UN ARTÍCULO TÉCNICO DE ISACA de la Serie sobre Visión de la nube

GOBIERNO EN LA

NUBE:
preguntas que los conse-
jos directivos deben formular

La computación en la nube está adquiriendo

importancia. A medida que las ofertas de servicios
en la nube adquieren madurez, los proveedores
de estos servicios se tornan cada vez más
competitivos. Algunos proveedores reducen sus
precios dado que realizan inversiones y aprovechan
las economías de escala. Otros se diferencian en
función de la calidad, por ejemplo, proporcionando
mayor disponibilidad, mejor seguridad y
capacidad superior para administrar los servicios.
Si bien los beneficios de la computación en la nube
son reales en términos económicos, estratégicos y
operacionales, obtenerlos no es un proceso simple.
Para alcanzar tales beneficios, los factores que
impulsan la adopción de la computación en la nube
deben estar alineados con los objetivos y las metas
empresariales, a la vez que los factores culturales y
de negocio deben ser favorables a dicha adopción.
Al igual que con cualquier inversión, los proyectos
en la nube deben ser guiados por el consejo
directivo para asegurar la creación de valor y la
optimización del riesgo. Al evaluar las iniciativas en
la nube, los miembros del consejo deben formular
determinadas preguntas específicas a sus equipos
de gestión. Preguntas cuyas respuestas, a su turno,
determinarán si los servicios en la nube tendrán un
impacto positivo y sostenible sobre los objetivos
empresariales y si el riesgo permanecerá dentro
del grado de tolerancia de la empresa.

Personal Copy of Oscar Malaver (ISACA ID: 751327)

GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR

ISACA®
Con más de 100 000 miembros en
180 países, ISACA (www.isaca.org) es un
proveedor líder global de conocimiento,
certificaciones, comunidad profesional,
promoción y educación en materia de
aseguramiento y seguridad de los sistemas
de información (information systems, IS),
gobierno de la empresa y gestión de TI,
riesgos relacionados con la TI y cumplimiento
de las normas. Fundada en 1969, ISACA,
una organización independiente sin ánimo de
lucro, auspicia conferencias internacionales,
publica el ISACA® Journal, y desarrolla
normas internacionales de control y auditoría
para los IS, lo que ayuda a sus miembros
a asegurar el valor y la confianza en los
sistemas de información. También desarrolla
ISACA actualiza y expande 3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
permanentemente la orientación práctica y
la familia de productos basadas en el marco Teléfono: +1.847.253.1545
CoBIT . COBIT ayuda a los profesionales
®
Fax: +1.847.253.1443
de TI y a los líderes empresariales a cumplir
con sus responsabilidades de gestión y Correo electrónico: info@isaca.org
gobierno de TI, particularmente en las áreas Sitio web: www.isaca.org
de aseguramiento, seguridad, riesgo y
control, y a aportar valor al negocio.
Envíe sus comentarios:
Exención de responsabilidad www.isaca.org/cloud-governance
ISACA ha diseñado y creado el informe
Participe en el Centro de
Gobierno en la nube: preguntas que Conocimiento de ISACA:
los consejos directivos deben formular www.isaca.org/knowledge-center
(el “Trabajo”), ante todo como un recurso
educativo para profesionales en el área Siga a ISACA en Twitter:
de gobierno y aseguramiento. ISACA
https://twitter.com/ISACANews

y certifica habilidades y conocimientos en no garantiza que el uso de cualquier Únase a ISACA en LinkedIn:
TI a través de las siguientes designaciones componente del “Trabajo” asegure un ISACA (Oficial)
mundialmente reconocidas: Certified resultado exitoso. el “Trabajo” no debe
http://linkd.in/ISACAOfficial

Information Systems Auditor (Auditor

®
ser considerado como abarcativo de toda Pulse “Me gusta” en el perfil
Certificado en Sistemas de Información) la información, procedimientos y pruebas de ISACA en Facebook:
(CISA®), Certified Information Security apropiadas, ni tampoco como excluyente de www.facebook.com/ISACAHQ

Manager® (Gerente Certificado en Seguridad otra información, procedimientos y pruebas

de la Información) (CISM®), Certified in the
Governance of Enterprise IT® (Certificado en
el Gobierno de Tecnologías de la Información
Corporativa) (CGeIT®) y Certified in Risk and
Information Systems ControlTM (Certificado
en riesgo y Control de Sistemas de
Información) (CRISCTM).
que se aplican razonablemente para obtener
los mismos resultados. Para determinar
la conveniencia de cualquier información
específica, procedimiento o prueba, los
profesionales de gobierno y aseguramiento
deberán aplicar su propio criterio profesional
a las circunstancias específicas presentadas
por los sistemas particulares o por el entorno
de tecnología de la información.

Reserva de derechos
© 2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar
en un sistema de recuperación ni transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopiado, grabación u otros) sin la autorización
previa por escrito de ISACA. La reproducción y utilización de toda o parte de esta publicación están permitidas únicamente para el uso académico, interno y
no comercial, y para los compromisos de consultoría y asesoramiento, y deberán incluir la referencia completa de la fuente del material. No se otorga otra clase
de derechos ni permisos en relación con este trabajo.
Gobierno en la nube: preguntas que los consejos directivos deben formular

© 2013 ISACA. TodoS loS dereChoS reServAdoS. 2

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Gobierno en la nube:
preguntas que los consejos directivos deben formular

ISACA desea agradecer a:

Consejo directivo de ISACA Comité de Conocimiento Afiliados y patrocinadores de ISACA
Gregory T. Grocholski, Marc Vael, y del IT Governance Institute® (ITGI®)
CISA, The Dow Chemical Co., EE. UU., Presidente Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo,
Internacional Foro de Seguridad de la Información
Bélgica, Presidente
Allan Boardman, (Information Security Forum)
Rosemary M. Amato,
CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda Institute of Management Accountants Inc.
Morgan Stanley, RU, Vicepresidente
Steven A. Babb, Capítulos de ISACA
Juan Luis Carselle, CGEIT, CRISC, Betfair, RU
CISA, CGEIT, CRISC, Wal-Mart, México, Vicepresidente ITGI Francia
Thomas E. Borton,
Christos K. Dimitriadis, CISA, CISM, CRISC, CISSP, Cost Plus, EE. UU. ITGI Japón
Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia
Phil J. Lageschulte, Norwich University
Vicepresidente
CGEIT, CPA, KPMG LLP, EE. UU. Socitum Performance Management Group
Ramses Gallego,
CISM, CGEIT, CCSK, CISSP, SCPM, Cinturón Negro Jamie Pasfield, Solvay Brussels School of Economics and
de Six Sigma, Dell, España, Vicepresidente CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, RU
Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, México Management
Tony Hayes,
CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Strategic Technology Management
Queensland Government, Australia, Vicepresidente Comité de Orientación y Prácticas Institute (STMI) of the National University of
Jeff Spivey, Phil J. Lageschulte, Singapore
CRISC, CPP, PSP, Security Risk Management, Inc.,
CGEIT, CPA, KPMG LLP, EE. UU., Presidente
EE. UU., Vicepresidente University of Antwerp Management School
Dan Haley,
Marc Vael,
Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, CISA, CGEIT, CRISC, MCP, Johnson & Johnson, EE. UU.
ASIS International
Bélgica, Vicepresidente
Yves Marcel Le Roux,
Hewlett-Packard
Kenneth L. Vander Wal, CISM, CISSP, CA Technologies, Francia
CISA, CPA, Ernst & Young LLP (jubilado), EE. UU., IBM
Expresidente Internacional Aureo Monteiro Tavares Da Silva,
Symantec Corp.
Emil D’Angelo, CISM, CGEIT, Brasil
CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (jubilado), Jotham Nyamari,
EE. UU., Expresidente Internacional
CISA, Deloitte, EE. UU.
John Ho Chi,
CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Connie Lynn Spinelli,
Singapur, Director CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA,

BKD LLP, EE. UU.

Krysten McCabe,
CISA, The Home Depot, EE. UU., Directora Siang Jun Julia Yeo,
CISA, CPA (Australia), MasterCard Asia/Pacific Pte. Ltd.,
Jo Stewart-Rattray,
CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Singapur
Australia, Director
Nikolaos Zacharopoulos,
CISA, CISSP, DeutschePost–DHL, Alemania

© 2013 ISACA. Todos los derechos reservados. 3

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Introducción
Los miembros del consejo escuchan cada vez más y más que sus
equipos de gestión destacan los beneficios empresariales significativos
de la computación en la nube. entre los que se encuentran:
• Las estrategias basadas en la nube hacen
que la empresa sea más eficiente y ágil.
• La computación en la nube permite prestar servicios
más innovadores y más competitivos.
• La computación en la nube reduce los costos
operativos generales.

Pero ¿qué grado de confianza deberían tener los consejos directivos

respecto de que los planes de gestión lograrán estos beneficios?
¿Hay alguna manera de saber que, aun si los beneficios son reales,
el incremento del riesgo operacional no superará tales beneficios?
Afortunadamente, si se comprende qué es y qué no es la nube, y
se formulan algunas preguntas clave a los equipos de gestión, los
consejos pueden alcanzar ese grado de confianza necesario respecto
de planes de gestión y objetivos estratégicos, así como en relación
con las decisiones que se tomen en respuesta a esos planes.

Este informe ofrece una visión general breve sobre la computación en

la nube y presenta las preguntas importantes que los miembros del
consejo deben formular cuando evalúan esta temática como parte
de su estrategia empresarial general. Estas preguntas sirven como
punto de partida para iniciar las conversaciones entre los ejecutivos,
los líderes de las líneas de negocio y la gestión de tecnología de la
información (TI); además, sientan las bases para desarrollar un
entendimiento común sobre los beneficios que se esperan, la
asignación de recursos y las estrategias de optimización para
cualquier riesgo asociado.

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Valor de la computación en la nube

empresa puede aprovechar la competencia Desde un punto de vista tecnológico,
El objetivo de la nube es entre los proveedores de servicios para los componentes que hacen posible el
permitir que la empresa negociar el mejor precio, buscar el proveedor modelo de computación en la nube no
gestione los recursos que mejor respalde las necesidades son nuevos. Aplica numerosos avances
informáticos en función de específicas de la empresa e incorporar tecnológicos que han estado presentes
sus objetivos financieros, rápidamente nuevas capacidades en su desde hace largo tiempo: acceso a
culturales u operacionales. portafolio tecnológico. Este modelo se Internet de alta velocidad, virtualización
puede aplicar a los recursos informáticos a de servidores, nuevos desarrollos de
nivel de la infraestructura (almacenamiento software, avances en almacenamiento de
Para comprender el valor de la computación
o redes), a las aplicaciones del negocio gran capacidad, etc. La computación en
en la nube, los miembros del consejo primero
o a algún lugar intermedio. Al analizar la la nube tiene implicancias más allá del
deben entender cuál es su propósito. El
computación en la nube de esta manera, escenario de TI tradicional. Su impacto
objetivo central de la computación en la nube
el consejo directivo puede comenzar se extiende por toda la empresa, facilita
es convertir los recursos informáticos de
a vislumbrar sus posibles beneficios, cambios potenciales en la cultura de
la empresa en una materia prima fungible.
como por ejemplo: la empresa y demanda cambios en
En el modelo tradicional de TI, la empresa
adquiere y mantiene un portafolio de activos
• Trasladar el financiamiento de TI áreas como servicio de atención al
de grandes inversiones de capital cliente, gestión de cambios y gestión
tecnológicos que se deprecian lentamente y
(activos de TI heredados) a gastos de proveedores, para adaptarse a las
que tal vez se empleen de manera eficiente
operacionales. cualidades y requisitos singulares de la
o no. Por el contrario el objetivo de la nube
es permitir que la empresa gestione los
• Reasignar los recursos de TI a computación en la nube. Una empresa
actividades del negocio central. puede aprovechar la computación en la
recursos informáticos del mismo modo que
la electricidad, es decir, que compre solo lo
• Obtener aplicaciones que son nube para mejorar el modelo de negocio,
más fáciles y más económicas de facilitando el pasaje de hacerlo con
que utiliza (ni más ni menos). Otra analogía
implementar, utilizar y respaldar. servicios tradicionales a trabajar con
es la decisión que toma la empresa respecto
de comprar o alquilar un espacio físico para
• Aumentar la escalabilidad y servicios en línea, o para ampliar el alcance
flexibilidad, mejorando la capacidad a los mercados, eliminando las barreras
oficina. Ambos enfoques tienen ventajas
de respuesta ante las cambiantes geográficas. La computación en la nube
y desventajas, como consideraciones en
condiciones de mercado. podría ser un habilitador perturbador
materia de impuestos, previsibilidad de
costos, gastos operacionales o de capital,
• Fomentar la innovación, al trasladar (un resultado beneficioso que podría
esfuerzos y recursos de proyectos requerir cambios sustanciales) del valor
y factores comunitarios y culturales. La
de implementación a desarrollo del negocio y un medio para proporcionar
decisión es una elección, una que el consejo
del producto final. servicios tecnológicos disponibles más
realiza en función de los objetivos financieros,
rápidamente y a un costo total más bajo.
culturales u operacionales de la empresa.
La computación en la nube intenta que la La computación en la nube El desafío implica que los miembros del
compra y el uso de los recursos informáticos podría ser un habilitador consejo tengan suficiente conocimiento
sean una elección similar, basada en perturbador del valor del de la oportunidad que presenta la nube,
parámetros similares. negocio y un medio para como para que puedan dirigir y supervisar
proporcionar servicios con eficacia los planes a fin de aprovechar
Dado que el sustrato informático subyacente tecnológicos disponibles la nube e impulsar el éxito.
de la computación en la nube se puede
más rápidamente y a un
reemplazar, suministrar o reasignar de
costo total más bajo.
manera dinámica según sea necesario, una

© 2013 ISACA. Todos los derechos reservados. 5

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Gobierno de la computación en la nube

Al igual que con cualquier otra inversión, se debe ejercer el
gobierno sobre la nube; no obstante, algunas características de
la computación en la nube (virtualización, agilidad, flexibilidad,
rápida implementación y mínima inversión inicial) demandan
consideraciones adicionales de gobierno para asegurar que se
obtengan beneficios dentro de niveles aceptables de riesgo.

Los servicios en la nube a menudo se proporcionan de

manera medible, de modo muy similar a la forma en que los
consumidores y las empresas compran electricidad. Una empresa
puede rápida y fácilmente aumentar o disminuir los niveles de
servicio en función de sus fluctuantes necesidades (necesitan más,
compran más). Dentro de este modelo, las unidades de negocio
individuales pueden identificar necesidades, negociar contratos e
implementar servicios de tal manera que se omitan los procesos
de compra requeridos para un gobierno apropiado. Por ejemplo,
Forrester estima que hoy día por cada iniciativa en la nube que
tenga seguimiento central por parte de los departamentos de TI,
hay entre tres y seis iniciativas que no lo tienen.1 La flexibilidad
o el método “pago por uso” permite a una unidad de negocio
incrementar la capacidad o solicitar servicios adicionales
mediante una simple llamada. Pero hay un aspecto negativo,
esta flexibilidad también podría dar como resultado que se pase
por alto la autorización de gastos, los procesos de control de
cambio, los controles de protección de la información y otros
procesos de supervisión general.

La omisión de procesos de gobierno establecidos y no informar a

otros dentro de la empresa sobre las iniciativas de computación
en la nube puede ocasionar que la empresa asuma riesgos no
conocidos, y por tanto, incremente su potencial exposición. Si
no existe una supervisión estrecha y una disciplina adecuada,
es posible incurrir en gastos superiores a los previstos si no
se desactivan los servicios, una vez que ya no se los necesita.
Los servicios comprados de manera individual pueden ser
incompatibles con las estrategias tecnológicas establecidas.
En algunos casos, la adquisición de servicios en la nube dio
lugar a problemas normativos; que se podrían haber evitado
si los planes de uso se hubieran comunicado y considerado
sistemáticamente con antelación.

1
Staten, James; “What are Enterprises Really Doing in the Cloud?”, del blog de Forrester, 25 de octubre
de 2011, http://blogs.forrester.com/james_staten/11-10-25-what_are_enterprises_really_doing_in_the_cloud

© 2013 ISACA. Todos los derechos reservados. 6

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Preguntas de gobierno sobre la nube

que el consejo directivo debe formular
Para establecer una dirección clara que esté alineada con la estrategia de la empresa, los miembros del consejo deben comprender
cabalmente los beneficios de la computación en la nube y cómo se los puede maximizar, a través de prácticas de gobierno eficaces
e implementadas en todas las etapas. Esto exige que el consejo considere a la computación en la nube no como un proyecto de TI,
sino más bien, como una estrategia tecnológica de negocio. Esta comprensión ayuda a asegurar que se consideren y se satisfagan
las necesidades de las partes interesadas, a la vez que se optimiza el riesgo y la utilización de recursos.

Las siguientes preguntas contribuyen a identificar el valor estratégico que los servicios en la nube pueden aportarle a la empresa
y el impacto que ésta podría tener sobre los recursos y los controles de la empresa:
1. ¿Los equipos de gestión tienen un plan para la computación en la nube? ¿Han sopesado el valor y los costos de oportunidad?
El riesgo de la adopción de la nube puede ser irrelevante si se lo compara con la pérdida de la oportunidad de transformar
la empresa, mediante el uso eficaz y estratégico de la computación en la nube. La pérdida puede ser especialmente significativa
cuando las empresas de la competencia adoptan medidas para aprovechar esas mismas oportunidades. Desde una perspectiva
estratégica, la computación en la nube puede ser un vehículo para:
• Obtener una ventaja competitiva
• Alcanzar nuevos mercados
• Mejorar los productos y servicios existentes
• Retener los clientes existentes
• Aumentar la productividad
• Contener los costos
• Desarrollar productos o servicios que no serían posibles sin los servicios de la nube
• Eliminar las barreras geográficas
2. ¿De qué manera los planes actuales en la nube respaldan la misión de la empresa?
Los servicios en la nube deben apoyar los esfuerzos para alcanzar los objetivos de negocio que se derivan de las necesidades de
las partes interesadas (tal como fueron aprobados por el equipo de liderazgo). Las iniciativas en la nube deben tener un vínculo
claro y susceptible de seguimiento con la estrategia de la empresa, de manera que el valor esperado de los servicios en la nube
esté claramente definido, medido y aceptado. Este vínculo también ayuda a determinar la prioridad asignada a las iniciativas en
la nube y respalda el desarrollo de métricas para medir los resultados y compararlos con las expectativas.

El alineamiento entre los objetivos referidos a la nube y los de la empresa es vital para ser eficaz a la hora de gestionar riesgos
y contener costos. Los potenciales beneficios de los servicios en la nube son atractivos, pero con la gratificación viene el riesgo.
La empresa debe decidir si el riesgo potencial se encuentra dentro de límites aceptables.
3. ¿Los equipos ejecutivos evaluaron sistemáticamente la preparación organizacional?
Los puntos de presión surgen:
• cuando la implementación de la computación en la nube es incompatible con la cultura de la empresa;
• cuando no se dispone de las habilidades requeridas para respaldar las soluciones en la nube;
• cuando los procesos relacionados con la nube entran en conflicto con otros procesos establecidos;
• cuando la estructura organizacional no maximiza la eficacia y eficiencia en la nube.

© 2013 ISACA. Todos los derechos reservados. 7

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Gobierno en la nube:
preguntas que los consejos directivos deben formular

La evaluación de la preparación de la empresa antes de la adopción de servicios en la nube evita la cultura reactiva y los cambios
de procesos y habilidades también reactivos, que serán necesarios para eliminar los puntos de presión no previstos. Una
evaluación sistemática del estado de preparación puede ayudar a la gestión a identificar costos y riesgos adicionales que deben
incluirse en el proceso de decisión. Esta evaluación de la preparación debe incluir los siguientes elementos:
• Políticas y procedimientos: es probable que se necesiten nuevas políticas y procedimientos que guíen la adopción,
la gestión y el uso correcto de la computación en la nube.
• Procesos: los procesos existentes que utilizan servicios de TI tradicionales, posiblemente deban ser rediseñados para
incorporar nuevas actividades relacionadas con el uso de servicios en la nube.
• Estructuras organizacionales: la gestión en la nube puede demandar nuevas capacidades organizacionales o modificaciones
de las ya existentes, en particular en el área de operaciones y respaldo de TI.
• Cultura y comportamiento: la cultura y el comportamiento organizacional pueden ser críticos para la adopción exitosa
de soluciones en la nube.
• Habilidades y competencias: las áreas de compras, legales, cumplimiento y auditoría son algunos ejemplos de funciones que
tal vez deban desarrollar las habilidades necesarias para gestionar servicios en la nube, desde evaluación y
abastecimiento a operaciones y retiros.
4. ¿Los equipos de gestión han considerado en su planificación de la nube, qué inversiones ya existentes podrían perderse?
La computación en la nube tal vez no se ajuste de inmediato y sin fisuras al portafolio de la tecnología existente en la empresa.
La adopción de un servicio en la nube puede, por ejemplo, obviar inversiones en tecnología ya realizadas que aún no han alcanzado
su fecha final programada. La decisión sobre cuándo y cómo llevar a cabo esa pérdida debe considerarse con suma precaución.
Las áreas que se deben considerar son:
• Procesos: la organización de TI tal vez necesite adaptar procesos, como abastecimiento y gestión de cambios.
• Cultura y comportamiento: los servicios en la nube demandarán mayor rapidez de respuesta por parte de la organización
de TI, que probablemente necesite realizar cambios en los procesos internos y en las herramientas.
• Servicios, infraestructuras y aplicaciones: la empresa posiblemente necesite actualizar los centros de datos, las aplicaciones
de software y las infraestructuras de red, lo cual puede dar lugar a cierto nivel de pérdida de inversiones realizadas.
• Habilidades y competencias: la organización de TI necesitará desarrollar o adquirir las habilidades necesarias para respaldar
a los usuarios de servicios en la nube, cuando el personal actual no las posee.
5. ¿Los equipos de gestión tienen estrategias para medir y dar seguimiento al valor del rendimiento de la inversión en la nube
en relación con el riesgo?
Antes de decidir adoptar la computación en la nube, el consejo debe darle a los equipos de gestión la tarea de asegurar que
se implementen los mecanismos correctos de informe para medir el valor y el riesgo alineados con los objetivos de la empresa.

© 2013 ISACA. Todos los derechos reservados. 8

Personal Copy of Oscar Malaver (ISACA ID: 751327)

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Conclusión
A medida que maduran los servicios en la nube y sus proveedores, más empresas utilizarán
alguna forma de computación en la nube. Los consejos directivos deben proporcionar Comprender el entorno
pautas para ayudar a las empresas a obtener los beneficios, optimizar el riesgo y controlar actual y la relación entre la
el costo. Una buena manera para que los consejos inicien esta orientación es realizar
computación en la nube y
preguntas específicas sobre la nube. Las respuestas a estas preguntas pueden ayudar
a determinar si la empresa está lista para adoptar la computación en la nube y si el valor
los objetivos empresariales
creado tendrá un impacto positivo en las metas y los objetivos de la empresa. ayudará a evitar los puntos
de presión, y a optimizar
Para que un consejo pueda saber si los servicios en la nube responderán a las expectativas, el riesgo y los recursos.
primero deben saber si dichas expectativas están alineadas con la estrategia de la
empresa. El primer paso para el gobierno de la computación en la nube es que el
consejo establezca un entendimiento común sobre los beneficios esperados y los
mecanismos para su seguimiento y medición. COBIT 5 y sus productos relacionados
pueden ser utilizados para dirigir y gestionar complejas inversiones como los servicios
en la nube. El uso de COBIT 5 para implementar prácticas coherentes puede ayudar
a maximizar el valor y el riesgo de control.

Recursos adicionales y retroalimentación

Visite www.isaca.org/cloud-governance para obtener recursos adicionales y utilizar la función de retroalimentación para aportar sus
comentarios y sugerencias sobre este documento. Su opinión es muy importante en el desarrollo de las guías de ISACA para sus
miembros y es muy valorada.

© 2013 ISACA. Todos los derechos reservados. 9

Personal Copy of Oscar Malaver (ISACA ID: 751327)