<CIS1030SD02>GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN
CLOUD COMPUTING PARA PYMES
PABLO ANDRÉS HIDALGO LARA
PONTIFICIA UNIVERSIDAD JAVERIANAFACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMASBOGOTÁ, D.C.
2011
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
<CIS1030SD02>GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD
COMPUTING PARA PYMES
Autor(es):
Pablo Andrés Hidalgo Lara
MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS
Director
Freddy Alexander Vargas Blanco
Jurados del Trabajo de Grado
Ing. Andrea Yamile Ojeda
Ing. José Luis Lara
Página web del Trabajo de Grado
http://pegasus.javeriana.edu.co/~CIS1030SD02
PONTIFICIA UNIVERSIDAD JAVERIANAFACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMASBOGOTÁ, D.C.
Junio, 2011
Página iPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
PONTIFICIA UNIVERSIDAD JAVERIANAFACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
Rector Magnífico
Joaquín Emilio Sánchez García S.J.
Decano Académico Facultad de Ingeniería
Ingeniero Francisco Javier Rebolledo Muñoz
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Directora de la Carrera de Ingeniería de Sistemas
Ingeniero Luis Carlos Díaz Chaparro
Director Departamento de Ingeniería de Sistemas
Ingeniero César Julio Bustacara Medina
Página ii
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Artículo 23 de la Resolución No. 1 de Junio de 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyec-
tos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y
porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos
el anhelo de buscar la verdad y la Justicia”
Página iiiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
AGRADECIMIENTOS
En los caminos de la vida siempre se encuentran personas que nos acompañan y aportan lo mejor de
ellos mismos para contribuir a nuestro crecimiento personal e intelectual, pero ¿cómo nombrarlas a
todas sin dejar a nadie por fuera? Sin duda es una difícil tarea, pero reduciremos a todos aquellas
personas en las siguientes.
En primer lugar deseo dar las gracias a mis padres por su apoyo, su comprensión, su confianza, su
inmensa generosidad pues me han dado todo lo que necesito y más de lo que merezco, sobre todo,
por guiarme en el camino del bien y enseñarme todo los valores y principios necesarios para crecer
como una persona correcta y ser quien soy hoy en día.
En segundo lugar y sin ser menos importante que los primeros, agradezco a mi novia Alejandra,
quien con su paciencia y carisma a sabido apoyarme y acompañarme en todo momento desde el
inicio de la propuesta, hasta el desarrollo y culminación del Trabajo de Grado
También agradezco a mis amigos, y personas cercanas a mi vida que han sido parte fundamental en
mi crecimiento personal con su apoyo, consejos, por ayudarme en los momentos que necesito una
mano de más para alcanzar mis logros y por todos los momentos de alegría y felicidad que he vivi -
do junto a ellos.
Finalmente agradecerle a mi tutor por toda la ayuda que me ha brindado, tanto en el proyecto como
en la vida laboral y personal. Gracias a su apoyo he logrado completar con éxito el trabajo aquí
propuesto.
Página iv
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Contenido
INTRODUCCIÓN.......................................................................................................1
I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO..............................2
1. OPORTUNIDAD, PROBLEMÁTICA, ANTECEDENTES....................................................21.1 Descripción del contexto................................................................................................21.2 Formulación del problema que se resolvió...................................................................31.3 Justificación...................................................................................................................41.4 Impacto Esperado..........................................................................................................5
2. DESCRIPCIÓN DEL PROYECTO....................................................................................52.1 Visión global..................................................................................................................52.3 Objetivo general.............................................................................................................62.4 Objetivos específicos......................................................................................................62.5 Método que se propuso para satisfacer cada fase metodológica..................................7
II –POST-MORTEM...................................................................................................8
1. METODOLOGÍA REALIZADA.......................................................................................8
2. ACTIVIDADES PROPUESTAS VS. ACTIVIDADES REALIZADAS.....................................9
3. EFECTIVIDAD EN LA ESTIMACIÓN DE TIEMPOS DEL PROYECTO.................................9
4. COSTO ESTIMADO VS. COSTO REAL DEL PROYECTO................................................10
5. EFECTIVIDAD EN LA ESTIMACIÓN Y MITIGACIÓN DE LOS RIESGOS DEL PROYECTO.11
III - MARCO TEÓRICO..........................................................................................12
1. MARCO CONTEXTUAL.............................................................................................12
2. MARCO CONCEPTUAL..............................................................................................122.1 Fundamentos Cloud Computing..................................................................................122.2 Impactos De Cloud Computing....................................................................................252.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing...............................272.4 COSO - Committee of Sponsoring Organizations.......................................................302.5 COBIT - Control Objectives for Information and related Technology.......................38
IV – DESARROLLO DEL TRABAJO....................................................................42
1. CARACTERIZACIÓN DE LAS EMPRESAS....................................................................42
Página vPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
2. DESARROLLO DE LA GUÍA METODOLÓGICA...........................................................45
3. MECANISMOS DE VALIDACIÓN................................................................................49
4. VALIDACIÓN Y APROBACIÓN DE LA GUÍA METODOLÓGICA...................................53
V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS..............................54
VI – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS...58
1. CONCLUSIONES........................................................................................................58
2. RECOMENDACIONES................................................................................................59
3. TRABAJOS FUTUROS................................................................................................59
VII - REFERENCIAS Y BIBLIOGRAFÍA.............................................................61
1. REFERENCIAS...........................................................................................................61
VIII - ANEXOS..........................................................................................................64
1. ANEXO 1. GLOSARIO...............................................................................................64
2. ANEXO 2. ACTIVIDADES TG....................................................................................64
3. ANEXO 3. ENCUESTAS.............................................................................................64
4. ANEXO 4. VALIDACIONES........................................................................................64
Página vi
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
LISTA DE TABLAS
Tabla 1 - Presupuesto Total Propuesto...............................................................................................11
Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM..........................38
Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Computing, 2011]...................................................................................................................................................44
Tabla 4 - Formato de documentación de la Guía...............................................................................48
Tabla 5 - Formato de Control de Madurez.........................................................................................49
Tabla 6 - Agrupación de Requerimientos...........................................................................................57
Página viiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
LISTA DE ILUSTRACIONES
Ilustración 1 - Metodología Realizada.................................................................................................8
Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009].........................................................15
Ilustración 3 Funcionamiento de SaaS [Parallels, 2011]....................................................................16
Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010]..............................................................17
Ilustración 5 ¿Que es PaaS? [Keene, 2009].......................................................................................18
Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009].....................................21
Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009]......................................22
Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008].. .31
Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]....................................40
Ilustración 10 - Razones de las empresas para utilizar Cloud Computing.........................................55
Ilustración 11 - Resultados Encuesta..................................................................................................56
Página viii
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
ABSTRACT
In this document is defines a methodological guide of control and assurance in Cloud Computing
for Colombian SMEs. The project identifies the stage, actors, needs and work environment in gen-
eral to establish control and assurance requirements that must exist in domestic SMEs. Subse-
quently each requirement is documented in detail, with the purpose of establishing the minimum
control measures and assurance that a company like this should apply in the Cloud Computing ser-
vice you are using.
RESUMEN
Se define una guía metodológica de control y el aseguramiento en Cloud Computing para Pymes.
Se identifican los escenarios, actores, las necesidades y el ambiente en general de trabajo para esta-
blecer los requerimientos de control y aseguramiento que deben existir en las pymes nacionales.
Posteriormente se documenta cada requerimiento de manera detallada, con el propósito de estable-
cer las medidas mínimas de control y aseguramiento que una empresa de este tipo debe aplicar en
el servicio de Cloud Computing que esté utilizando.
Página ixPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
RESUMEN EJECUTIVO
Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y madu-
ración en Colombia, se enfoca en generar servicios estandarizados que puedan responder a las nece-
sidades de negocio que tenga cada organización, de forma flexible y adaptativa sin necesidad de
poseer un conocimiento previo sobre el manejo del modelo.
Actualmente, esta tendencia tecnológica se compone de dos actores principales, la empresa provee-
dora que ofrece los servicios a la medida del negocio y la empresa usuaria que toma los servicios
según sus propias necesidades. Este primer actor, permite a los usuarios el aumento de servicios
basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues los
proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exigencias
del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago por
consumo que resulta más asequible para las empresas y de menos perdidas.
Ahora bien, cada uno de los servicios que desee el usuario de Cloud Computing requiere que la
empresa cliente brinde información, requerimientos y especificaciones que permita al proveedor
tomar la solicitud dependiendo del servicio que se requiera. Esta información resulta de gran ayuda,
puesto que las organizaciones desean tener el manejo de estas desde todo tipo de dispositivo tecno-
lógico, en cualquier parte y en el momento que lo deseen.
Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se
maneja la información de una organización. Es en ese punto donde se debe manejar un concepto
bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad para todo tipo de
usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve inquietante conocer
cuáles son las medidas de control en la Cloud, cuáles son los lineamientos de seguridad manejados
por las empresas proveedoras del servicio y cómo los aplican, pues es muy poco lo que se conoce
acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta hace poco tiempo
viene aplicando este modelo de servicios.
Alrededor de esta problemática se genera la siguiente pregunta:
¿Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa provee-
dora del servicio de Cloud Computing?
Página x
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
A partir de esta pregunta se genera la necesidad no solo de dar respuesta sino también de definir la
forma más apropiada de desarrollar un proyecto en el que se trate de cerrar esta problemática. Para
ello, luego de un análisis en compañía del director de trabajo de grado y contando con las opiniones
de personas conocedoras del tema, se concluyó que la mejor forma era la definición de una guía
metodológica que se brinde como una herramienta que facilite a las empresas el control de Cloud
Computing, orientada a cumplir el siguiente objetivo:
Definir una Guía Metodológica de Control y Aseguramiento en Cloud Computing que evalúe la
eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en pequeñas
y medianas empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la
gerencia en beneficio de sus empresas.
A partir de este objetivo, la guía se abordó teniendo en cuenta una metodología dividida en fases
que se llevarían a cabo de forma secuencial, de esta forma cada fase tiene cierta dependencia de su
antecesora, a excepción de la primera fase de levantamiento de información, que obligatoriamente
debe iniciar con la iniciativa y voluntad del autor.
En la fase inicial se realiza un levantamiento de información para hacer un reconocimiento del en -
torno sobre el cual gira el desarrollo de la guía metodológica, es decir, que en esta fase se contem-
plará toda la información relevante para el desarrollo del trabajo. Después de esta fase, tomando la
opinión de diversas personas con conocimiento en el tema se generó la necesidad de incluir una
caracterización de empresas, en donde se profundiza más sobre las empresas (actores de la proble -
mática), con el propósito de conocer servicios y necesidades que giran en torno al modelo de Cloud
Computing y además hacer énfasis en las Pymes que son parte fundamental en el desarrollo del
trabajo.
Después de completar las fases de levantamiento de información y caracterización de las empresas,
se continuó con la fase de establecer requerimientos para el control y aseguramiento en Cloud Com-
puting, la cual complementó la información establecida en las otras dos fases y dio inicio al desarro-
llo de la guía. Para esta fase, como se tenía previsto no había conocimiento de requerimientos que
estuvieran orientados o definidos para el control y aseguramiento de Cloud Computing, pero se
contó con el apoyo de un documento de la CSA y a partir de este se elaboró una encuesta que deter -
minaría los requerimientos para realizar la guía. Dicha encuesta fue realizada a personal que traba-
jara en el área de TI en Pymes colombianas. Posteriormente, los requerimientos determinados pasa-
Página xiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
ron por un proceso de aprobación con el propósito de hacer control de calidad y darle un valor agre-
gado al producto final desde ese punto de su elaboración.
Siguiendo con la secuencia de las fases propuestas, se da inicio a la elaboración de la guía metodo-
lógica tomando como base los requerimientos determinados en la fase anterior. Teniendo en cuenta
que el establecimiento de los requerimientos no era suficiente para la elaboración de la guía, se
construyó un diagrama con el cual se determinó los aspectos más relevantes para cada requerimien-
to en los cuales se debería profundizar. Adicionalmente, pensando en la comodidad y facilidad de
uso del documento por parte de las personas que tengan acceso al documento se incluyo una sección
para conocer y manejar el documento.
Trabajando en paralelo con la elaboración de la guía, se prosiguió a evaluar el mejor mecanismo de
validación y aprobación de la misma. De esta evaluación de los mecanismos se determino el de
aprobación por opinión de expertos con la posibilidad de aplicar una segunda opción de aprobación
aplicando la guía a un caso de estudio, solo si el tiempo lo permitía. Ya con el mecanismo de apro-
bación elegido, se dio paso a la fase de validación contactando dos personas expertos y conocedoras
del entorno en el que se desenvuelve el producto. Se les brindo una presentación y la guía como tal
para obtener su opinión respecto al producto y su posterior aprobación.
Finalmente, se realizaron las correcciones del producto, el control de calidad correspondiente a la
última fase de la metodología, se elaboró la página web en donde se presenta el contenido de todo el
trabajo de grado y se diligenció una lista de chequeo para verificar y comparar todo el proceso pro-
puesto con el proceso que realmente se ejecutó para el desarrollo del proyecto.
Con base en todo el proceso que se llevó a cabo, se concluye que tanto el objetivo general como los
específicos se cumplieron de acuerdo a lo planeado, gracias al seguimiento y control de cada una de
las actividades establecidas para el desarrollo del trabajo. Gracias a esto, se logró elaborar un pro-
ducto útil para la comunidad de Cloud Computing a nivel nacional en las Pymes y se contribuyó a
dos de las problemáticas con las que está comprometida la Pontificia Universidad Javeriana.
Página xii
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
INTRODUCCIÓN
A través de este documento se puede observar el proceso que se realiza en la elaboración del trabajo
de grado “Guía Metodológica de Control y Aseguramiento para Cloud Computing en Pymes”.
En el capítulo I, se hace un reconocimiento de la información más relevante acerca de los antece-
dentes de los temas que se desarrollan en el trabajo de grado. Se incluyen, aspectos importantes
como el análisis de la problemática que se enmarca alrededor del ambiente de Cloud Computing, la
seguridad a nivel general, la formulación, justificación y el impacto que se espera obtener.
En el capítulo II, se lleva a cabo la descripción del proyecto haciendo énfasis en la visión global y
los objetivos planteados para desarrollar el trabajo. Además de esto también se incluye una descrip-
ción de cada fase de la metodología que se llevo a cabo a lo largo del trabajo y su alineamiento con
los objetivos específicos que se habían planteado,
Después, en el capítulo III se podrá observar el marco contextual y conceptual con los temas más
relevantes dentro del proyecto como lo es el modelo de servicios de Cloud Computing, su impacto y
los riesgos al día de hoy y finalmente los marcos de control que marcan una pauta en el asegura -
miento a nivel general dentro de las empresas.
A continuación, en el capítulo IV se hace un análisis más detallado de lo que fue todo el proceso de
desarrollo, según las fases de la metodología planteada para la ejecución del trabajo de investiga -
ción desde el levantamiento de la información más relevante hasta la validación y aprobación que
marcan la pauta para concluir el proceso del trabajo realizado.
Finalmente, en los capítulos V y VI se podrá encontrar los resultados obtenidos después del desarro-
llo de trabajo de grado, las conclusiones técnicas y personales que surgieron sobre el desarrollo y
las recomendaciones enmarcadas en la visión global propuesta en el capítulo II entregadas por el
autor que continúen la modalidad de proyectos en la universidad.
Página 1
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO
1. Oportunidad, Problemática, Antecedentes
1.1 Descripción del contexto
Para iniciar es importante mencionar que en la actualidad la tecnología ha estado creciendo de for-
ma rápida y contundente, con el propósito de mejorar la experiencia e interacción de esta con el
usuario. Para ello se han venido desarrollando tendencias tecnológicas que brindan diferentes tipos
de servicios con los cuales se satisfacen las necesidades de cómputo en la sociedad, por medio del
internet. [Carpena M, 2009]
Este crecimiento de aplicaciones y herramientas tecnológicas han dado paso a Cloud Computing o
“Computación en la nube”, un concepto novedoso que se ha venido utilizando en diferentes aplica-
ciones como Second Life, las redes sociales o páginas que venían aplicando WEB 2.0.
Cloud Computing consiste en permitir el uso de aplicaciones o servicios por medio de la nube, para
el uso cotidiano de empresas o cualquier tipo de usuario. Esto nos lleva a considerar Cloud Compu-
ting como la evolución de WEB 2.0, en la que empresas y usuarios acceden a sus cuentas desde
cualquier lugar operando sin instalar dispositivo alguno. Aunque este nuevo modelo no parece una
novedad tan impresionante como normalmente lo catalogan, Cloud Computing es un caso especial,
pues facilita aplicaciones, los servidores en donde se almacena y ejecuta la información para que
estas funcionen [Fernández J, 2009]. También se caracteriza por el acceso de forma compartida a la
información que se encuentre sobre la nube, para lo cual encontramos ejemplos como Amazon EC2
o Google Apps que proveen aplicaciones de negocio desde un navegador, mientras que el software
y los datos son almacenados en Servidores manejados por ellos mismos.
A pesar de las muchas ventajas que se pueden encontrar en Cloud Computing como los bajos cos-
tos, oportunidad corporativa de crecimiento para las empresas o acceso desde cualquier lugar por
parte de los clientes, se han detectado desventajas en aspectos fuertes como la seguridad y privaci -
dad, pues se encuentran muchos vacíos que pueden llegar a ser costosos para cualquier empresa que
use servicios en la nube en caso de no ser manejados a tiempo [Areitio & Mail, 2010]. Además no
Página 2
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
se tiene conocimiento que Cloud Computing cuente con algún estándar que dé un control interno a
todo lo que se maneja debajo de lo que ven los usuarios.
1.2 Formulación del problema que se resolvió
Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y madu-
ración en Colombia [Toro C, 2009], se enfoca en generar servicios estandarizados que puedan res-
ponder a las necesidades de negocio que tenga cada organización, de forma flexible y adaptativa sin
necesidad de poseer un conocimiento previo sobre el manejo del modelo.
Actualmente, esta tendencia tecnológica se compone de dos actores principales que son los provee-
dores quienes ofrecen los servicios a la medida del negocio y los usuarios que son aquellos que
toman los servicios según los necesiten. Estos primeros, permiten a los usuarios el aumento de ser-
vicios basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues
los proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exigen-
cias del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago por
consumo que resulta más asequible para las empresas y de menos perdidas. [Millet D, 2010]
Ahora bien, cada uno de los servicios que desee el usuario en Cloud Computing requiere que la
empresa cliente brinde toda la información, requerimientos y especificaciones que permitan al pro-
veedor realizar dicho trabajo dependiendo del servicio que se requiera. La información no solo será
utilizada para la elaboración de las aplicaciones o para el manejo de la infraestructura a través de un
navegador, sino que también se puede dar el caso que una empresa almacene información de cual-
quier nivel de importancia en la Cloud.
Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se
maneja la información de una organización [Aguilar L, 2009]. Es en ese punto donde se debe mane-
jar un concepto bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad
para todo tipo de usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve in -
quietante conocer cuáles son las medidas de control en la Cloud, los lineamientos de seguridad ma-
nejados por las empresas proveedoras del servicio y la forma en que los aplican, pues es muy poco
lo que se conoce acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta
hace poco tiempo abrió las puertas a este modelo de servicios.
Página 3
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
A partir de lo anterior surgió la siguiente inquietud, la cual se pretendió solucionar con el desarrollo
del presente trabajo de grado:
¿Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa provee-
dora del servicio de Cloud Computing?
1.3 Justificación
El Trabajo de Grado tiene como propósito brindar una herramienta que facilite la toma de decisio -
nes de una empresa (Pyme) en cuanto al mejoramiento de tareas, actividades, procedimientos sobre
Cloud Computing para alcanzar una mejor calidad de procesos, reducción de costos y aumento de
ganancias. Para ello es necesario evaluar de forma detallada cada tarea, actividad y proceso que
permita dar siempre un mejor servicio a los clientes, profundizando en cada aspecto del modelo, las
ventajas y desventajas, los lineamientos de seguridad para la información establecidos por los pro-
veedores, entre otro tipo de detalles que permitan mejorar en el servicio. Además se debe tener en
cuenta en todo momento que los controles a las empresas, permiten evaluar la eficiencia y eficacia,
evitar problemas grandes dentro de estas y lograr un progreso si se realizan correctamente las labo-
res, por lo que una guía que tenga las bases fuertes y necesarias para controlar este modelo de servi -
cios, hace de este trabajo de grado una herramienta bastante interesante para la industria tecnológi-
ca.
Por otro lado también se estaría generando una gran contribución a dos de las problemáticas que la
Pontificia Universidad Javeriana pretende atacar, las cuales son:
El poco aprecio de los valores de la nacionalidad y la falta de conciencia sobre la identidad
cultural
La deficiencia y la lentitud en el desarrollo científico y tecnológico.
El aporte se estaría brindando ya que la guía metodológica es una herramienta que busca apoyar las
pequeñas y medianas empresas colombianas que son el símbolo del progreso y crecimiento en un
país lleno de emprendedores, fortaleciendo el aprecio por el talento y los valores nacionales que
hacen grande al país. Desde otro punto de vista, se contribuye al crecimiento y progreso de este tipo
de empresas que han sido las principales beneficiadas con la llegada de este modelo de servicios al
Página 4
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
país, el cual aunque es relativamente nuevo ha generado bastantes ventajas competitivas dentro de
las organizaciones, que serán fortalecidas con el apoyo de la guía creando mayor eficiencia y opor-
tunidades de crecimiento tecnológico nivel nacional.
1.4 Impacto Esperado
Los impactos que se establecieron a partir de este trabajo de grado son los siguientes:
El impacto académico personal, el titulo como Ingeniero de Sistemas del autor que conce-
de la Pontificia Universidad Javeriana.
El impacto académico general, será la implementación de esta guía por parte de las Pymes,
con el propósito de ofrecer control y aseguramiento en los servicios de modelo de Cloud
Computing, el cual actualmente muchas empresas se están vinculando como parte del creci -
miento en sus respectivas organizaciones.
2. Descripción del Proyecto
2.1 Visión global
La elaboración de este documento de trabajo de grado, fue orientado hacia la definición de una guía
metodológica que abarcara el tema del control y aseguramiento de información y activos de un
usuario en el modelo tecnológico de servicios Cloud Computing, el cual se encuentra en una etapa
de creciendo y maduración en las pequeñas y medianas empresas de Colombia.
La guía metodológica elaborada consta de un análisis a las empresas proveedoras y clientes del
servicio, un análisis de requerimientos orientado hacia el control y aseguramiento del modelo de
servicios, los cuales fueron profundizados y desarrollados en la elaboración de la guía.
Teniendo en cuenta que no se cuenta con mucho material acerca de control y aseguramiento de un
modelo de servicios tan novedoso como este, se realizaron una serie de encuestas basadas en el
documento [Alliance, C.-C. S., 2009], que permitieron plantear algunos requerimientos. La encuesta
fue realizada a profesionales en el área de TI en empresas Pymes, y su resultado fue validado antes
de entrar en el desarrollo de cada uno de los requerimientos encontrados.
Página 5
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
De acuerdo con el análisis realizado a las empresas, el levantamiento de información y los requeri-
mientos establecidos, se dio inicio y desarrollo a la elaboración de la guía metodológica, la cual al
ser finalizada contó con dos mecanismos de validación previamente analizados, para contar con la
aprobación y opinión de las personas interesadas en el tema que se desarrollo en este trabajo.
2.3 Objetivo general
Construir una Guía Metodológica de control y aseguramiento en Cloud Computing que evalúe la
eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en medianas
empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la gerencia en
beneficio de sus empresas.
2.4 Objetivos específicos Hacer un levantamiento de información referente a la construcción de una Guía Metodoló-
gica, los lineamientos de uso y manejo de servicios en la nube por parte de proveedores,
estándares de uso de Cloud Computing y de controles en TI.
Establecer una caracterización de las empresas involucradas en el entorno de Cloud Com-
puting (Proveedoras y Clientes), haciendo énfasis en Pymes colombianas y su visión frente
al modelo de servicios.
Definir los requerimientos necesarios de las en torno al control y aseguramiento de Cloud
Computing para las Pymes, a partir del análisis de la información obtenida en el marco
teórico, la caracterización de las empresas.
Construir una guía metodológica de control y aseguramiento enmarcado en los aspectos
relevantes de Cloud Computing, los requerimientos del servicio, el control y la seguridad de
activos, para evaluar la eficiencia y efectividad en los procesos del negocio en las empre-
sas.
Encontrar un mecanismo por el cual se valide la Guía.
Implementar mecanismo de validación y aprobación a la guía metodológica.
Ejecutar un proceso de refinamiento y control de calidad en el que concluya con éxito la
última versión de la Guía Metodológica.
Como se podrá ver más adelante, estos objetivos están relacionados directamente con cada una de
las fases de la metodología planteada para el desarrollo del trabajo de grado, y es precisamente esta
Página 6
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
relación la que permitió tener un mayor control y seguimiento del cumplimiento de actividades y
objetivos planeados para cumplir el objetivo principal del trabajo.
2.5 Método que se propuso para satisfacer cada fase metodológicaAunque no se propuso de forma explícita algún método para satisfacer cada fase metodológica, se
puede observar tanto en la ilustración de la metodología como en el argumento de los objetivos
específicos, que se manejo un método secuencial de tal forma que no se omitiera ninguna fase u
objetivo del trabajo y que se cumplieran todas las actividades establecidas para cada fase.
Página 7
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
II –POST-MORTEM
1. Metodología Realizada
La metodología que se había propuesto para llevar a cabo en el desarrollo del trabajo de grado se
encontraba dividida en 7 fases que se aplicarían de forma secuencial desde el inicio hasta el final, a
excepción de la fase de Aprobación de la guía metodológica que se aplicaría antes, durante y des -
pués del desarrollo de la guía con el propósito hacer un seguimiento de la calidad y validez del pro -
ducto final.
Ilustración 1 - Metodología Realizada
Página 8
Levantamiento de InformaciónCaracterizacion de las empresasEstablecer Requerimientos de Empresas Elaboracion de la Guia MetodologicaDefinir el mecanismo de Validaciòn y aprobaciònAprobación de la Guía Metodológica Control de Calidad y Refinamiento
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Finalmente se concluye que la metodologia propuesta fue aplicada de forma satisfactoria, pues la
realidad muestra que se fue fiel al plan propuesto , con todo lo que esto incluye (actividades, presu-
puesto, etc.) lo cual generó el éxito que se esperaba en la culminacion del trabajo.
2. Actividades propuestas vs. Actividades realizadas.
Finalizado el trabajo, se puede manifestar que las actividades propuestas fueron suficientes para la
elaboración del trabajo de grado. Sin embargo, después de hacer un analisis mas profundo de las
actividades que se habian propuesto, se observó que muchas de las actividades expuestas iban im-
plicitas en el desarrollo total del documento. Este caso se puede ver en actividades de la elaboracion
de la memoria y la creación de la pagina Web del documento de la propuesta. “Anexo 2. Activida-
des TG”
3. Efectividad en la estimación de tiempos del proyecto
La estimación del tiempo para el desarrollo del proyecto, fue planteado con una exactitud que per-
mitiera el cumplimiento de las actividades y de las fases de la metodología en general. No obstante
se presentaron casos en los que hubo variaciones del tiempo estimado con algunas actividades que
tomaron más tiempo de los esperado que se compesaron con otras que tomaron menos tiempo de lo
que se habia determinado. De acuerdo con esta situación, se identificaron 3 diferentes momentos en
la elaboracion de las actividades que se determinaron de la siguiente manera:
1. Actividades que tomaron más tiempo: El establecimiento de los requerimientos fue la acti-
vidad que más tomo tiempo, pues desde el momento en el que se propuso como una activi-
dad de gran relevancia para el desarrollo del trabajo, había claridad de que no se contaba
con un requerimiento pre establecido lo cual originó la necesidad de encontrar un mecanis -
mo para poder establecerlos. Dicho mecanismo fue la de realizar encuestas para poder esta-
blecerlos, en alianza con el levantamiento de informacion del marco teorico y la caracteri -
zacion de las empresas.
2. Actividad de estimación correcta: El levantamiento de información fue la actividad mas
precisa en cuanto al tiempo estimado, lo cual se presentó gracias a que se tenia conocimien-
to del material y las posibles fuentes en donde se encontraría la información adecuada para
el desarrollo del trabajo.
Página 9
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
3. Actividad que tomó menos tiempo del estimado: La elaboración de la página WEB, que
además de ser necesaria brindó un aporte de conocimiento adicional que no se tenía antes
de realizarla, como el manejo de algunos programas para su elaboración.
4. Costo estimado vs. Costo real del proyecto4.1 Presupuesto
RECURSOS FISICOS Y SERVICIOS
ITEM CANTIDAD VALOR TOTAL
Transporte 73 $1600 $116.800
Servicios 2 $50.000 $100.000
Papelería e Impre-
sión
2 $30.000 $60.000
Diseño Pagina Web 1 $420.000 $420.000
CD 3 $1000 $3000
Subtotal $699.800
RECURSOS HUMANOS
Persona Horas de Traba-
jo por semana
Semanas Precio por hora Total
Pablo Andres
Hidalgo Lara
20 17 $30.000 $10’200.000
Freddy Vargas
Blanco
1 17 $50.000 $850.000
Subtotal $11’050.000
PRESUPUESTO
Recursos Físicos y Servicios $699.800
Recursos Humanos $11’050.000
TOTAL $11’749.800
Tabla 1 - Presupuesto Total Propuesto
Página 10
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Después de haber realizado el trabajo en su totalidad se pudo observar que hubo errores en la esti -
mación propuesta pues el valor total fue menor al estimado en un 20%.
Dicha reducción se dió con base a una mala estimacion en las horas de trabajo por semana por parte
del autor, en la elaboración del proyecto ya que no se contenplaron diversas situaciones que se le
presentarían a la persona.
5. Efectividad en la estimación y mitigación de los riesgos del proyecto.
Es importante observar para este punto que dentro de la propuesta no se hizo un planteamiento ex -
plícito de los posibles riesgos que se pudiesen generar con la elaboración del proyecto. Sin embar-
go, aunque no estaban planteados dentro del documento si se habían identificado, con el propósito
de poder llevar a cabo algún plan de contingencia en caso de que se materializaran. Los riesgos
identificados fueron:
No cumplimiento de los tiempos planeados en la elaboración de la guía, por parte del autor
o del director de trabajo.
Cambiar parcial o totalmente la metodología planeada, pues esto genera un cambio para
todo el proceso.
No entregar el trabajo de grado de acuerdo al cronograma, por estimación en tiempo, cos-
tos, elaboración del trabajo o pruebas finales.
No contar con el apoyo de las Pymes o de personas que puedan ser importantes para el de-
sarrollo del trabajo.
No contar con el permiso de manejar información confidencial o crítica de las empresas.
Afortunadamente en ningún momento durante el desarrollo de la guía de materializaron alguno de
estos riesgos, por lo cual no se tuvo que llevar a cabo ningún plan de contingencia.
Respecto al último riesgo planteado, se manejaron acuerdos directos para hacer uso adecuado de la
información confidencial de las empresas visitadas en la fase de caracterización de empresas, pues
esta es una regla o directriz general para el personal interno y externo a la empresa. Sin embargo, no
Página 11
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
se contó con la misma fortuna para la empresa en la que se hizo la validación de la guía, por la falta
de tiempo que se tenía y la disposición de algunas personas dentro de la empresa.
III - MARCO TEÓRICO
1. Marco Contextual
Tal como se puede observar en [Ayala, 2011], la opción de tener una gran cantidad de servidores
robustos que faciliten el almacenamiento de información sin límite y de permitir acceder a esta des -
de cualquier lugar y en el momento que se desee hoy en día es toda una realidad.
Cloud Computing es un sistema que ofrece servicios de cómputo a través de una infraestructura
distribuida en la red y que se comparte entre sus clientes, lo cual les reduce la preocupación en cos-
tos de hardware o software. Este tipo de características son llamativas para las empresas pues les
permite reducir costos mejorar los procesos que manejan, gestionar todo desde internet entre otras
ventajas.
Por otro lado también se encuentran algunos desafíos regulatorios en temas como privacidad y
seguridad, pues es complicado entender que la oficina no tenga una ubicación física y tangible sino
una ubicación lógica que pueda estar fuera de la jurisdicción del propio usuario. [Noticintel, 2010].
2. Marco Conceptual
2.1 Fundamentos Cloud Computing
A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los
desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y asegura-
miento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite
que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confu-
so para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofre-
Página 12
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
cer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actuali -
dad.
2.1.1 ¿Qué es Cloud Computing?
Uno de los temas más confusos que rodean a Cloud Computing “Computación en la nube”, y sus
servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar
con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología
(NIST) y La Alianza de Seguridad De Cloud Computing [Mell, P. & Grance, T, 2009], quienes
definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool
compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se
describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápida-
mente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del pro-
veedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es compa-
rarla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que usan ahora
tienen la opción de pagar por servicios de TI en una base de consumo.
La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en
los últimos años como las novedades más influyentes de las empresas:
SaaS o Software como un Servicio: Un modelo de distribución de software a través de la
red.
Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesa-
miento y almacenamiento como un servicio medible.
Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos
(Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no
que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos
sistemas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el
que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada.
Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los
suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello
puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara
Página 13
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
al usuario, permite trabajos que son implementados y escalados de forma rápida a través de la ce -
sión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la
asignación de tareas cuando sea necesario, entre otro tipo de funciones.
2.1.2 Características Esenciales
En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios
pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias
de computación, estas son:
Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es
decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita
medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capa-
cidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que
estar interactuando con su proveedor de servicios.
La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de inter-
net por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación
entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da
una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente.
Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las
plataformas conectándose a internet
Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando
recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma
máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en
común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del
hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independiente -
mente de la disposición física de estas. Algunos de los recursos computacionales en las reservas
son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc.
Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibili -
dad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usual-
Página 14
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
mente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden
adquirirse en el momento y cantidad que se necesite.
Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del
cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso
de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente.
Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir
frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplicacio-
nes, toda la información es almacenada de forma redundante en backups que se utilizarían en algún
caso de fallo.
2.1.3 Modelos de Servicio en la Nube
Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra
tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma
individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente
se conoce también como el “Modelo SPI”, donde cada sigla de la palabra hace referencia a las capas
de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio).
A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara
[Gutiérrez J, 2010]:
Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009]
Página 15
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Software as a Service (SaaS)
Es un modelo de distribución de software en el que la empresa proveedora aporta el servi -
cio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es
decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en
una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura
de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede
hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navega -
dor web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicacio-
nes y comparten recursos, por lo cual es evidente que dichos programas deben tener las
condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número
de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funciona-
miento de esta capa:
Ilustración 3 Funcionamiento de SaaS [Parallels, 2011]
Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o apli-
caciones que son suministradas por una empresa externa, que a su vez compra los programas nece-
sarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible
con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Com-
puting hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos apli-
caciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de
software a través de la red.
Página 16
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J,
2010]:
Nivel 1: Modelo ASP (Application Service Provider) . El cliente aloja el software o aplica-
ción en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplica-
ción e implementa su propia instancia, en el mismo servidor en la que lo aloja.
Nivel 2: Configurable . Cada usuario cuenta con su propia instancia de la aplicación, cuen-
tan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el
mantenimiento del software.
Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para
todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplica-
ción se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación
e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instan-
cia con la cual trabajar, así como reducción de costos y espacio para disponer de almacena-
miento suficiente para todas las instancias, como sucedía en los casos anteriores.
Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la
aplicación que se utiliza según las necesidades, dando atención al número de clientes que
estén usando el software, de esta forma el sistema se hace escalable a un número indetermi-
nado de clientes evitando tener que rediseñarlo.
Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010]
Página 17
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Platform as a Service (PaaS).
El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este
podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener
que contar con el software y equipos necesarios para realizar dicho desarrollo.
PaaS incluye todas las facilidades al programador para diseñar, analizar, desarrollar, docu-
mentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el ser -
vicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups
y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos.
[Gutiérrez A, 2009]
Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración
Ilustración 5 ¿Que es PaaS? [Keene, 2009]
Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene,
2009]:
Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo.
Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa provee-
dora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los
usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.
Página 18
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el
sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando
la escalabilidad del sistema.
El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.
El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual propor -
ciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo.
El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcio-
nadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el
sistema.
Tal cual como en los demás modelos “como un Servicio”, las ventajas se basan en no tener que
hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo
de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabili -
dad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando
por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad.
Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de inter-
net, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo
por parte de los clientes de no tener acceso a su propia información o de que personas ajenas
tengan acceso a esta de alguna u otra forma.
Infrastructure as a Service (IaaS).
El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a
través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y
equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el
funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos
de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la canti-
dad de espacio que esté usando, el número de servidores que estén a su disposición, etc.
Dentro de las principales características del modelo IaaS, encontramos:
Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cua-
les serán las condiciones del contrato para ambos.
Página 19
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Pago según el uso de capacidades computacionales ofrecidas por el proveedor.
El ambiente proporcionado por el proveedor será en forma de maquinas virtuales.
El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las
necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones
El proveedor se encargará de ofrecer todo el software requerido para mantener las nece-
sidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas opera-
tivos, etc.
El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet
sin problemas, con backups de seguridad que garanticen la integridad de los datos.
Data Storage as a Service (DaaS).
El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión
y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión
con IaaS, [SNIA, 2009]
Communications as a Service (CaaS).
La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el mis -
mo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento nece-
sario de redes y la gestión de las comunicaciones, como el balanceo de carga.
Software Kernel.
Esta capa gestiona la parte física del sistema. Controla los servidores a través de los siste -
mas operativos instalados, el software que permite la virtualización de las máquinas, la
gestión de los clusters y del grid, etc. [Wolf, 2009]
Hardware as a Service (HaaS).
HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física
de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros
con maquinas que ofrecen la computación, almacenamiento, servidores, etc. [Wolf, 2009]
Página 20
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
2.1.4 Modelos de Despliegue de Cloud Computing
Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de desplie -
gue de Cloud Computing [Mell, P. & Grance, T, 2009]:
Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para
los clientes por medio del proveedor a través de internet. El ser pública no implica total-
mente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco
implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones
para hacer uso de los servicios suministrados, además proporciona un medio flexible y
rentable para el desarrollo de soluciones para los clientes.
Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La dife-
rencia entre ambas se encuentra es que en la privada los datos y procesamientos están ad-
ministrados dentro de la organización sin las restricciones del ancho de banda, seguridad y
requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la
posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la segu-
ridad y la recuperación.
Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organi-
zaciones que comparten los mismos intereses, como una misión común o necesidades de
seguridad similares.
Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la
privada.
Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009]
Página 21
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
2.1.5 Modelo de Referencia de Cloud Computing
Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la rela-
ción y las dependencias entre los modelos de la nube. Aunque en la sección 3.1.3 (Modelos de Ser -
vicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre
se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observó es la base de
todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por
se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo
este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan
diversas cuestiones y riesgos que se relacionan con la seguridad de la información.
La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las platafor-
mas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad de
extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última ins-
tancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes
formas en las cuales el cliente interactúa con el servicio.
Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009]
Página 22
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integra-
ción con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y
puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a
la plataforma.
Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operati -
vo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido
un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y diná-
mico por parte de los clientes.
A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos
elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren.
Dentro de esta lista de elementos encontramos [Alliance, 2009]:
SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor ex-
tensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del pro -
veedor.
Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja
integración ya que está desarrollada para que los desarrolladores elaboren sus propias apli-
caciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, com-
pensando así entre capacidades de plataforma con funciones de seguridad.
Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibili-
dad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad
menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias
aplicaciones, sistemas operativos, etc.
2.1.6 Ventajas de Cloud Computing
Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta
con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han en-
contrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:
El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es
necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su
Página 23
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento,
pues estos se encuentran en internet.
Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de
servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.
Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número
de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales,
con un gasto lógico de software, hardware o personal.
Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten
todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada
uno según la actividad que tenga en cada momento, evitando la escasez de recursos incluso
cuando se están haciendo tareas de actualización o mantenimiento.
El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de
información por fallos del sistema.
La premisa de Cloud Computing es que por la subcontratación de partes de la información ges-
tionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos,
incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad
operacional de manera más inteligente, más rápida y más barata.
2.1.7 ¿Cómo Cloud logra aportar estas ventajas?
Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:
Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por
medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar
toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea
requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las ma-
quinas necesitan realizar para realizar dicha actividad.
Rápida movilización de los recursos: los recursos computacionales (servidores, redes, so-
ftware, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible incre-
mento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario
Página 24
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posi-
ble ya que todo uso de los recursos de Cloud Computing es totalmente medible.
Capacidad de “escalado elástico” atiende y gestiona la demanda fluctuante que se genere en
las empresas, de tal manera que los sistemas siempre estarán aptos para la cantidad de usua -
rios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones
o espacios de almacenamiento.
Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único
grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar virtual-
mente los recursos computacionales por los cuales está pagando el servicio en el momento
que este lo requiera.
Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un
catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de
servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes
y las formas debida de uso del servicio al cual esta accediendo.
Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de
Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente
tenga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del
tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus
necesidades.
2.2 Impactos De Cloud Computing
Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas
de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera
opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está
revolucionando el mundo de los servicios por la transformación de la informática en una herramien-
ta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibi -
lidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de informa-
ción. La frecuente influencia e innovación de Internet ha permitido que la computación en la nube
utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas
tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de
que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de
Página 25
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el
cliente.
Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura,
Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye
la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo
que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010].
Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un
modelo bajo demanda.
Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmen-
te atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT
haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también
se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como
estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta depen-
dencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto
que reconocen que los cambios son necesarios para ampliar los enfoques de gobernanza y estructu-
ras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio.
Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta
rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad
de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto poten-
cial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el
dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha
tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya
no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una
mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud
Computing y el entorno de control
Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una
empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto
Página 26
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing,
así como los servicios que puede ofrecer al mayor beneficio.
2.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing
Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuen-
tra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuen-
tra protegida es de vital importancia tener previstas acciones contundentes para la gestión de ries-
gos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los ad-
ministradores de la de seguridad de la información puede que necesiten ajustar las políticas de em-
presa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de nego -
cios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas
partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo
utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer
frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las
políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de
los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son:
Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y
sostenibilidad deben ser factores para considerar en el momento de la elección. La sosteni-
bilidad es de una importancia particular para asegurar que el servicio estará disponible y la
información puede ser vigilada.
El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la
información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados
de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibili-
dad, afectando gravemente las operaciones del negocio.
La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se
encuentra realmente la información. Cuando la recuperación de la información se requiere,
esto puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se
encuentra almacenada.
El acceso de terceros a información sensible crea un riesgo que compromete la información
confidencial. En Cloud Computing, esto puede provocar una amenaza significante para
asegurar la protección de la propiedad intelectual y secretos comerciales.
Página 27
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles
de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos.
La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros
clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el
cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográfi -
cas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente legal
que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurídico
adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la nube
es responsable y responsable de las ramificaciones derivadas de posibles problemas.
Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inme-
diatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación
de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing
debe comprender el rol que juega en términos de backups, respuesta y recuperación de inci-
dentes. Los objetivos de tiempo de recuperación deben estar en el contrato.
2.3.1 Estrategias para el manejo de riesgos en Cloud Computing
Estos riesgos, tan bien como otros que una empresa puede llegar a identificar, deben ser gestio -
nados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemen-
te flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un en-
torno donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el
acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando
uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un
inventario de sus activos de información y asegurar que los datos son una propiedad etiquetada
y clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuer-
do de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacena-
da y los controles adicionales de información sensible o de alto valor para la organización.
A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Com-
puting, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegu-
rar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta
con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la
Página 28
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
expectativa de un control externo, un tercero. Las expectativas respecto a la manipulación, uso,
almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos,
2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desas -
tres, deberá estar informado dentro del contrato.
La protección de la información evoluciona como resultado de un fuerte e integro SLA que es
apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y deta-
llado SLA que incluya derechos específicos de seguridad ayudará a la empresa en el manejo de
su información una vez que sale a la organización y es transportada, almacenada o procesada en
Cloud Computing.
2.3.2 Gobernabilidad y Cuestiones de Cambio con Cloud Computing
La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se consi-
dera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios
que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para ga-
rantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de
negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está
alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío
en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas
de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, de-
finición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones espe-
ciales cuando se trata de la tecnología de Cloud y sus proveedores.
Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten
estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales
como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas
posibles de cambio. Además, los procesos que detallan la forma en que se almacena la informa-
ción, archivado y copia de seguridad tendrán que ser examinados de nuevo.
Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las
situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a
Página 29
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube.
Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuen-
ta los usos de servicios en Cloud Computing.
2.4 COSO - Committee of Sponsoring Organizations
Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commis-
sion, divulgo al mundo un informe de gran importancia para la historia del control interno. El Con-
trol Interno — Marco Integrado, conocido también como COSO ofrece una base clara y fundamen-
tal que establece los sistemas de control interno y determinar su eficacia.
Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública
Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al Sistema de
Control Interno que fueron determinadas en la Ley 24.156 de Administración Financiera y Sistemas
de Control.
En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida
para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN
dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que
evalúe la calidad de los controles.
COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de
la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control
interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la orga-
nización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se incor-
poran los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de con-
trol interno COSO, los objetivos primarios de un sistema de control interno son:
1. Asegurar la eficiencia y eficacia de las operaciones
2. Realizar informes financieros fiables
3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.
Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales
dentro de un sistema de control interno eficaz.
Página 30
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
El Entorno de Control
Evaluación del Riesgo
Actividades de Control
Información Y Comunicación
Supervisión
Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias,
2008]
Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado,
examinar los componentes del sistema de control en la organización e informar los resultados a la
dirección o la gerencia.
Definición de objetivos.
Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe
tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría
al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El audi -
tor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de prime-
ro. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta
Página 31
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque
genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de en-
foque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro pro-
yecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea
claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles
que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo
de auditoría que sea más apropiado.
Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la
eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el
éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el
resultado productivo optimizando los recursos de forma adecuada. El objetivo de operacio-
nes determina si se puede asegurar a la organización la no existencia de ineficiencias signi-
ficativas o que la eficacia en el proceso o en la organización auditada es poca. Y adicional -
mente brinda información útil que se comunica a la gerencia y a los auditores como hallaz-
gos incidentales en la evaluación del control.
Información financiera. El objetivo de información financiera, está dirigido a la adecuación
y eficacia de controles de gestión que rigen la confiabilidad de la información financiera
que se utiliza en la comunicación con externos.
Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles admi-
nistrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e inter-
nos. El cumplimiento trata principalmente con la correlación entre las leyes, procedimientos
de la organización y, la práctica real.
2.4.1 COSO II – Gestión de Riesgos Corporativos (ERM)
El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revi-
sado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco inte-
grado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque
Página 32
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso
de ser adoptada por las grandes empresas.
En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base funda-
mental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la ausencia
de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante
el intento por aumentar el valor de sus clientes o interesados.
La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o
disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia
trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad
de aumentar valor.
Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre
los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el
valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos
por la entidad.
La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]:
Alinear el riesgo aceptado y la estrategia
o Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, deter-
minando los objetivos requeridos y empleando mecanismos para administrar algu-
nos riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
o La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar
los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar,
reducir, compartir o aceptar.
Reducir las sorpresas y pérdidas operativas
Página 33
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
o Las organizaciones aumentan la capacidad de identificar los acontecimientos poten-
ciales con el propósito de establecer respuestas acordes a su nivel de complejidad,
de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad
o Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra
forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser
eficaces e integradas a los impactos que se puedan dar en estos riesgos.
Aprovechar las oportunidades
o Considerando eventos potenciales, la gerencia identifica y aprovecha las oportuni-
dades proactivamente, para poder sacarle valor a sus actividades.
Mejorar la dotación de capital
o Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficaz-
mente las necesidades de dinero lo cual le facilita la administración del mismo.
Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la
entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz,
el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus consecuen-
cias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a llegar al
destino deseado, evitando baches y sorpresas por el camino.
De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los ries-
gos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el
siguiente conjunto de características básicas de gestión de riesgos dentro de una organización:
Normalmente se comporta como un proceso continuo que fluye por toda la organización.
Todo el personal de la organización está en la capacidad de aplicarlo.
Se aplica en el establecimiento de la estrategia de control y gestión de riesgos.
La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a
nivel conjunto.
Página 34
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los
riesgos que se encuentran aceptados.
Ofrece seguridad al consejo de administración y a la dirección de la organización.
Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque suscep-
tibles de solaparse.
La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte
de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las
organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos
establecidos por una entidad determinada y proporciona una base para definir la eficacia de la ges-
tión de riesgos corporativos [Nasaudit, 2009].
Comparación del Control Interno de COSO y del Marco Integrado ERM
Marco de Control Interno Marco integrado ERM
Control del Entorno: El ambiente de control
establece el tono de una organización, in-
fluenciando de esta forma la conciencia de
control de su gente. Esta es la fundación
para todos los otros componentes de con-
trol interno, proporcionando disciplina y
estructura. Los factores del ambiente de
control incluyen la integridad, valores éti-
cos, estilo de gestión de funcionamiento,
delegación de los sistemas de autoridad, así
como los procesos de gestión y desarrollo
de personas dentro de la organización.
Entorno interno: El entorno interno abarca
el tono de la organización, y establece las
bases de cómo el riesgo es observado y di-
reccionado a las personas de la entidad,
incluyendo la filosofía en gestión de riesgos y
apetito de riesgo, integridad y valores éticos,
y el entorno en el cual todos operan.
Marco del objetivo: Los objetivos deben
existir antes de que la administración pueda
identificar eventos potenciales que lo afec-
ten. La gestión de riesgos empresariales
asegura que la administración ha puesto en
Página 35
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
ejecución un proceso para establecer objeti-
vos y que los objetivos seleccionados apo-
yan, se alinean con la misión de la entidad y
que sean consistentes con el apetito de ries-
go.
Identificación de Eventos: Los eventos exter-
nos e internos que afectan el logro de los
objetivos de la entidad deben ser identifica-
dos, distinguiendo entre riesgos y oportuni-
dades. Las oportunidades son canalizadas de
vuelta a la estrategia de gestión o los proce-
sos en los que se fijan los objetivos.
Evaluación de Riesgos: cada entidad mues-
tra una variedad y riesgos de fuentes que
deben ser evaluados. Una precondición
para la evaluación de riesgos es el estableci-
miento de objetivos, y por tanto la evalua-
ción de riesgos es la identificación y análisis
de riesgos pertinentes para la consecución
de los objetivos planeados. La evaluación
de riesgos es un prerrequisito para la deter-
minación de cómo se deben gestionar los
riesgos.
Evaluación de Riesgos: Los riesgos son anali-
zados, considerando la probabilidad y el
impacto, como bases para la determinación
de cómo se pueden gestionar. Las áreas de
riesgo se evaluaran de forma inherente y
formal.
Actividades de Control: Las actividades de
control son las políticas y procedimientos a
ayudan a asegurar que la gestión de las
directivas se llevan a cabo. Ayudan a garan-
tizar que se toman las medidas necesarias
Actividades de Control: Políticas y procedi-
mientos son establecidos e implementados
para ayudar a garantizar que las respuestas
al riesgo se lleven a cabo de forma efectiva.
Página 36
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
para hacer frente a los riesgos para la con-
secución de los objetivos de la organiza-
ción. Las actividades de control acurren a lo
largo de la organización, en todos los nive-
les y todas las funciones. Se incluyen una
serie de diversas actividades, aprobaciones,
autorizaciones, verificaciones, reconciliacio-
nes, revisiones del desempeño operativo,
seguridad de activos y segregación de fun-
ciones.
Información y Comunicación: Los sistemas
de información juegan un papel clave en
sistemas de control interno que producen
los informes, incluyendo operaciones, Infor-
mación financiera y de cumplimiento que
hace esto posible para ejecutar y controlar
el negocio. En un sentido más amplio, la
comunicación efectiva debe asegurar que la
información fluye hacia abajo, a través y
hacia arriba en la organización. La comuni-
cación efectiva debe estar también asegura-
da con las partes externas, cada cliente,
distribuidores, reguladores y accionistas.
Información y Comunicación: La informa-
ción relevante es identificada, capturada y
comunicada en una forma y marco de tiem-
po que la gente dispone para llevar a cabo
sus responsabilidades. La comunicación efec-
tiva también ocurre en un sentido más am-
plio por toda fluyendo de abajo hacia arriba
por toda la entidad.
Monitoreo: Los sistemas de control interno
requieren ser monitoreados, Un proceso
que evalúa la calidad del desempeño del
sistema sobre el tiempo, lo cual se logra con
actividades de monitoreo o de evaluaciones
Monitoreo: La totalidad de la gestión de
riesgos es monitoreada y se realizan modifi-
caciones en caso de ser necesarias. El moni-
toreo es realizado a través de las actividades
de gestión en ejecución, las evaluaciones
Página 37
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
separadas. Las deficiencias del control in-
terno detectadas a través de estas activida-
des de monitoreo deberían ser reportadas
en contra de la corriente y las acciones co-
rrectivas para asegurar la mejora continua
del sistema
independientes o ambas cosas.
Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM
2.5 COBIT - Control Objectives for Information and related Technology
En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de
seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es
importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los
que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información.
Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe com-
prender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas.
[Domenech & Lenis, 2007]
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus
siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración
determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos
técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y pre-
senta actividades de manejo lógico y sencillo. Estas “Buenas prácticas” de COBIT tienen el aporte
de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan mecanis-
mos medibles que permiten juzgar el buen resultado de las actividades. La gerencia debe garantizar
que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando soporte
a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique si
está cumpliendo satisfactoriamente los requerimientos de información y la optimización de recur-
sos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los crite-
rios del negocio que deben ser alcanzados:
Eficiencia
Página 38
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad.
El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es res-
ponsabilidad de la gerencia.
La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, dise-
ño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia re -
querida.
El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser
utilizado por usuarios, profesionales de seguridad en TI y los propietarios de los procesos de nego -
cio como una guía clara y entendible.
Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado
con los procesos de negocio tal como ofrecer controles apropiados.
COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el
cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa:
“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos,
los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una
forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pue-
den tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios:1
Planificación y Organización
Adquisición e Implementación
1[NetworkSec, 2008]
Página 39
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Entrega de servicios
Soporte y Monitorización.”
Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]
Página 40
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de
información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado
final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una
actividad de TI.
Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar
que se está aplicando un sistema de control apropiado para el entorno de tecnología de información
que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de
gobierno de TI más adecuada para administrar y mejorar el entendimiento de los riesgos, el control
y monitoreo, optimización de recursos en cada proceso y los beneficios que están relacionados con
información y la tecnología.
Página 41
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
IV – DESARROLLO DEL TRABAJO
La modalidad de investigación de este trabajo ha permitido obtener una experiencia bastante enri -
quecedora en la cual se han aprendido diversos temas de interés en el medio de la tecnología y ade -
más el poder compartir con algunos organismos su posición frente a estos temas en la actualidad. A
continuación se presentará el desarrollo que se llevó a cabo en la realización de este trabajo, expo-
niendo los entregables que hacen parte del trabajo de grado con el propósito de dejar por escrito y
con gran claridad el proceso en la elaboración de dicho trabajo.
1. Caracterización de las empresas
La elaboración de este entregable de trabajo de grado, inicio con dos etapas diferentes de levanta -
miento de información. La primera, considerada como esencial para el desarrollo del trabajo ya que
incluía la visita a una empresa Pyme en la cual se obtendría información de primera mano para
complementar la información del marco teórico y además poder establecer la gestión que le estaban
dando a su servicio de Cloud Computing. La segunda forma era por medio de investigación en
fuentes bibliográficas de documentos, libros o artículos que aportaran a la elaboración de dicho
documento.
El levantamiento de información que se realizó a través de la visita fue interesante pero no causo
los resultados que se esperaban para el desarrollo de este entregable, ya que no se contó con toda la
información que aportara un valor agregado al documento. La visita se llevó a cabo en una empresa
de outsourcing de tecnología, en la cual se conoció información básica como la misión, visión, obje-
tivos de trabajo, e información muy reducida sobre la gestión del servicio de Cloud Computing que
tienen en el momento, debido a las normas de confidencialidad con las que cuenta la empresa y a
las cuales solo pueden acceder personal de la empresa. En base a esto se concluyó que la actividad
fue débil e improductiva, ya que mediante la visita no se logró esclarecer debilidades del modelo
que permitieran determinar de forma más sencilla los requerimientos de control y aseguramiento
que este tipo de empresas puede necesitar con el servicio de Cloud Computing.
Para la segunda etapa, el tema de búsqueda fue bastante claro lo cual permitió tener una clara orga -
nización de los temas que se tocarían dentro del documento. Por sugerencia de varias personas se
Página 42
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
inicio la búsqueda con los proveedores del servicio, teniendo como premisa de búsqueda que los
grandes proveedores de Cloud Computing cuentan con la información bien documentada acerca de
sus servicios en sus portales, lo cual podría facilitar encontrar las fuentes de investigación.
CLOUD COMPUTING
SAAS – SOFTWARE AS A SERVICE
Salesforce
Google Apps
Windows Live
PLATFORM AS A SERVICE
Google App Engine
Microsoft Azure
Force.com
INFRASTRUCTURE AS A SERVICE
Página 43
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Amazon Web Service
GoGrid
Flexiscale
CLOUD STORAGE
Amazon Simple Storage Service (Amazon S3)
Nirvanix
Amazon SimpleDB
GESTORES DE CLOUD COMPUTING
OpenNebula
AbiCloud
Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Com-puting, 2011]
Seguido de esto, se buscó información acerca de las empresas Pyme con caso de éxito en el país y
las necesidades que las llevan a tomar este servicio de Cloud Computing. Para iniciar, se realizó una
búsqueda de empresas colombianas con casos de éxito en la implementación de los servicios de
Cloud Computing en su negocio [Avanxo, 2011], sin embargo con esta información y con los servi-
cios que ofrecen los proveedores se pudo reforzar el desarrollo del documento. Además, se encontró
Página 44
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
un documento adiciona [MesaSectorial, 2010], que permitió formalizar mucho mas la información
de los clientes de Cloud Computing.
Adicionalmente, surgió una idea para darle mayor utilidad a la información que se tenía sobre los
proveedores y fue la de elaborar un cuadro comparativo, en el que se expusieran las características
de sus servicios, con el propósito de brindarle al lector y a las empresas una base para tomar deci -
siones en la selección del proveedor de Cloud Computing que cumpla las expectativas de su nego-
cio.
De esta forma se concluyó el primer entregable del trabajo de grado, el cual se constituye como
parte fundamental en el desarrollo de la guía y del trabajo en general pues aporta un valor agregado
que no se tenía previsto en la presentación de la propuesta.
2. Desarrollo de la Guía Metodológica
El desarrollo de la guía metodológica inició con la recopilación de los temas que se habían determi-
nado durante el marco teórico y el documento de caracterización de las empresas, pues fueron la
base para el desarrollo que se le daría a la guía. Al completar estas dos fases iniciales de la metodo -
logía de trabajo, se dio apertura a la tercera fase que era el establecimiento de los requerimientos de
control y aseguramiento.
Como no había una claridad de los requerimientos, se tomó como apoyo el documento de la CSA
[Alliance, 2009] para elaborar una encuesta que permitiera determinar los requerimientos de control
y aseguramiento. La encuesta fue realizada a personal de TI en empresas Pyme de Bogotá, por lo
cual fue más fácil identificar diferentes factores y elementos que giran en torno a los requerimien-
tos de control y aseguramiento en Cloud Computing como se puede ver a continuación: “Anexo 3.
Encuestas”
Escenario de Cloud Computing
Escenario de Control y Aseguramiento
Interacción entre escenarios
Actor Proveedor
Actor Cliente
Interacción dentro actores en el Control y Aseguramiento de Cloud Computing
Página 45
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Encuesta
Resultados
Después de determinar los requerimientos, por sugerencia del director de trabajo de grado y de otras
personas se realizó una primera validación muy general sobre el proceso y los resultados obtenidos
para tener un control de calidad al contenido. De acuerdo al primer control, se corrigieron varios
detalles que estaban afectando la claridad de los requerimientos establecidos, los cuales después de
una segunda revisión ya no se encontraban.
De acuerdo con los requerimientos determinados para el desarrollo de la guía, se elaboró un diagra-
ma que describe el nivel de profundidad que se quiso llegar con cada requerimiento. Es por eso, que
a continuación se puede observar el diagrama como unidad, involucrando todos los temas que se
tocaron, y además se puede ver que también se encuentra dividido en tres grandes secciones en las
que se separaron todos los requerimientos.
MAPA
Página 46
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 47
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Después de haber dejado claro el nivel de detalle en el que se desarrollaría la guía, se elaboró el
formato en el cual se establecería la completa descripción y documentación de cada uno de los re-
querimientos.
Paso Guía Control y Aseguramiento
Objeti-vo de Control COBIT
Am
bien
te d
e C
ontro
l
Eval
uaci
ón d
e R
iesg
o
Act
ivid
ades
de
Con
trol
Act
ivid
ades
y C
omun
icac
ión
Mon
itore
o Referen-cias Cruza-
das Comenta-rios
Tabla 4 - Formato de documentación de la Guía
Finalmente, se adicionó una sección con la cual se puede medir la madurez de la empresa en aspec -
tos de control y aseguramiento. Dentro de este formato se describen detalladamente los procesos u
objetivos de control de COBIT, a partir de los cuales se puede realizar la evaluación.
Página 48
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Objetivos de Control de COBITMadurez
Evaluado
Objetivo
MadurezComentarios
Tabla 5 - Formato de Control de Madurez
Al terminar el documento de la guía metodológica, se realizó una revisión de calidad y control ini -
cial con el propósito de entregar a los evaluadores un producto en condiciones óptimas. Estas per-
sonas realizaron su respectiva evaluación en donde se dieron unos comentarios de mejoras a la guía
para incluirlas en la versión final del documento. Para información “Anexo 4. Validaciones”
3. Mecanismos de Validación
En conformidad con la fase de definición de mecanismos de validación y aprobación para la guía,
se decidió realizar un breve análisis de las opciones con las que se el mecanismo más adecuada, que
se ajuste al tiempo que se cuenta para su realización.
Para hacer efectivo este análisis se revisará cada uno de los conjuntos de evaluación, de tal forma
que al finalizar este apartado acerca de los mecanismos de validación se tenga claro cual se va a
utilizar en la aprobación de la guía.
Mecanismos
Después de una revisión en varios escritos y trabajos, el ambiente en el que se desenvuelve el pro -
yecto, es decir, los escenarios [Hidalgo/Guía Metodológica de Control y Aseguramiento en Cloud
Computing para Pymes, 2011] en los que gira el trabajo y la modalidad de desarrollo del mismo, se
definieron tres posibles mecanismos de validación y aprobación para la guía metodológica. La pri-
mera se identifica por medio de la obtención de servicios en la nube de forma personal por parte del
autor y de esta forma poder analizar de forma personalizada el desarrollo final del producto, la se -
gunda es la opinión de expertos o conocedores del tema, y finalmente aplicar la guía metodológica a
Página 49
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
un caso de estudio real es decir a una empresa (PYME) que actualmente cuente con los servicios de
Cloud Computing.
1. Obtener los servicios de Cloud Computing directamente para evaluar la guía.
El desarrollo de esta posibilidad como se puede analizar en el titulo del mecanismo, resulta ser
interesante ya que pone de frente con la experiencia al autor de la guía metodológica, con el
propósito de evaluar su propio producto. A continuación se expondrán las ventajas y desventa-
jas de este mecanismo.
Ventajas
Genera más rigurosidad para que se evalúe de forma detallada la guía elaborada.
El autor puede tener una gran experiencia personal, no solo de tomar los servicios
de Cloud Computing sino de poder evaluar su propio producto
Amplia la visión del autor ante la investigación realizada en el levantamiento de
información para el marco teórico.
Se daría gran validez al apartado de caracterización de empresas, para la toma de
decisión sobre el proveedor que más convenga según las necesidades del cliente.
Desventajas
Se puede tornar extenso, pues es necesario contar con buena experiencia y conoci-
miento del servicio de Cloud Computing que se haya tomado.
Teniendo en cuenta la extensión puede afectar el alcance del trabajo que está defi-
nido para un semestre académico.
El autor no cuenta con un negocio real o las necesidades de una pyme al momento
de tomar los servicios de Cloud Computing, por lo cual varios de los puntos de la
guía se verían afectado dentro de la evaluación.
El autor podría contar con el acompañamiento de una pyme para la toma del servi-
cio, pero esto implicaría la búsqueda de una pequeña o mediana empresa que aun
no cuente con el servicio, identificarla, analizar su negocio, sus necesidades y to -
marlas como propias para darle una mayor validez a los resultados.
Se podría contar con el acompañamiento de un conocedor en el tema (profe-
sionalmente activo), pero es complicado si el autor y el acompañante no cuenta
con el mismo tiempo disponible.
Página 50
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Genera un costo adicional al trabajo, que no ha sido tenido en cuenta en el
desarrollo de la propuesta
2. Opinión de expertos
El desarrollo de este mecanismo de validación se realiza encontrando personas con el conoci-
miento y la experiencia necesaria sobre los temas desarrollados a lo largo de la guía como lo
fue en este caso, el cual brinde un punto de vista objetivo sobre el proceso que se llevo a cabo
y que evalúe teniendo en cuenta tanto el objetivo del trabajo como el valor que se desea gene -
rar por medio de este.
Ventajas
No genera ningún costo adicional al establecido dentro de la propuesta del
trabajo.
Puede generar varios puntos de vista favorables a partir de la cantidad de per-
sonas que hayan valorado la guía.
Se puede contar con el apoyo de la persona durante todo el proceso de elabo-
ración de la guía, lo cual puede aportar refinamiento al producto final.
La opinión está dirigida tanto al objetivo del trabajo como al valor agregado
que pueda generar en la actualidad el producto final.
No toma tanto tiempo, pues se cuenta con el conocimiento y la experiencia
necesaria para dar una opinión clara y concreta del trabajo.
Se ajusta al tiempo y alcance del trabajo.
Desventajas
Que la o las personas no cuenten con el tiempo disponible.
Que la persona determine que sea necesario obtener los servicios de Cloud
Computing de manera que se valide más detalladamente.
No encontrar a las personas a tiempo.
Aprobación teórica.
3. Aplicación a un caso de estudio real
Página 51
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
EL desarrollo de este mecanismo es sencillo, pues se debe contar con una empresa (PYME),
que permita aplicar la guía metodológica, con el propósito de aprobarla de forma directa a un
servicio de Cloud Computing que esté utilizando la empresa.
Ventajas
No genera un costo adicional a lo establecido dentro de la propuesta del traba-
jo.
El tiempo de aplicación no se debe extender a más de una semana.
Se toman en cuenta necesidades reales de una empresa (Pyme), para la co-
rrecta validación de la guía.
Se observa el valor agregado que brinda la guía a la empresa, después de ha-
berla aplicado dentro de la organización.
Da fortalecimiento a la validación y aprobación de la guía, pues en caso de ser
exitosa la experiencia, se demuestra que es un producto apto para ser utilizado
en las empresas (pyme).
Desventajas
No contar con el permiso de una empresa para aplicar la guía en su negocio.
Se debería contar con aprobación previa de una persona externa al desarrollo
de la guía, para aplicarla finalmente a una empresa en particular.
Disponibilidad de personal apto dentro de la empresa para hacer seguimiento y
desarrollo a la guía.
Decisión Final
Como se puede observar, hay varios mecanismos por los cuales se puede validar y aprobar el traba-
jo realizado, y aunque solo se hayan identificado tres se ha analizado los puntos a favor y en contra
de cada uno para poder tomar una decisión justa acerca del mecanismo que se decida utilizar.
Después de haber analizado cada mecanismo se ha tomado la decisión por realizar la aprobación
por medio de la opinión de un experto o conocedor del tema, ya que brinda ventajas suficientes para
la validación y aprobación de la guía sin afectar el alcance o los objetivos planteados en la propues-
ta. No obstante, se tendrá en cuenta la posibilidad de aplicar el tercer mecanismo de validación, lo
Página 52
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
cual dependerá del tiempo con el que se cuente después de la respectiva validación por parte de una
persona experta o conocedora de los temas planteados en el desarrollo de la guía.
4. Validación y Aprobación de la Guía Metodológica
De acuerdo al mecanismo establecido para la validación y aprobación de los guía, se determinó
darle aprobación tanto a los requerimientos como a la guía, pues era de gran importancia establecer
control y calidad del producto desde el inicio hasta el final del proceso. Para validar estos elemen -
tos del trabajo se contactaron las personas expertas, que cuentan con una visión más amplia de
Cloud Computing y de gobierno de TI, pues son áreas en las que han obtenido una amplia experien-
cia y conocimiento.
La ejecución de esta fase metodológica, incluyó una reunión con cada uno de los expertos, el direc-
tor del trabajo y el autor de la guía, en la que se realizó una presentación que contenía todo el desa-
rrollo del trabajo, desde su inicio hasta el momento de la reunión. Además, se les hizo entrega de
los documentos de caracterización de empresas, la guía metodológica y un formato para registrar
sus comentarios y aprobación de los documentos, que fue elaborado en colaboración de una persona
externa al trabajo con el fin de lograr mayor objetividad en la evaluación de los documentos.
“Anexo 3. Validaciones”
Página 53
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS
Después de haber desarrollado este trabajo de grado de acuerdo a lo planeado en su totalidad, se
concluye que tanto el objetivo principal como los objetivos específicos fueron cumplidos satisfacto-
riamente, permitiendo dar de esta manera una respuesta a la pregunta formulada en la formulación
del problema.
Como se mencionó al inicio de este documento, el modelo de Cloud Computing ha estado maduran-
do bastante en estos últimos años, sin embargo en Colombia es una tecnología que aun está en cre -
cimiento con una clara expansión en las pequeñas y medianas empresas. Sin embargo, el tema de
control y aseguramiento dentro del modelo no es muy amplio lo cual llevó al desarrollo de este
trabajo.
Inicialmente se comenzó dando un conocimiento del entorno en el cual se desarrolló el trabajo, a
través del marco teórico y el documento de caracterización de empresas. En el marco teórico se dio
a conocer toda la información relevante de Cloud Computing y el marco de control que se utilizó en
la elaboración de la guía metodológica con el fin de dejar en claro al lector los conceptos que se
manejarían a lo largo del trabajo. Este levantamiento de información se vio complementado con el
documento de caracterización de empresas en el cual se profundizó en el conocimiento de los pro -
veedores y clientes de Cloud Computing, haciendo énfasis en las Pymes, empresas que son parte del
objetivo del trabajo.
De acuerdo con esto, el documento de caracterización de empresas brinda los siguientes beneficios:
Ofrecer a las empresas cliente un apoyo en la elección del proveedor que más se ajuste a sus
necesidades. Gracias al análisis comparativo, las empresas cliente de Cloud Computing
podrán tomar la opción que más les convenga a los intereses de su negocio, pues hoy en día
es importante conocer todo tipo de características que ofrecen dentro de los servicios de
Cloud Computing y mucho más para una empresa Colombiana teniendo en cuenta que no
todas tienen un conocimiento total del tema.
Página 54
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Por otro lado, también permite conocer cuál es la situación a nivel nacional de las empresas
sobre el uso y manejo de Cloud Computing, en donde se observa que las Pymes son las que
más se han visto beneficiadas con el surgimiento de esta nueva tecnología
Permite establecer de manera clara, cuales son las principales necesidades de las empresas,
las cuales se pueden deducir a partir de los servicios que ofrecen las empresas proveedoras
o de forma explícita realizando una búsqueda de las necesidades de las Pymes.
Proporcionar una plataforma TI para procesos de negocio que impliquen a múltiples departamentosBackup de datos
Ejecutar aplicaciones de CRM, ERP o SCMFacilitar Herramientas de productividad personal y colaboración a los empleados
Software de testing y desarrolloAlmacenar y archivar grandes ficheros como audio y video
Analizar datos de clientes u operacionesEjecutar sitios web de eBusiness o eGobernement
Analizar datos de I+DSoportar proyectos como estudios, prototipos de ingeniería…
Soportar picos en la demanda del sitio web o sistemas internosProcesar y almacenar aplicaciones
Ejecutar aplicaciones de grandes cantidades de datosCompartir información con la administración o autoridades regulatorias
Proporcionar entrenamiento al consumidor , información y comunicaciones Ninguna de las anteriores
0% 10% 20% 30% 40% 50%43%
42%39%
38%35%
34%33%
32%30%30%30%
29%24%
20%18%
2%
Proposito para el cual utilizarán las empresas el Cloud Computing
Series1
Ilustración 10 - Razones de las empresas para utilizar Cloud Computing
Con el propósito de cumplir con la secuencia sugerida en la metodología, al terminar el documento
de caracterización de las empresas se dio inicio con el establecimiento de los requerimientos para la
elaboración de la guía metodológica, pues en ese momento fue claro que la elaboración de la guía
Página 55
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
debía estar sujeta a unas buenas bases de conocimiento y ante todo a la necesidad de control y ase-
guramiento.
Para el inicio de la fase de establecimiento de los requerimientos solo se contaba con la información
del marco teórico y el documento de caracterización de las empresas lo cual fue de gran apoyo. Sin
embargo, observando que esto no era suficiente, fue necesario hacer una encuesta para conocer las
necesidades de primera mano con personas que trabajan en empresas que actualmente cuentan con
el servicio de Cloud Computing. La encuesta, tuvo como base las fases mencionadas y el documen-
to de la CSA [Alliance, 2009] para poder orientar las preguntas estrictamente al campo de control y
aseguramiento que requerían los resultados.
0%20%40%60%80%
100%
0.00%18.18%
45.45%54.54%27.27%
45.45%63.63%
27.27%63.63%36.36%
18.18%9.09%
9.09%9.09%
27.27%
18.18%
36.36%45.45%36.36%36.36%63.63%
45.45%9.09%
54.54%
No SabeNo Si
Ilustración 11 - Resultados Encuesta
Con base en estos resultados, el documento de Alliance [Alliance, 2009] y la aprobación de una
persona “Anexo 4 Validaciones”, se establecieron los requerimientos formales para la elaboración
de la guía metodológica, en la cual se desarrollaría y documentaría cada requerimiento de forma
más detallada.
Página 56
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Ya en la elaboración de la guía metodológica, los requerimientos que se habían establecido se agru-
paron de la siguiente forma.
TEMA SUBTEMAS
Gobierno en Cloud Computing 1. Gobierno y Gestión de Riesgos Empresa-
riales
2. Cuestiones legales y descubrimiento elec-
trónico
3. Cumplimiento de estándares y auditoria
4. Portabilidad e Interoperabilidad
Operación de Cloud Computing 5. Respuesta ante incidencias, notificación y
solución
6. Seguridad de las aplicaciones
7. Seguridad e Integridad de datos
8. Cifrado y gestión de claves.
9.Virtualización
Tabla 6 - Agrupación de Requerimientos
Como se puede observar, no se establecieron muchos requerimientos sin embargo cada uno de estos
se documentó de forma más detallada de acuerdo al criterio del director y el autor del trabajo, si -
guiendo el marco de control COBIT. No obstante, queda la inquietud de que temas pudieron quedar
por fuera de la elaboración de la guía, pero este será un análisis que deberán hacer las personas que
tengan contacto con el trabajo.
Luego de haber cumplido con los objetivos, con cada una de las fases propuestas para el desarrollo
del trabajo y finalizar la guía, se puede manifestar que la respuesta a la pregunta establecida en la
formulación del problema se ve resuelta no solo en el producto final que es la guía, sino también en
el proceso que se llevó a cabo para su elaboración, pues gracias a esto se pudo establecer un docu -
mento en el cual las empresas pueden confiar y apoyarse para llevar el control y aseguramiento a
los procesos que se llevan a cabo en el servicio de Cloud Computing.
Página 57
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
VI – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS
1. Conclusiones
Como primer aspecto a resaltar está la gran acogida que ha tenido Cloud Computing a nivel
mundial, especialmente en Colombia donde aún está en un proceso de crecimiento. Además se
observar que las Pymes, han sido las empresas más beneficiadas al acoger dicho modelo por
ventajas de costo, manejo, etc.
En Cloud Computing, la información sigue siendo el activo más valioso para las empresas, es
por ello que sigue siendo necesario tener un claro control y aseguramiento de esta. Por esta
razón, las empresas deben tener bien definido un modelo de gobierno de TI que utilizan al inte-
rior de la organización con el propósito de realizar una gestión óptima, es decir, que hagan un
uso correcto de los recursos con los que cuentan y obteniendo un amplio conocimiento de los
marcos regulatorios que los controlan, para obtener mayores ganancias.
Otro aspecto a resaltar es la información clara y objetiva que se trató de generar a través de la
caracterización de las empresas, en la cual se hizo un análisis de las empresas proveedoras y de
las empresas cliente con énfasis en las Pymes pues aporta un valor agregado al trabajo, ya que
profundiza en las necesidades principales de las empresas y brinda a las empresas cliente un
apoyo para escoger el proveedor que más se ajuste a sus necesidades.
En cuanto al objetivo general del trabajo, se manifiesta que se cumplió de la forma esperada, lo
cual se logró en la medida que se siguió cada objetivo específico planteado, la metodología y en
general toda la propuesta realizada.
Página 58
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Finalmente se puede ver que no solo por medio del producto final, sino también en el proceso
que se llevó a cabo en la elaboración del trabajo, queda la evidencia que se dio un gran aporte
tanto a la problemática en general como a las problemáticas que están enmarcadas en la visión
de la Pontificia Universidad Javeriana, mencionadas en la justificación de este documento.
2. Recomendaciones
La primera recomendación dirigida hacia los estudiantes, se relaciona con tener total claridad y
conocimiento de la problemática que desea solucionar, contemplando un alcance, y un plan de
trabajo bien planteado. Además es importante realizar un buen trabajo de investigación ya sea
de forma escrita o experimental que le permita a la persona ampliar su visión del trabajo en
general, que vaya de acuerdo a la modalidad escogida por el estudiante.
Es importante mencionar para los estudiantes que tomen un tema nuevo o novedoso en las áreas
de ingeniería de sistemas, tener un amplio contacto con las personas o empresas que tengan
conocimiento o aplicabilidad de estos temas, pues esto le brindará muchas más herramientas
para poder atacar la problemática que haya planteado.
La recomendación para el departamento de Ingeniería de Sistemas, apoyar todo tipo de iniciati-
va que permitan interrelacionar dos grupos diferentes de investigación independiente de cuáles
sean, con el propósito de brindarle a los estudiantes una visión más amplia de sus trabajos alre-
dedor de la investigación que desee realizar, sin tener que enfocarlo a una modalidad en espe-
cial como se ha venido haciendo hasta ahora.
Para finalizar, la recomendación a la universidad es seguir apoyando financiera y logísticamente
los proyectos que se lleven a cabo por los estudiantes. Además que se pueda contar con la infor-
mación correspondiente con temas que se consideren nuevos o novedosos para la ingeniería de
sistemas como fue el caso de este trabajo.
3. Trabajos Futuros
En trabajos futuros se puede llegar a profundizar aun más en los requerimientos de control
y aseguramiento para Cloud Computing en las Pymes, pues teniendo en cuenta que este tipo
de empresas han sido las más beneficiado, el crecimiento y evolución del modelo de Cloud,
Página 59
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
se pueden estar generando muchos más requerimientos a futuro con los que se puedan pro-
fundizar este trabajo.
Para optimizar tiempos y por sugerencia de las personas que validaron el trabajo realizado,
en futuros trabajos se puede desarrollar una herramienta software que contemplen este tipo
de guías de control con fácil manejo para cualquier persona que pertenezca al área de TI de
su organización.
Se puede ampliar la información acerca de la caracterización de las empresas, en donde se
tengan en cuenta las futuras empresas proveedoras que surjan en Colombia, su aporte tecno-
lógico en el país y su proyección a nivel internacional.
Se puede realizar la guía metodológica tomando a ITIL V3 como el marco de control para
evaluar Cloud Computing en las Pymes, de tal forma que permita mapear y comparar las
diferencias y similitudes con COBIT.
Página 60
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
VII - REFERENCIAS Y BIBLIOGRAFÍA
1. Referencias
Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011, de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-evolucion-revolucion-no.1.html
Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud Computing', CSA-Cloud Security Alliance.
Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad', Revista Espaсola de Electrónica, 7.
Asofis (2009), 'Control interno –Informe Coso', Documento abierto al público.
Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado 22 de Febrero, 2011, de http://www.avanxo.com
Ayala, L. (2011), 'En la era de Cloud Computing', Colombia Digital. Recuperado 22 de Febrero, 2011, de http://www.colombiadigital.net/index.php?option=com_content&view=article&id=288:en-la-era-del-cloud-computing&catid=75:apropiacion-tic&Itemid=274
Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recursos e información tecnológica empresarial para CIOs.
Castellanos, W. A. (2011), 'Consideraciones de seguridad y privacidad en Cloud Computing', in Wilmar Arturo Castellanos Morales, ed., Deloitte ToucheLTDA, Deloitte, [email protected], 34.
Computing, S. C. (2009), 'Infrastructure as a Service (IaaS)', SearchCloudComputing.com. Recuperado 22 de Febrero, 2011, de http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS
Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information and related Technology', Information Systems Audit and Control Association, Technical report, IT Governance Institute, Documento de Gobierno de TI.
Página 61
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado 20 de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-era-de-desarrollo/
Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.
Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. ¿Qué es? ¿Para qué sirve?', Arturogoga.
Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)', Global Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo
Gutiérrez, J. (2010), '¿Cloud Computing: una opción viable para su negocio?', in Juan Gutiérrez, ed., ACIS-Asociación Colombiana de Ingenieros de Sistemas.
Gutiérrez, A. (2009), 'Definición de Platform as a Service (PaaS)', Knol Beta - A unit of knwoledge. Recuperado 18 de Febrero, 2011, de http://knol.google.com/k/qu%C3%A9-es-paas#
Hidalgo, P. A. (2011), 'GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES', Technical report, Pontificia Universidad Javeriana.
Hidalgo, P. A. (2011), 'Cuenta correo Javeriana1', Muestra de ingreso al correo.
Hidalgo, P. A. (2010), 'Propuesta de Proyecto de Grado', 23.
Javeriana, P. U. (1992), Misión, in Consejo Directivo Universitario, ed., pp. 1. Recuperado 04 de Marzo, 2011, de http://puj portal.javeriana.edu.co/portal/page/portal/PORTAL_VERSION_2009_2010/es_mision
Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04 de Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-paas.html
Lenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and related Technology', Information Systems Audit and Control Association, Technical report, IT Governance Institute, Documento de Gobierno de TI.
Martínez, L. F. (2011), 'Colaboración Trabajo Grado', Correo electrónico, Información obtenida por comunicación por correo electrónico.
Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recuperado 18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/
Página 62
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO', MercadoTendencias.com. Recuperado 20 de Febrero, 2011, de http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/
MesaSectorial (2010), 'CLOUD COMPUTING UNA PERSPECTIVA PARA COLOMBIA', Documento PDF.
Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de gestión empresarial'.
Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de conocimiento público, [email protected].
NetworkSec (2008), 'Implantación de Gobierno de TI (Tecnologías de la Información)', Resumen Ejecutivo, [email protected], C/ Xàtiva 4-izquierda 646002 · Valencia.
Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la información. Recuperado 20 de Febrero, 2011, de http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemid=40
Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28 de Febrero, 2011, de http://www.parallels.com/es/products/saas/
Piebalgs, A. (2010), 'Software as a Service', Noticias.Com. Recuperado 18 de Febrero, 2011, de http://www.noticias.com/opinion/software-as-service-4h3.html
SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry Association, 9.
Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Software Development 32, 5.
Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Riesgos Corporativos-Marco Integrado'.
Toro, C. A. O. (2009), 'CLOUD COMPUTING COMO HERRAMIENTA FACILITADORA PARA EL EMPRENDIMIENTO EN COLOMBIA'(23rd)'Proceedings of the 3rd ACORN-REDECOM Conference México City May', 1.
Wolff, B. (2009), 'Cloud Computing – A Five Layer Model', BlueLock, 1. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-compu-ting--a-five-layer-model--. Recuperado 28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--
Página 63
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
VIII - ANEXOS
1. Anexo 1. Glosario
2. Anexo 2. Actividades TG
3. Anexo 3. Encuestas
4. Anexo 4. Validaciones
Página 64
Top Related