UNIDAD DE POSTGRADO Y EDUCACIN CONTINUADA

ESPECIALIZACION EN ADMINISTRACIN DE SISTEMA DE INFORMACIN

ASIGNATURA:
ADMINISTRACIN Y AUDITORAS DE CENTROS DE INFORMACIN


PROYECTO DE INVESTIGACION:
AUDITORIA APLICADA EN ENTORNO DE NUBES


PRESENTADO POR:
WESLY FLORVIL
KATERIN CANDELARIO


PROFESOR:
JOSE AQUINO






2
INDICE
INDICE ................................................................................................................................... 2
INTRODUCCIN ..................................................................................................................... 3
AUDITORIA APLICADA EN ENTORNO DE NUBES ..................................................................... 5
1.1 DEFINICIN NUBE ......................................................................................................................... 5
1.2 CARACTERSTICAS DE LOS ENTORNOS DE NUBES......................................................................... 5
1.2.1 Auto-servicio por demanda .................................................................................................. 5
1.2.2 Acceso ubicuo a la red .......................................................................................................... 5
1.2.3 Fondo comn de recursos ..................................................................................................... 6
1.2.4 Rpida elasticidad ................................................................................................................. 6
1.2.5 Servicio medido ..................................................................................................................... 6
1.3 RECURSOS DE COMPUTACIN QUE SE OFRECEN COMO SERVICIOS .......................................... 6
1.3.1 Software Como servicio (SaaS) ............................................................................................. 7
1.3.2 Plataforma como servicio (PaaS) .......................................................................................... 7
1.3.3 Infraestructura como servicio (IaaS) ..................................................................................... 9
1.3.4 Otras categoras de Servicios .............................................................................................. 10
1.4 MODELOS DE IMPLEMENTACIN DE LA NUBE ........................................................................... 10
1.4.1 Nube Pblica ....................................................................................................................... 10
1.4.2 Nube Privada ....................................................................................................................... 10
1.4.3 Nube Comunitaria ............................................................................................................... 11
1.4.4 Hibrido................................................................................................................................. 11
1.5 AUDITORIA ENTORNO DE NUBES ............................................................................................... 11
1.6 RECOMENDACIONES PARA AUDITORIA APLICADA EN ENTORNO DE NUBES ............................. 15
1.6.1 Recomendaciones en la definicin del marco auditor a aplicar ......................................... 15
1.6.2 Recomendaciones en la praxis de ejecucin de la accin auditora .................................... 16
1.6.3 Recomendaciones en la difusin y publicacin de los resultados ...................................... 18
CONCLUSIN ....................................................................................................................... 19
BIBLIOGRAFAS .................................................................................................................... 21




3
INTRODUCCIN

Por lo general las auditoras se enfocan en proveer garantas, lo que normalmente
implica evaluar la efectividad de los controles que revelan informacin acerca de la
conducta de uno o ms procesos de negocios.

Las soluciones de nube tienen que ser auditable con el fin de permitir la evaluacin
continua el nivel de seguridad de la solucin especfica de un proveedor de la nube es
suficiente para ser utilizado por un sistema o solucin dada. Al mismo tiempo, un
proveedor de nube debe ser capaz de proporcionar informacin adecuada sobre la
auditora y aseguramiento para cubrir la evaluacin de riesgos de los clientes y cumplir
con la legislacin.

La auditora como ejercicio profesional contina creciendo y, sin lugar a dudas, la
auditora en la nube ser la siguiente etapa en el proceso. Ciertamente ser as para
quienes ya han incorporado las metodologas de auditora basada en riesgos y usan
con eficiencia los estndares internacionales, no para quienes continan anclados en
la modernizacin y siguen aferrados a las tretas legales y tributarias.

La computacin en la nube conlleva, entre otras cosas, un cambio fundamental en las
plataformas tecnolgicas: el software (los procesos) y los datos (insumos) no
necesariamente estn en el disco duro de cada quin, ni se encuentren en el lmite
fsico de las organizaciones, sino que pueden estar en centros remotos y hasta
dispersos en diversos territorios, cada uno con legislaciones especficas ms o menos
restrictivas en trminos de manejo de privacidad, polticas de gobernabilidad de
informacin, etc.



4
Este trabajo pretende mostrar las diferentes metodologas y tecnologas existentes o
que se estn desarrollando actualmente e indicar mejores prcticas de auditora en el
nuevo entorno.




5
AUDITORIA APLICADA EN ENTORNO DE
NUBES

1.1 DEFINICIN NUBE

Cloud o Nube, es el smbolo que se usa generalmente para representar la Internet.
Computing o Computacin en la nube, rene los conceptos de informtica, lgica de
coordinacin y almacenamiento.

Es un trmino que se define como una tecnologa que ofrece servicios a travs de la
plataforma de internet. Los usuarios de este servicio tienen acceso de forma gratuita o
de pago todo depende del servicio que se necesite usar.

1.2 CARACTERSTICAS DE LOS ENTORNOS DE NUBES

El modelo Cloud Computing est compuesto por cinco caractersticas esenciales
(NIST, 2009):
1.2.1 Auto-servicio por demanda
Los servicios pueden ser solicitados por el usuario o cliente a travs de Internet
directamente. El usuario paga nicamente por el tiempo de uso del servicio.
1.2.2 Acceso ubicuo a la red
Los servicios estn desplegados en la nube y son accesibles desde cualquier
medio con acceso a la red (Internet, Intranet o Extranet).



6
1.2.3 Fondo comn de recursos
Los servicios se encuentran en la Nube para ser usados por mltiples usuarios
bajo un modelo multi-arrendatario en diferentes lugares del mundo. Esto genera
una independencia de la ubicacin de los recursos aprovechando la naturaleza
del Internet (Internet, Intranet o Extranet).
1.2.4 Rpida elasticidad
La cantidad o calidad de los servicios ofrecidos en la Nube puede aumentar o
disminuir rpidamente dependiendo de las necesidades cambiantes de los usuarios.
1.2.5 Servicio medido
Cada recurso que consume el usuario y que es facturable debe ser medido, no slo
para fines de tarificacin sino tambin de control. Este servicio puede ser
vendido al mismo usuario o cliente dentro de su contexto y/o ambiente.

1.3 RECURSOS DE COMPUTACIN QUE SE OFRECEN COMO
SERVICIOS

Los proveedores de cloud computing ofrecen diferentes tipos de servicios en nube a
consumidores informticos. Con el fin de entender las diferentes capas de servicio, es
importante entender cmo se relacionan en un computing non cloud.

El tipo de servicio que se proporciona tiene muchas implicaciones en el proveedor,
incluyendo la forma en que abordan las preocupaciones tales como la seguridad, la
resistencia, el cumplimiento y multiusuario. Los servicios de computacin en la nube se
clasifican en una de las siguientes:



7
1.3.1 Software Como servicio (SaaS)

Un modelo de implantacin de software mediante el cual un proveedor concede a
sus clientes una licencia para utilizar un servicio a la carta. En su configuracin ms
habitual, los proveedores de software SaaS alojan la aplicacin en sus propios
servidores web, a los que los usuarios suscritos al servicio acceden normalmente
mediante un navegador de Internet.

Por lo tanto, el SaaS implica proporcionar conjuntamente los medios, los servicios y la
experiencia que permiten a las empresas externalizar completamente algn aspecto de
su sistema informtico y asimilarlo como un costo operativo en lugar de considerarlo
como una inversin.


1.3.1.1 Ventajas de SaaS
Acceso a potentes aplicaciones a precios reducidos (CRM, ERP, Emai y
Colaboracin Inteligente).
Eliminar inversiones en compra de licencias.
El cliente paga solo por lo que usa.
Disponibilidad 24/7.
Eliminacin de costos ocultos, mantenimientos, copias de seguridad etc...
Cambiamos el concepto de inversin por "gasto predecible".
Accesibilidad desde cualquier lugar a cualquier hora.
Disponibilidad inmediata del servicio.

1.3.2 Plataforma como servicio (PaaS)

Las soluciones PaaS son plataformas de software para las cuales la herramienta de
desarrollo en si misma est alojada en la nube y se accede a travs de un navegador
web.



8
Con PaaS, los desarrolladores pueden construir aplicaciones web sin tener que instalar
ninguna herramienta adicional en sus computadoras, y luego despliegan estas
aplicaciones sin necesidad de tener ningn conocimiento administrativo especializado.
McKinsey & Company, en su informe "La guerra de las plataformas emergentes" del
2008, defini a PaaS como "IDEs basados en la nube que no slo incorporan a
lenguajes de programacin tradicionales, sino tambin que incluyen herramientas para
el desarrollo con mashups".

La alternativa a PaaS es desarrollar aplicaciones web usando herramientas de
desarrollo de escritorio, como Eclipse o Microsoft Access, y luego desplegar
manualmente estas aplicaciones a un proveedor de nube, como Amazon EC2.
Las plataformas PaaS tambin tienen diferencias funcionales respecto a las
plataformas de desarrollo tradicionales. Estas diferencias incluyen:

Herramientas de desarrollo mltiples (inquilinos): las herramientas de
desarrollo tradicional son para un nico usuario. Un estudio basado en la nube
debe soportar mltiples usuarios, cada uno de los cuales tiene mltiples
proyectos activos.

Arquitectura de despliegue de mltiples (inquilinos): la escalabilidad suele
no ser una preocupacin durante el esfuerzo inicial de desarrollo y se deja para
que lo gestionen los administradores de sistemas cuando se despliega el
proyecto. En PaaS, la escalabilidad de la aplicacin y de sus capas de datos
debe ser intrnseca a la solucin (por ejemplo, el balanceo de carga y la
disponibilidad tiene que ser elementos bsicos de la plataforma de desarrollo).

Gestin integrada: las soluciones de desarrollo tradicionales no suelen
preocuparse con el monitoreo del entorno de ejecucin, pero en PaaS, se tiene
que soportar la habilidad de monitoreo desde la misma plataforma de desarrollo.



9

Facturacin integrada: las ofertas PaaS requieren mecanismos de facturacin
basados en la utilizacin, que son nicos para el mundo PaaS.

1.3.3 Infraestructura como servicio (IaaS)

La infraestructura como servicio (IaaS) proporciona opciones prcticamente ilimitadas y
muy asequibles a las compaas que necesitan adaptar sus recursos de servidores y
almacenamiento rpidamente y bajo demanda. Sin embargo, las soluciones de
infraestructura de cloud para IaaS solo pueden ofrecer unos niveles ptimos de
eficiencia y ahorro de costos cuando logran integrar los datos y aplicaciones alojados
en el cloud con los sistemas y bases de datos de los entornos locales.
Informtica ofrece una infraestructura de integracin de datos en cloud para respaldar
la IaaS. La infraestructura habilita la IaaS con una combinacin de requisitos iniciales
mnimos, ausencia de costos previos de adquisicin, implementacin rpida y
escalabilidad ilimitada, a fin de:
Integrar datos en entornos informticos verdaderamente virtuales, como Amazon
EC2, y con aplicaciones SaaS, como Salesforce.com.
Trasladar datos con facilidad, fiabilidad y rapidez entre fuentes de datos en el
cloud y en entornos locales.
Garantizar la calidad y el perfilado de los datos, sin fisuras en todas las
aplicaciones de su implantacin de IaaS.
Optimizar el archivado y el almacenamiento de datos en su implantacin de IaaS
para la generacin de informes o las auditoras de cumplimiento de normativas.




10
1.3.4 Otras categoras de Servicios

Storage as a Service
Database as a Service
Process as a Service
Application as a Service
Security as a Service
Testing as a Service
Management/Governance as a Service

1.4 MODELOS DE IMPLEMENTACIN DE LA NUBE

El mtodo de implementacin de la Nube indica quien controla los recursos de la Nube.
1.4.1 Nube Pblica
La nube pblica es bsicamente Internet, los proveedores de servicios elaboran
aplicaciones y soluciones (Software como Servicio o SaaS) disponibles al pblico en
general. Ejemplos de estas nubes son: Amazon, Rackspace, Google, Microsoft, entre
otros.
Para los usuarios, ste tipo de nubes proveen economas de escala, no son costosas y
los costos de ancho de banda estn incluidos en los servicios. El modelo usualmente
es "pago por uso" o "pago por usuario".
1.4.2 Nube Privada
Una nube privada es una infraestructura operada nicamente por una organizacin,
independientemente si es operada internamente o a travs de un proveedor de nubes
privadas. El objetivo de una nube privada es no vender "servicios" a clientes externos
sino que una organizacin se beneficie de la arquitectura.



11
Las nubes privadas tpicamente no son opciones para Pymes, son ms tpicas en
grandes empresas y corporaciones.
1.4.3 Nube Comunitaria
Solamente un grupo (o Comunidad) de instituciones pueden
usar los recursos de la Nube.
1.4.4 Hibrido
Es una combinacin de algunas de las Nube anteriores.

1.5 Auditoria en entorno de nubes

Independientemente de lo que se vaya estableciendo a nivel de auditoras referidas al
modelo de nubes, la asociacin ISACA (Information Systems Audit and Control
Association), ha establecido metodologas y certificaciones para la realizacin de
actividades de auditora y control en sistemas de informacin, ya que los proveedores
de cloud necesitan proporcionar seguridad a sus clientes de que estn haciendo las
cosas correctamente. Las auditoras de terceras partes o de un servicio auditor son
importantes en dicho aseguramiento.
Como indica ISACA, no hay estndares especficamente publicados para cloud, sin
embargo los estndares ya existentes pueden servir para concretar y acotar
determinadas reas de revisin.
Ser entonces responsabilidad del proveedor, del cliente, y del auditor posteriormente,
asegurar y concretar que los puntos en los que dichos estndares y certificaciones
(como los basados en SAS 70 type II -un reconocido estndar de auditora desarrollado
por la American Institute of Certified Public Accounts (AICPA), ISO 27001, etc.) cubren
todos los riesgos y procedimientos susceptibles de control.



12
Qu es la auditora?

Auditora es esencialmente una funcin de seguridad de que alguna norma, mtodo o
prctica es seguida. Dependiendo del tipo de auditora, el auditor examina
sistemticamente las pruebas de cumplimiento con los criterios establecidos. Una de
las mejores prcticas en materia de auditora de TI eficaz es comenzar con una
comprensin de funciones de negocios, para identificar que la infraestructura de TI est
proporcionando las funciones, y luego considerar el alcance de la auditora y los
controles ms adecuados para la funcin de TI.

Lo mismo es vlido para la infraestructura y los servicios de TI proporcionados por la
nube. De hecho, la mayora de los proveedores de la nube estn utilizando sistemas de
TI modelos similares a los de sus clientes. Estos incluyen: estacin de trabajo
asegurando (acceso) y de servidor de dispositivos, servicios bsicos (tales como la
identidad y la autorizacin), y supervisin y registro funciones. Por lo tanto, muchos de
los mismos controles y marcos de control (como COBIT o NIST) normalmente
utilizados para auditoras de sistemas tambin se pueden utilizar para los sistemas de
auditora que se alojan o son proporcionados por los proveedores de nubes.

Todas las compaas cotizadas deben realizar auditoras internas para garantizar la
efectividad de sus controles para los propsitos de subsecuentes auditoras financieras
o de revisin de polticas internas.

Sin embargo, el entorno de provisin de servicios TIC a travs de la nube presenta
caractersticas especficas diferenciales frente a otros entornos de provisin de
servicios TIC. Estas diferencias sugieren la necesidad de revisar la forma en que la
funcin auditora puede cumplir sus fines en este nuevo entorno, as como la de adaptar
la operativa concreta aplicable al mismo: herramientas, metodologas,
responsabilidades, colaboraciones, etc.



13
Estas caractersticas diferenciales estn estrechamente ligadas con los modelos de
nube definidas por la Cloud Security Alliance (Pblica, Privada, Hbrida o Compartida)
[CSA, 2009]. A efectos de la funcin de auditora se pueden sealar las siguientes
caractersticas diferenciales de los entornos de computacin en la nube respecto a los
que no lo son:

Los elementos incluidos en el programa de auditora pueden estar fsicamente
ubicados en una o ms instalaciones, incluso separadas geogrficamente entre
s. De esta forma, la posibilidad de que un equipo auditor realice su labor
presencialmente requiere de mayor esfuerzo, complejidad y por consiguiente de
un mayor costo.

Debido a la distribucin geogrfica de los recursos de la nube, la accin auditora
deber seleccionar cules de aqullos marcos jurdicos involucrados deben ser
considerados.

Debido a que los elementos fsicos incluidos en el programa de auditora no son
propiedad del cliente auditado (ni su uso es privativo por l), en entornos
compartidos como es la nube (multi-inquilino), existirn recursos lgicos de otros
clientes que queden excluidos del alcance de la accin auditora.


Los auditores internos y externos para la nube buscarn las suficientes garantas
basadas en el riesgo evaluado de los controles operacionales en toda la cadena de
proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS
que a su vez utiliza un IaaS requerirn las suficientes garantas de este ltimo en
controles tales como la continuidad del negocio o los procesos de seguridad.



14
Adicionalmente, hay otros elementos que, si bien forman parte del modelo de
computacin en la nube, no resultan diferenciales sobre otros ecosistemas TIC
existentes. Para estos, son aplicables las metodologas tradicionales de auditora:

Prestacin de servicios TIC a travs de un tercero, modelado mediante un
Acuerdo de Nivel de Servicio (ANS). Incluyendo:
Gestin y resolucin de conflictos entre proveedor y clientes.
Albergado de datos, servicios y recursos TIC en instalaciones de un
tercero (considerado individualmente, un tercero y uno cualquiera de los
Centros de Procesamiento de Datos de un servidor de computacin en la
nube).
Responsabilidad del prestador del servicio por deficiencias en el mismo.
Seguimiento del cumplimiento del ANS, y aplicacin de medidas
correctivas o compensatorias en su caso.
Finalizacin de los contratos.

Acceso a datos propios por terceros, incluyendo personal y proveedores del
proveedor del cliente.
Exportacin / importacin de datos de carcter personal entre pases.
Riesgos reputacionales o de fraude por dependencias de terceros.









15
1.6 RECOMENDACIONES PARA AUDITORIA APLICADA EN
ENTORNO DE NUBES

Esta seccin recoge una serie de recomendaciones y mejores prcticas sobre
metodologas y tecnologas de auditora para la computacin en la nube, esperando
servir de gua no solamente para los clientes, sino tambin para los proveedores
mismos.

Estas recomendaciones se ordenan en tres lneas de actuacin diferenciadas, tal y
como se muestra en la ilustracin a continuacin. Cabe resaltar que dichas lneas de
actuacin son aplicables tanto a los modelos de servicio como de aprovisionamiento de
computacin en la nube.

1.6.1 Recomendaciones en la definicin del marco auditor a aplicar

Se recomienda que los mecanismos de supervisin sean de obligado
cumplimiento para el prestador del servicio en la nube, garantizando el servicio y
el acceso a sus instalaciones a peticin del usuario o cliente de los aparatos de
comunicaciones, equipos informticos o armarios de discos y soportes.

Se recomienda seguir de cerca la evolucin de mecanismos, tales como
CloudAudit, ya que su integracin en los servicios y productos existentes ser
deseable para hacer ms transparentes a los proveedores de servicios en la
nube. Tambin se recomienda seguir la labor de grupos como el Security
Metrics WG de la Cloud Security Alliance, cuyos resultados sern
complementarios al CloudAudit.



16

Se recomienda que el TPA (Third Party Auditor / Auditor de Terceros), sea
independiente del proveedor de servicios de computacin en la nube al que
audita.

Asimismo, es recomendable que se haga pblico un catlogo de TPA
autorizados por cada proveedor de computacin en la nube.

1.6.2 Recomendaciones en la prctica de ejecucin de la accin auditora

En general, todos los servicios de auditora y mecanismos de control para la
computacin en la nube debern de respetar la confidencialidad y privacidad de los
clientes y sus datos.

Se deber observar que cada prestador de servicios en la nube debe disponer
de una estructura organizativa que pueda atender las necesidades y
requerimientos de cumplimiento legal de sus clientes y, en su caso, facilitar los
trabajos de auditora.

Se auditar que el Acuerdo de Nivel de Servicios (ANS) entre el proveedor y el
cliente deba incorporar elementos adicionales y penalizaciones asociados a su
incumplimiento, en los mbitos de: cumplimientos regulatorios exigible a su
cliente, verificacin del cumplimiento del ANS, acceso no autorizado por
empleados del proveedor o proveedores a informacin del cliente, errores de
seguridad y/o servicio que sean responsabilidad del proveedor, accesos no
autorizados por deficiencias en el servicio del proveedor.



17

La verificacin se realizar tanto sobre la existencia de estos elementos, como
en su medicin y seguimiento en el curso de la prestacin de los servicios, como
en la aplicacin de penalizaciones y/u otras provisiones que, contractualmente,
se hayan establecido.

El auditor deber verificar la existencia y el uso de herramientas que protejan la
integridad y completitud de ficheros de registros utilizados por el proveedor de
servicios en la nube, para prevenir y/o detectar cualquier intento de
manipulacin.

Al hacer sus valoraciones, el auditor debe evaluar toda la cadena de confianza
que va desde la fuente (creacin) de la informacin de los registros, pasando por
la medida de proteccin utilizada en la transmisin de dicha informacin
(HTTPS, TLS, etc.) hasta el tipo de proteccin de integridad (criptogrfica o de
otro tipo) utilizada y la cronologa de dichos ficheros.

En el mbito de colaboracin con el proveedor de servicios en la nube, y
buscando minimizar el impacto en recursos y operaciones del proveedor que
pueden suponer las distintas acciones auditoras por parte de sus distintos
clientes, el equipo auditor se adaptar a los calendarios y ventanas de auditora
que establezca el proveedor de forma que sus distintos clientes puedan
compartir para sus diversos fines los resultados de actividades auditoras
realizadas en dicho calendario.




18
1.6.3 Recomendaciones en la difusin y publicacin de los resultados

Se deber observar que los servicios de auditora para la computacin en la
nube estn disponibles para su consulta en cualquier momento a peticin del
auditor autorizado por el solicitante del servicio en la nube o del cliente del
servicio, sin interrumpir los niveles de servicios acordados. La forma en la que
dichos servicios estn disponibles sern diferentes en el caso de TPAs y PAS.

Se deber verificar que se establezcan los mecanismos de monitoreo y alerta de
los servicios prestados que informen al consumidor el grado de cumplimiento o
incumplimiento de los niveles de servicios acordados. En particular, estos
elementos deben ser puestos a disposicin de los equipos auditores en el
transcurso de su trabajo.



19
CONCLUSIN

El almacenamiento en la nube tiene que ser transformado, no solo con el fin de habilitar
la seguridad, sino tambin con el de permitir el desarrollo de una auditora que
garantice el cumplimiento de los requisitos reglamentarios.

En la actualidad la principal caracterstica del almacenamiento en la nube es que
depende del cliente para proporcionar el nivel de seguridad requerido. Estos requisitos
de los clientes van desde la proteccin de la ubicacin de los datos. Ubicacin de los
datos es importante para los requisitos de privacidad dados los requisitos del gobierno
para proteger los datos de los ciudadanos.

Hay algunos proveedores de almacenamiento en la nube que permiten la ubicacin
geogrfica apropiada; Sin embargo, el cliente debe saber cmo activar esta funcin.
Las capacidades de almacenamiento en la nube existentes no tienen en cuenta la
proteccin granular o un servicio de auditora.

No es raro que la iniciativa de utilizar un entorno de nube se deba en un principio a
intereses econmicos y no como parte de un plan de trabajo de TI. Cuando el ahorro
de los costos impulsan las decisiones de negocios, es fundamental que las
preocupaciones sobre el cumplimiento de los requisitos reglamentarios no sean una
idea de ltimo momento, o peor an, que no se consideran hasta que lleguen los
auditores.




20
Debido a que los entornos de nubes proliferan de forma exponencial los datos, los
posibles usuarios (personas u organizaciones) deben comprender oportunamente estos
entornos y sus principales problemticas; adems de tener bien claro el tipo de
infraestructura que lo soporta y el tipo de servicio que estos ofrecen.

Finalmente se exhorta a que estos aspectos se traten con los denominados Contratos
de Acuerdo de Servicio. Todas las recomendaciones en cuanto a este tema indican
que stos deben de ser revisados y creados especficamente, detallando los controles,
las normativas, las medidas de proteccin, los plazos de recuperacin del servicio, etc.








21
BIBLIOGRAFAS

Cloud computing A security privacy Guide BEN HALPERT.
Accenture: Cloud Computing and Sustainability: The Environmental Benefits of
Moving to the Cloud, ao 2010 (http://bit.ly/NXazxv).
Enisa (European Network and Information Security Agency): Computacin en
nube: Beneficios, riesgos y recomendaciones para la seguridad de la
informacin, ao 2009 (http://bit.ly/N2XpQz).
http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-como-
servicio-paas.html.
http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/C
loud-Computing-Management-Audit-Assurance-Program.aspx.
http://www.informatica.com/la/solutions/cloud-data-integration/infrastructure-as-a-
service-iaas/.
http://blog.nexica.com/2011/06/cloud-compilance-report-auditoria-de-entornos-
de-computacion-en-la-nube.
CSA- ES (Cloud Security Alliance- Espaa) - ISMS Forum Spain.
22


22