UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIA DEL HOMBRE Y LA NATURALEZA
LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
“LOS SERVICIOS EN LA NUBE Y SU INCIDENCIA EN LAS ESTRATEGIAS
DE SEGURIDAD DE APLICACIONES Y DATOS DE LA PEQUEÑA Y
MEDIANA EMPRESA DE LOS MUNICIPIOS DE SAN SALVADOR,
SOYAPANGO E ILOPANGO, DEPARTAMENTO DE SAN SALVADOR EN EL
AÑO 2013”.
TESIS PARA OPTAR AL GRADO DE
LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN.
PRESENTADO POR
CAÑENGUEZ HERNANDEZ, INGRID ELIZABETH.
FLORES ARGÜELLO, MARÍA INDIRA.
ASESORA:
LICDA. ANA LISSETTE GIRÓN.
NOVIEMBRE 2013
SAN SALVADOR, EL SALVADOR, CENTROAMÉRICA
UNIVERSIDAD LUTERANA SALVADOREÑA
AUTORIDADES UNIVERSITARIAS
LIC. FIDEL NIETO LAÍNEZ
RECTOR
LIC. JOSÉ DAGOBERTO GUTIÉRREZ LINARES
VICE-RECTOR
LICDA. ANA DE LOS ÁNGELES SALOMONE
SECRETARIA GENERAL
LIC. LUIS HERNÁNDEZ
FISCAL
DR. ROLANDO MARTÍNEZ MELARA
DECANO DE LA FACULTAD DE CIENCIAS
DEL HOMBRE Y LA NATURALEZA
UNIVERSIDAD LUTERANA SALVADOREÑA
MIEMBROS DEL JURADO CALIFICADOR
LIC.
PRESIDENTE
LIC.
SECRETARIO
ING.
VOCAL
INDICE
INTRODUCCION ..................................................................................................... I
CAPITULO I ............................................................................................................ 1
1. PLANTEAMIENTO DEL PROBLEMA ............................................................ 1
1.1 SITUACIÓN PROBLEMÁTICA ..................................................................... 1
1.2 ENUNCIADO DEL PROBLEMA ................................................................... 4
1.3 JUSTIFICACIÓN ........................................................................................... 4
1.4 OBJETIVOS .................................................................................................. 8
1.4.1 Objetivo General ..................................................................................... 8
1.4.2 Objetivos Específicos ............................................................................. 8
1.5 DELIMITACIÓN............................................................................................. 9
1.5.1 Delimitación Geográfica. ........................................................................ 9
1.5.2 Delimitación Temporal. ........................................................................... 9
1.5.3 Delimitación Poblacional. ..................................................................... 10
1.5.4 Delimitación Contextual........................................................................ 10
1.5.5 Delimitación Social ............................................................................... 10
1.6 ALCANCES Y LIMITACIONES .................................................................. 11
1.6.1 Alcances ............................................................................................... 11
1.6.2 Limitaciones .......................................................................................... 12
CAPITULO II ......................................................................................................... 13
2 MARCO REFERENCIAL .............................................................................. 13
2.1 Pequeña y Mediana Empresa en El Salvador ........................................... 13
2.1.1 Clasificación de las Pequeñas y Medianas Empresas ....................... 14
2.2 Clasificación de las Empresas en El Salvador .......................................... 15
2.2.1 Clasificación por Actividad a la que se dedican .................................. 15
2.2.2 Clasificación por su tamaño. ................................................................ 16
2.2.2.2 Por su número de trabajadores (Según el BMI) ............................... 17
2.2.2.3 Por sus Ventas Totales (según el BMI) ............................................ 17
2.3 Origen del término Cloud Computing ......................................................... 18
2.4 El origen de El Cómputo en la Nube .......................................................... 19
2.5 Cloud Computing o Computación en la Nube .......................................... 22
2.6 Componentes de la Computación en la Nube ........................................... 23
2.7 Arquitectura de referencia en Cloud Computing........................................ 26
2.7.1 Infraestructura como servicio o Infrastructure as a Service (IaaS)..... 28
2.7.2 Plataforma como servicio o Platform as a Service (PaaS) ................. 29
2.7.2.1 Características de una Plataforma como Servicio ........................... 31
2.7.2.2 Beneficios de PaaS ........................................................................... 32
2.7.2.3 Recursos PaaS .................................................................................. 32
2.7.3 Virtualización ........................................................................................ 33
2.7.3.1 Algunas de las características de la Virtualización son: .................. 33
2.7.4 Software como Servicio o Software as a Service (SaaS) ................... 34
2.7.4.1 Las características fundamentales de este modelo se pueden....... 34
2.7.4.2 Tres sistemas básicos que desarrolla un Proveedor de SaaS ........ 35
2.7.4.3 Algunos aspectos fundamentales de cara al cliente que va a
consumir los servicios SaaS. ........................................................................ 36
2.8 Tipos de Cloud ............................................................................................ 40
2.8.1 Cloud pública ........................................................................................ 40
2.8.2 Cloud privada ........................................................................................ 41
2.8.2.1 Diferencias entre Nube Pública y Nube Privada .............................. 41
2.8.3 Cloud Híbrida ........................................................................................ 43
2.9 Implementaciones ....................................................................................... 44
2.9.1 Amazon Web Services (AWS) ............................................................. 45
2.9.1.1 Amazon Elastic Compute Cloud (EC2) ............................................ 46
2.9.1.1.1 Características que brinda Amazon con este servicio son: .......... 47
2.9.1.2 Amazon Simple Storage Service (S3) .............................................. 48
2.9.2 Microsoft Windows Azure ..................................................................... 50
2.10 Cloud Computing y SOA........................................................................... 52
2.11 Aspectos claves en la elección de IaaS frente a sistemas tradicionales 55
2.11.1 Aspectos técnicos............................................................................... 56
2.11.2 Aspectos estratégicos ........................................................................ 57
2.11.3 Aspectos económicos ........................................................................ 58
2.11.4 Aspectos legales ................................................................................ 58
2.12 Aspectos claves en la elección de PaaS frente a sistemas tradicionales
........................................................................................................................... 58
2.12.1 Calidad final ........................................................................................ 59
2.12.2 Interoperabilidad con otros sistemas en línea ................................... 59
2.13 Aspectos Claves a tomar en cuenta para implantar una solución PaaS 60
2.13.1 Aspectos técnicos............................................................................... 60
2.13.2 Aspectos estratégicos ........................................................................ 60
2.13.3 Aspectos económicos ........................................................................ 61
2.13.4 Aspectos legales ............................................................................... 61
2.14 Aspectos claves en la elección de SaaS frente a sistemas tradicionales
........................................................................................................................... 62
2.14.1 Coste ................................................................................................... 62
2.14.2 Administración informática ................................................................. 62
2.14.3 Independencia de las mejoras en las aplicaciones ........................... 62
2.15 Aspectos clave a la hora de decidir optar por soluciones SaaS de forma
total o parcial en la organización: ..................................................................... 63
2.15.1 Aspectos técnicos............................................................................... 63
2.15.2 Aspectos estratégicos ........................................................................ 63
2.15.3 Aspectos económicos ........................................................................ 64
2.15.4 Aspectos legales ................................................................................ 64
2.16 Otros XaaS: El caso del Virtual Desktop Infrastructure (VDI) ................. 64
2.17 Riesgos en Cloud Computing ................................................................... 67
2.17.1 Riesgo de pérdida de datos: .............................................................. 68
2.17.2 Riesgo de caída del servicio: ............................................................. 68
2.18 Beneficios .................................................................................................. 69
2.19 Desventajas .............................................................................................. 70
2.20 Principales factores que contribuyen a mejorar la productividad y
competitividad en las Pequeñas y Medianas empresas.................................. 71
2.21 La nube una alternativa para las PYMES ................................................ 73
2.22 Cinco pasos clave y sencillos para llegar a la nube ................................ 75
2.23 Seguridad Informática ............................................................................... 77
2.23.1 Seguridad en el Web .......................................................................... 77
2.23.2. Importancia de la seguridad en el Web ............................................ 78
2.23.3 Objetivos de la Seguridad. ................................................................. 80
2.23.4. Estrategias de Seguridad. ................................................................. 81
2.23.4.1. Metodología para la definición de una estrategia de seguridad
(Benson, 2001). ............................................................................................. 84
2.23.5 Amenazas a la seguridad de la información. .................................... 92
2.23.6 Creación de una estrategia para controlar los riesgos de Tecnología
de Información ............................................................................................... 96
2.24 La importancia de analizar los riesgos de las TI ..................................... 99
2.25 Arquitectura de Sistemas: I.- Cloud Computing. ................................... 103
2.26 Plan de Recuperación Ante Desastres .................................................. 105
2.27 La Solución de Acronis ........................................................................... 111
2.28 CLOUD COMPUTING Y LA FILOSOFÍA OPENSOURCE ................... 113
2.29 ASPECTOS LEGALES ........................................................................... 115
2.29.1 LA COMPUTACIÓN EN LA NUBE EN EUROPA............................... 115
2.29.2 LA COMPUTACIÓN EN LA NUBE EN LATINOAMERICA ................ 116
2.29.3 LA COMPUTACIÓN EN LA NUBE EN EL SALVADOR .................... 118
2.30 TERMINOLOGÍA BÁSICA ...................................................................... 120
CAPITULO III ...................................................................................................... 125
3. SISTEMA DE HIPÓTESIS .......................................................................... 125
3.1 HIPÓTESIS GENERAL ............................................................................ 125
3.2 HIPÓTESIS ESPECÍFICAS ...................................................................... 125
3.3 RELACIÓN ENTRE OBJETIVOS E HIPÓTESIS .................................... 126
3.4 RELACIÓN ENTRE HIPÓTESIS GENERAL E HIPÓTESIS ESPECÏFICAS
......................................................................................................................... 127
3.5 OPERACIONALIZACIÓN DE VARIABLES ............................................. 128
3.6 MATRIZ DE CONGRUENCIA .................................................................. 131
CAPITULO IV...................................................................................................... 133
4. METODOLOGÍA DE LA INVESTIGACION ................................................ 133
4.1 TIPO DE ESTUDIO................................................................................... 133
4.1.1 INVESTIGACIÓN BIBLIOGRÁFICA ................................................ 133
4.1.2 INVESTIGACIÓN DE CAMPO: ........................................................ 133
4.2 NIVELES DE ESTUDIO........................................................................... 133
4.2.1 EXPLORATORIO: ............................................................................. 134
4.2.2 DESCRIPTIVO: ................................................................................ 134
4.2.3 EXPLICATIVO: ................................................................................... 134
4.3 MÉTODO LÓGICO: .................................................................................. 135
4.3.1 DEDUCTIVO ....................................................................................... 135
4.3.2 INDUCTIVO ........................................................................................ 135
4.3.3 ANALÍTICO ......................................................................................... 135
4.3.4 SINTETICO ......................................................................................... 135
4.4 SUJETO Y OBJETO DE ESTUDIO ....................................................... 135
4.5 UNIDADES DE ANÁLISIS ........................................................................ 136
4.6 POBLACIÓN Y MUESTRA. ...................................................................... 136
4.6.1 POBLACIÓN: ...................................................................................... 136
4.6.2 MUESTRA: ......................................................................................... 137
4.7 TÉCNICAS E INSTRUMENTOS DE LA INVESTIGACIÓN: ................... 140
4.7.1 TÉCNICA: ........................................................................................... 140
4.7.2 INSTRUMENTOS: .............................................................................. 141
4.8 PROCESO DE VALIDACIÓN DE INSTRUMENTOS. ............................. 142
4.9 PROCEDIMIENTO DE LA INVESTIGACIÓN. ........................................ 143
4.9.1 PROCEDIMIENTO GENERAL ......................................................... 143
4.10 PROCEDIMIENTOS ESTADISTICOS. ................................................. 144
CAPITULO V....................................................................................................... 145
5. ANÁLISIS E INTERPRETACIÓN DE RESULTADO ................................. 145
5.1 SÍNTESIS DEL ANALISIS E INTERPRETACION DE RESULTADOS.. 145
5.2 Síntesis del Análisis .............................................................................. 172
5.3 Verificación de Hipótesis ...................................................................... 172
5.3.1 Verificación de la Hipótesis Específica Uno .................................. 173
5.3.2 Verificación de la Hipótesis Específica Dos ..................................... 174
5.3.3 Verificación de la Hipótesis Específica Tres .................................... 175
5.3.4 Verificación de Hipótesis General ..................................................... 176
CAPITULO VI...................................................................................................... 178
6. CONCLUSIONES Y RECOMENDACIONES............................................. 178
6.1 CONCLUSIONES ..................................................................................... 178
BIBLIOGRAFÍA ................................................................................................... 184
ANEXO 1................................................................ ¡Error! Marcador no definido.
ANEXO 2................................................................ ¡Error! Marcador no definido.
ANEXO 3.............................................................. ¡Error! Marcador no definido.0
ANEXO 4................................................................ ¡Error! Marcador no definido.
I
INTRODUCCION
En el presente trabajo de tesis se desarrolla el tema “Los Servicios en la Nube y
su incidencia en las estrategias de seguridad de aplicaciones y datos de la
Pequeña y Mediana empresa de los municipios de San Salvador, Soyapango e
Ilopango, departamento de San Salvador en el año 2013”.
Internet en el último tiempo ha tenido un enorme crecimiento, lo que ha
generado en los usuarios la costumbre de utilizar servicios en línea como parte
de sus actividades cotidianas, tales como: mensajería instantánea, web mail,
redes sociales, mapas, documentos, respaldos de datos, videos online y un sin
fin de servicios. Todas estas aplicaciones no están instaladas en sus
computadores, sino en la llamada “nube de Internet”. De esta forma, cuando se
utilizan servicios de la “nube”, se utilizan servicios que forman parte de Cloud
Computing, un modelo de computación en el que todo lo que puede brindar un
sistema informático se ofrece como un servicio que puede ser accedido a través
de Internet.
Últimamente, la variedad de servicios que se ofrecen mediante Cloud
Computing ha crecido de forma considerable, siendo las grandes empresas
norteamericanas y europeas las que lideran en innovación e implementación,
sin embargo, en Latinoamérica aún existen sectores económicos que
desconocen del uso de esta tecnología. De aquí nace la necesidad de analizar
este paradigma con el fin de estudiar cual es el uso que se está dando a los
Servicios en la Nube en las Pequeñas y Medianas Empresas de nuestro país y
qué estrategias están utilizando para garantizar la seguridad de los datos y la
continuidad de las operaciones dentro del sector empresarial.
II
Para la mayoría de las Pequeñas y Medianas Empresas, las inversiones en las
Tecnologías de Información implican un esfuerzo significativo en términos
económicos, pues no solo se necesita la infraestructura adecuada sino que
además personal dedicado para mantener los sistemas funcionando,
garantizando seguridad y mecanismos de recuperación ante desastres. Por otra
parte existen empresas que aun necesitando sistemas informáticos carecen de
las capacidades o deseos de trabajar con su propia infraestructura. Es aquí
donde Cloud Computing se presenta como una alternativa atractiva pues
permite implementar de forma rápida recursos, aplicaciones y servicios de
negocios con menor esfuerzo técnico, económico y operacional.
La computación en nube es conveniente para los usuarios y es rentable para
los proveedores pues, a pesar de presentar algunos riesgos, el poder trabajar
con este nuevo tipo de tecnología, permite ahorrarse tanto licencias como la
administración de servicios y de los equipos necesarios para estos. Todo
gracias a la arquitectura conformada por capas con la cual trabaja denominadas
por las siglas SaaS, PaaS y IaaS, las cuales corresponden al software,
plataforma e infraestructura como servicios respectivamente.
A lo largo de la investigación, las tecnologías de información, en especial el
tema de interés que en este caso es la seguridad de “la tecnología alojada” o
“computación en la nube”, se han mostrado como herramientas válidas para
ayudar a la organización a resguardar los datos y a su vez en la tarea de
gestionar eficientemente su información. Se trata además los cambios que
pueden sufrir las empresas en su aplicación, es decir, la influencia del cómputo
en la nube sobre la estructura organizativa de la empresa, sin olvidar el impacto
de esta tecnología sobre resultados empresariales.
III
El desarrollo de la tesis lleva consigo una serie de etapas que describen de
forma sistemática y específica los pasos que se han ejecutado dentro del
proyecto; los cuales se detallan a continuación:
CAPITULO I: Comprende una investigación del planteamiento del problema con
el objetivo de profundizar en las necesidades tecnológicas y de seguridad y el
uso de servicios en la nube en las pequeñas y medianas empresas de los
municipios de San Salvador, Soyapango e Ilopango.
CAPITULO II: Se presenta el marco de referencia donde se describen aspectos
importantes como los antecedentes sobre el origen del Cloud Computing,
además de la información teórica que sirve para fundamentar la información de
la investigación y definición operacional de términos básicos.
CAPITULO III: Constituido por el sistema de hipótesis, hipótesis general,
hipótesis específica uno, hipótesis especifica dos, hipótesis especifica tres,
relación entre hipótesis general e hipótesis específicas, operacionalización de
hipótesis en variables e indicadores.
CAPITULO IV: En esta etapa se presenta la metodología de la investigación,
donde se aclara el tipo de investigación que se realizará con sus respectivos
fundamentos, además mostrando el método utilizado, la población, la muestra,
la técnica e instrumentos y por último se presenta la fórmula para la
comprobación de hipótesis.
CAPITULO V: Este capítulo lo forma una de las partes más importantes, el
análisis e interpretación de los datos, tabulación y la comprobación de las
hipótesis.
IV
CAPITULO VI: En esta fase se presenta las conclusiones y recomendaciones
como productos directos de los resultados obtenidos mediante el desarrollo de
la investigación.
Finalmente se describe la bibliografía consultada y se presentan los anexos en
los cuales se ha adquirido la información necesaria para realizar la
investigación.
1
CAPITULO I
1. PLANTEAMIENTO DEL PROBLEMA
Actualmente la aparición de diferentes plataformas informáticas y las
aplicaciones que estás ofrecen, el creciente número de usuarios navegando en
internet y el uso que estos le dan cada día es mayor. Esta es una de las
principales razones por las que “La computación en la nube” o “Cloud
Computing” se popularizo. Proveedores de servicio gestionado de tecnología
con años de trayectoria en el mercado de la computación como Google,
Amazon, Salesforce, Microsoft entre otros que construyeron su propia
infraestructura para poder ofrecer servicios en línea, no importando el sistema
que se use en la computadora local.
1.1 SITUACIÓN PROBLEMÁTICA
La mayor necesidad de un negocio en la actualidad es continuar operando a
pesar de una interrupción del recurso de información. Sin embargo como los
negocios ahora están cimentados en esas herramientas están apoyados en
procesos de información, una falta de un servicio de información puede
provocar una interrupción en la operación de las empresas y esto ha venido, en
la medida que la tecnología viene entrando y apoyándose cada vez más se
está dando la necesidad de que no se puede trabajar si no hay un apoyo
tecnológico.
Servicios importantes destinan en tecnología la base de sus operaciones de
negocios sus procesos más críticos están basados en operaciones de negocios
y requieren apoyo tecnológico, entre los cuales se destacan: Servicios
financieros, externalizadores de procesos, centro de llamada o Call Center. Se
habla de la industria, la mayoría de las empresas que prestan los servicios que
tienen un alto valor agregado de conocimientos y procesos especializados
están cimentados en plataformas tecnológicas sin las cuales no pudiera ser
2
posible brindar el servicio y esas son las que está requiriendo planes de
continuidad de negocios.
Todo presupone un nuevo modelo de compra, ya no se compran activos se
compran servicios. Es un nuevo modelo de acceso, ya los usuarios no están
fijos en escritorios, andan móviles en los cuales tienen acceso a internet andan
cualquier tipo de dispositivo.
La nube informática es un servicio que está teniendo mayor demanda y
utilización en las empresas a nivel mundial. Una encuesta realizada en el año
2012 por Business Software Alliance (BSA), elaborada por Ipsos Public Affairs,
que fue hecha en 33 países y a 15.000 usuarios obtuvo como resultado que en
todo el mundo, el 88% de los usuarios dicen que utilizan los servicios remotos
para propósitos personales, y un 33% señala que los utiliza para temas
profesionales. Estos datos son ligeramente superiores si se trata de economías
emergentes, ya que estas últimas están adoptando los servicios de cloud
computing de forma general, incluso los servicios de pago.
El 45% de los usuarios utiliza servicios on-line para gestionar contenido de
manera digital de forma remota. Esta cifra se eleva de media hasta el 50% en
mercados emergentes como Tailandia, Malasia, Argentina o Perú, pero
desciende hasta el 33% en economías más desarrolladas, como Estados
Unidos, Reino Unido, Alemania o Francia. Los usuarios que utilizan servicios de
pago, el 42% comparte las claves de acceso dentro de su organización. En los
países emergentes, el 45% de los usuarios de servicios de pago comparte las
claves, frente al 30% de los usuarios de países desarrollados.
Según explica el presidente y director de Business Software Alliance (BSA)
Rober Holleyman, estos porcentajes no significan que se esté pirateando
servicios en la nube porque algunas licencias permiten compartir cuentas y
3
algunos proveedores no facturan por usuarios sino por volumen de recursos
utilizados.1
En la reciente LatinComm Conference and Expo realizada en febrero en el año
2013, el primer evento de su tipo enfocado en la floreciente industria de
comunicaciones de Tecnología de Información, Wilson Grava, vicepresidente de
NetApp Latinoamérica: “El cómputo en la nube ya es una realidad en
Latinoamérica. Existe la idea errónea de que nuestra región está atrasada en
términos del cómputo en la nube. Sin embargo, de acuerdo a una investigación
de Tata Consultancy Services (TCS), las aplicaciones en la nube constituyen
hasta el 39% de todas las aplicaciones de software corporativo en las
compañías grandes de Latinoamérica, en comparación con el 28% en Asia
Pacífico, el 19% en Estados Unidos, y tan solo el 12% en Europa. Considero
que la mayoría de las compañías en la región ya están en la nube, o planean
estarlo".2
Pese a que grandes y medianas empresas han implementado poco a poco los
servicios en la nube, aún existe miedo en las empresas por la Seguridad de sus
datos en la nube ya que para una empresa su información es su principal
recurso y este se le deposita en una tercera persona. Este punto en el cual la
información está en manos y es manejada por terceros es bien delicado y es
aquí el verdadero reto del cloud. Las fallas de la Seguridad en la nube es una
razón fuerte para que las empresas duden en usar el clouding.
A medida que las empresas empiecen a quitarse el miedo y confiar en el
servicio en la nube existe otro reto, en Latinoamérica es contar con una fuerza
laboral de Tecnología de Información que esté capacitada para operar nuevos
sistemas, infraestructuras en la nube.
1 http://www.portalinformatico.com/newsbook/actualidad/uso-nube-mundo-33-profesional-88-personal--
2012071987113.htm 2 http://tecno.americaeconomia.com/noticias/latinoamerica-esta-lista-para-la-nube
4
1.2 ENUNCIADO DEL PROBLEMA
Dado el planteamiento anterior se ha llegado a la conclusión de plantear las
siguientes interrogantes:
1.2.1 Pregunta General
-¿Cómo inciden los servicios en la nube en las estrategias de seguridad de
aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año
2013?
1.2.2 Preguntas Específicas
-¿En qué medida los servicios en la nube proporcionan una gestión eficiente de
recursos de Hardware y Software de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e Ilopango, Departamento de San
Salvador en el año 2013?
-¿De qué manera los servicios en la nube garantizan la seguridad de
aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año
2013?
-¿De qué forma los servicios en la nube aseguran la disponibilidad de
aplicaciones y datos de la de la Pequeña y Mediana Empresa de los Municipios
de San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el
año 2013?
1.3 JUSTIFICACIÓN
Una de las transformaciones más importante de las empresas se ha dado a raíz
de la crisis económica mundial y a las altas tasas de desempleo, no había
mucha disponibilidad de inversiones en activos tecnológicos, sin embargo el
mercado de soluciones seguía teniendo los mismos ofrecimientos y hubo
5
participantes oferentes en ese mercado que cambiaron su modelo de despacho
y empezaron a ofrecer sus productos y servicios permitiéndoles centrarse cada
vez más en la competitividad y en la reducción de costos.
Actualmente los servicios informáticos gestionados a través del área de
Tecnología de la Información de las empresas han sufrido una
reconceptualización por el uso de la Nube. El papel que tenía el área de
Tecnología de la Información era el de un simple gestor de recursos y sistemas,
es decir, la empresa los adquiría, los implementaba y finalmente ella misma los
administraba en el tiempo Los proveedores de hardware obligaban a las
empresas a tener un ciclo y este era: Comprar, usar, descartar, renovar, y esos
ciclos se deban y existían ciclos de inversiones, ciclos de mantenimiento.
Después se dieron cuenta que también para mantener los productos, seguirlos
optimizando necesitaban tener contratos de servicios, pagar un contrato de
servicio que adicionalmente les permitieran a ellos tener un cuerpo de
ingeniería que modificara y mejorara los productos o los servicios y además
diera soporte en luz si estos escapaban del conocimiento de los empleados.
Hubo una adaptación y adopción de las empresas a ese tipo de modelo y último
modelo reciente.
El modelo de crisis económica ya existía, el modelo tecnológico surgió
posteriormente, el mismo modelo de crisis económica también hizo unos que
otros proveedores dijeran “Bueno mira tenemos que crear otro modelo de
compra de esto, porque no tienen dinero las empresas, no hay dinero para
inversiones” y el ultimo que vino es el modelo de adopción. Hubo un tiempo, un
escenario de adopción de las empresas en decir “bueno mira debemos de
pasar la página dejar de pensar que si es cloud, que si es inseguro, vamos
averiguar y veamos si se adapta”. Entonces todo esto ha hecho que en los
últimos tiempos los oferentes empiecen a hablar de cloud, pero también los que
requieren los servicios de consumo de infraestructura tecnológica.
6
Las empresas a nivel mundial utilizan el internet y los recursos que este ofrece
para tener acceso a información, aplicación desde cualquier lugar del mundo
para realizar y concretar negocios, pero esto ha ido cambiando de manera
acelerada debido a situaciones de inseguridad a nivel cibernético y surge la
necesidad de mantener la información segura de cualquier ataque de robo,
suplantación de la información, entre otros que puedan darse del exterior y
determinar el grado de resguardo de los datos y aplicaciones.
El mercado del Software ofrece el acceso a soluciones bajo esta fórmula que
pueden ser gratis como de pago, que le reporta al cliente un control del gasto
por el por uso y una actualización constante de sus productos, con nuevas
aplicaciones y da una alternativa a los requerimientos del mercado mediante la
innovación en sus soluciones.
Una solución que se ofrece hoy en dia y que está dando buenos resultados es
el Servicio en la Nube conocido en ingles por “Cloud Computing” que son
nuevas tecnologías, analizando el estado del mercado del software y muestran
su estrategia para responder a los retos del futuro.
Además de marcar la diferencia con su tecnología y enfoque, los especialistas
en software de gestión coinciden en transmitir a las empresas el mensaje de
que la inversión en tecnología es rentable por el beneficio que les reportará a la
hora de optimizar sus procesos de negocio, con herramientas más eficaces,
presentando así oportunidades y que los proveedores de software estén
introduciendo novedades tecnológicas para ser más competitivos y responder a
la demanda actual de la empresa.
El cloud computing, no solo conlleva la innovación tecnológica, sino también un
cambio de modelo de negocio, que se caracteriza por todos sus servicios,
programas, aplicaciones, aumento de capacidad de almacenamiento y de
procesamientos de datos, responder a todas las necesidades de gestión de
todo tipo de empresas y profesionales; como la ejecución de los programas en
7
dispositivos móviles que son alternativas, el servicio al cliente es una de las
claves del éxito de las implantaciones del software y será un factor fundamental
tanto en la actualidad como en el futuro.
El cloud computing está ganando terreno a los sistemas tradicionales y cada
vez son más las empresas que empiezan a valorar este modelo.
Según un informe Tata Consultancy Services (TCS), Latinoamérica es el lugar
que mas software aloja información en la nube por delante de Estados Unidos
y Europa, eso en el campo de los negocios, pero la nube está presente en
actividades cotidianas como el uso de las redes sociales y más.3
Las redes sociales, se han convertido en el paradigma de una nueva forma de
obtener información, contratar opiniones y como canal de comunicación y de
negocio de las empresas para dar soluciones de gestión de un proceso y
obtener la máxima rentabilidad de las nuevas oportunidades que surgen y cómo
cuantificarlas para asegurar su optimización.
Sin embargo se debe tener en cuenta que cuando se trata de la Nube así como
en el entorno físico hay que asegurarse que solamente los usuarios autorizados
puedan acceder a la información crítica y que dicha información no salga de la
empresa, también es clave garantizar que los proveedores de servicios en la
nube puedan satisfacer los requisitos de cumplimiento legal y normativo de
cada país.
Otro factor muy importante a evaluar es como los proveedores de cuestiones
operativas en la nube garantizan alta disponibilidad y capacidad de
recuperación antes desastres.
La realización de esta investigación permite establecer cuáles son las
estrategias de seguridad que la Pequeña y Mediana Empresa aplica para
garantizar la seguridad de sus datos y aplicaciones.
3Fuente: La Prensa Gráfica-Techlife. Octubre2013. P.37
8
En nuestro medio no existe un estudio que determine como están utilizando las
PYMES al Cloud Computing, o siquiera si tienen planes de hacerlo en el corto o
mediano plazo, y este estudio puede significar una guía no solamente para
conocer el grado de utilización de la computación en la nube sino para
establecer una ruta a seguir que puede incluir otros servicios y/o aplicaciones
ofrecidas por el proveedor de servicio en la nube. Además permitirá develar un
gran potencial para que empresas de tecnologías puedan brindar soluciones no
satisfechas ante la demanda de atención de las PYMES que no consideraban
prioritaria la protección de sus datos ante un desastre tecnológico.
1.4 OBJETIVOS
1.4.1 Objetivo General
Investigar como los Servicios en la Nube Inciden en las Estrategias de
Seguridad de Aplicaciones y Datos de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e Ilopango, Departamento de San
Salvador en el año 2013.
1.4.2 Objetivos Específicos
- Evaluar en qué medida los Servicios en la Nube Proporcionan una Gestión
Eficiente de Recursos Hardware y Software de la Pequeña y Mediana
Empresa de los Municipios de San Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el año 2013.
- Determinar de qué manera los Servicios en la Nube Garantizan la Seguridad
de Aplicaciones y Datos de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e Ilopango, Departamento de San
Salvador en el año 2013.
- Identificar de qué forma los Servicios en la Nube Aseguran la Disponibilidad
de Aplicaciones y Datos de la Pequeña y Mediana Empresa de los
9
Municipios de San Salvador, Soyapango e Ilopango, Departamento de San
Salvador en el año 2013.
1.5 DELIMITACIÓN
1.5.1 Delimitación Geográfica.
La investigación se desarrollará en la zona de San salvador, tomando en cuenta
los municipios de San Salvador, Soyapango e Ilopango, dado que la cantidad
de pequeña y mediana empresa, que operan en esas zonas permitirá hacer un
estudio que cumpla con las expectativas planteadas.
Fig. N° 1.1 Ubicación Geográfica de la zona de San Salvador, Soyapango e Ilopango
1.5.2 Delimitación Temporal.
La investigación estará comprendida entre los meses de Junio a Octubre del
año 2013, periodo el cual se llevarán a cabo entrevistas y recopilación de
información que de un aporte relevante al estudio en las pequeñas y medianas
empresas de los municipios de San Salvador, Soyapango e Ilopango,
Departamento de San Salvador.
10
1.5.3 Delimitación Poblacional.
La población a la cual se dirige la investigación, es a las Pequeñas y Medianas
Empresas de los municipios de San Salvador, Soyapango e Ilopango, del
Departamento de San Salvador, enfocada al área de informática que tenga en
común el uso de Servicios en la Nube o alguno de los servicios que esta
proporciona a las cuales se les encuestará y entrevistará para recopilar dicha
información que da un aporte relevante al estudio.
El propósito de realizar esta investigación es con el fin de determinar cuántas
empresas están utilizando el Servicio en la Nube, los beneficios que han
obtenido al experimentar nuevas aplicaciones para la mejora de la empresa y
como esto les ha ayudado a proteger su información.
1.5.4 Delimitación Contextual.
Debido a las innovaciones tecnológicas y los nuevos servicios que orientan al
almacenamiento de datos y gestión de aplicaciones en la nube, se vio la
necesidad de realizar la presente investigación sobre el uso de los servicios en
la nube en la pequeña y mediana empresa buscando como resultado brindar
orientaciones adecuadas para determinar los mecanismos de seguridad
implementados en este sector para garantizar la integridad de su información.
1.5.5 Delimitación Social
La misma necesidad de la transformación digital de las empresas, poder reducir
sus costos de operaciones como recursos tecnológicos, expandir sus
operaciones, la misma manera de trabajo de los tele trabajadores, la dispersión
geográfica de los negocios. Por razones anteriormente expuestas las Pymes se
han visto en la obligación de buscar nuevos métodos o formas que puedan
beneficiarles para que estas sean más competitivas en el mercado mundial.
11
1.6 ALCANCES Y LIMITACIONES
1.6.1 Alcances
Los municipios que se tomaron en cuenta para llevar a cabo la investigación
serán: Ilopango, Soyapango y San Salvador, del Departamento de San
Salvador, debido que en estos municipios se encuentra la mayor
concentración de empresas que se necesitan para poder realizarla.
Por medio de la investigación se ha obtenido un porcentaje de pequeña y
mediana empresas que hacen uso de los Servicios en la Nube.
Conocer la tendencia de la nube: Los servicios que están siendo más
usados y las razones de su uso.
Identificar las pequeñas y medianas empresas que proporcionan los
diferentes servicios y que están alojados en la nube.
Saber cómo las empresas están adoptando el uso de los avances
tecnológicos para la protección, resguardo de información
Reconocer qué estrategias implementan las pequeñas y medianas
empresas que utilizan los servicios de la nube para mantener la
disponibilidad de la información .
Qué el resultado de la investigación de campo sirva para aumentar el tesario
de la biblioteca de la Universidad Luterana Salvadoreña, de manera que
proporcione a los estudiantes una fuente de información.
Qué el presente estudio y sus resultados sirvan como guía para que pueda
ser utilizada por las personas interesadas en conocer sobre el Cloud
Computing y su uso en el sector empresarial.
12
1.6.2 Limitaciones
- La investigación se desarrolló tomando en cuenta diferentes tipos de
pequeña y mediana empresas que utilizan los servicios en la nube, por lo
cual poder obtener la información deseada fue una limitante ya que esto es
aún algo nuevo para las empresas, pese que algunas ya tienen unos meses
con los servicios.
- Desconfianza por parte de las empresas de quien pueda llegar a tener
acceso a la información privada de ellos y que esta caiga en manos de
terceros.
- El poco conocimiento y/o poco manejo de los Servicios en la nube o el no
conocimiento de estos.
- Poca información del tema en el idioma español. La mayor información
acerca de Servicios en la Nube se encuentra en otros idiomas, como inglés
y portugués.
- Poca divulgación de los Servicios en la Nube en el ámbito empresarial de
pequeñas y medianas empresas.
- La falta de conocimiento e interés en el tema hace la creencia que por el uso
de los Servicios en la Nube debe de pagar un alto costo por ellos.
13
CAPITULO II
2 MARCO REFERENCIAL
2.1 Pequeña y Mediana Empresa en El Salvador
“El surgimiento del concepto de PYMES se enmarca hacia finales de la década
de los años 70 del siglo pasado y se relaciona principalmente con la crisis del
modelo Fordista de producción que sustentaba la existencia de grandes
industrias con rigidez en sus esquemas tecnológicos y productivos, y estaban
orientadas casi exclusivamente al mercado interno. En este contexto el papel de
las PYMES se limitaba al mantenimiento del equilibrio socioeconómico. Su
tarea era la de generar fuentes de trabajo”. En la actualidad las pequeñas y
medianas empresas desempeñan una función crucial en la competencia
mundial. Si bien se esperaba que esta requeriría de grandes unidades de
producción, la historia industrial de los últimos decenios ha demostrado con
claridad que las PYMES no son agentes marginales de la dinámica competitiva;
es decir, el escenario no está plenamente dominado por unos cuantos gigantes.
El concepto o definición de PYME puede en un momento determinado crear
distorsiones y percepciones, cuando se comparan empresas del mismo sector,
en otras palabras, existe una heterogeneidad entre las mismas que hace difícil
con una definición lograr una comparación. 9 Las PYMES son el pilar
fundamental de la economía de la mayoría de los países, y son las que
necesitan ser más competitivas, para la generación de empleo y dinamizar el
consumo e inversión como fuentes de crecimiento y desarrollo económico. Las
Pequeñas y Medianas Empresas (PYMES) constituyen más del 90% de las
empresas en la mayoría de los países del mundo. Son la fuerza impulsora de
gran número de innovaciones y contribuyen al crecimiento de la economía
nacional mediante la creación de empleo, las inversiones y las exportaciones.
A pesar de la importancia que tienen las PYMES para la vida económica y de
las posibilidades que ofrece el sistema de propiedad intelectual (P.I.) para el
fomento de su competitividad, a menudo las PYMES no saben aprovechar
14
debidamente ese sistema. En El Salvador este tipo de empresas, en su
mayoría, no cuentan con la información y la asesoría necesaria para mejorar su
competitividad y mucho menos para enfrentarse al reto de la exportación.
Clasificación de empresas.
Clasificación Personal remunerado Ventas brutas anuales/Ingresos
brutos anuales
Microempresa Hasta 10 Empleados Hasta $100,000
Pequeña Empresa Hasta 50 Empleados De $100,000 Hasta $1,000,000
Mediana Empresa Hasta 100
Empleados
De $1,000,000 Hasta $7 Millones
Gran Empresa Más de 100
Empleados
Más de $ 7.0 Millones
Fuente: “El Salvador, generando riqueza desde la base: Políticas y Estrategias para la
competitividad sostenible de las MIPYMES” de Ministerio de Economía.
2.1.1 Clasificación de las Pequeñas y Medianas Empresas
Se pueden clasificar por: Activos, Ventas y Número de Empleados.
Por lo tanto:
Una pequeña empresa es aquella que cuenta con los siguientes datos:
Activos: Menores a US$85,714.00
Ventas Brutas: Hasta un Millón de dólares anual
Número de Empleados: Hasta 50 trabajadores remunerados
Mediana Empresa:
Activos: Menores a US$228,571.00
Ventas Brutas: Hasta 7 Millones de dólares anuales
Número de Empleados: Hasta 100 trabajadores remunerados
Fuente: CONAMYPE y BMI)
15
Las PYMES se definirán como:
Pequeña Empresa: Es la persona natural o jurídica que opera en el mercado
produciendo y/o comercializando bienes o servicios por riesgo propio, a través
de una unidad organizativa, que empleen entre 10 y 49 trabajadoras y
trabajadores.
Mediana Empresa: Es la persona natural o jurídica que opera en el mercado
produciendo y/o comercializando bienes o servicios por riesgo propio, a través
de una unidad organizativa, que emplean entre 50 y 99 trabajadoras y
trabajadores. Para definir a las PYMES únicamente se ha tomado el criterio de
número de trabajadores. Se tomó este criterio con fines prácticos, debido a que
la mayoría de bases de datos disponibles en el país ordenan a las empresas a
partir del número de empleados4.
2.2 Clasificación de las Empresas en El Salvador
Las empresas en el Salvador se clasifican según su actividad, tamaño.
2.2.1 Clasificación por Actividad a la que se dedican
Clasificación que se les asigna
Rubros que entran en esta clasificación
Extractivas - Agricultura, Caza, Selvicultura y
pesca - Explotación de minas y canteras - Extracción de madera
Industriales
- Electricidad, agua y gas - Manufactureras - Construcción
4 Audrey Henríquez, Leticia Guevara, Oscar Díaz, Instrumentos Financieros y medios de pago
internacional aplicado para Pymes en el Salvador. P.9
16
Comerciales - Comercio al por mayor y menor
- Restaurantes y hoteles
Financieras - Establecimientos financieros
- Seguros - Bienes inmuebles y servicios prestados a las empresas comunales,
sociales y personales
Servicios
- Personales - Auxiliares a la industria y comercio
2.2.2 Clasificación por su tamaño.
Esto viene designado por instituciones tales como FUSADES, el BCR, BMI,
CONAMYPE, entre otras, que evalúan varios factores que influyen a esto.
Tipo de empresa Características
Micro Es de iniciativa modesta en magnitud y capacidad,
sus recursos económicos son escasos, y está
integrada comúnmente por familiares.
Pequeña Al igual que la anterior en cuanto a recursos
económicos y capacidad, pero con la diferencia, que
incluye personal que no pertenece al núcleo
familiar.
Mediana Es clasificada así, en vista que se encuentra en
crecimiento superando las etapas anteriores. Ya
cuenta con instalaciones adecuadas a su demanda,
incluyendo tecnología moderna y personal de todo
nivel académico.
Grande Esta cuenta con los mejores recursos económicos,
organizacionales, de materiales y de tecnología
avanzada.
17
2.2.2.1 Por su capital de trabajo Según FUSADES
Tipo de empresa por su monto de activo Monto de activo
Micro Cuyo activo total no excede los
US$11,500
Pequeña Cuyo activo total no excede los
US$85,700
Mediana Cuyo Activo total no excede los
US$228,600
Grande Cuyo activo total es mayor de
los US$228,600
2.2.2.2 Por su número de trabajadores (Según el BMI)
Tipo de empresa Número de empleados
Micro 1 – 10
Pequeña 11 – 49
Mediana 50 – 199
Grande 199 – a más trabajadores
2.2.2.3 Por sus Ventas Totales (según el BMI)
Tipo de empresa Ventas Totales
Micro Son de US$68,571.43
Pequeña Son de US$68,571.43 – US$685,714.28
Mediana Son de US$685,714.28 – US$4,571,428.50
Grande Es Mayor de US$4,571,428.50
Se muestran las diferentes categorías en las cuales se pueden clasificar las
empresas dentro de El Salvador, las cuales varían dependiendo de diversos
18
factores. Ya sean por la capacidad de producción y ventas, como también el
capital con el que estas cuenten.
Así mismo se toma en cuenta la cantidad de personal que estas empleen para
su funcionamiento. El reconocimiento de la fuerza laboral, es una de las bases
importantes dentro una empresa sea cual sea su área de funcionamiento, lo
que demuestra que el personal humano, aún sigue siendo una pieza de mucho
valor dentro de la labor empresarial.5
2.3 Origen del término Cloud Computing
Cuando se indaga de Cloud Computing en un buscador se encuentran más de
48 millones de resultados con el término. Muchos relatos dicen que esta
denominación se remite al año 2006, cuando Google y Amazon comenzaron a
utilizar este sistema para ellos mismos, sin exportarlo a todos los usuarios.
Pero hay otras informaciones en las que dejan el origen del término a Houston
en el año 1996. En aquel tiempo, si se hablaba de tecnología las
denominaciones más frecuentas era la de Netscape, pero en las oficinas
de Compaq Computer se empezó a hablar de la computación en nube.
La visión que se tenía en aquel momento era muy simple en cuanto al
pensamiento. Quizás se complicaría cuando se intente llevar a los hechos. La
intención que había era la de movilizar todo los diferentes negocios de la
empresa a la Web. El costo que iba a tener ese servicio sería de 2 millones de
dólares anuales, lo que representaría una cifra un poco superior al millón y
medio de euros.6
5 Iddo Claros, Clasificación de las Empresas en El Salvador. p.1-4
6 http://cloudprivado.org/el-origen-del-termino-computacion-en-nube-o-cloud-computing/
19
2.4 El origen de El Cómputo en la Nube
El término "nube" se utiliza como una metáfora de Internet, basado en el dibujo
de nubes utilizado en el pasado para representar a la red telefónica, y más
tarde para representar a Internet en los diagramas de red de computadoras
como una abstracción de la infraestructura subyacente que representa.
La idea básica es que los usuarios finales ya no necesitan tener conocimientos
o el control sobre la infraestructura de tecnología "en la nube" que los apoya.
El concepto básico del cloud computing o computación en nube se le atribuye a
John McCarthy, responsable de introducir el término “inteligencia artificial".
Investigadores afirman que las raíces de la computación en nube nos llevan
hasta la década de 1950 con las observaciones de Herb Grosch. Él decía que la
potencia de una computadora es proporcional al cuadrado de su precio (Ley
Grosch), sin embargo la ley de Moore se encargó de desmentir esto. Algunos
académicos recientemente han rehabilitado la ley de Grosch, mirando la
historia de la computación en la nube, afirman que "Grosch estaba equivocado
sobre el modelo del costo de la computación en nube, no se equivocaba en su
suposición de que las economías eficientes y adaptables podría alcanzar su
objetivo si confían en centros de datos centralizados en lugar confiar en el
almacenamiento de unidades".
Esta idea de una computadora o utilidad de la información era muy popular en
la década de 1960, incluso algunas empresas comenzaron a proporcionar
recurso compartidos como oficina de servicios - donde se alquilaba tiempo y
servicio de cómputo. El sistema de tiempo compartido proporcionaría un
ambiente operacional completo, incluyendo editores de texto y entornos de
desarrollo integrado para lenguajes de programación, paquetes de programas
informáticos, almacenamiento de archivos, impresión masiva y de
almacenamiento offline. A los usuarios se les cobraba un alquiler por el
20
terminal, las horas de tiempo de conexión, tiempo del CPU y kilobytes
mensuales de almacenamiento en disco. Sin embargo, esta popularidad se
desvaneció a mediados de los 70s cuando quedó claro que el hardware,
software y las tecnologías de comunicación simplemente no estaban
preparados.
En 1961, durante un discurso para celebrar el centenario del MIT, fue el primero
en sugerir públicamente que la tecnología de tiempo compartido (Time-Sharing)
de las computadoras podría conducir a un futuro donde el poder del cómputo e
incluso aplicaciones específicas podría venderse como un servicio (Como el
agua, la electricidad).
El concepto de una red de computadoras capaz de comunicar usuarios en
distintas computadoras fue formulado por J.C.R. Licklider de Bolt, Beranek and
Newman (BBN) en agosto de 1962, en una serie de notas que discutían la idea
de una "Red Galáctica".
Las empresas de telecomunicaciones hasta la década de los 90s eran quienes
ofrecían redes privadas virtuales (VPN) con una calidad de servicio semejante,
pero a un costo mucho menor. Al ser capaces de equilibrar el tráfico pudieron
hacer uso del ancho de banda total de la red con mayor eficacia. Incluso el
símbolo de la nube se utiliza para indicar el punto de demarcación entre lo que
es la responsabilidad del proveedor y lo que era la responsabilidad del usuario.
Ahora la computación en nube extiende este límite para cubrir servidores, así
como la infraestructura de red.
Uno de los pioneros en la computación en nube fue Salesforce.com, que en
1999 introdujo el concepto de entrega de aplicaciones empresariales a través
de una sencilla página web.
21
Amazon era el siguiente en el tren, al lanzar Amazon Web Service en 2002.
Entonces llegó Google Docs en 2006, que realmente trajo el cloud computing a
la vanguardia de la conciencia del público. 2006 también vio la introducción de
Elastic Compute Cloud de Amazon (EC2) como un servicio web comercial que
permitió a las empresas pequeñas y particulares alquilar equipos en los que
pudieran ejecutar sus propias aplicaciones informáticas.
Esto fue seguido por una colaboración de toda la industria en 2007 entre
Google, IBM y una serie de universidades de los Estados Unidos. Luego vino
Eucalyptus en 2008, como la primera plataforma de código abierto compatible
con el API-AWS para el despliegue de nubes privadas, seguido por
OpenNebula, el primer software de código abierto para la implementación de
nubes privadas e híbridas. Microsoft entraría hasta el 2009 con el lanzamiento
de Windows Azure. Luego en 2010 proliferaron servicios en distintas capas de
servicio: Cliente, Aplicación, Plataforma, Infraestructura y Servidor. En 2011,
Apple lanzó su servicio iCloud, un sistema de almacenamiento en la nube -
para documentos, música, videos, fotografías, aplicaciones y calendarios - que
prometía cambiar la forma en que usamos la computadora.
Figura N°1 Empresas Proveedoras de Computo en la Nube
22
Hoy en dia hay muchos jugadores importantes en la nube y muchos servicios a
la disposición, pero en los años de 2010 y 2011 muchos de ellos, no son cien
por cientos seguros, ya sean por fallas o vulnerabilidad.
Las empresas al momento de contratar un servicio tienen que resolver la
legalidad de la información que circula en estos Modelos de Negocio. Richard
Stallman cree que la computación en nube pone en peligro las libertades de los
usuarios, porque éstos dejan su privacidad y datos personales en manos de
terceros.7
2.5 Cloud Computing o Computación en la Nube
La nube o Cloud Computing es uno de los términos tecnológicos que más se
está repitiendo en los últimos años. Las empresas, las organizaciones y los
negocios en general, están viendo en esta tecnología la resolución de muchos
de sus problemas, sobre todo, económicos pero también en infraestructura
tecnológica.
La computación en la nube concepto conocido también bajo los
términos servicios en la nube, informática en la nube, nube de cómputo o nube
de conceptos, del inglés Cloud Computing, es un paradigma que permite
ofrecer servicios de computación a través de Internet.8
Pero ¿Qué es Computación en Nube o Cloud Computing? La nube es un
Sistema Informático basado en Internet y Centros de Datos remotos para
gestionar servicios de información y aplicaciones. La nube es una virtualización
de recursos tales como redes, servidores, aplicaciones, recursos y
almacenamiento de información que el usuario puede acceder cuando guste y
7 http://www.fayerwayer.com/2012/01/el-origen-de-el-computo-en-la-nube/
8 http://es.wikipedia.org/wiki/Computación_en_la_nube
23
de donde guste, solamente debe poseer un dispositivo electrónico que tenga
conexión a Internet.9
Figura N°2 Formas de conexión a Computación en la Nube
2.6 Componentes de la Computación en la Nube
Es importante destacar que la Computación en la Nube se trata de un Modelo
de Prestación de Servicios de Negocio y No de una tecnología, algo que suele
confundir con frecuencia a muchos, particularmente a empresarios. En este
modelo, los centros de datos ofrecen a los usuarios ciertos recursos de
cómputo como servicios, a través de una conexión a Internet, de manera tal que
se pague un determinado valor por tipo y cantidad de servicios requeridos.
La Computación en la Nube es la suma de la evolución de varias tecnologías
(INTECO, 2011):
1. Aumento de la Capacidad de Procesamiento: Desde el origen de la
Informática, la capacidad de Cómputo de los ordenadores personales de ha
ido incrementando de forma vertiginosa.
9 http://www.computacionennube.org/computacion-en-nube/
24
2. Conexión a Internet: La Red se ha convertido en una herramienta casi
indispensable en la vida cotidiana de las personas: Su evolución implica
aumento en la velocidad de conexión y en el número de conexiones en el
hogar y en el trabajo.
3. Dispositivos Móviles: La miniaturización de los componentes informáticos ha
permitido la aparición de dispositivos móviles que permiten la conexión
permanentemente a Internet. Hoy en día, en un negocio es necesario
poderse conectar con los recursos de la empresa, tanto desde ordenadores
fijos como desde dispositivos
Esta tecnología ofrece un uso mucho más eficiente de recursos, como
almacenamiento, memoria, procesamiento y ancho de banda, al proveer
solamente los recursos necesarios.
En este tipo de computación todo lo que puede ofrecer un sistema informático
se ofrece como servicio, de modo que los usuarios puedan acceder a los
servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin
ser expertos) en la gestión de los recursos que usan. Según el IEEE Computer
Society, es un paradigma en el que la información se almacena de manera
permanente en servidores de Internet y se envía a cachés temporales de
cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc.
La computación en la nube son servidores desde internet encargados de
atender las peticiones en cualquier momento. Se puede tener acceso a su
información o servicio, mediante una conexión a internet desde cualquier
dispositivo móvil o fijo ubicado en cualquier lugar. Sirven a sus usuarios desde
varios proveedores de alojamiento repartidos frecuentemente por todo el
mundo. Esta medida reduce los costes, garantiza un mejor tiempo de actividad
y que los sitios web sean invulnerables a los hackers, a los gobiernos locales y
a sus redadas policiales.
25
"Cloud computing" es un nuevo modelo de prestación de servicios de negocio y
tecnología, que permite incluso al usuario acceder a un catálogo de servicios
estandarizados y responder con ellos a las necesidades de su negocio, de
forma flexible y adaptativa, en caso de demandas no previsibles o de picos de
trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente
en caso de proveedores que se financian mediante publicidad o de
organizaciones sin ánimo de lucro.
El cambio que ofrece la computación desde la nube es que permite aumentar el
número de servicios basados en la red. Esto genera beneficios tanto para los
proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor
número de servicios, como para los usuarios que tienen la posibilidad de
acceder a ellos, disfrutando de la ‘transparencia’ e inmediatez del sistema y de
un modelo de pago por consumo. Así mismo, el consumidor ahorra los costes
salariales o los costes en inversión económica (locales, material especializado,
etc).
Computación en nube consigue aportar estas ventajas, apoyándose sobre una
infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por
un alto grado de automatización, una rápida movilización de los recursos, una
elevada capacidad de adaptación para atender a una demanda variable, así
como virtualización avanzada y un precio flexible en función del consumo
realizado, evitando además el uso fraudulento del software y la piratería.
La computación en nube es un concepto que incorpora el software como
servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos
como tendencias tecnológicas, que tienen en común el que confían en Internet
para satisfacer las necesidades de cómputo de los usuarios.10
10 http://es.wikipedia.org/wiki/Computación_en_la_nube
26
2.7 Arquitectura de referencia en Cloud Computing
Cloud Computing es un nuevo modelo de prestación de servicios, no es una
nueva tecnología, este nuevo modelo está claramente orientado a la
escalabilidad, es decir, poder atender una demanda muy fuerte en la prestación
de un servicio, pero de manera muy directa, inmediata en el tiempo, con un
impacto en la gestión y en el coste que es casi plano, esta orientación a la
escalabilidad lo que provocará es que el usuario final perciba que todo funciona,
todo va rápido, todo es fácil y por lo tanto su experiencia como usuario es
mucho más gratificante. A pesar de que no es una nueva tecnología, es
conveniente explicar los fundamentos tecnológicos que los proveedores de
Cloud están tomando comúnmente.
Como principios tecnológicos es necesaria una fuerte capa de virtualización de
infraestructura (servidores, almacenamiento, comunicaciones, etc.). Una
capacidad muy avanzada en cuanto a aprovisionamiento de recursos IT,
orquestación de esos recursos y una orientación a servicios, diría que
Arquitectura Orientada a Servicio (SOA) es el alma de Cloud Computing y nos
permitirá dar esa escalabilidad tan agresiva, por ello se implementará también
una elasticidad, tanto en el modelo como en la infraestructura.
Por último es muy importante destacar la necesidad de una estandarización de
los servicios, cuando más estandarizada sea la infraestructura, más sencillo
será todo. Como se puede ver, no hay nada nuevo, la única novedad es el nivel
de exigencia que se le pide a ese entorno de computación.
Las empresas hoy en dia tienen de 5 a 8 necesidades principales: Proteger
datos, sostener un crecimiento desmedido de datos, (hoy hay 8 veces más
información que antes) la data se manifiesta de diferentes formas y están en
diferentes localidades y en diferentes dispositivos y hay que tener un respaldo
de toda la información. Por otro lado los ambientes tecnológicos se han hecho
27
más complejos y hay que administrarlos como tal gestionarlo en su ciclo de
vida, el cumplimiento de regulaciones, los ambientes heterogéneos, el costo de
propiedad o la necesaria transformación digital de los negocios, para cada una
de las necesidades se ha estructurado un modelo como tal.
Se describirá los diferentes modelos de Cloud Computing categorizados como
un conjunto de modelos de servicios. Otro modo de verlo sería mediante capas
sobre las cuales podrían desplegarse y construirse aplicaciones distribuidas.
Estas capas, principalmente son, Infraestructura, Plataforma y Software, con
una gran capa de virtualización y protocolos de comunicación.
Figura N°3 Modelos en Cloud Computing
Esta tipología de servicios se distribuye entre todas las capas tradicionales de
un sistema informático, desde la capa de hardware hasta la capa aplicación
software propiamente dicha.
28
2.7.1 Infraestructura como servicio o Infrastructure as a Service (IaaS)
Infraestructura como servicio podría definirse como un Modelo de Servicios de
Computación, estos servicios se podrían utilizar para resolver las necesidades
computacionales sin límites de escalabilidad de despliegues. Incluye desde una
base de comunicación o conectividad, base de procesamiento, servidores, base
de sistemas operativos o de virtualización. Y por ser un nuevo modelo comercial
implica un modelo de infraestructura en un nuevo modelo de pago y por eso se
le ataña el concepto como modelo como servicio. Solo se paga por lo que se
usa y solo cuando se necesite. IaaS es un modelo de servicio en el cuál el
hardware está virtualizado en la nube.
En este particular modelo, el proveedor del servicio provisiona servidores,
almacenamiento, redes, y así sucesivamente. Esta manera de ver una
infraestructura profesional rompe con todos los moldes, ya que se puede tener
desde un pequeño negocio a una gran empresa en un corto plazo. La adopción
de este tipo de servicios está siendo empujada actualmente gracias a una
multitud de startups que han comenzado a emprender en estos tiempos de
crisis y que no se pueden permitir tener su propio data center o una
infraestructura InHouse. Los desarrolladores en este modelo encuentran una
manera dinámica y flexible de trabajar, ya que interactúan con la IaaS a través
de servidores virtuales, almacenamiento virtual, generalmente se generan
instancias de estas máquinas virtuales a golpe de ratón desde un portal,
normalmente web, en ese primer momento lo que obtienen es un “green field”
dispuesto a ser personalizado para que la solución sea completada, el acceso y
la interacción de la aplicación.
Con la IaaS suele ser a través de SOA y contratos de servicios, puede ser
mediante WSDL o mediante servicios REST. Un ejemplo de una infraestructura
como servicio es Amazon Web Services, cuyos servicios incluyen,
29
almacenamiento, infraestructura de redes, máquinas virtuales, y tienen estos
servicios replicados a lo largo del mundo (Irlanda, Singapur, Este y Oeste de
EEUU) aunque se entrará en detalle sobre este proveedor más adelante.
IaaS está dirigido a cualquier empresa que desee delegar la implantación de
sus sistemas software y aplicaciones en la infraestructura hardware de un
proveedor externo (fenómeno conocido tradicionalmente como hosting) o que
requiera de servicios de almacenamiento externo, copias de seguridad de sus
datos, cálculos complejos que requieran software de elevadas prestaciones,
etc. El proveedor les permitirá gestionar dichos sistemas en un entorno
virtualizado.
Así, los proveedores de servicios son los propietarios de las máquinas físicas, y
las ofrecerán como servicio a los usuarios a través de entornos que les
permitan gestionarlas, por ejemplo una página Web para el control de las
máquinas.
2.7.2 Plataforma como servicio o Platform as a Service (PaaS)
Una Plataforma como Servicio (PaaS) es un modelo de servicio que se sitúa por
encima de IaaS en cuanto a nivel de abstracción de los recursos IT. Este
modelo propone un entorno software en el cuál un desarrollador puede crear y
customizar soluciones dentro de un contexto de herramientas de desarrollo que
la plataforma proporciona.
La plataforma puede estar basada en un lenguaje específico, varios o
frameworks de desarrollo. En un modelo PaaS los clientes pueden interactuar
con el software para introducir o recuperar datos, realizar acciones etc., pero no
tienen responsabilidad de mantener el hardware, el software o el desarrollo de
las aplicaciones, solo se tiene responsabilidad de la interacción con la
30
plataforma. Dicho de otro modo, el proveedor es el responsable de todos los
aspectos operacionales. A menudo la plataforma ofrece herramientas de
desarrollo y despliegue de aplicaciones como por ejemplo: Windows Azure y su
integración a través de Visual Studio, es solo un ejemplo, la idea es que se
puedan soportar estándares de desarrollo tales como, HTML, CSS, XML, Java
Script etc; Otro ejemplo es Google App Engine admite aplicaciones escritas en
varios lenguajes de programación. Gracias al entorno de tiempo de ejecución
Java de App Engine, puedes crear tu aplicación a través de tecnologías Java
estándar, que incluyen JVM, Servlets Java y el lenguaje de programación Java,
o cualquier otro lenguaje que utilice un intérprete o compilador basado en JVM
como, por ejemplo, JavaScript o Ruby. App Engine también ofrece un entorno
de tiempo de ejecución Python dedicado, que incluye un rápido interprete
Python y la biblioteca estándar Python. Los entornos de tiempo de ejecución
Java y Python se generan para garantizar que tu aplicación se ejecute de forma
rápida, segura y sin interferencias de otras aplicaciones en el sistema.
Las plataformas como servicio vienen a suponer que el desarrollador de
aplicaciones web se olvida de almacenaje de ficheros, de gestión de la base de
datos, de balanceo entre máquinas, de ancho de banda, de escalabilidad, de
picos de demanda, de estabilidad, de tocar una máquina servidor, en definitiva,
la plataforma sobre la que construyes tu aplicación web ya no es cosa tuya, es
del servicio que contratas y que pagas religiosamente.
Concentrarse en la aplicación y ahorrar costes, son las dos ventajas inmediatas
de las plataformas como servicio. No sólo porque vendan almacenamiento y
ancho de banda más barato que un pequeño proveedor, sino porque también
adquirir el conocimiento para montar arquitecturas que escalen cuesta mucho
dinero (o muchos años de esfuerzo, aunque el rol de administrador de sistemas
va a cambiar mucho si se impone como tendencia). Por supuesto tienen sus
peros, como se comentó en "tu aplicación sobre web services": depender de un
31
único proveedor (algo con lo que tener mucho cuidado, diseñando la aplicación
para tener poco acoplamiento y probándola también siempre en un servidor de
toda la vida) y cometer también sus caídas, aunque se antoja improbable que
por uno mismo se consiga la disponibilidad de Amazon o Google.
El movimiento de estos dos gigantes de la web (en el mercado de las
aplicaciones como servicio también está Salesforce con Force.com o Joyent) es
una lucha por el rol por el que siempre ha apostado Microsoft con todas sus
fuerzas: ser la plataforma sobre la que otros construyen sus aplicaciones, tanto
en el escritorio como en el lado del servidor.
2.7.2.1 Características de una Plataforma como Servicio
Para saber si realmente se está ante una auténtica plataforma como servicio se
deben dar las siguientes características:
Un entorno de desarrollo basado en un navegador: Si tienes que instalar
algo en tu computadora para desarrollar aplicaciones, entonces no es PaaS.
Despliegue transparente hacia el entorno de ejecución: Idealmente, el
desarrollador debería poder desplegar su aplicación PaaS con un solo click.
Si hay que hablar con alguna persona para instalar la aplicación, entonces
no es PaaS.
Herramientas de monitoreo y gestión: Aunque las soluciones basadas en
nubes son muy convenientes en cuanto a costos, puede resultar complicado
gestionarlas y escalarlas sin buenas herramientas. Si hay que construir o
agregar una herramienta de monitoreo propia para poder escalar la
aplicación, entonces no es PaaS.
Facturación basada en el uso. Lo que hizo que PaaS fuera popular es que
evita pagar por adelantado. Si no puedes pagar con la tarjeta de crédito
basándote en el uso que haces de la plataforma, entonces no es PaaS.
32
2.7.2.2 Beneficios de PaaS
“Los beneficios de PaaS están cada vez en mayor cantidad de personas que
van a poder desarrollar, mantener y desplegar aplicaciones web.
Resumidamente, PaaS permite democratizar el desarrollo de aplicaciones web,
de la misma forma en que Microsoft Access democratizó el desarrollo de
aplicaciones cliente/servidor.
En la actualidad, construir aplicaciones web requiere desarrolladores expertos
con 3 habilidades especializadas:
1. Desarrollo del backend en el servidor (por ejemplo, Java / J2EE)
2. Desarrollo del frontend en el cliente (por ejemplo, JavaScript / Dojo)
3. Administración de sitios web
PaaS ofrece el potencial para que desarrolladores generales puedan construir
aplicaciones web sin tener que ser un experto especializado. Esto le abre la
puerta a toda una generación de desarrolladores MS Access, Lotus Notes y
PowerBuilder para que pueda comenzar a construir aplicaciones web sin una
curva de aprendizaje enorme.
2.7.2.3 Recursos PaaS
Hoy en día ya hay varios ofrecimientos PaaS:
App Engine de Google, basado en Python y Django, y ahora también en
Java.
Force.com de SalesForce, basado en la infraestructura SalesForce SaaS y
en el lenguaje Apex.
Bungee Connect, un entorno de desarrollo visual basado en Java.
LongJump, basado en Java / Eclipse.
WaveMaker, un estudio de desarrollo visual basado en Java y alojado en
Amazon EC2”. 11
11 http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-como-servicio-paas.html
33
2.7.3 Virtualización
Como se ha mencionado anteriormente, es muy importante disponer de una
fuerte capa de virtualización en la infraestructura para ser capaces de
responder a la demanda con una agresiva escalabilidad. La idea de la
virtualización es poder crear servidores virtuales, almacenamiento virtual, redes
virtuales y quizás algún día aplicaciones virtuales, es decir un pool de recursos.
Esta abstracción es clave en Cloud Computing ya que permite compartir y
acceso ubicuo. Para crear sistemas de hardware virtual, en ocasiones se usan
lo que se denomina como hipervisores. Un hipervisor o monitor de máquina
virtual (virtual machine monitor) es una plataforma que permite aplicar diversas
técnicas de control de virtualización para utilizar, al mismo tiempo, diferentes
sistemas operativos (sin modificar o modificados en el caso de
paravirtualización) en una misma computadora. Es una extensión de un término
anterior, “supervisor”, que se aplicaba a kernels de sistemas operativos. La
virtualización consiste en asignar un nombre lógico a un recurso físico, estos
recursos se gestionan fácil y dinámicamente ya que se realiza un mapeo entre
los recursos físicos y lógicos, estos mapeos pueden ser cambiados
dinámicamente de una forma muy eficiente, siempre a través de las
herramientas y productos que nos ofrecen los proveedores expertos como
VMWARE.
2.7.3.1 Algunas de las características de la Virtualización son:
Acceso: Un cliente puede acceder a un servicio Cloud desde cualquier
geografía.
Aplicación: Un Cloud tiene múltiples instancias de la aplicación y peticiones
directas a una de las instancias basadas en condiciones.
CPU: Se pueden crear particiones dentro de los ordenadores como un
conjunto de máquinas virtuales que se ejecutan dentro de ese ordenador.
Alternativamente se puede introducir un balanceador para repartir cargas.
34
Almacenamiento: A menudo se realiza una replicación para conseguir
redundancia.
2.7.4 Software como Servicio o Software as a Service (SaaS)
El modelo de servicio más completo es aquél que ofrece el software y el
hardware como un servicio conjunto, es decir, SaaS provee la infraestructura,
software, solución y toda la pila de aprovisionamiento como un servicio global.
Software as a Service (SaaS) se puede describir como Software que está
desplegado en un servicio de hosting y puede ser accedido globalmente a
través de internet mediante navegador, móvil, tablet, etc. Y donde todos los
aspectos que no sean la propia interacción con la aplicación son transparentes
al usuario. En el modelo SaaS, los usuarios pagan por el uso del servicio
mediante cuotas de suscripción, válidas por un determinado período de tiempo,
como en el caso de un alquiler.
2.7.4.1 Las características fundamentales de este modelo se pueden
resumir
El software está disponible globalmente a través de internet y bajo demanda.
El modelo de suscripción suele ser mediante licencias o basado en uso y es
facturado por mensualidades de forma recurrente.
Todo lo relativo a operaciones es responsabilidad del proveedor
Las actualizaciones, mejoras, evoluciones o parches en el aplicativo, debe
ser siempre transparente al usuario y por supuesto no debe hacer ningún
tipo de configuración.
SaaS soporta múltiples usuarios generalmente con un modelo multi-tenant.
35
Figura N°4 Acceso global en Cloud Computing
Este modelo de servicios normalmente pretende llegar a pequeñas y medianas
empresas (PYMES) y a veces a usuarios individuales, dejando para las grandes
empresas un modelo basado en VDI (Virtual Desktop Infraestructure). El acceso
suele ser a través de un portal o de un CMS web, que puede ser abierto o bien
está sucinto a una suscripción previa de otro servicio en la compañía que ofrece
SaaS (ADSL, línea móvil, .etc.). Dicho portal puede ser muy variado, pero
generalmente contiene las aplicaciones que se han comprado previamente con
un acceso mediante mashups. Y por otro lado un catálogo de aplicaciones que
se ofrecen, de ahí en adelante el portal puede ser tan avanzado como se quiera
pero siempre será el punto de acceso y uso a los servicios.
2.7.4.2 Tres sistemas básicos que desarrolla un Proveedor de SaaS
Los proveedores que desarrollan portales para habilitar SaaS normalmente
tienen tres sistemas básicos que desarrollar.
1. Un potente sistema de billing y facturación, tanto para soportar el complejo
modelo de suscripción por uso, como los modelos de promociones,
generación de reportes y bussiness intelligence.
2. El siguiente subsistema clave, es el de autenticación, donde generalmente
se implementa un sistema basado en single sign on que se suele comunicar
con los sistemas CRM de las compañías para las que se habilita el SaaS o
36
bien con el propio sistema de gestión de cliente si el portal SaaS es
propiedad nuestra.
3. Es necesario un buen sistema de integración de ISV´s, el valor al portal
SaaS se lo darán las aplicaciones que tengan, por ello cuanto más flexible y
dinámica sea la API de integración de aplicaciones, más rápido serán
ofrecidas a los clientes y por lo tanto el retorno de la inversión será mayor en
menos tiempo.
2.7.4.3 Algunos aspectos fundamentales de cara al cliente que va a
consumir los servicios SaaS.
Desde el punto del cliente que va a adquirir los servicios de una aplicación
ofrecida como servicio, existen una serie de requisitos mínimos necesarios que
una SaaS debe ofrecer:
Rendimiento: Una SaaS debe ofrecer un rendimiento mínimo y aceptable
para que sea atractiva su adquisición. El problema aquí es definir mínimo y
aceptable y aunque es un concepto subjetivo puede ser medible en tiempos
de respuesta en el acceso a los datos, de ejecución los procesos de
negocio, de comunicación a la propia aplicación (delay producido por el
alojamiento geográfico de esta), etc.
Acuerdo de Nivel de Servicio (en inglés Service Level Agreement): El ISV de
la aplicación SaaS debe proveer de varios niveles de servicio al que el
cliente pueda adherirse. Habrá clientes que necesiten su aplicación
disponible 8×5 (8 horas, 5 días a la semana,) y habrá que clientes que
necesiten 24 X 7(24 horas y 7 días de la semana). El ISV deberá instalar en
sus sistemas los mecanismos necesarios para poder ofrecer este tipo de
acuerdos, esto es, backup, cluster de alta disponibilidad de datos y
aplicación, etc.
37
Privacidad en las comunicaciones: Debido a la importancia de los datos que
puedan albergar las aplicaciones en necesario que la comunicación que se
realiza a través de Internet sea segura, esto es, la comunicación debe
realizarse a través de https u otra forma de comunicación que asegure la
privacidad de las comunicaciones.
Privacidad de los datos: De igual forma el ISV debe asegurar que los datos
estén seguros y accesibles única y exclusivamente por el dueño del dato.
Esto debe ser especialmente perseguido en las aplicaciones multi-tenant
(nivel 3 y 4 de maduración).
Monitorización de la aplicación: El cliente debe saber de alguna forma que
es lo que ocurre en su aplicación, por ejemplo: quién accede, a qué
procesos, a qué datos, etc.
Esto es obligado cuando el pago por el uso de la aplicación se realiza a través
de conceptos como horas de utilización de la aplicación, consumo de espacio
de disco, o cualquier otra forma que sea variable.
Acceso a los datos: El resto de la aplicaciones de la organización deben
acceder a través de APIs o de Web Services, a los datos y lógica de negocio
que se utilizan y genera por el uso de la SaaS, sobretodo, en clientes que
tengan adoptado la arquitectura SOA en su sistema de información.
Cuando se tiene que enfrentar a elegir qué aplicación SaaS queremos que
cubra cierta funcionalidad para nuestra empresa o área funcional, se debe
saber qué es lo que ofrece el proveedor desde diferentes puntos de vista. Por
ejemplo, no es lo mismo que el software te lo ofrezca a un único cliente, o que
lo comparta con otros clientes y tampoco es lo mismo que el recurso que
38
comparta sea el código de la aplicación que la base de datos donde lo
almacenas.
Figura N°5 Modelos definidos por funcionalidad
Para decidir qué es lo que más interesa desde el punto de cliente, antes se
mostrará qué es lo que actualmente se puede encontrar en el mercado tomando
como referencia lo que Microsoft definió y llamó el modelo de madurez de
SaaS:
-Nivel 1 de Madurez: En este nivel, el cliente tiene su propia versión
personalizada de la aplicación alojada. Corre su propia instancia de la
aplicación en los servidores del proveedor.
-Nivel 2 de Madurez: En este nivel, hay un vendedor (propietario) y un cliente
(arrendatario). El proveedor aloja una instancia independiente para cada
aplicación de cada cliente. En este nivel todas las implementaciones son del
mismo código y el proveedor conoce las necesidades de los clientes,
proporcionando opciones detalladas de configuración que permiten al cliente
cambiar la forma en la que la aplicación se ve y se comporta para sus usuarios.
39
Los cambios realizados por el arrendatario pueden permitir la disponibilidad de
diversas opciones de personalización para sus clientes.
-Nivel 3 de Madurez: En este nivel, el vendedor, en lugar de acoger una
instancia independiente de la solicitud de cada cliente, alberga una sola
instancia. Las políticas de autorización y de seguridad garantizan que los datos
de cada cliente se mantienen separados de la de otros clientes.
-Nivel 4 de madurez: En este nivel, el proveedor agrupa a varios clientes en una
granja con equilibrio de carga para instancias idénticas, donde los datos de
cada cliente que se mantienen separados. Los metadatos configurables
proporcionan una experiencia de usuario única y un conjunto de características
para cada cliente.
Como se puede ver a medida que aumenta el nivel de madurez se obtiene un
mayor aprovechamiento de las economías de escala provenientes de la
reducción en cada nivel de los recursos necesarios que componen la solución y
por tanto del menor mantenimiento.
Figura N°6 Modelos de madurez en SaaS
40
2.8 Tipos de Cloud
Una vez que se ha valorado que Cloud Computing es un Modelo de Negocio
con unas características que dotarán de mayor valor a los servicios y que
obtendrá un retorno de la inversión, hay que estudiar qué tipo de Cloud se va a
adoptar. Los tres tipos de Clouds se van a definir en base a quién va a poder
acceder a los servicios y quién va a gestionar la infraestructura. Los tipos son:
Pública, Privada e Híbrida; también la tendencia actual propone federar las
nubes, comunicarlas entre sí y conseguir potenciar más la escalabilidad de la
infraestructura.
2.8.1 Cloud pública
En las Nubes Públicas, los servicios que se ofrecen se encuentra en servidores
externos al usuario, pudiendo tener acceso a las aplicaciones de forma gratuita
o de pago, aunque normalmente es de pago y cualquier con una tarjeta de
crédito válida puede acceder y consumir rápidamente el servicio, adecuado
cuando a la empresa que ofrece el servicio no le importa compartir recursos
virtualizados en la nube y donde el despliegue de la aplicación será de manera
provisional.
La ventaja más clara de las nubes públicas es la capacidad de procesamiento y
almacenamiento sin instalar máquinas localmente, por lo que no tiene una
inversión inicial o gasto de mantenimiento en este sentido, si no que se paga
por el uso. La carga operacional y la seguridad de los datos (backup,
accesibilidad, etc.) recae íntegramente sobre el proveedor del hardware y
software, debido a ello, el riesgo por la adopción de una nueva tecnología es
bastante bajo. El retorno de la inversión se hace rápido y más predecible con
este tipo de nubes.
Como inconvenientes se cuenta con el acceso de toda la información a terceras
empresas, y la dependencia de los servicios en línea (a través de Internet).
También puede resultar difícil integrar estos servicios con otros sistemas
41
propietarios. Es muy importante a la hora de apostar por un servicio en la nube
pública, asegurarse de que se puede conseguir todos los datos que se tengan
en ella, gratuitamente y en el menor tiempo posible.
2.8.2 Cloud privada
Actualmente existe una importante tendencia en grandes empresas a la
implementación, dentro de su estructura y utilizando la red privada de la propia
organización, de las llamadas “Nubes Privadas”. Este concepto, más cercano al
de despliegue tradicional de aplicaciones que al de Cloud Computing
“estándar”, hace referencia a redes o centros de procesamiento de datos
propietarios que utilizan tecnologías características de Cloud Computing, tales
como la virtualización. Así, parten de los principios del Cloud Computing
tradicional y ofrecen los mismos servicios pero dentro en la propia estructura de
la compañía. Se suelen diseñar específicamente para un usuario,
proporcionando un control óptimo de la información gestionada, de su seguridad
y de la calidad de servicio ofrecida. Habitualmente, el usuario es también
propietario de la infraestructura de nube privada, y tiene control total de las
aplicaciones desplegadas en ella.
Los principales inconvenientes de este modelo son los analizados para el
paradigma tradicional, por ejemplo los relativos a la ampliación de los sistemas
informáticos. Esto obliga a adquirir nuevos sistemas antes de hacer uso de
ellos, contrariamente a lo ofrecido por las nubes públicas, donde ampliar los
recursos se reduce a contratarlos con el proveedor de servicios. Como ventaja
de este tipo de nubes, a diferencia de las nubes públicas, destaca la
localización de los datos dentro de la propia empresa, lo que conlleva a una
mayor seguridad de estos.
2.8.2.1 Diferencias entre Nube Pública y Nube Privada
“Existen muchas diferencias entre nube pública y nube privada.
42
-Entre ellas la capacidad de la infraestructura con la que se cuenta: La nube
pública es más grande ya que es una plataforma que soporta muchos
servidores, mientras que en la privada depende directamente de la
organización, sus políticas y su capital.
-Por otro lado, los costos son también distintos, pues la pública suele ser más
económica ya que los servicios son de consumo general, mientras que en la
nube privada los costos se derivan de la capacidad y ejecución de cada
empresa.
En términos sencillos, la nube pública es más económica dado que es un
servicio a gran escala y con soporte más amplio y los costos se amortizan entre
la cantidad de usuarios y clientes que tiene la organización. Es decir, la nube
pública requiere una inversión de capital X que puede ser flexible dependiendo
de las necesidades del usuario, mientras que la nube privada requiere una
inversión de 2X o más, porque es el servicio de la nube per se, más el gasto de
soporte técnico. ¿Pero qué sucede con la información?
Lo primero que se debe tener en cuenta es que cuando una empresa accede a
la computación en la nube está confiando sus datos, información y privacidad a
una nueva tecnología que es para muchos aún desconocida y que pese a que
se ha convertido en tendencia, existe aún un porcentaje que desconfía del
almacenamiento de los datos y de la confiabilidad de la seguridad.
Así pues, una de las características de las nubes privadas es el grado de
confianza que genera, ya que puede ser controlado directamente por la
organización. Es decir, la nube privada no es menos segura que un centro de
datos más grande. Lo que sí cambia son las políticas y el manejo de la
información, por ejemplo: Si una empresa con nube privada tiene un problema
con sus servidores, debe resolverla ella misma o pagar a un tercero para que lo
resuelva y mientras tanto pierde tiempo valioso de trabajo y tal vez algún tipo de
43
información esté en riesgo. Por otro lado, si una empresa con nube pública
tiene un problema con un servidor, siempre habrá otro servidor que le
reemplace en tiempo real, una nube pública que soporta a miles de empresas
no se puede dar el lujo de fallar y no tener una infraestructura adicional que
soporte la información.
Por ejemplo, una PYME financiera que debe contar con todo el respaldo y
seguridad de un buen proveedor de computación en la nube, debe considerar la
nube pública como una solución; ya que esta le provee servicios de seguridad a
grandes bancos internacionales como Citi Bank. Por tanto, la PYME tiene el
mismo nivel de seguridad y confiabilidad que una gran empresa.
Entonces ¿Qué es mejor? La computación en la nube es un modelo que ha
llegado para quedarse, que está llevando a las empresas a un nivel tecnológico
superior, que les está abriendo paso en un mercado cada vez más competitivo
y que provee de plataformas y servicios útiles para los ejecutivos y empresarios
que no siempre pueden estar en sus escritorios, todo a bajo costo.
La diferencia entre nube pública y privada se establece básicamente por la
infraestructura, servicio y respaldo que una empresa necesita. Si sus datos
deben tener respaldo, trabajo ininterrumpido, mayor seguridad para su
información, actualizaciones constantes de servicios y bajos costos, la nube
pública es el tipo de nube que se necesita”12.
2.8.3 Cloud Híbrida
El modelo híbrido combina los modelos anteriormente descritos, sobre nubes
públicas y privadas, de manera que se aprovecha la ventaja de localización
física de la información gestionada por las nubes privadas con la facilidad de
12 http://www.avanxo.com/nube-pública-vs.-nube-privada-ventajas-de-la-computación-en-la-nube.html
44
ampliación de recursos de las nubes públicas. Las principales cuestiones a
vigilar en este modelo son la privacidad y la protección de datos, al igual que en
la nube pública.
Las nubes híbridas consisten en combinar las aplicaciones propias de la
empresa con las consumidas a través de la nube pública, entendiéndose
también como la incorporación de servicios de Cloud Computing a las
aplicaciones privadas de la organización. Esto permite a una empresa mantener
el control sobre las aplicaciones críticas para su negocio y aprovechar al mismo
tiempo las posibilidades ofrecidas por los servicios ofertados por la nube en
aquellas áreas donde resulte más adecuado.
Parece que actualmente este tipo de nubes está teniendo buena aceptación en
las empresas, por lo que se están desarrollando software de gestión de nube
que permita controlar la nube privada e incorporar al mismo tiempo recursos y
servicios de proveedores públicos de Cloud Computing.
Figura N°7 Esquema Cloud Computing
2.9 Implementaciones
A continuación se describen algunos proveedores de servicios que están
marcando la tendencia del mercado en la actualidad. Se ha descrito el
45
proveedor de referencia en IaaS (Amazon Web Services) y la referencia en
servicios PaaS (Microsoft Windows Azure y Google App Engine).
2.9.1 Amazon Web Services (AWS)
Uno de los proveedores de IaaS más sobresalientes en el mercado es Amazon
Web Services. Este proveedor permite que sus usuarios creen una Imagen de
Máquina Virtual de Amazon (AMI), esto es, una máquina virtual con el sistema
operativo Windows o Linux, en la que el usuario instala sus aplicaciones,
librerías y datos que necesite.
Figura N°8 Logotipo Amazon Web Services
Posteriormente, Amazon ejecuta esa máquina en sus sistemas, y le asigna
características físicas (como la capacidad de procesamiento máxima disponible,
la cantidad de memoria RAM máxima a utilizar, el espacio de almacenamiento
máximo disponible, etc.) de acuerdo al contrato suscrito con el usuario. El
usuario accede a esa máquina de manera remota de la misma forma en que
accedería a un servidor físico tradicional. Asimismo, el usuario puede indicar a
Amazon que amplíe sus sistemas automáticamente según las condiciones que
hayan establecido previamente, y puede monitorizar o controlar en todo
momento el estado de su máquina virtual.
En cuanto a precios, el coste se factura por hora de utilización y tipo de
recursos asignados a cada máquina física (como la capacidad de
procesamiento, la cantidad de memoria RAM, la cantidad de espacio para el
almacenamiento secundario, el sistema operativo utilizado o el software
46
adicional necesitado). Para facilitar el cálculo aproximado de la factura mensual,
el propio Amazon contiene una calculadora disponible en su Web.
Los servicios más destacables de Amazon son: EC2 y S3. A continuación se
explican las características principales de cada uno de ellos.
2.9.1.1 Amazon Elastic Compute Cloud (EC2)
Amazon Elastic Compute Cloud (Amazon EC2) es un servicio web que
proporciona capacidad informática con tamaño modificable en la nube. Se ha
diseñado con el fin de que la informática web resulte más sencilla a los
desarrolladores.
La sencilla interfaz de servicios web de Amazon EC2 permite obtener y
configurar capacidad con una fricción mínima. Proporciona un control completo
sobre sus recursos informáticos y permite ejecutarse en el entorno informático
acreditado de Amazon. Amazon EC2 reduce el tiempo necesario para obtener e
iniciar nuevas instancias de servidor a cuestión de minutos, lo que permite
escalar con rapidez su capacidad (aumentarla o reducirla) cuando cambie los
requisitos informáticos. Amazon EC2 cambia las reglas económicas de la
informática al permitirle pagar sólo por la capacidad que realmente utilice.
Amazon EC2 proporciona a los desarrolladores las herramientas necesarias
para crear aplicaciones resistentes a errores y para aislarse de los casos de
error más comunes.
Amazon EC2 presenta un auténtico entorno informático virtual, que permite
utilizar interfaces de servicio web para iniciar instancias con distintos sistemas
operativos, cargarlas con su entorno de aplicaciones personalizadas, gestionar
sus permisos de acceso a la red y ejecutar su imagen utilizando los sistemas
que desee. Para utilizar Amazon EC2, sólo tiene que: Seleccionar una imagen
de plantilla preconfigurada para pasar a estar activo de inmediato. O bien crear
47
una AMI (Amazon Machine Image) que contenga sus aplicaciones, bibliotecas,
datos y valores de configuración asociados. Configurar la seguridad y el acceso
a red en su instancia de Amazon EC2. Seleccionar los tipos de instancias y
sistemas operativos que desee y, a continuación, iniciar, finalizar y supervisar
tantas instancias de su AMI como sea necesario, a través de las API de servicio
web o la variedad de herramientas de gestión proporcionadas.
2.9.1.1.1 Características que brinda Amazon con este servicio son:
Elástico: Amazon EC2 permite aumentar o reducir la capacidad en cuestión
de minutos, sin esperar horas ni días. Puede enviar una, cientos o incluso
miles de instancias del servidor simultáneamente. Dado que todo está
controlado mediante las API del servicio web, su aplicación podrá escalarse
automáticamente según sus necesidades aumenten o se reduzcan.
Control total: Tendrá control total sobre sus instancias. Tiene acceso de
usuario raíz a todas ellas, y puede interactuar con ellas como con cualquier
otra máquina. Puede detener su instancia y mantener los datos en su
partición de arranque, para reiniciar a continuación la misma instancia a
través de las API del servicio web. Las instancias se pueden reiniciar de
forma remota mediante las API del servicio web. Así mismo, tiene acceso a
la emisión de consola de sus instancias.
Flexible: Tiene la opción de varios tipos de instancias, sistemas operativos y
paquetes de software. Amazon EC2 permite seleccionar una configuración
de memoria, CPU, almacenamiento de instancias y el tamaño de la partición
de arranque óptimo para su sistema operativo y su aplicación. Por ejemplo,
entre sus opciones de sistemas operativos se incluyen varias distribuciones
de Linux, Microsoft Windows Server y OpenSolaris.
48
Con un diseño pensado para su uso con otros Amazon Web Services:
Amazon EC2 trabaja con Amazon Simple Storage Service (Amazon S3),
Amazon SimpleDB y Cloud Computing: Fundamentos, diseño y arquitectura
aplicados a un caso de estudio Amazon Simple Queue Service (Amazon
SQS) para proporcionar una solución completa de computación,
procesamiento de consultas y almacenamiento en una gran gama de
aplicaciones.
Fiable: Amazon EC2 ofrece un entorno muy fiable en el que las instancias
de sustitución se pueden enviar con rapidez y anticipación. El servicio se
ejecuta en los centros de datos y la infraestructura de red acreditados de
Amazon. El compromiso del contrato a nivel de servicio de Amazon EC2 es
de una disponibilidad del 99,95% en cada Región de Amazon EC2.
Seguro: Amazon EC2 ofrece diversos mecanismos para proteger los
recursos informáticos. Amazon EC2 incluye interfaces de servicio web para
configurar el cortafuegos que controla el acceso de red a grupos de
instancias, y el acceso entre estos. Al iniciar recursos de Amazon EC2 en
Amazon Virtual Private Cloud (Amazon VPC), puede aislar sus instancias
informáticas especificando el rango de IP que desea utilizar, así como
conectarse a su infraestructura de IT existente mediante la red cifrada IPsec
VPN estándar del sector.
2.9.1.2 Amazon Simple Storage Service (S3)
Otro de los servicios clásicos de Amazon es S3. Amazon S3 es el servicio de
almacenamiento en la nube. Está diseñado para realizar el cómputo web a gran
escala más fácil. Amazon S3 proporciona una sencilla interfaz de servicios web
que pueden ser utilizados para almacenar y recuperar cualquier cantidad de
datos, en cualquier momento, desde cualquier lugar en la web. Se permite a
cualquier desarrollador acceder a la infraestructura altamente escalable, fiable,
49
segura, rápida, que Amazon utiliza para ejecutar su propia red mundial de sitios
web.
El servicio tiene como objetivo maximizar los beneficios de escala y pasar esos
beneficios a los desarrolladores. Amazon S3 está creado intencionadamente
con un conjunto de funciones mínimas.
Escriba, lea y elimine objetos que contengan desde 1 byte hasta 5 gigabytes
de datos. El número de objetos que puede almacenar es ilimitado.
Cada objeto está almacenado en un depósito, y se recupera por medio de
una clave exclusiva asignada por el desarrollador.
Un depósito puede estar almacenado en una de varias Regiones. Debe
escoger una Región cercana para optimizar la latencia, minimizar los costes
o afrontar exigencias reguladoras. Amazon S3 está actualmente disponible
en las Regiones EE. UU. estándar, UE (Irlanda), oeste EE. UU. (norte de
California) y Asia Pacífico (Singapur). La Región EE. UU. estándar redirige
automáticamente las solicitudes hacia instalaciones situadas en el norte de
Virginia o en el noroeste del Pacífico por medio de asignaciones de red.
Los objetos almacenados en una Región nunca abandonan la misma, a
menos que usted los transfiera. Por ejemplo, los objetos almacenados en la
Región UE (Irlanda) nunca salen de la UE.
Se incluyen mecanismos de autenticación diseñados para garantizar que los
datos se mantienen seguros frente a accesos no autorizados. Los objetos
pueden hacerse privados o públicos, y pueden otorgarse derechos a
usuarios determinados.
50
Utiliza interfaces REST y SOAP basadas en estándares diseñadas para
funcionar con cualquier kit de herramientas de desarrollo en Internet.
Está creado para ser flexible y permitir añadir fácilmente protocolos o capas
funcionales. El protocolo de descarga predeterminado es HTTP. Se
proporciona un protocolo BitTorren para reducir los costes de la distribución
a gran escala.
2.9.2 Microsoft Windows Azure
Uno de los proveedores que más ha destacado por el momento es Windows
Azure, que ofrece la creación de aplicaciones Web adaptadas a sus sistemas y
su despliegue en los mismos con ciertas limitaciones de consumo. Admite
varios lenguajes de programación y permite compartir las aplicaciones con todo
el mundo o sólo con quien se desee. Así mismo, se puede comenzar a usar
gratuitamente y sólo pagar si se necesitan incrementar los límites o los recursos
utilizados posteriormente, con un coste inferior al de los sistemas tradicionales.
Otras empresas proveedoras de servicios de PaaS son Velneo o Azure. Como
ejemplo de esta última destaca Windows Azure Platform, una plataforma que
ofrece a los desarrolladores de Cloud Computing: Fundamentos, diseño y
arquitectura aplicados a un caso de estudio, aplicaciones un entorno para crear
y ejecutar sus aplicaciones en los centros del proveedor.
Dicho entorno proporciona las funcionalidades necesarias para que las
aplicaciones creadas con él puedan realizar diversas tareas de negocio,
almacenar información en bases de datos de la “nube” y comunicarse con otras
aplicaciones creadas. Con ese o con otros entornos. Los escenarios más
comunes donde se emplea esta plataforma abarcan desde la creación de sitios
51
Web para empresas hasta el almacenamiento de grandes cantidades de
información de forma más barata y ampliable en bases de datos o sistemas de
almacenamiento masivo.
Figura N°9 Plataforma Windows Azure
Entre las ofertas y servicios que ofrece Windows Azure son:
-Windows Azure: Sistema Operativo como un servicio en línea
-Microsoft SQL Azur: Solución completa de base de datos Cloud relacional.
-Plataforma AppFabric de Windows Azure: Conecta servicios Cloud y
aplicaciones internas.
Figura N°10 Servicios en Windows Azure
52
La plataforma permite la total integración de los servicios mencionados
anteriormente con herramientas y aplicaciones que ya existían de Microsoft,
como las que todos conocemos, Microsoft Office, Exchange, todas ellas en
modalidad SaaS, aunque la novedad reside en su herramienta CRM Microsoft
Dynamics, para el seguimiento de clientes y gestión empresarial en general.
2.10 Cloud Computing y SOA
En esta sección se analizarán y evaluarán cómo SOA y Cloud Computing
coexisten. La sección discutirá las sinergias entre ambos modelos y se
explicará como el efecto de esta combinación es mayor que la suma de los
efectos individuales. La mayor parte de las implementaciones e integraciones
basadas en Cloud Computing que se realizan hoy en día tienen un propósito
común, optimizar las aplicaciones a gran escala.
Estas aplicaciones necesitan ser flexibles, y la adopción de SOA puede
proporcionar a los desarrollos basados en Cloud Computing un diseño para el
acceso a los servicios a través de un bajo acoplamiento y la habilidad de
evolucionar fácilmente que de otro modo sería muy complejo. El papel de SOA
en Cloud Computing está comenzando a ser sistémico ya que ayuda a la
compresión de los procesos a nivel de dominio del problema.
Cloud Computing es un tipo de solución, una alternativa más con las que
afrontar retos profesionales, una forma de crear un sistema en el que algunos o
todos sus Cloud Computing: Recursos de TI existentes pueden estar en algún
nivel de la infraestructura Cloud de terceros, tales como Amazon EC2 o
Force.com. Por lo tanto, Cloud Computing es algo que puede implicar parte o la
totalidad de una arquitectura. La diferencia principal es que los recursos del
sistema van a ser más distribuidos si cabe. SOA es todo sobre el proceso de
definición de una solución informática o la arquitectura, mientras que el Cloud
Computing es una alternativa arquitectónica. Por lo tanto, SOA no puede ser
53
sustituido por Cloud Computing. De hecho, la mayoría de soluciones basadas
en la nube van a ser definidas a través de SOA. No compiten, son conceptos
complementarios.
Otro aspecto que debemos considerar, es que SOA, además de ser un patrón
arquitectónico, es una estrategia que alinea la tecnología y las realidades del
negocio, dejando un entorno listo para sufrir cambios (tanto tecnológicos, como
estratégicos) con el menor impacto en costes posible. La decisión de introducir
un modelo de servicios basados en Cloud Computing sin duda introduce serios
cambios de la tipología comentada anteriormente, veremos en qué medida SOA
puede mitigar el gap de adoptar un modelo basado en Cloud.
Una de las principales ventajas de SOA es que está alineado con los procesos
de negocio de la organización, por lo tanto podemos delegar los aspectos
específicos de la infraestructura al proveedor de servicios Cloud que
escojamos. La ventaja de este aspecto reside en que, los profesionales de una
organización pueden estar más preocupados en alinear negocio y TI sin
preocuparse si la infraestructura lo podrá soportar, dicho de otro modo, se
podrá enfocar esfuerzos en las necesidades reales de la organización [12]. En
esta línea cabe afirmar que de algún modo SOA proporciona un entorno con las
bondades que se han explicado a lo largo del trabajo, y Cloud Computing
proporciona alta escalabilidad de forma transparente para el usuario, esta
abstracción de infraestructura y escalabilidad evita tener que pensar en
balanceos de carga de los servicios, centrándonos en las actividades que
realmente proporcionan valor dentro de la organización, es decir, SOA está
orientada al negocio y Cloud está orientado a la infraestructura.
Por supuesto, la escalabilidad de Cloud Computing se aplica a todo tipo de
estilos arquitectónicos, no sólo a SOA. Sin embargo, una de las ideas centrales
en SOA, la reutilización de la funcionalidad y la coherencia, es mucho mayor
54
cuando no hay problemas de escalabilidad, por la tanto se puede afirmar que
existe una clara sinergia entre reutilización y escalabilidad.
En cuanto a la gestión y gobernanza de los servicios, SOA es en sí mismo un
marco de referencia, es importante considerar que Cloud Computing va a llevar
los servicios SOA fuera del firewall interno donde solían alojarse, se hace
necesario un sistema de gestión y gobernanza tremendamente maduros. El
tremendo esfuerzo por introducir gobierno SOA se vería recompensando, ya
que se le proporcionaría a nuestra arquitectura Cloud características añadidas
tales como monitorización para el control de la actividad y cumplimiento de
SLAs por parte del proveedor de infraestructura Cloud, y un mayor control de la
seguridad para mitigar el aumento de riesgo que supone alojar en el exterior los
servicios al adoptar Cloud Computing.
Figura N°11 Sinergias entre SOA y Cloud Computing
Tal y como se puede observar en la Figura N°11, las sinergias entre Cloud
Computing y SOA aportarán un gran valor añadido al sistema y a la
infraestructura. La combinación no solo nos aporta valor a nuestro negocio,
SOA se verá potenciado ya que Cloud Computing extenderá SOA fuera de las
fronteras de los firewalls internos de la organización. Y SOA proporcionará a
55
Cloud Computing todo un marco de gestión y gobernabilidad, interfaces
débilmente acopladas basadas en estándares y una base de diseño de la
arquitectura a través de los principios de orientación a servicios.
Los motivos por los cuales puede interesar un modelo basado en la nube. Ya se
ha visto que permite el lanzamiento rápido de servicios, el acceso a los mismos
desde cualquier lugar, se facilita su difusión y publicidad, es capaz de absorber
crecimientos rápidos y picos de carga, facilita la integración con otros servicios,
etc. Veremos cuáles son las principales ventajas competitivas que Cloud
Computing ofrece y que parámetros son importantes para elegir unos modelos
u otros. Por último que riesgos se deben asumir y poner esfuerzo para evitarlos.
2.11 Aspectos claves en la elección de IaaS frente a sistemas tradicionales
A continuación se muestra de forma esquematizada una comparación entre el
uso de los sistemas informáticos tradicionales requeridos por una organización,
y los cambios que puede aportar el uso de IaaS.
En el sistema tradicional se desaprovechan recursos, mientras que en un
sistema IaaS se consigue una mayor eficiencia en su utilización (menos
sistemas informáticos desaprovechados, menor energía consumida por unidad
de información gestionada, sistemas más automatizados). Así mismo, los
recursos físicos se gestionan de manera unificada por parte del proveedor, por
lo que el tiempo necesario para adaptar los recursos de un usuario de IaaS a
sus necesidades reales en cada momento se reduce notablemente. Así, el
proveedor de servicios podrá optimizar el uso en todas sus máquinas,
reduciendo así los costes por el servicio.
Las máquinas físicas utilizadas para IaaS son propiedad del proveedor de
servicios, con el consiguiente riesgo de que éste pudiera dejar en algún
momento de ofrecer el servicio. Sin embargo, esta característica aporta
56
importantes ventajas, por ejemplo el hecho de que el equipamiento se renueva
más fácilmente debido a la economía de escala de estos sistemas y de que se
siguen estándares que facilitan la interoperabilidad entre fabricantes.
Por otra parte, aunque en los sistemas tradicionales la infraestructura es
propiedad de la organización, tiene el inconveniente de que está asociada a
sistemas que se pueden quedar obsoletos o ser incompatibles con otros.
El empleo de servidores virtuales dedicados, que simulan una máquina con un
sistema operativo propio, permite separar esta máquina simulada del resto de
funcionalidades ofrecidas por el resto de la máquina física. Así, si la máquina
física falla, se puede utilizar la máquina simulada en otra máquina física, por lo
que las consecuencias de un fallo en alguna de las Cloud Computing:
Fundamentos, diseño y arquitectura aplicados a un caso de estudio máquinas y
el tiempo de recuperación se reducen drásticamente.
Además, estas máquinas utilizadas en IaaS se encuentran replicadas, y
disponen de centros físicos de almacenamiento y procesamiento con ciertas
características (como la refrigeración de las máquinas, su seguridad física, etc.)
que, en el caso de ser implantadas en los centros tradicionales, tendrían unos
costes demasiado elevados.
Veamos los aspectos clave a tener en cuenta por parte de una empresa a la
hora de escoger la implantación de una solución IaaS.
2.11.1 Aspectos técnicos
El proveedor de servicios IaaS ofrece una infraestructura informática para
determinados Sistemas Operativos y software (como bases de datos,
alojamiento Web, entornos de desarrollo de aplicaciones, servidores de
aplicaciones, codificación y streaming de vídeo) y la empresa usuaria debe
57
tener en cuenta que no podrá incorporar otros sistemas particulares de su
solución.
2.11.2 Aspectos estratégicos
Los usuarios pueden desplegar máquinas virtuales en la infraestructura física
de IaaS en muy poco tiempo (en los casos más sencillos, en pocos minutos),
por lo que se reduce significativamente el tiempo y coste asociado de puesta en
marcha de nuevos sistemas. Además, la capacidad de ampliación de los
recursos hardware es bastante menos costosa y rápida que en el caso
tradicional.
Por otro lado, la disponibilidad y calidad de servicio ofrecidos en IaaS suelen
estar garantizados durante casi todo el tiempo de utilización, ofreciendo
soluciones alternativas en el caso de falta de servicio. Así, uno de los aspectos
estratégicos por los que una empresa podría optar por IaaS sería conseguir una
reducción significativa de la inversión en recursos para garantizar la
disponibilidad del sistema, que generalmente consiste en la adquisición de
sistemas físicos redundantes para evitar pérdidas de servicios que
habitualmente no se usan, con el consecuente coste que suponen los recursos
desperdiciados.
Otro aspecto estratégico a tener en cuenta es el hecho de que la
deslocalización física del hardware utilizado junto con el uso de redes privadas
virtuales (VPN) posibilita el acceso simultáneo y seguro de múltiples empleados
de la organización a los sistemas con mayor facilidad de disponer de alta
velocidad de conexión.
58
2.11.3 Aspectos económicos
El coste de utilización de los servicios IaaS sigue varios modelos:
En el primer modelo se cobra una tarifa fija por hora y unidad de recursos
utilizados. Esto suele ser útil para aplicaciones poco probadas en los que el
consumo sea impredecible.
En el segundo, se ofrece la posibilidad de disponer de un recurso reservado,
con un pequeño coste, y un cobro por el uso posterior. Suele emplearse en
aplicaciones con un uso predecible y que necesiten de capacidad reservada,
incluyendo recuperación ante desastres.
En otros modelos, se paga en función del uso instantáneo que se haga de
los recursos. Este último caso es adecuado cuando se necesita una alta
flexibilidad de los recursos en determinados momentos, por ejemplo,
grandes consumos en momentos determinados del día no predecibles.
Habitualmente, se pueden combinar estos modelos para adaptarlos a las
necesidades específicas del usuario.
2.11.4 Aspectos legales
El uso de IaaS obliga a sus usuarios a que no exijan la localización en todo
momento de la ubicación física de la información gestionada. Otra característica
a tener en cuenta es que algunos de los proveedores de servicios IaaS realizan
back-ups o copias de la información que gestionan. Estos dos aspectos son
importantes si se gestiona información protegida de carácter personal o
empresarial.
2.12 Aspectos claves en la elección de PaaS frente a sistemas
tradicionales
Al igual que en IaaS, el uso de PaaS aporta ciertas mejoras y facilidades frente
a sistemas tradicionales, entre las que destacan:
59
2.12.1 Calidad final
El importante esfuerzo colaborativo realizado en aplicaciones informáticas
creadas con Cloud Computing: Fundamentos, diseño y arquitectura aplicados a
un caso de estudio PaaS hace posible que en la gran mayoría de los casos el
usuario perciba una calidad final mayor que la ofrecida por aplicaciones
convencionales:
A diferencia del proceso tradicional, donde se desarrolla en un entorno y
posteriormente se traslada a otros para su prueba y puesta en marcha, en PaaS
la creación de la aplicación se realiza en un entorno unificado y que será el
mismo al que accederán sus usuarios finales, por lo que se reducirán los
errores debidos a las diferencias entre entornos y serán más sencillos de
corregir.
Por otra parte, el hecho de gestionar toda la información de manera
centralizada permite obtener estadísticas de la información real accedida en
cada momento, las cuales podrían reutilizarse para mejorar la aplicación u otras
similares.
2.12.2 Interoperabilidad con otros sistemas en línea
Un elevado número de aplicaciones, tales como sistemas de comercio
electrónico o sistemas de predicción meteorológica, requieren acceso en tiempo
real a información disponible en otros puntos de Internet u otras redes. Trabajar
con PaaS facilita la conectividad a esos recursos, ya que ambos estarán
diseñados específicamente para trabajar de forma conjunta, y permite actualizar
automáticamente las conexiones entre los recursos, lo cual supone una ventaja
respecto al desarrollo realizado en los sistemas tradicionales.
Asimismo, PaaS utiliza frecuentemente una infraestructura IaaS, ya descrita
anteriormente, beneficiándose de sus ventajas como ampliar o reducir los
recursos físicos eficientemente.
60
2.13 Aspectos Claves a tomar en cuenta para implantar una solución PaaS
A continuación, se citan los aspectos clave a tener en cuenta por parte de una
empresa a la hora de escoger la implantación de una solución PaaS.
2.13.1 Aspectos técnicos
A la hora de crear las aplicaciones que posteriormente se situarán en los
sistemas PaaS, hay que tener en cuenta que la tecnología a usar en las mismas
debe ser compatible con dichos sistemas. En general, la tecnología estará
basada en estándares internacionales, pero el rango de funciones que ofrece
puede ser bastante limitado en ciertos casos. Por ejemplo, en la creación de
aplicaciones Web sobre Google App Engine, los lenguajes de programación
utilizados únicamente pueden ser Python y Java. Esto puede reducir el
rendimiento de determinadas aplicaciones.
Por otro lado, las plataformas PaaS permiten ampliar fácilmente los recursos
disponibles para la aplicación ya que, por ejemplo, se usan sistemas de ficheros
y bases de datos específicas para ello. Sin embargo, la gestión de la
información en estos sistemas es bastante más compleja, por lo que en la
práctica se confía parte de ese control al proveedor de servicios. Se deberá
conocer hasta qué punto la información gestionada es crítica, y qué niveles de
seguridad se establecerán. Esto obliga al proveedor a suministrar información
sobre la estructura de los datos.
Finalmente, la gestión de las aplicaciones una vez situadas en las máquinas de
PaaS suele ser más sencilla que en las instalaciones tradicionales, pero se
dispone de menor control de todos los sistemas.
2.13.2 Aspectos estratégicos
Con PaaS se ofrecen soluciones de almacenamiento y computación para los
desarrolladores de software accesibles independientemente de la ubicación
61
geográfica, adoptando así economías de escala y flexibilidad de configuración
sin que los usuarios de la plataforma necesiten mantener la tecnología
subyacente.
2.13.3 Aspectos económicos
Los proveedores PaaS habitualmente ofrecen un periodo de pruebas sin coste
en los que los usuarios pueden comprobar las ventajas competitivas que
pueden encontrar en PaaS, o pueden experimentar con nuevas aplicaciones
adaptadas a ese tipo de sistemas.
Comúnmente, se ofrece un coste por uso de los recursos del sistema, es decir,
se cobra una cantidad fija por cada GByte de almacenamiento, por cada hora
de procesamiento o por cada GByte de información transmitida hacia terceros.
Asimismo, para fomentar la implantación de PaaS se tiende a ofrecer un
servicio gratuito limitado a una cantidad diaria de uso, a partir del cual se realiza
el cobro según se ha descrito.
2.13.4 Aspectos legales
Al comenzar a usar los servicios PaaS, se establece un acuerdo entre el
proveedor y el usuario en el que se describen las condiciones del servicio
ofrecido. Habitualmente, el usuario se compromete a no realizar un uso
indebido de los sistemas que se le ofrecen.
Por otro lado, el proveedor señala las condiciones de tarificación del servicio, de
garantía de acceso y gestión adecuada de la información, y de las garantías
legales en caso de errores o desastres en sus sistemas.
62
2.14 Aspectos claves en la elección de SaaS frente a sistemas
tradicionales
En la práctica, las aplicaciones SaaS se diferencian de las aplicaciones
tradicionales en ciertos aspectos fundamentales, varios de ellos ya comentados
en las ventajas generales ofrecidas por Cloud Computing:
2.14.1 Coste
Las aplicaciones tradicionales tienen un coste inicial alto basado en la
adquisición de las licencias para cada usuario. Estas licencias suelen ser a
perpetuidad, es decir, no imponen restricciones temporales a su uso.
En cambio, para las aplicaciones SaaS el coste se basa en el uso, no en el
número de usuarios, y el gasto de mantenimiento es nulo, ya que la las
aplicaciones las gestiona el propio proveedor. Un modelo más equilibrado entre
ambos podría ser el uso de sistemas basados en un uso ilimitado durante un
periodo de tiempo.
2.14.2 Administración informática
Las organizaciones que usan software tradicional comúnmente necesitan un
departamento de administración o una subcontratación de esas competencias a
otras empresas para que se resuelvan problemas asociados a la implantación
de la infraestructura informática o la resolución de problemas como la seguridad
de los sistemas, la fiabilidad, el rendimiento ofrecido o problemas de
disponibilidad. Si se utiliza SaaS, esta administración se ve reducida
considerablemente, ya que la realiza el proveedor de servicios basándose en el
acuerdo de nivel de servicio.
2.14.3 Independencia de las mejoras en las aplicaciones
El proveedor de SaaS no sólo se encarga de la administración, como se acaba
de comentar, sino que también es el que se encarga de instalar, mantener y
63
actualizar las aplicaciones del cliente, por lo que este último podrá invertir su
tiempo en las tareas propias de su negocio, utilizando sus recursos en las áreas
más estratégicas.
2.15 Aspectos clave a la hora de decidir optar por soluciones SaaS de
forma total o parcial en la organización:
2.15.1 Aspectos técnicos
Las aplicaciones informáticas SaaS suelen ofrecer cierta flexibilidad de
configuración para su adaptación a las necesidades del cliente. Sin embargo,
existen empresas que necesitan aplicaciones muy particulares, cuya adaptación
a partir de software SaaS es demasiado costosa económica o técnicamente
para los proveedores de servicios. En esos casos, esas empresas deberán
desarrollar un software específico.
Otro factor a considerar es el tipo y la cantidad de datos a transmitir a las
aplicaciones de la empresa. Habitualmente, las redes de comunicaciones
ofrecen altas velocidades de transmisión de datos en sus instalaciones, y
menores velocidades en su acceso a Internet. Si se utiliza una aplicación SaaS,
se ha de considerar que se deberá acceder a Internet para transmitir
información. Para paliar la lentitud del sistema al transmitir información, las
aplicaciones SaaS sólo transmiten la información estrictamente necesaria
(también llamada solución basada en caché) o agrupan la información para
transmitirla en el momento óptimo (solución denominada transmisión por lotes).
2.15.2 Aspectos estratégicos
En algunas empresas se presenta cierta resistencia a que las funcionalidades
de gestión de la empresa se externalicen hacia sistemas en Internet. Sin
embargo, se pueden realizar proyectos de prueba en los que se analicen las
mejoras que puede aportar a la empresa el uso de estos sistemas SaaS. En
64
consonancia con ello, los proveedores de SaaS ofrecen a menudo periodos de
prueba para que las empresas puedan realizar estos análisis.
2.15.3 Aspectos económicos
Para realizar un análisis adecuado se ha de comparar el coste total de
propiedad (llamado en términos económicos, TCO) de una aplicación SaaS
frente al del software tradicional. Aunque el coste inicial de una aplicación
SaaS es habitualmente inferior, el coste a largo plazo se puede llegar a
incrementar debido a las tarifas por el uso del servicio. Los factores más
destacados que afectan al TCO de una aplicación incluyen el número de
licencias de usuario del software necesarias o la cantidad de configuración
requerida para integrar la aplicación a la infraestructura de la organización.
Asimismo, se ha de tener en cuenta si se han realizado inversiones recientes en
infraestructuras de las que se espera un retorno de la inversión en cierto
periodo de tiempo.
2.15.4 Aspectos legales
Algunas organizaciones que operan en varios países están sujetas a
legislaciones que exigen la obtención de informes que describan cómo
gestionan la información. Sin embargo, es posible que los proveedores de SaaS
no sean capaces de proporcionar esos informes, o de utilizar sistemas de
trazabilidad o seguimiento de la información que gestionan. Todo esto debe
aparecer claramente especificado en el acuerdo de nivel de servicio (SLA).
2.16 Otros XaaS: El caso del Virtual Desktop Infrastructure (VDI)
Dada la creciente popularidad que están adquiriendo las distintas soluciones
basadas en Cloud Computing, ha surgido una familia de modelos de servicios
que se añaden a las ya comentadas (SaaS, PaaS, IaaS) y que se denomina
XaaS. Esta familia de servicios tiene como ejemplos, Testing as a Service,
Security as a Service, Modeling as a Service, todo como servicio.
65
En ocasiones cuando se descontrola la terminología sobre un concepto, esta,
deja de aportar valor, cuando lo que realmente aportar valor añadido es la
propia funcionalidad que te ofrece determinado servicio. No obstante, hay un
modelo de la familia XaaS y que está siendo adoptando por grandes compañías
como por ejemplo el BBVA. Este modelo se denomina Desktop as a Service
(DaaS), aunque su nombre más popular es Virtual Desktop Infrastructure (VDI).
La idea que hay detrás de lo que se llama Virtual Desktop Infrastructure (VDI)
es ejecutar sistemas operativos de escritorio y aplicaciones en máquinas
virtuales que residen en los servidores del centro de datos [8]. A los sistemas
operativos de escritorio dentro de máquinas virtuales también se les conoce
como los escritorios virtuales. Los usuarios acceden a los escritorios virtuales y
aplicaciones desde un cliente PC de escritorio o de cliente ligero con un
protocolo de visualización a distancia y llegar a casi todas las funciones como si
las aplicaciones se cargan en sus sistemas locales, con la diferencia de que las
solicitudes son administradas. Al igual que la virtualización de servidores, VDI
ofrece muchos beneficios. En concreto, las tareas administrativas y de gestión
se han reducido significativamente [8]; aplicaciones de forma rápida se pueden
agregar, eliminar, actualizar, y parches, la seguridad es centralizada.
VDI tiene algunas similitudes con una arquitectura de infraestructura de
aplicaciones para compartir, donde el acceso del usuario es a través de un
cliente ligero. Sin embargo, hay diferencias. Por ejemplo, VDI permite a las
empresas a aislar a los usuarios entre sí en el caso de un fallo de sesión
individual. VDI También puede ejecutar la mayoría de aplicaciones de forma
nativa sin modificaciones. VDI soporta aplicaciones que requieren un cliente
"pesado". Esta capacidad de soportar toda la gama de tipos de escritorio es
esencial, ya que muchos usuarios quieren los beneficios, tales como el espacio
de almacenamiento personal, que un PC completo ofrece.
66
Básicamente, los usuarios desean las características y flexibilidad del escritorio
tradicional, pero sin los problemas de la tasa de fallos. Los cambios como la
instalación de una nueva aplicación, la actualización de una aplicación
existente, o aplicar un parche se puede hacer sin tener que tocar la PC física
del usuario es transparente al usuario.
La programación y automatización de parches y actualizaciones tienen una tasa
de éxito mayor ya que se puede iniciar / detener las máquinas virtuales de
escritorio en el centro de datos. Estas máquinas virtuales son independientes
de hardware y se puede ejecutar en cualquier servidor de centro de datos y se
puede acceder desde cualquier cliente. Además, los datos asociados con estas
aplicaciones se pueden almacenar en el centro de datos, por lo que es más fácil
hacer una copia de seguridad de los datos y protegerlo de usuarios no
autorizados.
Además de hacer que sea más fácil de desplegar y mantener aplicaciones, VDI
también Cloud Computing: Fundamentos, diseño y arquitectura aplicados a un
caso de estudio simplifica la resolución de problemas [8]. Por ejemplo, cuando
un usuario llama al servicio de asistencia, el personal puede trabajar en el
problema en el centro de datos y no tiene que visitar el escritorio.
VDI también se puede utilizar para proporcionar acceso a aplicaciones y datos a
los usuarios remotos que no están dentro del firewall de la pared de la empresa.
Esto es útil cuando un departamento de TI debe apoyar a los usuarios que
trabajan desde casa o en otros, oficinas geográficamente dispersas. Apoyar a
los usuarios es a menudo una tarea difícil. Cuando hay problemas, el usuario a
menudo se necesita enviar su escritorio o portátil a la oficina principal para su
reparación. Con VDI, los problemas son más fáciles de solucionar ya que los
sistemas virtuales se mantienen en el centro de datos donde hay un personal
de TI.
67
Figura N°12 Modelo Virtual Desktop Infrastructure
Un beneficio adicional del uso de VDI es que permite a las empresas a
mantener la seguridad y cumplir con las regulaciones de cumplimiento, sin tener
que poner como foco tanto en la seguridad del PC virtuales mediante la
asignación de más recursos de CPU y memoria.
VDI reduce el tiempo de inactividad, las velocidades de la resolución de
problemas, mejora la capacidad de gestión y control, y ayuda a mantener la
seguridad de TI y protección de datos. El resultado final es una mayor
disponibilidad y productividad de los trabajadores mejora.
2.17 Riesgos en Cloud Computing
Como consecuencia directa de adoptar un nuevo modelo, siempre cabe la
posibilidad de que se deban asumir riesgos adicionales, en Cloud Computing la
mayoría de los riesgos son similares y comunes al resto de modelos y sistemas
de información, pero es conveniente afrontarlos de cara y añadir soluciones. A
continuación se analizan los riesgos más comunes en Cloud Computing.
68
En secciones anteriores se han mencionado las características y bondades que
ofrece Cloud Computing, pero el motivo de este apartado es señalar que este
nuevo modelo no debe tomarse a la ligera, que no es fácil adoptarlo y que
supone un reto. Existen determinados riesgos, riesgo de seguridad interna,
riesgo de seguridad externa, riesgo de caída del servicio, riesgo de protección
de datos, riesgo de pérdida de datos. Pero entraremos a detallar los
introducidos especialmente por Cloud Computing.
2.17.1 Riesgo de pérdida de datos:
Una de las mayores ventajas de mover nuestros recursos a la nube, es la
despreocupación de realizar backups diariamente, resulta una preocupación
menos. Pero existe el riesgo de que toda esa información se pueda perder, si
estamos hablando de un Cloud Público, el SLA debe asegurar la infraestructura
está replicada en distintas zonas geográficas y un sistema de recuperación
tremendamente maduro y gestionado. Una solución para prevenir pérdida de
datos en Clouds Públicos es optar por una solución de Cloud híbrida, en la cual
solo se migre a la parte pública nuestros procesos menos críticos. Otra posible
solución es optar por una segunda nube pública que sea redundante a la
primera y que sirva como backup.
2.17.2 Riesgo de caída del servicio:
Uno de los riesgos que más impacto puede causar en nuestro negocio, es sin
duda, la caída del servicio, este riesgo es mayor si estamos haciendo uso de
una IaaS pública]. La caída de un servicio no solo afecta a que durante un
tiempo determinado estemos teniendo pérdidas ya Cloud Computing:
Fundamentos, diseño y arquitectura aplicados a un caso de estudio que nuestra
funcionalidad está caída. Si no que además nuestra imagen con respecto a
nuestros clientes se ve deteriorada si no lo gestionamos bien.
69
Tabla 1 Ejemplos caídas de servicio
Como solución es necesario solicitar un completo SLA bajo el cual estemos
blindados si nuestro proveedor de servicios no cumple con las exigencias
negociadas. Algunos ejemplos históricos de caídas de servicio de grandes
proveedores son los que aparecen en la figura a continuación.13
2.18 Beneficios
Integración probada de servicios Red. Por su naturaleza, la tecnología
de cloud computing se puede integrar con mucha mayor facilidad y rapidez
con el resto de las aplicaciones empresariales (tanto software tradicional
como Cloud Computing basado en infraestructuras), ya sean desarrolladas
de manera interna o externa.3
Prestación de servicios a nivel mundial. Las infraestructuras de cloud
computing proporcionan mayor capacidad de adaptación, recuperación
completa de pérdida de datos (con copias de seguridad) y reducción al
mínimo de los tiempos de inactividad.
Una infraestructura 100% de cloud computing permite al proveedor de
contenidos o servicios en la nube prescindir de instalar cualquier tipo de
hardware, ya que éste es provisto por el proveedor de la infraestructura o la
13 José Manuel Arévalo, Cloud Computing: fundamentos, diseño y arquitectura aplicados a un caso de
estudio, p.22
70
plataforma en la nube. Un gran beneficio del cloud computing es la
simplicidad y el hecho de que requiera mucha menor inversión para
empezar a trabajar.
Implementación más rápida y con menos riesgos, ya que se comienza a
trabajar más rápido y no es necesaria una gran inversión. Las aplicaciones
del cloud computing suelen estar disponibles en cuestión de días u horas en
lugar de semanas o meses, incluso con un nivel considerable de
personalización o integración.
Actualizaciones automáticas que no afectan negativamente a los recursos
de TI. Al actualizar a la última versión de las aplicaciones, el usuario se ve
obligado a dedicar tiempo y recursos para volver a personalizar e integrar la
aplicación. Con el cloud computing no hay que decidir entre actualizar y
conservar el trabajo, dado que esas personalizaciones e integraciones se
conservan automáticamente durante la actualización.
Contribuye al uso eficiente de la energía. En este caso, a la energía
requerida para el funcionamiento de la infraestructura. En los data centers
tradicionales, los servidores consumen mucha más energía de la requerida
realmente. En cambio, en las nubes, la energía consumida es sólo la
necesaria, reduciendo notablemente el desperdicio.
2.19 Desventajas
La centralización de las aplicaciones y el almacenamiento de los datos
origina una interdependencia de los proveedores de servicios.
La disponibilidad de las aplicaciones está sujeta a la disponibilidad de
acceso a Internet.
Los datos "sensibles" del negocio no residen en las instalaciones de las
empresas, lo que podría generar un contexto de alta vulnerabilidad para la
sustracción o robo de información.
La confiabilidad de los servicios depende de la "salud" tecnológica y
financiera de los proveedores de servicios en nube. Empresas emergentes o
71
alianzas entre empresas podrían crear un ambiente propicio para el
monopolio y el crecimiento exagerado en los servicios.4
La disponibilidad de servicios altamente especializados podría tardar meses
o incluso años para que sean factibles de ser desplegados en la red.
La madurez funcional de las aplicaciones hace que continuamente estén
modificando sus interfaces, por lo cual la curva de aprendizaje en empresas
de orientación no tecnológica tenga unas pendientes significativas, así como
su consumo automático por aplicaciones.
Seguridad: La información de la empresa debe recorrer diferentes nodos
para llegar a su destino, cada uno de ellos (y sus canales) son un foco de
inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la
velocidad total disminuye debido a la sobrecarga que éstos requieren.
Escalabilidad a largo plazo: A medida que más usuarios empiecen a
compartir la infraestructura de la nube, la sobrecarga en los servidores de
los proveedores aumentará, si la empresa no posee un esquema de
crecimiento óptimo puede llevar a degradaciones en el servicio o altos
niveles de jitter.
Privacidad: La información queda expuesta a terceros que pueden copiarla o
acceder a ella14.
2.20 Principales factores que contribuyen a mejorar la productividad y
competitividad en las Pequeñas y Medianas empresas
Computación en la nube o “Cloud Computing”, ha pasado de ser una moda o
tendencia a convertirse en una realidad cada vez más presente en las
empresas. Gracias a este modelo, las pymes pueden acceder a recursos
tecnológicos que antes solo estaban al alcance de las grandes empresas que
14 http://es.wikipedia.org/wiki/Computación_en_la_nube#Comparaciones
72
se podían permitir la inversión necesaria para su desarrollo. ¿Quieres conocer
sus ventajas?
El Cloud Computing se basa principalmente en el uso de Internet como una
plataforma tecnológica a través de la que acceder a un conjunto de servicios y
aplicaciones alojados directamente en la red, en lugar de en soportes físicos,
como ha sido habitual desde que se incorporaran las nuevas tecnologías a la
actividad empresarial.
Este modelo tecnológico ofrece numerosas ventajas a las pequeñas y medianas
empresas. A continuación, analizamos los principales factores que contribuyen
a mejorar la productividad y competitividad de los negocios a través del uso del
Cloud Computing:
1. Accesibilidad y movilidad: Se Puede acceder a los servicios y a la
información almacenada en las aplicaciones Cloud desde cualquier lugar a
través de Internet, haciendo uso de dispositivos fijos y móviles.
2. Ahorro de costes: Se reduce el gasto en infraestructuras y en recursos para
su mantenimiento, así como en licencias de software y en personal técnico,
al ser menor la inversión en innovación tecnológica propia. En este sentido,
según un informe sobre el estado del Cloud Computing elaborado por
Sandetel, se estima que la migración del correo electrónico a una solución
en la nube reporta a las empresas un ahorro de costes del orden del 30%,
según la magnitud de la compañía, mientras que la migración de un sistema
CRM a la nube puede suponer un ahorro del 23% aproximadamente.
3. Tarifas basadas en el consumo: Se impone el modelo de pago por uso,
según lo que la empresa demande en cada momento, optimizando así el
gasto económico.
4. Foco en el negocio: Permite concentrarse en la gestión del negocio,
reduciendo el esfuerzo y los recursos necesarios para administrar tus
sistemas TIC.
73
5. Optimización en el uso de los recursos: Permite reducir la carga de trabajo
del personal respecto a tareas técnicas, y que puedan dedicar más tiempo a
otras más productivas para tu empresa.
6. Tecnología actualizada y segura: El proveedor del servicio Cloud se encarga
de actualizar y mejorar los sistemas, permitiendo a la empresa acceder a la
última tecnología sin tener que invertir esfuerzos en su desarrollo. Además,
recae sobre el proveedor el desarrollo de medidas para el impulso de la
protección de datos y la seguridad de la información contenida en sus
sistemas.
7. Almacenamiento masivo: La empresa puede guardar su información en la
nube, sin tener que invertir en la compra, instalación y mantenimiento de
servidores propios.
8. Flexibilidad y adaptación: Se puede elegir los servicios Cloud que mejor se
adapten a las necesidades concretas del negocio.
9. Escalabilidad: Conforme la empresa se vaya familiarizando con el uso del
Cloud se puede ir avanzando de aplicaciones más sencillas a otras más
complejas y personalizadas para aprovechar al máximo el potencial de este
modelo tecnológico.
10. Recuperación ante desastres: Al estar la información almacenada en la
nube, la empresa puede acceder a ella en todo momento, con
independencia de que se produzca algún incidente que le impida hacer uso
de sus herramientas propias.15
2.21 La nube una alternativa para las PYMES
El modelo de cloud computing les permite incorporar las últimas innovaciones
en TI sin gastar tanto
15
http://www.juntadeandalucia.es/economiainnovacioncienciayempleo/chequedeinnovacion/blog/2013/01/cl
oud-computing-para-pymes-que-es-y-que-ventajas-tiene/ Cheque Innovación (22-Septiembre-2013)
74
Pocas tecnologías a lo largo de la historia cobraron una adopción tan rápida
entre las pymes latinoamericanas, siempre cautas a la hora de incorporar
nuevas herramientas, como la computación en la nube. ¿Qué hace que este
modelo esté eliminando la aprensión a invertir en IT de los ejecutivos de las
empresas más pequeñas de la región?
Una de las principales razones es que las soluciones adquiridas bajo este
modelo tienen costos razonables. En efecto, no hay que comprar licencias
prohibitivas para los siempre escasos presupuestos de las pymes, ni montar
costosos centros de datos, ni tener infraestructura específica. Tampoco es
necesario atravesar un proceso infinito de implementación que consuma
recursos humanos, también escasos en el marco de las organizaciones de
menor porte. Bajo este esquema, sólo se efectúa el pago de una cuota mensual
por las aplicaciones específicas que se estén usando y que están alojadas en el
servidor del proveedor. Todo se vuelve controlable y predecible.
Respecto de la implementación, en muchos casos es posible acceder de
inmediato a la aplicación requerida. Las soluciones en la nube suelen ser lo
suficientemente flexibles como para ser configuradas de acuerdo a las
necesidades de cada empresa en particular en un período de tiempo más que
razonable. El éxito de la plataforma hace, por otra parte, que cada vez haya
más aplicaciones disponibles, que cubren diferentes necesidades de negocios.
Las interfaces suelen verse como las aplicaciones que las personas utilizan
cotidianamente en sus teléfonos inteligentes o en sus tablets. Por lo tanto, otro
beneficio es que no es necesario capacitar específicamente al personal en el
uso de la herramienta.
El último gran punto que toda pyme debe observar a la hora de decidir un
vuelco hacia la nube es el de la gestión. Este ha sido siempre uno de los puntos
débiles de las organizaciones más pequeñas que invirtieron en soluciones de
75
IT. Por falta de personal, de tiempo, de voluntad o de presupuesto (y de todas
las combinaciones posibles entre las anteriores), las herramientas tecnológicas
de las pymes, pasado un tiempo, comienzan a estar desactualizadas, a mermar
en su rendimiento o a trabajar en ambientes muy poco seguros.
El concepto de la nube también resuelve este ítem: es el proveedor el que se
hace responsable por mantener el software, garantizar que esté funcionando la
última versión disponible y ofrecer un centro de datos seguro. Esto significa que
los datos están almacenados en un ambiente de máxima seguridad, con
tecnologías de punta para contrarrestar amenazas informáticas y equipamientos
de redundancia y ventilación de última generación para proteger las
instalaciones físicas.
La nube rompe un paradigma en cuanto al consumo de tecnología por parte de
las pymes. Es el primer modelo que permite a las pequeñas y medianas
empresas concentrarse, de verdad, en la ejecución de sus negocios y
desentenderse de la adquisición y la gestión de IT. También es pionero en
permitirles el acceso a las últimas innovaciones sin tener que desangrar sus
presupuestos. Por fin, justo cuando el mercado se puso más competitivo que
nunca, las pequeñas pueden jugar en las grandes ligas16.
2.22 Cinco pasos clave y sencillos para llegar a la nube
Todo indica que el modelo de computación en la nube tiende a fortalecerse.
Motivos no faltan: se trata de una forma eficiente, confiable, segura y rápida
para que las empresas puedan incorporar nuevas soluciones informáticas, sin
incurrir en altos costos de inversión inicial, puesto que hay un proveedor que
asume los costos de hardware y de gestión y mantenimiento relacionados y con
menor riesgo, ya que el mismo prestador es el que garantiza el cumplimiento
16
Equipo de Redacción. http://elempresario.mx/opinion/que-pymes-deben-mirar-hacia-nube 14-11-13
76
con las normativas internacionales y la seguridad de las transacciones. ¿Qué
camino deben recorrer las empresas que quieran subirse a la nube?
1. Identificación de una necesidad de negocios: Se analiza luego cuáles son los
procesos, las aplicaciones y los sistemas involucrados. Un aspecto interesante
de las aplicaciones cloud es que están muy enfocadas en la solución de
negocios, por lo que será fundamental la participación de las áreas que son
atravesadas por los procesos. Muchas veces, es precisamente el área de
negocios quien activa la adquisición.
2. Establecimiento de un plan de desarrollo: Es cierto, "subirse" a la nube es
sencillo. Sin embargo, hacerlo de manera planificada puede generar beneficios
mucho más allá de los pensados en una primera instancia. Casi siempre, una
primera aplicación es tan solo la vía de entrada a la nube. Por eso, lo ideal es
poder pensar en un esquema escalable, para poder extender su alcance para
cubrir otras necesidades de negocios en áreas diferentes.
3. Selección del proveedor: Como todo concepto tecnológico en ebullición, el
número de proveedores alrededor de la nube está en franco y desordenado
aumento. A la hora de seleccionar uno, por lo tanto, habrá que considerar
aspectos clave como trayectoria en el mercado, casos de éxito probados o
disponibilidad de la solución que responde al problema de negocios. Otro dato:
uno de los beneficios de las aplicaciones en la nube radica en que sus costos
son predecibles y acotados. Exija esas características a su proveedor.
4. Diseño de un plan de integración: Es fundamental que la aplicación elegida
pueda sumarse a toda la infraestructura existente de aplicaciones y que no
quede como una cuestión aislada. Si la nueva herramienta no se integra con las
previas, estén en la nube o instaladas físicamente, será muy difícil visualizar
todos los beneficios de este nuevo modelo. La selección que se haya realizado
del proveedor aquí habrá sido clave.
77
5. Definición del nuevo rol estratégico del área de TI: La nube, entre otras
características, resta trabajo pesado y repetitivo a dicho sector. Por lo tanto,
esta también es una oportunidad para poder reconvertir la capacidad de esos
recursos humanos para agregar valor a su empresa.
La computación en la nube nace con la premisa de que acceder al modelo sea
simple. Está en cada uno no complicarlo17.
2.23 Seguridad Informática
¿Qué es “Network Security” o Seguridad en la red (Servicios Digitales en
Internet)?
Definimos la seguridad de información como la protección de ventajas de
información de la revelación no autorizada, de la modificación, o de la
destrucción, o accidental o intencional, o la incapacidad para procesar esa
información. La seguridad de la red, se compone de esas medidas tomadas
para proteger una red del acceso no autorizado, interferencia accidental o
intencionada con operaciones normales, o con la destrucción, inclusive la
protección de facilidades físicas, del software, y de la seguridad del personal.
La seguridad en el Web es un conjunto de procedimientos, prácticas y
tecnologías para proteger a los servidores y usuarios del Web y las
organizaciones que los rodean. La Seguridad es una protección contra el
comportamiento inesperado (Garfinkel, 1999).
2.23.1 Seguridad en el Web
Internet es una red de dos sentidos. Así como hace posible que los
servidores Web divulguen información a millones de usuarios, permite a los
17
Michel Stei ert. http://www.eleconomistaamerica.pe/actualidad-eAm-
peru/noticias/5313789/11/13/Cinco-pasos-clave-y-sencillos-para-llegar-a-la-nube1Identificacion-de-una-necesidad-de-negocios-.html 15-11-13
78
hackers, crackers, criminales y otros “chicos malos” irrumpir en las mismas
computadoras donde se ejecutan los servidores Web.
Las empresas, instituciones y los gobiernos utilizan cada vez más el Word
Wide Web para distribuir información importante y realizar transacciones
comerciales. Al violar servidores Web se pueden dañar reputaciones y
perder dinero.
Aunque el Web es fácil de utilizar, los servidores son piezas de software
extremadamente complicadas y tienen diversas fallas de seguridad
potenciales.
Es mucho más onerosa y tardada la recuperación de un incidente de
seguridad que implementar medidas preventivas.
2.23.2. Importancia de la seguridad en el Web
Los servidores son un blanco atractivo para los transgresores por varias
razones (Garfinkel, 1999):
Publicidad: Los servidores web son la cara que las organizaciones
presentan al público y al mundo electrónico. Un ataque exitoso a alguno de
ellos es acto público que puede ser visto en unas horas por cientos de miles
de personas. Los ataques pueden lanzarse por razones ideológicas o
financieras, o ser simples actos vandálicos cometidos al azar.
Comercio: Muchos servidores web están relacionados con el comercio y el
dinero. De hecho los protocolos criptográficos integrados a Navigator de
Netscape y otros navegadores fueron originalmente incluidos para permitir a
los usuarios enviar números de tarjetas de crédito por Internet sin
preocuparse de que fueran interceptados. De esta forma, los servidores web
se han convertido en repositorios de información financiera confidencial, lo
cual los convierte en un blanco atractivo para los atacantes.
Información confidencial: Para las organizaciones, la tecnología del Web
se ha convertido en una forma de distribuir información con gran sencillez,
tanto internamente, a sus propios miembros, como de manera externa, a sus
79
socios en todo el mundo. Esta información confidencial es un blanco
atractivo para sus competidores y enemigos.
Acceso a las redes: Al ser utilizados por personas tanto dentro como fuera
de las organizaciones, los servidores web sirven efectivamente como puente
entre la red interna de la organización y las redes externas. Su posición
privilegiada en cuanto a las conexiones de red los convierte en un blanco
ideal para ser atacados, ya que un servidor web violado puede emplearse
como base para atacar desde ahí a las computadoras de una organización.
Extensibilidad de los servidores: Debido a su naturaleza, los servidores
están diseñados para ser extensibles, lo cual hace posible conectarlos con
bases de datos, sistemas heredados y otros programas que se ejecutan en
la red de una organización. Si no se implementan de modo adecuado, los
módulos que se agregan a un servidor pueden comprometer la seguridad de
todo el sistema.
Interrupción del servicio: Como la tecnología del Web se basa en la familia
de protocolos TCP/IP, está sujeta a interrupciones del servicio: ya sea
accidental o intencionalmente por medio de ataques de negación del
servicio. Las personas que utilizan dicha tecnologías den estar enteradas de
sus fallas y prepararse para interrupciones importantes del servicio.
Soporte complicado: Los navegadores necesitan servicios internos, como
DNS (Servicio de Nombres de Dominio, Domain Name Service) y el
enrutamiento del protocolo IP (Protocolo Interne, Internet Protocol) para
funcionar bien. La robustez y confiabilidad de tales servicios pueden ser
desconocidas y vulnerables a errores de programación, accidentes y
subversión, la subversión de un servicio de más bajo nivel puede causar
problemas también a los navegadores.
80
2.23.3 Objetivos de la Seguridad.
Seguridad informática es el conjunto de procedimientos, estrategias y
herramientas que permitan garantizar la integridad, la disponibilidad
y la confidencialidad de la información de una entidad.
- Integridad: Es necesario asegurar que los datos no sufran cambios no
autorizados, la pérdida de integridad puede acabar en fraudes, decisiones
erróneas o como paso a otros ataques. El sistema contiene información que
debe ser protegida de modificaciones imprevistas, no autorizas o
accidentales, como información de censo o sistemas de transacciones
financieras.
- Disponibilidad: Se refiere a la continuidad operativa de la entidad, la pérdida
de disponibilidad puede implicar, la pérdida de productividad o de
credibilidad de la entidad. El sistema contiene información o proporciona
servicios que deben estar disponibles a tiempo para satisfacer requisitos o
evitar pérdidas importantes, como sistemas esenciales de seguridad y
protección de la vida
- Confidencialidad: Se refiere a la protección de datos frente a la difusión no
autorizada, la pérdida de confidencialidad puede resultar en problemas
legales, pérdida del negocio o de credibilidad. El sistema contiene
información que necesita protección contra la divulgación no autorizada,
como información parcial de informes, información personal o información
comercial patentada.
Estos aspectos además de lidiar con el riesgo que representan los atacantes
remotos, se ven amenazados también por los riesgos por desastres naturales,
empleados desleales, virus y sabotaje, entre otros.
81
2.23.4. Estrategias de Seguridad.
La metodología de seguridad está diseñada para ayudar a los profesionales de
la seguridad a desarrollar una estrategia para proteger la disponibilidad,
integridad y confidencialidad de los datos de los sistemas informáticos (IT) de
las organizaciones. Es de interés para los administradores de recursos de
información, los directores de seguridad informática y los administradores, y
tiene un valor especial para todos aquellos que intentan establecer directivas de
seguridad.
La metodología ofrece un acercamiento sistemático a esta importante tarea y,
como precaución final, también implica el establecimiento de planes de
contingencia en caso de desastre.
Los administradores de seguridad tienen que decidir el tiempo, dinero y
esfuerzo que hay que invertir para desarrollar las directivas y controles de
seguridad apropiados.
Cada organización debe analizar sus necesidades específicas y determinar sus
requisitos y limitaciones en cuanto a recursos y programación. Cada sistema
informático, entorno y directiva organizativa es distinta, lo que hace que cada
servicio y cada estrategia de seguridad sean únicos. Sin embargo, los
fundamentos de una buena seguridad siguen siendo los mismos y este proyecto
se centra en dichos principios (Benson, 2001).
a) Identificar métodos, herramientas y técnicas de ataques probables.
Las listas de amenazas, de las que disponen la mayor de las organizaciones,
ayudan a los administradores de seguridad a identificar los distintos métodos,
herramientas y técnicas de ataque que se pueden utilizar en los ataques. Los
métodos pueden abarcar desde virus y gusanos a la adivinación de contraseñas
y la interceptación del correo electrónico. Es importante que los administradores
actualicen constantemente sus conocimientos en esta área, ya que los nuevos
82
métodos, herramientas y técnicas para sortear las medidas de seguridad
evolucionan de forma continua.
b) Establecer estrategias proactivas y reactivas.
En cada método, el plan de seguridad debe incluir una estrategia proactiva y
otra reactiva. La estrategia proactiva o de previsión de ataques es un conjunto
de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables
existentes en las directivas de seguridad y a desarrollar planes de contingencia.
La determinación del daño que un ataque va a provocar en un sistema y las
debilidades y puntos vulnerables explotados durante este ataque ayudará a
desarrollar la estrategia proactiva.
La estrategia reactiva o estrategia posterior al ataque ayuda al personal de
seguridad a evaluar el daño que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia proactiva, a
documentar y aprender de la experiencia, y a conseguir que las funciones
comerciales se normalicen lo antes posible.
c) Pruebas.
El último elemento de las estrategias de seguridad, las pruebas y el estudio de
sus resultados, se lleva a cabo después de que se han puesto en marcha las
estrategias reactiva y proactiva. La realización de ataques simulados en
sistemas de pruebas o en laboratorios permite evaluar los lugares en los que
hay puntos vulnerables y ajustar las directivas y los controles de seguridad en
consecuencia. Estas pruebas no se deben llevar a cabo en los sistemas de
producción real, ya que el resultado puede ser desastroso. La carencia de
laboratorios y equipos de pruebas a causa de restricciones presupuestarias
puede imposibilitar la realización de ataques simulados. Para asegurar los
fondos necesarios para las pruebas, es importante que los directivos sean
conscientes de los riesgos y consecuencias de los ataques, así como de las
medidas de seguridad que se pueden adoptar para proteger al sistema,
83
incluidos los procedimientos de las pruebas. Si es posible, se deben probar
físicamente y documentar todos los casos de ataque para determinar las
mejores directivas y controles de seguridad posibles que se van a implementar.
d) Equipos de respuestas a incidentes.
Es aconsejable formar un equipo de respuesta a incidentes. Este equipo debe
estar implicado en los trabajos proactivos del profesional de la seguridad. Entre
éstos se incluyen:
-El desarrollo de instrucciones para controlar incidentes.
-La identificación de las herramientas de software para responder a incidentes y
eventos.
-La investigación y desarrollo de otras herramientas de seguridad informática.
-La realización de actividades formativas y de motivación.
-La realización de investigaciones acerca de virus.
-La ejecución de estudios relativos a ataques al sistema.
Estos trabajos proporcionarán los conocimientos que la organización puede
utilizar y la información que hay que distribuir antes y durante los incidentes.
Una vez que el administrador de seguridad y el equipo de respuesta a
incidentes han realizado estas funciones proactivas, el administrador debe
delegar la responsabilidad del control de incidentes al equipo de respuesta a
incidentes.
Esto no significa que el administrador no deba seguir implicado o formar parte
del equipo, sino que no tenga que estar siempre disponible, necesariamente, y
que el equipo debe ser capaz de controlar los incidentes por sí mismo. El
equipo será el responsable de responder a incidentes como virus, gusanos o
cualquier otro código dañino, invasión, engaños, desastres naturales y ataques
del personal interno. El equipo también debe participar en el análisis de
cualquier evento inusual que pueda estar implicado en la seguridad de los
equipos o de la red.
84
2.23.4.1. Metodología para la definición de una estrategia de seguridad
(Benson, 2001).
La figura 13 explica una metodología para definir una estrategia de seguridad
informática que se puede utilizar para implementar directivas y controles de
seguridad con el objeto de aminorar los posibles ataques y amenazas. Los
métodos se pueden utilizar en todos los tipos de ataques a sistemas,
independientemente de que sean intencionados, no intencionados o desastres
naturales, y, por consiguiente, se puedan volver a utilizar en distintos casos de
ataque.
Figura N° 13 Metodología de estrategias de seguridad [Miguel, 1998].
85
a) Predecir posibles ataques y analizar riesgos.
La primera fase de la metodología esquematizada en la figura 1.1, es
determinar los ataques que se pueden esperar y las formas de defenderse
contra ellos. Es imposible estar preparado contra todos los ataques; por lo
tanto, hay que prepararse para los que tiene más probabilidad de sufrir la
organización. Siempre es mejor prevenir o aminorar los ataques que reparar el
daño que han causado.
Para mitigar los ataques es necesario conocer las distintas amenazas que
ponen en peligro los sistemas, las técnicas correspondientes que se pueden
utilizar para comprometer los controles de seguridad y los puntos vulnerables
que existen en las directivas de seguridad. El conocimiento de estos tres
elementos de los ataques ayuda a predecir su aparición e, incluso, su duración
o ubicación. La predicción de los ataques trata de pronosticar su probabilidad, lo
que depende del conocimiento de sus distintos aspectos. Los diferentes
aspectos de un ataque se pueden mostrar en la siguiente ecuación:
Amenazas + Motivos + Herramientas y técnicas + Puntos vulnerables = Ataque
b) Para cada tipo de amenaza.
Considere todas las amenazas posibles que causan ataques en los sistemas.
Entre éstas se incluyen los agresores malintencionados, las amenazas no
intencionadas y los desastres naturales. La siguiente figura clasifica las distintas
amenazas a los sistemas:
Figura N°14 Amenazas para la Seguridad [Martín, 2004].
86
Amenazas como empleados ignorantes o descuidados, y los desastres
naturales no implican motivos u objetivos; por lo tanto, no se utilizan métodos,
herramientas o técnicas predeterminadas para iniciar los ataques. Casi todos
estos ataques o infiltraciones en la seguridad se generan internamente; raras
veces los va a iniciar alguien ajeno a la organización.
Para estos tipos de amenazas, el personal de seguridad necesita implementar
estrategias proactivas o reactivas siguiendo las instrucciones de la figura N° 14.
c) Para cada tipo de método de ataque.
Para iniciar un ataque, se necesita un método, una herramienta o una técnica
para explotar los distintos puntos vulnerables de los sistemas, de las directivas
de seguridad y de los controles. Los agresores pueden utilizar varios métodos
para iniciar el mismo ataque. Por lo tanto, la estrategia defensiva debe
personalizarse para cada tipo de método utilizado en cada tipo de amenaza.
De nuevo, es importante que los profesionales de la seguridad estén al día en
los diferentes métodos, herramientas y técnicas que utilizan los agresores. La
siguiente es una lista breve de esta técnica:
-Ataques de denegación de servicio.
-Ataques de invasión.
-Ingeniería social.
-Virus.
-Gusanos.
-Caballos de Troya.
-Modificación de paquetes.
-Adivinación de contraseñas.
-Interceptación de correo electrónico.
87
d) Estrategia proactiva.
La estrategia proactiva es un conjunto de pasos predefinidos que deben
seguirse para evitar ataques antes de que ocurran. Entre estos pasos se incluye
observar cómo podría afectar o dañar el sistema, y los puntos vulnerables. Los
conocimientos adquiridos en estas evaluaciones pueden ayudar a implementar
las directivas de seguridad que controlarán o aminorarán los ataques. Éstos son
los tres pasos de la estrategia proactiva.
- Determinar el daño que causará el ataque.
- Establecer los puntos vulnerables y las debilidades que explotará el ataque.
- Reducir los puntos vulnerables y las debilidades que se ha determinado en
el sistema para ese tipo de ataque específico.
El seguimiento de estos pasos para analizar los distintos tipos de ataques tiene
una ventaja adicional: comenzará a emerger un modelo, ya que en los
diferentes factores se superponen para diferentes ataques. Este modelo puede
ser útil al determinar las áreas de vulnerabilidad que plantean el mayor riesgo
para la empresa. También es necesario tomar nota del costo que supone la
pérdida de los datos frente al de la implementación de controles de seguridad.
La ponderación de los riesgos y los costos forma parte de un análisis de riesgos
del sistema que se explica en el documento técnico acerca del diseño de la
seguridad.
Las directivas y controles de seguridad no serán, en ningún caso, totalmente
eficaces al eliminar los ataques. Éste es el motivo por el que es necesario
desarrollar planes de recuperación y de contingencia en caso de que se
quebranten los controles de seguridad.
e) Determinar el daño posible que puede causar un ataque.
Los daños posibles pueden oscilar entre pequeños fallos del equipo y la
pérdida, catastrófica, de los datos. El daño causado al sistema dependerá del
88
tipo de ataque. Si es posible, utilice un entorno de prueba o de laboratorio para
clarificar los daños que provocan los diferentes tipos de ataques. Ello permitirá
al personal de seguridad ver el daño físico que causan los ataques
experimentales. No todos los ataques causan el mismo daño.
f) Determinar los puntos vulnerables o las debilidades que pueden
explotar los ataques.
Si se pueden descubrir los puntos vulnerables que explota un ataque
específico, se pueden modificar las directivas y los controles de seguridad
actuales o implementar otras nuevas para reducir estos puntos vulnerables. La
determinación del tipo de ataque, amenaza y método facilita el descubrimiento
de los puntos vulnerables existentes. Esto se puede reconocer por medio de
una prueba real. Se deben determinar los puntos vulnerables o debilidades en
las áreas de seguridad física, de datos y de red.
g) Reducir los puntos vulnerables y debilidades que puede explotar un
posible ataque.
La reducción de los puntos vulnerables y las debilidades del sistema de
seguridad que se determinaron en la evaluación anterior es el primer paso para
desarrollar directivas y controles de seguridad eficaces. Ésta es la
compensación de la estrategia proactiva.
Mediante la reducción de los puntos vulnerables, el personal de seguridad
puede hacer disminuir tanto la probabilidad de un ataque como su eficacia, si se
produce alguno.
Tenga cuidado de no implementar controles demasiado estr ictos, ya que la
disponibilidad de la información se convertiría en un problema. Debe haber un
cuidado equilibrio entre los controles de seguridad y el acceso a la información.
Los usuarios deben tener la mayor libertad posible para tener acceso a la
información.
89
h) Elaborar planes de contingencia.
Un plan de contingencia es un plan alternativo que debe desarrollarse en caso
de que algún ataque penetre en el sistema y dañe los datos o cualquier otro
activo, detenga las operaciones comerciales habituales y reste productividad. El
plan se sigue si el sistema no se puede restaurar a tiempo. Su objetivo final es
mantener la disponibilidad, integridad y confidencialidad de los datos (es el
proverbial "Plan B").
Debe haber un plan para cada tipo de ataque y tipo de amenaza. Cada plan
consta de un conjunto de pasos que se han de emprender en el caso de que un
ataque logre pasar las directivas de seguridad.
i) Estrategia reactiva.
La estrategia reactiva se implementa cuando ha fallado la estrategia proactiva y
define los pasos que deben adoptarse después o durante un ataque. Ayuda a
identificar el daño causado y los puntos vulnerables que se explotaron en el
ataque, a determinar por qué tuvo lugar, a reparar el daño que causó y a
implementar un plan de contingencia, si existe. Tanto la estrategia reactiva
como la proactiva funcionan conjuntamente para desarrollar directivas y
controles de seguridad con el fin de reducir los ataques y el daño que causan.
El equipo de respuesta a incidentes debe incluirse en los pasos adoptados
durante o después del ataque para ayudar a evaluarlo, a documentar el evento
y a aprender de él.
j) Evaluar el daño.
Determine el daño causado durante el ataque. Esto debe hacerse lo antes
posible para que puedan comenzar las operaciones de restauración. Si no se
puede evaluar el daño a tiempo, debe implementarse un plan de contingencia
para que puedan proseguir las operaciones comerciales y la productividad
normales.
90
k) Determinar la causa del daño.
Para determinar la causa del daño, es necesario saber a qué recursos iba
dirigido el ataque y qué puntos vulnerables se explotaron para obtener acceso o
perturbar los servicios. Revise los registros del sistema, los registros de
auditoría y las pistas de auditoría. Estas revisiones suelen ayudar a descubrir el
lugar del sistema en el que se originó el ataque y qué otros recursos resultaron
afectados.
m) Reparar el daño.
Es muy importante que el daño se repare lo antes posible para restaurar las
operaciones comerciales normales y todos los datos perdidos durante el
ataque. Los planes y procedimientos para la recuperación de desastres de la
organización (que se tratan en el documento acerca del diseño de la seguridad)
deben cubrir la estrategia de restauración. El equipo de respuesta a incidentes
también debe poder controlar el proceso de restauración y recuperación, y
ayudar en este último.
n) Documentar y aprender.
Es importante documentar el ataque una vez que se ha producido. La
documentación debe abarcar todos los aspectos que se conozcan del mismo,
entre los que se incluyen el daño que ha causado (en hardware y software,
pérdida de datos o pérdida de productividad), los puntos vulnerables y las
debilidades que se explotaron durante el ataque, la cantidad de tiempo de
producción perdido y los procedimientos tomados para reparar el daño. La
documentación ayudará a modificar las estrategias proactivas para evitar
ataques futuros o mermar los daños.
91
ñ) Implementar un plan de contingencia.
Si ya existe algún plan de contingencia, se puede implementar para ahorrar
tiempo y mantener el buen funcionamiento de las operaciones comerciales. Si
no hay ningún plan de contingencia, desarrolle un plan apropiado basado de la
documentación del paso anterior.
l) Revisar el resultado y hacer simulaciones.
Tras el ataque o tras defenderse de él, revise su resultado con respecto al
sistema.
La revisión debe incluir la pérdida de productividad, la pérdida de datos o de
hardware, y el tiempo que se tarda en recuperarlos.
Documente también el ataque y, si es posible, haga un seguimiento del lugar en
el que se originó, qué métodos se utilizaron para iniciarlo y qué puntos
vulnerables se explotaron. Para obtener los mejores resultados posibles, realice
simulaciones en un entorno de prueba.
o) Revisar la eficacia de las directivas.
Si hay directivas para defenderse de un ataque que se ha producido, hay que
revisar y comprobar su eficacia. Si no hay directivas, se deben redactar para
aminorar o impedir ataques futuros.
p) Ajustar las directivas en consecuencia.
Si la eficacia de la directiva no llega al estándar, hay que ajustarla en
consecuencia. Las actualizaciones de las directivas debe realizarlas el personal
directivo relevante, los responsables de seguridad, los administradores y el
equipo de respuesta a incidentes. Todas las directivas deben seguir las reglas e
instrucciones generales de la organización.
92
2.23.5 Amenazas a la seguridad de la información.
Los tres elementos principales a proteger en cualquier sistema informático son
el software, el hardware y los datos. Contra cualquiera de los tres elementos
dichos anteriormente (pero principalmente sobre los datos) se pueden realizar
multitud de ataques o, dicho de otra forma, están expuestos a diferentes
amenazas. Generalmente, la taxonomía más elemental de estas amenazas las
divide en cuatro grandes grupos: interrupción, interceptación, modificación y
fabricación. Un ataque se clasifica como interrupción si hace que un objeto del
sistema se pierda, quede inutilizable o no disponible. Se tratará de una
interceptación si un elemento no autorizado consigue un acceso a un
determinado objeto del sistema, y de una modificación si además de conseguir
el acceso consigue modificar el objeto; algunos autores (Olovsson, 1992)
consideran un caso especial de la modificación: la destrucción, entendiéndola
como una modificación que inutiliza al objeto afectado. Por último, se dice que
un ataque es una fabricación si se trata de una modificación destinada a
conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el
objeto original y el “fabricado”. En la figura N° 15 se muestran estos tipos de
ataque de una forma gráfica.
Figura N° 15 Flujo normal de información entre emisor y receptor y posibles amenazas: (a)
interrupción, (b) interceptación, (c) modificación y (d) fabricación (Gallo, 2001).
93
En la gran mayoría de publicaciones relativas a la seguridad informática en
general, tarde o temprano se intenta clasificar en grupos a los posibles
elementos que pueden atacar nuestro sistema. Con frecuencia, especialmente
en las obras menos técnicas y más orientadas a otros aspectos de la seguridad
(Icove, 1995) (Meyer, 1989), se suele identificar a los atacantes únicamente
como personas; esto tiene sentido si hablamos por ejemplo de
responsabilidades por un delito informático. Pero en este trabajo es preferible
hablar de “elementos” y no de personas: aunque a veces lo olvidemos, nuestro
sistema puede verse perjudicado por múltiples entidades aparte de humanos. A
continuación se presenta una relación de los elementos que potencialmente
pueden amenazar a nuestro sistema. No pretende ser exhaustiva, ni por
supuesto una taxonomía formal (para este tipo de estudios, se recomienda
consultar (Landwher, 1994)(Aslam, 1996); simplemente trata de proporcionar
una idea acerca de qué o quién amenaza un sistema.
a) Personas.
No podernos engañarnos, la mayoría de ataques a nuestro sistema van a
provenir en última instancia de personas que, intencionada o
inintencionadamente, pueden causarnos enormes pérdidas.
Aquí se listan los diferentes tipos de personas que de una u otra forma pueden
constituir un riesgo para nuestros sistemas; generalmente se dividen en dos
grandes grupos: los atacantes pasivos, aquellos que fisgonean por el sistema
pero no lo modifican o destruyen, y los activos, aquellos que dañan el objetivo
atacado, o lo modifican en su favor. Generalmente los curiosos y los crackers
realizan ataques pasivos (que se pueden convertir en activos), mientras que los
terroristas y ex-empleados realizan ataques activos puros; los intrusos
remunerados suelen ser atacantes pasivos si nuestra red o equipo no es su
objetivo, y activos en caso contrario, y el personal realiza ambos tipos
indistintamente, dependiendo de la situación concreta.
94
-Personal.
-Ex-empleados.
-Curiosos.
-Crackers.
-Terroristas.
-Intrusos (remunerados).
b) Amenazas lógicas.
Bajo la etiqueta de “amenazas lógicas” encontramos todo tipo de programas
que de una forma u otra pueden dañar a nuestro sistema, creados de forma
intencionada para ello (software malicioso, también conocido como malware) o
simplemente por error (bugs o agujeros). Una excelente lectura que estudia las
definiciones de algunas de estas amenazas y su implicación se presenta en
(Garfinkel, 1996); otra buena descripción, pero a un nivel más general, se
puede encontrar en (Parker, 1981).
- Software incorrecto. Las amenazas más habituales a un sistema provienen
de errores cometidos de forma involuntaria por los programadores de
sistemas o de aplicaciones.
- Herramientas de Seguridad. Cualquier herramienta de seguridad representa
un arma de doble filo: de la misma forma que un administrador las utiliza
para detectar y solucionar fallos en sus sistemas o en la subred completa,
un potencial intruso las puede utilizar para detectar esos mismos fallos y
aprovecharlos para atacar los equipos.
- Puertas traseras. Durante el desarrollo de aplicaciones grandes o de
sistemas operativos es habitual entre los programadores insertar “atajos”. A
estos atajos se les denomina puertas traseras. Algunos programadores
pueden dejar estos atajos en las versiones definitivas de su software; la
cuestión es que si un atacante descubre una de estas puertas traseras (no
95
nos importa el método que utilice para hacerlo) va a tener un acceso global
a datos que no debería poder leer.
- Bombas lógicas. Las bombas lógicas son partes de código de ciertos
programas que permanecen sin realizar ninguna función hasta que son
activadas. Los activadores más comunes de estas bombas lógicas pueden
ser la ausencia o presencia de ciertos ficheros, la llegada de una fecha
concreta; cuando la bomba se activa va a poder realizar cualquier tarea que
pueda realizar la persona, los efectos pueden ser fatales.
- Virus. Un virus es una secuencia de código que se inserta en un fichero
ejecutable (denominado huésped), de forma que cuando el archivo se
ejecuta, el virus también lo hace, insertándose a sí mismo en otros
programas.
- Gusanos. Un gusano es un programa capaz de ejecutarse y propagarse por
sí mismo a través de redes, en ocasiones portando virus o aprovechando
bugs de los sistemas a los que conecta para dañarlos.
- Caballos de Troya. Los troyanos o caballos de Troya son instrucciones
escondidas en un programa de forma que éste parezca realizar las tareas
que un usuario espera de él, pero que realmente ejecute funciones ocultas
sin el conocimiento del usuario.
c) Catástrofes
Las catástrofes (naturales o artificiales) son la amenaza menos probable contra
los entornos habituales: simplemente por su ubicación geográfica, a nadie se le
escapa que la probabilidad de sufrir un terremoto o una inundación que afecte a
los sistemas informáticos en una gran ciudad, es relativamente baja, al menos
en comparación con el riesgo de sufrir un intento de acceso por parte de un
pirata o una infección por virus. Sin embargo, el hecho de que las catástrofes
sean amenazas poco probables no implica que contra ellas no se tomen unas
medidas básicas, ya que sí se produjeran generarían los mayores daños.
96
2.23.6 Creación de una estrategia para controlar los riesgos de Tecnología
de Información
Una vez identificados los riesgos de TI en la empresa, es necesario crear una
estrategia para poder gestionarlos correctamente.
Uno de los elementos claves en las empresas, más allá de si se trata de una
gran compañía o una PYME en desarrollo, es el control y administración de la
información. No en vano el refrán popular asegura que quien tiene la
información tiene el poder. Eso es precisamente lo que sucede también a nivel
empresarial.
Por ello, es fundamental que podamos predecir y enfrentar las posibles
eventualidades que surjan dentro del sistema de Tecnologías de la Información
(TI), ya que este tipo de plataformas no sólo nos brindan grandes beneficios en
lo que respecta al manejo de datos sensibles, sino que también implican
algunos riesgos.
Es por ello que ante la inminente aparición de estos riesgos nos debemos
preparar para enfrentar el desafío, a través de la creación de una estrategia que
nos permita gestionar dichos peligros de la TI, y de esta forma salvaguardar uno
de los recursos más preciados de nuestra empresa: la información.
Básicamente, la gestión de los riesgos TI es una manera estructurada de poder
controlar esos peligros, por lo que para lograrlo debemos llevar adelante una
serie de etapas correspondientes al método típico que se utiliza para la
administración de dicha problemática:
1. Identificación de los riesgos.
2. Evaluación de los riesgos, es decir que se debe evaluar la gravedad de cada
riesgo y priorizar las más importantes.
97
3. Debilitación de los riesgos, es decir aplicar medidas preventivas para reducir
la probabilidad de que ocurra el riesgo y así limitar su impacto. Para esto es
necesario crear un plan de contingencia acorde a cada tipo de riesgo.
4. Análisis permanente de los riesgos. Tengamos en cuenta que la gestión de
los riesgos TI debe ser vista como un proceso continuo, ya que las
amenazas deben ser reevaluadas de forma constante, con el fin de evitar
que vuelvan a aparecer.
¿Cómo lograr la reducción de los riesgos y su impacto?
Como hemos visto, a través de la gestión de riesgos TI podemos descubrir
cuáles son las amenazas que atentan contra nuestro sistema de información, y
que pueden llegar a perjudicar en mayor o menor medida a nuestra empresa.
Ahora bien, muchos se preguntan cómo se logra la reducción de dichos riesgos.
La respuesta es sencilla. Lo ideal es en primer lugar intentar por todos los
medios de reducir la probabilidad de aparición de los riesgos que afectan a
nuestro negocio.
Para ello podemos comenzar a poner en marcha una estrategia que incluya la
implementación de políticas y procedimientos de seguridad, tales como la
capacitación del personal, la privacidad en el uso de Internet y del correo
electrónico, instalación de software de seguridad como firewalls, antivirus,
antispyware, etc., lo que ayudan a prevenir que usuarios no autorizados
accedan a al sistema informático de nuestra empresa.
También es importante que en el caso de que hayamos contratado a un
proveedor de TI, se trate de un servicio confiable y que además aporte sus
propias herramientas y experiencia en el ámbito de la seguridad.
Claro está que siempre puede suceder que a pesar de los esfuerzos volcados
existan riesgos que no pueden ser reducidos o eliminados. Es entonces donde
98
debemos hacer hincapié en la reducción del impacto que esos riesgos tendrán
para con nuestro negocio.
Básicamente, se trata de poder definir un plan de continuidad, es decir una
estrategia eficaz que nos permita que nuestra empresa continúe funcionando, y
al mismo tiempo que posibilite la recuperación rápida de la compañía, luego de
que algún evento inesperado afecte a los sistemas de TI.
Una de las medidas que se recomiendan al respecto es contratar una póliza de
seguro que nos permita cubrir los costos que puedan llegar a provocar este tipo
de riesgos TI.
Claro que también debemos ser precavidos y tratar de adelantarnos a estos
infortunios, utilizando medidas tales como almacenamiento de copias de
seguridad de los datos fuera del sistema TI, utilización de servidores duplicados
ubicados en lugares diferentes y utilización de servicios en la Nube, entre otros.
También contribuye a reducir el impacto la eliminación de puntos de fallo, como
pueden serlo el uso de una sola fuente de suministro eléctrico, o el
mantenimiento de sistemas de trabajo manuales alternativos, que en definitiva
nos permiten seguir funcionando hasta que los servicios se restauren.
No obstante, lo más importante es no entrar en pánico y tener siempre presente
un plan claro y conciso, que también conozcan los empleados, con el fin de
enfrentar la crisis de la mejor manera posible.
Dentro de esta planificación no debemos olvidarnos que las pruebas de
seguridad se vuelven esenciales, ya que de ello depende que la estrategia de
continuidad ante la crisis sea confiable. Por ello, el análisis de prueba del plan
de continuidad debe comprobar lo siguiente:
1. Si el personal puede trabajar sin acceso a los datos.
99
2. La facilidad con que se puedan restaurar los datos a través de copias de
seguridad, por ejemplo recuperar la información almacenada en la Nube.
3. Si los datos de la copia de seguridad se mantienen al día.
Cabe destacar que una completa evaluación de nuestro plan de continuidad
implica por lo general la actuación de nuestros empleados, por lo que se debe
interrumpir la jornada laboral y por ende la producción de nuestra empresa para
llevar a cabo la prueba. Es por ello que antes de realizar este tipo de
simulacros, es fundamental su planificación cuidadosa, incluyendo los costos
que esta evaluación tendrá para nuestro negocio.
Lo ideal, según los expertos, es realizar este tipo de pruebas cada doce meses,
claro que también debe realizarse una evaluación completa en el caso que
hayan sido modificado el sistemas de TI que utilizamos en la empresa18.
2.24 La importancia de analizar los riesgos de las TI
Una empresa puede quedar seriamente comprometida debido a los riesgos que
conllevan las TI, por ello es fundamental analizar estos peligros.
En la actualidad, el uso de las Tecnologías de la Información (TI) son un
elemento clave para lograr el éxito de la gestión en las empresas, y es por ello
que cada vez son más las compañías y PYMES que se vuelcan a utilizar
sistemas que les permiten gestionar y administrar ese gran recurso, que no es
otro que la información.
Pero lo cierto es que existen ciertos riesgos asociados al uso de las TI dentro
del entorno empresarial, ya sea daños causados accidentalmente por los
empleados, o bien debido a intentos deliberados de intrusos, que desean
acceder a los datos de la empresa de forma ilegal para sacar provecho de esta
información.
18
Graciela Marker http://www.gestion.org/gestion-tecnologica/seguridad-informatica/35219/creacion-de-
una-estrategia-para-controlar-los-riesgos-de-ti/ 20-10-13
100
Es allí donde nuestra empresa puede llegar a quedar seriamente
comprometida, porque en definitiva en la actualidad el valor de la información es
enorme. Por eso se vuelve imprescindible poder contar con una estrategia y
herramientas que nos permitan evaluar y reconocer todos los riesgos asociados
con el uso de las TI, con el objetivo de poder minimizar esos riesgos.
En este sentido, lo primero que debemos tener en cuenta para realizar un
análisis serio de la situación es conocer los riesgos típicos que suelen presentar
las TI, es decir cuáles son las amenazas más frecuentes.
En general, una de las amenazas habituales en este ámbito se centran en
daños relacionados al aspecto físico de los equipos informáticos, principalmente
de los servidores, que se generan debido al mal trato que muchos empleados
suelen dispensarle a sus ordenadores. Claro que además siempre podemos
correr riegos tales como robo, incendio o inundación.
Otra de las amenazas frecuentes son aquellas relacionadas al software, que
puede haberse dañado y producir errores, lo que genera incompatibilidad en los
datos. Pero también nuestro sistema de TI puede convertirse en víctima de
ciber delincuentes y hackers, que a través de diferentes técnicas y virus pueden
llegar a infectar por completo el sistema, poniendo en peligro la información de
nuestro negocio.
Asimismo existe la posibilidad de que se produzcan errores en el software
debido a fallas técnicas. En este punto, es importante tener en cuenta que en
general, después de algunos años de uso, suelen comenzar a fallar los discos
duros, lo que inevitablemente genera un desplome catastrófico de nuestro
sistema de TI, sobre todo cuando el daño en el disco duro es tan grave que la
información no puede ser recuperada.
Por otra parte, no podemos llegar a enfrentar con ciertas fallas de
infraestructura, como por ejemplo la pérdida frecuente de la conexión a Internet,
101
lo cual inevitablemente nos hace interrumpir el negocio, lo que significa pérdida
de ventas y por ende dinero.
Dentro de los principales riesgos de las TI, también se incluyen el error humano,
que en general es sindicada como la principal amenaza de este tipo de
sistemas, por lo que es sumamente importante contar con parámetros bien
definidos en los procedimientos de seguridad, los cuales deben ser seguidos de
manera correcta por los empleados. De lo contrario puede llegar a perderse
información realmente valiosa.
2.24.1 Evaluación de riesgos de las TI
Hasta aquí se ha conocido algunos de los riesgos más frecuentes que suelen
presentar los sistemas de TI de la empresa. Ahora bien, el siguiente paso será
poder evaluar la presencia de esos peligros en nuestro negocio, para lo cual
deberemos ser sumamente cuidadosos, con el fin de evitar gastar demasiado
tiempo y dinero.
Es por ello que lo más importante se centra en poder identificar claramente las
amenazas concretas y serias de aquellas que no representan demasiado riesgo
para el sistema TI de nuestra empresa. Es decir que los riesgos que puedan
presentar poca o ninguna amenaza para nuestro negocio deben quedar
inmediatamente excluidos en la búsqueda de soluciones.
Para realizar el análisis podemos recurrir a dos tipos de evaluaciones
diferentes: la evaluación cuantitativa y la evaluación cualitativa.
En el caso de llevar a cabo una evaluación cuantitativa, lo que debemos hacer
es centrarnos en los peligros más graves, teniendo en cuenta dos factores
fundamentales:
1. La verdadera probabilidad de que ese riesgo esté presente.
2. El costo y el impacto que el mismo produce.
102
Precisamente de la combinación de ambos factores podremos realizar una
evaluación cuantitativa de los riesgos. Por ejemplo, si un riesgo tiene una alta
probabilidad y un alto impacto, entonces deberemos realizar una evaluación
cuidadosa de dicha amenaza, con el fin de hallar la solución al problema.
No obstante, lo cierto es que las evaluaciones cuantitativas de riesgos sólo
tienen sentido cuando se dispone de buena información para ello, y muchas
veces las empresas no poseen los datos históricos necesarios para llevar a
cabo este tipo de estimaciones.
En esos casos podemos optar por realizar un análisis con un enfoque más
práctico, denominado evaluación cualitativa, para lo cual debemos utilizar un
parámetro definido que nos permita decidir si la probabilidad de ocurrencia de
ese riesgo es alta, media o baja.
Para ello debemos planificarse una clasificación de los tipos de riesgo,
utilizando medidas tales como las siguientes:
- Bajo: Provocaría la perdida de hasta una hora de producción.
- Medio: Causaría el cierre de la empresa durante al menos tres días.
- Alto: Generaría la pérdida irrevocable de la empresa.
Los mismos parámetros pueden tenerse en cuenta para realizar una
clasificación de riesgos relacionados a los impactos y costos que podrían llegar
a producir la presencia de amenazas en el sistema TI.
Un buen ejemplo de este tipo de evaluación, sería clasificar un riesgo como
“Alto” cuando estimamos que el mismo puede llegar a producirse varias veces
durante un mismo año.
Con estos elementos ya estamos en condiciones de poder analizar nosotros
mismo si existen amenazas que pueden poner en riesgo la información de
103
nuestra empresa, que en definitiva es uno de los principales recursos de los que
disponemos para hacer negocios19.
2.25 Arquitectura de Sistemas: I.- Cloud Computing.
En Cloud Computing, los datos se alojan en un servidor “remoto” en el centro de
proceso de datos de la empresa proveedora y los puestos de trabajo pueden
estar en cualquier sitio… con una conexión a Internet. Hay una separación
completa entre los datos (servidor) y los clientes (dispositivos con acceso a
Internet).
O cómo elegir el modelo más adecuado para mi “sistema de gestión
documental”.
Una definición informal de “arquitectura de sistemas” es la forma en la que
conectamos nuestros dispositivos “físicos”, que en el caso de la gestión
documental son principalmente el servidor (en el que se guardan todos los
documentos), los ordenadores desde los que consultamos estos documentos o
añadimos nuevos y los escáneres con los que digitalizamos los documentos en
papel.
Hay otros “componentes” menos importantes como pueden ser dispositivos
móviles de acceso (iPad u otras tabletas y Smartphones o similares) y los
demás equipos necesarios en una instalación, como los routers (de acceso a
Internet), conmutadores (para conectar los equipos en la red local), impresoras.
Desde el punto de vista de la “arquitectura” o forma de conectarlos, la decisión
es sobre todo del servidor y los ordenadores “cliente”, los puestos de trabajo
(fijos o móviles) de los usuarios.
Últimamente parece que no hay otra opción que no sea “la nube”, el Cloud
Computing.
19 Graciela Marker http://www.gestion.org/gestion-tecnologica/seguridad-informatica/35173/la-importancia-de-analizar-los-riesgos-de-las-ti/ 13-11-2013
104
En este modelo, los datos se alojan en un servidor “remoto” en el centro de
proceso de datos de la empresa proveedora y los puestos de trabajo pueden
estar en cualquier sitio, con una conexión a Internet. Hay una separación
completa entre los datos (servidor) y los clientes (dispositivos con acceso a
Internet).
Formalmente es un modelo muy atractivo, sencillo de instalar, sin
mantenimiento, escalable. Tiene todas las ventajas que repiten sus defensores.
Pero tiene un gran inconveniente: la dependencia total de la conexión a
Internet. No solo dependo de que funcione mi conexión para acceder a los
datos sino que dependo de su velocidad. El conocido “ancho de banda”, o
velocidad de acceso, se convierte en una cuestión decisiva, especialmente en
gestión documental en la que el tamaño de los archivos que “viajan” por la Red
puede ser bastante importante.
No se habla de unos pocos Kilobytes con los datos de una factura o cliente. Son
ficheros, PDF, Word, Excel… que pueden tener fácilmente 1 ó 2 MB de tamaño.
Y esto puede ser un gran problema.
Por tanto, el modelo “Cloud” es una opción, pero ni mucho menos es la única a
considerar, aunque viendo la publicidad de las revistas especializadas es fácil
pensar que no hay otra.
En realidad hay muchas otras “arquitecturas” tan válidas o más como el “cloud”
y conviene conocerlas para elegir la más adecuada a “mis” necesidades, que no
tienen por qué coincidir con las de la empresa de al lado20.
20 Fernando Moreno-Torres Camy http://www.gestion.org/gestion-documental/30940/arquitectura-de-sistemas-i-cloud-computing/ 30-10-13
105
2.26 Plan de Recuperación Ante Desastres
Un Plan de Recuperación ante Desastres de Tecnología de Información (del
inglés Disaster Recovery Plan) es un proceso de recuperación y proporciona un
enfoque estructurado para responder a los incidentes no previstos que ponen
en peligro la infraestructura de Tecnología de Información y/o que han sufrido
disrupciones y ayudar a resumir la normalidad en las operaciones, compuesta
por Hardware, Software, Redes, Procesos y Personas.
El proceso de recuperación de desastres identifica los sistemas y redes críticos
de Tecnología de Información; fija las prioridades para su recuperación y dibuja
los pasos necesarios para reiniciar, reconfigurar y recuperar dichos sistemas y
redes. Todo plan integral de recuperación de desastres debería incluir también
a todos los proveedores relevantes, las fuentes de experiencia para recuperar
los sistemas afectados y una secuencia lógica de los pasos a seguir hasta
alcanzar una recuperación óptima.
Proteger las inversiones realizadas por su firma en la infraestructura tecnológica
y garantizar la capacidad empresarial para ejecutar sus operaciones
corporativas son las principales razones para poner en marcha un plan de
recuperación de desastres en Tecnología de Información. Para que un negocio
pueda comenzar de nuevo sus operaciones en caso de un desastre natural o
causado por humanos.
2.26.1 Negocios
Con el crecimiento de la tecnología de información y la confianza sobre datos
cruciales, el panorama ha cambiado en años recientes a favor de la protección
de datos irreemplazables. Esto es evidente sobre todo en la tecnología de
información; con los sistemas de ordenadores más grandes que sostienen
información digital para limitar pérdida de datos y ayudar recuperación de datos.
Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en
proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar
106
pérdidas más grandes. De las empresas que tenían una pérdida principal de
registros automatizados el 43 % nunca vuelve a abrir, el 51 % cierra en menos
de dos años, y sólo el 6 % sobrevivirá el largo plazo.
El mercado de protección de datos existente es caracterizado por varios
factores:
-El permanente cambio de las necesidades de los clientes determinado por el
crecimiento de datos, asuntos regulatorios y la creciente importancia de tener
rápido acceso a los datos conservándolos en línea.
-Respaldar los datos de vez en cuando teniendo tecnologías de cintas
convencionales de reservas.
Como el mercado de recuperación de desastre sigue sufriendo cambios
estructurales significativos, este cambio presenta oportunidades para las
empresas de la nueva generación a que se especialicen en la planificación de
continuidad de negocio y la protección de datos fuera de sitio.
2.26.2 Razones para recurrir a un Plan de Recuperación ante Desastre
Existen diferentes riesgos que pueden impactar negativamente las operaciones
normales de una organización. Una evaluación de riesgo debería ser realizada
para ver que constituye el desastre y a que riesgos es susceptible una empresa
específica, incluyendo:
- Catástrofes.
- Fuego.
- Fallos en el suministro eléctrico.
- Ataques terroristas.
- Interrupciones organizadas o deliberadas.
- Sistema y/o fallos del equipo.
- Error humano.
107
- Virus, amenazas y ataques informáticos.
- Cuestiones legales.
- Huelgas de empleados.
- Prevención ante los desastres
- Enviar respaldos fuera de sitio semanalmente para que en el peor de los
casos no se pierda más que los datos de una semana.
- Incluir el software así como toda la información de datos, para facilitar la
recuperación.
- -Si es posible, usar una instalación remota de reserva para reducir al mínimo
la pérdida de datos.
- Redes de Área de Almacenamiento (SANs) en múltiples sitios son un
reciente desarrollo (desde 2003) que hace que los datos estén disponibles
inmediatamente sin la necesidad de recuperarlos o sincronizarlos.
- Protectores de línea para reducir al mínimo el efecto de oleadas sobre un
delicado equipo electrónico.
- El suministro de energía ininterrumpido (SAI).
- La prevención de incendios - más alarmas, extintores accesibles.
- El software del antivirus.
- El seguro en el hardware.
2.26.3 Business Continuity Planning (BCP)
Continuidad del Negocio es un concepto que abarca tanto la Planeación para
Recuperación de Desastres (DRP) como la Planeación para el
Restablecimiento del Negocio. Recuperación de Desastres es la capacidad para
responder a una interrupción de los servicios mediante la implementación de un
plan para restablecer las funciones críticas de la organización (es decir la parte
operativa del negocio). Ambos se diferencian de la Planeación de Prevención
de Pérdidas, la cual implica la calendarización de actividades como respaldo de
sistemas, autenticación y autorización (seguridad), revisión de virus y monitoreo
de la utilización de sistemas (principalmente para verificaciones de capacidad).
108
En esta ocasión hablaremos sobre la importancia de contar con la capacidad
para restablecer la infraestructura tecnológica de la organización en caso de
una disrupción severa
Constantemente se experimentan situaciones de emergencia, directa o
indirectamente, las cuales se manifiestan en respuestas equívocas ocasionadas
por el temor, miedo o un extremoso pánico aterrador.
Frecuentemente los administradores o responsables de los sistemas de
cómputo empiezan a tomar en cuenta la seguridad de su sistema después de
haber sido objeto de un ataque, dando como resultado la pérdida de
información, horas de trabajo, incluso dinero. La seguridad en el trabajo es uno
de los factores más importantes que garantizan el crecimiento de la
productividad.
Velar por la seguridad física y lógica no es una tarea que se efectúe una sola
vez y garantice su eficiencia por siempre. Para mantener la seguridad se
requiere realizar periódicamente tareas preventivas.
El establecimiento de procedimientos y medidas de seguridad están destinados
a salvaguardar la unidad administrativa, el centro de cómputo su estructura
física, al personal, sus procedimientos operacionales, la información y
documentación generada contra cualquier evento natural o humano que de
forma intencional o por accidente puedan afectarlos.
Proceso de recuperación
Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.
-Llamar el abastecedor de software e instalar de nuevo el software.
-Recuperar los discos de almacenaje que estén fuera de sitio.
-Reinstalar todos los datos de la fuente de respaldo.
-Volver a ingresar los datos de las pasadas semanas.
-Tener estrategias periódicas de respaldos de base de datos.
109
-Monitorear el proceso.
Tecnología
-Biblioteca de cinta virtual.
-Software de réplica sincrónico.
-Tecnología de almacenaje de réplica.
-Servicio telefónico virtual PBX/HOSTED.
-Backups remotos de reserva.
-Protector de datos continúo.
-Sistema para la administración de planes (Moebius) 21.
2.26.4 Índice de Plantilla del Plan de Recuperación de Desastres
Asumiendo que hemos completado una evaluación de riesgos e identificado
amenazas potenciales a nuestra infraestructura de TI, el siguiente paso será
determinar qué elementos de dicha infraestructura son los más importantes
para las operaciones corporativas. Además, asumiendo que todos los sistemas
y redes Tecnología de Información funcionan con normalidad, nuestra empresa
debería ser plenamente viable, competitiva y sólida desde el punto de vista
financiero. Cuando un incidente —interno o externo— afecta negativamente a la
infraestructura de TI, las operaciones corporativas pueden verse amenazadas.
2.26.4.1 Estructura Ideal de un Plan de Recuperación ante Desastres
Según la Publicación Especial 800-34, Contingency Planning for Information
Technology Systems (Planificación de contingencias para los sistemas de
tecnologías de la información), del National Institute for Standards and
Technology (NIST, o Instituto Nacional de Estándares y Tecnología) de los
Estados Unidos, lo que viene a continuación resume la estructura ideal de un
plan de recuperación de desastres TI.
21
http://es.wikipedia.org/wiki/Plan_de_recuperación_ante_desastres 30-10-13
110
1. Elaboración de la declaración de políticas para el plan de
contingencia: Contar con unas directivas formales proporciona la autoridad y
orientación necesaria para elaborar un plan de contingencia efectivo.
2. Realización del análisis de impacto sobre el negocio (BIA): El análisis del
impacto sobre el negocio ayuda a identificar y priorizar los sistemas y
componentes críticos de TI.
3. Identificación de controles preventivos: Medidas que reducen los efectos de
las disrupciones al sistema y pueden aumentar su disponibilidad y reducir los
costos de contingencia del ciclo de vida.
4. Desarrollo de estrategias de recuperación: Tener una estrategia integral
garantiza que el sistema se recuperará de manera rápida y efectiva después de
una disrupción.
5. Desarrollo de un plan de contingencia TI: El plan de contingencia debería
contener orientaciones y procedimientos detallados para la restauración del
sistema dañado.
6. Prueba, formación y ejecución del plan: La prueba del plan identifica lagunas
en la planificación, mientras que la formación prepara al personal de
recuperación para la activación del plan; ambas actividades mejoran la eficacia
del plan y la preparación general de la entidad.
7. Mantenimiento del plan: El plan debería ser un documento vivo que se
actualiza regularmente para mantenerlo al día con mejoras al sistema.
2.26.4.2 Aspectos clave a considerar al Planificar la Recuperación de
Desastres Tecnología de Información.
-Apoyo de la alta gerencia: Asegúrese de tener el apoyo de la alta gerencia a
fin de lograr alcanzar los objetivos del plan.
-Tomarse en serio el proceso de planificación de RD de T: Aunque la
recopilación y análisis de los datos para el plan de RD de TI puede llevar mucho
tiempo, no es necesario que tenga docenas de páginas. Los plantes
111
simplemente necesitan la información correcta, y esa información debería ser
actual y precisa.
-Disponibilidad de estándares: Entre los estándares relevantes que podemos
usar a la hora de desarrollar los planes de RD de TI están los siguientes: NIST
SP 800-34, ISO/IEC 24762 y BS 25777.
-La sencillez es un grado: Es esencial reunir y organizar la información
correcta.
-Estudiar los resultados con las unidades de negocio: Una vez finalizado el plan
de recuperación de desastres, debemos cotejar sus conclusiones con los
líderes de las unidades de negocio para comprobar que nuestras premisas son
correctas.
-Flexibilidad: La plantilla sugerida en este artículo puede ser modificada en lo
que sea necesario para conseguir nuestros objetivos.
Teniendo en cuenta las inversiones que las empresas realizan en
infraestructuras TI, sería conveniente que inviertan también tiempo y recursos
para proteger dichas inversiones de acontecimientos no previstos y
potencialmente destructivos22.
2.27 La Solución de Acronis
Copia de seguridad y recuperación ante desastres rápida y escalable
El crecimiento de los datos está aumentando rápidamente. De hecho, se espera
un crecimiento de los volúmenes, del 30 por ciento a más del 150 por ciento
cada año. ¿Cómo puede almacenar, proteger y gestionar sus datos?
No es necesario hacer una inversión costosa en infraestructura. No necesita
disponer de personal de TI dedicado o un enorme presupuesto. Sólo necesita
22
Paul Kirvan, CISA, CISSP, FBCI, CBCP http://searchdatacenter.techtarget.com/es/cronica/De-la-A-a-la-Z-plan-para-la-recuperacion-de-desastres-RD-TI 09-11-13
112
un entorno de copia de seguridad y recuperación de desastres en el que pueda
confiar. Necesita Acronis Cloud.
Convierta la gestión de datos en una prioridad.
¿Cree que una copia de seguridad física local es suficiente? La realidad es que
está expuesta a riesgos exactamente igual que los propios datos. Y, como los
datos continúan creciendo a un ritmo exponencial, también lo hace el costo y la
complejidad relacionados con la gestión de discos y el almacenamiento en
cintas.
La solución: Dé prioridad a sus datos. Decida qué datos son críticos para la
misión de su negocio y guárdelos en una copia de seguridad en el cloud. El
almacenamiento en el cloud le permite optimizar sus copias de seguridad,
garantizando que los datos con el RTO de prioridad más alta se guardan online
de forma regular para obtener redundancia. Añada una capa adicional de
seguridad para el entorno virtual: Configure una copia de seguridad sin agentes
en el cloud para proteger los datos de alta disponibilidad.
La combinación de almacenamiento in situ y online le ofrece la posibilidad de
restaurar los datos rápidamente desde el cloud, en caso de fallar el servidor
local. Además, el cloud es una solución ideal para la copia de seguridad de sus
empleados mientras viajan, ya que no se requiere una copia de seguridad local.
Acronis combina almacenamiento in situ, virtual y en el cloud en una única
interfaz, por lo que es fácil almacenar, gestionar, proteger y acceder a sus
datos.
Almacenamiento escalable: Bueno para sus datos. Bueno para su presupuesto.
Predecir la cantidad de espacio de almacenamiento que necesitará para
volúmenes de datos con un crecimiento explosivo puede ser desalentador. Con
113
Acronis, no tiene por qué ser así. Podrá comprar el espacio que necesite para
empezar y luego actualizarlo en cualquier momento.
Beneficios del cloud:
-Una alternativa rentable a la copia de seguridad remota física utilizando los
medios tradicionales
-Escalabilidad de las necesidades de almacenamiento
-Sin inversión inicial de infraestructura remota
-Seguridad para sus datos dentro del centro de datos
-ROI más alta en la recuperación de desastres
-Acceda a los datos en cualquier momento y en cualquier lugar desde un
dispositivo móvil
-Menor riesgo de tiempo de inactividad23
2.28 CLOUD COMPUTING Y LA FILOSOFÍA OPENSOURCE
De acuerdo a una nota publicada por Black Duck24, la cantidad de proyectos de
Open Source Software sobre Cloud Computing ha crecido a la par del
crecimiento y adopción de Cloud Computing en el tiempo.
Pero entonces, ¿Por qué se relacionan? ¿Cuál es la necesidad de esta
simbiosis? Existen muchas respuestas posibles pero, la más precisa es por
cuestiones político-económicas. Por ejemplo; Amazon el principal proveedor de
infraestructura sobre la nube (IaaS) no vería con buena estrategia de negocio
que toda su infraestructura dependa de un producto de terceros, principalmente
cuando este es el ‘key factor’ del valor agregado de su negocio. ¿Qué pasaría si
esta infraestructura estuviese montada sobre Vcloud de VmWarey de un día
para otro, este último decidiera aumentar el valor de sus licencias o
23 http://www.acronis.com.mx/solutions/enterprise/cloud.html 03-10-13 24 http://www.blackducksoftware.com/resources/data
114
simplemente dejar de brindarle soporte? Esto es algo que, desde el punto de
vista de negocios, es una obligación la no dependencia (un proveedor se vuelve
competencia).
Para salvaguardar este tipo de situaciones es donde comienzan a tener sentido
los sistemas de código abierto (o en inglés Open-Source Software). ¿Por qué?
Simplemente no le pertenecen a nadie y son de todos al mismo tiempo.
En este campo surgen alternativas en todas las esferas de Cloud Computing:
IaaS, SaaS y PaaS (referirse a Black Duck y a la nota anterior sobre Cloud
Computing). Por citar un ejemplo, OpenStack es un proyecto bajo licencia de la
Apache Foundation, que es un OSS, que actualmente cuenta con el soporte
(esto es inversión en dinero) de aproximadamente 80 empresas, entre ellas, la
NASA, Cisco, Dell, entre otros.
En Software como servicio (SaaS en sus siglas en inglés) se tiene a eyeOS
(escritorio web, similar a Wave de Google) o Drupal Gardens (versión en la
nube del CMS Drupal).
Se pueden citar miles de ejemplos, pero lo importante de todo esto es entender
que la filosofía del software libre va a ir cada vez más de la mano con Cloud
Computing.
Lo fundamental en esto es responder las interrogantes ¿Cuál es el negocio de
todo esto? ¿Cuál es el beneficio de los aportes a estos proyectos?
En el caso de colaborar con proyectos de IaaS, los beneficios son claros si se
es una empresa que brinda servicios de IaaS, PaaS o SaaS y no se quiere que
los sistemas dependan de una corporación como VmWare o Hyper-V de
Microsoft (lo que se suele llamar en la jerga empresarial “socio indirecto”).
En los proyectos de SaaS, se puede ofrecer servicios tal como lo indica la
filosofía Open-Source Software, contribuyendo y brindando soporte a las
115
aplicaciones que se suben a la nube, pudiendo ser esta de tipo híbrida, pública
o privada.
Existe actualmente proyectos como el DeltaCloud (soportado por Red Hat) que
hace referencia a un subset de herramientas (APIs) de interconexión entre
diferentes sistemas IaaS, como Amazon EC2 y Microsoft Azure. Si bien todavía
los proyectos de interfaces entre distintos sistemas Cloud se encuentran, la
mayoría, en alpha/beta. No es de extrañarse que en menos de un año surja
algún estándar, ya que se está convirtiendo rápidamente en una necesidad
insatisfecha del mercado. Todo esto obviamente bajo licencia open source.
En resumen, Cloud Computing es el nuevo paradigma que llegó para quedarse
y demostrará en un futuro (ya podríamos decir que es el presente) que formará
parte de la nueva revolución y forma de montar negocios de IT, Cloud
Computing debería extasiar a aquellos que trabajan y defienden a la filosofía
open source dado que les permitirá fortalecerla con los aportes tecnológicos en
los que trabaje la comunidad. Aportes que beneficiarán en gran medida tanto a
start-ups y particulares como a empresas.
2.29 ASPECTOS LEGALES
2.29.1 LA COMPUTACIÓN EN LA NUBE EN EUROPA
Antecedentes
El 27 de septiembre de 2012, la Comisión Europea adoptó la estrategia «Liberar
el potencial de la computación en nube en Europa» (IP/12/1025,
MEMO/12/713). Esta estrategia está concebida para acelerar y aumentar el uso
de la computación en nube en toda la economía, para seguir promoviendo el
mercado único digital. Se basa en otras iniciativas legislativas ya presentadas,
como la reforma de la protección de datos de la UE (MEMO/13/923) y la
propuesta de normativa europea en materia de compraventa de carácter
facultativo (MEMO/13/792).
116
El grupo de expertos está encargado de ayudar a la Comisión a estudiar
fórmulas para mejorar el marco jurídico de los contratos relativos a la
computación en nube que afectan a los consumidores y a las PYME
(IP/13/590), con el fin de reforzar la confianza de los consumidores y de las
PYME en la celebración de tales contratos.
De acuerdo con la Estrategia Europa 2020, en el marco de la Agenda Digital, el
Comité Económico y Social Europeo ha elaborado un Dictamen sobre la
computación en la nube, tras efectuar distintos trabajos sobre aspectos que le
afectan, como son: 1. Protección de Datos, 2. Sistemas de
Telecomunicaciones, 3. Comunicaciones Electrónicas, 4. Internet, 5. Protección
de los Consumidores. Entre los beneficios de este modelo destacan: inversión
inicial reducida, reducción de plazos de instalación, refuerzo del modelo de
servicio, contabilidad y control de costes, movilidad de los asalariados. El
Dictamen también plantea distintos aspectos críticos de la computación en la
nube, como son: la seguridad de los datos, la dificultad para determinar la
reglamentación aplicable, los derechos de autor, la portabilidad, etc.
2.29.2 LA COMPUTACIÓN EN LA NUBE EN LATINOAMERICA
Las empresas latinoamericanas están adoptando las oportunidades que
ofrece la computación en la nube, con cerca de 40% de utilización de estas
plataformas en las pequeñas y medianas empresas (pymes) desde 2010.25
La nube proporciona un nivel de potencia que hasta hace poco sólo estaba
disponible para las empresas con grandes presupuestos. Así, permite
incrementar la capacidad tecnológica rápidamente en respuesta a la demanda
de los clientes, contribuyendo a igualar las condiciones con otras regiones y
países que tradicionalmente han tenido una ventaja competitiva en esta
materia.
25 http://www.americaeconomia.com/analisis-opinion/oportunidades-en-la-nube-para-latinoamerica
117
Sin embargo, el poder de la computación en la nube y el fomento al progreso
económico que ésta genera hacen necesario que nuestros sistemas legislativos
consideren ciertas reformas normativas que aceleren la adopción de esta forma
de procesar y almacenar información e incentiven su correcto uso.
Uno de los principales desafíos es proteger la privacidad de datos con un marco
normativo adecuado para la nube. El éxito de la computación en la nube
depende de un marco sólido y moderno para proteger los datos de los
consumidores. En ausencia de ese marco, los usuarios carecen de la confianza
para almacenar sus datos en la nube. Sin embargo, muchos países de la región
están mirando la legislación vigente en Europea como modelo, cuando la propia
Unión Europa se encuentra ahora en el proceso de repensar y reformar su
régimen -adoptado en la década del 90-, que ya no logra sortear los desafíos de
un mundo globalizado en que los datos traspasan las fronteras y los
continentes.
Otro importante reto es acordar los principios de la soberanía de datos. A
medida que la nube evoluciona, las autoridades nacionales, se enfrentan a
diversos retos: la delincuencia en línea, el uso de Internet para amenazar la
seguridad pública o la seguridad nacional, muchas veces incluso cuando los
datos se obtienen o transfieren fuera de su jurisdicción. Los gobiernos de toda
América Latina y de todos los países en general, beneficiarán sus economías
locales cuando se logre determinar universalmente reglas claras de
competencia y acceso a los datos.
También se debe trabajar para lograr un marco jurídico armonizado para la
nube. En la medida que la computación en la nube se desarrolla, las
limitaciones geográficas tradicionales aplicables a los flujos de datos comienzan
a desaparecer. La información puede ser creada en Brasil utilizando un
118
software alojado en Argentina, procesado en el Perú, almacenados en Chile y
ser accedido desde cualquier lugar en América Latina y el mundo.
2.29.3 LA COMPUTACIÓN EN LA NUBE EN EL SALVADOR
En nuestro país no existe actualmente un marco regulatorio sobre el uso de
servicios en la nube, la SIGET se encuentra trabajando en ello. Sin embargo,
esto requiere de varios elementos, incluida la discusión a través de la ejecución
penal y civil efectivas, con sanciones significativas y oportunas, un marco
jurídico que favorezca la cooperación y el intercambio de información entre los
sectores público y privado, así como el intercambio de conocimientos técnicos y
la capacidad de aplicación de la ley a proveedores que salgan de nuestra
jurisdicción.
2.29.4 COPYLEFT Y CREATIVE COMMONS
Si bien Creative Commons (CC) y Copyleft apuntan ambos a una
transformación en el sistema del Copyright, no son exactamente lo mismo. Aquí
se debe hacer una distinción entre licencias libres y abiertas. Licencias libres
son aquellas que cumplen con las cuatro libertades que señalaba Stallman, en
cambio con las licencias abiertas los autores permiten ciertos usos de la obra,
pero restringen otros. El Copyleft es una licencia libre; pero no todas las
licencias Creative Commons son libres ya que algunas no permiten usos
comerciales u obras derivadas. Explica Lawrence Lessig, impulsor del Creative
Commons:
“Una licencia de Creative Commons constituye una concesión de libertad a
cualquiera que acceda a la licencia, y de un modo más importante, una
expresión del ideal de que la persona asociada a la licencia cree en algo distinto
a los extremos de “Todo” o “Nada”. Los contenidos se marcan con la marca de
CC, lo que no significa que se renuncie al copyright, sino que se conceden
ciertas libertades”
119
Creative Commons es una ONG estadounidense que creó una serie de
licencias flexibles que permiten a los autores de las obras elegir cómo quieren
que sus producciones se distribuyan. En su sitio web explican su misión:
“Creative Common s desarrolla, apoya y brinda infraestructura jurídica y técnica
que maximiza la creatividad digital, el intercambio y la innovación”
No todas las licencias de Creative Commons permiten la derivación, algo que sí
posibilita el Copyleft, aunque todas posibilitan la distribución.
Existen seis grandes tipos de licencias Creative Commons:
1. Atribución (Attribution) CC BY: Se permite la copia, distribución y
presentación pública de la obra y trabajos derivados de la misma siempre
que se reconozca y cite adecuadamente al autor original.
2. Atribución- No comercial (Attribution -Non-commercial) CC BY-NC: Se
permite la copia, distribución y presentación de la obra y trabajos derivados
de la misma siempre que se realice con fines no comerciales y se cite
adecuadamente al autor original.
No es necesario licenciar las obras derivadas bajo la misma licencia.
3. Atribución sin obras derivadas (Attribution-No Derivs) CC BY-ND: Se permite
la copia, distribución y presentación de la obra en su versión original, incluso
con fines comerciales; pero se prohíbe la realización de trabajos derivados
de la misma.
4. Atribución Compartir igual (Attribution- Share Alike) CC BY-SA: Se permite la
distribución de trabajos derivados de la obra, incluso con fines comerciales,
siempre que se realice bajo una licencia idéntica a la que ampara a la obra
original.
5. Atribución-NoComercial-Compartir Igual (Attribution- Non commercial- Share
alike) CC BY-NC-SA Se permite la distribución de trabajos derivados de la
obra sin fines comerciales, siempre que se realice bajo una licencia idéntica
a la que ampara a la obra original.
120
6. Atribución-NoComercial-SinObraDerivada (Attribution- Non comercial- No
Derivs) CC BY-NC-ND Es la licencia más restrictiva. Se permite sólo la
descarga de los trabajos para compartirlos con otros sin fines comerciales y
sin posibilidad de hacer obras derivadas
El documento ha quedado establecido con el tipo de licenciamiento: Creative
Commons Atribución-NoComercial-CompartirIgual 3.0 Unported.
2.30 TERMINOLOGÍA BÁSICA
- Amazon EC2: Amazon Elastic Compute Cloud (Amazon EC2) es un servicio
web que proporciona capacidad informática con tamaño modificable en la nube.
Está diseñado para facilitar a los desarrolladores recursos informáticos
escalables basados en web.
- API: Interfaz de programación de aplicaciones (IPA) o API (del inglés
Application Programming Interface) es el conjunto de funciones y
procedimientos (o métodos, en la programación orientada a objetos) que ofrece
cierta biblioteca para ser utilizado por otro software como una capa de
abstracción.
- AWS: Amazon Web Services (abreviado AWS) es una colección de
computación remotos servicios (también llamados servicios web) que en
conjunto conforman un cloud computing plataforma, que ofrece a través de
Internet Amazon.com.
- BBN: Perno, Beranek y Newman (originalmente Bolt, Beranek and Newman)
es una empresa de alta tecnología que provee servicios de investigación y
desarrollo.
- CMS Web: Un sistema de gestión de contenidos (o CMS, del inglés Content
Management System) es un programa que permite crear una estructura de
121
soporte (framework) para la creación y administración de contenidos,
principalmente en páginas web, por parte de los administradores, editores,
participantes y demás roles.
- CRM: Es una forma de gestionar la relación con los clientes para lograr un
beneficio mutuo y duradero. Concretamente, los modernos sistemas de CRM le
permiten capturar la información sobre las interacciones con los clientes e
integrarlos a través de funciones relacionadas con el cliente y la base de datos.
- Gap: Gap Analysis (análisis de diferencias) que permite identificar las
acciones a tomar para alcanzar dicho estado futuro, a nivel de organización,
sistemas, procesos, personal y proyectos. Posteriormente los planes tácticos
(p.e. de carácter anual) programarán dichas acciones.
- GREENFIELD: (tierra verde, terreno virgen) se refiere a realizar un proyecto
desde cero o cambiar completamente uno existente. La imagen es aquella
construcción de la tierra de greenfield, donde no es necesario remodelar o
demoler una estructura existente.
- Heterogéneo: Es aquel que se encuentra compuesto por hardware con
características físicas distintas entre sí, y software con características
operativas distintas entre sí, pero que se pueden comunicar utilizando medios
comunes.
- ISVs: Un proveedor de software independiente (ISV) es una empresa
especializada en la fabricación o la venta de software, diseñado para la masa o
el nicho de mercado. Normalmente, esto se aplica para el software de
aplicación específica o incrustada, de otros fabricantes de software.
- IT: «Information Technology» son las tecnologías de la información y la
comunicación (TIC, TICs o bien NTIC para Nuevas Tecnologías de la
Información y de la Comunicación) agrupan los elementos y las técnicas
122
utilizadas en el tratamiento y la transmisión de las informaciones, principalmente
de informática, internet y telecomunicaciones.
- Ley de Grosch: (Herb Grosh) El coste de los sistemas informáticos es
proporcional a la raíz cuadrada de su potencia.
- Ley de Moore: Es un término informático originado en la década de 1960 y
que establece que la velocidad del procesador o el poder de procesamiento
total de las computadoras se duplica cada doce meses. En un principio, la
norma no era muy popular pero sí se sigue utilizando hasta el día de hoy.
- Multi-tenant: Las arquitecturas multi-tenant (multi-propietario) son cada vez
más utilizadas entre los proveedores de SaaS (Software as a Service). En un
entorno multi-tenant, todos los clientes y sus usuarios consumen el servicio
desde la misma plataforma tecnológica, el intercambio de todos los
componentes de la tecnología incluyendo el modelo de datos, servidores y las
capas de base de datos.
- Netscape: Es un navegador web y el primer producto comercial de la
compañía Netscape Communications corporation que es una empresa
productora de software creada por Marc Andreessen, uno de los autores de
Mosaic, cuando se encontraba en el NCSA (Centro Nacional de Aplicaciones
para Supercomputadores) de la Universidad de Illinois en Urbana-Champaign.
Netscape fue el primer navegador comercial.
- Pool de Recursos: La utilización de rsp ( resource pool ) se utiliza
básicamente para repartir los recursos del servidor de manera que puedas
segmentarlos y utilizarlos de manera que puedas hacer reservas de estos
recursos para grupos de VMs que se encuentran bajo este. La segmentación a
nivel de recursos puede hacerse para la CPU, memoria, almacenamiento y red.
- REST: Transferencia de estado representacional, es un estilo arquitectónico
que abstrae los elementos arquitectónicos dentro de un entorno distribuido
123
hipermedia sistema. Pasa por alto los detalles de implementación del
componente y la sintaxis del protocolo con el fin de centrarse en las funciones
de los componentes, las limitaciones de su interacción con otros componentes,
y su interpretación de los elementos de datos importantes, se ha convertido en
una predominante web API modelo de diseño.
- Sandetel: (Sociedad Andaluza para el Desarrollo de las Telecomunicaciones
S.A.) es una empresa pública adscrita a la Consejería de Economía, Innovación
y Ciencia de la Junta de Andalucía, cuyo objetivo es contribuir al desarrollo y
fomento de la innovación y las Tecnologías de la Información y la Comunicación
(TIC) en la sociedad, en la empresa andaluza y en las administraciones
públicas.
- Sistema de Billing: Es el lenguaje del mailing, se conoce como el proceso
compuesto por la adecuación de fichero, el proceso representa la
externalización de la generación y entrega al correo de su facturación, lo cual
resulta muy interesante ya que su empresa no necesitará disponer de la
infraestructura, recursos y conocimientos que son necesarios para el desarrollo
del envío.
- SOA: Arquitectura Orientada a Servicios, es un software de diseño y
arquitectura de software modelo de diseño basado en piezas discretas de
software que proporcionan funcionalidad de las aplicaciones como servicios a
otras aplicaciones. Esto se conoce como servicio de orientación.
- STREAMING: Es una corriente continua (sin interrupción). Este tipo de
tecnología funciona mediante un búfer de datos que va almacenando lo que se
va descargando en la estación del usuario para luego mostrarle el material
descargado. Esto se contrapone al mecanismo de descarga de archivos, que
requiere que el usuario descargue por completo los archivos para poder
acceder a su contenido.
124
- TCO: El Protocolo de Control de Transmisión (TCP en sus siglas en inglés,
Transmission Control Protocol que fue creado entre los años 1973 – 1974 por
Vint Cerf y Robert Kahn) es uno de los protocolos fundamentales en Internet.
Muchos programas dentro de una red de datos compuesta por ordenadores
pueden usar TCP para crear conexiones entre ellos a través de las cuales
enviarse datos.
- Ubicuo: Mark Weiser acuñó en 1980 el término “ubiquitous computing”
(“computación ubicua” o “informática ubicua”) para referirse al proceso por el
cual los ordenadores se están integrando perfectamente en el mundo físico, la
presencia de los ordenadores es menos visible, la nueva tecnología se
entremezcla discretamente en nuestro día a día, a través de dispositivos
integrados en los objetos más cotidianos. Esta tecnología penetrante está
totalmente centrada en la persona, lo que implica una nueva forma de
interactuar con los ordenadores.
- VMWARE: (VM de Virtual Machine) Es una filial de EMC Corporation que
proporciona software de virtualización disponible para ordenadores compatibles
X86. Entre este software se incluyen VMware Workstation, y los gratuitos
VMware Server y VMware Player. El software de VMware puede funcionar en
Windows, Linux, y en la plataforma Mac OS X que corre en procesadores
INTEL, bajo el nombre de VMware Fusion.
- VPN: Una red privada virtual en la informática se extiende una red privada a
través de una red pública, tales como la Internet.
- WSDL: El Web Services Description Language es un XML basado en lenguaje
de descripción de la interfaz que se utiliza para describir la funcionalidad que
ofrece un servicio web.
125
CAPITULO III
3. SISTEMA DE HIPÓTESIS
3.1 HIPÓTESIS GENERAL
Los Servicios en la Nube inciden en las estrategias de seguridad de
Aplicaciones y Datos de la Pequeña y Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año
2013.
3.2 HIPÓTESIS ESPECÍFICAS
- Los Servicios en la Nube proporcionan una gestión eficiente de recursos de
Hardware y Software de la Pequeña y Mediana Empresa de los Municipios
de San Salvador, Soyapango e Ilopango, Departamento de San Salvador en
el año 2013.
- Los Servicios en la Nube garantizan la seguridad de aplicaciones y datos de
la Pequeña y Mediana Empresa de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de San Salvador en el año 2013.
- Los Servicios en la Nube aseguran la disponibilidad de aplicaciones y datos
de la Pequeña y Mediana Empresa de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de San Salvador en el año 2013.
126
3.3 RELACIÓN ENTRE OBJETIVOS E HIPÓTESIS
Objetivos Hipótesis
Objetivo General
Investigar como los Servicios en la Nube
Inciden en las Estrategias de Seguridad de
Aplicaciones y Datos de la Pequeña y Mediana
Empresa de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de San
Salvador en el año 2013.
Hipótesis General
Los Servicios en la Nube inciden en las
estrategias de seguridad de aplicaciones y
datos de la Pequeña y Mediana Empresa
de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de
San Salvador en el año 2013.
Objetivo Especifico Uno
Evaluar en qué medida los Servicios en la
Nube Proporcionan una Gestión Eficiente de
Recursos Hardware y Software de la Pequeña
y Mediana Empresa de los Municipios de San
Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el año 2013.
Hipótesis Especifica Uno
Los Servicios en la Nube proporcionan
una gestión eficiente de recursos de
Hardware y Software de la Pequeña y
Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el año
2013.
Objetivo Especifico Dos
Determinar de qué manera los Servicios en la
Nube Garantizan la Seguridad de Aplicaciones
y Datos de la Pequeña y Mediana Empresa de
los Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el
año 2013.
Hipótesis Especifica Dos
Los Servicios en la Nube garantizan la
seguridad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador
en el año 2013.
Objetivo Especifico Tres
Identificar de qué forma los Servicios en la Nube
Aseguran la Disponibilidad de Aplicaciones y
Datos de la Pyme de la Pequeña y Mediana
Empresa de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de San
Salvador en el año 2013.
Hipótesis Especifica Tres
Los Servicios en la Nube aseguran la
disponibilidad de aplicaciones y datos de la
Pyme de la Pequeña y Mediana Empresa
de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de
San Salvador en el año 2013.
127
3.4 RELACIÓN ENTRE HIPÓTESIS GENERAL E HIPÓTESIS ESPECÏFICAS
Hipótesis General
Los Servicios en la Nube inciden en las estrategias de seguridad de
aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el
año 2013.
Hipótesis Especifica Uno
Los Servicios en la Nube
proporcionan una gestión
eficiente de recursos de
Hardware y Software de
la Pequeña y Mediana
Empresa de los
Municipios de San
Salvador, Soyapango e
Ilopango, Departamento
de San Salvador en el
año 2013.
Hipótesis Especifica Dos
Los Servicios en la
Nube garantizan la
seguridad de
aplicaciones y datos de
la Pequeña y Mediana
Empresa de los
Municipios de San
Salvador, Soyapango e
Ilopango, Departamento
de San Salvador en el
año 2013.
Hipótesis Especifica Tres
Los Servicios en la Nube
aseguran la
disponibilidad de
aplicaciones y datos de
la Pyme de la Pequeña y
Mediana Empresa de los
Municipios de San
Salvador, Soyapango e
Ilopango, Departamento
de San Salvador en el
año 2013.
128
3.5 OPERACIONALIZACIÓN DE VARIABLES
Hipótesis Específica uno
-He1. Los Servicios en la Nube proporcionan una gestión eficiente de recursos de Hardware y
Software de la Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el año 2013.
Variable Independiente
Los Servicios en la Nube.
Variable Dependiente
Una gestión eficiente de recursos de Hardware
y Software de la Pequeña y Mediana Empresa
de los Municipios de San Salvador,
Soyapango e Ilopango, Departamento de San
Salvador en el año 2013.
Definición Conceptual
Todas las aplicaciones a las cuales se tienen
acceso y se hace uso a través del internet.
Definición Conceptual
Acciones a realizar para un mejor desempeño
de recurso de Hardware y Software de la
empresa.
Definición Operacional
Software que brinda mayor desarrollo
empresarial
Definición Operacional
Optimización de recursos: Humano, financiero
y tecnológico.
Indicadores
-Adaptabilidad a las necesidades de la
empresa.
-Modelo de prestación de servicio de negocio.
-Confidencialidad de los datos.
-Rápida movilización de recurso (Software).
-Uso eficiente de servicio de energía.
-Alto grado de automatización.
-Implementación rápida.
-Virtualización avanzada.
-Aumento en número de servicios basado en la
red.
Indicadores
-Ahorro monetario
-Infraestructura
-Almacenamiento
-Multiplataforma
129
Hipótesis Específica dos
-He2. Los Servicios en la Nube garantizan la seguridad de aplicaciones y datos de la Pequeña
y Mediana Empresa de los Municipios de San Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el año 2013.
Variable Independiente
Los Servicios en la Nube.
Variable Dependiente
La seguridad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en
el año 2013.
Definición Conceptual
Todas las aplicaciones a las cuales se tienen
acceso y se hace uso a través del internet.
Definición Conceptual
Consiste en establecer vínculos que protejan
la información y aplicaciones para el correcto
funcionamiento de la empresa.
Definición Operacional
Software que brinda mayor desarrollo
empresarial
Definición Operacional
Restricción de gestión de acceso a los
diferentes recursos de la empresa.
Indicadores
-Adaptabilidad a las necesidades de la
empresa.
-Modelo de prestación de servicio de
negocio.
-Confidencialidad de los datos.
-Rápida movilización de recurso (Software).
-Uso eficiente de servicio de energía.
-Alto grado de automatización.
-Implementación rápida.
-Virtualización avanzada.
-Aumento en número de servicios basado en
la red.
Indicadores
-Protección de almacenamiento de dato
-Encriptamiento de datos
-Control de acceso
-Modelo de prestación de servicio de negocio.
-Infraestructura.
-Políticas de seguridad.
-Seguridad de Virtualización.
-Minimización de intrusión o ataques.
-Acceso seguro
130
Hipótesis Específica tres
-He3. Los Servicios en la Nube aseguran la disponibilidad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el año 2013.
Variable Independiente
Los Servicios en la Nube.
Variable Dependiente
La disponibilidad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en
el año 2013.
Definición Conceptual
Todas las aplicaciones a las cuales se tienen
acceso y se hace uso a través del internet.
Definición Conceptual
Se logra mediante el acceso a internet y
manejo de la multiplataforma que tiene la
empresa.
Definición Operacional
Software que brinda mayor desarrollo
empresarial
Definición Operacional
Uso de los diferentes dispositivos electrónicos
y ancho de banda para dar paso a la
información.
Indicadores
-Adaptabilidad a las necesidades de la
empresa.
-Modelo de prestación de servicio de negocio.
-Confidencialidad de los datos.
-Disminución de Costos monetarios.
-Rápida movilización de recurso (Software).
-Uso eficiente de servicio de energía.
-Alto grado de automatización.
-Implementación rápida.
-Virtualización avanzada.
-Aumento en número de servicios basado en la
red.
Indicadores
-Proveedor de servicio de Internet.
-Ancho de banda de Internet.
-Recurso (Hardware y Software).
-Multiplataforma.
-Flexibilidad
-Catálogo de Servicios estandarizados
131
3.6 MATRIZ DE CONGRUENCIA
Presentación del Tema
Enunciado del Problema
Operacionalización de Hipótesis
Formulación de
Objetivos Planteamiento de
Hipótesis Extracción de Variables Extracción de Indicadores
-Los Servicios en la Nube
y su Incidencia en las Estrategias de Seguridad
de Aplicaciones y Datos
de la Pequeña y Mediana Empresa de los Municipios
de San Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el año 2013.
Pregunta General
-¿Cómo inciden los servicios en la nube en
las estrategias de
seguridad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el
año 2013?
Hipótesis General
-Los Servicios en la Nube inciden en las estrategias
de seguridad de
aplicaciones y datos de la Pequeña y Mediana
Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el año 2013.
V.I.
-Los Servicios en la
Nube.
V.D.
-Estrategias de
Seguridad de aplicaciones de la
Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango
e Ilopango,
Departamento de San Salvador en el
año 2013.
V.I
V.D.
Objetivo General
-Investigar como los Servicios en la Nube
Inciden en las Estrategias de
Seguridad de Aplicaciones y Datos de
la Pequeña y Mediana
Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el año 2013.
Pregunta Especifica 1
-¿En qué medida los
servicios en la nube proporcionan una gestión
eficiente de recursos de
Hardware Y Software de la Pequeña y Mediana
Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el año 2013?
Hipótesis Especifica 1
-Los Servicios en la Nube
proporcionan una gestión eficiente de recursos de
Hardware y Software de
la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el
año 2013.
V.I.1
-Los Servicios en la
Nube.
V.D.1
-Una gestión eficiente
de recursos de Hardware y Software
de la Pequeña y
Mediana Empresa de los Municipios de San
Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el
año 2013.
V.I.1
-Adaptabilidad a las necesidades de la
empresa. -Modelo de prestación
de servicio de negocio. -Confidencialidad de
los datos. -Rápida movilización de
recurso (Software).
-Uso eficiente de servicio de energía.
-Alto grado de automatización.
-Implementación rápida.
-Virtualización avanzada.
-Aumento en número
de servicios basado en la red.
V.D.1
-Ahorro monetario.
-Infraestructura.
- Almacenamiento.
-Multiplataforma.
Objetivo Especifico 1
-Evaluar en qué medida
los Servicios en la Nube Proporcionan una
Gestión Eficiente de
Recursos Hardware y Software de la Pequeña
y Mediana Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el año 2013
132
Pregunta Especifica 2
-¿De qué manera los
servicios en la nube
garantizan la seguridad de aplicaciones y datos
de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el
año 2013?
Hipótesis Especifica 2
-Los Servicios en la Nube
garantizan la seguridad
de aplicaciones y datos de la Pequeña y Mediana
Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el año 2013.
V.I.2
-Los Servicios en la
Nube.
V.I.2
-La seguridad de
aplicaciones y datos
de la Pequeña y Mediana Empresa de
los Municipios de San Salvador, Soyapango
e Ilopango, Departamento de
San Salvador en el
año 2013.
V.I.2
-Adaptabilidad a las
necesidades de la
empresa. -Modelo de prestación
de servicio de negocio. -Confidencialidad de
los datos. -Rápida movilización de
recurso (Software). -Uso eficiente de
servicio de energía.
-Alto grado de automatización.
-Implementación rápida.
-Virtualización avanzada.
-Aumento en número de servicios basado en
la red.
V.D.2
-Protección de
almacenamiento
de dato -Encriptamiento de
datos. -Control de
acceso. -Modelo de
prestación de servicio de
negocio.
-Infraestructura. -Políticas de
seguridad. -Seguridad de
Virtualización. -Minimización de
intrusión o ataques.
-Acceso seguro.
Objetivo específico 2
-Determinar de qué
manera los Servicios en
la Nube Garantizan la Seguridad de
Aplicaciones y Datos de la Pequeña y Mediana
Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el
año 2013.
Pregunta Especifica 3
-¿De qué forma los
servicios en la nube aseguran la
disponibilidad de aplicaciones y datos de la
de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento
de San Salvador en el año 2013?
Hipótesis Especifica 3
-Los Servicios en la Nube
aseguran la disponibilidad de
aplicaciones y datos de la Pyme de la Pequeña y
Mediana Empresa de los Municipios de San
Salvador, Soyapango e Ilopango, Departamento
de San Salvador en el
año 2013.
V.I.3
-Los Servicios en la
Nube.
V.D.3
-La disponibilidad de
aplicaciones y datos de la Pequeña y
Mediana Empresa de los Municipios de San
Salvador, Soyapango
e Ilopango, Departamento de
San Salvador en el año 2013.
V.I.3
-Adaptabilidad a las
necesidades de la empresa.
-Modelo de prestación de servicio de negocio.
-Confidencialidad de
los datos. -Rápida movilización de
recurso (Software). -Uso eficiente de
servicio de energía. -Alto grado de
automatización. -Implementación
rápida.
-Virtualización avanzada.
-Aumento en número de servicios basado en
la red.
V.D.3
-Proveedor de
servicio de Internet.
-Ancho de banda de Internet.
-Recurso (Hardware y
Software).
-Multiplataforma.
Objetivo Especifico 3
-Identificar de qué
forma los Servicios en la Nube Aseguran la
Disponibilidad de Aplicaciones y Datos de
la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e
Ilopango, Departamento
de San Salvador en el año 2013.
133
CAPITULO IV
4. METODOLOGÍA DE LA INVESTIGACION
4.1 TIPO DE ESTUDIO.
La presente investigación tiene como finalidad desarrollar los diferentes tipos de
estudio entre ellos están: Investigación Bibliográfica e Investigación de campo.
4.1.1 INVESTIGACIÓN BIBLIOGRÁFICA
Es la que se utilizó a través de la consulta y revisión de diferentes fuentes
bibliográficas como: libros, separatas, folletos, enciclopedias, boletines y otras
fuentes relacionadas con el tema como Internet, entre otros.
4.1.2 INVESTIGACIÓN DE CAMPO:
Esta se llevó a cabo por medio de la aplicación de los instrumentos que fueron
elaborados con base en los indicadores, lo que permitió la recopilación de la
información necesaria de parte de los sujetos de la muestra, quienes fueron
consultados en forma directa en cada uno de los lugares en donde desarrollan
sus actividades; el instrumentos básico que se utilizó en este caso es la guía de
cuestionario administrada a usuarios de los servicios en la nube en las
pequeñas y medianas empresas donde se realizó el estudio, y se complementó
con una guía de entrevista dirigida a especialistas y conocedores del tema.
4.2 NIVELES DE ESTUDIO
La presente investigación se desarrolló aplicando los siguientes niveles de
estudio: Exploratorio, Descriptivo, Explicativo.
Estos niveles se utilizaron porque permitieron realizar un mejor estudio al
fenómeno tanto de sus causas efecto para orientar el desarrollo de la
investigación.
134
4.2.1 EXPLORATORIO:
Es la búsqueda de información de manera general del problema permitiendo
observar detalladamente el objeto de estudio (pequeñas y medianas empresas),
además la revisión de otros estudios y publicaciones efectuados en el tema de
carácter descriptivo, este contribuyó a una aproximación o acercamiento del
fenómeno en estudio a través de la obtención de la información preliminar.
4.2.2 DESCRIPTIVO:
Es describir la información general obtenida por medio del estudio exploratorio,
lo más importante que se relaciona con la problemática planteada, lo cual
significó seleccionar y organizar la información para analizar e interpretar el
problema.
Por medio del mismo se determinó la descripción de las variables para el
estudio y la relación de causa y efecto; el cual sirvió para construir la
formulación y delimitación del problema.
4.2.3 EXPLICATIVO:
La investigación realizada permitió la explicación y aclaración del tema en
estudio, presenta la siguiente estructura sistemática relacionando causa y
efecto entre las variables del problema estudiado, la investigación de campo
juntamente con la teórica permitió analizarla con relación a los objetivos e
hipótesis formulados para el estudio, haciendo un análisis interpretativo de los
resultados obtenidos y finalmente el planteamiento de las conclusiones y
recomendaciones.
A través de la información teórica que fue consultada, así como el
planteamiento de objetivos e hipótesis las cuales fueron analizadas con sus
variables e indicadores a partir de esto se formuló la explicación de la relación
en términos de causa y efecto entre las variables investigados, se llegó a las
135
hipótesis formuladas para el estudio realizando un análisis e interpretación de
los resultados del estudio.
4.3 MÉTODO LÓGICO:
Los métodos aplicados a orientar la estructura del pensamiento lógico científico
son:
Deductivo, Inductivo, Analítico y Sintético.
4.3.1 DEDUCTIVO: Consiste en ordenar las ideas de lo general a lo particular y
se utilizó en los capítulos I, II, al incorporar toda la información obtenida por
medio de la investigación.
4.3.2 INDUCTIVO: Se realiza desde lo particular a lo general el cuál se aplica
en el Capítulo V, al procesar la información obtenida por medio de la
investigación de campo.
4.3.3 ANALÍTICO: Significa desagregar descomponer un todo en sus partes
para identificar y estudiar cada uno de sus elementos y las relaciones entre sí y
con el todo. Puede ser de naturaleza racional en la investigación, se utilizó el
todo racional en la investigación, porque es la unidad teórica conceptual el cual
está integrado por conceptos, juicios, razonamientos, e hipótesis, leyes y
teorías y es aplicado en el capítulo III, IV, y V.
4.3.4 SINTETICO: Se aplica en el capítulo VI, donde se realiza el análisis e
interpretaciones de los resultados y posteriormente pasar a construir las
conclusiones y recomendaciones del tema en estudio.
4.4 SUJETO Y OBJETO DE ESTUDIO
Definido el objeto de estudio que para el caso son los servicios en la nube y su
incidencia en las estrategias de seguridad de la pequeña y mediana empresa,
136
así como también el sujeto de estudio que son las pequeñas y medianas
empresas de los municipios de San Salvador, Soyapango e Ilopango, se
procedió a determinar el diseño a seguir estableciendo criterios claves,
población y muestra, que consistió en seleccionar las unidades elementales de
la población según el criterio del equipo del presente estudio a juicio del cual
goza de representatividad.
4.5 UNIDADES DE ANÁLISIS
Revisión de bibliografía sobre el tema a investigar
Revisión de documentos de gremios y asociaciones empresariales.
Selección de municipios
Asignación de empresas por tamaños
Identificación de conocedores y especialistas
Visita a empresas relacionadas con el servicio a la nube
Visita de campo para observar condiciones de las empresas sujetos a
investigación.
4.6 POBLACIÓN Y MUESTRA.
El universo Poblacional que constituyo la presente investigación está formulado
por 3183 empresas, que se encuentran ubicadas en los municipios de San
Salvador, Soyapango e Ilopango.
4.6.1 POBLACIÓN:
La población que se tomó en cuenta para esta Investigación fue de 3183
usuarios que hacen uso de los servicios en la nube en dos sectores, pequeña y
mediana empresa, así también se tomaron en cuenta Especialistas y
Conocedores de la temática estudiada ellos son: Ing. Ernesto Chang Columbus
Bussiness, Ing. José Ramírez Microsoft Corporation, Ing. Billy Orellana
Intelector e Ing. Darvin Otero Aeegle, con la finalidad de obtener un parámetro
que permita dar respuesta a las hipótesis planteadas al inicio de la
137
investigación.
A continuación se presenta la distribución de los dos sectores de estudio en
cada uno de los municipios evaluados:
Municipio/Sectores Pequeña Mediana Total
San Salvador 2584 395 2979
Ilopango 59 14 73
Soyapango 111 20 131
Total 2754 429 3183
Teniendo la sumatoria de todos los sectores integrantes del estudio los
resultados de la población total es de 3183 personas.
4.6.2 MUESTRA:
De la totalidad de 3183 usuarios que hacen uso de los servicios en la nube se
tomó una muestra de un 97% de docentes, siendo una cantidad, manejable con
el estrato de los Centros Escolares, donde se estimó la aplicación de la
siguiente fórmula:
n= Z2 x P x Q x N
(n-1) E2 + Z2 x P x Q
n= Simboliza la muestra
N= Representa el tamaño de la población (100)
P= Representa el 50% (0.50) de la proporción del tamaño de la población que
ocurra el fenómeno.
Q= Presenta el 50% (0.50) de la proporción de la población de que no ocurra el
fenómeno.
138
Z= Representa el nivel de confianza máximo del 95% (1.96)
E= Máximo error permisible 0.05 ó 5%
n= Z2 x P x Q x N
(n-1) E2 + Z2 x P x Q
n= (1.96) 2 (0.50) (0.50) (3183)
(3183-1) (0.50) 2 + (1.96) 2 (0.50) (0.50)
n= (3.8416) (0.50) (0.50) (3183)
(3182) (0.0025) + (3.8416) (0.50) (0.50)
n= 3056.9532
7.955 + 0.9604
n= 342.88
Ajustando la muestra
no’ = 342.88
1 + ((342.88-1)/3183)
no’ = 342.88
1 + (0.1074081)
no’ = 342.88
1.1074081
no’ = 309.62
Porqué se trabajó con dos sectores empresariales distribuidos en tres
municipios: San Salvador, Soyapango e Ilopango, se utilizó la fórmula llamada
porcentaje para instrumento, que se detalla a continuación:
%= ne x 100
N
n= 310
139
San Salvador
PEQUEÑA EMPRESA MEDIANA EMPRESA
%= 2584x 100 3183 %= 81.18 empresas
%= 395 x 100 3183
%= 12.41 empresas
Soyapango
PEQUEÑA EMPRESA MEDIANA EMPRESA
%= 59 x 100 3183
%= 1.85 empresas
%= 14 x 100 3183
%= 0.44 empresas
Ilopango
PEQUEÑA EMPRESA MEDIANA EMPRESA
%= 111 x 100 3183
%= 3.49 empresas
%= 20 x 100 3183
%= 0.63 empresas
A continuación se presenta el cuadro donde se detallan la distribución de instrumentos por sector:
Municipio/Sectores
Porcentaje de instrumento
Cantidad
Pequeña Mediana Pequeña Mediana
San Salvador 81.18 12.41 252 38
Ilopango 1.85 0.44 6 1
Soyapango 3.49 0.63 11 2
Total 86.52 13.48 269 41
100 310
140
Se realizó el estudio utilizando muestreo dirigido intencional por estar divididos
en diferentes sectores, se utilizó una clasificación aleatoria que determinó
únicamente los usuarios de empresas que tienen acceso a la nube.
4.7 TÉCNICAS E INSTRUMENTOS DE LA INVESTIGACIÓN:
4.7.1 TÉCNICA:
Es la aplicación específica del método mediante el procedimiento para el
empleo de un instrumento, para el uso de un material o para el manejo de una
determinada situación sobre el uso de la nube y su incidencia en las estrategias
de seguridad de la pequeña y mediana empresa de los municipios de San
Salvador, Soyapango e Ilopango y para la realización de la investigación se
aplicó la entrevista y la muestra.
- Entrevista:
Consiste en la obtención de información oral de parte de los especialistas y
conocedores del tema entrevistados en forma directa del fenómeno
investigado. Es una conversación con una persona en la que se hace una
serie de preguntas encaminadas a la recopilación de información, que va
desde la interrogante estandarizada hasta la conversación libre.
- Encuesta:
Es uno de los procedimientos más usados en la investigación social, y se
define como un conjunto de técnicas destinadas a reunir de manera
sistemática datos sobre determinado tema, la cual se aplicó a las y los
Docentes para obtener información de la temática de investigación, está
consta de una serie de preguntas y respuestas, así mismo sirvió para
facilitar el análisis crítico que permitió un acercamiento de los indicadores
que afectan el bienestar de las y los Docentes y también para la
comprobación de hipótesis.
141
4.7.2 INSTRUMENTOS:
En el presente trabajo de investigación fue necesario definir, elaborar y al
mismo tiempo administrar ciertos instrumentos investigativos con el fin de
recopilar y seleccionar la información esencial para responder a los objetivos,
las hipótesis y la comprobación de esta.
Instrumento Número 1 (Entrevista)
La entrevista se diseñó y se administró a especialistas y conocedores de la
temática investigada, en la que se realizó una serie de 14 preguntas que
permitió conocer diferentes opiniones sobre el tema en estudio, la entrevista
recoge la información de las causas y factores salariales, que inciden en el
bienestar de las y los Docentes permitiendo enriquecer los fundamentos
teóricos de esta investigación contribuyendo con la validación del sistema de
hipótesis planteadas.
Instrumento Número 2 (Encuesta)
La encuesta fue diseñada con el fin de recoger información de las y los usuarios
de servicios en la nube, elaborando un cuestionario de veintisiete interrogantes
de las cuales las primeras cuatro responden a obtener información general
sobre el sujeto- objeto investigado, si la empresa encuestada hace uso de
servicios en la nube, mientras las veinte dos restantes recogen información que
permitió el conocimiento objetivo del problema en relación a las estrategias de
seguridad que las empresas implementan al hacer uso de servicios en la nube
con el cual se pretende la aceptación o rechazo de las hipótesis.
La encuesta administrada en los municipios de San Salvador, Soyapango e
Ilopango consta de las siguientes partes:
142
-Datos del Investigador
Son los datos que identifican al encuestador tales como: Nombre, tema y
objetivo de la recopilación de la información proporcionada por los encuestados.
- Solicitud de la Colaboración
Esta fue diseñada para que personas encuestadas conocieran la finalidad y
objetivo de la investigación y nos brindaran colaboración en la información
solicitada.
- Datos de Clasificación
Son parámetros que facilitan vaciar la información que arroja la encuesta.
- Cuerpo del Cuestionario
Está compuesto por las preguntas y las posibles respuestas que se han
plasmado en la encuesta. En esta parte de la investigación se desplegó
preguntas básicas que sirven de base para elaborar la propuesta.
4.8 PROCESO DE VALIDACIÓN DE INSTRUMENTOS.
Los Instrumentos por los cuales se realizó la investigación fueron validados y
administrados en una muestra piloto, a un grupo de especialistas conocedores
del tema a los cuales se les solicitó su comprobación para la revisión del
instrumento en el que se corrigió cada una de las interrogantes de la encuesta y
entrevista como el orden de las preguntas, claridad, redacción y ortografía. Esto
ayudó a mejorar los instrumentos, tomando en cuenta cada una de las
sugerencias y observaciones realizadas por cada uno/a de las y los
Especialistas.
Prueba Piloto
Previamente se realizó una prueba piloto dirigida a las pequeñas y medianas
143
empresas, que comprendió el 10% de las 310 personas encuestadas y para el
producto se tomaron diez encuestas de las 310 empresas en estudio con la
finalidad de conocer el grado de comprensión de las preguntas con relación a
los sujetos de investigación y comprobar si cumplen con el objetivo que se
persigue.
Con base a los resultados de este proceso se realizaron los ajustes y
adecuaciones necesarias a fin de garantizar la obtención de la información
requerida para este estudio.
4.9 PROCEDIMIENTO DE LA INVESTIGACIÓN.
Para la realización y ejecución de la investigación se eligió una muestra de 310
pequeñas y medianas empresas pertenecientes los municipios de San
Salvador, Soyapango e Ilopango departamento de San Salvador. Sin embargo
en la realización del proceso de investigación se discriminaron 58 empresas
quienes expresaron no usar los servicios en la nube quedando una muestra
final de 252 usuarios que respondieron hacer uso de los servicios en la nube y
que goza de representatividad dentro de la investigación.
4.9.1 PROCEDIMIENTO GENERAL
A- Recopilación de información relativa al problema, hipótesis y teoría.
B- Esquematización del sistema de hipótesis. C- Ordenamiento de información y formulación del Marco Teórico.
D- Revisión y Ajuste de los diferentes capítulos.
E- Diseño metodológico. F- Elaboración de instrumentos para la recolección de información
G- Recopilación de información.
144
H- Tabulación de información recapitulada. I- Análisis e interpretación de la información
J- Formulación de conclusiones y recomendaciones.
K- Estructuración del Informe. L- Revisión del informe global
M- Presentación del Informe.
4.10 PROCEDIMIENTOS ESTADISTICOS.
La comprobación de hipótesis se realizó en el primer paso del método
porcentual simple para convertir los valores de números naturales en valores
porcentuales, por medio de la fórmula siguiente:
Dónde:
F= Frecuencia porcentual.
%= Frecuencia absoluta.
N= Número de Encuestados.
En el segundo paso se aplicó a cada variable e hipótesis la media aritmética, si
la hipótesis obtiene valores del 50% +1, es aprobada, caso contrario es
rechazada.
Luego se desarrolló la tabulación de datos el cual sirvió para la elaboración de
cuadros estadísticos según los resultados obtenidos de la aplicación de cada
instrumento, la elaboración de los análisis estadísticos permitió llegar al
establecimiento de conclusiones y recomendaciones.
% = F x 100
N
145
CAPITULO V
5. ANÁLISIS E INTERPRETACIÓN DE RESULTADO
El presente capítulo muestra la recopilación de los datos obtenidos en la fase
de investigación. Se incorpora para cada pregunta su respectivo análisis y la
interpretación que al final determinaron la validez de las hipótesis planteadas.
5.1 SÍNTESIS DEL ANALISIS E INTERPRETACION DE RESULTADOS
ENCUESTA DIRIGIDA A USUARIOS DE LA PEQUEÑA Y MEDIANA
EMPRESA DE LOS MUNICIPIOS DE SAN SALVADOR, SOYAPANGO E
ILOPANGO.
1) ¿Cuál es la clasificación de su empresa?
Tabla N° 5.1.1
ANÁLISIS:
El gráfico Nº 1 muestra que el 87% pertenecen a la pequeña empresa, mientras
que un 15% pertenece a la mediana empresa.
INTERPRETACIÓN:
Los datos anteriores reflejan que existe una mayor concentración de pequeñas
empresas en los municipios evaluados.
Respuesta Cantidad Porcentaje
Pequeña 269 87%
Mediana 41 15%
TOTAL 310 100% 87%
13%
Gráfico N° 1
Pequeña
Mediana
146
2) ¿Cuál es la clasificación de su empresa?
Tabla N° 5.1.2
ANÁLISIS:
El gráfico Nº 2 muestra que el 12% de empresas pertenece al sector Industrial,
mientras que un 28% pertenece al sector Comercial y un 60% pertenece al
sector de Servicios.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas del Sector de Servicios han
confiado en los Servicios en la Nube y son los que más usan, mientras que el
sector Comercial e Industrial son los que aún están usando poco los servicios y
muestran una desconfianza ante ellos.
Respuesta Cantidad Porcentaje
Industrial 37 12%
Comercial 87 28%
Servicios 186 60%
TOTAL 310 100%
12%
28% 60%
Gráfico N° 2.
Indrustrial
Comercial
Servicios
147
3) ¿Utiliza Servicios informáticos en una red interna?
Tabla N° 5.1.3
ANÁLISIS:
El gráfico Nº 3 muestra que el 98% de utiliza los servicios informáticos en una
red interna y un 2% muestra que no utiliza o no posee una red interna en la
empresa.
INTERPRETACIÓN:
Los datos anteriores demuestran que la mayoría de las empresas utilizan los
servicios de una red interna en la empresa, cada vez más empresas hacen el
uso de estos.
Respuestas Cantidad Porcentaje
SI 303 98%
NO 7 2%
Total 310 100%
98%
2%
Gráfico N° 3
SI
NO
148
4) -¿Conoce Usted si la empresa hace uso de los Servicios en la Nube?
Respuestas Cantidad Porcentaje
SI 252 81%
NO 58 19%
Total 310 100%
Tabla 5.1.4
ANÁLISIS:
El gráfico Nº 4 muestra que un 81% de empresas hace uso de los Servicios en
la Nube, mientras que un 19% no hacen uso de estos.
INTERPRETACIÓN:
Los datos anteriores demuestran que más Pequeña y Mediana Empresa están
haciendo uso de los Servicios en la Nube, cada vez el número aumenta, y las
PYMES se involucran y le dan mayor importancia a estos servicios.
81%
19%
Gráfico N° 4
SI
NO
149
5) ¿Cuáles son los Servicios que usa?
Tabla 5.1.5
ANÁLISIS:
El gráfico Nº 5 muestra que en las empresas un 16% hace uso de Chat, un 23%
usa el Correo Electrónico, el 12% utilizan Video llamada, el 13% usa
Almacenamiento, el 11% usan DNS, el 12% hace uso de Servidor Virtual, el 9%
de Hosting y el 4% hacen uso de otros servicios.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas utilizan más los servicios
para comunicarse tanto internamente como externamente y para el resguardo
de sus datos. Y hacen uso de otro tipo de servicio para el funcionamiento de la
empresa.
Respuestas Cantidad Porcentaje
Chat 182 16%
Correo Electrónico 252 23%
Video Llamada 137 12%
Almacenamiento 148 13%
DNS 126 11%
Servidor Virtual 131 12%
Hosting 106 9%
Otros 40 4%
Total 1122 100% 0
50
100
150
200
250
300
Ch
at
Co
rre
o E
lectr
on
ico
Vid
eo
Lla
ma
da
Alm
ace
na
mie
nto
DN
S
Se
rvid
or
Virtu
al
Ho
stin
g
Otr
os
Em
pre
sas C
on
su
ltad
as
Servicos
Gráfico N° 5
Chat
Correo Electronico
Video Llamada
Almacenamiento
DNS
Servidor Virtual
150
0
50
100
150
200
Em
pre
sa
s E
nc
ue
sta
das
Areas de las Empresas
Gráfico N° 6
Administración
Contabilidad
Ventas
R.R.H.H.
Informatica
Soporte Tecnico
6) ¿Identifica que áreas de la empresa necesitan de los servicios en la nube?
Tabla 5.1.6
ANÁLISIS:
El gráfico Nº 6 muestra que las empresas hacen uso en sus áreas de
Administración con un 19%, Contabilidad con el 5%, ventas con un 12%,
Recursos Humanos con el 7%, Informática con un 20%, Soporte Técnico con el
13%, Mantenimiento con un 11%, Compras con el 4% y otras áreas con un 9%.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas ya están haciendo el uso de
los servicios en la Nube en las diferentes áreas o departamentos de la empresa,
estas áreas son las que más los necesitan y es en donde le sacan un mayor
provecho a estos.
Respuestas Cantidad Porcentaje
Administración 170 19%
Contabilidad 40 5%
Ventas 110 12%
R.R.H.H. 60 7%
Informática 180 20%
Soporte Técnico 120 13%
Mantenimiento 100 11%
Compras 34 4%
Otros 82 9%
Total 896 100%
151
7) ¿Los Servicios que utiliza la empresa son de pago?
Tabla 5.1.7
ANÁLISIS:
El gráfico Nº 7 muestra que un 49% de las empresas pagan por el uso de los
servicios en la nube mientras que un 51% utiliza los servicios gratuitos de las
diferentes empresas que brindan este servicio.
INTERPRETACIÓN:
Los datos anteriores revelan que la mayoría de empresas no pagan por el
servicio en la nube. Aprovechan y hacen uso de los Servicios que los diferentes
proveedores de servicio brindan gratuitamente.
Respuestas Cantidad Porcentaje
SI 123 49%
NO 129 51%
Total 252 100% 49%
51%
Gráfico N° 7
SI
NO
152
8) ¿Su Proveedor de Servicio en la Nube es Gratuito?
Tabla 5.1.8
ANÁLISIS:
El gráfico Nº 8 muestra que las empresas hacen uso de los Servicios que
proporciona Google con un 61%, mientras que Dropbox tiene un 28% y otros
proveedores de servicio tienen un 11%.
INTERPRETACIÓN:
Los datos anteriores demuestran que los Servicios que Google ofrece han sido
más aceptados por las empresas. Ya que es una de las empresas pioneras que
trajeron el concepto de Cloud Computing y lo ha popularizado más. Y otros
proveedores de Nube como Dropbox está siendo más conocido y usado entre
las empresas, este aún ofrece servicio de almacenamiento de datos, mientras
que Google ofrece más que solo almacenamiento de los datos.
Respuestas Cantidad Porcentajes
Google 152 61%
Dropbox 70 28%
Otros 29 11%
Total 251 100% 61% 28%
11%
Gráfico N° 8
Dropbox
Otros
153
9) ¿Su proveedor de Pago de Servicio en la Nube?
Tabla 5.1.9
ANÁLISIS:
El gráfico Nº 9 muestra los diferentes proveedores de pago de servicio de Nube
entre los cuales Google tiene un 17%, Tigo con el 12%, Amazon con un 8%,
Microsoft con el 26%, Zoho con un 4%, Rackspace con el 4%, y otros
proveedores con un 29%.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas ya están haciendo el uso de
los servicios en la Nube y pagan por ellos. Entre las empresas se puede
encontrar Microsoft como uno de los que más vende el servicio, ya que es una
de las empresas de Software que más se conoce en el mercado. Google pese a
que da un servicio gratuito también tiene su parte de pago, y está siendo
utilizada ya que genera más servicios al pagarles.
Respuestas Cantidad Porcentaje
Google 42 17%
Tigo 31 12%
Amazon 21 8%
Microsoft 64 26%
Zoho 10 4%
Rackspace 10 4%
Otros 74 29%
Total 252 100% 0
10 20 30 40 50 60 70 80
Em
pre
sa
s E
nc
ue
sta
da
s
Proveedores de Servicio de Nube
Gráfico N° 9
Tigo
Amazon
Microsoft
Zoho
Rackspace
Otros
154
10) ¿Conoce Usted si la empresa ha adquirido algún/os paquete/s de servicio?
Tabla 5.1.10
ANÁLISIS:
El gráfico Nº 10 muestra que un 45% de las empresas tiene algún paquete de
servicio mientras que un 55% de las empresas no tiene un paquete de servicio
de nube.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas si han adquirido un paquete
de Servicio en la Nube, estos paquetes son los que se pagan por ellos, y las
empresas que no poseen un paquete son las que hacen uso de ellos
gratuitamente.
Respuestas Cantidad Porcentajes
SI 114 45%
NO 138 55%
Total 252 100% 45%
55%
Gráfico N° 10
SI
NO
155
11) ¿Indique que paquete tiene la Empresa?
Tabla 5.1.11
ANÁLISIS:
El gráfico Nº 11 muestra que las empresas pagan por un paquete, entre ellos
encontramos Google Apps con un 16%, Cloud Block Storage con el 5%,
Hosting Empresarial con un 5%, Office 365 con el 32%, Windows Azure con el
5%, Oracle con un 5% y otros paquetes con el 32%.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas contratan un paquete de
servicio en la nube, de acuerdo a las necesidades y al área que será
implementado el servicio.
Respuestas Cantidad Porcentajes
Google APPS 40 16%
Cloud Block Storage 13 5%
Hosting Empresarial 13 5%
Office 365 80 32%
Windows Azure 13 5%
Oracle 13 5%
Otros 80 32%
Total 252 100%
0
20
40
60
80
100
Go
og
le A
PP
S
Clo
ud
Blo
ck …
Ho
stin
g …
Off
ice
36
5
Win
do
ws …
Ora
cle
Otr
os
Em
pre
sa
s e
nc
ue
sta
das
e
Paquetes que Usan
Gráfico N°11
Google APPS
Cloud Block Storage
Hosting Empresarial
Office 365
Windows Azure
Oracle
156
12) ¿Accede a los Servicios desde cualquier lugar?
Tabla 5.1.12
ANÁLISIS:
El gráfico Nº 12 muestra que un 93% de las empresas si accede a los Servicios
en la Nube desde cualquier lugar, mientras que 7% no accede desde cualquier
lugar.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas tienen acceso a los
Servicios en la Nube, desde cualquier lugar del mundo, no importando país o
ciudad.
Respuestas Cantidad Porcentajes
SI 234 93%
NO 18 7%
Total 252 100%
93%
7%
Gráfico N° 12
SI
NO
157
13) ¿Desde qué dispositivos electrónicos?
Tabla N° 5.1.13
ANÁLISIS:
El gráfico Nº 13 muestra que las personas acceden desde su celular con un
35%, Ipad/Tablet con el 29% y PC con un 36%, a los servicios en la nube.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas tienen acceso desde los
diferentes dispositivos electrónicos que conectan a Internet. Siendo su principal
dispositivo una Computadora, ya sea de escritorio o portátil. Los dispositivos
como el Celular y la tablet, son utilizados en las empresas, y desde ellos se
conectan desde cualquier lugar.
Respuestas Cantidad Porcentaje
Celular 88 35%
Tablet/Ipad 72 29%
PC 92 36%
Total 252 100% 35%
29%
36%
Gráfico N° 13
Celular
Tablet/Ipad
PC
158
14) ¿Existe un encargado para regular el acceso a los servicios en la nube?
Tabla N° 5.1.14
ANÁLISIS:
El gráfico Nº 14 muestra que un 69% de las empresas tienen un encargado que
regula el acceso a los Servicios en la Nube, mientras que un 31% de empresas
no lo tiene.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas controlan y regulan a las
personas que tienen el acceso a los Servicios en la Nube, esto es una medida
que toma la empresa por su seguridad.
Respuestas Cantidad Porcentaje
SI 174 69%
NO 78 31%
Total 252 100%
69%
31%
Gráfico N° 14
SI
NO
159
15) ¿Existe algún sistema de seguridad para el resguardo de los datos de la
empresa?
Tabla N° 5.1.15
ANÁLISIS:
El gráfico Nº 15 muestra que las empresas tienen un resguardo físico con un
37%, mientras que el informático con el 63%.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas toman sus medidas de
seguridad para proteger los datos que la empresa posee, y hay una tendencia
que esto lo hacen a nivel de Software o informático.
Respuestas Cantidad Porcentaje
Físico 94 37%
Informático 158 63%
Total 252 100% 37%
63%
Gráfico N° 15
Fisico
Informatico
160
16) ¿La información de la empresa se encuentra alojada en servidores locales?
Tabla 5.1.16
ANÁLISIS:
El gráfico Nº 16 muestra que un 72% de las empresas SI alojan sus datos en
servidores locales, mientras que un 28% NO alojan sus datos de forma local.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas invierten dinero para montar
su propio equipo, por lo tanto, tienen sus datos en el mismo local en donde está
ubicada la organización.
Respuestas Cantidad Porcentaje
SI 182 72%
NO 70 28%
Total 252 100%
72%
28%
Gráfico N° 16
SI
NO
161
17) ¿Garantiza el proveedor la confidencialidad de los datos que gestiona a
través de sus servidores?
Tabla N° 5.1.17
ANÁLISIS:
El gráfico Nº 17 muestra que un 81% de los proveedores de Nube SI les da
confidencialidad de datos a las empresas, mientras que un 19% NO les da
confidencialidad de datos.
INTERPRETACIÓN:
Los datos anteriores demuestran que la mayoría de proveedores si les da
confidencialidad de datos a las empresas que tienen como clientes. Les
asegura en un alto porcentaje que su información no será robada, borrada, o
modificada por intrusos, mientras este alojada en los servidores de ellos.
Respuestas Cantidad Porcentaje
SI 203 81%
NO 49 19%
Total 252 100%
81%
19%
Gráfico N° 17
SI
NO
162
18) ¿Qué mecanismos utilizan de recuperación ante riesgos o desastres?
Tabla N° 5.1.18
ANÁLISIS:
El gráfico Nº 18 muestra que el 44% de las empresas utilizan Respaldo de dato,
Replica de dato el 38%, Verificación de archivos un 10% y otros mecanismo con
el 8%.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas han aprendido y ponen en
práctica los mecanismos de Recuperación Ante Desastres. El Salvador es un
país en el cual pasan muchos desastres naturales, y se deben de tomar las
precauciones necesarias para evitar perdida de información, ya que si esto
sucediera la empresa sufre un daño muy alto.
Respuestas Cantidad Porcentaje
Respaldos 112 44%
Replica de Datos 96 38%
Verificación de Archivos 24 10%
Otros 20 8%
Total 252 100%
44%
38%
10% 8%
Gráfico N° 18
Respaldos
Replica de Datos
Verificación de
Archivos
Otros
163
19) ¿Conoce usted las medidas que toman los proveedores para evitar ataque
o intrusión?
Tabla N° 5.1.19
ANÁLISIS:
El gráfico Nº 19 muestra que un 67% de las empresas SI conocen las medidas
que toman los proveedores de los Servicios en la Nube, mientras que un 33%
desconocen las medidas.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas se preocupan y se interesan
por conocer como su proveedor de los Servicios en la Nube, les protege su
información mientras usan el servicio que estos les proporcionen.
Respuestas Cantidad Porcentaje
SI 168 67%
NO 84 33%
Total 252 100%
67%
33%
Gráfico N° 19
SI
NO
164
20) ¿Indique las medidas que los proveedores de los Servicios en la Nube
tienen?
Tabla N° 5.1.20
ANÁLISIS:
El gráfico Nº 19 muestra que los Proveedores de Servicio en la Nube utilizan
Firewall con el 30%, Bloqueo de IP´s el 21%, Bloqueo de Usuario un 19%,
Autorización por Correo Electrónico el 18%, Autorización por Zona un 9% y
otros con el 3%, como medidas de seguridad.
INTERPRETACIÓN:
Los datos anteriores demuestran que los proveedores se preocupan e interesan
por guardar la información de sus clientes, para ello ponen en práctica medidas
o mecanismos de seguridad en sus servidores, tanto para registrar, almacenar
y adquirir información.
Respuestas Cantidad Porcentaje
Firewall 75 30%
Bloqueo de IP´S 53 21%
Bloqueo de Usuario 49 19%
Autorización por Correo Electrónico 45 18%
Autorización por Zona 22 9%
Otros 8 3%
Total 252 100% 0
10
20
30
40
50
60
70
80
Em
pre
sas E
ncu
esta
das
Medidas de Seguridad
Gráfico N° 20
Firewall
Bloqueo de IP´S
Bloqueo de Usuario
Autorización por Correo Electronico
Autorización por Zona
Otros
165
21) ¿Cuenta la empresa con seguridad a nivel de red corporativa?
Tabla N° 5.1.21
ANÁLISIS:
El gráfico Nº 21 muestra que las empresas poseen Seguridad a Nivel de red, se
encuentran Firewall con un 38%, Proxy con el 18%, Autenticación de Usuario
con un 33%, Análisis de Tráfico con el 11%.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas tienen red interna y medida
de seguridad para regular y controlar los usuarios que accedan a ella y los
servicios internos que esta posea.
Respuestas Cantidad Porcentaje
Firewall 96 38%
Proxy 46 18%
Autenticación de Usuario 83 33%
Análisis de Trafico 27 11%
Total 252 100% 0
20
40
60
80
100
Em
pre
sa
s E
nc
ue
sta
das
Seguridad de Red Corporativo
Gráfico N° 21
Firewall
Proxy
Autenticación de Usuario
Analisis de Trafico
166
22) ¿A su juicio percibe beneficios que la empresa obtiene al hacer uso de los
Servicios en la Nube?
Tabla N° 5.1.22
ANÁLISIS:
El gráfico Nº 22 muestra que las empresas el 88% SI percibe el beneficio al
hacer uso de los Servicios en la Nube, mientras que el 12% NO lo perciben.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas perciben los beneficios al
hacer uso de los Servicios en la Nube. Las empresas cada dia se convencen
mas de las ventajas que les da los Servicios en la Nube, y cada vez innovan
mas y usan los diferentes Servicios que proporciona la Nube Informática.
Respuestas Cantidad Porcentajes
SI 222 88%
NO 30 12%
Total 252 100%
88%
12%
Gráfico N° 22
SI
NO
167
23) ¿A su juicio considera Usted que se ha minimizado los costos de recursos
tecnológicos de la empresa por el uso de los Servicios en la Nube?
Tabla N° 5.1.23
ANÁLISIS:
El gráfico Nº 23 muestra que un 88% de las empresas consideran que SI se
han minimizado los costos de recursos tecnológicos, mientras que un 12% NO
considera que minimizo sus costos.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas están teniendo una
reducción en su inversión de tecnología como es compra de Hardware y
Software, debido a que usan los Servicios en la Nube y estos les proporcionan
el Software que la empresa necesita, evitándose comprar licencias y programas
con las actualizaciones.
Respuestas Cantidad Porcentaje
SI 222 88%
NO 30 12%
Total 252 100%
88%
12%
Gráfico N° 23
SI
NO
168
24) ¿A su juicio considera que los servicios en la nube hacen más eficiente el
trabajo del personal de la empresa?
Tabla N° 5.1.
ANÁLISIS:
El gráfico Nº 24 muestra que el 100% de las empresas SI consideran que los
Servicios en la Nube hacen más eficiente el trabajo del personal que labora en
ella.
INTERPRETACIÓN:
Los datos anteriores mostrados, revelan que las personas que trabajan en las
empresas están sacándole el mayor provecho a los Servicios en la Nube. Los
líderes de las organizaciones han probado los beneficios que estos les ofrecen
y como resultado su personal se desempeña mejor, aunque ellos estén fuera de
la empresa pueden seguir realizando sus labores sin importar el lugar, hora y
fecha.
Respuestas Cantidad Porcentaje
SI 252 100%
NO 0 0%
Total 252 100%
100%
0%
Gráfico N° 24
SI
NO
169
25) ¿Según su criterio: los servicios en la nube agilizan el desarrollo de
procedimientos administrativos en la empresa?
Tabla 5.1.25
ANÁLISIS:
El gráfico Nº 25 muestra que un 95 % de las empresas SI agilizan el desarrollo
de sus procedimientos en sus labores, mientras que un 5% NO agilizan el
desarrollo.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas que hacen uso de los
Servicios en la Nube si han agilizado el desarrollo en su proceso. Ha hecho que
sean más competitivos en el mercado y esto les ha generado un beneficio
económico.
Respuestas Cantidad Porcentaje
SI 240 95%
NO 12 5%
Total 252 100%
95%
5%
Gráfico N° 25
SI
NO
170
26) ¿Confía en los servicios que brinda el proveedor a su empresa?
Tabla N° 5.1.26
ANÁLISIS:
El gráfico Nº 26 muestra que un 95 % de las empresas SI confían en los
servicios que brinda el proveedor, mientras que un 5% NO confía en ellos.
INTERPRETACIÓN:
Los datos anteriores demuestran que las empresas están satisfechas con el
Servicio que les brinda el proveedor de los Servicios en la Nube y cada vez mas
empresas están confiando en esta nueva tecnología, se están arriesgando a
usarlos y han comprobado sus beneficios.
Respuestas Cantidad Porcentajes
SI 240 95%
NO 12 5%
Total 252 100%
95%
5%
Gráfico N° 26
SI
NO
171
27) ¿Por qué la empresa no hace uso de los servicios en la nube?
Tabla N° 5.1.27
ANÁLISIS:
El gráfico Nº 27 muestra que el 81% de las empresas encuestadas SI hacen
uso de los Servicios en la Nube, mientras que un 19% NO hace uso de ellos.
INTERPRETACIÓN:
Los datos anteriores demuestran que hay una tendencia en las Pequeñas y
Medianas Empresas que están haciendo uso de los Servicios en la Nube. Han
comprobado que esta tecnología no es solamente para la gran empresa, que
ellas también pueden y hacen uso de los Servicios, se han dado cuenta que les
ha funcionado y les ha dado un alto rendimiento en sus labores. Los
proveedores de Servicio en la Nube, se han interesado porque también las
PYMES hagan uso de ellos, brindándoles facilidad y comodidad de pagos.
Respuestas Cantidad Porcentaje Empresas que usan la Nube 252 81% Empresas que no usan la Nube 58 19%
Total 310 100%
81%
19%
Porcentaje de Empresas Encuestadas
Empresas que USAN la Nube
Empresas que NO usan la Nube
172
5.2 Síntesis del Análisis
La tendencia de las encuestas, se inclina a que el 81% de las Pequeñas y
Medianas Empresas encuestadas SI hacen Uso de los Servicios en la Nube,
consideran que les ha ayudado en sus procesos laborales y que sean más
competitivos en el mercado.
Así mismo, muestran satisfacción con los servicios que utilizan ya que son
sencillos y fácil de adaptarse a la nueva tecnología. Las Pequeñas y Medianas
Empresas de los Municipios de Ilopango, Soyapango y San Salvador han
conocido y puesto a prueba los diferentes servicios que se pueden obtener de
la Nube, y han comprobado sus ventajas. El poder conectarse desde cualquier
lugar y desde un dispositivo electrónico les hace desarrollar sus labores diarias
sin inconvenientes.
El 100% de las empresas encuestadas consideran que si es viable la adopción
y adaptación de los Servicios en la Nube. Pese que algunas empresas no
conocían esta nueva tecnología y todo lo que se puede hacer con ella.
5.3 Verificación de Hipótesis
El procedimiento utilizado para la comprobación de hipótesis es el proceso
estadístico denominado media aritmética, aplicada a todos los aspectos que
contribuyen a favor o en contra de las hipótesis específicas y del análisis e
interpretación de estos resultados se llegó a la toma de decisiones relacionadas
con el rechazo o aceptación de las mismas; a partir de considerar el porcentaje
de los instrumentos tanto favorables como desfavorables dividido entre el
número de instrumentos para obtener el promedio general.
173
La comprobación de la hipótesis general se logró por medio de los resultados
de las tres hipótesis específicas, tomando en cuenta la siguiente regla de
decisión: Si la suma del promedio porcentual de los aspectos considerados que
favorecen la hipótesis es igual o mayor al cincuenta por ciento más uno (50% +
1), se acepta la hipótesis; caso contrario se rechaza.
Los cuadros de interpretación de hipótesis se estructuran de la siguiente
manera: consta de tres columnas, la primera contiene el número de pregunta
que corresponde a la hipótesis tratada, la segunda correspondiente al
instrumento al que pertenece dicha pregunta y la tercera los resultados
obtenidos y se encuentra subdividida en los aspectos favorables y
desfavorables.
Para una mejor apreciación de los datos obtenidos se elaboró un cuadro por
cada instrumento relacionando la pregunta con la hipótesis a la que
corresponde y otro donde se establece o asocia los resultados obtenidos de
ambos instrumentos atendiendo la hipótesis en verificación.
5.3.1 Verificación de la Hipótesis Específica Uno
“Los Servicios en la Nube proporcionan una gestión eficiente de recursos de
Hardware y Software de la Pequeña y Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año
2013”.
174
Tratamiento de los resultados del cuestionario administrado a las Pequeñas y
Medianas Empresas.
Tabla N° 5.18
Aceptación o Rechazo de la Hipótesis Específica 1
El promedio favorable es de 92.75% por lo tanto de acuerdo con la fórmula de
decisión explicada al inicio de este capítulo se acepta el enunciado de la
primera hipótesis específica con relación a la hipótesis general
Por lo que se acepta como válido que “Los Servicios en la Nube proporcionan
una gestión eficiente de recursos de Hardware y Software de la Pequeña y
Mediana Empresa de los Municipios de San Salvador, Soyapango e Ilopango,
Departamento de San Salvador en el año 2013”.
5.3.2 Verificación de la Hipótesis Específica Dos
“Los Servicios en la Nube garantizan la seguridad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el año 2013”.
N° de Pregunta Instrumento Resultados
Favorables Desfavorables
22 Cuestionario 88% 12%
23 Cuestionario 88% 12%
24 Cuestionario 100% 0%
25 Cuestionario 95% 5%
Total 371% 29%
Promedio 92.75% 7.25%
175
Tratamiento de los resultados del cuestionario administrado a a las Pequeñas y
Medianas Empresas.
N° de Pregunta Instrumento Resultados
Favorables Desfavorables
3 Cuestionario 98% 2%
14 Cuestionario 69% 31%
16 Cuestionario 72% 28%
17 Cuestionario 81% 19%
19 Cuestionario 67% 33%
26 Cuestionario 95% 5%
Total 482% 118%
Promedio 80.33% 19.67%
Tabla N° 5.21
Aceptación o Rechazo de la Hipótesis Específica 2
El promedio favorable es de 80.33% por lo tanto de acuerdo con la fórmula de
decisión explicada al inicio de este capítulo se acepta el enunciado de la
primera hipótesis específica con relación a la hipótesis general.
Por lo que se acepta como válido que “Los Servicios en la Nube garantizan la
seguridad de aplicaciones y datos de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e Ilopango, Departamento de San
Salvador en el año 2013”.
5.3.3 Verificación de la Hipótesis Específica Tres
“Los Servicios en la Nube aseguran la disponibilidad de aplicaciones y datos de
la Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango
e Ilopango, Departamento de San Salvador en el año 2013”.
176
Tratamiento de los resultados del cuestionario administrado a a las Pequeñas y
Medianas Empresas.
N° de Pregunta Instrumento Resultados
Favorables Desfavorables
7 Cuestionario 49% 51%
10 Cuestionario 45% 55%
12 Cuestionario 93% 7%
Total 187% 113%
Promedio 62.33% 37.67%
Tabla N° 5.21
Aceptación o Rechazo de la Hipótesis Específica 3
El promedio favorable es de 62.33% por lo tanto de acuerdo con la fórmula de
decisión explicada al inicio de este capítulo se acepta el enunciado de la
primera hipótesis específica con relación a la hipótesis general.
Por lo que se acepta como válido que “Los Servicios en la Nube aseguran la
disponibilidad de aplicaciones y datos de la Pequeña y Mediana Empresa de los
Municipios de San Salvador, Soyapango e Ilopango, Departamento de San
Salvador en el año 2013”.
5.3.4 Verificación de Hipótesis General
“Los Servicios en la Nube inciden en las estrategias de seguridad de
aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de
San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año
2013.”.
177
Tratamiento de resultado de Hipótesis Específicas
Hipótesis Específica Resultados
Favorables Desfavorables
Específica 1 92.75% 7.25%
Específica 2 80.33% 19.67%
Específica 3 62.33% 37.67%
Total 235.41% 64.59%
Promedio 78.47% 21.53%
Tabla N° 5.24
Aceptación o rechazo de la Hipótesis General
Para aceptar o rechazar la Hipótesis General de acuerdo al cuadro anterior fue
en relación a los resultados de las hipótesis específicas, cuya comprobación
avala la de la Hipótesis General de la siguiente manera:
El promedio favorable es de 78.47% por lo tanto, de acuerdo con la fórmula
de decisión antes definida se acepta el enunciado de las hipótesis específicas
por un promedio del 21.53% sobre los datos establecidos del 50% más 1.
Por lo que, se acepta como válido que, “Los servicios en la nube y su
incidencia en las estrategias de seguridad de aplicaciones y datos de la
Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e
Ilopango, Departamento de San Salvador en el año 2013”.
178
CAPITULO VI
6. CONCLUSIONES Y RECOMENDACIONES
6.1 CONCLUSIONES
Como resultado de la investigación se concluyó lo siguiente:
Las Pymes son afectadas considerablemente en el evento de un desastre
tecnológico, pudiendo provocarle pérdidas económicas, disminución en
cartera de clientes y hasta el cierre de la empresa.
No obstante lo anterior, las Pymes que formulen un Plan de Recuperación
ante Desastres utilizando un modelo de computación en la nube tendrán un
menor impacto en recuperación ante desastres que aquellas que utilizan un
modelo tradicional, o que no lo tengan siquiera contemplado, con una
inversión relativamente baja.
Adicionalmente se puede concluir de este trabajo de investigación que el
levantamiento de información llevada a cabo en la fase de investigación
previa, o de fundamentación teórica, permitió conocer de manera global la
situación de las Pymes a nivel mundial, nacional y en los Municipios de San
Salvador, Soyapango e Ilopango respecto a los mecanismos utilizados para
proteger su información ante desastres tecnológicos, y la implementación de
planes de recuperación ante estos desastres utilizando a la computac ión en
la nube.
Las Pequeñas y Medianas empresas, de acuerdo a los resultados arrojados
en la fase de diagnóstico, están poco preparadas ante eventos producidos
debido a desastres tecnológicos, y al momento se usan mayoritariamente
medios tradicionales de respaldos, tales como Discos Duros (u otros
179
medios como CD-S y DVDs), duplicación de infraestructura, lo cual resulta
ineficiente y/o costoso.
En las Pymes de los Municipios de San Salvador, Soyapango e Ilopango
existe poco conocimiento sobre los beneficios que puede proveer la
computación en la nube para ellas de manera general, y en cuanto a los
mecanismos que se pueden usar para beneficio de éstas en cuanto a
servicios como los de recuperación ante desastres tecnológicos.
Uno de los beneficios que se tiene al utilizar la computación en la nube para
una recuperación ante desastres tecnológicos es el acceso de red ubicuo,
es decir, desde cualquier dispositivo, así como el poder contar con una
mejor infraestructura de la que se puede tener dentro de la empresa y con el
respaldo de personal técnico mejor preparado para manejar la
infraestructura de Tecnología de la Información que requeriría si estuviera
dentro de las instalaciones de la empresa.
Se puede concluir así mismo que las Pymes, todavía deben sensibilizar a la
alta gerencia sobre la importancia de contar con Estrategias de Seguridad
como por ejemplo con un Plan de Recuperación ante Desastres, y que
pueden apalancarse en los Servicios en la nube.
La elaboración de Estrategias de Seguridad de Aplicaciones y Datos usando
los Servicios en la Nube benefician no solamente a las grandes empresas
sino también a las Pequeñas y Medianas Empresas, cuya implementación
se reflejará en la disminución en el porcentaje de quejas por parte de
usuarios, incremento en el porcentaje de clientes satisfechos, y una mejora
en la imagen de la empresa y mas competitividad en el mercado tanto
nacional como internacional.
180
A raíz del levantamiento de información en la fase de Planteamiento de
Problema se vio la necesidad de elaborar un Cuestionario para Especialistas
del área de los Servicios en la Nube para las Pymes, sino también para las
microempresas, en un formato más simple, pero con la profundidad
suficiente para llevarlo a cabo.
Las Estrategias de Seguridad de Aplicaciones y Datos son propuestas que
irán madurando en las Pymes conforme se difunda al interior de estos
negocios que la inversión en seguridad no es un gasto.
Existe una necesidad por capacitar a todo el personal que estará
involucrado en los Servicios en la Nube, para un mejor manejo de estos y
poder obtener un mayor beneficio al usarlos.
El conjunto de las principales Tecnologías de Información y Comunicación
que necesitan las PYMES nacionales y que Cloud Computing puede ofrecer
está conformado por Herramientas de Productividad (Procesadores de
Texto, Planillas de Cálculo, Agendas, Correo Electrónico), Herramientas de
Colaboración, CRM y ERP. Se observa que para cada uno de estos
servicios, existen diversas alternativas las que se evaluaron de acuerdo a un
conjunto de características técnicas mínimas que los proveedores deben
ofrecer con el fin de garantizar la seguridad de los datos y la disponibilidad
del servicio. A partir de lo anterior se puede sostener que desde el punto de
vista de la funcionalidad, Cloud Computing es una alternativa viable de
implementar en las PYMES.
181
6.2 RECOMENDACIONES
Al haber terminado la investigación se recomienda lo siguiente:
Es importante que las empresas que son Proveedoras de los Servicios en la
Nube tengan un acercamiento con las Pequeñas y Medianas Empresas, es
decir, los Proveedores de Nube deben de considerar a las Pymes como un
potencial mercado a atender no solamente en la provisión de aplicaciones
del tipo SaaS, sino para ofrecer servicios de IaaS y PaaS considerando
costos personalizados diseñados para este segmento que son distintos a los
de Grandes Empresas, pero este mercado no se le está siendo atendido
con más atención/profundidad.
Desde el punto de vista de las Pymes es recomendable que se empleen
Estrategias de Seguridad de Aplicación y Dato fáciles de implementar en
tiempo y costo, y que cuenten con el apoyo de los altos directivos, y cuya
difusión se dé a toda la organización, de lo contrario será una iniciativa que
podría fracasar.
Dado que el presupuesto para seguridad de la información en general es
bajo tanto en las Pymes se recomienda que se incremente este valor, ya
que esto les permitirá estar mejor preparados ante varios de los desastres
tecnológicos.
De igual manera se sugiere que las organizaciones que agrupan a las
diferentes Pymes que organicen asistencias técnicas y capacitaciones a
estos pequeños y medianos negocios sobre esta temática de seguridad de
la información y respaldos y recuperación de información.
Adicionalmente es muy recomendable que exista apoyo del Estado,
juntamente con la empresa privada para proveer lineamientos que permitan
que se pueda acceder a una mejor prestación de servicios de Internet para
llevar a cabo Estrategias de Seguridad usando la computación en la nube.
182
Hoy en día existen varias empresas locales proveedoras de servicios en la
nube que están incursionando en la entrega de soluciones SaaS, y se
recomienda que también provean de soluciones IaaS a las Pymes ya sea
directamente o tercerizando servicios de proveedores más grandes como
Amazon, Google, Microsoft, Rackspace, etc.
La computación en la nube puede ser implementada en las empresas
usando esquemas de nubes privadas, públicas o híbridas, pero para las
Pymes se recomienda que se inicien con nubes públicas debido a la menor
inversión inicial y aprovechamiento de la infraestructura de Proveedor de
Servicio en la Nube.
Dado que uno de los principales factores a tomar en cuenta por parte de las
Pymes para la contratación de un Proveedor de Servicio en la Nube es la
confiabilidad de la empresa así como la seguridad que puedan ofrecer a sus
clientes, se recomienda que se revise detalladamente el SLA que se firmará
entre las partes, de manera que se conozcan los deberes y derechos de
cada uno.
Se recomienda a las Pymes es conocer bien de los Servicios en la Nube y
que tenga una clara definición de ellos para que tenga el conocimiento si
usan o no esta tecnología.
Recomendación a los Proveedores de Servicio en la Nube es realizar más
publicidad de los servicios que ofrece y de quienes son como empresa, para
que tanto la Pequeña como Mediana Empresa conozca más acerca de este
tema y deje de ser visto como un medio inseguro para el resguardo de sus
datos.
183
Finalmente, se recomienda que se haga un seguimiento continuo a la
evolución de la adopción de los Servicios en la Nube como mecanismo de
Estrategias de Seguridad de Aplicación y Dato cuyos resultados beneficiarán
a las Pymes que constantemente no están preparadas para una
eventualidad en la pérdida de su información.
184
BIBLIOGRAFÍA
LIBROS Y FOLLETOS CONSULTADOS:
-Muñoz Campos, Roberto; La Investigación Científica Paso A Paso, Talleres
Gráficos, UCA. San Salvador, 2004, Cuarta Edición.
-Rojas Soriano, Raúl; Guía Para Realizar Investigaciones Sociales, Plaza Y
Valdés, S.A. De .C.V., UNAM. México D.F., 1991, Octava Edición.
-Metodología de la Investigación, Cuarta Edición, Roberto Hernández Sampieri.
-Fredy Antonio Rivas, Guía Metodológica para la Elaboración de
Investigaciones Científicas, El Salvador, 2011, segunda edición
-Clasificación de las Empresas en El Salvador, Iddo José Claros Arana,
Universidad Politécnica de El Salvador.
TESIS CONSULTADAS
-Instrumentos Financieros y medios de pago internacional aplicado para Pymes
en el Salvador. Audrey Stacey Henríquez Cestoni, Leticia Alexandra Guevara
Urbina, Oscar Ernesto Díaz Iraheta, Universidad Dr. José Matías Delgado año
2012.
- Cloud Computing: fundamentos, diseño y arquitectura aplicados a un caso de
estudio. José Manuel Arévalo Navarro, Universidad Rey Juan Carlos año 2011.
DIRECCIONES ELECTRÓNICAS CONSULTADAS
-http://www.portalinformatico.com/newsbook/actualidad/uso-nube-mundo-33-
profesional-88-personal--2012071987113.htm (28 de Junio de 2013)
-AETecno, ¿Latinoamérica está lista para la nube? En
http://tecno.americaeconomia.com/noticias/latinoamerica-esta-lista-para-la-nube
(05 de Julio de 2013)
185
-El origen del término computación en nube o Cloud Computing,
http://cloudprivado.org/el-origen-del-termino-computacion-en-nube-o-cloud-
computing/ (15 de julio de 2013).
-El origen de: El Cómputo en la Nube, http://www.fayerwayer.com/2012/01/el-
origen-de-el-computo-en-la-nube/ (12 de Septiembre de 2013).
-Computación en la Nube, http://es.wikipedia.org/wiki/Computación_en_la_nube
(16 de Noviembre de 2013).
-Computación en Nube, http://www.computacionennube.org/computacion-en-
nube/ (15 de Noviembre de 2013).
-¿Qué es una Plataforma como Servicio (PaaS)?,
http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-como-
servicio-paas.html (20 de julio de 2013).
- AVANXO BLOGNube pública vs. Nube privada: Ventajas de la computación
en la nube. http://www.avanxo.com/nube-pública-vs.-nube-privada-ventajas-de-
la-computación-en-la-nube.html (15 de Octubre de 2013).
-Computación en la Nube,
http://es.wikipedia.org/wiki/Computación_en_la_nube#Comparaciones (16 de
Noviembre de 2013).
-Cheque Innovación, Cloud Computing para pymes, ¿Qué es y qué ventajas
tiene? http://www.juntadeandalucia.es/economiainnovacioncienciayempleo/chequedein
novacion/blog/2013/01/cloud-computing-para-pymes-que-es-y-que-ventajas-
tiene/ (15 de Octubre de 2013).
186
-Equipo de Redacción. ¿Por qué las Pymes deben mirar hacia la Nube?
http://elempresario.mx/opinion/que-pymes-deben-mirar-hacia-nube (14 de
Noviembre de 2013).
- Michel Stei ert. Cinco pasos clave (y sencillos) para llegar a la nube,
http://www.eleconomistaamerica.pe/actualidad-eAm-
peru/noticias/5313789/11/13/Cinco-pasos-clave-y-sencillos-para-llegar-a-la-
nube1Identificacion-de-una-necesidad-de-negocios-.html (15 de Noviembre de
2013).
-Graciela Marker, Creación de una estrategia para controlar los riesgos de TI,
http://www.gestion.org/gestion-tecnologica/seguridad-
informatica/35219/creacion-de-una-estrategia-para-controlar-los-riesgos-de-ti/
(28 de Octubre de 2013).
-Graciela Marker, La importancia de analizar los riesgos de las TI,
http://www.gestion.org/gestion-tecnologica/seguridad-informatica/35173/la-
importancia-de-analizar-los-riesgos-de-las-ti/ (28 de Octubre de 2013).
-Fernando Moreno –Torres Camy. Arquitectura de Sistemas de I.- Cloud
Computing, http://www.gestion.org/gestion-documental/30940/arquitectura-de-
sistemas-i-cloud-computing/ (30 de Octubre de 2013).
-Plan de Recuperación Ante Desastres,
http://es.wikipedia.org/wiki/Plan_de_recuperación_ante_desastres (30 de
Octubre de 2013).
187
- Paul Kirvan, CISA, CISSP, FBCI, CBCP. De la A a la Z: plan para la
recuperación de desastres (RD) TI,
http://searchdatacenter.techtarget.com/es/cronica/De-la-A-a-la-Z-plan-para-la-
recuperacion-de-desastres-RD-TI (09 de Septiembre de 2013).
-La solución Acronis Cloud,
http://www.acronis.com.mx/solutions/enterprise/cloud.html (03 de Octubre de
2013).
-Project Data. http://www.blackducksoftware.com/resources/data (18 de
Noviembre de 2013).
-Alex Pessó. Oportunidades en la Nube para Latinoamérica,
http://www.americaeconomia.com/analisis-opinion/oportunidades-en-la-nube-
para-latinoamerica (12 de Agosto de 2013).
Top Related