110211 UPR Cloud Computing Master

Computación en la

Nube

Ciclo de Charlas Cibernéticas

28 de febrero de 2012

Agenda

1. Computación en la Nube: Tecnología influyente

2. Entendimiento de la Computación en la Nube

3. Impacto de la Nube en las Operaciones de Negocios

4. Consideraciones al Operar la Nube

2 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of

independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.

La Nube: Tecnología influyente que necesita

liderazgo

La pregunta es, ¿Cómo transformar el negocio para

maximizar el beneficio de la Nube?

La Nube virtualiza los sistema de

informática y también transforma los

procesos de negocio.

La conversión a la Nube siempre

comienza con los sistema de informática.

El problema es que siempre se queda

ahí.

Es fácil enfocarse como la Nube ayuda a

reducir costos, pero también crea

oportunidades.



La Nube facilita la innovación

La Nube ya cambio la manejar que

trabajamos y con quien competimos.

Al virtualizar procesos, la Nube crea nuevas

oportunidades y modelos de negocios.

Al reducir las barreras de entrada para los

negocios, la Nube facilita la creación de

nuevos competidores.

La Nube se esta convirtiendo de una ventaja

competitiva a una necesidad operacional.



Too Late to Wait Los lideres usan la Nube para

mejorar rendimiento, no solo

reducir costos.

¿Cómo nos podemos unir a esos

lideres?

Debemos preguntarnos:

¿La implementación me afecta el

proceso financiero?

¿Cuáles son las implicaciones

contributivas?

¿Cómo la data y la información va

hacer asesada y controlada?

¿Cómo manejo los riesgos de

seguridad y privacidad?

¿Cómo puedo cumplir con las

regulaciones existentes si envío data

por la Nube?

Agenda







Perspectiva del Mercado sobre la Nube

Gartner

Gartner estimates that global

spending on cloud services will hit

$68 billion this year, a gain of 16%

over 2009, which is more than triple

the expected growth rate for total IT

spending.

CFO Magazine, December 2010

Savvis

70 percent of IT decision

makers are using or planning

to use cloud computing in their

own enterprises within 24

months.

Windows IT Pro Magazine,

February 1, 2011

China

China is going to see a cloud

computing market worth over RMB60

billion [~$9.1 Billion USD] in 2012.

News Track Daily, January 20, 2011

Microsoft

―For the cloud we are all in!‖ – Steve

Ballmer (CEO)

March, 2010



Entendiendo el Ambiente de la Nube

Intercambio de data en

el Internet

Acceso a computación y

aplicaciones a través del Internet + La Nube =

Servicio 24 horas

Uso del Internet

Recursos comunes

Elasticidad

Cobro a base de

uso

Características de

la Nube:

Modelos de Servicios

Aplicación

como Servicio

Operaciones de

negocios en la red

interna

Plataforma como

Servicio

Migrar aplicaciones

internas a la Nube

Infraestructura

como Servicio

Almacenaje,

procesamiento,

otros recursos

Modelos de Implementación

Privado Opera para una organización

Publica Disponible para el publico o una industria y es manejada un proveedor de soluciones en la Nube (CSPs)

Comunidad Compartida por diferentes organizaciones, apoyando una comunidad especifica.

“SaaS” “PaaS” “IaaS”

© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of

independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.

All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of

KPMG International.

Entendiendo los Modelos de Servicios

Infraestructura

como

Servicio

Aplicación

como

Servicio

Plataforma

como

Servicio

Menos control del

usuario

Menos control del

usuario

Mas control del

usuario

Mas control del

usuario

Descripción

Las aplicaciones del CSP se pueden acceder a través de un

―thin client‖ como un navegador

El CSP maneja/controla la infraestructura incluyendo la red,

servidores, sistemas operativos, almacenamiento, o los

ofrecimientos de la aplicaciones

Ej. Google Apps, MS Office Live, Netsuite, Salesforce

El CSP provee implementación rápida de los recursos de

informática como almacenaje, procesamiento y red

Los usuarios pueden escribir aplicaciones que se

ejecuten en la Nube

E.g., Amazon.com, Rackspace, Terremark, IBM

Permite a los usuarios mover a la Nube aplicaciones

internas o aplicaciones creadas con lenguaje de

programación que el CSP provee apoyo.

El cliente no controla o maneja la infraestructura del CSP

pero si controla que aplicaciones están en la Nube.

E.j, Windows Azure, Force.com, Google App Engine




KPMG International.

Entendiendo los Modelos de Implementación

Cada servicio se puede implementar usando los siguientes modelos: Privado, Publico

o Comunidad

Nube Privada: Un ambiente cerrado

para una organización manejado internamente

o por un tercero.

Permite a la organización operar como un

CSP

Provee la flexibilidad de escalabilidad

rápida de sus recursos

Provee control total de la data

Inicialmente requiere una inversión inicial

significativa pero reduce los costos futuros

Puede existir dentro o afuera de la facilidades




KPMG International.

Entendiendo los Modelos de Implementación (continuación)

Nube Publica: La infraestructura es

manejada por un CSP, en el cual lo hace

disponible al publico o industrias

Utiliza un sistema de pago por uso

Provee disponibilidad inmediata

Cambio de un modelo de CAPEX a uno de

OPEX

Ofrece menos control sobre la data y los

niveles de servicio

Provee la oportunidad de aprender de la

mejores practicas de otras compañías.




KPMG International.

Entendiendo los Modelos de Implementación (continuación)

Nube de Comunidad: La infraestructura es

compartida por varias organizaciones con

intereses comunes—ofreciendo el mayor valor

transformacional que los otros modelos de

implementación.

Apoya organizaciones con intereses comunes

tales como logística, seguridad, políticas o

cumplimiento

Usualmente definido por los usuarios

Apoya la creación de nuevos modelos de

negocios y relaciones de negocios

Manejados por la comunidad o terceros

Puede existir dentro o afuera de la facilidades

Agenda








KPMG International.

Impacto de la Nube en las Operaciones

Adoptar soluciones en la Nube no solo impacta los sistema de informática, también afecta procesos operacionales críticos.

Las organizaciones necesitan una perspectiva holística que considere efectos multifuncionales en la Nube

La manera de adopción varia según el modelo de la Nube adquirida, la manera de implementación y el niveles de madurez de los procesos de negocios y sistemas de informática

Lecciones aprendidas del ―outsourcing‖ aplica a la Nube

A medida que los practicas de los CSPs) evolucionen y maduren, los procesos de la Compañía deben de mantenerse al día.

Manejo financiero y contributivo

Seguridad y privacidad

Operacional

Regulación y Cumplimiento

Manejo de suplidores

Data y tecnología

Operaciones

de Negocio




KPMG International.

Riesgos Claves y Retos en implementar la Nube

La implementación de la Nube exige una examinación detallada de los posibles riesgos

operacionales y retos además del aspecto técnico.

Manejo financiero y

contributivo

Movimiento de un modelo de CAPEX a uno de OPEX en el cual impacta presupuestos, proyecciones, y procesos financieros.

Este cambio de modelo puede cambiar el carácter de los servicios de la compañía causando implicaciones contributivas

Regulaciones existentes pueden que no albergue transacciones realizadas en la Nube

Data puede ser almacenada sin una adecuada segregación por cliente causando divulgación accidental

Perdida de supervisión en áreas criticas tales como manejo de vulnerabilidad, infraestructura y seguridad física

Controles débiles de acceso lógico debido a las políticas existentes del proveedor de la Nube

La implementación en la Nube introduce cambios rápidos en la organización tales como destrezas requeridas de los

empleados o crea funciones redundantes.

Las políticas de resguardo de data van a requerir actualizaciones en cuanto a necesidades e implementación.

Seguridad y privacidad

Operacional


Manejo de suplidores

Data y tecnología

• Falta de claridad en cuanto a responsabilidades entre el CSPs y los usuarios

• Falta de estándares existentes para transferir la data entre CSPs

• Dependencia significativa en los CSPs

Falta de visibilidad de las operaciones de los CSPs inhibe el análisis de cumplimiento de la regulaciones y leyes pertinentes

La complejidad de manejo de documentos y retención crea retos

Falta de estándares establecidos en los CSP crea riesgos

Riesgos en la integridad de la data

Los departamentos pueden implementar soluciones en la Nube sin la participación del departamento de informática

La implementación de la Nube rompe el hermetismo de los centros de cómputos.




KPMG International.

Los retos de auditoria en la Nube

Técnicas tradicionales en la auditoria

Entendimiento de los alcances de la

auditoria

Cambios en los ambientes de informática

Uso de los informes de SAS 70 de los

proveedores

Auditar después de los hechos

Auditoria transaccional

Habilidad de auditar facilidades

Regulaciones existentes

Evidencia de auditoria confiable

Técnicas en la auditoria de Nubes

Restablecimiento de los alcances de la

auditoria

Cambios contantes en los ambientes de informática

Los informes SAS 70 reemplazados por informes SOC (Service Organization Controls)

Auditoria continua

Auditoria de procesos

Dificultad de auditar facilidades

Falta de regulaciones en la Nube

Evidencia de auditoria va a estar en la Nube y puede que no sea retenida o exista electrónicamente.

Agenda







Consideraciones de Operar en la Red

Manejo Financiero


Previsión Financiera: Establecer procesos de cómo medir la inversión y rendimiento de la implementación de la Nubes.

Auditoria: El uso de la Nube requiere que los procesos de auditoria se revisen ya que la data no reside en la compañía.

Pago por uso: Al negocio moverse de pagar una vez a pago por subscripción o por uso. La entidad tiene que asegurarse de tener controles para asegurar que los CSP no les cobre de mas.

Presupuesto: Cambio de un presupuesto de capital a un presupuesto de gastos. Comunicación con las partes interesadas debe ser definidas adecuadamente con relasion al uso de Nube y los beneficios al negocio.

Retos/Implicaciones

Movimiento de CAPEX a OPEX impacta el proceso financiero

Análisis de ROI se complica

Mayor dependencia de terceros para cumplir con requerimientos de auditoria

Contabilidad: Movimiento de CAPEX a OPEX requiere que las políticas de contabilidad sean revisadas.




Manejo Contributivo


Nexos: El movimiento de CAPEX a OPEX puede cambiar como la compañía se le trata contributivamente con relación a los nexos de impuestos.

Integración de Aplicaciones: Compañías con cobros de impuestos indirectos e informes tiene que reconfigurar sus sistemas.

Cobros de afiliadas: Las compañías tiene que revisar los cargos actuales que se les hacen a las afiliadas domesticas e internacionales.

Depreciación acelerada: Activos existentes pude volverse obsoletos debido al uso de la Nube.

Impuestos de ventas: Impuestos sobre ventas con relación a las aplicaciones puede que no apliquen a los servicios provistos en la Nube.

Perdidas: Compañías con beneficios contributivos existentes tiene que analizar si los incentivos que reciben serán afectados por la Nube.

Retos/Implicaciones

Posiciones contributivas pueden verse afectadas por movimientos de CAPEX a OPEX

Leyes contributivas anticuadas

Caracterización de los servicios de la Nube puede causar en imposiciones contributivas en diferentes jurisdicciones




Seguridad y Privacidad Seguridad y privacidad

Gobernabilidad : Una gobernabilidad robusta de la data e información ayudara a la implementación de la Nube (clasificación, cifrado, localización, políticas).

Acceso de data: Revisión de políticas y procedimientos de quienes y como acceden la data almacenada en la Nube (usuarios, reguladores, CSP).

Privacidad: Evaluar si las practicas de los CSP con relación a la colección, mantenimiento, uso, retención, destrucción y divulgación de información identificable (PII) son adecuada y van a la par con los de la compañía.

Requisitos de Seguridad: En ausencia de practicas estándares en la Nube, se debe comunicar los requisitos de seguridad a los CSP.

Retos/Implicaciones

Data puede ser almacenada sin una adecuada segregación por cliente causando divulgación accidental o maliciosa a terceros o la regulación existente no protege la data almacenada en la Nube

Perdida de supervisión en áreas criticas tales como manejo de vulnerabilidad, infraestructura y seguridad física

Controles débiles de acceso lógico

Apreciación de seguridad (SRA): Desarrollar modelos de apreciación de seguridad robustos para evaluar riesgos de seguridad y privacidad.




Operacional Operacional

Continuidad de Negocio/ Recuperación: Revisión y actualización de políticas para asegurarse que el negocio continua si el CSP sufre algún desastre en sus operaciones.

Capital humano: Identificación de recursos claves o destrezas necesarias. El manejo del capital humano debe ser parte de la planificación o migración de la Nube.

Manejo de cambio: Asegurarse que existen procedimientos robustos de modificación e implementación de aplicaciones en la Nube.

Deberes y responsabilidades: Se debe de establecer los deberes y responsabilidades entre la compañía y el CSP.

Retos/Implicaciones

Cambios rápidos en la organización

tales como destrezas requeridas de

los empleados o crea funciones

redundantes.

Las políticas de resguardo de data van

a requerir actualizaciones




Data y Tecnología Data y tecnología

Manejo de Servicios: Evolucionar las funciones del departamento de informática para llegar un análisis continuo de as capacidades y necesidades de sistema de la compañía.

Estrategia y Arquitectura: Se debe establecer la visión y estrategia a largo plazo de lo que debe ser el uso de la Nube para asegurar interoperabilidad, integridad, seguridad y controles a través de los CSP.

Gobernabilidad: Implementar procesos para manejar, analizar, mejorar y provee entendimiento de la data almacenada. Esto ayudara a la clasificación de la misma.

Catalogo de Servicio: Centralizar los ofrecimientos de la Nube en un solo repositorio para que cada unidad de negocio conozca que pueden hacer en la Nube.

Soluciones de Informática: Los modelos de desarrollo de sistemas (SDLC) deben ser actualizados para incorporar programas internos como los que están en la Nube.

Retos/Implicaciones

Riesgos en la integridad de la data

Los departamentos pueden implementar soluciones en la Nube sin la participación del departamento de informática

La implementación de la Nube rompe el hermetismo de los centros de cómputos.






Localización de la data: Entendimineto claro de donde la data se va a almacenar y que leyes reglamenta el almacenamiento de la data.

Manejo de Riesgo en Conjunto: Auditoria interna, Legal y Seguridad deben de trabajar en conjunto para identificar posibles riesgos de no cumplir con regulaciones y minimizarlo.

Incumplimiento y divulgación: Requiere cambios a procesos existentes para asegurar el descubrimiento, investigación, y divulgación de cualquier incumplimiento del CSP con la data manejada en la Nube.

Certeza: El proceso que utilizan los CSP para proveer certeza a sus usuarios están evolucionando y están migrando a los nuevos estándares de SOC y otras certificaciones de seguridad en la Nube.

Descubrimiento electrónico: Utilizar la Nube no elimina la responsabilidad de tener la data disponible por cualquier requisito legal o gubernamental. Usualmente los CSP provee estos servicios por un costo adicional.

Retos/Implicaciones

Falta de visibilidad de las operaciones de los CSPs

inhibe el análisis de cumplimiento de la

regulaciones y leyes pertinentes

La complejidad de manejo de documentos y

retención crea retos

Falta de estándares establecidos en los CSP crea

riesgos




Manejo de Suplidores Manejo de suplidores

Certificación: Establecer un proceso de certificación a base de los requisitos de negocio y controles requeridos para minimizar riesgos.

Contratos: Ya que los usuarios tiene un control mínimo sobre los CSP, se debe velar los términos de contrato. Principalmente se debe definir la responsabilidad, derecho de propiedad, el manejo de data t el derecho de auditoria.

Gobernabilidad: Se debe centralizar la comunicación entre la compañía y el CSP para evitar que cualquier departamento entre en acuerdos alternos con el CSP.

Selección de Servicios: Debido al numero pequeños de CSP disponibles, las compañías deben de ser diligente a la hora de seleccionar ya que cualquier cambio futuro de CSP puede ser costoso.

Retos/Implicaciones

Falta de claridad en cuanto a responsabilidades entre el CSPs y los usuarios

Falta de estándares existentes para transferir la data entre CSPs

Dependencia significativa en los CSPs

Mensajes Claves

La Nube es inter departamental y afecta

todos los aspectos de negocios Una estrategia a nivel organizacional es

requerida para mejorar la efectividad de la

implementación

La consideraciones de la Nube son

únicas para cada organización Los servicios disponibles para una compañía

varia del nivel de madurez de sus sistemas de

informática y sus procesos relacionados

Implementar aprendizajes sobre

actividades de “outsource” ya hechas Muchos procesos y capacidades creadas para

manejar las actividades de ―outsource‖ aplican

para la implementación de la Nube

Mantener un monitoreo constante al

mercado Los procesos y practicas de los CSP continúan

su evolución y madurez y las compañías debe de

mantenerse al día para evitar cualquier

contratiempo

¡Gracias!

Presentado por

Humberto L Martínez Acosta, CPA, CISA

Gerente

Auditoria

Tel (787) 622-6073

Email: [email protected]

All information provided is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act upon such information without appropriate professional advice after a thorough examination of the particular situation.

© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.

The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International Cooperative ("KPMG International").

Documents

110211 UPR Cloud Computing Master