ESPECIALIZACION EN ADMINISTRACIN DE SISTEMA DE INFORMACIN
ASIGNATURA: ADMINISTRACIN Y AUDITORAS DE CENTROS DE INFORMACIN
PROYECTO DE INVESTIGACION: AUDITORIA APLICADA EN ENTORNO DE NUBES
PRESENTADO POR: WESLY FLORVIL KATERIN CANDELARIO
PROFESOR: JOSE AQUINO
2 INDICE INDICE ................................................................................................................................... 2 INTRODUCCIN ..................................................................................................................... 3 AUDITORIA APLICADA EN ENTORNO DE NUBES ..................................................................... 5 1.1 DEFINICIN NUBE ......................................................................................................................... 5 1.2 CARACTERSTICAS DE LOS ENTORNOS DE NUBES......................................................................... 5 1.2.1 Auto-servicio por demanda .................................................................................................. 5 1.2.2 Acceso ubicuo a la red .......................................................................................................... 5 1.2.3 Fondo comn de recursos ..................................................................................................... 6 1.2.4 Rpida elasticidad ................................................................................................................. 6 1.2.5 Servicio medido ..................................................................................................................... 6 1.3 RECURSOS DE COMPUTACIN QUE SE OFRECEN COMO SERVICIOS .......................................... 6 1.3.1 Software Como servicio (SaaS) ............................................................................................. 7 1.3.2 Plataforma como servicio (PaaS) .......................................................................................... 7 1.3.3 Infraestructura como servicio (IaaS) ..................................................................................... 9 1.3.4 Otras categoras de Servicios .............................................................................................. 10 1.4 MODELOS DE IMPLEMENTACIN DE LA NUBE ........................................................................... 10 1.4.1 Nube Pblica ....................................................................................................................... 10 1.4.2 Nube Privada ....................................................................................................................... 10 1.4.3 Nube Comunitaria ............................................................................................................... 11 1.4.4 Hibrido................................................................................................................................. 11 1.5 AUDITORIA ENTORNO DE NUBES ............................................................................................... 11 1.6 RECOMENDACIONES PARA AUDITORIA APLICADA EN ENTORNO DE NUBES ............................. 15 1.6.1 Recomendaciones en la definicin del marco auditor a aplicar ......................................... 15 1.6.2 Recomendaciones en la praxis de ejecucin de la accin auditora .................................... 16 1.6.3 Recomendaciones en la difusin y publicacin de los resultados ...................................... 18 CONCLUSIN ....................................................................................................................... 19 BIBLIOGRAFAS .................................................................................................................... 21
3 INTRODUCCIN
Por lo general las auditoras se enfocan en proveer garantas, lo que normalmente implica evaluar la efectividad de los controles que revelan informacin acerca de la conducta de uno o ms procesos de negocios.
Las soluciones de nube tienen que ser auditable con el fin de permitir la evaluacin continua el nivel de seguridad de la solucin especfica de un proveedor de la nube es suficiente para ser utilizado por un sistema o solucin dada. Al mismo tiempo, un proveedor de nube debe ser capaz de proporcionar informacin adecuada sobre la auditora y aseguramiento para cubrir la evaluacin de riesgos de los clientes y cumplir con la legislacin.
La auditora como ejercicio profesional contina creciendo y, sin lugar a dudas, la auditora en la nube ser la siguiente etapa en el proceso. Ciertamente ser as para quienes ya han incorporado las metodologas de auditora basada en riesgos y usan con eficiencia los estndares internacionales, no para quienes continan anclados en la modernizacin y siguen aferrados a las tretas legales y tributarias.
La computacin en la nube conlleva, entre otras cosas, un cambio fundamental en las plataformas tecnolgicas: el software (los procesos) y los datos (insumos) no necesariamente estn en el disco duro de cada quin, ni se encuentren en el lmite fsico de las organizaciones, sino que pueden estar en centros remotos y hasta dispersos en diversos territorios, cada uno con legislaciones especficas ms o menos restrictivas en trminos de manejo de privacidad, polticas de gobernabilidad de informacin, etc.
4 Este trabajo pretende mostrar las diferentes metodologas y tecnologas existentes o que se estn desarrollando actualmente e indicar mejores prcticas de auditora en el nuevo entorno.
5 AUDITORIA APLICADA EN ENTORNO DE NUBES
1.1 DEFINICIN NUBE
Cloud o Nube, es el smbolo que se usa generalmente para representar la Internet. Computing o Computacin en la nube, rene los conceptos de informtica, lgica de coordinacin y almacenamiento.
Es un trmino que se define como una tecnologa que ofrece servicios a travs de la plataforma de internet. Los usuarios de este servicio tienen acceso de forma gratuita o de pago todo depende del servicio que se necesite usar.
1.2 CARACTERSTICAS DE LOS ENTORNOS DE NUBES
El modelo Cloud Computing est compuesto por cinco caractersticas esenciales (NIST, 2009): 1.2.1 Auto-servicio por demanda Los servicios pueden ser solicitados por el usuario o cliente a travs de Internet directamente. El usuario paga nicamente por el tiempo de uso del servicio. 1.2.2 Acceso ubicuo a la red Los servicios estn desplegados en la nube y son accesibles desde cualquier medio con acceso a la red (Internet, Intranet o Extranet).
6 1.2.3 Fondo comn de recursos Los servicios se encuentran en la Nube para ser usados por mltiples usuarios bajo un modelo multi-arrendatario en diferentes lugares del mundo. Esto genera una independencia de la ubicacin de los recursos aprovechando la naturaleza del Internet (Internet, Intranet o Extranet). 1.2.4 Rpida elasticidad La cantidad o calidad de los servicios ofrecidos en la Nube puede aumentar o disminuir rpidamente dependiendo de las necesidades cambiantes de los usuarios. 1.2.5 Servicio medido Cada recurso que consume el usuario y que es facturable debe ser medido, no slo para fines de tarificacin sino tambin de control. Este servicio puede ser vendido al mismo usuario o cliente dentro de su contexto y/o ambiente.
1.3 RECURSOS DE COMPUTACIN QUE SE OFRECEN COMO SERVICIOS
Los proveedores de cloud computing ofrecen diferentes tipos de servicios en nube a consumidores informticos. Con el fin de entender las diferentes capas de servicio, es importante entender cmo se relacionan en un computing non cloud.
El tipo de servicio que se proporciona tiene muchas implicaciones en el proveedor, incluyendo la forma en que abordan las preocupaciones tales como la seguridad, la resistencia, el cumplimiento y multiusuario. Los servicios de computacin en la nube se clasifican en una de las siguientes:
7 1.3.1 Software Como servicio (SaaS)
Un modelo de implantacin de software mediante el cual un proveedor concede a sus clientes una licencia para utilizar un servicio a la carta. En su configuracin ms habitual, los proveedores de software SaaS alojan la aplicacin en sus propios servidores web, a los que los usuarios suscritos al servicio acceden normalmente mediante un navegador de Internet.
Por lo tanto, el SaaS implica proporcionar conjuntamente los medios, los servicios y la experiencia que permiten a las empresas externalizar completamente algn aspecto de su sistema informtico y asimilarlo como un costo operativo en lugar de considerarlo como una inversin.
1.3.1.1 Ventajas de SaaS Acceso a potentes aplicaciones a precios reducidos (CRM, ERP, Emai y Colaboracin Inteligente). Eliminar inversiones en compra de licencias. El cliente paga solo por lo que usa. Disponibilidad 24/7. Eliminacin de costos ocultos, mantenimientos, copias de seguridad etc... Cambiamos el concepto de inversin por "gasto predecible". Accesibilidad desde cualquier lugar a cualquier hora. Disponibilidad inmediata del servicio.
1.3.2 Plataforma como servicio (PaaS)
Las soluciones PaaS son plataformas de software para las cuales la herramienta de desarrollo en si misma est alojada en la nube y se accede a travs de un navegador web.
8 Con PaaS, los desarrolladores pueden construir aplicaciones web sin tener que instalar ninguna herramienta adicional en sus computadoras, y luego despliegan estas aplicaciones sin necesidad de tener ningn conocimiento administrativo especializado. McKinsey & Company, en su informe "La guerra de las plataformas emergentes" del 2008, defini a PaaS como "IDEs basados en la nube que no slo incorporan a lenguajes de programacin tradicionales, sino tambin que incluyen herramientas para el desarrollo con mashups".
La alternativa a PaaS es desarrollar aplicaciones web usando herramientas de desarrollo de escritorio, como Eclipse o Microsoft Access, y luego desplegar manualmente estas aplicaciones a un proveedor de nube, como Amazon EC2. Las plataformas PaaS tambin tienen diferencias funcionales respecto a las plataformas de desarrollo tradicionales. Estas diferencias incluyen:
Herramientas de desarrollo mltiples (inquilinos): las herramientas de desarrollo tradicional son para un nico usuario. Un estudio basado en la nube debe soportar mltiples usuarios, cada uno de los cuales tiene mltiples proyectos activos.
Arquitectura de despliegue de mltiples (inquilinos): la escalabilidad suele no ser una preocupacin durante el esfuerzo inicial de desarrollo y se deja para que lo gestionen los administradores de sistemas cuando se despliega el proyecto. En PaaS, la escalabilidad de la aplicacin y de sus capas de datos debe ser intrnseca a la solucin (por ejemplo, el balanceo de carga y la disponibilidad tiene que ser elementos bsicos de la plataforma de desarrollo).
Gestin integrada: las soluciones de desarrollo tradicionales no suelen preocuparse con el monitoreo del entorno de ejecucin, pero en PaaS, se tiene que soportar la habilidad de monitoreo desde la misma plataforma de desarrollo.
9
Facturacin integrada: las ofertas PaaS requieren mecanismos de facturacin basados en la utilizacin, que son nicos para el mundo PaaS.
1.3.3 Infraestructura como servicio (IaaS)
La infraestructura como servicio (IaaS) proporciona opciones prcticamente ilimitadas y muy asequibles a las compaas que necesitan adaptar sus recursos de servidores y almacenamiento rpidamente y bajo demanda. Sin embargo, las soluciones de infraestructura de cloud para IaaS solo pueden ofrecer unos niveles ptimos de eficiencia y ahorro de costos cuando logran integrar los datos y aplicaciones alojados en el cloud con los sistemas y bases de datos de los entornos locales. Informtica ofrece una infraestructura de integracin de datos en cloud para respaldar la IaaS. La infraestructura habilita la IaaS con una combinacin de requisitos iniciales mnimos, ausencia de costos previos de adquisicin, implementacin rpida y escalabilidad ilimitada, a fin de: Integrar datos en entornos informticos verdaderamente virtuales, como Amazon EC2, y con aplicaciones SaaS, como Salesforce.com. Trasladar datos con facilidad, fiabilidad y rapidez entre fuentes de datos en el cloud y en entornos locales. Garantizar la calidad y el perfilado de los datos, sin fisuras en todas las aplicaciones de su implantacin de IaaS. Optimizar el archivado y el almacenamiento de datos en su implantacin de IaaS para la generacin de informes o las auditoras de cumplimiento de normativas.
10 1.3.4 Otras categoras de Servicios
Storage as a Service Database as a Service Process as a Service Application as a Service Security as a Service Testing as a Service Management/Governance as a Service
1.4 MODELOS DE IMPLEMENTACIN DE LA NUBE
El mtodo de implementacin de la Nube indica quien controla los recursos de la Nube. 1.4.1 Nube Pblica La nube pblica es bsicamente Internet, los proveedores de servicios elaboran aplicaciones y soluciones (Software como Servicio o SaaS) disponibles al pblico en general. Ejemplos de estas nubes son: Amazon, Rackspace, Google, Microsoft, entre otros. Para los usuarios, ste tipo de nubes proveen economas de escala, no son costosas y los costos de ancho de banda estn incluidos en los servicios. El modelo usualmente es "pago por uso" o "pago por usuario". 1.4.2 Nube Privada Una nube privada es una infraestructura operada nicamente por una organizacin, independientemente si es operada internamente o a travs de un proveedor de nubes privadas. El objetivo de una nube privada es no vender "servicios" a clientes externos sino que una organizacin se beneficie de la arquitectura.
11 Las nubes privadas tpicamente no son opciones para Pymes, son ms tpicas en grandes empresas y corporaciones. 1.4.3 Nube Comunitaria Solamente un grupo (o Comunidad) de instituciones pueden usar los recursos de la Nube. 1.4.4 Hibrido Es una combinacin de algunas de las Nube anteriores.
1.5 Auditoria en entorno de nubes
Independientemente de lo que se vaya estableciendo a nivel de auditoras referidas al modelo de nubes, la asociacin ISACA (Information Systems Audit and Control Association), ha establecido metodologas y certificaciones para la realizacin de actividades de auditora y control en sistemas de informacin, ya que los proveedores de cloud necesitan proporcionar seguridad a sus clientes de que estn haciendo las cosas correctamente. Las auditoras de terceras partes o de un servicio auditor son importantes en dicho aseguramiento. Como indica ISACA, no hay estndares especficamente publicados para cloud, sin embargo los estndares ya existentes pueden servir para concretar y acotar determinadas reas de revisin. Ser entonces responsabilidad del proveedor, del cliente, y del auditor posteriormente, asegurar y concretar que los puntos en los que dichos estndares y certificaciones (como los basados en SAS 70 type II -un reconocido estndar de auditora desarrollado por la American Institute of Certified Public Accounts (AICPA), ISO 27001, etc.) cubren todos los riesgos y procedimientos susceptibles de control.
12 Qu es la auditora?
Auditora es esencialmente una funcin de seguridad de que alguna norma, mtodo o prctica es seguida. Dependiendo del tipo de auditora, el auditor examina sistemticamente las pruebas de cumplimiento con los criterios establecidos. Una de las mejores prcticas en materia de auditora de TI eficaz es comenzar con una comprensin de funciones de negocios, para identificar que la infraestructura de TI est proporcionando las funciones, y luego considerar el alcance de la auditora y los controles ms adecuados para la funcin de TI.
Lo mismo es vlido para la infraestructura y los servicios de TI proporcionados por la nube. De hecho, la mayora de los proveedores de la nube estn utilizando sistemas de TI modelos similares a los de sus clientes. Estos incluyen: estacin de trabajo asegurando (acceso) y de servidor de dispositivos, servicios bsicos (tales como la identidad y la autorizacin), y supervisin y registro funciones. Por lo tanto, muchos de los mismos controles y marcos de control (como COBIT o NIST) normalmente utilizados para auditoras de sistemas tambin se pueden utilizar para los sistemas de auditora que se alojan o son proporcionados por los proveedores de nubes.
Todas las compaas cotizadas deben realizar auditoras internas para garantizar la efectividad de sus controles para los propsitos de subsecuentes auditoras financieras o de revisin de polticas internas.
Sin embargo, el entorno de provisin de servicios TIC a travs de la nube presenta caractersticas especficas diferenciales frente a otros entornos de provisin de servicios TIC. Estas diferencias sugieren la necesidad de revisar la forma en que la funcin auditora puede cumplir sus fines en este nuevo entorno, as como la de adaptar la operativa concreta aplicable al mismo: herramientas, metodologas, responsabilidades, colaboraciones, etc.
13 Estas caractersticas diferenciales estn estrechamente ligadas con los modelos de nube definidas por la Cloud Security Alliance (Pblica, Privada, Hbrida o Compartida) [CSA, 2009]. A efectos de la funcin de auditora se pueden sealar las siguientes caractersticas diferenciales de los entornos de computacin en la nube respecto a los que no lo son:
Los elementos incluidos en el programa de auditora pueden estar fsicamente ubicados en una o ms instalaciones, incluso separadas geogrficamente entre s. De esta forma, la posibilidad de que un equipo auditor realice su labor presencialmente requiere de mayor esfuerzo, complejidad y por consiguiente de un mayor costo.
Debido a la distribucin geogrfica de los recursos de la nube, la accin auditora deber seleccionar cules de aqullos marcos jurdicos involucrados deben ser considerados.
Debido a que los elementos fsicos incluidos en el programa de auditora no son propiedad del cliente auditado (ni su uso es privativo por l), en entornos compartidos como es la nube (multi-inquilino), existirn recursos lgicos de otros clientes que queden excluidos del alcance de la accin auditora.
Los auditores internos y externos para la nube buscarn las suficientes garantas basadas en el riesgo evaluado de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirn las suficientes garantas de este ltimo en controles tales como la continuidad del negocio o los procesos de seguridad.
14 Adicionalmente, hay otros elementos que, si bien forman parte del modelo de computacin en la nube, no resultan diferenciales sobre otros ecosistemas TIC existentes. Para estos, son aplicables las metodologas tradicionales de auditora:
Prestacin de servicios TIC a travs de un tercero, modelado mediante un Acuerdo de Nivel de Servicio (ANS). Incluyendo: Gestin y resolucin de conflictos entre proveedor y clientes. Albergado de datos, servicios y recursos TIC en instalaciones de un tercero (considerado individualmente, un tercero y uno cualquiera de los Centros de Procesamiento de Datos de un servidor de computacin en la nube). Responsabilidad del prestador del servicio por deficiencias en el mismo. Seguimiento del cumplimiento del ANS, y aplicacin de medidas correctivas o compensatorias en su caso. Finalizacin de los contratos.
Acceso a datos propios por terceros, incluyendo personal y proveedores del proveedor del cliente. Exportacin / importacin de datos de carcter personal entre pases. Riesgos reputacionales o de fraude por dependencias de terceros.
15 1.6 RECOMENDACIONES PARA AUDITORIA APLICADA EN ENTORNO DE NUBES
Esta seccin recoge una serie de recomendaciones y mejores prcticas sobre metodologas y tecnologas de auditora para la computacin en la nube, esperando servir de gua no solamente para los clientes, sino tambin para los proveedores mismos.
Estas recomendaciones se ordenan en tres lneas de actuacin diferenciadas, tal y como se muestra en la ilustracin a continuacin. Cabe resaltar que dichas lneas de actuacin son aplicables tanto a los modelos de servicio como de aprovisionamiento de computacin en la nube.
1.6.1 Recomendaciones en la definicin del marco auditor a aplicar
Se recomienda que los mecanismos de supervisin sean de obligado cumplimiento para el prestador del servicio en la nube, garantizando el servicio y el acceso a sus instalaciones a peticin del usuario o cliente de los aparatos de comunicaciones, equipos informticos o armarios de discos y soportes.
Se recomienda seguir de cerca la evolucin de mecanismos, tales como CloudAudit, ya que su integracin en los servicios y productos existentes ser deseable para hacer ms transparentes a los proveedores de servicios en la nube. Tambin se recomienda seguir la labor de grupos como el Security Metrics WG de la Cloud Security Alliance, cuyos resultados sern complementarios al CloudAudit.
16
Se recomienda que el TPA (Third Party Auditor / Auditor de Terceros), sea independiente del proveedor de servicios de computacin en la nube al que audita.
Asimismo, es recomendable que se haga pblico un catlogo de TPA autorizados por cada proveedor de computacin en la nube.
1.6.2 Recomendaciones en la prctica de ejecucin de la accin auditora
En general, todos los servicios de auditora y mecanismos de control para la computacin en la nube debern de respetar la confidencialidad y privacidad de los clientes y sus datos.
Se deber observar que cada prestador de servicios en la nube debe disponer de una estructura organizativa que pueda atender las necesidades y requerimientos de cumplimiento legal de sus clientes y, en su caso, facilitar los trabajos de auditora.
Se auditar que el Acuerdo de Nivel de Servicios (ANS) entre el proveedor y el cliente deba incorporar elementos adicionales y penalizaciones asociados a su incumplimiento, en los mbitos de: cumplimientos regulatorios exigible a su cliente, verificacin del cumplimiento del ANS, acceso no autorizado por empleados del proveedor o proveedores a informacin del cliente, errores de seguridad y/o servicio que sean responsabilidad del proveedor, accesos no autorizados por deficiencias en el servicio del proveedor.
17
La verificacin se realizar tanto sobre la existencia de estos elementos, como en su medicin y seguimiento en el curso de la prestacin de los servicios, como en la aplicacin de penalizaciones y/u otras provisiones que, contractualmente, se hayan establecido.
El auditor deber verificar la existencia y el uso de herramientas que protejan la integridad y completitud de ficheros de registros utilizados por el proveedor de servicios en la nube, para prevenir y/o detectar cualquier intento de manipulacin.
Al hacer sus valoraciones, el auditor debe evaluar toda la cadena de confianza que va desde la fuente (creacin) de la informacin de los registros, pasando por la medida de proteccin utilizada en la transmisin de dicha informacin (HTTPS, TLS, etc.) hasta el tipo de proteccin de integridad (criptogrfica o de otro tipo) utilizada y la cronologa de dichos ficheros.
En el mbito de colaboracin con el proveedor de servicios en la nube, y buscando minimizar el impacto en recursos y operaciones del proveedor que pueden suponer las distintas acciones auditoras por parte de sus distintos clientes, el equipo auditor se adaptar a los calendarios y ventanas de auditora que establezca el proveedor de forma que sus distintos clientes puedan compartir para sus diversos fines los resultados de actividades auditoras realizadas en dicho calendario.
18 1.6.3 Recomendaciones en la difusin y publicacin de los resultados
Se deber observar que los servicios de auditora para la computacin en la nube estn disponibles para su consulta en cualquier momento a peticin del auditor autorizado por el solicitante del servicio en la nube o del cliente del servicio, sin interrumpir los niveles de servicios acordados. La forma en la que dichos servicios estn disponibles sern diferentes en el caso de TPAs y PAS.
Se deber verificar que se establezcan los mecanismos de monitoreo y alerta de los servicios prestados que informen al consumidor el grado de cumplimiento o incumplimiento de los niveles de servicios acordados. En particular, estos elementos deben ser puestos a disposicin de los equipos auditores en el transcurso de su trabajo.
19 CONCLUSIN
El almacenamiento en la nube tiene que ser transformado, no solo con el fin de habilitar la seguridad, sino tambin con el de permitir el desarrollo de una auditora que garantice el cumplimiento de los requisitos reglamentarios.
En la actualidad la principal caracterstica del almacenamiento en la nube es que depende del cliente para proporcionar el nivel de seguridad requerido. Estos requisitos de los clientes van desde la proteccin de la ubicacin de los datos. Ubicacin de los datos es importante para los requisitos de privacidad dados los requisitos del gobierno para proteger los datos de los ciudadanos.
Hay algunos proveedores de almacenamiento en la nube que permiten la ubicacin geogrfica apropiada; Sin embargo, el cliente debe saber cmo activar esta funcin. Las capacidades de almacenamiento en la nube existentes no tienen en cuenta la proteccin granular o un servicio de auditora.
No es raro que la iniciativa de utilizar un entorno de nube se deba en un principio a intereses econmicos y no como parte de un plan de trabajo de TI. Cuando el ahorro de los costos impulsan las decisiones de negocios, es fundamental que las preocupaciones sobre el cumplimiento de los requisitos reglamentarios no sean una idea de ltimo momento, o peor an, que no se consideran hasta que lleguen los auditores.
20 Debido a que los entornos de nubes proliferan de forma exponencial los datos, los posibles usuarios (personas u organizaciones) deben comprender oportunamente estos entornos y sus principales problemticas; adems de tener bien claro el tipo de infraestructura que lo soporta y el tipo de servicio que estos ofrecen.
Finalmente se exhorta a que estos aspectos se traten con los denominados Contratos de Acuerdo de Servicio. Todas las recomendaciones en cuanto a este tema indican que stos deben de ser revisados y creados especficamente, detallando los controles, las normativas, las medidas de proteccin, los plazos de recuperacin del servicio, etc.
21 BIBLIOGRAFAS
Cloud computing A security privacy Guide BEN HALPERT. Accenture: Cloud Computing and Sustainability: The Environmental Benefits of Moving to the Cloud, ao 2010 (http://bit.ly/NXazxv). Enisa (European Network and Information Security Agency): Computacin en nube: Beneficios, riesgos y recomendaciones para la seguridad de la informacin, ao 2009 (http://bit.ly/N2XpQz). http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-como- servicio-paas.html. http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/C loud-Computing-Management-Audit-Assurance-Program.aspx. http://www.informatica.com/la/solutions/cloud-data-integration/infrastructure-as-a- service-iaas/. http://blog.nexica.com/2011/06/cloud-compilance-report-auditoria-de-entornos- de-computacion-en-la-nube. CSA- ES (Cloud Security Alliance- Espaa) - ISMS Forum Spain. 22