CIS1030SD02 CONTROL Y ASEGURAMIENTO EN …pegasus.javeriana.edu.co/~CIS1030SD02/Documentos/Memoria...
Transcript of CIS1030SD02 CONTROL Y ASEGURAMIENTO EN …pegasus.javeriana.edu.co/~CIS1030SD02/Documentos/Memoria...
<CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN
CLOUD COMPUTING PARA PYMES
PABLO ANDRÉS HIDALGO LARA
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ, D.C.
2011
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Página i
Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
<CIS1030SD02>
GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD
COMPUTING PARA PYMES
Autor(es):
Pablo Andrés Hidalgo Lara
MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE
LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS
Director
Freddy Alexander Vargas Blanco
Jurados del Trabajo de Grado
Ing. Andrea Yamile Ojeda
Ing. José Luis Lara
Página web del Trabajo de Grado
http://pegasus.javeriana.edu.co/~CIS1030SD02
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ, D.C.
Junio, 2011
Ingeniería de Sistemas Sidre - CIS1030SD02
Página ii
PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
Rector Magnífico
Joaquín Emilio Sánchez García S.J.
Decano Académico Facultad de Ingeniería
Ingeniero Francisco Javier Rebolledo Muñoz
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Directora de la Carrera de Ingeniería de Sistemas
Ingeniero Luis Carlos Díaz Chaparro
Director Departamento de Ingeniería de Sistemas
Ingeniero César Julio Bustacara Medina
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Página iii
Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Artículo 23 de la Resolución No. 1 de Junio de 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyec-
tos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y
porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos
el anhelo de buscar la verdad y la Justicia”
Ingeniería de Sistemas Sidre - CIS1030SD02
Página iv
AGRADECIMIENTOS
En los caminos de la vida siempre se encuentran personas que nos acompañan y aportan lo mejor de
ellos mismos para contribuir a nuestro crecimiento personal e intelectual, pero ¿cómo nombrarlas a
todas sin dejar a nadie por fuera? Sin duda es una difícil tarea, pero reduciremos a todos aquellas
personas en las siguientes.
En primer lugar deseo dar las gracias a mis padres por su apoyo, su comprensión, su confianza, su
inmensa generosidad pues me han dado todo lo que necesito y más de lo que merezco, sobre todo,
por guiarme en el camino del bien y enseñarme todo los valores y principios necesarios para crecer
como una persona correcta y ser quien soy hoy en día.
En segundo lugar y sin ser menos importante que los primeros, agradezco a mi novia Alejandra,
quien con su paciencia y carisma a sabido apoyarme y acompañarme en todo momento desde el
inicio de la propuesta, hasta el desarrollo y culminación del Trabajo de Grado
También agradezco a mis amigos, y personas cercanas a mi vida que han sido parte fundamental en
mi crecimiento personal con su apoyo, consejos, por ayudarme en los momentos que necesito una
mano de más para alcanzar mis logros y por todos los momentos de alegría y felicidad que he vivi-
do junto a ellos.
Finalmente agradecerle a mi tutor por toda la ayuda que me ha brindado, tanto en el proyecto como
en la vida laboral y personal. Gracias a su apoyo he logrado completar con éxito el trabajo aquí
propuesto.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Página v
Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Contenido
INTRODUCCIÓN ...................................................................................................... 1
I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO ............................... 2
1. OPORTUNIDAD, PROBLEMÁTICA, ANTECEDENTES ..................................................... 2 1.1 Descripción del contexto ............................................................................................... 2 1.2 Formulación del problema que se resolvió ................................................................... 3 1.3 Justificación ................................................................................................................... 4 1.4 Impacto Esperado .......................................................................................................... 5
2. DESCRIPCIÓN DEL PROYECTO ..................................................................................... 5 2.1 Visión global .................................................................................................................. 5 2.3 Objetivo general ............................................................................................................ 6 2.4 Objetivos específicos ..................................................................................................... 6 2.5 Método que se propuso para satisfacer cada fase metodológica .................................. 7
II –POST-MORTEM .................................................................................................. 8
1. METODOLOGÍA REALIZADA ...................................................................................... 8
2. ACTIVIDADES PROPUESTAS VS. ACTIVIDADES REALIZADAS. ..................................... 9
3. EFECTIVIDAD EN LA ESTIMACIÓN DE TIEMPOS DEL PROYECTO .................................. 9
4. COSTO ESTIMADO VS. COSTO REAL DEL PROYECTO ................................................. 10
5. EFECTIVIDAD EN LA ESTIMACIÓN Y MITIGACIÓN DE LOS RIESGOS DEL PROYECTO. .. 11
III - MARCO TEÓRICO .......................................................................................... 12
1. MARCO CONTEXTUAL ............................................................................................. 12
2. MARCO CONCEPTUAL .............................................................................................. 12 2.1 Fundamentos Cloud Computing .................................................................................. 12 2.2 Impactos De Cloud Computing ................................................................................... 25 2.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing ............................... 27 2.4 COSO - Committee of Sponsoring Organizations ....................................................... 30 2.5 COBIT - Control Objectives for Information and related Technology ...................... 38
IV – DESARROLLO DEL TRABAJO .................................................................... 42
1. CARACTERIZACIÓN DE LAS EMPRESAS ..................................................................... 42
2. DESARROLLO DE LA GUÍA METODOLÓGICA ............................................................ 45
Ingeniería de Sistemas Sidre - CIS1030SD02
Página vi
3. MECANISMOS DE VALIDACIÓN ................................................................................ 49
4. VALIDACIÓN Y APROBACIÓN DE LA GUÍA METODOLÓGICA .................................... 53
V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS ............................... 54
VI – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS ... 58
1. CONCLUSIONES ....................................................................................................... 58
2. RECOMENDACIONES ................................................................................................ 59
3. TRABAJOS FUTUROS ................................................................................................ 59
VII - REFERENCIAS Y BIBLIOGRAFÍA ............................................................. 61
1. REFERENCIAS .......................................................................................................... 61
VIII - ANEXOS .......................................................................................................... 64
1. ANEXO 1. GLOSARIO ............................................................................................... 64
2. ANEXO 2. ACTIVIDADES TG .................................................................................... 64
3. ANEXO 3. ENCUESTAS ............................................................................................. 64
4. ANEXO 4. VALIDACIONES ........................................................................................ 64
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Página vii
Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
LISTA DE TABLAS
Tabla 1 - Presupuesto Total Propuesto ..............................................................................................11
Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM .........................38
Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Computing,
2011] ..................................................................................................................................................44
Tabla 4 - Formato de documentación de la Guía ...............................................................................48
Tabla 5 - Formato de Control de Madurez .........................................................................................49
Tabla 6 - Agrupación de Requerimientos ..........................................................................................57
Ingeniería de Sistemas Sidre - CIS1030SD02
Página viii
LISTA DE ILUSTRACIONES
Ilustración 1 - Metodología Realizada .................................................................................................8
Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009] .........................................................15
Ilustración 3 Funcionamiento de SaaS [Parallels, 2011] ...................................................................16
Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010] ..............................................................17
Ilustración 5 ¿Que es PaaS? [Keene, 2009] .......................................................................................18
Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009] .....................................21
Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009] .....................................22
Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] ...31
Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] ...................................40
Ilustración 10 - Razones de las empresas para utilizar Cloud Computing .........................................55
Ilustración 11 - Resultados Encuesta .................................................................................................56
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Página ix
Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
ABSTRACT
In this document is defines a methodological guide of control and assurance in Cloud Computing
for Colombian SMEs. The project identifies the stage, actors, needs and work environment in gen-
eral to establish control and assurance requirements that must exist in domestic SMEs. Subsequent-
ly each requirement is documented in detail, with the purpose of establishing the minimum control
measures and assurance that a company like this should apply in the Cloud Computing service you
are using.
RESUMEN
Se define una guía metodológica de control y el aseguramiento en Cloud Computing para Pymes.
Se identifican los escenarios, actores, las necesidades y el ambiente en general de trabajo para esta-
blecer los requerimientos de control y aseguramiento que deben existir en las pymes nacionales.
Posteriormente se documenta cada requerimiento de manera detallada, con el propósito de estable-
cer las medidas mínimas de control y aseguramiento que una empresa de este tipo debe aplicar en
el servicio de Cloud Computing que esté utilizando.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página x
RESUMEN EJECUTIVO
Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y madu-
ración en Colombia, se enfoca en generar servicios estandarizados que puedan responder a las nece-
sidades de negocio que tenga cada organización, de forma flexible y adaptativa sin necesidad de
poseer un conocimiento previo sobre el manejo del modelo.
Actualmente, esta tendencia tecnológica se compone de dos actores principales, la empresa provee-
dora que ofrece los servicios a la medida del negocio y la empresa usuaria que toma los servicios
según sus propias necesidades. Este primer actor, permite a los usuarios el aumento de servicios
basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues los
proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exigencias
del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago por
consumo que resulta más asequible para las empresas y de menos perdidas.
Ahora bien, cada uno de los servicios que desee el usuario de Cloud Computing requiere que la
empresa cliente brinde información, requerimientos y especificaciones que permita al proveedor
tomar la solicitud dependiendo del servicio que se requiera. Esta información resulta de gran ayuda,
puesto que las organizaciones desean tener el manejo de estas desde todo tipo de dispositivo tec-
nológico, en cualquier parte y en el momento que lo deseen.
Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se
maneja la información de una organización. Es en ese punto donde se debe manejar un concepto
bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad para todo tipo de
usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve inquietante conocer
cuáles son las medidas de control en la Cloud, cuáles son los lineamientos de seguridad manejados
por las empresas proveedoras del servicio y cómo los aplican, pues es muy poco lo que se conoce
acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta hace poco tiempo
viene aplicando este modelo de servicios.
Alrededor de esta problemática se genera la siguiente pregunta:
¿Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa provee-
dora del servicio de Cloud Computing?
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Modalidad de Investigación
Página xi
Preparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
A partir de esta pregunta se genera la necesidad no solo de dar respuesta sino también de definir la
forma más apropiada de desarrollar un proyecto en el que se trate de cerrar esta problemática. Para
ello, luego de un análisis en compañía del director de trabajo de grado y contando con las opiniones
de personas conocedoras del tema, se concluyó que la mejor forma era la definición de una guía
metodológica que se brinde como una herramienta que facilite a las empresas el control de Cloud
Computing, orientada a cumplir el siguiente objetivo:
Definir una Guía Metodológica de Control y Aseguramiento en Cloud Computing que evalúe la
eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en pequeñas
y medianas empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la
gerencia en beneficio de sus empresas.
A partir de este objetivo, la guía se abordó teniendo en cuenta una metodología dividida en fases
que se llevarían a cabo de forma secuencial, de esta forma cada fase tiene cierta dependencia de su
antecesora, a excepción de la primera fase de levantamiento de información, que obligatoriamente
debe iniciar con la iniciativa y voluntad del autor.
En la fase inicial se realiza un levantamiento de información para hacer un reconocimiento del en-
torno sobre el cual gira el desarrollo de la guía metodológica, es decir, que en esta fase se contem-
plará toda la información relevante para el desarrollo del trabajo. Después de esta fase, tomando la
opinión de diversas personas con conocimiento en el tema se generó la necesidad de incluir una
caracterización de empresas, en donde se profundiza más sobre las empresas (actores de la pro-
blemática), con el propósito de conocer servicios y necesidades que giran en torno al modelo de
Cloud Computing y además hacer énfasis en las Pymes que son parte fundamental en el desarrollo
del trabajo.
Después de completar las fases de levantamiento de información y caracterización de las empresas,
se continuó con la fase de establecer requerimientos para el control y aseguramiento en Cloud
Computing, la cual complementó la información establecida en las otras dos fases y dio inicio al
desarrollo de la guía. Para esta fase, como se tenía previsto no había conocimiento de requerimien-
tos que estuvieran orientados o definidos para el control y aseguramiento de Cloud Computing, pero
se contó con el apoyo de un documento de la CSA y a partir de este se elaboró una encuesta que
determinaría los requerimientos para realizar la guía. Dicha encuesta fue realizada a personal que
trabajara en el área de TI en Pymes colombianas. Posteriormente, los requerimientos determinados
Ingeniería de Sistemas Sidre - CIS1030SD02
Página xii
pasaron por un proceso de aprobación con el propósito de hacer control de calidad y darle un valor
agregado al producto final desde ese punto de su elaboración.
Siguiendo con la secuencia de las fases propuestas, se da inicio a la elaboración de la guía meto-
dológica tomando como base los requerimientos determinados en la fase anterior. Teniendo en
cuenta que el establecimiento de los requerimientos no era suficiente para la elaboración de la guía,
se construyó un diagrama con el cual se determinó los aspectos más relevantes para cada requeri-
miento en los cuales se debería profundizar. Adicionalmente, pensando en la comodidad y facilidad
de uso del documento por parte de las personas que tengan acceso al documento se incluyo una
sección para conocer y manejar el documento.
Trabajando en paralelo con la elaboración de la guía, se prosiguió a evaluar el mejor mecanismo de
validación y aprobación de la misma. De esta evaluación de los mecanismos se determino el de
aprobación por opinión de expertos con la posibilidad de aplicar una segunda opción de aprobación
aplicando la guía a un caso de estudio, solo si el tiempo lo permitía. Ya con el mecanismo de apro-
bación elegido, se dio paso a la fase de validación contactando dos personas expertos y conocedoras
del entorno en el que se desenvuelve el producto. Se les brindo una presentación y la guía como tal
para obtener su opinión respecto al producto y su posterior aprobación.
Finalmente, se realizaron las correcciones del producto, el control de calidad correspondiente a la
última fase de la metodología, se elaboró la página web en donde se presenta el contenido de todo el
trabajo de grado y se diligenció una lista de chequeo para verificar y comparar todo el proceso pro-
puesto con el proceso que realmente se ejecutó para el desarrollo del proyecto.
Con base en todo el proceso que se llevó a cabo, se concluye que tanto el objetivo general como los
específicos se cumplieron de acuerdo a lo planeado, gracias al seguimiento y control de cada una de
las actividades establecidas para el desarrollo del trabajo. Gracias a esto, se logró elaborar un pro-
ducto útil para la comunidad de Cloud Computing a nivel nacional en las Pymes y se contribuyó a
dos de las problemáticas con las que está comprometida la Pontificia Universidad Javeriana.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 1
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
INTRODUCCIÓN
A través de este documento se puede observar el proceso que se realiza en la elaboración del trabajo
de grado ―Guía Metodológica de Control y Aseguramiento para Cloud Computing en Pymes‖.
En el capítulo I, se hace un reconocimiento de la información más relevante acerca de los antece-
dentes de los temas que se desarrollan en el trabajo de grado. Se incluyen, aspectos importantes
como el análisis de la problemática que se enmarca alrededor del ambiente de Cloud Computing, la
seguridad a nivel general, la formulación, justificación y el impacto que se espera obtener.
En el capítulo II, se lleva a cabo la descripción del proyecto haciendo énfasis en la visión global y
los objetivos planteados para desarrollar el trabajo. Además de esto también se incluye una descrip-
ción de cada fase de la metodología que se llevo a cabo a lo largo del trabajo y su alineamiento con
los objetivos específicos que se habían planteado,
Después, en el capítulo III se podrá observar el marco contextual y conceptual con los temas más
relevantes dentro del proyecto como lo es el modelo de servicios de Cloud Computing, su impacto y
los riesgos al día de hoy y finalmente los marcos de control que marcan una pauta en el asegura-
miento a nivel general dentro de las empresas.
A continuación, en el capítulo IV se hace un análisis más detallado de lo que fue todo el proceso de
desarrollo, según las fases de la metodología planteada para la ejecución del trabajo de investiga-
ción desde el levantamiento de la información más relevante hasta la validación y aprobación que
marcan la pauta para concluir el proceso del trabajo realizado.
Finalmente, en los capítulos V y VI se podrá encontrar los resultados obtenidos después del desarro-
llo de trabajo de grado, las conclusiones técnicas y personales que surgieron sobre el desarrollo y
las recomendaciones enmarcadas en la visión global propuesta en el capítulo II entregadas por el
autor que continúen la modalidad de proyectos en la universidad.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 2
I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO
1. Oportunidad, Problemática, Antecedentes
1.1 Descripción del contexto
Para iniciar es importante mencionar que en la actualidad la tecnología ha estado creciendo de for-
ma rápida y contundente, con el propósito de mejorar la experiencia e interacción de esta con el
usuario. Para ello se han venido desarrollando tendencias tecnológicas que brindan diferentes tipos
de servicios con los cuales se satisfacen las necesidades de cómputo en la sociedad, por medio del
internet. [Carpena M, 2009]
Este crecimiento de aplicaciones y herramientas tecnológicas han dado paso a Cloud Computing o
―Computación en la nube‖, un concepto novedoso que se ha venido utilizando en diferentes aplica-
ciones como Second Life, las redes sociales o páginas que venían aplicando WEB 2.0.
Cloud Computing consiste en permitir el uso de aplicaciones o servicios por medio de la nube, para
el uso cotidiano de empresas o cualquier tipo de usuario. Esto nos lleva a considerar Cloud Compu-
ting como la evolución de WEB 2.0, en la que empresas y usuarios acceden a sus cuentas desde
cualquier lugar operando sin instalar dispositivo alguno. Aunque este nuevo modelo no parece una
novedad tan impresionante como normalmente lo catalogan, Cloud Computing es un caso especial,
pues facilita aplicaciones, los servidores en donde se almacena y ejecuta la información para que
estas funcionen [Fernández J, 2009]. También se caracteriza por el acceso de forma compartida a la
información que se encuentre sobre la nube, para lo cual encontramos ejemplos como Amazon EC2
o Google Apps que proveen aplicaciones de negocio desde un navegador, mientras que el software
y los datos son almacenados en Servidores manejados por ellos mismos.
A pesar de las muchas ventajas que se pueden encontrar en Cloud Computing como los bajos cos-
tos, oportunidad corporativa de crecimiento para las empresas o acceso desde cualquier lugar por
parte de los clientes, se han detectado desventajas en aspectos fuertes como la seguridad y privaci-
dad, pues se encuentran muchos vacíos que pueden llegar a ser costosos para cualquier empresa que
use servicios en la nube en caso de no ser manejados a tiempo [Areitio & Mail, 2010]. Además no
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 3
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
se tiene conocimiento que Cloud Computing cuente con algún estándar que dé un control interno a
todo lo que se maneja debajo de lo que ven los usuarios.
1.2 Formulación del problema que se resolvió
Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y madu-
ración en Colombia [Toro C, 2009], se enfoca en generar servicios estandarizados que puedan res-
ponder a las necesidades de negocio que tenga cada organización, de forma flexible y adaptativa sin
necesidad de poseer un conocimiento previo sobre el manejo del modelo.
Actualmente, esta tendencia tecnológica se compone de dos actores principales que son los provee-
dores quienes ofrecen los servicios a la medida del negocio y los usuarios que son aquellos que
toman los servicios según los necesiten. Estos primeros, permiten a los usuarios el aumento de ser-
vicios basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues
los proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exi-
gencias del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago
por consumo que resulta más asequible para las empresas y de menos perdidas. [Millet D, 2010]
Ahora bien, cada uno de los servicios que desee el usuario en Cloud Computing requiere que la
empresa cliente brinde toda la información, requerimientos y especificaciones que permitan al pro-
veedor realizar dicho trabajo dependiendo del servicio que se requiera. La información no solo será
utilizada para la elaboración de las aplicaciones o para el manejo de la infraestructura a través de un
navegador, sino que también se puede dar el caso que una empresa almacene información de cual-
quier nivel de importancia en la Cloud.
Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se
maneja la información de una organización [Aguilar L, 2009]. Es en ese punto donde se debe mane-
jar un concepto bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad
para todo tipo de usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve in-
quietante conocer cuáles son las medidas de control en la Cloud, los lineamientos de seguridad ma-
nejados por las empresas proveedoras del servicio y la forma en que los aplican, pues es muy poco
lo que se conoce acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta
hace poco tiempo abrió las puertas a este modelo de servicios.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 4
A partir de lo anterior surgió la siguiente inquietud, la cual se pretendió solucionar con el desarrollo
del presente trabajo de grado:
¿Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa provee-
dora del servicio de Cloud Computing?
1.3 Justificación
El Trabajo de Grado tiene como propósito brindar una herramienta que facilite la toma de decisio-
nes de una empresa (Pyme) en cuanto al mejoramiento de tareas, actividades, procedimientos sobre
Cloud Computing para alcanzar una mejor calidad de procesos, reducción de costos y aumento de
ganancias. Para ello es necesario evaluar de forma detallada cada tarea, actividad y proceso que
permita dar siempre un mejor servicio a los clientes, profundizando en cada aspecto del modelo, las
ventajas y desventajas, los lineamientos de seguridad para la información establecidos por los pro-
veedores, entre otro tipo de detalles que permitan mejorar en el servicio. Además se debe tener en
cuenta en todo momento que los controles a las empresas, permiten evaluar la eficiencia y eficacia,
evitar problemas grandes dentro de estas y lograr un progreso si se realizan correctamente las labo-
res, por lo que una guía que tenga las bases fuertes y necesarias para controlar este modelo de servi-
cios, hace de este trabajo de grado una herramienta bastante interesante para la industria tecnológi-
ca.
Por otro lado también se estaría generando una gran contribución a dos de las problemáticas que la
Pontificia Universidad Javeriana pretende atacar, las cuales son:
El poco aprecio de los valores de la nacionalidad y la falta de conciencia sobre la identidad
cultural
La deficiencia y la lentitud en el desarrollo científico y tecnológico.
El aporte se estaría brindando ya que la guía metodológica es una herramienta que busca apoyar las
pequeñas y medianas empresas colombianas que son el símbolo del progreso y crecimiento en un
país lleno de emprendedores, fortaleciendo el aprecio por el talento y los valores nacionales que
hacen grande al país. Desde otro punto de vista, se contribuye al crecimiento y progreso de este tipo
de empresas que han sido las principales beneficiadas con la llegada de este modelo de servicios al
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 5
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
país, el cual aunque es relativamente nuevo ha generado bastantes ventajas competitivas dentro de
las organizaciones, que serán fortalecidas con el apoyo de la guía creando mayor eficiencia y opor-
tunidades de crecimiento tecnológico nivel nacional.
1.4 Impacto Esperado
Los impactos que se establecieron a partir de este trabajo de grado son los siguientes:
El impacto académico personal, el titulo como Ingeniero de Sistemas del autor que conce-
de la Pontificia Universidad Javeriana.
El impacto académico general, será la implementación de esta guía por parte de las Pymes,
con el propósito de ofrecer control y aseguramiento en los servicios de modelo de Cloud
Computing, el cual actualmente muchas empresas se están vinculando como parte del cre-
cimiento en sus respectivas organizaciones.
2. Descripción del Proyecto
2.1 Visión global
La elaboración de este documento de trabajo de grado, fue orientado hacia la definición de una guía
metodológica que abarcara el tema del control y aseguramiento de información y activos de un
usuario en el modelo tecnológico de servicios Cloud Computing, el cual se encuentra en una etapa
de creciendo y maduración en las pequeñas y medianas empresas de Colombia.
La guía metodológica elaborada consta de un análisis a las empresas proveedoras y clientes del
servicio, un análisis de requerimientos orientado hacia el control y aseguramiento del modelo de
servicios, los cuales fueron profundizados y desarrollados en la elaboración de la guía.
Teniendo en cuenta que no se cuenta con mucho material acerca de control y aseguramiento de un
modelo de servicios tan novedoso como este, se realizaron una serie de encuestas basadas en el
documento [Alliance, C.-C. S., 2009], que permitieron plantear algunos requerimientos. La encuesta
fue realizada a profesionales en el área de TI en empresas Pymes, y su resultado fue validado antes
de entrar en el desarrollo de cada uno de los requerimientos encontrados.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 6
De acuerdo con el análisis realizado a las empresas, el levantamiento de información y los requeri-
mientos establecidos, se dio inicio y desarrollo a la elaboración de la guía metodológica, la cual al
ser finalizada contó con dos mecanismos de validación previamente analizados, para contar con la
aprobación y opinión de las personas interesadas en el tema que se desarrollo en este trabajo.
2.3 Objetivo general
Construir una Guía Metodológica de control y aseguramiento en Cloud Computing que evalúe la
eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en medianas
empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la gerencia en
beneficio de sus empresas.
2.4 Objetivos específicos
Hacer un levantamiento de información referente a la construcción de una Guía Metodoló-
gica, los lineamientos de uso y manejo de servicios en la nube por parte de proveedores,
estándares de uso de Cloud Computing y de controles en TI.
Establecer una caracterización de las empresas involucradas en el entorno de Cloud Com-
puting (Proveedoras y Clientes), haciendo énfasis en Pymes colombianas y su visión frente
al modelo de servicios.
Definir los requerimientos necesarios de las en torno al control y aseguramiento de Cloud
Computing para las Pymes, a partir del análisis de la información obtenida en el marco teó-
rico, la caracterización de las empresas.
Construir una guía metodológica de control y aseguramiento enmarcado en los aspectos re-
levantes de Cloud Computing, los requerimientos del servicio, el control y la seguridad de
activos, para evaluar la eficiencia y efectividad en los procesos del negocio en las empre-
sas.
Encontrar un mecanismo por el cual se valide la Guía.
Implementar mecanismo de validación y aprobación a la guía metodológica.
Ejecutar un proceso de refinamiento y control de calidad en el que concluya con éxito la
última versión de la Guía Metodológica.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 7
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Como se podrá ver más adelante, estos objetivos están relacionados directamente con cada una de
las fases de la metodología planteada para el desarrollo del trabajo de grado, y es precisamente esta
relación la que permitió tener un mayor control y seguimiento del cumplimiento de actividades y
objetivos planeados para cumplir el objetivo principal del trabajo.
2.5 Método que se propuso para satisfacer cada fase metodológica
Aunque no se propuso de forma explícita algún método para satisfacer cada fase metodológica, se
puede observar tanto en la ilustración de la metodología como en el argumento de los objetivos
específicos, que se manejo un método secuencial de tal forma que no se omitiera ninguna fase u
objetivo del trabajo y que se cumplieran todas las actividades establecidas para cada fase.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 8
II –POST-MORTEM
1. Metodología Realizada
La metodología que se había propuesto para llevar a cabo en el desarrollo del trabajo de grado se
encontraba dividida en 7 fases que se aplicarían de forma secuencial desde el inicio hasta el final, a
excepción de la fase de Aprobación de la guía metodológica que se aplicaría antes, durante y des-
pués del desarrollo de la guía con el propósito hacer un seguimiento de la calidad y validez del pro-
ducto final.
Ilustración 1 - Metodología Realizada
Levantamiento de Información
Caracterizacion de las empresas
Establecer Requerimientos de Empresas
Elaboracion de la Guia
Metodologica
Definir el mecanismo de
Validaciòn y aprobaciòn
Aprobación de la Guía
Metodológica
Control de Calidad y
Refinamiento
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 9
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Finalmente se concluye que la metodologia propuesta fue aplicada de forma satisfactoria, pues la
realidad muestra que se fue fiel al plan propuesto , con todo lo que esto incluye (actividades,
presupuesto, etc.) lo cual generó el éxito que se esperaba en la culminacion del trabajo.
2. Actividades propuestas vs. Actividades realizadas.
Finalizado el trabajo, se puede manifestar que las actividades propuestas fueron suficientes para la
elaboración del trabajo de grado. Sin embargo, después de hacer un analisis mas profundo de las
actividades que se habian propuesto, se observó que muchas de las actividades expuestas iban
implicitas en el desarrollo total del documento. Este caso se puede ver en actividades de la
elaboracion de la memoria y la creación de la pagina Web del documento de la propuesta. ―Anexo
2. Actividades TG‖
3. Efectividad en la estimación de tiempos del proyecto
La estimación del tiempo para el desarrollo del proyecto, fue planteado con una exactitud que
permitiera el cumplimiento de las actividades y de las fases de la metodología en general. No
obstante se presentaron casos en los que hubo variaciones del tiempo estimado con algunas
actividades que tomaron más tiempo de los esperado que se compesaron con otras que tomaron
menos tiempo de lo que se habia determinado. De acuerdo con esta situación, se identificaron 3
diferentes momentos en la elaboracion de las actividades que se determinaron de la siguiente
manera:
1. Actividades que tomaron más tiempo: El establecimiento de los requerimientos fue la
actividad que más tomo tiempo, pues desde el momento en el que se propuso como una
actividad de gran relevancia para el desarrollo del trabajo, había claridad de que no se
contaba con un requerimiento pre establecido lo cual originó la necesidad de encontrar un
mecanismo para poder establecerlos. Dicho mecanismo fue la de realizar encuestas para
poder establecerlos, en alianza con el levantamiento de informacion del marco teorico y la
caracterizacion de las empresas.
2. Actividad de estimación correcta: El levantamiento de información fue la actividad mas
precisa en cuanto al tiempo estimado, lo cual se presentó gracias a que se tenia
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 10
conocimiento del material y las posibles fuentes en donde se encontraría la información
adecuada para el desarrollo del trabajo.
3. Actividad que tomó menos tiempo del estimado: La elaboración de la página WEB, que
además de ser necesaria brindó un aporte de conocimiento adicional que no se tenía antes
de realizarla, como el manejo de algunos programas para su elaboración.
4. Costo estimado vs. Costo real del proyecto
4.1 Presupuesto
RECURSOS FISICOS Y SERVICIOS
ITEM CANTIDAD VALOR TOTAL
Transporte 73 $1600 $116.800
Servicios 2 $50.000 $100.000
Papelería e Impre-
sión
2 $30.000 $60.000
Diseño Pagina Web 1 $420.000 $420.000
CD 3 $1000 $3000
Subtotal $699.800
RECURSOS HUMANOS
Persona Horas de
Trabajo por
semana
Semanas Precio por hora Total
Pablo Andres
Hidalgo Lara
20 17 $30.000 $10’200.000
Freddy Vargas
Blanco
1 17 $50.000 $850.000
Subtotal $11’050.000
PRESUPUESTO
Recursos Físicos y Servicios $699.800
Recursos Humanos $11’050.000
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 11
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
TOTAL $11’749.800
Tabla 1 - Presupuesto Total Propuesto
Después de haber realizado el trabajo en su totalidad se pudo observar que hubo errores en la
estimación propuesta pues el valor total fue menor al estimado en un 20%.
Dicha reducción se dió con base a una mala estimacion en las horas de trabajo por semana por parte
del autor, en la elaboración del proyecto ya que no se contenplaron diversas situaciones que se le
presentarían a la persona.
5. Efectividad en la estimación y mitigación de los riesgos del pro-
yecto.
Es importante observar para este punto que dentro de la propuesta no se hizo un planteamiento
explícito de los posibles riesgos que se pudiesen generar con la elaboración del proyecto. Sin em-
bargo, aunque no estaban planteados dentro del documento si se habían identificado, con el propósi-
to de poder llevar a cabo algún plan de contingencia en caso de que se materializaran. Los riesgos
identificados fueron:
No cumplimiento de los tiempos planeados en la elaboración de la guía, por parte del autor
o del director de trabajo.
Cambiar parcial o totalmente la metodología planeada, pues esto genera un cambio para to-
do el proceso.
No entregar el trabajo de grado de acuerdo al cronograma, por estimación en tiempo, cos-
tos, elaboración del trabajo o pruebas finales.
No contar con el apoyo de las Pymes o de personas que puedan ser importantes para el de-
sarrollo del trabajo.
No contar con el permiso de manejar información confidencial o crítica de las empresas.
Afortunadamente en ningún momento durante el desarrollo de la guía de materializaron alguno de
estos riesgos, por lo cual no se tuvo que llevar a cabo ningún plan de contingencia.
Respecto al último riesgo planteado, se manejaron acuerdos directos para hacer uso adecuado de la
información confidencial de las empresas visitadas en la fase de caracterización de empresas, pues
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 12
esta es una regla o directriz general para el personal interno y externo a la empresa. Sin embargo, no
se contó con la misma fortuna para la empresa en la que se hizo la validación de la guía, por la falta
de tiempo que se tenía y la disposición de algunas personas dentro de la empresa.
III - MARCO TEÓRICO
1. Marco Contextual
Tal como se puede observar en [Ayala, 2011], la opción de tener una gran cantidad de servidores
robustos que faciliten el almacenamiento de información sin límite y de permitir acceder a esta des-
de cualquier lugar y en el momento que se desee hoy en día es toda una realidad.
Cloud Computing es un sistema que ofrece servicios de cómputo a través de una infraestructura
distribuida en la red y que se comparte entre sus clientes, lo cual les reduce la preocupación en cos-
tos de hardware o software. Este tipo de características son llamativas para las empresas pues les
permite reducir costos mejorar los procesos que manejan, gestionar todo desde internet entre otras
ventajas.
Por otro lado también se encuentran algunos desafíos regulatorios en temas como privacidad y
seguridad, pues es complicado entender que la oficina no tenga una ubicación física y tangible sino
una ubicación lógica que pueda estar fuera de la jurisdicción del propio usuario. [Noticintel, 2010].
2. Marco Conceptual
2.1 Fundamentos Cloud Computing
A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los
desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y asegura-
miento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite
que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confu-
so para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofre-
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 13
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
cer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actuali-
dad.
2.1.1 ¿Qué es Cloud Computing?
Uno de los temas más confusos que rodean a Cloud Computing ―Computación en la nube‖, y sus
servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar
con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología
(NIST) y La Alianza de Seguridad De Cloud Computing [Mell, P. & Grance, T, 2009], quienes
definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool
compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se
describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápi-
damente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del
proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es
compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que
usan ahora tienen la opción de pagar por servicios de TI en una base de consumo.
La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en
los últimos años como las novedades más influyentes de las empresas:
SaaS o Software como un Servicio: Un modelo de distribución de software a través de la
red.
Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesa-
miento y almacenamiento como un servicio medible.
Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos
(Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no
que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sis-
temas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el
que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada.
Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los
suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello
puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara
al usuario, permite trabajos que son implementados y escalados de forma rápida a través de la ce-
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 14
sión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la
asignación de tareas cuando sea necesario, entre otro tipo de funciones.
2.1.2 Características Esenciales
En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios
pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias
de computación, estas son:
Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es
decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita
medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capa-
cidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que
estar interactuando con su proveedor de servicios.
La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de inter-
net por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación
entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da
una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente.
Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las
plataformas conectándose a internet
Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando
recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma
máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en
común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del
hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independien-
temente de la disposición física de estas. Algunos de los recursos computacionales en las reservas
son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc.
Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibili-
dad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usual-
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 15
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
mente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden
adquirirse en el momento y cantidad que se necesite.
Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del
cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso
de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente.
Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir
frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplica-
ciones, toda la información es almacenada de forma redundante en backups que se utilizarían en
algún caso de fallo.
2.1.3 Modelos de Servicio en la Nube
Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra
tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma
individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente
se conoce también como el ―Modelo SPI‖, donde cada sigla de la palabra hace referencia a las capas
de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio).
A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara
[Gutiérrez J, 2010]:
Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009]
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 16
Software as a Service (SaaS)
Es un modelo de distribución de software en el que la empresa proveedora aporta el servi-
cio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es
decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en
una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura
de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede
hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navega-
dor web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicacio-
nes y comparten recursos, por lo cual es evidente que dichos programas deben tener las
condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número
de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcio-
namiento de esta capa:
Ilustración 3 Funcionamiento de SaaS [Parallels, 2011]
Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o apli-
caciones que son suministradas por una empresa externa, que a su vez compra los programas nece-
sarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible
con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Com-
puting hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos apli-
caciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de
software a través de la red.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 17
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J,
2010]:
Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o aplica-
ción en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplica-
ción e implementa su propia instancia, en el mismo servidor en la que lo aloja.
Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación, cuen-
tan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el
mantenimiento del software.
Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para
todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplica-
ción se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación
e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instan-
cia con la cual trabajar, así como reducción de costos y espacio para disponer de almace-
namiento suficiente para todas las instancias, como sucedía en los casos anteriores.
Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la
aplicación que se utiliza según las necesidades, dando atención al número de clientes que
estén usando el software, de esta forma el sistema se hace escalable a un número indetermi-
nado de clientes evitando tener que rediseñarlo.
Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010]
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 18
Platform as a Service (PaaS).
El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este
podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener
que contar con el software y equipos necesarios para realizar dicho desarrollo.
PaaS incluye todas las facilidades al programador para diseñar, analizar, desarrollar, docu-
mentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el ser-
vicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups
y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos.
[Gutiérrez A, 2009]
Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración
Ilustración 5 ¿Que es PaaS? [Keene, 2009]
Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene,
2009]:
Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo.
Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa provee-
dora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los
usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 19
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el
sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando
la escalabilidad del sistema.
El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa.
El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual propor-
ciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo.
El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcio-
nadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el
sistema.
Tal cual como en los demás modelos ―como un Servicio‖, las ventajas se basan en no tener que
hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo
de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabili-
dad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando
por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad.
Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de inter-
net, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo
por parte de los clientes de no tener acceso a su propia información o de que personas ajenas
tengan acceso a esta de alguna u otra forma.
Infrastructure as a Service (IaaS).
El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a
través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y
equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el
funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos
de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la canti-
dad de espacio que esté usando, el número de servidores que estén a su disposición, etc.
Dentro de las principales características del modelo IaaS, encontramos:
Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cua-
les serán las condiciones del contrato para ambos.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 20
Pago según el uso de capacidades computacionales ofrecidas por el proveedor.
El ambiente proporcionado por el proveedor será en forma de maquinas virtuales.
El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las ne-
cesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones
El proveedor se encargará de ofrecer todo el software requerido para mantener las nece-
sidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas opera-
tivos, etc.
El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet
sin problemas, con backups de seguridad que garanticen la integridad de los datos.
Data Storage as a Service (DaaS).
El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión
y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión
con IaaS, [SNIA, 2009]
Communications as a Service (CaaS).
La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el
mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento ne-
cesario de redes y la gestión de las comunicaciones, como el balanceo de carga.
Software Kernel.
Esta capa gestiona la parte física del sistema. Controla los servidores a través de los siste-
mas operativos instalados, el software que permite la virtualización de las máquinas, la ges-
tión de los clusters y del grid, etc. [Wolf, 2009]
Hardware as a Service (HaaS).
HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física
de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros
con maquinas que ofrecen la computación, almacenamiento, servidores, etc. [Wolf, 2009]
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 21
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
2.1.4 Modelos de Despliegue de Cloud Computing
Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de desplie-
gue de Cloud Computing [Mell, P. & Grance, T, 2009]:
Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para
los clientes por medio del proveedor a través de internet. El ser pública no implica total-
mente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco
implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones
para hacer uso de los servicios suministrados, además proporciona un medio flexible y ren-
table para el desarrollo de soluciones para los clientes.
Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La dife-
rencia entre ambas se encuentra es que en la privada los datos y procesamientos están ad-
ministrados dentro de la organización sin las restricciones del ancho de banda, seguridad y
requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la
posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la segu-
ridad y la recuperación.
Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organi-
zaciones que comparten los mismos intereses, como una misión común o necesidades de
seguridad similares.
Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la
privada.
Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009]
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 22
2.1.5 Modelo de Referencia de Cloud Computing
Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la rela-
ción y las dependencias entre los modelos de la nube. Aunque en la sección 3.1.3 (Modelos de Ser-
vicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre
se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observó es la base de
todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por
se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo
este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan
diversas cuestiones y riesgos que se relacionan con la seguridad de la información.
La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plata-
formas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad
de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última
instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes
formas en las cuales el cliente interactúa con el servicio.
Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009]
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 23
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integra-
ción con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y
puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a
la plataforma.
Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operati-
vo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido
un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y diná-
mico por parte de los clientes.
A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos
elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren.
Dentro de esta lista de elementos encontramos [Alliance, 2009]:
SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor ex-
tensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del pro-
veedor.
Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja
integración ya que está desarrollada para que los desarrolladores elaboren sus propias apli-
caciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, com-
pensando así entre capacidades de plataforma con funciones de seguridad.
Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibi-
lidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad
menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias
aplicaciones, sistemas operativos, etc.
2.1.6 Ventajas de Cloud Computing
Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta
con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encon-
trado en el modelo desde su origen hasta el día de hoy [Falla, 2008]:
El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es
necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 24
casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento,
pues estos se encuentran en internet.
Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de
servidores usados, aplicaciones ejecutadas, tasa de subida o descarga.
Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número
de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales,
con un gasto lógico de software, hardware o personal.
Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten
todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno
según la actividad que tenga en cada momento, evitando la escasez de recursos incluso
cuando se están haciendo tareas de actualización o mantenimiento.
El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de in-
formación por fallos del sistema.
La premisa de Cloud Computing es que por la subcontratación de partes de la información ges-
tionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos,
incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad
operacional de manera más inteligente, más rápida y más barata.
2.1.7 ¿Cómo Cloud logra aportar estas ventajas?
Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características:
Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por
medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar
toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea
requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las ma-
quinas necesitan realizar para realizar dicha actividad.
Rápida movilización de los recursos: los recursos computacionales (servidores, redes,
software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible in-
cremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 25
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posi-
ble ya que todo uso de los recursos de Cloud Computing es totalmente medible.
Capacidad de ―escalado elástico‖ atiende y gestiona la demanda fluctuante que se genere en
las empresas, de tal manera que los sistemas siempre estarán aptos para la cantidad de usua-
rios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones
o espacios de almacenamiento.
Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único
grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar vir-
tualmente los recursos computacionales por los cuales está pagando el servicio en el mo-
mento que este lo requiera.
Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un
catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de
servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes
y las formas debida de uso del servicio al cual esta accediendo.
Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de
Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente ten-
ga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del
tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus ne-
cesidades.
2.2 Impactos De Cloud Computing
Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas
de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera
opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está
revolucionando el mundo de los servicios por la transformación de la informática en una herramien-
ta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibi-
lidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de informa-
ción. La frecuente influencia e innovación de Internet ha permitido que la computación en la nube
utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas
tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de
que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 26
innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el
cliente.
Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura,
Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye
la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo
que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010].
Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un
modelo bajo demanda.
Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmen-
te atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT
haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también
se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como
estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta depen-
dencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto
que reconocen que los cambios son necesarios para ampliar los enfoques de gobernanza y estructu-
ras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio.
Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta
rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad
de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto poten-
cial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el
dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha
tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya
no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una
mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud
Computing y el entorno de control
Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una
empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 27
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing,
así como los servicios que puede ofrecer al mayor beneficio.
2.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing
Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuen-
tra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuen-
tra protegida es de vital importancia tener previstas acciones contundentes para la gestión de ries-
gos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los ad-
ministradores de la de seguridad de la información puede que necesiten ajustar las políticas de em-
presa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de nego-
cios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas
partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo
utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer
frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las
políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de
los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son:
Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y
sostenibilidad deben ser factores para considerar en el momento de la elección. La sosteni-
bilidad es de una importancia particular para asegurar que el servicio estará disponible y la
información puede ser vigilada.
El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la
información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados
de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibili-
dad, afectando gravemente las operaciones del negocio.
La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se en-
cuentra realmente la información. Cuando la recuperación de la información se requiere, es-
to puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se en-
cuentra almacenada.
El acceso de terceros a información sensible crea un riesgo que compromete la información
confidencial. En Cloud Computing, esto puede provocar una amenaza significante para
asegurar la protección de la propiedad intelectual y secretos comerciales.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 28
La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles
de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos.
La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros
clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el
cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográ-
ficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente le-
gal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurí-
dico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la
nube es responsable y responsable de las ramificaciones derivadas de posibles problemas.
Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inme-
diatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación
de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing
debe comprender el rol que juega en términos de backups, respuesta y recuperación de inci-
dentes. Los objetivos de tiempo de recuperación deben estar en el contrato.
2.3.1 Estrategias para el manejo de riesgos en Cloud Computing
Estos riesgos, tan bien como otros que una empresa puede llegar a identificar, deben ser gestio-
nados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemen-
te flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entor-
no donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el
acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando
uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un in-
ventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y
clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo
de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y
los controles adicionales de información sensible o de alto valor para la organización.
A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Com-
puting, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegu-
rar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta
con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la ex-
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 29
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
pectativa de un control externo, un tercero. Las expectativas respecto a la manipulación, uso,
almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos,
2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desas-
tres, deberá estar informado dentro del contrato.
La protección de la información evoluciona como resultado de un fuerte e integro SLA que es
apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y deta-
llado SLA que incluya derechos específicos de seguridad ayudará a la empresa en el manejo de
su información una vez que sale a la organización y es transportada, almacenada o procesada en
Cloud Computing.
2.3.2 Gobernabilidad y Cuestiones de Cambio con Cloud Computing
La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se con-
sidera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios
que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para ga-
rantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de
negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está
alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío
en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas
de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, de-
finición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones es-
peciales cuando se trata de la tecnología de Cloud y sus proveedores.
Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten es-
tar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales
como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas
posibles de cambio. Además, los procesos que detallan la forma en que se almacena la informa-
ción, archivado y copia de seguridad tendrán que ser examinados de nuevo.
Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las
situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 30
pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube.
Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuen-
ta los usos de servicios en Cloud Computing.
2.4 COSO - Committee of Sponsoring Organizations
Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commis-
sion, divulgo al mundo un informe de gran importancia para la historia del control interno. El Con-
trol Interno — Marco Integrado, conocido también como COSO ofrece una base clara y fundamen-
tal que establece los sistemas de control interno y determinar su eficacia.
Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública
Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al Sistema de
Control Interno que fueron determinadas en la Ley 24.156 de Administración Financiera y Sistemas
de Control.
En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida
para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN
dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que
evalúe la calidad de los controles.
COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de
la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control
interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la orga-
nización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se in-
corporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de
control interno COSO, los objetivos primarios de un sistema de control interno son:
1. Asegurar la eficiencia y eficacia de las operaciones
2. Realizar informes financieros fiables
3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno.
Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales
dentro de un sistema de control interno eficaz.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 31
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
El Entorno de Control
Evaluación del Riesgo
Actividades de Control
Información Y Comunicación
Supervisión
Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias,
2008]
Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado,
examinar los componentes del sistema de control en la organización e informar los resultados a la
dirección o la gerencia.
Definición de objetivos.
Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe
tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría
al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El audi-
tor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de prime-
ro. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 32
en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque
genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de en-
foque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro pro-
yecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea
claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles
que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo
de auditoría que sea más apropiado.
Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la
eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxi-
to de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el re-
sultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones
determina si se puede asegurar a la organización la no existencia de ineficiencias significa-
tivas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmen-
te brinda información útil que se comunica a la gerencia y a los auditores como hallazgos
incidentales en la evaluación del control.
Información financiera. El objetivo de información financiera, está dirigido a la adecuación
y eficacia de controles de gestión que rigen la confiabilidad de la información financiera
que se utiliza en la comunicación con externos.
Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles ad-
ministrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e in-
ternos. El cumplimiento trata principalmente con la correlación entre las leyes, procedi-
mientos de la organización y, la práctica real.
2.4.1 COSO II – Gestión de Riesgos Corporativos (ERM)
El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revi-
sado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco inte-
grado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 33
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso
de ser adoptada por las grandes empresas.
En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base funda-
mental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la ausencia
de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante
el intento por aumentar el valor de sus clientes o interesados.
La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o
disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia
trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad
de aumentar valor.
Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre
los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el
valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos
por la entidad.
La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]:
Alinear el riesgo aceptado y la estrategia
o Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, de-
terminando los objetivos requeridos y empleando mecanismos para administrar al-
gunos riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
o La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar
los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar,
reducir, compartir o aceptar.
Reducir las sorpresas y pérdidas operativas
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 34
o Las organizaciones aumentan la capacidad de identificar los acontecimientos po-
tenciales con el propósito de establecer respuestas acordes a su nivel de compleji-
dad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asocia-
dos.
Identificar y gestionar la diversidad de riesgos para toda la entidad
o Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra
forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser
eficaces e integradas a los impactos que se puedan dar en estos riesgos.
Aprovechar las oportunidades
o Considerando eventos potenciales, la gerencia identifica y aprovecha las oportuni-
dades proactivamente, para poder sacarle valor a sus actividades.
Mejorar la dotación de capital
o Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficaz-
mente las necesidades de dinero lo cual le facilita la administración del mismo.
Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la
entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz,
el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus conse-
cuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a lle-
gar al destino deseado, evitando baches y sorpresas por el camino.
De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los ries-
gos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el
siguiente conjunto de características básicas de gestión de riesgos dentro de una organización:
Normalmente se comporta como un proceso continuo que fluye por toda la organización.
Todo el personal de la organización está en la capacidad de aplicarlo.
Se aplica en el establecimiento de la estrategia de control y gestión de riesgos.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 35
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a
nivel conjunto.
Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los
riesgos que se encuentran aceptados.
Ofrece seguridad al consejo de administración y a la dirección de la organización.
Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque suscep-
tibles de solaparse.
La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte
de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las
organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos
establecidos por una entidad determinada y proporciona una base para definir la eficacia de la ges-
tión de riesgos corporativos [Nasaudit, 2009].
Comparación del Control Interno de COSO y del Marco Integrado ERM
Marco de Control Interno Marco integrado ERM
Control del Entorno: El ambiente de con-
trol establece el tono de una organización,
influenciando de esta forma la conciencia de
control de su gente. Esta es la fundación para
todos los otros componentes de control inter-
no, proporcionando disciplina y estructura.
Los factores del ambiente de control incluyen
la integridad, valores éticos, estilo de gestión
de funcionamiento, delegación de los siste-
mas de autoridad, así como los procesos de
gestión y desarrollo de personas dentro de la
organización.
Entorno interno: El entorno interno abarca
el tono de la organización, y establece las
bases de cómo el riesgo es observado y di-
reccionado a las personas de la entidad, in-
cluyendo la filosofía en gestión de riesgos y
apetito de riesgo, integridad y valores éticos,
y el entorno en el cual todos operan.
Marco del objetivo: Los objetivos deben
existir antes de que la administración pueda
identificar eventos potenciales que lo afecten.
La gestión de riesgos empresariales asegura
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 36
que la administración ha puesto en ejecución
un proceso para establecer objetivos y que
los objetivos seleccionados apoyan, se ali-
nean con la misión de la entidad y que sean
consistentes con el apetito de riesgo.
Identificación de Eventos: Los eventos
externos e internos que afectan el logro de los
objetivos de la entidad deben ser identifica-
dos, distinguiendo entre riesgos y oportuni-
dades. Las oportunidades son canalizadas de
vuelta a la estrategia de gestión o los proce-
sos en los que se fijan los objetivos.
Evaluación de Riesgos: cada entidad mues-
tra una variedad y riesgos de fuentes que
deben ser evaluados. Una precondición para
la evaluación de riesgos es el establecimiento
de objetivos, y por tanto la evaluación de
riesgos es la identificación y análisis de ries-
gos pertinentes para la consecución de los
objetivos planeados. La evaluación de ries-
gos es un prerrequisito para la determinación
de cómo se deben gestionar los riesgos.
Evaluación de Riesgos: Los riesgos son
analizados, considerando la probabilidad y el
impacto, como bases para la determinación
de cómo se pueden gestionar. Las áreas de
riesgo se evaluaran de forma inherente y
formal.
Actividades de Control: Las actividades de
control son las políticas y procedimientos a
ayudan a asegurar que la gestión de las direc-
tivas se llevan a cabo. Ayudan a garantizar
que se toman las medidas necesarias para
hacer frente a los riesgos para la consecución
de los objetivos de la organización. Las acti-
Actividades de Control: Políticas y proce-
dimientos son establecidos e implementados
para ayudar a garantizar que las respuestas al
riesgo se lleven a cabo de forma efectiva.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 37
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
vidades de control acurren a lo largo de la
organización, en todos los niveles y todas las
funciones. Se incluyen una serie de diversas
actividades, aprobaciones, autorizaciones,
verificaciones, reconciliaciones, revisiones
del desempeño operativo, seguridad de acti-
vos y segregación de funciones.
Información y Comunicación: Los sistemas
de información juegan un papel clave en
sistemas de control interno que producen los
informes, incluyendo operaciones, Informa-
ción financiera y de cumplimiento que hace
esto posible para ejecutar y controlar el ne-
gocio. En un sentido más amplio, la comuni-
cación efectiva debe asegurar que la infor-
mación fluye hacia abajo, a través y hacia
arriba en la organización. La comunicación
efectiva debe estar también asegurada con las
partes externas, cada cliente, distribuidores,
reguladores y accionistas.
Información y Comunicación: La informa-
ción relevante es identificada, capturada y
comunicada en una forma y marco de tiempo
que la gente dispone para llevar a cabo sus
responsabilidades. La comunicación efectiva
también ocurre en un sentido más amplio por
toda fluyendo de abajo hacia arriba por toda
la entidad.
Monitoreo: Los sistemas de control interno
requieren ser monitoreados, Un proceso que
evalúa la calidad del desempeño del sistema
sobre el tiempo, lo cual se logra con activi-
dades de monitoreo o de evaluaciones sepa-
radas. Las deficiencias del control interno
detectadas a través de estas actividades de
monitoreo deberían ser reportadas en contra
de la corriente y las acciones correctivas para
asegurar la mejora continua del sistema
Monitoreo: La totalidad de la gestión de
riesgos es monitoreada y se realizan modifi-
caciones en caso de ser necesarias. El moni-
toreo es realizado a través de las actividades
de gestión en ejecución, las evaluaciones
independientes o ambas cosas.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 38
Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM
2.5 COBIT - Control Objectives for Information and related Technology
En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de
seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es
importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los
que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información.
Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe com-
prender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas.
[Domenech & Lenis, 2007]
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus
siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración
determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos
técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y pre-
senta actividades de manejo lógico y sencillo. Estas ―Buenas prácticas‖ de COBIT tienen el aporte
de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan meca-
nismos medibles que permiten juzgar el buen resultado de las actividades. La gerencia debe garanti-
zar que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando so-
porte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique
si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de re-
cursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los
criterios del negocio que deben ser alcanzados:
Eficiencia
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 39
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es res-
ponsabilidad de la gerencia.
La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, dise-
ño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia re-
querida.
El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser
utilizado por usuarios, profesionales de seguridad en TI y los propietarios de los procesos de nego-
cio como una guía clara y entendible.
Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado
con los procesos de negocio tal como ofrecer controles apropiados.
COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el
cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa:
“Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos,
los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una
forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pue-
den tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios:1
Planificación y Organización
Adquisición e Implementación
Entrega de servicios
Soporte y Monitorización.‖
1
[NetworkSec, 2008]
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 40
Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]
La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de
información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 41
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una
actividad de TI.
Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar
que se está aplicando un sistema de control apropiado para el entorno de tecnología de información
que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de
gobierno de TI más adecuada para administrar y mejorar el entendimiento de los riesgos, el control
y monitoreo, optimización de recursos en cada proceso y los beneficios que están relacionados con
información y la tecnología.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 42
IV – DESARROLLO DEL TRABAJO
La modalidad de investigación de este trabajo ha permitido obtener una experiencia bastante enri-
quecedora en la cual se han aprendido diversos temas de interés en el medio de la tecnología y
además el poder compartir con algunos organismos su posición frente a estos temas en la actuali-
dad. A continuación se presentará el desarrollo que se llevó a cabo en la realización de este trabajo,
exponiendo los entregables que hacen parte del trabajo de grado con el propósito de dejar por escri-
to y con gran claridad el proceso en la elaboración de dicho trabajo.
1. Caracterización de las empresas
La elaboración de este entregable de trabajo de grado, inicio con dos etapas diferentes de levanta-
miento de información. La primera, considerada como esencial para el desarrollo del trabajo ya que
incluía la visita a una empresa Pyme en la cual se obtendría información de primera mano para
complementar la información del marco teórico y además poder establecer la gestión que le estaban
dando a su servicio de Cloud Computing. La segunda forma era por medio de investigación en
fuentes bibliográficas de documentos, libros o artículos que aportaran a la elaboración de dicho
documento.
El levantamiento de información que se realizó a través de la visita fue interesante pero no causo
los resultados que se esperaban para el desarrollo de este entregable, ya que no se contó con toda la
información que aportara un valor agregado al documento. La visita se llevó a cabo en una empresa
de outsourcing de tecnología, en la cual se conoció información básica como la misión, visión, obje-
tivos de trabajo, e información muy reducida sobre la gestión del servicio de Cloud Computing que
tienen en el momento, debido a las normas de confidencialidad con las que cuenta la empresa y a
las cuales solo pueden acceder personal de la empresa. En base a esto se concluyó que la actividad
fue débil e improductiva, ya que mediante la visita no se logró esclarecer debilidades del modelo
que permitieran determinar de forma más sencilla los requerimientos de control y aseguramiento
que este tipo de empresas puede necesitar con el servicio de Cloud Computing.
Para la segunda etapa, el tema de búsqueda fue bastante claro lo cual permitió tener una clara orga-
nización de los temas que se tocarían dentro del documento. Por sugerencia de varias personas se
inicio la búsqueda con los proveedores del servicio, teniendo como premisa de búsqueda que los
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 43
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
grandes proveedores de Cloud Computing cuentan con la información bien documentada acerca de
sus servicios en sus portales, lo cual podría facilitar encontrar las fuentes de investigación.
CLOUD COMPUTING
SAAS – SOFTWARE AS A SERVICE
Salesforce
Google Apps
Windows Live
PLATFORM AS A SERVICE
Google App Engine
Microsoft Azure
Force.com
INFRASTRUCTURE AS A SERVICE
Amazon Web Service
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 44
GoGrid
Flexiscale
CLOUD STORAGE
Amazon Simple Storage Service (Amazon S3)
Nirvanix
Amazon SimpleDB
GESTORES DE CLOUD COMPUTING
OpenNebula
AbiCloud
Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Com-
puting, 2011]
Seguido de esto, se buscó información acerca de las empresas Pyme con caso de éxito en el país y
las necesidades que las llevan a tomar este servicio de Cloud Computing. Para iniciar, se realizó una
búsqueda de empresas colombianas con casos de éxito en la implementación de los servicios de
Cloud Computing en su negocio [Avanxo, 2011], sin embargo con esta información y con los servi-
cios que ofrecen los proveedores se pudo reforzar el desarrollo del documento. Además, se encontró
un documento adiciona [MesaSectorial, 2010], que permitió formalizar mucho mas la información
de los clientes de Cloud Computing.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 45
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Adicionalmente, surgió una idea para darle mayor utilidad a la información que se tenía sobre los
proveedores y fue la de elaborar un cuadro comparativo, en el que se expusieran las características
de sus servicios, con el propósito de brindarle al lector y a las empresas una base para tomar deci-
siones en la selección del proveedor de Cloud Computing que cumpla las expectativas de su nego-
cio.
De esta forma se concluyó el primer entregable del trabajo de grado, el cual se constituye como
parte fundamental en el desarrollo de la guía y del trabajo en general pues aporta un valor agregado
que no se tenía previsto en la presentación de la propuesta.
2. Desarrollo de la Guía Metodológica
El desarrollo de la guía metodológica inició con la recopilación de los temas que se habían determi-
nado durante el marco teórico y el documento de caracterización de las empresas, pues fueron la
base para el desarrollo que se le daría a la guía. Al completar estas dos fases iniciales de la metodo-
logía de trabajo, se dio apertura a la tercera fase que era el establecimiento de los requerimientos de
control y aseguramiento.
Como no había una claridad de los requerimientos, se tomó como apoyo el documento de la CSA
[Alliance, 2009] para elaborar una encuesta que permitiera determinar los requerimientos de control
y aseguramiento. La encuesta fue realizada a personal de TI en empresas Pyme de Bogotá, por lo
cual fue más fácil identificar diferentes factores y elementos que giran en torno a los requerimien-
tos de control y aseguramiento en Cloud Computing como se puede ver a continuación: ―Anexo 3.
Encuestas‖
Escenario de Cloud Computing
Escenario de Control y Aseguramiento
Interacción entre escenarios
Actor Proveedor
Actor Cliente
Interacción dentro actores en el Control y Aseguramiento de Cloud Computing
Encuesta
Resultados
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 46
Después de determinar los requerimientos, por sugerencia del director de trabajo de grado y de otras
personas se realizó una primera validación muy general sobre el proceso y los resultados obtenidos
para tener un control de calidad al contenido. De acuerdo al primer control, se corrigieron varios
detalles que estaban afectando la claridad de los requerimientos establecidos, los cuales después de
una segunda revisión ya no se encontraban.
De acuerdo con los requerimientos determinados para el desarrollo de la guía, se elaboró un dia-
grama que describe el nivel de profundidad que se quiso llegar con cada requerimiento. Es por eso,
que a continuación se puede observar el diagrama como unidad, involucrando todos los temas que
se tocaron, y además se puede ver que también se encuentra dividido en tres grandes secciones en
las que se separaron todos los requerimientos.
MAPA
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 47
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 48
Después de haber dejado claro el nivel de detalle en el que se desarrollaría la guía, se elaboró el
formato en el cual se establecería la completa descripción y documentación de cada uno de los re-
querimientos.
Paso Guía Control y
Aseguramiento
Objetivo
de Con-
trol
COBIT
Am
bie
nte
de
Con
tro
l
Ev
aluac
ión
de
Rie
sgo
Act
ivid
ades
de
Contr
ol
Act
ivid
ades
y
Co
mu
nic
a-
ció
n
Monit
ore
o
Referencias
Cruzadas
Comentarios
Tabla 4 - Formato de documentación de la Guía
Finalmente, se adicionó una sección con la cual se puede medir la madurez de la empresa en aspec-
tos de control y aseguramiento. Dentro de este formato se describen detalladamente los procesos u
objetivos de control de COBIT, a partir de los cuales se puede realizar la evaluación.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 49
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Objetivos de Control de COBIT
Madurez
Evaluado
Objetivo
Madurez Comentarios
Tabla 5 - Formato de Control de Madurez
Al terminar el documento de la guía metodológica, se realizó una revisión de calidad y control ini-
cial con el propósito de entregar a los evaluadores un producto en condiciones óptimas. Estas per-
sonas realizaron su respectiva evaluación en donde se dieron unos comentarios de mejoras a la guía
para incluirlas en la versión final del documento. Para información ―Anexo 4. Validaciones‖
3. Mecanismos de Validación
En conformidad con la fase de definición de mecanismos de validación y aprobación para la guía,
se decidió realizar un breve análisis de las opciones con las que se el mecanismo más adecuada, que
se ajuste al tiempo que se cuenta para su realización.
Para hacer efectivo este análisis se revisará cada uno de los conjuntos de evaluación, de tal forma
que al finalizar este apartado acerca de los mecanismos de validación se tenga claro cual se va a
utilizar en la aprobación de la guía.
Mecanismos
Después de una revisión en varios escritos y trabajos, el ambiente en el que se desenvuelve el pro-
yecto, es decir, los escenarios [Hidalgo/Guía Metodológica de Control y Aseguramiento en Cloud
Computing para Pymes, 2011] en los que gira el trabajo y la modalidad de desarrollo del mismo, se
definieron tres posibles mecanismos de validación y aprobación para la guía metodológica. La pri-
mera se identifica por medio de la obtención de servicios en la nube de forma personal por parte del
autor y de esta forma poder analizar de forma personalizada el desarrollo final del producto, la se-
gunda es la opinión de expertos o conocedores del tema, y finalmente aplicar la guía metodológica a
un caso de estudio real es decir a una empresa (PYME) que actualmente cuente con los servicios de
Cloud Computing.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 50
1. Obtener los servicios de Cloud Computing directamente para evaluar la guía.
El desarrollo de esta posibilidad como se puede analizar en el titulo del mecanismo, resulta ser
interesante ya que pone de frente con la experiencia al autor de la guía metodológica, con el
propósito de evaluar su propio producto. A continuación se expondrán las ventajas y desventa-
jas de este mecanismo.
Ventajas
Genera más rigurosidad para que se evalúe de forma detallada la guía elaborada.
El autor puede tener una gran experiencia personal, no solo de tomar los servicios
de Cloud Computing sino de poder evaluar su propio producto
Amplia la visión del autor ante la investigación realizada en el levantamiento de
información para el marco teórico.
Se daría gran validez al apartado de caracterización de empresas, para la toma de
decisión sobre el proveedor que más convenga según las necesidades del cliente.
Desventajas
Se puede tornar extenso, pues es necesario contar con buena experiencia y cono-
cimiento del servicio de Cloud Computing que se haya tomado.
Teniendo en cuenta la extensión puede afectar el alcance del trabajo que está defi-
nido para un semestre académico.
El autor no cuenta con un negocio real o las necesidades de una pyme al momento
de tomar los servicios de Cloud Computing, por lo cual varios de los puntos de la
guía se verían afectado dentro de la evaluación.
El autor podría contar con el acompañamiento de una pyme para la toma del servi-
cio, pero esto implicaría la búsqueda de una pequeña o mediana empresa que aun
no cuente con el servicio, identificarla, analizar su negocio, sus necesidades y to-
marlas como propias para darle una mayor validez a los resultados.
Se podría contar con el acompañamiento de un conocedor en el tema (profe-
sionalmente activo), pero es complicado si el autor y el acompañante no cuenta
con el mismo tiempo disponible.
Genera un costo adicional al trabajo, que no ha sido tenido en cuenta en el de-
sarrollo de la propuesta
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 51
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
2. Opinión de expertos
El desarrollo de este mecanismo de validación se realiza encontrando personas con el conoci-
miento y la experiencia necesaria sobre los temas desarrollados a lo largo de la guía como lo
fue en este caso, el cual brinde un punto de vista objetivo sobre el proceso que se llevo a cabo
y que evalúe teniendo en cuenta tanto el objetivo del trabajo como el valor que se desea gene-
rar por medio de este.
Ventajas
No genera ningún costo adicional al establecido dentro de la propuesta del tra-
bajo.
Puede generar varios puntos de vista favorables a partir de la cantidad de per-
sonas que hayan valorado la guía.
Se puede contar con el apoyo de la persona durante todo el proceso de elabo-
ración de la guía, lo cual puede aportar refinamiento al producto final.
La opinión está dirigida tanto al objetivo del trabajo como al valor agregado
que pueda generar en la actualidad el producto final.
No toma tanto tiempo, pues se cuenta con el conocimiento y la experiencia
necesaria para dar una opinión clara y concreta del trabajo.
Se ajusta al tiempo y alcance del trabajo.
Desventajas
Que la o las personas no cuenten con el tiempo disponible.
Que la persona determine que sea necesario obtener los servicios de Cloud
Computing de manera que se valide más detalladamente.
No encontrar a las personas a tiempo.
Aprobación teórica.
3. Aplicación a un caso de estudio real
EL desarrollo de este mecanismo es sencillo, pues se debe contar con una empresa (PYME),
que permita aplicar la guía metodológica, con el propósito de aprobarla de forma directa a un
servicio de Cloud Computing que esté utilizando la empresa.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 52
Ventajas
No genera un costo adicional a lo establecido dentro de la propuesta del traba-
jo.
El tiempo de aplicación no se debe extender a más de una semana.
Se toman en cuenta necesidades reales de una empresa (Pyme), para la co-
rrecta validación de la guía.
Se observa el valor agregado que brinda la guía a la empresa, después de
haberla aplicado dentro de la organización.
Da fortalecimiento a la validación y aprobación de la guía, pues en caso de ser
exitosa la experiencia, se demuestra que es un producto apto para ser utilizado
en las empresas (pyme).
Desventajas
No contar con el permiso de una empresa para aplicar la guía en su negocio.
Se debería contar con aprobación previa de una persona externa al desarrollo
de la guía, para aplicarla finalmente a una empresa en particular.
Disponibilidad de personal apto dentro de la empresa para hacer seguimiento y
desarrollo a la guía.
Decisión Final
Como se puede observar, hay varios mecanismos por los cuales se puede validar y aprobar el traba-
jo realizado, y aunque solo se hayan identificado tres se ha analizado los puntos a favor y en contra
de cada uno para poder tomar una decisión justa acerca del mecanismo que se decida utilizar.
Después de haber analizado cada mecanismo se ha tomado la decisión por realizar la aprobación
por medio de la opinión de un experto o conocedor del tema, ya que brinda ventajas suficientes para
la validación y aprobación de la guía sin afectar el alcance o los objetivos planteados en la propues-
ta. No obstante, se tendrá en cuenta la posibilidad de aplicar el tercer mecanismo de validación, lo
cual dependerá del tiempo con el que se cuente después de la respectiva validación por parte de una
persona experta o conocedora de los temas planteados en el desarrollo de la guía.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 53
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
4. Validación y Aprobación de la Guía Metodológica
De acuerdo al mecanismo establecido para la validación y aprobación de los guía, se determinó
darle aprobación tanto a los requerimientos como a la guía, pues era de gran importancia establecer
control y calidad del producto desde el inicio hasta el final del proceso. Para validar estos elemen-
tos del trabajo se contactaron las personas expertas, que cuentan con una visión más amplia de
Cloud Computing y de gobierno de TI, pues son áreas en las que han obtenido una amplia experien-
cia y conocimiento.
La ejecución de esta fase metodológica, incluyó una reunión con cada uno de los expertos, el direc-
tor del trabajo y el autor de la guía, en la que se realizó una presentación que contenía todo el desa-
rrollo del trabajo, desde su inicio hasta el momento de la reunión. Además, se les hizo entrega de
los documentos de caracterización de empresas, la guía metodológica y un formato para registrar
sus comentarios y aprobación de los documentos, que fue elaborado en colaboración de una persona
externa al trabajo con el fin de lograr mayor objetividad en la evaluación de los documentos.
―Anexo 3. Validaciones‖
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 54
V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS
Después de haber desarrollado este trabajo de grado de acuerdo a lo planeado en su totalidad, se
concluye que tanto el objetivo principal como los objetivos específicos fueron cumplidos satisfacto-
riamente, permitiendo dar de esta manera una respuesta a la pregunta formulada en la formulación
del problema.
Como se mencionó al inicio de este documento, el modelo de Cloud Computing ha estado madu-
rando bastante en estos últimos años, sin embargo en Colombia es una tecnología que aun está en
crecimiento con una clara expansión en las pequeñas y medianas empresas. Sin embargo, el tema de
control y aseguramiento dentro del modelo no es muy amplio lo cual llevó al desarrollo de este
trabajo.
Inicialmente se comenzó dando un conocimiento del entorno en el cual se desarrolló el trabajo, a
través del marco teórico y el documento de caracterización de empresas. En el marco teórico se dio
a conocer toda la información relevante de Cloud Computing y el marco de control que se utilizó en
la elaboración de la guía metodológica con el fin de dejar en claro al lector los conceptos que se
manejarían a lo largo del trabajo. Este levantamiento de información se vio complementado con el
documento de caracterización de empresas en el cual se profundizó en el conocimiento de los pro-
veedores y clientes de Cloud Computing, haciendo énfasis en las Pymes, empresas que son parte del
objetivo del trabajo.
De acuerdo con esto, el documento de caracterización de empresas brinda los siguientes beneficios:
Ofrecer a las empresas cliente un apoyo en la elección del proveedor que más se ajuste a sus
necesidades. Gracias al análisis comparativo, las empresas cliente de Cloud Computing
podrán tomar la opción que más les convenga a los intereses de su negocio, pues hoy en día
es importante conocer todo tipo de características que ofrecen dentro de los servicios de
Cloud Computing y mucho más para una empresa Colombiana teniendo en cuenta que no
todas tienen un conocimiento total del tema.
Por otro lado, también permite conocer cuál es la situación a nivel nacional de las empresas
sobre el uso y manejo de Cloud Computing, en donde se observa que las Pymes son las que
más se han visto beneficiadas con el surgimiento de esta nueva tecnología
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 55
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Permite establecer de manera clara, cuales son las principales necesidades de las empresas,
las cuales se pueden deducir a partir de los servicios que ofrecen las empresas proveedoras
o de forma explícita realizando una búsqueda de las necesidades de las Pymes.
Ilustración 10 - Razones de las empresas para utilizar Cloud Computing
Con el propósito de cumplir con la secuencia sugerida en la metodología, al terminar el documento
de caracterización de las empresas se dio inicio con el establecimiento de los requerimientos para la
elaboración de la guía metodológica, pues en ese momento fue claro que la elaboración de la guía
debía estar sujeta a unas buenas bases de conocimiento y ante todo a la necesidad de control y ase-
guramiento.
43%
42%
39%
38%
35%
34%
33%
32%
30%
30%
30%
29%
24%
20%
18%
2%
0% 20% 40% 60%
Proporcionar una plataforma TI para procesos …
Backup de datos
Ejecutar aplicaciones de CRM, ERP o SCM
Facilitar Herramientas de productividad …
Software de testing y desarrollo
Almacenar y archivar grandes ficheros como …
Analizar datos de clientes u operaciones
Ejecutar sitios web de eBusiness o …
Analizar datos de I+D
Soportar proyectos como estudios, prototipos …
Soportar picos en la demanda del sitio web o …
Procesar y almacenar aplicaciones
Ejecutar aplicaciones de grandes cantidades …
Compartir información con la administración …
Ninguna de las anteriores
Proposito para el cual utilizarán las empresas el Cloud Computing
Series1
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 56
Para el inicio de la fase de establecimiento de los requerimientos solo se contaba con la información
del marco teórico y el documento de caracterización de las empresas lo cual fue de gran apoyo. Sin
embargo, observando que esto no era suficiente, fue necesario hacer una encuesta para conocer las
necesidades de primera mano con personas que trabajan en empresas que actualmente cuentan con
el servicio de Cloud Computing. La encuesta, tuvo como base las fases mencionadas y el documen-
to de la CSA [Alliance, 2009] para poder orientar las preguntas estrictamente al campo de control y
aseguramiento que requerían los resultados.
Ilustración 11 - Resultados Encuesta
Con base en estos resultados, el documento de Alliance [Alliance, 2009] y la aprobación de una
persona ―Anexo 4 Validaciones‖, se establecieron los requerimientos formales para la elaboración
de la guía metodológica, en la cual se desarrollaría y documentaría cada requerimiento de forma
más detallada.
Ya en la elaboración de la guía metodológica, los requerimientos que se habían establecido se agru-
paron de la siguiente forma.
0%10%20%30%40%50%60%70%80%90%
100%
0%18,18%
45,45%54,54%
27,27%45,45%
63,63%
27,27%
63,63%36,36%
18,18% 9,09%
9,09%
9,09%
27,27%
18,18%
36,36%45,45%36,36%36,36%
63,63%45,45%
9,09%
54,54%
No Sabe
No
Si
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 57
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
TEMA SUBTEMAS
Gobierno en Cloud Computing 1. Gobierno y Gestión de Riesgos Empresa-
riales
2. Cuestiones legales y descubrimiento
electrónico
3. Cumplimiento de estándares y auditoria
4. Portabilidad e Interoperabilidad
Operación de Cloud Computing 5. Respuesta ante incidencias, notificación y
solución
6. Seguridad de las aplicaciones
7. Seguridad e Integridad de datos
8. Cifrado y gestión de claves.
9. Virtualización
Tabla 6 - Agrupación de Requerimientos
Como se puede observar, no se establecieron muchos requerimientos sin embargo cada uno de estos
se documentó de forma más detallada de acuerdo al criterio del director y el autor del trabajo, si-
guiendo el marco de control COBIT. No obstante, queda la inquietud de que temas pudieron quedar
por fuera de la elaboración de la guía, pero este será un análisis que deberán hacer las personas que
tengan contacto con el trabajo.
Luego de haber cumplido con los objetivos, con cada una de las fases propuestas para el desarrollo
del trabajo y finalizar la guía, se puede manifestar que la respuesta a la pregunta establecida en la
formulación del problema se ve resuelta no solo en el producto final que es la guía, sino también en
el proceso que se llevó a cabo para su elaboración, pues gracias a esto se pudo establecer un docu-
mento en el cual las empresas pueden confiar y apoyarse para llevar el control y aseguramiento a
los procesos que se llevan a cabo en el servicio de Cloud Computing.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 58
VI – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS
FUTUROS
1. Conclusiones
Como primer aspecto a resaltar está la gran acogida que ha tenido Cloud Computing a nivel
mundial, especialmente en Colombia donde aún está en un proceso de crecimiento. Además se
observar que las Pymes, han sido las empresas más beneficiadas al acoger dicho modelo por
ventajas de costo, manejo, etc.
En Cloud Computing, la información sigue siendo el activo más valioso para las empresas, es
por ello que sigue siendo necesario tener un claro control y aseguramiento de esta. Por esta
razón, las empresas deben tener bien definido un modelo de gobierno de TI que utilizan al inter-
ior de la organización con el propósito de realizar una gestión óptima, es decir, que hagan un
uso correcto de los recursos con los que cuentan y obteniendo un amplio conocimiento de los
marcos regulatorios que los controlan, para obtener mayores ganancias.
Otro aspecto a resaltar es la información clara y objetiva que se trató de generar a través de la
caracterización de las empresas, en la cual se hizo un análisis de las empresas proveedoras y de
las empresas cliente con énfasis en las Pymes pues aporta un valor agregado al trabajo, ya que
profundiza en las necesidades principales de las empresas y brinda a las empresas cliente un
apoyo para escoger el proveedor que más se ajuste a sus necesidades.
En cuanto al objetivo general del trabajo, se manifiesta que se cumplió de la forma esperada, lo
cual se logró en la medida que se siguió cada objetivo específico planteado, la metodología y en
general toda la propuesta realizada.
Finalmente se puede ver que no solo por medio del producto final, sino también en el proceso
que se llevó a cabo en la elaboración del trabajo, queda la evidencia que se dio un gran aporte
tanto a la problemática en general como a las problemáticas que están enmarcadas en la visión
de la Pontificia Universidad Javeriana, mencionadas en la justificación de este documento.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 59
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
2. Recomendaciones
La primera recomendación dirigida hacia los estudiantes, se relaciona con tener total claridad y
conocimiento de la problemática que desea solucionar, contemplando un alcance, y un plan de
trabajo bien planteado. Además es importante realizar un buen trabajo de investigación ya sea
de forma escrita o experimental que le permita a la persona ampliar su visión del trabajo en ge-
neral, que vaya de acuerdo a la modalidad escogida por el estudiante.
Es importante mencionar para los estudiantes que tomen un tema nuevo o novedoso en las áreas
de ingeniería de sistemas, tener un amplio contacto con las personas o empresas que tengan co-
nocimiento o aplicabilidad de estos temas, pues esto le brindará muchas más herramientas para
poder atacar la problemática que haya planteado.
La recomendación para el departamento de Ingeniería de Sistemas, apoyar todo tipo de iniciati-
va que permitan interrelacionar dos grupos diferentes de investigación independiente de cuáles
sean, con el propósito de brindarle a los estudiantes una visión más amplia de sus trabajos alre-
dedor de la investigación que desee realizar, sin tener que enfocarlo a una modalidad en espe-
cial como se ha venido haciendo hasta ahora.
Para finalizar, la recomendación a la universidad es seguir apoyando financiera y logísticamente
los proyectos que se lleven a cabo por los estudiantes. Además que se pueda contar con la in-
formación correspondiente con temas que se consideren nuevos o novedosos para la ingeniería
de sistemas como fue el caso de este trabajo.
3. Trabajos Futuros
En trabajos futuros se puede llegar a profundizar aun más en los requerimientos de control
y aseguramiento para Cloud Computing en las Pymes, pues teniendo en cuenta que este tipo
de empresas han sido las más beneficiado, el crecimiento y evolución del modelo de Cloud,
se pueden estar generando muchos más requerimientos a futuro con los que se puedan pro-
fundizar este trabajo.
Para optimizar tiempos y por sugerencia de las personas que validaron el trabajo realizado,
en futuros trabajos se puede desarrollar una herramienta software que contemplen este tipo
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 60
de guías de control con fácil manejo para cualquier persona que pertenezca al área de TI de
su organización.
Se puede ampliar la información acerca de la caracterización de las empresas, en donde se
tengan en cuenta las futuras empresas proveedoras que surjan en Colombia, su aporte tec-
nológico en el país y su proyección a nivel internacional.
Se puede realizar la guía metodológica tomando a ITIL V3 como el marco de control para
evaluar Cloud Computing en las Pymes, de tal forma que permita mapear y comparar las di-
ferencias y similitudes con COBIT.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 61
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
VII - REFERENCIAS Y BIBLIOGRAFÍA
1. Referencias
Aguilar, L. (2009), 'Seguridad en entornos 'Cloud': Evolución sí, revolución no', ITCIO.ES
Recursos e información tecnológica empresarial para CIOs. Recuperado 10 de Marzo, 2011,
de http://www.itcio.es/cloud-computing/analisis/1005069022902/seguridad-entornos-cloud-
evolucion-revolucion-no.1.html
Alliance, C.-C. S. (2009), 'Guía para la seguridad en áreas críticas de atención en Cloud
Computing', CSA-Cloud Security Alliance.
Areitio, J. & Mail, B. (2010), 'Protección del Cloud Computing en seguridad y privacidad',
Revista Espaсola de Electrónica, 7.
Asofis (2009), 'Control interno –Informe Coso', Documento abierto al público.
Avanxo (2011), 'Casos de Éxito de Cloud Computing Colombia', Pagina WEB. Recuperado
22 de Febrero, 2011, de http://www.avanxo.com
Ayala, L. (2011), 'En la era de Cloud Computing', Colombia Digital. Recuperado 22 de Fe-
brero, 2011, de
http://www.colombiadigital.net/index.php?option=com_content&view=article&id=288:en-la-
era-del-cloud-computing&catid=75:apropiacion-tic&Itemid=274
Carpena, M. (2009), 'Cloud Computing: ¿algo nuevo en el cielo de las TI?', ITCIO.Es Recur-
sos e información tecnológica empresarial para CIOs.
Castellanos, W. A. (2011), 'Consideraciones de seguridad y privacidad en Cloud Computing',
in Wilmar Arturo Castellanos Morales, ed., Deloitte ToucheLTDA, Deloitte, wcastella-
[email protected], 34.
Computing, S. C. (2009), 'Infrastructure as a Service (IaaS)', SearchCloudComputing.com.
Recuperado 22 de Febrero, 2011, de
http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS
Doménech, R. S. & Lenis, A. Z. (2007), 'COBIT - The Control Objectives for Information
and related Technology', Information Systems Audit and Control Association, Technical re-
port, IT Governance Institute, Documento de Gobierno de TI.
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 62
Falla, S. (2008), 'Cloud Computing: nueva era de desarrollo', Maestros del Web. Recuperado
20 de Febrero, 2011, de http://www.maestrosdelweb.com/editorial/cloud-computing-nueva-
era-de-desarrollo/
Fernández, J. A. (2009), 'Cloud Computing: ¡un futuro brillante!', Nota Enter IE.
Goga, A. (2010), 'Especial: Cloud Computing o Computación en Nube. ¿Qué es? ¿Para qué
sirve?', Arturogoga.
Grassi, T. (2011), 'Y un día, el cielo se nubló… | Communications as a Service (CaaS)',
Global Crossing Think Ahead. Recuperado 18 de Febrero, 2011, de
http://blogs.globalcrossing.com/?q=es/content/y-un-dia-el-cielo-se-nublo
Gutiérrez, J. (2010), '¿Cloud Computing: una opción viable para su negocio?', in Juan Gutié-
rrez, ed., ACIS-Asociación Colombiana de Ingenieros de Sistemas.
Gutiérrez, A. (2009), 'Definición de Platform as a Service (PaaS)', Knol Beta - A unit of
knwoledge. Recuperado 18 de Febrero, 2011, de http://knol.google.com/k/qu%C3%A9-es-
paas#
Hidalgo, P. A. (2011), 'GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO
EN CLOUD COMPUTING PARA PYMES', Technical report, Pontificia Universidad Jave-
riana.
Hidalgo, P. A. (2011), 'Cuenta correo Javeriana1', Muestra de ingreso al correo.
Hidalgo, P. A. (2010), 'Propuesta de Proyecto de Grado', 23.
Javeriana, P. U. (1992), Misión, in Consejo Directivo Universitario, ed., pp. 1. Recuperado 04
de Marzo, 2011, de http://puj por-
tal.javeriana.edu.co/portal/page/portal/PORTAL_VERSION_2009_2010/es_mision
Keene, C. (2009), 'The Keene View on Cloud Computing', The Keene View. Recuperado 04
de Marzo, 2011, de http://www.keeneview.com/2009/03/what-is-platform-as-service-
paas.html
Lenis, R. S. D. &. A. Z. (2007), 'COBIT - The Control Objectives for Information and
related Technology', Information Systems Audit and Control Association, Technical
report, IT Governance Institute, Documento de Gobierno de TI.
Martínez, L. F. (2011), 'Colaboración Trabajo Grado', Correo electrónico, Información obte-
nida por comunicación por correo electrónico.
Mell, P. & Grance, T. (2009), 'The NIST Definition of Cloud Computing', NIST, 2. Recupe-
rado 18 de Febrero, 2011, de http://csrc.nist.gov/groups/SNS/cloud-computing/
Pontificia Universidad Javeriana Memoria de Trabajo de Grado
Página 63
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
MercadoTendencias (2008), 'Los nuevos conceptos del control interno. Informe COSO', Mer-
cadoTendencias.com. Recuperado 20 de Febrero, 2011, de
http://www.mercadotendencias.com/informe-coso-definicion-de-control-interno/
MesaSectorial (2010), 'CLOUD COMPUTING UNA PERSPECTIVA PARA COLOMBIA',
Documento PDF.
Millet, D. (2010), 'Influencia de las nuevas tendencias tecnológicas sobre las aplicaciones de
gestión empresarial'.
Nasaudit (2009), 'COSO II: Enterprise Risk Management – Primera Parte', Documento de
conocimiento público, [email protected].
NetworkSec (2008), 'Implantación de Gobierno de TI (Tecnologías de la Información)', Re-
sumen Ejecutivo, [email protected], C/ Xàtiva 4-izquierda 646002 · Valencia.
Noticintel (2010), 'Cloud Computing presenta desafíos regulatorios que obligan a repensar
conceptos de privacidad: resultados de Mesa Sectorial', InteracTIC, Interacción con la infor-
mación. Recuperado 20 de Febrero, 2011, de
http://www.interactic.com.co/index.php?option=com_content&view=article&id=1386&Itemi
d=40
Parallels (2011), 'SaaS — Software as a Service', Articulo en internet. Recuperado 28
de Febrero, 2011, de http://www.parallels.com/es/products/saas/
Piebalgs, A. (2010), 'Software as a Service', Noticias.Com. Recuperado 18 de Febrero, 2011,
de http://www.noticias.com/opinion/software-as-service-4h3.html
SNIA, A. S. &. I. T. (2009), 'Cloud Storage Reference Model', Storage Networking Industry
Association, 9.
Snowman, G. (2010), 'Diferentes Sabores de Cloud Computing', The SolidQ Journal, Soft-
ware Development 32, 5.
Steinberg, R.; Everson, M.; Martens, F. & Nottingham, L. (2004), 'Gestión de Ries-
gos Corporativos-Marco Integrado'.
Toro, C. A. O. (2009), 'CLOUD COMPUTING COMO HERRAMIENTA FACILITADORA
PARA EL EMPRENDIMIENTO EN COLOMBIA'(23rd)'Proceedings of the 3rd ACORN-
REDECOM Conference México City May', 1.
Wolff, B. (2009), 'Cloud Computing – A Five Layer Model', BlueLock, 1. Recuperado
28 de Febrero, 2011, de http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-
computing--a-five-layer-model--. Recuperado 28 de Febrero, 2011, de
http://blog.bluelock.com/blog/notes-from-the-cloud/cloud-computing--a-five-layer-model--
Ingeniería de Sistemas Sidre - CIS1030SD02
Página 64
VIII - ANEXOS
1. Anexo 1. Glosario
2. Anexo 2. Actividades TG
3. Anexo 3. Encuestas
4. Anexo 4. Validaciones