Upload
juan-carlos-g
View
224
Download
0
Embed Size (px)
DESCRIPTION
Computar en la Nube
Citation preview
Agenda
1. Computación en la Nube: Tecnología influyente
2. Entendimiento de la Computación en la Nube
3. Impacto de la Nube en las Operaciones de Negocios
4. Consideraciones al Operar la Nube
2 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
La Nube: Tecnología influyente que necesita
liderazgo
La pregunta es, ¿Cómo transformar el negocio para
maximizar el beneficio de la Nube?
La Nube virtualiza los sistema de
informática y también transforma los
procesos de negocio.
La conversión a la Nube siempre
comienza con los sistema de informática.
El problema es que siempre se queda
ahí.
Es fácil enfocarse como la Nube ayuda a
reducir costos, pero también crea
oportunidades.
3 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
La Nube facilita la innovación
La Nube ya cambio la manejar que
trabajamos y con quien competimos.
Al virtualizar procesos, la Nube crea nuevas
oportunidades y modelos de negocios.
Al reducir las barreras de entrada para los
negocios, la Nube facilita la creación de
nuevos competidores.
La Nube se esta convirtiendo de una ventaja
competitiva a una necesidad operacional.
4 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Too Late to Wait Los lideres usan la Nube para
mejorar rendimiento, no solo
reducir costos.
¿Cómo nos podemos unir a esos
lideres?
Debemos preguntarnos:
¿La implementación me afecta el
proceso financiero?
¿Cuáles son las implicaciones
contributivas?
¿Cómo la data y la información va
hacer asesada y controlada?
¿Cómo manejo los riesgos de
seguridad y privacidad?
¿Cómo puedo cumplir con las
regulaciones existentes si envío data
por la Nube?
Agenda
1. Computación en la Nube: Tecnología influyente
2. Entendimiento de la Computación en la Nube
3. Impacto de la Nube en las Operaciones de Negocios
4. Consideraciones al Operar la Nube
6 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Perspectiva del Mercado sobre la Nube
Gartner
Gartner estimates that global
spending on cloud services will hit
$68 billion this year, a gain of 16%
over 2009, which is more than triple
the expected growth rate for total IT
spending.
CFO Magazine, December 2010
Savvis
70 percent of IT decision
makers are using or planning
to use cloud computing in their
own enterprises within 24
months.
Windows IT Pro Magazine,
February 1, 2011
China
China is going to see a cloud
computing market worth over RMB60
billion [~$9.1 Billion USD] in 2012.
News Track Daily, January 20, 2011
Microsoft
―For the cloud we are all in!‖ – Steve
Ballmer (CEO)
March, 2010
7 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Entendiendo el Ambiente de la Nube
Intercambio de data en
el Internet
Acceso a computación y
aplicaciones a través del Internet + La Nube =
Servicio 24 horas
Uso del Internet
Recursos comunes
Elasticidad
Cobro a base de
uso
Características de
la Nube:
Modelos de Servicios
Aplicación
como Servicio
Operaciones de
negocios en la red
interna
Plataforma como
Servicio
Migrar aplicaciones
internas a la Nube
Infraestructura
como Servicio
Almacenaje,
procesamiento,
otros recursos
Modelos de Implementación
Privado Opera para una organización
Publica Disponible para el publico o una industria y es manejada un proveedor de soluciones en la Nube (CSPs)
Comunidad Compartida por diferentes organizaciones, apoyando una comunidad especifica.
“SaaS” “PaaS” “IaaS”
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Entendiendo los Modelos de Servicios
Infraestructura
como
Servicio
Aplicación
como
Servicio
Plataforma
como
Servicio
Menos control del
usuario
Menos control del
usuario
Mas control del
usuario
Mas control del
usuario
Descripción
Las aplicaciones del CSP se pueden acceder a través de un
―thin client‖ como un navegador
El CSP maneja/controla la infraestructura incluyendo la red,
servidores, sistemas operativos, almacenamiento, o los
ofrecimientos de la aplicaciones
Ej. Google Apps, MS Office Live, Netsuite, Salesforce
El CSP provee implementación rápida de los recursos de
informática como almacenaje, procesamiento y red
Los usuarios pueden escribir aplicaciones que se
ejecuten en la Nube
E.g., Amazon.com, Rackspace, Terremark, IBM
Permite a los usuarios mover a la Nube aplicaciones
internas o aplicaciones creadas con lenguaje de
programación que el CSP provee apoyo.
El cliente no controla o maneja la infraestructura del CSP
pero si controla que aplicaciones están en la Nube.
E.j, Windows Azure, Force.com, Google App Engine
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Entendiendo los Modelos de Implementación
Cada servicio se puede implementar usando los siguientes modelos: Privado, Publico
o Comunidad
Nube Privada: Un ambiente cerrado
para una organización manejado internamente
o por un tercero.
Permite a la organización operar como un
CSP
Provee la flexibilidad de escalabilidad
rápida de sus recursos
Provee control total de la data
Inicialmente requiere una inversión inicial
significativa pero reduce los costos futuros
Puede existir dentro o afuera de la facilidades
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Entendiendo los Modelos de Implementación (continuación)
Nube Publica: La infraestructura es
manejada por un CSP, en el cual lo hace
disponible al publico o industrias
Utiliza un sistema de pago por uso
Provee disponibilidad inmediata
Cambio de un modelo de CAPEX a uno de
OPEX
Ofrece menos control sobre la data y los
niveles de servicio
Provee la oportunidad de aprender de la
mejores practicas de otras compañías.
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Entendiendo los Modelos de Implementación (continuación)
Nube de Comunidad: La infraestructura es
compartida por varias organizaciones con
intereses comunes—ofreciendo el mayor valor
transformacional que los otros modelos de
implementación.
Apoya organizaciones con intereses comunes
tales como logística, seguridad, políticas o
cumplimiento
Usualmente definido por los usuarios
Apoya la creación de nuevos modelos de
negocios y relaciones de negocios
Manejados por la comunidad o terceros
Puede existir dentro o afuera de la facilidades
Agenda
1. Computación en la Nube: Tecnología influyente
2. Entendimiento de la Computación en la Nube
3. Impacto de la Nube en las Operaciones de Negocios
4. Consideraciones al Operar la Nube
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Impacto de la Nube en las Operaciones
Adoptar soluciones en la Nube no solo impacta los sistema de informática, también afecta procesos operacionales críticos.
Las organizaciones necesitan una perspectiva holística que considere efectos multifuncionales en la Nube
La manera de adopción varia según el modelo de la Nube adquirida, la manera de implementación y el niveles de madurez de los procesos de negocios y sistemas de informática
Lecciones aprendidas del ―outsourcing‖ aplica a la Nube
A medida que los practicas de los CSPs) evolucionen y maduren, los procesos de la Compañía deben de mantenerse al día.
Manejo financiero y contributivo
Seguridad y privacidad
Operacional
Regulación y Cumplimiento
Manejo de suplidores
Data y tecnología
Operaciones
de Negocio
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Riesgos Claves y Retos en implementar la Nube
La implementación de la Nube exige una examinación detallada de los posibles riesgos
operacionales y retos además del aspecto técnico.
Manejo financiero y
contributivo
Movimiento de un modelo de CAPEX a uno de OPEX en el cual impacta presupuestos, proyecciones, y procesos financieros.
Este cambio de modelo puede cambiar el carácter de los servicios de la compañía causando implicaciones contributivas
Regulaciones existentes pueden que no albergue transacciones realizadas en la Nube
Data puede ser almacenada sin una adecuada segregación por cliente causando divulgación accidental
Perdida de supervisión en áreas criticas tales como manejo de vulnerabilidad, infraestructura y seguridad física
Controles débiles de acceso lógico debido a las políticas existentes del proveedor de la Nube
La implementación en la Nube introduce cambios rápidos en la organización tales como destrezas requeridas de los
empleados o crea funciones redundantes.
Las políticas de resguardo de data van a requerir actualizaciones en cuanto a necesidades e implementación.
Seguridad y privacidad
Operacional
Regulación y Cumplimiento
Manejo de suplidores
Data y tecnología
• Falta de claridad en cuanto a responsabilidades entre el CSPs y los usuarios
• Falta de estándares existentes para transferir la data entre CSPs
• Dependencia significativa en los CSPs
Falta de visibilidad de las operaciones de los CSPs inhibe el análisis de cumplimiento de la regulaciones y leyes pertinentes
La complejidad de manejo de documentos y retención crea retos
Falta de estándares establecidos en los CSP crea riesgos
Riesgos en la integridad de la data
Los departamentos pueden implementar soluciones en la Nube sin la participación del departamento de informática
La implementación de la Nube rompe el hermetismo de los centros de cómputos.
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative (―KPMG International‖), a Swiss entity.
All rights reserved. The KPMG name, logo and ―cutting through complexity‖ are registered trademarks or trademarks of
KPMG International.
Los retos de auditoria en la Nube
Técnicas tradicionales en la auditoria
Entendimiento de los alcances de la
auditoria
Cambios en los ambientes de informática
Uso de los informes de SAS 70 de los
proveedores
Auditar después de los hechos
Auditoria transaccional
Habilidad de auditar facilidades
Regulaciones existentes
Evidencia de auditoria confiable
Técnicas en la auditoria de Nubes
Restablecimiento de los alcances de la
auditoria
Cambios contantes en los ambientes de informática
Los informes SAS 70 reemplazados por informes SOC (Service Organization Controls)
Auditoria continua
Auditoria de procesos
Dificultad de auditar facilidades
Falta de regulaciones en la Nube
Evidencia de auditoria va a estar en la Nube y puede que no sea retenida o exista electrónicamente.
Agenda
1. Computación en la Nube: Tecnología influyente
2. Entendimiento de la Computación en la Nube
3. Impacto de la Nube en las Operaciones de Negocios
4. Consideraciones al Operar la Nube
17 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Manejo Financiero
Manejo financiero y contributivo
Previsión Financiera: Establecer procesos de cómo medir la inversión y rendimiento de la implementación de la Nubes.
Auditoria: El uso de la Nube requiere que los procesos de auditoria se revisen ya que la data no reside en la compañía.
Pago por uso: Al negocio moverse de pagar una vez a pago por subscripción o por uso. La entidad tiene que asegurarse de tener controles para asegurar que los CSP no les cobre de mas.
Presupuesto: Cambio de un presupuesto de capital a un presupuesto de gastos. Comunicación con las partes interesadas debe ser definidas adecuadamente con relasion al uso de Nube y los beneficios al negocio.
Retos/Implicaciones
Movimiento de CAPEX a OPEX impacta el proceso financiero
Análisis de ROI se complica
Mayor dependencia de terceros para cumplir con requerimientos de auditoria
Contabilidad: Movimiento de CAPEX a OPEX requiere que las políticas de contabilidad sean revisadas.
18 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Manejo Contributivo
Manejo financiero y contributivo
Nexos: El movimiento de CAPEX a OPEX puede cambiar como la compañía se le trata contributivamente con relación a los nexos de impuestos.
Integración de Aplicaciones: Compañías con cobros de impuestos indirectos e informes tiene que reconfigurar sus sistemas.
Cobros de afiliadas: Las compañías tiene que revisar los cargos actuales que se les hacen a las afiliadas domesticas e internacionales.
Depreciación acelerada: Activos existentes pude volverse obsoletos debido al uso de la Nube.
Impuestos de ventas: Impuestos sobre ventas con relación a las aplicaciones puede que no apliquen a los servicios provistos en la Nube.
Perdidas: Compañías con beneficios contributivos existentes tiene que analizar si los incentivos que reciben serán afectados por la Nube.
Retos/Implicaciones
Posiciones contributivas pueden verse afectadas por movimientos de CAPEX a OPEX
Leyes contributivas anticuadas
Caracterización de los servicios de la Nube puede causar en imposiciones contributivas en diferentes jurisdicciones
19 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Seguridad y Privacidad Seguridad y privacidad
Gobernabilidad : Una gobernabilidad robusta de la data e información ayudara a la implementación de la Nube (clasificación, cifrado, localización, políticas).
Acceso de data: Revisión de políticas y procedimientos de quienes y como acceden la data almacenada en la Nube (usuarios, reguladores, CSP).
Privacidad: Evaluar si las practicas de los CSP con relación a la colección, mantenimiento, uso, retención, destrucción y divulgación de información identificable (PII) son adecuada y van a la par con los de la compañía.
Requisitos de Seguridad: En ausencia de practicas estándares en la Nube, se debe comunicar los requisitos de seguridad a los CSP.
Retos/Implicaciones
Data puede ser almacenada sin una adecuada segregación por cliente causando divulgación accidental o maliciosa a terceros o la regulación existente no protege la data almacenada en la Nube
Perdida de supervisión en áreas criticas tales como manejo de vulnerabilidad, infraestructura y seguridad física
Controles débiles de acceso lógico
Apreciación de seguridad (SRA): Desarrollar modelos de apreciación de seguridad robustos para evaluar riesgos de seguridad y privacidad.
20 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Operacional Operacional
Continuidad de Negocio/ Recuperación: Revisión y actualización de políticas para asegurarse que el negocio continua si el CSP sufre algún desastre en sus operaciones.
Capital humano: Identificación de recursos claves o destrezas necesarias. El manejo del capital humano debe ser parte de la planificación o migración de la Nube.
Manejo de cambio: Asegurarse que existen procedimientos robustos de modificación e implementación de aplicaciones en la Nube.
Deberes y responsabilidades: Se debe de establecer los deberes y responsabilidades entre la compañía y el CSP.
Retos/Implicaciones
Cambios rápidos en la organización
tales como destrezas requeridas de
los empleados o crea funciones
redundantes.
Las políticas de resguardo de data van
a requerir actualizaciones
21 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Data y Tecnología Data y tecnología
Manejo de Servicios: Evolucionar las funciones del departamento de informática para llegar un análisis continuo de as capacidades y necesidades de sistema de la compañía.
Estrategia y Arquitectura: Se debe establecer la visión y estrategia a largo plazo de lo que debe ser el uso de la Nube para asegurar interoperabilidad, integridad, seguridad y controles a través de los CSP.
Gobernabilidad: Implementar procesos para manejar, analizar, mejorar y provee entendimiento de la data almacenada. Esto ayudara a la clasificación de la misma.
Catalogo de Servicio: Centralizar los ofrecimientos de la Nube en un solo repositorio para que cada unidad de negocio conozca que pueden hacer en la Nube.
Soluciones de Informática: Los modelos de desarrollo de sistemas (SDLC) deben ser actualizados para incorporar programas internos como los que están en la Nube.
Retos/Implicaciones
Riesgos en la integridad de la data
Los departamentos pueden implementar soluciones en la Nube sin la participación del departamento de informática
La implementación de la Nube rompe el hermetismo de los centros de cómputos.
22 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Regulación y Cumplimiento
Regulación y Cumplimiento
Localización de la data: Entendimineto claro de donde la data se va a almacenar y que leyes reglamenta el almacenamiento de la data.
Manejo de Riesgo en Conjunto: Auditoria interna, Legal y Seguridad deben de trabajar en conjunto para identificar posibles riesgos de no cumplir con regulaciones y minimizarlo.
Incumplimiento y divulgación: Requiere cambios a procesos existentes para asegurar el descubrimiento, investigación, y divulgación de cualquier incumplimiento del CSP con la data manejada en la Nube.
Certeza: El proceso que utilizan los CSP para proveer certeza a sus usuarios están evolucionando y están migrando a los nuevos estándares de SOC y otras certificaciones de seguridad en la Nube.
Descubrimiento electrónico: Utilizar la Nube no elimina la responsabilidad de tener la data disponible por cualquier requisito legal o gubernamental. Usualmente los CSP provee estos servicios por un costo adicional.
Retos/Implicaciones
Falta de visibilidad de las operaciones de los CSPs
inhibe el análisis de cumplimiento de la
regulaciones y leyes pertinentes
La complejidad de manejo de documentos y
retención crea retos
Falta de estándares establecidos en los CSP crea
riesgos
23 Operating in the Cloud © 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of
independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Consideraciones de Operar en la Red
Manejo de Suplidores Manejo de suplidores
Certificación: Establecer un proceso de certificación a base de los requisitos de negocio y controles requeridos para minimizar riesgos.
Contratos: Ya que los usuarios tiene un control mínimo sobre los CSP, se debe velar los términos de contrato. Principalmente se debe definir la responsabilidad, derecho de propiedad, el manejo de data t el derecho de auditoria.
Gobernabilidad: Se debe centralizar la comunicación entre la compañía y el CSP para evitar que cualquier departamento entre en acuerdos alternos con el CSP.
Selección de Servicios: Debido al numero pequeños de CSP disponibles, las compañías deben de ser diligente a la hora de seleccionar ya que cualquier cambio futuro de CSP puede ser costoso.
Retos/Implicaciones
Falta de claridad en cuanto a responsabilidades entre el CSPs y los usuarios
Falta de estándares existentes para transferir la data entre CSPs
Dependencia significativa en los CSPs
Mensajes Claves
La Nube es inter departamental y afecta
todos los aspectos de negocios Una estrategia a nivel organizacional es
requerida para mejorar la efectividad de la
implementación
La consideraciones de la Nube son
únicas para cada organización Los servicios disponibles para una compañía
varia del nivel de madurez de sus sistemas de
informática y sus procesos relacionados
Implementar aprendizajes sobre
actividades de “outsource” ya hechas Muchos procesos y capacidades creadas para
manejar las actividades de ―outsource‖ aplican
para la implementación de la Nube
Mantener un monitoreo constante al
mercado Los procesos y practicas de los CSP continúan
su evolución y madurez y las compañías debe de
mantenerse al día para evitar cualquier
contratiempo
¡Gracias!
Presentado por
Humberto L Martínez Acosta, CPA, CISA
Gerente
Auditoria
Tel (787) 622-6073
Email: [email protected]
All information provided is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act upon such information without appropriate professional advice after a thorough examination of the particular situation.
© 2011 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International Cooperative ("KPMG International").