CIS1030SD02 CONTROL Y ASEGURAMIENTO EN …pegasus.javeriana.edu.co/~CIS1030SD02/Documentos/Memoria...

<CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN

CLOUD COMPUTING PARA PYMES

PABLO ANDRÉS HIDALGO LARA

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

BOGOTÁ, D.C.

2011

Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación

Página i

Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008

<CIS1030SD02>

GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD

COMPUTING PARA PYMES

Autor(es):

Pablo Andrés Hidalgo Lara

MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE

LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS

Director

Freddy Alexander Vargas Blanco

Jurados del Trabajo de Grado

Ing. Andrea Yamile Ojeda

Ing. José Luis Lara

Página web del Trabajo de Grado

http://pegasus.javeriana.edu.co/~CIS1030SD02

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA


BOGOTÁ, D.C.

Junio, 2011

Ingeniería de Sistemas Sidre - CIS1030SD02

Página ii

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA


Rector Magnífico

Joaquín Emilio Sánchez García S.J.

Decano Académico Facultad de Ingeniería

Ingeniero Francisco Javier Rebolledo Muñoz

Decano del Medio Universitario Facultad de Ingeniería

Padre Sergio Bernal Restrepo S.J.

Directora de la Carrera de Ingeniería de Sistemas

Ingeniero Luis Carlos Díaz Chaparro

Director Departamento de Ingeniería de Sistemas

Ingeniero César Julio Bustacara Medina


Página iii


Artículo 23 de la Resolución No. 1 de Junio de 1946

“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyec-

tos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y

porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos

el anhelo de buscar la verdad y la Justicia”


Página iv

AGRADECIMIENTOS

En los caminos de la vida siempre se encuentran personas que nos acompañan y aportan lo mejor de

ellos mismos para contribuir a nuestro crecimiento personal e intelectual, pero ¿cómo nombrarlas a

todas sin dejar a nadie por fuera? Sin duda es una difícil tarea, pero reduciremos a todos aquellas

personas en las siguientes.

En primer lugar deseo dar las gracias a mis padres por su apoyo, su comprensión, su confianza, su

inmensa generosidad pues me han dado todo lo que necesito y más de lo que merezco, sobre todo,

por guiarme en el camino del bien y enseñarme todo los valores y principios necesarios para crecer

como una persona correcta y ser quien soy hoy en día.

En segundo lugar y sin ser menos importante que los primeros, agradezco a mi novia Alejandra,

quien con su paciencia y carisma a sabido apoyarme y acompañarme en todo momento desde el

inicio de la propuesta, hasta el desarrollo y culminación del Trabajo de Grado

También agradezco a mis amigos, y personas cercanas a mi vida que han sido parte fundamental en

mi crecimiento personal con su apoyo, consejos, por ayudarme en los momentos que necesito una

mano de más para alcanzar mis logros y por todos los momentos de alegría y felicidad que he vivi-

do junto a ellos.

Finalmente agradecerle a mi tutor por toda la ayuda que me ha brindado, tanto en el proyecto como

en la vida laboral y personal. Gracias a su apoyo he logrado completar con éxito el trabajo aquí

propuesto.


Página v


Contenido

INTRODUCCIÓN ...................................................................................................... 1

I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO ............................... 2

1. OPORTUNIDAD, PROBLEMÁTICA, ANTECEDENTES ..................................................... 2 1.1 Descripción del contexto ............................................................................................... 2 1.2 Formulación del problema que se resolvió ................................................................... 3 1.3 Justificación ................................................................................................................... 4 1.4 Impacto Esperado .......................................................................................................... 5

2. DESCRIPCIÓN DEL PROYECTO ..................................................................................... 5 2.1 Visión global .................................................................................................................. 5 2.3 Objetivo general ............................................................................................................ 6 2.4 Objetivos específicos ..................................................................................................... 6 2.5 Método que se propuso para satisfacer cada fase metodológica .................................. 7

II –POST-MORTEM .................................................................................................. 8

1. METODOLOGÍA REALIZADA ...................................................................................... 8

2. ACTIVIDADES PROPUESTAS VS. ACTIVIDADES REALIZADAS. ..................................... 9

3. EFECTIVIDAD EN LA ESTIMACIÓN DE TIEMPOS DEL PROYECTO .................................. 9

4. COSTO ESTIMADO VS. COSTO REAL DEL PROYECTO ................................................. 10

5. EFECTIVIDAD EN LA ESTIMACIÓN Y MITIGACIÓN DE LOS RIESGOS DEL PROYECTO. .. 11

III - MARCO TEÓRICO .......................................................................................... 12

1. MARCO CONTEXTUAL ............................................................................................. 12

2. MARCO CONCEPTUAL .............................................................................................. 12 2.1 Fundamentos Cloud Computing .................................................................................. 12 2.2 Impactos De Cloud Computing ................................................................................... 25 2.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing ............................... 27 2.4 COSO - Committee of Sponsoring Organizations ....................................................... 30 2.5 COBIT - Control Objectives for Information and related Technology ...................... 38

IV – DESARROLLO DEL TRABAJO .................................................................... 42

1. CARACTERIZACIÓN DE LAS EMPRESAS ..................................................................... 42

2. DESARROLLO DE LA GUÍA METODOLÓGICA ............................................................ 45


Página vi

3. MECANISMOS DE VALIDACIÓN ................................................................................ 49

4. VALIDACIÓN Y APROBACIÓN DE LA GUÍA METODOLÓGICA .................................... 53

V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS ............................... 54

VI – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS ... 58

1. CONCLUSIONES ....................................................................................................... 58

2. RECOMENDACIONES ................................................................................................ 59

3. TRABAJOS FUTUROS ................................................................................................ 59

VII - REFERENCIAS Y BIBLIOGRAFÍA ............................................................. 61

1. REFERENCIAS .......................................................................................................... 61

VIII - ANEXOS .......................................................................................................... 64

1. ANEXO 1. GLOSARIO ............................................................................................... 64

2. ANEXO 2. ACTIVIDADES TG .................................................................................... 64

3. ANEXO 3. ENCUESTAS ............................................................................................. 64

4. ANEXO 4. VALIDACIONES ........................................................................................ 64


Página vii


LISTA DE TABLAS

Tabla 1 - Presupuesto Total Propuesto ..............................................................................................11

Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM .........................38

Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Computing,

2011] ..................................................................................................................................................44

Tabla 4 - Formato de documentación de la Guía ...............................................................................48

Tabla 5 - Formato de Control de Madurez .........................................................................................49

Tabla 6 - Agrupación de Requerimientos ..........................................................................................57


Página viii

LISTA DE ILUSTRACIONES

Ilustración 1 - Metodología Realizada .................................................................................................8

Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009] .........................................................15

Ilustración 3 Funcionamiento de SaaS [Parallels, 2011] ...................................................................16

Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010] ..............................................................17

Ilustración 5 ¿Que es PaaS? [Keene, 2009] .......................................................................................18

Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009] .....................................21

Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009] .....................................22

Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] ...31

Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] ...................................40

Ilustración 10 - Razones de las empresas para utilizar Cloud Computing .........................................55

Ilustración 11 - Resultados Encuesta .................................................................................................56


Página ix


ABSTRACT

In this document is defines a methodological guide of control and assurance in Cloud Computing

for Colombian SMEs. The project identifies the stage, actors, needs and work environment in gen-

eral to establish control and assurance requirements that must exist in domestic SMEs. Subsequent-

ly each requirement is documented in detail, with the purpose of establishing the minimum control

measures and assurance that a company like this should apply in the Cloud Computing service you

are using.

RESUMEN

Se define una guía metodológica de control y el aseguramiento en Cloud Computing para Pymes.

Se identifican los escenarios, actores, las necesidades y el ambiente en general de trabajo para esta-

blecer los requerimientos de control y aseguramiento que deben existir en las pymes nacionales.

Posteriormente se documenta cada requerimiento de manera detallada, con el propósito de estable-

cer las medidas mínimas de control y aseguramiento que una empresa de este tipo debe aplicar en

el servicio de Cloud Computing que esté utilizando.


Página x

RESUMEN EJECUTIVO

Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y madu-

ración en Colombia, se enfoca en generar servicios estandarizados que puedan responder a las nece-

sidades de negocio que tenga cada organización, de forma flexible y adaptativa sin necesidad de

poseer un conocimiento previo sobre el manejo del modelo.

Actualmente, esta tendencia tecnológica se compone de dos actores principales, la empresa provee-

dora que ofrece los servicios a la medida del negocio y la empresa usuaria que toma los servicios

según sus propias necesidades. Este primer actor, permite a los usuarios el aumento de servicios

basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues los

proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exigencias

del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago por

consumo que resulta más asequible para las empresas y de menos perdidas.

Ahora bien, cada uno de los servicios que desee el usuario de Cloud Computing requiere que la

empresa cliente brinde información, requerimientos y especificaciones que permita al proveedor

tomar la solicitud dependiendo del servicio que se requiera. Esta información resulta de gran ayuda,

puesto que las organizaciones desean tener el manejo de estas desde todo tipo de dispositivo tec-

nológico, en cualquier parte y en el momento que lo deseen.

Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se

maneja la información de una organización. Es en ese punto donde se debe manejar un concepto

bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad para todo tipo de

usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve inquietante conocer

cuáles son las medidas de control en la Cloud, cuáles son los lineamientos de seguridad manejados

por las empresas proveedoras del servicio y cómo los aplican, pues es muy poco lo que se conoce

acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta hace poco tiempo

viene aplicando este modelo de servicios.

Alrededor de esta problemática se genera la siguiente pregunta:

¿Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa provee-

dora del servicio de Cloud Computing?


Página xi


A partir de esta pregunta se genera la necesidad no solo de dar respuesta sino también de definir la

forma más apropiada de desarrollar un proyecto en el que se trate de cerrar esta problemática. Para

ello, luego de un análisis en compañía del director de trabajo de grado y contando con las opiniones

de personas conocedoras del tema, se concluyó que la mejor forma era la definición de una guía

metodológica que se brinde como una herramienta que facilite a las empresas el control de Cloud

Computing, orientada a cumplir el siguiente objetivo:

Definir una Guía Metodológica de Control y Aseguramiento en Cloud Computing que evalúe la

eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en pequeñas

y medianas empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la

gerencia en beneficio de sus empresas.

A partir de este objetivo, la guía se abordó teniendo en cuenta una metodología dividida en fases

que se llevarían a cabo de forma secuencial, de esta forma cada fase tiene cierta dependencia de su

antecesora, a excepción de la primera fase de levantamiento de información, que obligatoriamente

debe iniciar con la iniciativa y voluntad del autor.

En la fase inicial se realiza un levantamiento de información para hacer un reconocimiento del en-

torno sobre el cual gira el desarrollo de la guía metodológica, es decir, que en esta fase se contem-

plará toda la información relevante para el desarrollo del trabajo. Después de esta fase, tomando la

opinión de diversas personas con conocimiento en el tema se generó la necesidad de incluir una

caracterización de empresas, en donde se profundiza más sobre las empresas (actores de la pro-

blemática), con el propósito de conocer servicios y necesidades que giran en torno al modelo de

Cloud Computing y además hacer énfasis en las Pymes que son parte fundamental en el desarrollo

del trabajo.

Después de completar las fases de levantamiento de información y caracterización de las empresas,

se continuó con la fase de establecer requerimientos para el control y aseguramiento en Cloud

Computing, la cual complementó la información establecida en las otras dos fases y dio inicio al

desarrollo de la guía. Para esta fase, como se tenía previsto no había conocimiento de requerimien-

tos que estuvieran orientados o definidos para el control y aseguramiento de Cloud Computing, pero

se contó con el apoyo de un documento de la CSA y a partir de este se elaboró una encuesta que

determinaría los requerimientos para realizar la guía. Dicha encuesta fue realizada a personal que

trabajara en el área de TI en Pymes colombianas. Posteriormente, los requerimientos determinados


Página xii

pasaron por un proceso de aprobación con el propósito de hacer control de calidad y darle un valor

agregado al producto final desde ese punto de su elaboración.

Siguiendo con la secuencia de las fases propuestas, se da inicio a la elaboración de la guía meto-

dológica tomando como base los requerimientos determinados en la fase anterior. Teniendo en

cuenta que el establecimiento de los requerimientos no era suficiente para la elaboración de la guía,

se construyó un diagrama con el cual se determinó los aspectos más relevantes para cada requeri-

miento en los cuales se debería profundizar. Adicionalmente, pensando en la comodidad y facilidad

de uso del documento por parte de las personas que tengan acceso al documento se incluyo una

sección para conocer y manejar el documento.

Trabajando en paralelo con la elaboración de la guía, se prosiguió a evaluar el mejor mecanismo de

validación y aprobación de la misma. De esta evaluación de los mecanismos se determino el de

aprobación por opinión de expertos con la posibilidad de aplicar una segunda opción de aprobación

aplicando la guía a un caso de estudio, solo si el tiempo lo permitía. Ya con el mecanismo de apro-

bación elegido, se dio paso a la fase de validación contactando dos personas expertos y conocedoras

del entorno en el que se desenvuelve el producto. Se les brindo una presentación y la guía como tal

para obtener su opinión respecto al producto y su posterior aprobación.

Finalmente, se realizaron las correcciones del producto, el control de calidad correspondiente a la

última fase de la metodología, se elaboró la página web en donde se presenta el contenido de todo el

trabajo de grado y se diligenció una lista de chequeo para verificar y comparar todo el proceso pro-

puesto con el proceso que realmente se ejecutó para el desarrollo del proyecto.

Con base en todo el proceso que se llevó a cabo, se concluye que tanto el objetivo general como los

específicos se cumplieron de acuerdo a lo planeado, gracias al seguimiento y control de cada una de

las actividades establecidas para el desarrollo del trabajo. Gracias a esto, se logró elaborar un pro-

ducto útil para la comunidad de Cloud Computing a nivel nacional en las Pymes y se contribuyó a

dos de las problemáticas con las que está comprometida la Pontificia Universidad Javeriana.

Pontificia Universidad Javeriana Memoria de Trabajo de Grado

Página 1


INTRODUCCIÓN

A través de este documento se puede observar el proceso que se realiza en la elaboración del trabajo

de grado ―Guía Metodológica de Control y Aseguramiento para Cloud Computing en Pymes‖.

En el capítulo I, se hace un reconocimiento de la información más relevante acerca de los antece-

dentes de los temas que se desarrollan en el trabajo de grado. Se incluyen, aspectos importantes

como el análisis de la problemática que se enmarca alrededor del ambiente de Cloud Computing, la

seguridad a nivel general, la formulación, justificación y el impacto que se espera obtener.

En el capítulo II, se lleva a cabo la descripción del proyecto haciendo énfasis en la visión global y

los objetivos planteados para desarrollar el trabajo. Además de esto también se incluye una descrip-

ción de cada fase de la metodología que se llevo a cabo a lo largo del trabajo y su alineamiento con

los objetivos específicos que se habían planteado,

Después, en el capítulo III se podrá observar el marco contextual y conceptual con los temas más

relevantes dentro del proyecto como lo es el modelo de servicios de Cloud Computing, su impacto y

los riesgos al día de hoy y finalmente los marcos de control que marcan una pauta en el asegura-

miento a nivel general dentro de las empresas.

A continuación, en el capítulo IV se hace un análisis más detallado de lo que fue todo el proceso de

desarrollo, según las fases de la metodología planteada para la ejecución del trabajo de investiga-

ción desde el levantamiento de la información más relevante hasta la validación y aprobación que

marcan la pauta para concluir el proceso del trabajo realizado.

Finalmente, en los capítulos V y VI se podrá encontrar los resultados obtenidos después del desarro-

llo de trabajo de grado, las conclusiones técnicas y personales que surgieron sobre el desarrollo y

las recomendaciones enmarcadas en la visión global propuesta en el capítulo II entregadas por el

autor que continúen la modalidad de proyectos en la universidad.


Página 2

I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO

1. Oportunidad, Problemática, Antecedentes

1.1 Descripción del contexto

Para iniciar es importante mencionar que en la actualidad la tecnología ha estado creciendo de for-

ma rápida y contundente, con el propósito de mejorar la experiencia e interacción de esta con el

usuario. Para ello se han venido desarrollando tendencias tecnológicas que brindan diferentes tipos

de servicios con los cuales se satisfacen las necesidades de cómputo en la sociedad, por medio del

internet. [Carpena M, 2009]

Este crecimiento de aplicaciones y herramientas tecnológicas han dado paso a Cloud Computing o

―Computación en la nube‖, un concepto novedoso que se ha venido utilizando en diferentes aplica-

ciones como Second Life, las redes sociales o páginas que venían aplicando WEB 2.0.

Cloud Computing consiste en permitir el uso de aplicaciones o servicios por medio de la nube, para

el uso cotidiano de empresas o cualquier tipo de usuario. Esto nos lleva a considerar Cloud Compu-

ting como la evolución de WEB 2.0, en la que empresas y usuarios acceden a sus cuentas desde

cualquier lugar operando sin instalar dispositivo alguno. Aunque este nuevo modelo no parece una

novedad tan impresionante como normalmente lo catalogan, Cloud Computing es un caso especial,

pues facilita aplicaciones, los servidores en donde se almacena y ejecuta la información para que

estas funcionen [Fernández J, 2009]. También se caracteriza por el acceso de forma compartida a la

información que se encuentre sobre la nube, para lo cual encontramos ejemplos como Amazon EC2

o Google Apps que proveen aplicaciones de negocio desde un navegador, mientras que el software

y los datos son almacenados en Servidores manejados por ellos mismos.

A pesar de las muchas ventajas que se pueden encontrar en Cloud Computing como los bajos cos-

tos, oportunidad corporativa de crecimiento para las empresas o acceso desde cualquier lugar por

parte de los clientes, se han detectado desventajas en aspectos fuertes como la seguridad y privaci-

dad, pues se encuentran muchos vacíos que pueden llegar a ser costosos para cualquier empresa que

use servicios en la nube en caso de no ser manejados a tiempo [Areitio & Mail, 2010]. Además no


Página 3


se tiene conocimiento que Cloud Computing cuente con algún estándar que dé un control interno a

todo lo que se maneja debajo de lo que ven los usuarios.

1.2 Formulación del problema que se resolvió

Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y madu-

ración en Colombia [Toro C, 2009], se enfoca en generar servicios estandarizados que puedan res-

ponder a las necesidades de negocio que tenga cada organización, de forma flexible y adaptativa sin

necesidad de poseer un conocimiento previo sobre el manejo del modelo.

Actualmente, esta tendencia tecnológica se compone de dos actores principales que son los provee-

dores quienes ofrecen los servicios a la medida del negocio y los usuarios que son aquellos que

toman los servicios según los necesiten. Estos primeros, permiten a los usuarios el aumento de ser-

vicios basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues

los proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exi-

gencias del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago

por consumo que resulta más asequible para las empresas y de menos perdidas. [Millet D, 2010]

Ahora bien, cada uno de los servicios que desee el usuario en Cloud Computing requiere que la

empresa cliente brinde toda la información, requerimientos y especificaciones que permitan al pro-

veedor realizar dicho trabajo dependiendo del servicio que se requiera. La información no solo será

utilizada para la elaboración de las aplicaciones o para el manejo de la infraestructura a través de un

navegador, sino que también se puede dar el caso que una empresa almacene información de cual-

quier nivel de importancia en la Cloud.

Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se

maneja la información de una organización [Aguilar L, 2009]. Es en ese punto donde se debe mane-

jar un concepto bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad

para todo tipo de usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve in-

quietante conocer cuáles son las medidas de control en la Cloud, los lineamientos de seguridad ma-

nejados por las empresas proveedoras del servicio y la forma en que los aplican, pues es muy poco

lo que se conoce acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta

hace poco tiempo abrió las puertas a este modelo de servicios.


Página 4

A partir de lo anterior surgió la siguiente inquietud, la cual se pretendió solucionar con el desarrollo

del presente trabajo de grado:

¿Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa provee-

dora del servicio de Cloud Computing?

1.3 Justificación

El Trabajo de Grado tiene como propósito brindar una herramienta que facilite la toma de decisio-

nes de una empresa (Pyme) en cuanto al mejoramiento de tareas, actividades, procedimientos sobre

Cloud Computing para alcanzar una mejor calidad de procesos, reducción de costos y aumento de

ganancias. Para ello es necesario evaluar de forma detallada cada tarea, actividad y proceso que

permita dar siempre un mejor servicio a los clientes, profundizando en cada aspecto del modelo, las

ventajas y desventajas, los lineamientos de seguridad para la información establecidos por los pro-

veedores, entre otro tipo de detalles que permitan mejorar en el servicio. Además se debe tener en

cuenta en todo momento que los controles a las empresas, permiten evaluar la eficiencia y eficacia,

evitar problemas grandes dentro de estas y lograr un progreso si se realizan correctamente las labo-

res, por lo que una guía que tenga las bases fuertes y necesarias para controlar este modelo de servi-

cios, hace de este trabajo de grado una herramienta bastante interesante para la industria tecnológi-

ca.

Por otro lado también se estaría generando una gran contribución a dos de las problemáticas que la

Pontificia Universidad Javeriana pretende atacar, las cuales son:

El poco aprecio de los valores de la nacionalidad y la falta de conciencia sobre la identidad

cultural

La deficiencia y la lentitud en el desarrollo científico y tecnológico.

El aporte se estaría brindando ya que la guía metodológica es una herramienta que busca apoyar las

pequeñas y medianas empresas colombianas que son el símbolo del progreso y crecimiento en un

país lleno de emprendedores, fortaleciendo el aprecio por el talento y los valores nacionales que

hacen grande al país. Desde otro punto de vista, se contribuye al crecimiento y progreso de este tipo

de empresas que han sido las principales beneficiadas con la llegada de este modelo de servicios al


Página 5


país, el cual aunque es relativamente nuevo ha generado bastantes ventajas competitivas dentro de

las organizaciones, que serán fortalecidas con el apoyo de la guía creando mayor eficiencia y opor-

tunidades de crecimiento tecnológico nivel nacional.

1.4 Impacto Esperado

Los impactos que se establecieron a partir de este trabajo de grado son los siguientes:

El impacto académico personal, el titulo como Ingeniero de Sistemas del autor que conce-

de la Pontificia Universidad Javeriana.

El impacto académico general, será la implementación de esta guía por parte de las Pymes,

con el propósito de ofrecer control y aseguramiento en los servicios de modelo de Cloud

Computing, el cual actualmente muchas empresas se están vinculando como parte del cre-

cimiento en sus respectivas organizaciones.

2. Descripción del Proyecto

2.1 Visión global

La elaboración de este documento de trabajo de grado, fue orientado hacia la definición de una guía

metodológica que abarcara el tema del control y aseguramiento de información y activos de un

usuario en el modelo tecnológico de servicios Cloud Computing, el cual se encuentra en una etapa

de creciendo y maduración en las pequeñas y medianas empresas de Colombia.

La guía metodológica elaborada consta de un análisis a las empresas proveedoras y clientes del

servicio, un análisis de requerimientos orientado hacia el control y aseguramiento del modelo de

servicios, los cuales fueron profundizados y desarrollados en la elaboración de la guía.

Teniendo en cuenta que no se cuenta con mucho material acerca de control y aseguramiento de un

modelo de servicios tan novedoso como este, se realizaron una serie de encuestas basadas en el

documento [Alliance, C.-C. S., 2009], que permitieron plantear algunos requerimientos. La encuesta

fue realizada a profesionales en el área de TI en empresas Pymes, y su resultado fue validado antes

de entrar en el desarrollo de cada uno de los requerimientos encontrados.


Página 6

De acuerdo con el análisis realizado a las empresas, el levantamiento de información y los requeri-

mientos establecidos, se dio inicio y desarrollo a la elaboración de la guía metodológica, la cual al

ser finalizada contó con dos mecanismos de validación previamente analizados, para contar con la

aprobación y opinión de las personas interesadas en el tema que se desarrollo en este trabajo.

2.3 Objetivo general

Construir una Guía Metodológica de control y aseguramiento en Cloud Computing que evalúe la

eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en medianas

empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la gerencia en

beneficio de sus empresas.

2.4 Objetivos específicos

Hacer un levantamiento de información referente a la construcción de una Guía Metodoló-

gica, los lineamientos de uso y manejo de servicios en la nube por parte de proveedores,

estándares de uso de Cloud Computing y de controles en TI.

Establecer una caracterización de las empresas involucradas en el entorno de Cloud Com-

puting (Proveedoras y Clientes), haciendo énfasis en Pymes colombianas y su visión frente

al modelo de servicios.

Definir los requerimientos necesarios de las en torno al control y aseguramiento de Cloud

Computing para las Pymes, a partir del análisis de la información obtenida en el marco teó-

rico, la caracterización de las empresas.

Construir una guía metodológica de control y aseguramiento enmarcado en los aspectos re-

levantes de Cloud Computing, los requerimientos del servicio, el control y la seguridad de

activos, para evaluar la eficiencia y efectividad en los procesos del negocio en las empre-

sas.

Encontrar un mecanismo por el cual se valide la Guía.

Implementar mecanismo de validación y aprobación a la guía metodológica.

Ejecutar un proceso de refinamiento y control de calidad en el que concluya con éxito la

última versión de la Guía Metodológica.


Página 7


Como se podrá ver más adelante, estos objetivos están relacionados directamente con cada una de

las fases de la metodología planteada para el desarrollo del trabajo de grado, y es precisamente esta

relación la que permitió tener un mayor control y seguimiento del cumplimiento de actividades y

objetivos planeados para cumplir el objetivo principal del trabajo.

2.5 Método que se propuso para satisfacer cada fase metodológica

Aunque no se propuso de forma explícita algún método para satisfacer cada fase metodológica, se

puede observar tanto en la ilustración de la metodología como en el argumento de los objetivos

específicos, que se manejo un método secuencial de tal forma que no se omitiera ninguna fase u

objetivo del trabajo y que se cumplieran todas las actividades establecidas para cada fase.


Página 8

II –POST-MORTEM

1. Metodología Realizada

La metodología que se había propuesto para llevar a cabo en el desarrollo del trabajo de grado se

encontraba dividida en 7 fases que se aplicarían de forma secuencial desde el inicio hasta el final, a

excepción de la fase de Aprobación de la guía metodológica que se aplicaría antes, durante y des-

pués del desarrollo de la guía con el propósito hacer un seguimiento de la calidad y validez del pro-

ducto final.

Ilustración 1 - Metodología Realizada

Levantamiento de Información

Caracterizacion de las empresas

Establecer Requerimientos de Empresas

Elaboracion de la Guia

Metodologica

Definir el mecanismo de

Validaciòn y aprobaciòn

Aprobación de la Guía

Metodológica

Control de Calidad y

Refinamiento


Página 9


Finalmente se concluye que la metodologia propuesta fue aplicada de forma satisfactoria, pues la

realidad muestra que se fue fiel al plan propuesto , con todo lo que esto incluye (actividades,

presupuesto, etc.) lo cual generó el éxito que se esperaba en la culminacion del trabajo.

2. Actividades propuestas vs. Actividades realizadas.

Finalizado el trabajo, se puede manifestar que las actividades propuestas fueron suficientes para la

elaboración del trabajo de grado. Sin embargo, después de hacer un analisis mas profundo de las

actividades que se habian propuesto, se observó que muchas de las actividades expuestas iban

implicitas en el desarrollo total del documento. Este caso se puede ver en actividades de la

elaboracion de la memoria y la creación de la pagina Web del documento de la propuesta. ―Anexo

2. Actividades TG‖

3. Efectividad en la estimación de tiempos del proyecto

La estimación del tiempo para el desarrollo del proyecto, fue planteado con una exactitud que

permitiera el cumplimiento de las actividades y de las fases de la metodología en general. No

obstante se presentaron casos en los que hubo variaciones del tiempo estimado con algunas

actividades que tomaron más tiempo de los esperado que se compesaron con otras que tomaron

menos tiempo de lo que se habia determinado. De acuerdo con esta situación, se identificaron 3

diferentes momentos en la elaboracion de las actividades que se determinaron de la siguiente

manera:

1. Actividades que tomaron más tiempo: El establecimiento de los requerimientos fue la

actividad que más tomo tiempo, pues desde el momento en el que se propuso como una

actividad de gran relevancia para el desarrollo del trabajo, había claridad de que no se

contaba con un requerimiento pre establecido lo cual originó la necesidad de encontrar un

mecanismo para poder establecerlos. Dicho mecanismo fue la de realizar encuestas para

poder establecerlos, en alianza con el levantamiento de informacion del marco teorico y la

caracterizacion de las empresas.

2. Actividad de estimación correcta: El levantamiento de información fue la actividad mas

precisa en cuanto al tiempo estimado, lo cual se presentó gracias a que se tenia


Página 10

conocimiento del material y las posibles fuentes en donde se encontraría la información

adecuada para el desarrollo del trabajo.

3. Actividad que tomó menos tiempo del estimado: La elaboración de la página WEB, que

además de ser necesaria brindó un aporte de conocimiento adicional que no se tenía antes

de realizarla, como el manejo de algunos programas para su elaboración.

4. Costo estimado vs. Costo real del proyecto

4.1 Presupuesto

RECURSOS FISICOS Y SERVICIOS

ITEM CANTIDAD VALOR TOTAL

Transporte 73 $1600 $116.800

Servicios 2 $50.000 $100.000

Papelería e Impre-

sión

2 $30.000 $60.000

Diseño Pagina Web 1 $420.000 $420.000

CD 3 $1000 $3000

Subtotal $699.800

RECURSOS HUMANOS

Persona Horas de

Trabajo por

semana

Semanas Precio por hora Total

Pablo Andres

Hidalgo Lara

20 17 $30.000 $10’200.000

Freddy Vargas

Blanco

1 17 $50.000 $850.000

Subtotal $11’050.000

PRESUPUESTO

Recursos Físicos y Servicios $699.800

Recursos Humanos $11’050.000


Página 11


TOTAL $11’749.800

Tabla 1 - Presupuesto Total Propuesto

Después de haber realizado el trabajo en su totalidad se pudo observar que hubo errores en la

estimación propuesta pues el valor total fue menor al estimado en un 20%.

Dicha reducción se dió con base a una mala estimacion en las horas de trabajo por semana por parte

del autor, en la elaboración del proyecto ya que no se contenplaron diversas situaciones que se le

presentarían a la persona.

5. Efectividad en la estimación y mitigación de los riesgos del pro-

yecto.

Es importante observar para este punto que dentro de la propuesta no se hizo un planteamiento

explícito de los posibles riesgos que se pudiesen generar con la elaboración del proyecto. Sin em-

bargo, aunque no estaban planteados dentro del documento si se habían identificado, con el propósi-

to de poder llevar a cabo algún plan de contingencia en caso de que se materializaran. Los riesgos

identificados fueron:

No cumplimiento de los tiempos planeados en la elaboración de la guía, por parte del autor

o del director de trabajo.

Cambiar parcial o totalmente la metodología planeada, pues esto genera un cambio para to-

do el proceso.

No entregar el trabajo de grado de acuerdo al cronograma, por estimación en tiempo, cos-

tos, elaboración del trabajo o pruebas finales.

No contar con el apoyo de las Pymes o de personas que puedan ser importantes para el de-

sarrollo del trabajo.

No contar con el permiso de manejar información confidencial o crítica de las empresas.

Afortunadamente en ningún momento durante el desarrollo de la guía de materializaron alguno de

estos riesgos, por lo cual no se tuvo que llevar a cabo ningún plan de contingencia.

Respecto al último riesgo planteado, se manejaron acuerdos directos para hacer uso adecuado de la

información confidencial de las empresas visitadas en la fase de caracterización de empresas, pues


Página 12

esta es una regla o directriz general para el personal interno y externo a la empresa. Sin embargo, no

se contó con la misma fortuna para la empresa en la que se hizo la validación de la guía, por la falta

de tiempo que se tenía y la disposición de algunas personas dentro de la empresa.

III - MARCO TEÓRICO

1. Marco Contextual

Tal como se puede observar en [Ayala, 2011], la opción de tener una gran cantidad de servidores

robustos que faciliten el almacenamiento de información sin límite y de permitir acceder a esta des-

de cualquier lugar y en el momento que se desee hoy en día es toda una realidad.

Cloud Computing es un sistema que ofrece servicios de cómputo a través de una infraestructura

distribuida en la red y que se comparte entre sus clientes, lo cual les reduce la preocupación en cos-

tos de hardware o software. Este tipo de características son llamativas para las empresas pues les

permite reducir costos mejorar los procesos que manejan, gestionar todo desde internet entre otras

ventajas.

Por otro lado también se encuentran algunos desafíos regulatorios en temas como privacidad y

seguridad, pues es complicado entender que la oficina no tenga una ubicación física y tangible sino

una ubicación lógica que pueda estar fuera de la jurisdicción del propio usuario. [Noticintel, 2010].

2. Marco Conceptual

2.1 Fundamentos Cloud Computing

A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los

desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y asegura-

miento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite

que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confu-

so para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofre-


Página 13


cer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actuali-

dad.

2.1.1 ¿Qué es Cloud Computing?

Uno de los temas más confusos que rodean a Cloud Computing ―Computación en la nube‖, y sus

servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar

con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología

(NIST) y La Alianza de Seguridad De Cloud Computing [Mell, P. & Grance, T, 2009], quienes

definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool

compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se

describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápi-

damente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del

proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es

compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que

usan ahora tienen la opción de pagar por servicios de TI en una base de consumo.

La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en

los últimos años como las novedades más influyentes de las empresas:

SaaS o Software como un Servicio: Un modelo de distribución de software a través de la

red.

Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesa-

miento y almacenamiento como un servicio medible.

Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos

(Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no

que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sis-

temas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el

que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada.

Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los

suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello

puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara

al usuario, permite trabajos que son implementados y escalados de forma rápida a través de la ce-


Página 14

sión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la

asignación de tareas cuando sea necesario, entre otro tipo de funciones.

2.1.2 Características Esenciales

En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios

pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias

de computación, estas son:

Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es

decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita

medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capa-

cidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que

estar interactuando con su proveedor de servicios.

La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de inter-

net por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación

entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da

una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente.

Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las

plataformas conectándose a internet

Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando

recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma

máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en

común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del

hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independien-

temente de la disposición física de estas. Algunos de los recursos computacionales en las reservas

son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc.

Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibili-

dad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usual-


Página 15


mente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden

adquirirse en el momento y cantidad que se necesite.

Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del

cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso

de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente.

Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir

frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplica-

ciones, toda la información es almacenada de forma redundante en backups que se utilizarían en

algún caso de fallo.

2.1.3 Modelos de Servicio en la Nube

Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra

tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma

individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente

se conoce también como el ―Modelo SPI‖, donde cada sigla de la palabra hace referencia a las capas

de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio).

A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara

[Gutiérrez J, 2010]:

Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009]


Página 16

Software as a Service (SaaS)

Es un modelo de distribución de software en el que la empresa proveedora aporta el servi-

cio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es

decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en

una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura

de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede

hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navega-

dor web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicacio-

nes y comparten recursos, por lo cual es evidente que dichos programas deben tener las

condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número

de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcio-

namiento de esta capa:

Ilustración 3 Funcionamiento de SaaS [Parallels, 2011]

Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o apli-

caciones que son suministradas por una empresa externa, que a su vez compra los programas nece-

sarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible

con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Com-

puting hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos apli-

caciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de

software a través de la red.


Página 17


Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J,

2010]:

Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o aplica-

ción en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplica-

ción e implementa su propia instancia, en el mismo servidor en la que lo aloja.

Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación, cuen-

tan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el

mantenimiento del software.

Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para

todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplica-

ción se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación

e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instan-

cia con la cual trabajar, así como reducción de costos y espacio para disponer de almace-

namiento suficiente para todas las instancias, como sucedía en los casos anteriores.

Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la

aplicación que se utiliza según las necesidades, dando atención al número de clientes que

estén usando el software, de esta forma el sistema se hace escalable a un número indetermi-

nado de clientes evitando tener que rediseñarlo.

Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010]


Página 18

Platform as a Service (PaaS).

El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este

podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener

que contar con el software y equipos necesarios para realizar dicho desarrollo.

PaaS incluye todas las facilidades al programador para diseñar, analizar, desarrollar, docu-

mentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el ser-

vicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups

y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos.

[Gutiérrez A, 2009]

Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración

Ilustración 5 ¿Que es PaaS? [Keene, 2009]

Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene,

2009]:

Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo.

Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa provee-

dora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los

usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.


Página 19


Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el

sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando

la escalabilidad del sistema.

El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.

El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual propor-

ciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo.

El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcio-

nadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el

sistema.

Tal cual como en los demás modelos ―como un Servicio‖, las ventajas se basan en no tener que

hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo

de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabili-

dad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando

por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad.

Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de inter-

net, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo

por parte de los clientes de no tener acceso a su propia información o de que personas ajenas

tengan acceso a esta de alguna u otra forma.

Infrastructure as a Service (IaaS).

El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a

través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y

equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el

funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos

de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la canti-

dad de espacio que esté usando, el número de servidores que estén a su disposición, etc.

Dentro de las principales características del modelo IaaS, encontramos:

Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cua-

les serán las condiciones del contrato para ambos.


Página 20

Pago según el uso de capacidades computacionales ofrecidas por el proveedor.

El ambiente proporcionado por el proveedor será en forma de maquinas virtuales.

El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las ne-

cesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones

El proveedor se encargará de ofrecer todo el software requerido para mantener las nece-

sidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas opera-

tivos, etc.

El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet

sin problemas, con backups de seguridad que garanticen la integridad de los datos.

Data Storage as a Service (DaaS).

El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión

y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión

con IaaS, [SNIA, 2009]

Communications as a Service (CaaS).

La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el

mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento ne-

cesario de redes y la gestión de las comunicaciones, como el balanceo de carga.

Software Kernel.

Esta capa gestiona la parte física del sistema. Controla los servidores a través de los siste-

mas operativos instalados, el software que permite la virtualización de las máquinas, la ges-

tión de los clusters y del grid, etc. [Wolf, 2009]

Hardware as a Service (HaaS).

HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física

de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros

con maquinas que ofrecen la computación, almacenamiento, servidores, etc. [Wolf, 2009]


Página 21


2.1.4 Modelos de Despliegue de Cloud Computing

Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de desplie-

gue de Cloud Computing [Mell, P. & Grance, T, 2009]:

Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para

los clientes por medio del proveedor a través de internet. El ser pública no implica total-

mente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco

implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones

para hacer uso de los servicios suministrados, además proporciona un medio flexible y ren-

table para el desarrollo de soluciones para los clientes.

Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La dife-

rencia entre ambas se encuentra es que en la privada los datos y procesamientos están ad-

ministrados dentro de la organización sin las restricciones del ancho de banda, seguridad y

requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la

posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la segu-

ridad y la recuperación.

Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organi-

zaciones que comparten los mismos intereses, como una misión común o necesidades de

seguridad similares.

Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la

privada.

Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009]


Página 22

2.1.5 Modelo de Referencia de Cloud Computing

Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la rela-

ción y las dependencias entre los modelos de la nube. Aunque en la sección 3.1.3 (Modelos de Ser-

vicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre

se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observó es la base de

todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por

se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo

este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan

diversas cuestiones y riesgos que se relacionan con la seguridad de la información.

La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plata-

formas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad

de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última

instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes

formas en las cuales el cliente interactúa con el servicio.

Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009]


Página 23


Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integra-

ción con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y

puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a

la plataforma.

Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operati-

vo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido

un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y diná-

mico por parte de los clientes.

A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos

elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren.

Dentro de esta lista de elementos encontramos [Alliance, 2009]:

SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor ex-

tensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del pro-

veedor.

Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja

integración ya que está desarrollada para que los desarrolladores elaboren sus propias apli-

caciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, com-

pensando así entre capacidades de plataforma con funciones de seguridad.

Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibi-

lidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad

menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias

aplicaciones, sistemas operativos, etc.

2.1.6 Ventajas de Cloud Computing

Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta

con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encon-

trado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:

El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es

necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su


Página 24

casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento,

pues estos se encuentran en internet.

Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de

servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.

Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número

de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales,

con un gasto lógico de software, hardware o personal.

Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten

todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno

según la actividad que tenga en cada momento, evitando la escasez de recursos incluso

cuando se están haciendo tareas de actualización o mantenimiento.

El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de in-

formación por fallos del sistema.

La premisa de Cloud Computing es que por la subcontratación de partes de la información ges-

tionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos,

incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad

operacional de manera más inteligente, más rápida y más barata.

2.1.7 ¿Cómo Cloud logra aportar estas ventajas?

Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:

Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por

medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar

toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea

requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las ma-

quinas necesitan realizar para realizar dicha actividad.

Rápida movilización de los recursos: los recursos computacionales (servidores, redes,

software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible in-

cremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario


Página 25


para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posi-

ble ya que todo uso de los recursos de Cloud Computing es totalmente medible.

Capacidad de ―escalado elástico‖ atiende y gestiona la demanda fluctuante que se genere en

las empresas, de tal manera que los sistemas siempre estarán aptos para la cantidad de usua-

rios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones

o espacios de almacenamiento.

Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único

grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar vir-

tualmente los recursos computacionales por los cuales está pagando el servicio en el mo-

mento que este lo requiera.

Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un

catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de

servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes

y las formas debida de uso del servicio al cual esta accediendo.

Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de

Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente ten-

ga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del

tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus ne-

cesidades.

2.2 Impactos De Cloud Computing

Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas

de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera

opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está

revolucionando el mundo de los servicios por la transformación de la informática en una herramien-

ta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibi-

lidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de informa-

ción. La frecuente influencia e innovación de Internet ha permitido que la computación en la nube

utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas

tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de

que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de


Página 26

innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el

cliente.

Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura,

Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye

la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo

que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010].

Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un

modelo bajo demanda.

Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmen-

te atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT

haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también

se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como

estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta depen-

dencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto

que reconocen que los cambios son necesarios para ampliar los enfoques de gobernanza y estructu-

ras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio.

Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta

rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad

de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto poten-

cial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el

dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha

tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya

no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una

mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud

Computing y el entorno de control

Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una

empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto


Página 27


ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing,

así como los servicios que puede ofrecer al mayor beneficio.

2.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing

Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuen-

tra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuen-

tra protegida es de vital importancia tener previstas acciones contundentes para la gestión de ries-

gos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los ad-

ministradores de la de seguridad de la información puede que necesiten ajustar las políticas de em-

presa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de nego-

cios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas

partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo

utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer

frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las

políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de

los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son:

Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y

sostenibilidad deben ser factores para considerar en el momento de la elección. La sosteni-

bilidad es de una importancia particular para asegurar que el servicio estará disponible y la

información puede ser vigilada.

El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la

información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados

de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibili-

dad, afectando gravemente las operaciones del negocio.

La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se en-

cuentra realmente la información. Cuando la recuperación de la información se requiere, es-

to puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se en-

cuentra almacenada.

El acceso de terceros a información sensible crea un riesgo que compromete la información

confidencial. En Cloud Computing, esto puede provocar una amenaza significante para

asegurar la protección de la propiedad intelectual y secretos comerciales.


Página 28

La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles

de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos.

La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros

clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el

cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográ-

ficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente le-

gal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurí-

dico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la

nube es responsable y responsable de las ramificaciones derivadas de posibles problemas.

Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inme-

diatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación

de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing

debe comprender el rol que juega en términos de backups, respuesta y recuperación de inci-

dentes. Los objetivos de tiempo de recuperación deben estar en el contrato.

2.3.1 Estrategias para el manejo de riesgos en Cloud Computing

Estos riesgos, tan bien como otros que una empresa puede llegar a identificar, deben ser gestio-

nados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemen-

te flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entor-

no donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el

acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando

uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un in-

ventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y

clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo

de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y

los controles adicionales de información sensible o de alto valor para la organización.

A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Com-

puting, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegu-

rar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta

con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la ex-


Página 29


pectativa de un control externo, un tercero. Las expectativas respecto a la manipulación, uso,

almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos,

2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desas-

tres, deberá estar informado dentro del contrato.

La protección de la información evoluciona como resultado de un fuerte e integro SLA que es

apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y deta-

llado SLA que incluya derechos específicos de seguridad ayudará a la empresa en el manejo de

su información una vez que sale a la organización y es transportada, almacenada o procesada en

Cloud Computing.

2.3.2 Gobernabilidad y Cuestiones de Cambio con Cloud Computing

La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se con-

sidera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios

que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para ga-

rantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de

negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está

alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío

en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas

de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, de-

finición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones es-

peciales cuando se trata de la tecnología de Cloud y sus proveedores.

Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten es-

tar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales

como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas

posibles de cambio. Además, los procesos que detallan la forma en que se almacena la informa-

ción, archivado y copia de seguridad tendrán que ser examinados de nuevo.

Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las

situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a


Página 30

pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube.

Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuen-

ta los usos de servicios en Cloud Computing.

2.4 COSO - Committee of Sponsoring Organizations

Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commis-

sion, divulgo al mundo un informe de gran importancia para la historia del control interno. El Con-

trol Interno — Marco Integrado, conocido también como COSO ofrece una base clara y fundamen-

tal que establece los sistemas de control interno y determinar su eficacia.

Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública

Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al Sistema de

Control Interno que fueron determinadas en la Ley 24.156 de Administración Financiera y Sistemas

de Control.

En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida

para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN

dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que

evalúe la calidad de los controles.

COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de

la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control

interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la orga-

nización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se in-

corporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de

control interno COSO, los objetivos primarios de un sistema de control interno son:

1. Asegurar la eficiencia y eficacia de las operaciones

2. Realizar informes financieros fiables

3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.

Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales

dentro de un sistema de control interno eficaz.


Página 31


El Entorno de Control

Evaluación del Riesgo

Actividades de Control

Información Y Comunicación

Supervisión

Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias,

2008]

Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado,

examinar los componentes del sistema de control en la organización e informar los resultados a la

dirección o la gerencia.

Definición de objetivos.

Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe

tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría

al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El audi-

tor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de prime-

ro. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta


Página 32

en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque

genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de en-

foque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro pro-

yecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea

claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles

que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo

de auditoría que sea más apropiado.

Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la

eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxi-

to de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el re-

sultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones

determina si se puede asegurar a la organización la no existencia de ineficiencias significa-

tivas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmen-

te brinda información útil que se comunica a la gerencia y a los auditores como hallazgos

incidentales en la evaluación del control.

Información financiera. El objetivo de información financiera, está dirigido a la adecuación

y eficacia de controles de gestión que rigen la confiabilidad de la información financiera

que se utiliza en la comunicación con externos.

Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles ad-

ministrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e in-

ternos. El cumplimiento trata principalmente con la correlación entre las leyes, procedi-

mientos de la organización y, la práctica real.

2.4.1 COSO II – Gestión de Riesgos Corporativos (ERM)

El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revi-

sado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco inte-

grado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque


Página 33


adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso

de ser adoptada por las grandes empresas.

En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base funda-

mental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la ausencia

de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante

el intento por aumentar el valor de sus clientes o interesados.

La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o

disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia

trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad

de aumentar valor.

Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre

los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el

valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos

por la entidad.

La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]:

Alinear el riesgo aceptado y la estrategia

o Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, de-

terminando los objetivos requeridos y empleando mecanismos para administrar al-

gunos riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos

o La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar

los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar,

reducir, compartir o aceptar.

Reducir las sorpresas y pérdidas operativas


Página 34

o Las organizaciones aumentan la capacidad de identificar los acontecimientos po-

tenciales con el propósito de establecer respuestas acordes a su nivel de compleji-

dad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asocia-

dos.

Identificar y gestionar la diversidad de riesgos para toda la entidad

o Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra

forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser

eficaces e integradas a los impactos que se puedan dar en estos riesgos.

Aprovechar las oportunidades

o Considerando eventos potenciales, la gerencia identifica y aprovecha las oportuni-

dades proactivamente, para poder sacarle valor a sus actividades.

Mejorar la dotación de capital

o Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficaz-

mente las necesidades de dinero lo cual le facilita la administración del mismo.

Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la

entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz,

el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus conse-

cuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a lle-

gar al destino deseado, evitando baches y sorpresas por el camino.

De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los ries-

gos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el

siguiente conjunto de características básicas de gestión de riesgos dentro de una organización:

Normalmente se comporta como un proceso continuo que fluye por toda la organización.

Todo el personal de la organización está en la capacidad de aplicarlo.

Se aplica en el establecimiento de la estrategia de control y gestión de riesgos.


Página 35


La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a

nivel conjunto.

Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los

riesgos que se encuentran aceptados.

Ofrece seguridad al consejo de administración y a la dirección de la organización.

Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque suscep-

tibles de solaparse.

La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte

de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las

organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos

establecidos por una entidad determinada y proporciona una base para definir la eficacia de la ges-

tión de riesgos corporativos [Nasaudit, 2009].

Comparación del Control Interno de COSO y del Marco Integrado ERM

Marco de Control Interno Marco integrado ERM

Control del Entorno: El ambiente de con-

trol establece el tono de una organización,

influenciando de esta forma la conciencia de

control de su gente. Esta es la fundación para

todos los otros componentes de control inter-

no, proporcionando disciplina y estructura.

Los factores del ambiente de control incluyen

la integridad, valores éticos, estilo de gestión

de funcionamiento, delegación de los siste-

mas de autoridad, así como los procesos de

gestión y desarrollo de personas dentro de la

organización.

Entorno interno: El entorno interno abarca

el tono de la organización, y establece las

bases de cómo el riesgo es observado y di-

reccionado a las personas de la entidad, in-

cluyendo la filosofía en gestión de riesgos y

apetito de riesgo, integridad y valores éticos,

y el entorno en el cual todos operan.

Marco del objetivo: Los objetivos deben

existir antes de que la administración pueda

identificar eventos potenciales que lo afecten.

La gestión de riesgos empresariales asegura


Página 36

que la administración ha puesto en ejecución

un proceso para establecer objetivos y que

los objetivos seleccionados apoyan, se ali-

nean con la misión de la entidad y que sean

consistentes con el apetito de riesgo.

Identificación de Eventos: Los eventos

externos e internos que afectan el logro de los

objetivos de la entidad deben ser identifica-

dos, distinguiendo entre riesgos y oportuni-

dades. Las oportunidades son canalizadas de

vuelta a la estrategia de gestión o los proce-

sos en los que se fijan los objetivos.

Evaluación de Riesgos: cada entidad mues-

tra una variedad y riesgos de fuentes que

deben ser evaluados. Una precondición para

la evaluación de riesgos es el establecimiento

de objetivos, y por tanto la evaluación de

riesgos es la identificación y análisis de ries-

gos pertinentes para la consecución de los

objetivos planeados. La evaluación de ries-

gos es un prerrequisito para la determinación

de cómo se deben gestionar los riesgos.

Evaluación de Riesgos: Los riesgos son

analizados, considerando la probabilidad y el

impacto, como bases para la determinación

de cómo se pueden gestionar. Las áreas de

riesgo se evaluaran de forma inherente y

formal.

Actividades de Control: Las actividades de

control son las políticas y procedimientos a

ayudan a asegurar que la gestión de las direc-

tivas se llevan a cabo. Ayudan a garantizar

que se toman las medidas necesarias para

hacer frente a los riesgos para la consecución

de los objetivos de la organización. Las acti-

Actividades de Control: Políticas y proce-

dimientos son establecidos e implementados

para ayudar a garantizar que las respuestas al

riesgo se lleven a cabo de forma efectiva.


Página 37


vidades de control acurren a lo largo de la

organización, en todos los niveles y todas las

funciones. Se incluyen una serie de diversas

actividades, aprobaciones, autorizaciones,

verificaciones, reconciliaciones, revisiones

del desempeño operativo, seguridad de acti-

vos y segregación de funciones.

Información y Comunicación: Los sistemas

de información juegan un papel clave en

sistemas de control interno que producen los

informes, incluyendo operaciones, Informa-

ción financiera y de cumplimiento que hace

esto posible para ejecutar y controlar el ne-

gocio. En un sentido más amplio, la comuni-

cación efectiva debe asegurar que la infor-

mación fluye hacia abajo, a través y hacia

arriba en la organización. La comunicación

efectiva debe estar también asegurada con las

partes externas, cada cliente, distribuidores,

reguladores y accionistas.

Información y Comunicación: La informa-

ción relevante es identificada, capturada y

comunicada en una forma y marco de tiempo

que la gente dispone para llevar a cabo sus

responsabilidades. La comunicación efectiva

también ocurre en un sentido más amplio por

toda fluyendo de abajo hacia arriba por toda

la entidad.

Monitoreo: Los sistemas de control interno

requieren ser monitoreados, Un proceso que

evalúa la calidad del desempeño del sistema

sobre el tiempo, lo cual se logra con activi-

dades de monitoreo o de evaluaciones sepa-

radas. Las deficiencias del control interno

detectadas a través de estas actividades de

monitoreo deberían ser reportadas en contra

de la corriente y las acciones correctivas para

asegurar la mejora continua del sistema

Monitoreo: La totalidad de la gestión de

riesgos es monitoreada y se realizan modifi-

caciones en caso de ser necesarias. El moni-

toreo es realizado a través de las actividades

de gestión en ejecución, las evaluaciones

independientes o ambas cosas.


Página 38

Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM

2.5 COBIT - Control Objectives for Information and related Technology

En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de

seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es

importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los

que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información.

Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe com-

prender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas.

[Domenech & Lenis, 2007]

Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus

siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración

determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos

técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y pre-

senta actividades de manejo lógico y sencillo. Estas ―Buenas prácticas‖ de COBIT tienen el aporte

de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan meca-

nismos medibles que permiten juzgar el buen resultado de las actividades. La gerencia debe garanti-

zar que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando so-

porte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique

si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de re-

cursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los

criterios del negocio que deben ser alcanzados:

Eficiencia

Efectividad

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad.


Página 39


El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es res-

ponsabilidad de la gerencia.

La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, dise-

ño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia re-

querida.

El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser

utilizado por usuarios, profesionales de seguridad en TI y los propietarios de los procesos de nego-

cio como una guía clara y entendible.

Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado

con los procesos de negocio tal como ofrecer controles apropiados.

COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el

cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa:

“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos,

los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una

forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pue-

den tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios:1

Planificación y Organización

Adquisición e Implementación

Entrega de servicios

Soporte y Monitorización.‖

1

[NetworkSec, 2008]


Página 40

Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]

La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de

información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado


Página 41


final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una

actividad de TI.

Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar

que se está aplicando un sistema de control apropiado para el entorno de tecnología de información

que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de

gobierno de TI más adecuada para administrar y mejorar el entendimiento de los riesgos, el control

y monitoreo, optimización de recursos en cada proceso y los beneficios que están relacionados con

información y la tecnología.


Página 42

IV – DESARROLLO DEL TRABAJO

La modalidad de investigación de este trabajo ha permitido obtener una experiencia bastante enri-

quecedora en la cual se han aprendido diversos temas de interés en el medio de la tecnología y

además el poder compartir con algunos organismos su posición frente a estos temas en la actuali-

dad. A continuación se presentará el desarrollo que se llevó a cabo en la realización de este trabajo,

exponiendo los entregables que hacen parte del trabajo de grado con el propósito de dejar por escri-

to y con gran claridad el proceso en la elaboración de dicho trabajo.

1. Caracterización de las empresas

La elaboración de este entregable de trabajo de grado, inicio con dos etapas diferentes de levanta-

miento de información. La primera, considerada como esencial para el desarrollo del trabajo ya que

incluía la visita a una empresa Pyme en la cual se obtendría información de primera mano para

complementar la información del marco teórico y además poder establecer la gestión que le estaban

dando a su servicio de Cloud Computing. La segunda forma era por medio de investigación en

fuentes bibliográficas de documentos, libros o artículos que aportaran a la elaboración de dicho

documento.

El levantamiento de información que se realizó a través de la visita fue interesante pero no causo

los resultados que se esperaban para el desarrollo de este entregable, ya que no se contó con toda la

información que aportara un valor agregado al documento. La visita se llevó a cabo en una empresa

de outsourcing de tecnología, en la cual se conoció información básica como la misión, visión, obje-

tivos de trabajo, e información muy reducida sobre la gestión del servicio de Cloud Computing que

tienen en el momento, debido a las normas de confidencialidad con las que cuenta la empresa y a

las cuales solo pueden acceder personal de la empresa. En base a esto se concluyó que la actividad

fue débil e improductiva, ya que mediante la visita no se logró esclarecer debilidades del modelo

que permitieran determinar de forma más sencilla los requerimientos de control y aseguramiento

que este tipo de empresas puede necesitar con el servicio de Cloud Computing.

Para la segunda etapa, el tema de búsqueda fue bastante claro lo cual permitió tener una clara orga-

nización de los temas que se tocarían dentro del documento. Por sugerencia de varias personas se

inicio la búsqueda con los proveedores del servicio, teniendo como premisa de búsqueda que los


Página 43


grandes proveedores de Cloud Computing cuentan con la información bien documentada acerca de

sus servicios en sus portales, lo cual podría facilitar encontrar las fuentes de investigación.

CLOUD COMPUTING

SAAS – SOFTWARE AS A SERVICE

Salesforce

Google Apps

Windows Live

PLATFORM AS A SERVICE

Google App Engine

Microsoft Azure

Force.com

INFRASTRUCTURE AS A SERVICE

Amazon Web Service


Página 44

GoGrid

Flexiscale

CLOUD STORAGE

Amazon Simple Storage Service (Amazon S3)

Nirvanix

Amazon SimpleDB

GESTORES DE CLOUD COMPUTING

OpenNebula

AbiCloud

Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Com-

puting, 2011]

Seguido de esto, se buscó información acerca de las empresas Pyme con caso de éxito en el país y

las necesidades que las llevan a tomar este servicio de Cloud Computing. Para iniciar, se realizó una

búsqueda de empresas colombianas con casos de éxito en la implementación de los servicios de

Cloud Computing en su negocio [Avanxo, 2011], sin embargo con esta información y con los servi-

cios que ofrecen los proveedores se pudo reforzar el desarrollo del documento. Además, se encontró

un documento adiciona [MesaSectorial, 2010], que permitió formalizar mucho mas la información

de los clientes de Cloud Computing.

http://www.google.com/imgres?imgurl=http://tctechcrunch.files.wordpress.com/nirvanix.png&imgrefurl=http://techcrunch.com/2007/08/07/nirvanix-to-challenge-amazon-s3/&usg=__eAiFoVR2pUKIgzCkPLHtU8XP7FM=&h=139&w=200&sz=15&hl=es&start=2&zoom=1&um=1&itbs=1&tbnid=PC9Bshh3kof2bM:&tbnh=72&tbnw=104&prev=/search?q=nirvanix&um=1&hl=es&lr=&sa=N&biw=1259&bih=590&tbm=isch&ei=VDi2Td7BF82jtgeNlP1y


Página 45


Adicionalmente, surgió una idea para darle mayor utilidad a la información que se tenía sobre los

proveedores y fue la de elaborar un cuadro comparativo, en el que se expusieran las características

de sus servicios, con el propósito de brindarle al lector y a las empresas una base para tomar deci-

siones en la selección del proveedor de Cloud Computing que cumpla las expectativas de su nego-

cio.

De esta forma se concluyó el primer entregable del trabajo de grado, el cual se constituye como

parte fundamental en el desarrollo de la guía y del trabajo en general pues aporta un valor agregado

que no se tenía previsto en la presentación de la propuesta.

2. Desarrollo de la Guía Metodológica

El desarrollo de la guía metodológica inició con la recopilación de los temas que se habían determi-

nado durante el marco teórico y el documento de caracterización de las empresas, pues fueron la

base para el desarrollo que se le daría a la guía. Al completar estas dos fases iniciales de la metodo-

logía de trabajo, se dio apertura a la tercera fase que era el establecimiento de los requerimientos de

control y aseguramiento.

Como no había una claridad de los requerimientos, se tomó como apoyo el documento de la CSA

[Alliance, 2009] para elaborar una encuesta que permitiera determinar los requerimientos de control

y aseguramiento. La encuesta fue realizada a personal de TI en empresas Pyme de Bogotá, por lo

cual fue más fácil identificar diferentes factores y elementos que giran en torno a los requerimien-

tos de control y aseguramiento en Cloud Computing como se puede ver a continuación: ―Anexo 3.

Encuestas‖

Escenario de Cloud Computing

Escenario de Control y Aseguramiento

Interacción entre escenarios

Actor Proveedor

Actor Cliente

Interacción dentro actores en el Control y Aseguramiento de Cloud Computing

Encuesta

Resultados


Página 46

Después de determinar los requerimientos, por sugerencia del director de trabajo de grado y de otras

personas se realizó una primera validación muy general sobre el proceso y los resultados obtenidos

para tener un control de calidad al contenido. De acuerdo al primer control, se corrigieron varios

detalles que estaban afectando la claridad de los requerimientos establecidos, los cuales después de

una segunda revisión ya no se encontraban.

De acuerdo con los requerimientos determinados para el desarrollo de la guía, se elaboró un dia-

grama que describe el nivel de profundidad que se quiso llegar con cada requerimiento. Es por eso,

que a continuación se puede observar el diagrama como unidad, involucrando todos los temas que

se tocaron, y además se puede ver que también se encuentra dividido en tres grandes secciones en

las que se separaron todos los requerimientos.

MAPA


Página 47



Página 48

Después de haber dejado claro el nivel de detalle en el que se desarrollaría la guía, se elaboró el

formato en el cual se establecería la completa descripción y documentación de cada uno de los re-

querimientos.

Paso Guía Control y

Aseguramiento

Objetivo

de Con-

trol

COBIT

Am

bie

nte

de

Con

tro

l

Ev

aluac

ión

de

Rie

sgo

Act

ivid

ades

de

Contr

ol

Act

ivid

ades

y

Co

mu

nic

a-

ció

n

Monit

ore

o

Referencias

Cruzadas

Comentarios

Tabla 4 - Formato de documentación de la Guía

Finalmente, se adicionó una sección con la cual se puede medir la madurez de la empresa en aspec-

tos de control y aseguramiento. Dentro de este formato se describen detalladamente los procesos u

objetivos de control de COBIT, a partir de los cuales se puede realizar la evaluación.


Página 49


Objetivos de Control de COBIT

Madurez

Evaluado

Objetivo

Madurez Comentarios

Tabla 5 - Formato de Control de Madurez

Al terminar el documento de la guía metodológica, se realizó una revisión de calidad y control ini-

cial con el propósito de entregar a los evaluadores un producto en condiciones óptimas. Estas per-

sonas realizaron su respectiva evaluación en donde se dieron unos comentarios de mejoras a la guía

para incluirlas en la versión final del documento. Para información ―Anexo 4. Validaciones‖

3. Mecanismos de Validación

En conformidad con la fase de definición de mecanismos de validación y aprobación para la guía,

se decidió realizar un breve análisis de las opciones con las que se el mecanismo más adecuada, que

se ajuste al tiempo que se cuenta para su realización.

Para hacer efectivo este análisis se revisará cada uno de los conjuntos de evaluación, de tal forma

que al finalizar este apartado acerca de los mecanismos de validación se tenga claro cual se va a

utilizar en la aprobación de la guía.

Mecanismos

Después de una revisión en varios escritos y trabajos, el ambiente en el que se desenvuelve el pro-

yecto, es decir, los escenarios [Hidalgo/Guía Metodológica de Control y Aseguramiento en Cloud

Computing para Pymes, 2011] en los que gira el trabajo y la modalidad de desarrollo del mismo, se

definieron tres posibles mecanismos de validación y aprobación para la guía metodológica. La pri-

mera se identifica por medio de la obtención de servicios en la nube de forma personal por parte del

autor y de esta forma poder analizar de forma personalizada el desarrollo final del producto, la se-

gunda es la opinión de expertos o conocedores del tema, y finalmente aplicar la guía metodológica a

un caso de estudio real es decir a una empresa (PYME) que actualmente cuente con los servicios de

Cloud Computing.


Página 50

1. Obtener los servicios de Cloud Computing directamente para evaluar la guía.

El desarrollo de esta posibilidad como se puede analizar en el titulo del mecanismo, resulta ser

interesante ya que pone de frente con la experiencia al autor de la guía metodológica, con el

propósito de evaluar su propio producto. A continuación se expondrán las ventajas y desventa-

jas de este mecanismo.

Ventajas

Genera más rigurosidad para que se evalúe de forma detallada la guía elaborada.

El autor puede tener una gran experiencia personal, no solo de tomar los servicios

de Cloud Computing sino de poder evaluar su propio producto

Amplia la visión del autor ante la investigación realizada en el levantamiento de

información para el marco teórico.

Se daría gran validez al apartado de caracterización de empresas, para la toma de

decisión sobre el proveedor que más convenga según las necesidades del cliente.

Desventajas

Se puede tornar extenso, pues es necesario contar con buena experiencia y cono-

cimiento del servicio de Cloud Computing que se haya tomado.

Teniendo en cuenta la extensión puede afectar el alcance del trabajo que está defi-

nido para un semestre académico.

El autor no cuenta con un negocio real o las necesidades de una pyme al momento

de tomar los servicios de Cloud Computing, por lo cual varios de los puntos de la

guía se verían afectado dentro de la evaluación.

El autor podría contar con el acompañamiento de una pyme para la toma del servi-

cio, pero esto implicaría la búsqueda de una pequeña o mediana empresa que aun

no cuente con el servicio, identificarla, analizar su negocio, sus necesidades y to-

marlas como propias para darle una mayor validez a los resultados.

Se podría contar con el acompañamiento de un conocedor en el tema (profe-

sionalmente activo), pero es complicado si el autor y el acompañante no cuenta

con el mismo tiempo disponible.

Genera un costo adicional al trabajo, que no ha sido tenido en cuenta en el de-

sarrollo de la propuesta


Página 51


2. Opinión de expertos

El desarrollo de este mecanismo de validación se realiza encontrando personas con el conoci-

miento y la experiencia necesaria sobre los temas desarrollados a lo largo de la guía como lo

fue en este caso, el cual brinde un punto de vista objetivo sobre el proceso que se llevo a cabo

y que evalúe teniendo en cuenta tanto el objetivo del trabajo como el valor que se desea gene-

rar por medio de este.

Ventajas

No genera ningún costo adicional al establecido dentro de la propuesta del tra-

bajo.

Puede generar varios puntos de vista favorables a partir de la cantidad de per-

sonas que hayan valorado la guía.

Se puede contar con el apoyo de la persona durante todo el proceso de elabo-

ración de la guía, lo cual puede aportar refinamiento al producto final.

La opinión está dirigida tanto al objetivo del trabajo como al valor agregado

que pueda generar en la actualidad el producto final.

No toma tanto tiempo, pues se cuenta con el conocimiento y la experiencia

necesaria para dar una opinión clara y concreta del trabajo.

Se ajusta al tiempo y alcance del trabajo.

Desventajas

Que la o las personas no cuenten con el tiempo disponible.

Que la persona determine que sea necesario obtener los servicios de Cloud

Computing de manera que se valide más detalladamente.

No encontrar a las personas a tiempo.

Aprobación teórica.

3. Aplicación a un caso de estudio real

EL desarrollo de este mecanismo es sencillo, pues se debe contar con una empresa (PYME),

que permita aplicar la guía metodológica, con el propósito de aprobarla de forma directa a un

servicio de Cloud Computing que esté utilizando la empresa.


Página 52

Ventajas

No genera un costo adicional a lo establecido dentro de la propuesta del traba-

jo.

El tiempo de aplicación no se debe extender a más de una semana.

Se toman en cuenta necesidades reales de una empresa (Pyme), para la co-

rrecta validación de la guía.

Se observa el valor agregado que brinda la guía a la empresa, después de

haberla aplicado dentro de la organización.

Da fortalecimiento a la validación y aprobación de la guía, pues en caso de ser

exitosa la experiencia, se demuestra que es un producto apto para ser utilizado

en las empresas (pyme).

Desventajas

No contar con el permiso de una empresa para aplicar la guía en su negocio.

Se debería contar con aprobación previa de una persona externa al desarrollo

de la guía, para aplicarla finalmente a una empresa en particular.

Disponibilidad de personal apto dentro de la empresa para hacer seguimiento y

desarrollo a la guía.

Decisión Final

Como se puede observar, hay varios mecanismos por los cuales se puede validar y aprobar el traba-

jo realizado, y aunque solo se hayan identificado tres se ha analizado los puntos a favor y en contra

de cada uno para poder tomar una decisión justa acerca del mecanismo que se decida utilizar.

Después de haber analizado cada mecanismo se ha tomado la decisión por realizar la aprobación

por medio de la opinión de un experto o conocedor del tema, ya que brinda ventajas suficientes para

la validación y aprobación de la guía sin afectar el alcance o los objetivos planteados en la propues-

ta. No obstante, se tendrá en cuenta la posibilidad de aplicar el tercer mecanismo de validación, lo

cual dependerá del tiempo con el que se cuente después de la respectiva validación por parte de una

persona experta o conocedora de los temas planteados en el desarrollo de la guía.


Página 53


4. Validación y Aprobación de la Guía Metodológica

De acuerdo al mecanismo establecido para la validación y aprobación de los guía, se determinó

darle aprobación tanto a los requerimientos como a la guía, pues era de gran importancia establecer

control y calidad del producto desde el inicio hasta el final del proceso. Para validar estos elemen-

tos del trabajo se contactaron las personas expertas, que cuentan con una visión más amplia de

Cloud Computing y de gobierno de TI, pues son áreas en las que han obtenido una amplia experien-

cia y conocimiento.

La ejecución de esta fase metodológica, incluyó una reunión con cada uno de los expertos, el direc-

tor del trabajo y el autor de la guía, en la que se realizó una presentación que contenía todo el desa-

rrollo del trabajo, desde su inicio hasta el momento de la reunión. Además, se les hizo entrega de

los documentos de caracterización de empresas, la guía metodológica y un formato para registrar

sus comentarios y aprobación de los documentos, que fue elaborado en colaboración de una persona

externa al trabajo con el fin de lograr mayor objetividad en la evaluación de los documentos.

―Anexo 3. Validaciones‖


Página 54

V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS

Después de haber desarrollado este trabajo de grado de acuerdo a lo planeado en su totalidad, se

concluye que tanto el objetivo principal como los objetivos específicos fueron cumplidos satisfacto-

riamente, permitiendo dar de esta manera una respuesta a la pregunta formulada en la formulación

del problema.

Como se mencionó al inicio de este documento, el modelo de Cloud Computing ha estado madu-

rando bastante en estos últimos años, sin embargo en Colombia es una tecnología que aun está en

crecimiento con una clara expansión en las pequeñas y medianas empresas. Sin embargo, el tema de

control y aseguramiento dentro del modelo no es muy amplio lo cual llevó al desarrollo de este

trabajo.

Inicialmente se comenzó dando un conocimiento del entorno en el cual se desarrolló el trabajo, a

través del marco teórico y el documento de caracterización de empresas. En el marco teórico se dio

a conocer toda la información relevante de Cloud Computing y el marco de control que se utilizó en

la elaboración de la guía metodológica con el fin de dejar en claro al lector los conceptos que se

manejarían a lo largo del trabajo. Este levantamiento de información se vio complementado con el

documento de caracterización de empresas en el cual se profundizó en el conocimiento de los pro-

veedores y clientes de Cloud Computing, haciendo énfasis en las Pymes, empresas que son parte del

objetivo del trabajo.

De acuerdo con esto, el documento de caracterización de empresas brinda los siguientes beneficios:

Ofrecer a las empresas cliente un apoyo en la elección del proveedor que más se ajuste a sus

necesidades. Gracias al análisis comparativo, las empresas cliente de Cloud Computing

podrán tomar la opción que más les convenga a los intereses de su negocio, pues hoy en día

es importante conocer todo tipo de características que ofrecen dentro de los servicios de

Cloud Computing y mucho más para una empresa Colombiana teniendo en cuenta que no

todas tienen un conocimiento total del tema.

Por otro lado, también permite conocer cuál es la situación a nivel nacional de las empresas

sobre el uso y manejo de Cloud Computing, en donde se observa que las Pymes son las que

más se han visto beneficiadas con el surgimiento de esta nueva tecnología


Página 55


Permite establecer de manera clara, cuales son las principales necesidades de las empresas,

las cuales se pueden deducir a partir de los servicios que ofrecen las empresas proveedoras

o de forma explícita realizando una búsqueda de las necesidades de las Pymes.

Ilustración 10 - Razones de las empresas para utilizar Cloud Computing

Con el propósito de cumplir con la secuencia sugerida en la metodología, al terminar el documento

de caracterización de las empresas se dio inicio con el establecimiento de los requerimientos para la

elaboración de la guía metodológica, pues en ese momento fue claro que la elaboración de la guía

debía estar sujeta a unas buenas bases de conocimiento y ante todo a la necesidad de control y ase-

guramiento.

43%

42%

39%

38%

35%

34%

33%

32%

30%

30%

30%

29%

24%

20%

18%

2%

0% 20% 40% 60%

Proporcionar una plataforma TI para procesos …

Backup de datos

Ejecutar aplicaciones de CRM, ERP o SCM

Facilitar Herramientas de productividad …

Software de testing y desarrollo

Almacenar y archivar grandes ficheros como …

Analizar datos de clientes u operaciones

Ejecutar sitios web de eBusiness o …

Analizar datos de I+D

Soportar proyectos como estudios, prototipos …

Soportar picos en la demanda del sitio web o …

Procesar y almacenar aplicaciones

Ejecutar aplicaciones de grandes cantidades …

Compartir información con la administración …

Ninguna de las anteriores

Proposito para el cual utilizarán las empresas el Cloud Computing

Series1


Página 56

Para el inicio de la fase de establecimiento de los requerimientos solo se contaba con la información

del marco teórico y el documento de caracterización de las empresas lo cual fue de gran apoyo. Sin

embargo, observando que esto no era suficiente, fue necesario hacer una encuesta para conocer las

necesidades de primera mano con personas que trabajan en empresas que actualmente cuentan con

el servicio de Cloud Computing. La encuesta, tuvo como base las fases mencionadas y el documen-

to de la CSA [Alliance, 2009] para poder orientar las preguntas estrictamente al campo de control y

aseguramiento que requerían los resultados.

Ilustración 11 - Resultados Encuesta

Con base en estos resultados, el documento de Alliance [Alliance, 2009] y la aprobación de una

persona ―Anexo 4 Validaciones‖, se establecieron los requerimientos formales para la elaboración

de la guía metodológica, en la cual se desarrollaría y documentaría cada requerimiento de forma

más detallada.

Ya en la elaboración de la guía metodológica, los requerimientos que se habían establecido se agru-

paron de la siguiente forma.

0%10%20%30%40%50%60%70%80%90%

100%

0%18,18%

45,45%54,54%

27,27%45,45%

63,63%

27,27%

63,63%36,36%

18,18% 9,09%

9,09%

9,09%

27,27%

18,18%

36,36%45,45%36,36%36,36%

63,63%45,45%

9,09%

54,54%

No Sabe

No

Si


Página 57


TEMA SUBTEMAS

Gobierno en Cloud Computing 1. Gobierno y Gestión de Riesgos Empresa-

riales

2. Cuestiones legales y descubrimiento

electrónico

3. Cumplimiento de estándares y auditoria

4. Portabilidad e Interoperabilidad

Operación de Cloud Computing 5. Respuesta ante incidencias, notificación y

solución

6. Seguridad de las aplicaciones

7. Seguridad e Integridad de datos

8. Cifrado y gestión de claves.

9. Virtualización

Tabla 6 - Agrupación de Requerimientos

Como se puede observar, no se establecieron muchos requerimientos sin embargo cada uno de estos

se documentó de forma más detallada de acuerdo al criterio del director y el autor del trabajo, si-

guiendo el marco de control COBIT. No obstante, queda la inquietud de que temas pudieron quedar

por fuera de la elaboración de la guía, pero este será un análisis que deberán hacer las personas que

tengan contacto con el trabajo.

Luego de haber cumplido con los objetivos, con cada una de las fases propuestas para el desarrollo

del trabajo y finalizar la guía, se puede manifestar que la respuesta a la pregunta establecida en la

formulación del problema se ve resuelta no solo en el producto final que es la guía, sino también en

el proceso que se llevó a cabo para su elaboración, pues gracias a esto se pudo establecer un docu-

mento en el cual las empresas pueden confiar y apoyarse para llevar el control y aseguramiento a

los procesos que se llevan a cabo en el servicio de Cloud Computing.


Página 58

VI – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS

FUTUROS

1. Conclusiones

Como primer aspecto a resaltar está la gran acogida que ha tenido Cloud Computing a nivel

mundial, especialmente en Colombia donde aún está en un proceso de crecimiento. Además se

observar que las Pymes, han sido las empresas más beneficiadas al acoger dicho modelo por

ventajas de costo, manejo, etc.

En Cloud Computing, la información sigue siendo el activo más valioso para las empresas, es

por ello que sigue siendo necesario tener un claro control y aseguramiento de esta. Por esta

razón, las empresas deben tener bien definido un modelo de gobierno de TI que utilizan al inter-

ior de la organización con el propósito de realizar una gestión óptima, es decir, que hagan un

uso correcto de los recursos con los que cuentan y obteniendo un amplio conocimiento de los

marcos regulatorios que los controlan, para obtener mayores ganancias.

Otro aspecto a resaltar es la información clara y objetiva que se trató de generar a través de la

caracterización de las empresas, en la cual se hizo un análisis de las empresas proveedoras y de

las empresas cliente con énfasis en las Pymes pues aporta un valor agregado al trabajo, ya que

profundiza en las necesidades principales de las empresas y brinda a las empresas cliente un

apoyo para escoger el proveedor que más se ajuste a sus necesidades.

En cuanto al objetivo general del trabajo, se manifiesta que se cumplió de la forma esperada, lo

cual se logró en la medida que se siguió cada objetivo específico planteado, la metodología y en

general toda la propuesta realizada.

Finalmente se puede ver que no solo por medio del producto final, sino también en el proceso

que se llevó a cabo en la elaboración del trabajo, queda la evidencia que se dio un gran aporte

tanto a la problemática en general como a las problemáticas que están enmarcadas en la visión

de la Pontificia Universidad Javeriana, mencionadas en la justificación de este documento.


Página 59


2. Recomendaciones

La primera recomendación dirigida hacia los estudiantes, se relaciona con tener total claridad y

conocimiento de la problemática que desea solucionar, contemplando un alcance, y un plan de

trabajo bien planteado. Además es importante realizar un buen trabajo de investigación ya sea

de forma escrita o experimental que le permita a la persona ampliar su visión del trabajo en ge-

neral, que vaya de acuerdo a la modalidad escogida por el estudiante.

Es importante mencionar para los estudiantes que tomen un tema nuevo o novedoso en las áreas

de ingeniería de sistemas, tener un amplio contacto con las personas o empresas que tengan co-

nocimiento o aplicabilidad de estos temas, pues esto le brindará muchas más herramientas para

poder atacar la problemática que haya planteado.

La recomendación para el departamento de Ingeniería de Sistemas, apoyar todo tipo de iniciati-

va que permitan interrelacionar dos grupos diferentes de investigación independiente de cuáles

sean, con el propósito de brindarle a los estudiantes una visión más amplia de sus trabajos alre-

dedor de la investigación que desee realizar, sin tener que enfocarlo a una modalidad en espe-

cial como se ha venido haciendo hasta ahora.

Para finalizar, la recomendación a la universidad es seguir apoyando financiera y logísticamente

los proyectos que se lleven a cabo por los estudiantes. Además que se pueda contar con la in-

formación correspondiente con temas que se consideren nuevos o novedosos para la ingeniería

de sistemas como fue el caso de este trabajo.

3. Trabajos Futuros

En trabajos futuros se puede llegar a profundizar aun más en los requerimientos de control

y aseguramiento para Cloud Computing en las Pymes, pues teniendo en cuenta que este tipo

de empresas han sido las más beneficiado, el crecimiento y evolución del modelo de Cloud,

se pueden estar generando muchos más requerimientos a futuro con los que se puedan pro-

fundizar este trabajo.

Para optimizar tiempos y por sugerencia de las personas que validaron el trabajo realizado,

en futuros trabajos se puede desarrollar una herramienta software que contemplen este tipo


Página 60

de guías de control con fácil manejo para cualquier persona que pertenezca al área de TI de

su organización.

Se puede ampliar la información acerca de la caracterización de las empresas, en donde se

tengan en cuenta las futuras empresas proveedoras que surjan en Colombia, su aporte tec-

nológico en el país y su proyección a nivel internacional.

Se puede realizar la guía metodológica tomando a ITIL V3 como el marco de control para

evaluar Cloud Computing en las Pymes, de tal forma que permita mapear y comparar las di-

ferencias y similitudes con COBIT.


Página 61


VII - REFERENCIAS Y BIBLIOGRAFÍA

1. Referencias

Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES

Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011,

de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-

evolucion-revolucion-no.1.html

Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud

Computing', CSA-Cloud Security Alliance.

Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad',

Revista Espaсola de Electrónica, 7.

Asofis (2009), 'Control interno –Informe Coso', Documento abierto al público.

Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado

22 de Febrero, 2011, de http://www.avanxo.com

Ayala, L. (2011), 'En la era de Cloud Computing', Colombia Digital. Recuperado 22 de Fe-

brero, 2011, de

http://www.colombiadigital.net/index.php?option=com_content&view=article&id=288:en-la-

era-del-cloud-computing&catid=75:apropiacion-tic&Itemid=274

Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recur-

sos e información tecnológica empresarial para CIOs.

Castellanos, W. A. (2011), 'Consideraciones de seguridad y privacidad en Cloud Computing',

in Wilmar Arturo Castellanos Morales, ed., Deloitte ToucheLTDA, Deloitte, wcastella-

[email protected], 34.

Computing, S. C. (2009), 'Infrastructure as a Service (IaaS)', SearchCloudComputing.com.

Recuperado 22 de Febrero, 2011, de

http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS

Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information

and related Technology', Information Systems Audit and Control Association, Technical re-

port, IT Governance Institute, Documento de Gobierno de TI.


Página 62

Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado

20 de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-

era-de-desarrollo/

Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.

Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. ¿Qué es? ¿Para qué

sirve?', Arturogoga.

Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)',

Global Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de

http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo

Gutiérrez, J. (2010), '¿Cloud Computing: una opción viable para su negocio?', in Juan Gutié-

rrez, ed., ACIS-Asociación Colombiana de Ingenieros de Sistemas.

Gutiérrez, A. (2009), 'Definición de Platform as a Service (PaaS)', Knol Beta - A unit of

knwoledge. Recuperado 18 de Febrero, 2011, de http://knol.google.com/k/qu%C3%A9-es-

paas#

Hidalgo, P. A. (2011), 'GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO

EN CLOUD COMPUTING PARA PYMES', Technical report, Pontificia Universidad Jave-

riana.

Hidalgo, P. A. (2011), 'Cuenta correo Javeriana1', Muestra de ingreso al correo.

Hidalgo, P. A. (2010), 'Propuesta de Proyecto de Grado', 23.

Javeriana, P. U. (1992), Misión, in Consejo Directivo Universitario, ed., pp. 1. Recuperado 04

de Marzo, 2011, de http://puj por-

tal.javeriana.edu.co/portal/page/portal/PORTAL_VERSION_2009_2010/es_mision

Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04

de Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-

paas.html

Lenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and

related Technology', Information Systems Audit and Control Association, Technical

report, IT Governance Institute, Documento de Gobierno de TI.

Martínez, L. F. (2011), 'Colaboración Trabajo Grado', Correo electrónico, Información obte-

nida por comunicación por correo electrónico.

Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recupe-

rado 18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/


Página 63


MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO', Mer-

cadoTendencias.com. Recuperado 20 de Febrero, 2011, de

http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/

MesaSectorial (2010), 'CLOUD COMPUTING UNA PERSPECTIVA PARA COLOMBIA',

Documento PDF.

Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de

gestión empresarial'.

Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de

conocimiento público, [email protected].

NetworkSec (2008), 'Implantación de Gobierno de TI (Tecnologías de la Información)', Re-

sumen Ejecutivo, [email protected], C/ Xàtiva 4-izquierda 646002 · Valencia.

Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar

conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la infor-

mación. Recuperado 20 de Febrero, 2011, de

http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemi

d=40

Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28

de Febrero, 2011, de http://www.parallels.com/es/products/saas/

Piebalgs, A. (2010), 'Software as a Service', Noticias.Com. Recuperado 18 de Febrero, 2011,

de http://www.noticias.com/opinion/software-as-service-4h3.html

SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry

Association, 9.

Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Soft-

ware Development 32, 5.

Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Ries-

gos Corporativos-Marco Integrado'.

Toro, C. A. O. (2009), 'CLOUD COMPUTING COMO HERRAMIENTA FACILITADORA

PARA EL EMPRENDIMIENTO EN COLOMBIA'(23rd)'Proceedings of the 3rd ACORN-

REDECOM Conference México City May', 1.

Wolff, B. (2009), 'Cloud Computing – A Five Layer Model', BlueLock, 1. Recuperado

28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-

computing--a-five-layer-model--. Recuperado 28 de Febrero, 2011, de

http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--


Página 64

VIII - ANEXOS

1. Anexo 1. Glosario

2. Anexo 2. Actividades TG

3. Anexo 3. Encuestas

4. Anexo 4. Validaciones

CIS1030SD02 CONTROL Y ASEGURAMIENTO EN …pegasus.javeriana.edu.co/~CIS1030SD02/Documentos/Memoria...

Documents

Transcript of CIS1030SD02 CONTROL Y ASEGURAMIENTO EN …pegasus.javeriana.edu.co/~CIS1030SD02/Documentos/Memoria...