Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

cios compartidos). Los recursos informáticos y la infraestructura se comparten entre varias or- ganizaciones para su uso exclusivo, y se pueden administrar internamente o por un tercero y se pueden hospedar en instalaciones propias de una o más de las organizaciones de la comunidad (modo local), externamente en una empresa de alojamiento, o alguna combinación de ellos. Nube híbrida Combina dos o más modelos de los anteriores. A menudo llamadas “lo mejor de ambos mun- dos”, las nubes híbridas combinan infraestruc- tura local, o nubes privadas, con nubes públicas para que las organizaciones puedan aprovechar las ventajas de ambos. En una nube híbrida, los datos y las aplicaciones pueden moverse entre nubes privadas y públicas para una mayor flexibilidad y más opciones de implementación. Por ejemplo, puede usar la nube pública para necesidades de gran volumen y me- nor seguridad, como el correo electrónico basado en web, y la nube privada (u otra infraestructura local) para operaciones confidenciales y críticas para el negocio, como informes financieros. Un ejemplo de nube híbrida es la Red SARA. En el Plan de Transformación Digital de la Admi- nistración General del Estado y sus organismos públicos 2015-2020, y sus organismos públicos 2015-2020, se fijó como meta “la constitución de una nube híbrida (nube SARA) que ofrez- ca software, plataforma e infraestructura como servicio (SaaS, PaaS e IaaS)”. Se trata de un servicio que proporciona servicios de compu- tación y almacenamiento en nube híbrida para la AGE y sus Organismos Públicos, mediante la configuración de nodos de consolidación tanto en centros de proceso de datos de la Adminis- tración (nube privada) como de proveedores externos (nube pública). Todos los nodos son gestionados mediante un portal común de apro- visionamiento multi-organismo. Aunque ini- cialmente se centra en la infraestructura como servicio, proporcionará gradualmente servicios de mayor madurez, tales como plataforma como servicio y aplicación como servicio (por ejem- plo, gestión de la nómina en la nube). En cuanto a los tipos de servicios cloud que se ofre- cen, los principales son: Infraestructura como servicio (Infrastructure- as-a-Service o IaaS) El proveedor se encarga de la administración de la infraestructura (hardware, redes de comuni- caciones y almacenamiento) y el cliente tiene el control sobre los sistemas operativos, y todas las aplicaciones que instale en dichos recursos. Plataforma como servicio (Platform-as-a-Servi- ce o PaaS) PaaS agrega una capa adicional a lo que facili- ta IaaS y añade utilidades para el desarrollo de aplicaciones, bases de datos, etc. Software como servicio (Software-as-a-ServiceoSaaS) El proveedor ofrece al cliente aplicaciones como un servicio. Estas aplicaciones son accesibles por los clientes (mediante el navegador, aplicación móvil, etc.), quienes no administran ni controlan la infraestructura en que se basa el servicio. Ejemplo: suites ofimáticas online, Gmail, Team- Mate (versión web), FACe, etc. Cada uno de estos modelos implica diferentes niveles de responsabilidad del usuario y del proveedor sobre el control interno, la seguridad y la configuración del ser- vicio. Las principales diferencias de estos tres tipos de servicios cloud en cuanto a la responsabilidad y capa- cidad de supervisar cada uno de sus componentes son: 38 Junio nº 75 - 2020 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS Fuente: CSA, Cloud Audit & Forensics SaaS IaaS PaaS Aplicaciones Aplicaciones Aplicaciones Virtualización Virtualización Virtualización Datos Datos Datos Servidores Servidores Servidores Sistema operativo Sistema operativo Sistema operativo Almacenamiento Almacenamiento Almacenamiento Red Red Red Proveedor Proveedor Proveedor Cliente Cliente