12
1. Virtualization
1. Cloud Computing
2. Business Intelligence
2. Advanced Analytics
3. Cloud Computing
3. Client Computing
p
g
4. Green IT .
4. IT for Green
5. Unified Communications ..
6 Social Computing
6.
7. Web-Oriented Architecture ..
8 Enterprise Mashups ..
8.
9. Specialized Systems .
LosBeneficiosyRetosdelaComputacinenla
Nube
LosBeneficiosdelaComputacinenla
Nube
Reduccinencosto($$$)deadquisicin(Opexvs.
Reduccin en costo($$$) de adquisicin (Opex vs.
Capex)
Accesomasrpidoacambiosrequeridosenlos
p
q
recursosdecmputosqueestnenlaNube
Lodebotenercuandoloquiero
Mayordisponibilidaddeaccesoalosrecursoso
servicios.Mnimotiempodeinactividad
(Downtime)delservicio/recursoenlaNube
/
Beneficios(cont.)
Beneficios (cont )
Mayorescalabilidad
Quieroms,medasms;quieromenos,medasmeno.
Quiero ms me das ms; quiero menos me das meno
Eficiencia
Menos
MenostiempoconlosproblemasdeIT;mastiempo
tiempo con los problemas de IT; mas tiempo
conelprogresodelnegocio
Mayorresistenciaainterrupcionesenelservicio
ofrecido
LosretosdelacomputacinenlaNube
p
RiesgosconelsuplidordelosrecursosdelaNube
ConfiabilidaddelsuplidordelaNube
Conocerlareputacindelsuplidorquevaadarlosserviciosde
Conocer la reputacin del suplidor que va a dar los servicios de
computacinenlaNube.
InterrupcinenlosserviciosdesuplidordeNube
AcuerdossobreelNivelenServicio(ServiceLevelAgreement
Acuerdos sobre el Nivel en Servicio (Service Level Agreement
SLA)
Elservicioofrecidopudieraimpactarnegativamentela:
Confidencialidad
Confidencialidad,
Integridad,y
Disponibilidaddelainformacindelaempresaquemovisteala
Nube.
Nube
Retos(cont.)
Retos (cont )
ElmismodinamismodelambientedelaNube
puede causar confusin con relacin a que niveles
puedecausarconfusinconrelacinaqueniveles
deservicioorecursosdecmputostienes
disponibleenunmomentodado.
LainformacinestaenlaNubeynoestabajotu
controlestrictoofsico.
Estasituacinpudieracausarriesgosdeaccesode
entidadesnoautorizadosalainformacinprivilegiada
de la institucin
delainstitucin.
Retos(cont.)
Retos (cont )
ElusodelaNubePublicapuedecausarproblemas
con entidades regulatorias y de fiscalizacin por el
conentidadesregulatoriasydefiscalizacinporel
posiblenocumplimientoconlosaspectosdela
seguridaddelainformacin:
FFIEC
FDA
HIPAA
PCI
Retos(cont.)
Retos (cont )
Ladependenciasobrelaredoconexionesde
banda ancha
bandaancha
Lalatenciadelared
LosriesgosdeseguridadenusarelNavegador,
Los riesgos de seguridad en usar el Navegador
sea,IE,Chrome,FireFox,etc.
Cumplimentoconcontratosestablecidos
Cumplimento con contratos establecidos
SLAs
Retos(cont.)
Retos (cont )
Losriesgospuedensobrepasarlosbeneficios
Hayquehacerunestudioexhaustivodelos
Hay que hacer un estudio exhaustivo de los
riesgosdeestenuevomodelodecomputacin
LosRetosdelaSeguridaddelaInformacinen
l
laNube
b
QuientienemsintersenlasNubes?
LosHackers,Pillos,yTerroristasolosEmpresarios?
SeguridadenalNubeesprimordial
ElCloudSecurityAlliance(CSA)secrepara
establecerestndaresdeseguridadparalasNubes.
Ensudocumento:TopThreatstoCloudComputing
E
d
t T Th t t Cl d C
ti
V1.0GuidanceforCriticalAreasofFocusinCloud
ComputingV2.1,seidentificanlasprincipales
p
g
p
p
amenazasacomputacinenlaNubecomo:
PrincipalesAmenazasalaNube
1. Abuso,
Abuso,maluso,yusoilegaldelaNube
mal uso, y uso ilegal de la Nube
2. Interfacesyconexionesinseguros
3 Empleadosmaliciosostrabajandoparael
3.
Empleados maliciosos trabajando para el
proveedordelaNube
4 Recursoscompartidosentrevariosclientes
4.
Recursos compartidos entre varios clientes
5. Perdidayfugadedatos
6 Robodecuentasoservicios
6.
R b d
t
i i
7. Perfilderiesgodelproveedoresdesconocido
Moverinfraestructura,plataformasysoftware
d
deunambienteinternodelaempresaaun
bi t i t
d l
ambientedelanube.
ComonosmovemosalaNube?
Como
nos movemos a la Nube?
1. Identificalosactivosamover
2. Evalalacriticidaddeesosactivos
1. Hagaunanlisisderiesgospreguntandolosiguiente:
1.
2
2.
3.
4.
4
5.
6.
Quepasarelactivoprivilegiadoyconfidencialsehacepublico
Que pasar si un empleado del proveedor accede a la data
Quepasarsiunempleadodelproveedoraccedealadata
Quepasarsilosprocesoofuncionessonmanipuladospor
terceronoautorizados
Que pasar si los procesos o funciones dejan de funcionar
Quepasarsilosprocesosofuncionesdejandefuncionar
Quepasarsilosdatossonalteradosinesperadamente.
Quepasarsilosactivosnoestadisponibleporunperiodode
tiempo
ComonosmovemosalaNube?(cont.)
Como
nos movemos a la Nube? (cont )
3. Relacionalosactivosconlosdiferentes
modelosdeNubes.
d l d N b
4. Evalelospotencialesmodelosylos
proveedoresdeesosmodelos
5. Documenteelflojodedatahaciaydesdela
j
y
Nube
ElAnlisisdeRiesgoySuImpactoenMover
OperacionesalaNube
l
b
CSAhaidentificadodominiosdondesedebe
CSA
ha identificado dominios donde se debe
estudiarlosefectosdelamovidaalaNube.
Estos dominios son:
Estosdominiosson:
1. AchitecturadelaNube
2 GobiernoyManejodeRiesgo
2.
G bi
M
j d Ri
3. AsuntosLegalesyDescubrimientoElectrnica
4. CumplimientoyAuditoria
5 ManejodelCiclodeVidadelaInformacin
5.
Manejo del Ciclo de Vida de la Informacin
Dominiosson(cont.):
Dominios
son(cont ):
6. PortabilidadyoperatividadentreNubes
7. Seguridad,ContinuidaddeNegocios,yPlanes
S
id d C i id d d
i
l
deDesastres
8. OperacionesdelCentrodeCmputos
9. RepuestasaIncidentes
p
10.Seguridaddeaplicaciones
Dominiosson(cont.):
Dominios
son (cont ):
11.Encrypcionymanejodellaves
12.ManejodeIdentidadyAcceso
2
j d d id d
13.Virtualizacin
ElRoldelAuditordeITySuAuditoriadel
Ambiente de Computacin en la Nube
AmbientedeComputacinenlaNube
AuditarelusodelaNube:
Auditar el uso de la Nube:
Planificarlaauditoriaydeterminarreasarevisar
( de las 13 mencionadas)
(delas13mencionadas)
Recopilaratravsdeentrevistasyrevisinde
documentos
Hacerpruebasdecumplimentoysubstantivos
Documentarsealamientosydiscutirconla
Documentar sealamientos y discutir con la
gerencia
PrepararydiscutirInformeFinal.
Preparar y discutir Informe Final
Recopilacindeinformacin
Recopilacin de informacin
Obtengaelinformedeauditoriahechaalsuplidor
delaNubeporunafirmacalificado
p
Reviseelmtododeseleccindelsuplidordela
Nubeyloscontratospertinentes
Seanalizaronvariossuplidores?
Secompletounanlisisdecostos?
Determinarcomosemidelacalidaddelservicio
Determinar como se mide la calidad del servicio
recibidooarecibir
AcuerdosenelNiveldeServicio(SLAs)
Analiceydetermine:
Analice y determine:
comosesegregarlosdatosdelainstitucindelos
datos de otras instituciones
datosdeotrasinstituciones
elusodeencrypciondelosdatosenviadosa,
recibidosde,yguardadosenlaNube
DeterminesipersonaldelsuplidordelaNubetiene
accesoalainformacindelainstitucinyque
controlesdeaccesoexisten
l d
i
DeterminesilainformacinestaprotegidaenlaNube
segn las polticas y procedimientos de seguridad
segnlaspolticasyprocedimientosdeseguridad
Gracias!
JohnR.Robles,CISA,CISM,CRISC
John
R Robles CISA CISM CRISC
President
RoblesandAssociates