You are on page 1of 9

UN ARTCULO TCNICO DE ISACA de la Serie sobre Visin de la nube

GOBIERNO EN LA

NUBE:

preguntas que los consejos directivos deben formular


La computacin en la nube est adquiriendo
importancia. A medida que las ofertas de servicios
en la nube adquieren madurez, los proveedores
de estos servicios se tornan cada vez ms
competitivos. Algunos proveedores reducen sus
precios dado que realizan inversiones y aprovechan
las economas de escala. Otros se diferencian en
funcin de la calidad, por ejemplo, proporcionando
mayor disponibilidad, mejor seguridad y
capacidad superior para administrar los servicios.
Si bien los beneficios de la computacin en la nube
son reales en trminos econmicos, estratgicos y
operacionales, obtenerlos no es un proceso simple.
Para alcanzar tales beneficios, los factores que
impulsan la adopcin de la computacin en la nube
deben estar alineados con los objetivos y las metas
empresariales, a la vez que los factores culturales y
de negocio deben ser favorables a dicha adopcin.
Al igual que con cualquier inversin, los proyectos
en la nube deben ser guiados por el consejo
directivo para asegurar la creacin de valor y la
optimizacin del riesgo. Al evaluar las iniciativas en
la nube, los miembros del consejo deben formular
determinadas preguntas especficas a sus equipos
de gestin. Preguntas cuyas respuestas, a su turno,
determinarn si los servicios en la nube tendrn un
impacto positivo y sostenible sobre los objetivos
empresariales y si el riesgo permanecer dentro
del grado de tolerancia de la empresa.

GOBIERNO EN LA NUBE:
PREGUNTAS QUE LOS CONSEJOS DIRECTIVOS DEBEN FORMULAR

ISACA
Con ms de 100 000 miembros en

180 pases, ISACA (www.isaca.org) es un

proveedor lder global de conocimiento,


certificaciones, comunidad profesional,
promocin y educacin en materia de

aseguramiento y seguridad de los sistemas


de informacin (information systems, IS),

gobierno de la empresa y gestin de TI,

riesgos relacionados con la TI y cumplimiento


de las normas. Fundada en 1969, ISACA,

una organizacin independiente sin nimo de


lucro, auspicia conferencias internacionales,
publica el ISACA Journal, y desarrolla

normas internacionales de control y auditora


para los IS, lo que ayuda a sus miembros
a asegurar el valor y la confianza en los

sistemas de informacin. Tambin desarrolla

y certifica habilidades y conocimientos en

TI a travs de las siguientes designaciones


mundialmente reconocidas: Certified

Information Systems Auditor (Auditor

Certificado en Sistemas de Informacin)


(CISA), Certified Information Security

Manager (Gerente Certificado en Seguridad

de la Informacin) (CISM), Certified in the


Governance of Enterprise IT (Certificado en

el Gobierno de Tecnologas de la Informacin


Corporativa) (CGeIT) y Certified in Risk and
Information Systems ControlTM (Certificado
en riesgo y Control de Sistemas de
Informacin) (CRISCTM).

ISACA actualiza y expande

3701 Algonquin Road, Suite 1010


Rolling Meadows, IL 60008 EE. UU.

la familia de productos basadas en el marco

Telfono: +1.847.253.1545

permanentemente la orientacin prctica y


CoBIT . COBIT ayuda a los profesionales

de TI y a los lderes empresariales a cumplir


con sus responsabilidades de gestin y

gobierno de TI, particularmente en las reas


de aseguramiento, seguridad, riesgo y

Fax: +1.847.253.1443
Correo electrnico: info@isaca.org
Sitio web: www.isaca.org

control, y a aportar valor al negocio.

Exencin de responsabilidad

ISACA ha diseado y creado el informe


Gobierno en la nube: preguntas que

los consejos directivos deben formular

(el Trabajo), ante todo como un recurso

Enve sus comentarios:

www.isaca.org/cloud-governance

Participe en el Centro de
Conocimiento de ISACA:

www.isaca.org/knowledge-center

educativo para profesionales en el rea

Siga a ISACA en Twitter:

no garantiza que el uso de cualquier

nase a ISACA en LinkedIn:


ISACA (Oficial)

de gobierno y aseguramiento. ISACA

componente del Trabajo asegure un

resultado exitoso. el Trabajo no debe

ser considerado como abarcativo de toda


la informacin, procedimientos y pruebas

apropiadas, ni tampoco como excluyente de

https://twitter.com/ISACANews

http://linkd.in/ISACAOfcial

Pulse Me gusta en el perfil


de ISACA en Facebook:
www.facebook.com/ISACAHQ

otra informacin, procedimientos y pruebas

que se aplican razonablemente para obtener


los mismos resultados. Para determinar

la conveniencia de cualquier informacin


especfica, procedimiento o prueba, los

profesionales de gobierno y aseguramiento

debern aplicar su propio criterio profesional


a las circunstancias especficas presentadas

por los sistemas particulares o por el entorno


de tecnologa de la informacin.

Reserva de derechos

2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacin se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar
en un sistema de recuperacin ni transmitir de ninguna manera a travs de ningn medio (electrnico, mecnico, fotocopiado, grabacin u otros) sin la autorizacin
previa por escrito de ISACA. La reproduccin y utilizacin de toda o parte de esta publicacin estn permitidas nicamente para el uso acadmico, interno y
no comercial, y para los compromisos de consultora y asesoramiento, y debern incluir la referencia completa de la fuente del material. No se otorga otra clase
de derechos ni permisos en relacin con este trabajo.
Gobierno en la nube: preguntas que los consejos directivos deben formular

2013 ISACA. TodoS loS dereChoS reServAdoS.

Gobierno en la nube:
preguntas que los consejos directivos deben formular

ISACA desea agradecer a:


Consejo directivo de ISACA
Gregory T. Grocholski,

CISA, The Dow Chemical Co., EE.UU., Presidente


Internacional

Allan Boardman,

CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP,


Morgan Stanley, RU, Vicepresidente

Juan Luis Carselle,

CISA, CGEIT, CRISC, Wal-Mart, Mxico, Vicepresidente

Christos K. Dimitriadis,

Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia


Vicepresidente

Ramses Gallego,

CISM, CGEIT, CCSK, CISSP, SCPM, Cinturn Negro


deSix Sigma, Dell, Espaa, Vicepresidente

Tony Hayes,

Comit de Conocimiento
Marc Vael,

Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo,


Blgica, Presidente

Rosemary M. Amato,

Captulos de ISACA

CGEIT, CRISC, Betfair, RU

Thomas E. Borton,

CISA, CPA, Ernst & Young LLP (jubilado), EE.UU.,


Expresidente Internacional

Emil DAngelo,

CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (jubilado),


EE.UU., Expresidente Internacional

John Ho Chi,

CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP,


Singapur, Director

ITGI Japn

Phil J. Lageschulte,

Norwich University

Jamie Pasfield,

Solvay Brussels School of Economics and

CGEIT, CPA, KPMG LLP, EE.UU.

CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, RU


Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, Mxico

CGEIT, CPA, KPMG LLP, EE.UU., Presidente

Dan Haley,
CISA, CGEIT, CRISC, MCP, Johnson & Johnson, EE.UU.

Yves Marcel Le Roux,


CISM, CISSP, CA Technologies, Francia

Aureo Monteiro Tavares Da Silva,


CISM, CGEIT, Brasil

Management
Strategic Technology Management
Institute (STMI) of the National University of
Singapore
University of Antwerp Management School
ASIS International
Hewlett-Packard
IBM
Symantec Corp.

CISA, Deloitte, EE.UU.

Connie Lynn Spinelli,

CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA,


BKD LLP, EE.UU.

Jo Stewart-Rattray,

CISA, CPA (Australia), MasterCard Asia/Pacific Pte. Ltd.,

CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich,


Australia, Director

Socitum Performance Management Group

Jotham Nyamari,

Krysten McCabe,

CISA, The Home Depot, EE.UU., Directora

ITGI Francia

CISA, CISM, CRISC, CISSP, Cost Plus, EE.UU.

Phil J. Lageschulte,

Kenneth L. Vander Wal,

(Information Security Forum)


Institute of Management Accountants Inc.

Jeff Spivey,

Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo,


Blgica, Vicepresidente

Foro de Seguridad de la Informacin

Steven A. Babb,

Comit de Orientacin y Prcticas

Marc Vael,

ydel IT Governance Institute (ITGI)

CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda

CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA,


Queensland Government, Australia, Vicepresidente

CRISC, CPP, PSP, Security Risk Management, Inc.,


EE.UU., Vicepresidente

Afiliados y patrocinadores de ISACA

Siang Jun Julia Yeo,


Singapur

Nikolaos Zacharopoulos,

CISA, CISSP, DeutschePostDHL, Alemania

2013 ISACA. Todos los derechos reservados. 3

Introduccin
Los miembros del consejo escuchan cada vez ms y ms que sus

equipos de gestin destacan los beneficios empresariales significativos


de la computacin en la nube. entre los que seencuentran:
Las estrategias basadas en la nube hacen
quelaempresa sea ms eficiente y gil.
La computacin en la nube permite prestar servicios
msinnovadores y ms competitivos.
La computacin en la nube reduce los costos
operativosgenerales.

Pero qu grado de confianza deberan tener los consejos directivos


respecto de que los planes de gestin lograrn estos beneficios?

Hay alguna manera de saber que, aun si los beneficios son reales,
el incremento del riesgo operacional no superar tales beneficios?
Afortunadamente, si se comprende qu es y qu no es la nube, y

se formulan algunas preguntas clave a los equipos de gestin, los

consejos pueden alcanzar ese grado de confianza necesario respecto


de planes de gestin yobjetivos estratgicos, as como en relacin
con lasdecisiones que se tomen en respuesta a esos planes.

Este informe ofrece una visin general breve sobre la computacin en


la nube y presenta las preguntas importantes que los miembros del

consejo deben formular cuando evalan esta temtica como parte


de su estrategia empresarial general. Estas preguntas sirven como
punto de partida para iniciar las conversaciones entre los ejecutivos,
los lderes de las lneas de negocio y la gestin de tecnologa de la
informacin (TI); adems, sientan las bases para desarrollar un

entendimiento comn sobre los beneficios que se esperan, la

asignacin de recursos y las estrategias de optimizacin para


cualquier riesgo asociado.

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Valor de la computacin en la nube


El objetivo de la nube es
permitir que la empresa
gestione los recursos
informticos en funcin de
sus objetivos financieros,
culturales u operacionales.
Para comprender el valor de la computacin
en la nube, los miembros del consejo primero
deben entender cul es su propsito. El
objetivo central de la computacin en la nube
es convertir los recursos informticos de
la empresa en una materia prima fungible.
En el modelo tradicional de TI, la empresa
adquiere y mantiene un portafolio de activos
tecnolgicos que se deprecian lentamente y
que tal vez se empleen de manera eficiente
o no. Por el contrario el objetivo de la nube
es permitir que la empresa gestione los
recursos informticos del mismo modo que
la electricidad, es decir, que compre solo lo
que utiliza (ni ms ni menos). Otra analoga
es la decisin que toma la empresa respecto
de comprar o alquilar un espacio fsico para
oficina. Ambos enfoques tienen ventajas
y desventajas, como consideraciones en
materia de impuestos, previsibilidad de
costos, gastos operacionales o de capital,
y factores comunitarios y culturales. La
decisin es una eleccin, una que el consejo
realiza en funcin de los objetivos financieros,
culturales u operacionales de la empresa.
La computacin en la nube intenta que la
compra y el uso de los recursos informticos
sean una eleccin similar, basada en
parmetros similares.
Dado que el sustrato informtico subyacente
de la computacin en la nube se puede
reemplazar, suministrar o reasignar de
manera dinmica segn sea necesario, una

empresa puede aprovechar la competencia


entre los proveedores de servicios para
negociar el mejor precio, buscar el proveedor
que mejor respalde las necesidades
especficas de la empresa e incorporar
rpidamente nuevas capacidades en su
portafolio tecnolgico. Este modelo se
puede aplicar a los recursos informticos a
nivel de la infraestructura (almacenamiento
o redes), a las aplicaciones del negocio
o a algn lugar intermedio. Al analizar la
computacin en la nube de esta manera,
el consejo directivo puede comenzar
avislumbrar sus posibles beneficios,
como porejemplo:

Trasladar el financiamiento de TI

de grandes inversiones de capital


(activos de TI heredados) a gastos
operacionales.
Reasignar los recursos de TI a
actividades del negocio central.
Obtener aplicaciones que son
ms fciles y ms econmicas de
implementar, utilizar y respaldar.
Aumentar la escalabilidad y
flexibilidad, mejorando la capacidad
de respuesta ante las cambiantes
condiciones de mercado.
Fomentar la innovacin, al trasladar
esfuerzos y recursos de proyectos
de implementacin a desarrollo
delproducto final.

La computacin en la nube
podra ser un habilitador
perturbador del valor del
negocio y un medio para
proporcionar servicios
tecnolgicos disponibles
ms rpidamente y a un
costo total ms bajo.

Desde un punto de vista tecnolgico,


los componentes que hacen posible el
modelo de computacin en la nube no
son nuevos. Aplica numerosos avances
tecnolgicos que han estado presentes
desde hace largo tiempo: acceso a
Internet de alta velocidad, virtualizacin
de servidores, nuevos desarrollos de
software, avances en almacenamiento de
gran capacidad, etc. La computacin en
la nube tiene implicancias ms all del
escenario de TI tradicional. Su impacto
se extiende por toda la empresa, facilita
cambios potenciales en la cultura de
la empresa y demanda cambios en
reas como servicio de atencin al
cliente, gestin de cambios y gestin
de proveedores, para adaptarse a las
cualidades y requisitos singulares de la
computacin en la nube. Una empresa
puede aprovechar la computacin en la
nube para mejorar el modelo de negocio,
facilitando el pasaje de hacerlo con
servicios tradicionales a trabajar con
servicios en lnea, o para ampliar el alcance
a los mercados, eliminando las barreras
geogrficas. La computacin en la nube
podra ser un habilitador perturbador
(un resultado beneficioso que podra
requerir cambios sustanciales) del valor
del negocio y un medio para proporcionar
servicios tecnolgicos disponibles ms
rpidamente y a un costo total ms bajo.
El desafo implica que los miembros del
consejo tengan suficiente conocimiento
de la oportunidad que presenta la nube,
como para que puedan dirigir y supervisar
con eficacia los planes a fin de aprovechar
la nube e impulsar el xito.

2013 ISACA. Todos los derechos reservados. 5

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Gobierno de la computacin en la nube


Al igual que con cualquier otra inversin, se debe ejercer el
gobierno sobre la nube; no obstante, algunas caractersticas de
la computacin en la nube (virtualizacin, agilidad, flexibilidad,
rpida implementacin y mnima inversin inicial) demandan
consideraciones adicionales de gobierno para asegurar que se
obtengan beneficios dentro de niveles aceptables de riesgo.
Los servicios en la nube a menudo se proporcionan de
manera medible, de modo muy similar a la forma en que los
consumidores y las empresas compran electricidad. Una empresa
puede rpida y fcilmente aumentar o disminuir los niveles de
servicio en funcin de sus fluctuantes necesidades (necesitan ms,
compran ms). Dentro de este modelo, las unidades de negocio
individuales pueden identificar necesidades, negociar contratos e
implementar servicios de tal manera que se omitan los procesos
de compra requeridos para un gobierno apropiado. Por ejemplo,
Forrester estima que hoy da por cada iniciativa en la nube que
tenga seguimiento central por parte de los departamentos de TI,
hay entre tres y seis iniciativas que no lo tienen.1 La flexibilidad
o el mtodo pago por uso permite a una unidad de negocio
incrementar la capacidad o solicitar servicios adicionales
mediante una simple llamada. Pero hay un aspecto negativo,
esta flexibilidad tambin podra dar como resultado que se pase
por alto la autorizacin de gastos, los procesos de control de
cambio, los controles de proteccin de la informacin y otros
procesos de supervisin general.
La omisin de procesos de gobierno establecidos y no informar a
otros dentro de la empresa sobre las iniciativas de computacin
en la nube puede ocasionar que la empresa asumariesgos no
conocidos, y por tanto, incremente su potencial exposicin. Si
no existe una supervisin estrecha y una disciplina adecuada,
es posible incurrir en gastos superiores a los previstos si no
se desactivan los servicios, una vez que ya no se los necesita.
Los servicios comprados de manera individual pueden ser
incompatibles con las estrategias tecnolgicas establecidas.
En algunos casos, la adquisicin de servicios en la nube dio
lugar a problemas normativos; que se podran haber evitado
si los planes de uso se hubieran comunicado y considerado
sistemticamente con antelacin.

Staten, James; What are Enterprises Really Doing in the Cloud?, del blog de Forrester, 25 de octubre
de2011, http://blogs.forrester.com/james_staten/11-10-25-what_are_enterprises_really_doing_in_the_cloud

2013 ISACA. Todos los derechos reservados. 6

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Preguntas de gobierno sobre la nube


queel consejo directivo debe formular
Para establecer una direccin clara que est alineada con la estrategia de la empresa, los miembros del consejo deben comprender

cabalmente los beneficios de la computacin en la nube y cmo se los puede maximizar, a travs de prcticas de gobierno eficaces
e implementadas en todas las etapas. Esto exige que el consejo considere a la computacin en la nube no como un proyecto de TI,
sino ms bien, como una estrategia tecnolgica de negocio. Esta comprensin ayuda a asegurar que se consideren y se satisfagan
las necesidades de las partes interesadas, a la vez que se optimiza el riesgo y la utilizacin de recursos.

Las siguientes preguntas contribuyen a identificar el valor estratgico que los servicios en la nube pueden aportarle a la empresa

yelimpacto que sta podra tener sobre los recursos y los controles de la empresa:
1. Los equipos de gestin tienen un plan para la computacin en la nube? Han sopesado el valor y los costos de oportunidad?
El riesgo de la adopcin de la nube puede ser irrelevante si se lo compara con la prdida de la oportunidad de transformar

la empresa, mediante el uso eficaz y estratgico de la computacin en la nube. La prdida puede ser especialmente significativa

cuando las empresas de la competencia adoptan medidas para aprovechar esas mismas oportunidades. Desde una perspectiva
estratgica, lacomputacin en la nube puede ser un vehculo para:

Obtener una ventaja competitiva


Alcanzar nuevos mercados
Mejorar los productos y servicios existentes
Retener los clientes existentes
Aumentar la productividad
Contener los costos
Desarrollar productos o servicios que no seran posibles sin los servicios de la nube
Eliminar las barreras geogrficas

2. De qu manera los planes actuales en la nube respaldan la misin de la empresa?

Los servicios en la nube deben apoyar los esfuerzos para alcanzar los objetivos de negocio que se derivan de las necesidades de

las partes interesadas (tal como fueron aprobados por el equipo de liderazgo). Las iniciativas en la nube deben tener un vnculo

claro y susceptible de seguimiento con la estrategia de la empresa, de manera que el valor esperado de los servicios en la nube
est claramente definido, medido y aceptado. Este vnculo tambin ayuda a determinar la prioridad asignada a las iniciativas en
la nube y respalda el desarrollo de mtricas para medir los resultados y compararlos con las expectativas.

El alineamiento entre los objetivos referidos a la nube y los de la empresa es vital para ser eficaz a la hora de gestionar riesgos
ycontener costos. Los potenciales beneficios de los servicios en la nube son atractivos, pero con la gratificacin viene el riesgo.
Laempresa debe decidir si el riesgo potencial se encuentra dentro de lmites aceptables.

3. Los equipos ejecutivos evaluaron sistemticamente la preparacin organizacional?


Los puntos de presin surgen:

cuando la implementacin de la computacin en la nube es incompatible con la cultura de la empresa;


cuando no se dispone de las habilidades requeridas para respaldar las soluciones en la nube;
cuando los procesos relacionados con la nube entran en conflicto con otros procesos establecidos;
cuando la estructura organizacional no maximiza la eficacia y eficiencia en la nube.

2013 ISACA. Todos los derechos reservados. 7

Gobierno en la nube:
preguntas que los consejos directivos deben formular

La evaluacin de la preparacin de la empresa antes de la adopcin de servicios en la nube evita la cultura reactiva y los cambios
de procesos y habilidades tambin reactivos, que sern necesarios para eliminar los puntos de presin no previstos. Una

evaluacin sistemtica del estado de preparacin puede ayudar a la gestin a identificar costos y riesgos adicionales que deben
incluirse en el proceso de decisin. Esta evaluacin de la preparacin debe incluir los siguientes elementos:

Polticas y procedimientos: es probable que se necesiten nuevas polticas y procedimientos que guen la adopcin,

lagestin y el uso correcto de la computacin en la nube.

Procesos: los procesos existentes que utilizan servicios de TI tradicionales, posiblemente deban ser rediseados para

incorporar nuevas actividades relacionadas con el uso de servicios en la nube.

Estructuras organizacionales: la gestin en la nube puede demandar nuevas capacidades organizacionales o modificaciones

de las ya existentes, en particular en el rea de operaciones y respaldo de TI.

Cultura y comportamiento: la cultura y el comportamiento organizacional pueden ser crticos para la adopcin exitosa

de soluciones en la nube.

Habilidades y competencias: las reas de compras, legales, cumplimiento y auditora son algunos ejemplos de funciones que

tal vez deban desarrollar las habilidades necesarias para gestionar servicios en la nube, desde evaluacin y

abastecimiento aoperaciones y retiros.


4. Los equipos de gestin han considerado en su planificacin de la nube, qu inversiones ya existentes podran perderse?
La computacin en la nube tal vez no se ajuste de inmediato y sin fisuras al portafolio de la tecnologa existente en la empresa.

La adopcin de un servicio en la nube puede, por ejemplo, obviar inversiones en tecnologa ya realizadas que an no han alcanzado
su fecha final programada. La decisin sobre cundo y cmo llevar a cabo esa prdida debe considerarse con suma precaucin.
Las reas que se deben considerar son:

Procesos: la organizacin de TI tal vez necesite adaptar procesos, como abastecimiento y gestin de cambios.
Cultura y comportamiento: los servicios en la nube demandarn mayor rapidez de respuesta por parte de la organizacin
de TI, que probablemente necesite realizar cambios en los procesos internos y en las herramientas.

Servicios, infraestructuras y aplicaciones: la empresa posiblemente necesite actualizar los centros de datos, las aplicaciones
de software y las infraestructuras de red, lo cual puede dar lugar a cierto nivel de prdida de inversiones realizadas.

Habilidades y competencias: la organizacin de TI necesitar desarrollar o adquirir las habilidades necesarias para respaldar

alos usuarios de servicios en la nube, cuando el personal actual no las posee.


5. Los equipos de gestin tienen estrategias para medir y dar seguimiento al valor del rendimiento de la inversin en la nube

en relacin con el riesgo?

Antes de decidir adoptar la computacin en la nube, el consejo debe darle a los equipos de gestin la tarea de asegurar que

seimplementen los mecanismos correctos de informe para medir el valor y el riesgo alineados con los objetivos de la empresa.

2013 ISACA. Todos los derechos reservados. 8

Gobierno en la nube:
preguntas que los consejos directivos deben formular

Conclusin
A medida que maduran los servicios en la nube y sus proveedores, ms empresas utilizarn
alguna forma de computacin en la nube. Los consejos directivos deben proporcionar
pautas para ayudar a las empresas a obtener los beneficios, optimizar el riesgo y controlar
el costo. Una buena manera para que los consejos inicien esta orientacin es realizar
preguntas especficas sobre la nube. Las respuestas a estas preguntas pueden ayudar
a determinar si la empresa est lista para adoptar la computacin en la nube y si el valor
creado tendr un impacto positivo en las metas y los objetivos de la empresa.
Para que un consejo pueda saber si los servicios en la nube respondern a las expectativas,
primero deben saber si dichas expectativas estn alineadas con la estrategia de la
empresa. El primer paso para el gobierno de la computacin en la nube es que el
consejo establezca un entendimiento comn sobre los beneficios esperados y los
mecanismos para su seguimiento y medicin. COBIT 5 y sus productos relacionados
pueden ser utilizados para dirigir y gestionar complejas inversiones como los servicios
en la nube. El uso de COBIT 5 para implementar prcticas coherentes puede ayudar
amaximizar el valor y el riesgo de control.

Comprender el entorno
actual y la relacin entre la
computacin en la nube y
los objetivos empresariales
ayudar a evitar los puntos
depresin, y a optimizar
elriesgo y los recursos.

Recursos adicionales y retroalimentacin


Visite www.isaca.org/cloud-governance para obtener recursos adicionales y utilizar la funcin de retroalimentacin para aportar sus
comentarios y sugerencias sobre este documento. Su opinin es muy importante en el desarrollo de las guas de ISACA para sus
miembros y es muy valorada.

2013 ISACA. Todos los derechos reservados. 9