UNIDAD DE POSTGRADO Y EDUCACIÓN CONTINUADA ESPECIALIZACION EN ADMINISTRACIÓN DE SISTEMA DE INFORMACIÓN
ASIGNATURA:
ADMINISTRACIÓN Y AUDITORÍAS DE CENTROS DE INFORMACIÓN PROYECTO DE INVESTIGACION:
AUDITORIA APLICADA EN ENTORNO DE NUBES PRESENTADO POR:
WESLY FLORVIL KATERIN CANDELARIO PROFESOR:
JOSE AQUINO
INDICE INDICE............................................................................................................................. ................................................................................................................................... ...... 2 INTRODUCCIÓN ..................................................................................................................... ..................................................................................................................... 3 AUDITORIA APLICADA EN ENTORNO DE NUBES ............................................... ..................................................................... ...................... 5
1.1
DEFINICIÓN NUBE .................................. ................ ................................... .................................. ................................... ................................... ................................... .................. 5
1.2
CARACTERÍSTICAS CARACTER ÍSTICAS DE LOS ENTORNOS DE NUBES....................... NUBES...... ................................... .................................... ................................ .............. 5
1.2.1
Auto-servicio Auto-se rvicio por demanda .................................. ................ ................................... ................................... .................................... ............................. ........... 5
1.2.2
Acceso ubicuo a la red ................................. ................ ................................... ................................... ................................... ................................... .................... ... 5
1.2.3
Fondo común de recursos .................................. ................ ................................... ................................... .................................... ................................ .............. 6
1.2.4
Rápida elasticidad elastici dad .................................. ................. ................................... ................................... ................................... ................................... .......................... ......... 6
1.2.5
Servicio medido ................................... .................. ................................... ................................... ................................... ................................... ............................. ............ 6
1.3
RECURSOS RECURSO S DE COMPUTACIÓN QUE SE OFRECEN COMO SERVICIOS SER VICIOS ................................. ................ .......................... ......... 6
1.3.1
Software Softwar e Como servicio (SaaS) ................................... ................. ................................... .................................. ................................... ........................ ...... 7
1.3.2
Plataforma Platafo rma como servicio (PaaS) ................................... ................. ................................... .................................. ................................... ..................... ... 7
1.3.3
Infraestructur Infraest ructuraa como servicio (IaaS) ................................... .................. ................................... ................................... ................................ ............... 9
1.3.4
Otras categorías categor ías de Servicios ................................... ................. ................................... ................................... .................................... ........................ ...... 10
1.4
MODELOS DE IMPLEMENTACIÓN IMPLEMENTACIÓ N DE LA NUBE ................................. ................ ................................... ................................... ........................ ....... 10
1.4.1
Nube Pública .................................. ................ ................................... .................................. ................................... ................................... ................................. ................ 10
1.4.2
Nube Privada Privad a .................................. ................ ................................... .................................. ................................... ................................... ................................. ................ 10
1.4.3
Nube Comunitaria Comunita ria .................................. ................. ................................... ................................... ................................... ................................... ........................ ....... 11
1.4.4
Hibrido..................... Hibrido... ................................... .................................. ................................... ................................... ................................... .................................... ..................... ... 11
1.5
AUDITORIA AUDITOR IA ENTORNO DE NUBES ................................. ............... ................................... ................................... .................................... ........................... ......... 11
1.6
RECOMENDACIONES RECOMENDACIONES PARA AUDITORIA APLICADA EN ENTORNO DE NUBES.................. ........................... ........... .. 15
1.6.1
Recomendaciones Recomendaciones en la definición del marco auditor a aplicar .................. ........................... .................. .............. ..... 15
1.6.2
Recomendaciones Recomendaciones en la praxis de ejecución de la acción auditora ................. .......................... ................... .......... 16
1.6.3
Recomendaciones Recomendaciones en la difusión y publicación de los resultados .................. ........................... .................. ........... .. 18
CONCLUSIÓN ..................................................................................................... ....................................................................................................................... .................. 19 BIBLIOGRAFÍAS ........................................................................................ .................................................................................................................... ............................ 21
2
INTRODUCCIÓN Por lo general las auditorías se enfocan en proveer garantías, lo que normalmente implica evaluar la efectividad de los controles que revelan información acerca de la conducta de uno o más procesos de negocios.
Las soluciones de nube tienen que ser auditable con el fin de permitir la evaluación continua el nivel de seguridad de la solución específica de un proveedor de la nube es suficiente para ser utilizado por
un sistema o solución dada. Al mismo tiempo, un
proveedor de nube debe ser capaz de proporcionar información adecuada sobre la auditoría y aseguramiento para cubrir la evaluación de riesgos de los clientes y cumplir con la legislación.
La auditoría como ejercicio profesional continúa creciendo y, sin lugar a dudas, la auditoría en la nube será la siguiente etapa en el proceso. Ciertamente será así para quienes ya han incorporado las metodologías de auditoría basada en riesgos y usan con eficiencia los estándares internacionales, no para quienes continúan anclados en la modernización y siguen aferrados a las tretas legales y tributarias.
La computación en la nube conlleva, entre otras cosas, un cambio fundamental en las plataformas tecnológicas: el software (los procesos) y los datos (insumos) no necesariamente están en el disco duro de cada quién, ni se encuentren en el límite físico de las organizaciones, sino que pueden estar en centros remotos y hasta dispersos en diversos territorios, cada uno con legislaciones específicas más o menos restrictivas en términos de manejo de privacidad, políticas de gobernabilidad de información, etc.
3
Este trabajo pretende mostrar las diferentes metodologías y tecnologías existentes o que se están desarrollando actualmente e indicar mejores prácticas de auditoría en el nuevo entorno.
4
AUDITORIA APLICADA EN ENTORNO DE NUBES 1.1 DEFINICIÓN NUBE Cloud o Nube, es el símbolo que se usa generalmente para representar la Internet. Computing o Computación en la nube, reúne los conceptos de informática, lógica de coordinación y almacenamiento.
Es un término que se define como una tecnología que ofrece servicios a través de la plataforma de internet. Los usuarios de este servicio tienen acceso de forma gratuita o de pago todo depende del servicio que se necesite usar.
1.2 CARACTERÍSTICAS DE LOS ENTORNOS DE NUBES El modelo Cloud Computing está compuesto por cinco características esenciales (NIST, 2009):
1.2.1 Auto-servicio por demanda Los servicios pueden ser solicitados por el usuario o cliente a través de Internet directamente. El usuario paga únicamente por el tiempo de uso del servicio.
1.2.2 Acceso ubicuo a la red Los servicios están desplegados en la nube y son accesibles desde
cualquier
medio con acceso a la red (Internet, Intranet o Extranet).
5
1.2.3 Fondo común de recursos Los servicios se encuentran en la Nube para ser usados por múltiples usuarios bajo un modelo multi-arrendatario en diferentes
lugares del mundo. Esto genera
una independencia de la ubicación de los recursos aprovechando la naturaleza del Internet (Internet, Intranet o Extranet).
1.2.4 Rápida elasticidad La cantidad o calidad de los servicios ofrecidos en la Nube puede aumentar o disminuir rápidamente dependiendo de las necesidades cambiantes de los usuarios.
1.2.5 Servicio medido Cada recurso que consume el usuario y que es facturable debe ser medido, no sólo para fines de tarificación sino también de control. Este servicio puede
ser
vendido al mismo usuario o cliente dentro de su contexto y/o ambiente.
1.3 RECURSOS DE COMPUTACIÓN QUE SE OFRECEN COMO SERVICIOS Los proveedores de cloud computing ofrecen diferentes tipos de servicios en nube a consumidores informáticos. Con el fin de entender las diferentes capas de servicio, es importante entender cómo se relacionan en un computing non cloud.
El tipo de servicio que se proporciona tiene muchas implicaciones en el proveedor, incluyendo la forma en que abordan las preocupaciones tales como la seguridad, la resistencia, el cumplimiento y multiusuario. Los servicios de computación en la nube se clasifican en una de las siguientes:
6
1.3.1 Software Como servicio (SaaS) Un modelo de implantación de software mediante el cual un proveedor concede a sus clientes una licencia para utilizar un servicio a la carta. En su configuración más habitual, los proveedores de software SaaS alojan la aplicación en sus propios servidores web, a los que los usuarios suscritos al servicio acceden normalmente mediante un navegador de Internet.
Por lo tanto, el SaaS implica proporcionar conjuntamente los medios, los servicios y la experiencia que permiten a las empresas externalizar completamente algún aspecto de su sistema informático y asimilarlo como un costo operativo en lugar de considerarlo como una inversión.
1.3.1.1
Ventajas de SaaS
Acceso a potentes aplicaciones a precios reducidos (CRM, ERP, Emai y Colaboración Inteligente).
Eliminar inversiones en compra de licencias.
El cliente paga solo por lo que usa.
Disponibilidad 24/7.
Eliminación de costos ocultos, mantenimientos, copias de seguridad etc...
Cambiamos el concepto de inversión por "gasto predecible".
Accesibilidad desde cualquier lugar a cualquier hora. Disponibilidad inmediata del servicio.
1.3.2 Plataforma como servicio (PaaS) Las soluciones PaaS son plataformas de software para las cuales la herramienta de desarrollo en si misma está alojada en la nube y se accede a través de un navegador web.
7
Con PaaS, los desarrolladores pueden construir aplicaciones web sin tener que instalar ninguna herramienta adicional en sus computadoras, y luego despliegan estas aplicaciones sin necesidad de tener ningún conocimiento administrativo especializado. McKinsey & Company, en su informe "La guerra de las plataformas emergentes" del 2008, definió a PaaS como "IDEs basados en la nube que no sólo incorporan a lenguajes de programación tradicionales, sino también que incluyen herramientas para el desarrollo con mashups".
La alternativa a PaaS
es desarrollar aplicaciones web usando herramientas de
desarrollo de escritorio, como Eclipse o Microsoft Access, y luego desplegar manualmente estas aplicaciones a un proveedor de nube, como Amazon EC2. Las plataformas PaaS también tienen diferencias funcionales respecto a las plataformas de desarrollo tradicionales. Estas diferencias incluyen:
Herramientas de desarrollo múltiples (inquilinos): las herramientas de
desarrollo tradicional son para un único usuario. Un estudio basado en la nube debe soportar múltiples usuarios, cada uno de los cuales tiene múltiples proyectos activos.
Arquitectura de despliegue de múltiples (inquilinos) : la escalabilidad suele
no ser una preocupación durante el esfuerzo inicial de desarrollo y se deja para que lo gestionen los administradores de sistemas cuando se despliega el proyecto. En PaaS, la escalabilidad de la aplicación y de sus capas de datos debe ser intrínseca a la solución (por ejemplo, el balanceo de carga y la disponibilidad tiene que ser elementos básicos de la plataforma de desarrollo).
Gestión integrada: las soluciones de desarrollo tradicionales no suelen
preocuparse con el monitoreo del entorno de ejecución, pero en PaaS, se tiene que soportar la habilidad de monitoreo desde la misma plataforma de desarrollo.
8
Facturación integrada: las ofertas PaaS requieren mecanismos de facturación
basados en la utilización, que son únicos para el mundo PaaS.
1.3.3 Infraestructura como servicio (IaaS) La infraestructura como servicio (IaaS) proporciona opciones prácticamente ilimitadas y muy asequibles a las compañías que necesitan adaptar sus recursos de servidores y almacenamiento rápidamente y bajo demanda. Sin embargo, las soluciones de infraestructura de cloud para IaaS solo pueden ofrecer unos niveles óptimos de eficiencia y ahorro de costos cuando logran integrar los datos y aplicaciones alojados en el cloud con los sistemas y bases de datos de los entornos locales. Informática ofrece una infraestructura de integración de datos en cloud para respaldar la IaaS. La infraestructura habilita la IaaS con una combinación de requisitos iniciales mínimos, ausencia de costos previos de adquisición, implementación rápida y escalabilidad ilimitada, a fin de:
Integrar datos en entornos informáticos verdaderamente virtuales, como Amazon EC2, y con aplicaciones SaaS, como Salesforce.com.
Trasladar datos con facilidad, fiabilidad y rapidez entre fuentes de datos en el cloud y en entornos locales.
Garantizar la calidad y el perfilado de los datos, sin fisuras en todas las aplicaciones de su implantación de IaaS.
Optimizar el archivado y el almacenamiento de datos en su implantación de IaaS para la generación de informes o las auditorías de cumplimiento de normativas.
9
1.3.4 Otras categorías de Servicios
Storage as a Service
Database as a Service
Process as a Service
Application as a Service
Security as a Service
Testing as a Service
Management/Governance as a Service
1.4 MODELOS DE IMPLEMENTACIÓN DE LA NUBE El método de implementación de la Nube indica quien controla los recursos de la Nube.
1.4.1 Nube Pública La nube pública es básicamente Internet, los proveedores de servicios elaboran aplicaciones y soluciones (Software como Servicio o SaaS) disponibles al público en general. Ejemplos de estas nubes son: Amazon, Rackspace, Google, Microsoft, entre otros. Para los usuarios, éste tipo de nubes proveen economías de escala, no son costosas y los costos de ancho de banda están incluidos en los servicios. El modelo usualmente es "pago por uso" o "pago por usuario".
1.4.2 Nube Privada Una nube privada es una infraestructura operada únicamente por una organización, independientemente si es operada internamente o a través de un proveedor de nubes privadas. El objetivo de una nube privada es no vender "servicios" a clientes externos sino que una organización se beneficie de la arquitectura.
10
Las nubes privadas típicamente no son opciones para Pymes, son más típicas en grandes empresas y corporaciones.
1.4.3 Nube Comunitaria Solamente
un
grupo
(o
Comunidad)
de
instituciones
pueden
usar los recursos de la Nube.
1.4.4 Hibrido Es una combinación de algunas de las Nube anteriores.
1.5 Auditoria en entorno de nubes Independientemente de lo que se vaya estableciendo a nivel de auditorías referidas al modelo de nubes, la asociación ISACA (Information Systems Audit and Control Association), ha establecido metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de información, ya que los proveedores de cloud necesitan proporcionar seguridad a sus clientes de que están haciendo las cosas correctamente. Las auditorías de terceras partes o de un servicio auditor son importantes en dicho aseguramiento. Como indica ISACA, no hay estándares específicamente publicados para cloud, sin embargo los estándares ya existentes pueden servir para concretar y acotar determinadas áreas de revisión. Será entonces responsabilidad del proveedor, del cliente, y del auditor posteriormente, asegurar y concretar que los puntos en los que dichos estándares y certificaciones (como los basados en SAS 70 type II -un reconocido estándar de auditoría desarrollado por la American Institute of Certified Public Accounts (AICPA), ISO 27001, etc.) cubren todos los riesgos y procedimientos susceptibles de control.
11
¿Qué es la auditoría?
Auditoría es esencialmente una función de seguridad de que alguna norma, método o práctica es seguida. Dependiendo del tipo de auditoría, el auditor
examina
sistemáticamente las pruebas de cumplimiento con los criterios establecidos. Una de las mejores prácticas en materia de auditoría de TI eficaz es comenzar con una comprensión de funciones de negocios, para identificar que la infraestructura de TI está proporcionando las funciones, y luego considerar el alcance de la auditoría y los controles más adecuados para la función de TI.
Lo mismo es válido para la infraestructura y los servicios de TI proporcionados por la nube. De hecho, la mayoría de los proveedores de la nube están utilizando sistemas de TI
modelos similares a los de sus clientes. Estos incluyen: estación de trabajo
asegurando (acceso) y de servidor de dispositivos, servicios básicos (tales como la identidad y la autorización), y supervisión y registro funciones. Por lo tanto, muchos de los mismos
controles y marcos de control (como COBIT o NIST) normalmente
utilizados para auditorías de sistemas también se pueden utilizar para los sistemas de auditoría que se alojan o son proporcionados por los proveedores de nubes.
Todas las compañías cotizadas deben realizar auditorías internas para garantizar la efectividad de sus controles para los propósitos de subsecuentes auditorías financieras o de revisión de políticas internas.
Sin embargo, el entorno de provisión de servicios TIC a través de la nube presenta características específicas diferenciales frente a otros entornos de provisión de servicios TIC. Estas diferencias sugieren la necesidad de revisar la forma en que la función auditora puede cumplir sus fines en este nuevo entorno, así como la de adaptar la
operativa
concreta
aplicable
al
mismo:
herramientas,
metodologías,
responsabilidades, colaboraciones, etc.
12
Estas características diferenciales están estrechamente ligadas con los modelos de nube definidas por la Cloud Security Alliance (Pública, Privada, Híbrida o Compartida) [CSA, 2009]. A efectos de la función de auditoría se pueden señalar las siguientes características diferenciales de los entornos de computación en la nube respecto a los que no lo son:
Los elementos incluidos en el programa de auditoría pueden estar físicamente ubicados en una o más instalaciones, incluso separadas geográficamente entre sí. De esta forma, la posibilidad de que un equipo auditor realice su labor presencialmente requiere de mayor esfuerzo, complejidad y por consiguiente de un mayor costo.
Debido a la distribución geográfica de los recursos de la nube, la acción auditora deberá seleccionar cuáles de aquéllos marcos jurídicos involucrados deben ser considerados.
Debido a que los elementos físicos incluidos en el programa de auditoría no son propiedad del cliente auditado (ni su uso es privativo por él), en entornos compartidos como es la nube (multi-inquilino), existirán recursos lógicos de otros clientes que queden excluidos del alcance de la acción auditora.
Los auditores internos y externos para la nube buscarán las suficientes garantías basadas en el riesgo evaluado de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirán las suficientes garantías de este último en controles tales como la continuidad del negocio o los procesos de seguridad.
13
Adicionalmente, hay otros elementos que, si bien forman parte del modelo de computación en la nube, no resultan diferenciales sobre otros ecosistemas TIC existentes. Para estos, son aplicables las metodologías tradicionales de auditoría:
Prestación de servicios TIC a través de un tercero, modelado mediante un Acuerdo de Nivel de Servicio (ANS). Incluyendo:
Gestión y resolución de conflictos entre proveedor y clientes.
Albergado de datos, servicios y recursos TIC en instalaciones de un tercero (considerado individualmente, un tercero y uno cualquiera de los Centros de Procesamiento de Datos de un servidor de computación en la nube).
Responsabilidad del prestador del servicio por deficiencias en el mismo.
Seguimiento del cumplimiento del ANS, y aplicación de medidas correctivas o compensatorias en su caso.
Finalización de los contratos.
Acceso a datos propios por terceros, incluyendo personal y proveedores del proveedor del cliente.
Exportación / importación de datos de carácter personal entre países.
Riesgos reputacionales o de fraude por dependencias de terceros.
14
1.6 RECOMENDACIONES PARA AUDITORIA APLICADA EN ENTORNO DE NUBES Esta sección recoge una serie de recomendaciones y mejores prácticas sobre metodologías y tecnologías de auditoría para la computación en la nube, esperando servir de guía no solamente para los clientes, sino también para los proveedores mismos.
Estas recomendaciones se ordenan en tres líneas de actuación diferenciadas, tal y como se muestra en la ilustración a continuación. Cabe resaltar que dichas líneas de actuación son aplicables tanto a los modelos de servicio como de aprovisionamiento de computación en la nube.
1.6.1 Recomendaciones en la definición del marco auditor a aplicar
Se recomienda que los mecanismos de supervisión sean de obligado cumplimiento para el prestador del servicio en la nube, garantizando el servicio y el acceso a sus instalaciones a petición del usuario o cliente de los aparatos de comunicaciones, equipos informáticos o armarios de discos y soportes.
Se recomienda seguir de cerca la evolución de mecanismos, tales como CloudAudit, ya que su integración en los servicios y productos existentes será deseable para hacer más transparentes a los proveedores de servicios en la nube. También se recomie nda seguir la labor de grupos como el “Security Metrics
WG”
de
la
Cloud
Security
Alliance,
cuyos
resultados
serán
complementarios al CloudAudit.
15
Se recomienda que el TPA (Third Party Auditor / Auditor de Terceros), sea independiente del proveedor de servicios de computación en la nube al que audita.
Asimismo, es recomendable que se haga público un catálogo de TPA autorizados por cada proveedor de computación en la nube.
1.6.2 Recomendaciones en la práctica de ejecución de la acción auditora En general, todos los servicios de auditoría y mecanismos de control para la computación en la nube deberán de respetar la confidencialidad y privacidad de los clientes y sus datos.
Se deberá observar que cada prestador de servicios en la nube debe disponer de una estructura organizativa que pueda atender las necesidades y requerimientos de cumplimiento legal de sus clientes y, en su caso, facilitar los trabajos de auditoría.
Se auditará que el Acuerdo de Nivel de Servicios (ANS) entre el proveedor y el cliente deba incorporar elementos adicionales y penalizaciones asociados a su incumplimiento, en los ámbitos de: cumplimientos regulatorios exigible a su cliente, verificación del cumplimiento del ANS, acceso no autorizado por empleados del proveedor o proveedores a información del cliente, errores de seguridad y/o servicio que sean responsabilidad del proveedor, accesos no autorizados por deficiencias en el servicio del proveedor.
16
La verificación se realizará tanto sobre la existencia de estos elementos, como en su medición y seguimiento en el curso de la prestación de los servicios, como en la aplicación de penalizaciones y/u otras provisiones que, contractualmente, se hayan establecido.
El auditor deberá verificar la existencia y el uso de herramientas que protejan la integridad y completitud de ficheros de registros utilizados por el proveedor de servicios en la nube, para prevenir y/o detectar cualquier intento de manipulación.
Al hacer sus valoraciones, el auditor debe evaluar toda la cadena de confianza que va desde la fuente (creación) de la información de los registros, pasando por la medida de protección utilizada en la transmisión de dicha información (HTTPS, TLS, etc.) hasta el tipo de protección de integridad (criptográfica o de otro tipo) utilizada y la cronología de dichos ficheros.
En el ámbito de colaboración con el proveedor de servicios en la nube, y buscando minimizar el impacto en recursos y operaciones del proveedor que pueden suponer las distintas acciones auditoras por parte de sus distintos clientes, el equipo auditor se adaptará a los calendarios y ventanas de auditoría que establezca el proveedor de forma que sus distintos clientes puedan compartir para sus diversos fines los resultados de actividades auditoras realizadas en dicho calendario.
17
1.6.3 Recomendaciones en la difusión y publicación de los resultados
Se deberá observar que los servicios de auditoría para la computación en la nube estén disponibles para su consulta en cualquier momento a petición del auditor autorizado por el solicitante del servicio en la nube o del cliente del servicio, sin interrumpir los niveles de servicios acordados. La forma en la que dichos servicios están disponibles serán diferentes en el caso de TPAs y PAS.
Se deberá verificar que se establezcan los mecanismos de monitoreo y alerta de los servicios prestados que informen al consumidor el grado de cumplimiento o incumplimiento de los niveles de servicios acordados. En particular, estos elementos deben ser puestos a disposición de los equipos auditores en el transcurso de su trabajo.
18
CONCLUSIÓN El almacenamiento en la nube tiene que ser transformado, no solo con el fin de habilitar la seguridad, sino también con el de permitir el desarrollo de una auditoría que garantice el cumplimiento de los requisitos reglamentarios.
En la actualidad la principal característica del almacenamiento en la nube es que depende del cliente para proporcionar el nivel de seguridad requerido. Estos requisitos de los clientes van desde la protección de la ubicación de los datos. Ubicación de los datos es importante para los requisitos de privacidad dados los requisitos del gobierno para proteger los datos de los ciudadanos.
Hay algunos proveedores de almacenamiento en la nube que permiten la ubicación geográfica apropiada; Sin embargo, el cliente debe saber cómo activar esta función. Las capacidades de almacenamiento en la nube existentes no tienen en cuenta la protección granular o un servicio de auditoría.
No es raro que la iniciativa de utilizar un entorno de nube se deba en un principio a intereses económicos y no como parte de un plan de trabajo de TI. Cuando el ahorro de los costos impulsan las decisiones de negocios, es fundamental que las preocupaciones sobre el cumplimiento de los requisitos reglamentarios no sean una idea de último momento, o peor aún, que no se consideran hasta que lleguen los auditores.
19
Debido a que los entornos de nubes proliferan de forma exponencial los datos, los posibles usuarios (personas u organizaciones) deben comprender oportunamente estos entornos y sus principales problemáticas; además de tener bien claro el tipo de infraestructura que lo soporta y el tipo de servicio que estos ofrecen.
Finalmente se exhorta a que estos aspectos se traten con los denominados “Contratos de Acuerdo de Servicio ”. Todas las recomendaciones en cuanto a este tema indican que éstos deben de ser revisados y creados específicamente, detallando los controles, las normativas, las medidas de protección, los plazos de recuperación del servicio, etc.
20
BIBLIOGRAFÍAS
Cloud computing A security privacy Guide BEN HALPERT. Accenture: “Cloud Computing and Sustainability: The Environmental Benefits of Moving to the Cloud”, año 2010 (http://bit.ly/NXazxv) .
Enisa (European Network and Information Security Agency): “Computación en
nube: Beneficios, riesgos y recomendaciones para la seguridad de la información”, año 2009 (http://bit.ly/N2XpQz) .
http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-comoservicio-paas.html .
http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/C loud-Computing-Management-Audit-Assurance-Program.aspx.
http://www.informatica.com/la/solutions/cloud-data-integration/infrastructure-as-aservice-iaas/.
http://blog.nexica.com/2011/06/cloud-compilance-report-auditoria-de-entornosde-computacion-en-la-nube.
CSA- ES (Cloud Security Alliance- España) - ISMS Forum Spain.
21
22
22
