<CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA

Transcripción

1 <CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PABLO ANDRÉS HIDALGO LARA PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ, D.C. 2011

2

3 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modalidad de Investigación <CIS1030SD02> GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES Autor(es): Pablo Andrés Hidalgo Lara MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS Director Freddy Alexander Vargas Blanco Jurados del Trabajo de Grado Ing. Andrea Yamile Ojeda Ing. José Luis Lara Página web del Trabajo de Grado PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ, D.C. Junio, 2011 Preparado por el Grupo Investigación Istar- Versión /03/2008 Página i

4 Ingeniería de Sistemas Sidre - CIS1030SD02 PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS Rector Magnífico Joaquín Emilio Sánchez García S.J. Decano Académico Facultad de Ingeniería Ingeniero Francisco Javier Rebolledo Muñoz Decano del Medio Universitario Facultad de Ingeniería Padre Sergio Bernal Restrepo S.J. Directora de la Carrera de Ingeniería de Sistemas Ingeniero Luis Carlos Díaz Chaparro Director Departamento de Ingeniería de Sistemas Ingeniero César Julio Bustacara Medina Página ii

5 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modalidad de Investigación Artículo 23 de la Resolución No. 1 de Junio de 1946 La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el anhelo de buscar la verdad y la Justicia Preparado por el Grupo Investigación Istar- Versión /03/2008 Página iii

6 Ingeniería de Sistemas Sidre - CIS1030SD02 AGRADECIMIENTOS En los caminos de la vida siempre se encuentran personas que nos acompañan y aportan lo mejor de ellos mismos para contribuir a nuestro crecimiento personal e intelectual, pero cómo nombrarlas a todas sin dejar a nadie por fuera? Sin duda es una difícil tarea, pero reduciremos a todos aquellas personas en las siguientes. En primer lugar deseo dar las gracias a mis padres por su apoyo, su comprensión, su confianza, su inmensa generosidad pues me han dado todo lo que necesito y más de lo que merezco, sobre todo, por guiarme en el camino del bien y enseñarme todo los valores y principios necesarios para crecer como una persona correcta y ser quien soy hoy en día. En segundo lugar y sin ser menos importante que los primeros, agradezco a mi novia Alejandra, quien con su paciencia y carisma a sabido apoyarme y acompañarme en todo momento desde el inicio de la propuesta, hasta el desarrollo y culminación del Trabajo de Grado También agradezco a mis amigos, y personas cercanas a mi vida que han sido parte fundamental en mi crecimiento personal con su apoyo, consejos, por ayudarme en los momentos que necesito una mano de más para alcanzar mis logros y por todos los momentos de alegría y felicidad que he vivido junto a ellos. Finalmente agradecerle a mi tutor por toda la ayuda que me ha brindado, tanto en el proyecto como en la vida laboral y personal. Gracias a su apoyo he logrado completar con éxito el trabajo aquí propuesto. Página iv

7 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modalidad de Investigación Contenido INTRODUCCIÓN... 1 I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO OPORTUNIDAD, PROBLEMÁTICA, ANTECEDENTES Descripción del contexto Formulación del problema que se resolvió Justificación Impacto Esperado DESCRIPCIÓN DEL PROYECTO Visión global Objetivo general Objetivos específicos Método que se propuso para satisfacer cada fase metodológica... 7 II POST-MORTEM METODOLOGÍA REALIZADA ACTIVIDADES PROPUESTAS VS. ACTIVIDADES REALIZADAS EFECTIVIDAD EN LA ESTIMACIÓN DE TIEMPOS DEL PROYECTO COSTO ESTIMADO VS. COSTO REAL DEL PROYECTO EFECTIVIDAD EN LA ESTIMACIÓN Y MITIGACIÓN DE LOS RIESGOS DEL PROYECTO III - MARCO TEÓRICO MARCO CONTEXTUAL MARCO CONCEPTUAL Fundamentos Cloud Computing Impactos De Cloud Computing Riesgos Y Preocupaciones De Seguridad Con Cloud Computing COSO - Committee of Sponsoring Organizations COBIT - Control Objectives for Information and related Technology IV DESARROLLO DEL TRABAJO CARACTERIZACIÓN DE LAS EMPRESAS DESARROLLO DE LA GUÍA METODOLÓGICA Preparado por el Grupo Investigación Istar- Versión /03/2008 Página v

8 Ingeniería de Sistemas Sidre - CIS1030SD02 3. MECANISMOS DE VALIDACIÓN VALIDACIÓN Y APROBACIÓN DE LA GUÍA METODOLÓGICA V - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS VI CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS CONCLUSIONES RECOMENDACIONES TRABAJOS FUTUROS VII - REFERENCIAS Y BIBLIOGRAFÍA REFERENCIAS VIII - ANEXOS ANEXO 1. GLOSARIO ANEXO 2. ACTIVIDADES TG ANEXO 3. ENCUESTAS ANEXO 4. VALIDACIONES Página vi

9 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modalidad de Investigación LISTA DE TABLAS Tabla 1 - Presupuesto Total Propuesto...11 Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM...38 Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Computing, 2011]...44 Tabla 4 - Formato de documentación de la Guía...48 Tabla 5 - Formato de Control de Madurez...49 Tabla 6 - Agrupación de Requerimientos...57 Preparado por el Grupo Investigación Istar- Versión /03/2008 Página vii

10 Ingeniería de Sistemas Sidre - CIS1030SD02 LISTA DE ILUSTRACIONES Ilustración 1 - Metodología Realizada...8 Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009]...15 Ilustración 3 Funcionamiento de SaaS [Parallels, 2011]...16 Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010]...17 Ilustración 5 Que es PaaS? [Keene, 2009]...18 Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009]...21 Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009]...22 Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008]...31 Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007]...40 Ilustración 10 - Razones de las empresas para utilizar Cloud Computing...55 Ilustración 11 - Resultados Encuesta...56 Página viii

11 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modalidad de Investigación ABSTRACT In this document is defines a methodological guide of control and assurance in Cloud Computing for Colombian SMEs. The project identifies the stage, actors, needs and work environment in general to establish control and assurance requirements that must exist in domestic SMEs. Subsequently each requirement is documented in detail, with the purpose of establishing the minimum control measures and assurance that a company like this should apply in the Cloud Computing service you are using. RESUMEN Se define una guía metodológica de control y el aseguramiento en Cloud Computing para Pymes. Se identifican los escenarios, actores, las necesidades y el ambiente en general de trabajo para establecer los requerimientos de control y aseguramiento que deben existir en las pymes nacionales. Posteriormente se documenta cada requerimiento de manera detallada, con el propósito de establecer las medidas mínimas de control y aseguramiento que una empresa de este tipo debe aplicar en el servicio de Cloud Computing que esté utilizando. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página ix

12 Ingeniería de Sistemas Sidre - CIS1030SD02 RESUMEN EJECUTIVO Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y maduración en Colombia, se enfoca en generar servicios estandarizados que puedan responder a las necesidades de negocio que tenga cada organización, de forma flexible y adaptativa sin necesidad de poseer un conocimiento previo sobre el manejo del modelo. Actualmente, esta tendencia tecnológica se compone de dos actores principales, la empresa proveedora que ofrece los servicios a la medida del negocio y la empresa usuaria que toma los servicios según sus propias necesidades. Este primer actor, permite a los usuarios el aumento de servicios basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues los proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exigencias del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago por consumo que resulta más asequible para las empresas y de menos perdidas. Ahora bien, cada uno de los servicios que desee el usuario de Cloud Computing requiere que la empresa cliente brinde información, requerimientos y especificaciones que permita al proveedor tomar la solicitud dependiendo del servicio que se requiera. Esta información resulta de gran ayuda, puesto que las organizaciones desean tener el manejo de estas desde todo tipo de dispositivo tecnológico, en cualquier parte y en el momento que lo deseen. Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se maneja la información de una organización. Es en ese punto donde se debe manejar un concepto bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad para todo tipo de usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve inquietante conocer cuáles son las medidas de control en la Cloud, cuáles son los lineamientos de seguridad manejados por las empresas proveedoras del servicio y cómo los aplican, pues es muy poco lo que se conoce acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta hace poco tiempo viene aplicando este modelo de servicios. Alrededor de esta problemática se genera la siguiente pregunta: Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa proveedora del servicio de Cloud Computing? Página x

13 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modalidad de Investigación A partir de esta pregunta se genera la necesidad no solo de dar respuesta sino también de definir la forma más apropiada de desarrollar un proyecto en el que se trate de cerrar esta problemática. Para ello, luego de un análisis en compañía del director de trabajo de grado y contando con las opiniones de personas conocedoras del tema, se concluyó que la mejor forma era la definición de una guía metodológica que se brinde como una herramienta que facilite a las empresas el control de Cloud Computing, orientada a cumplir el siguiente objetivo: Definir una Guía Metodológica de Control y Aseguramiento en Cloud Computing que evalúe la eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en pequeñas y medianas empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la gerencia en beneficio de sus empresas. A partir de este objetivo, la guía se abordó teniendo en cuenta una metodología dividida en fases que se llevarían a cabo de forma secuencial, de esta forma cada fase tiene cierta dependencia de su antecesora, a excepción de la primera fase de levantamiento de información, que obligatoriamente debe iniciar con la iniciativa y voluntad del autor. En la fase inicial se realiza un levantamiento de información para hacer un reconocimiento del entorno sobre el cual gira el desarrollo de la guía metodológica, es decir, que en esta fase se contemplará toda la información relevante para el desarrollo del trabajo. Después de esta fase, tomando la opinión de diversas personas con conocimiento en el tema se generó la necesidad de incluir una caracterización de empresas, en donde se profundiza más sobre las empresas (actores de la problemática), con el propósito de conocer servicios y necesidades que giran en torno al modelo de Cloud Computing y además hacer énfasis en las Pymes que son parte fundamental en el desarrollo del trabajo. Después de completar las fases de levantamiento de información y caracterización de las empresas, se continuó con la fase de establecer requerimientos para el control y aseguramiento en Cloud Computing, la cual complementó la información establecida en las otras dos fases y dio inicio al desarrollo de la guía. Para esta fase, como se tenía previsto no había conocimiento de requerimientos que estuvieran orientados o definidos para el control y aseguramiento de Cloud Computing, pero se contó con el apoyo de un documento de la CSA y a partir de este se elaboró una encuesta que determinaría los requerimientos para realizar la guía. Dicha encuesta fue realizada a personal que trabajara en el área de TI en Pymes colombianas. Posteriormente, los requerimientos determinados Preparado por el Grupo Investigación Istar- Versión /03/2008 Página xi

14 Ingeniería de Sistemas Sidre - CIS1030SD02 pasaron por un proceso de aprobación con el propósito de hacer control de calidad y darle un valor agregado al producto final desde ese punto de su elaboración. Siguiendo con la secuencia de las fases propuestas, se da inicio a la elaboración de la guía metodológica tomando como base los requerimientos determinados en la fase anterior. Teniendo en cuenta que el establecimiento de los requerimientos no era suficiente para la elaboración de la guía, se construyó un diagrama con el cual se determinó los aspectos más relevantes para cada requerimiento en los cuales se debería profundizar. Adicionalmente, pensando en la comodidad y facilidad de uso del documento por parte de las personas que tengan acceso al documento se incluyo una sección para conocer y manejar el documento. Trabajando en paralelo con la elaboración de la guía, se prosiguió a evaluar el mejor mecanismo de validación y aprobación de la misma. De esta evaluación de los mecanismos se determino el de aprobación por opinión de expertos con la posibilidad de aplicar una segunda opción de aprobación aplicando la guía a un caso de estudio, solo si el tiempo lo permitía. Ya con el mecanismo de aprobación elegido, se dio paso a la fase de validación contactando dos personas expertos y conocedoras del entorno en el que se desenvuelve el producto. Se les brindo una presentación y la guía como tal para obtener su opinión respecto al producto y su posterior aprobación. Finalmente, se realizaron las correcciones del producto, el control de calidad correspondiente a la última fase de la metodología, se elaboró la página web en donde se presenta el contenido de todo el trabajo de grado y se diligenció una lista de chequeo para verificar y comparar todo el proceso propuesto con el proceso que realmente se ejecutó para el desarrollo del proyecto. Con base en todo el proceso que se llevó a cabo, se concluye que tanto el objetivo general como los específicos se cumplieron de acuerdo a lo planeado, gracias al seguimiento y control de cada una de las actividades establecidas para el desarrollo del trabajo. Gracias a esto, se logró elaborar un producto útil para la comunidad de Cloud Computing a nivel nacional en las Pymes y se contribuyó a dos de las problemáticas con las que está comprometida la Pontificia Universidad Javeriana. Página xii

15 Pontificia Universidad Javeriana Memoria de Trabajo de Grado INTRODUCCIÓN A través de este documento se puede observar el proceso que se realiza en la elaboración del trabajo de grado Guía Metodológica de Control y Aseguramiento para Cloud Computing en Pymes. En el capítulo I, se hace un reconocimiento de la información más relevante acerca de los antecedentes de los temas que se desarrollan en el trabajo de grado. Se incluyen, aspectos importantes como el análisis de la problemática que se enmarca alrededor del ambiente de Cloud Computing, la seguridad a nivel general, la formulación, justificación y el impacto que se espera obtener. En el capítulo II, se lleva a cabo la descripción del proyecto haciendo énfasis en la visión global y los objetivos planteados para desarrollar el trabajo. Además de esto también se incluye una descripción de cada fase de la metodología que se llevo a cabo a lo largo del trabajo y su alineamiento con los objetivos específicos que se habían planteado, Después, en el capítulo III se podrá observar el marco contextual y conceptual con los temas más relevantes dentro del proyecto como lo es el modelo de servicios de Cloud Computing, su impacto y los riesgos al día de hoy y finalmente los marcos de control que marcan una pauta en el aseguramiento a nivel general dentro de las empresas. A continuación, en el capítulo IV se hace un análisis más detallado de lo que fue todo el proceso de desarrollo, según las fases de la metodología planteada para la ejecución del trabajo de investigación desde el levantamiento de la información más relevante hasta la validación y aprobación que marcan la pauta para concluir el proceso del trabajo realizado. Finalmente, en los capítulos V y VI se podrá encontrar los resultados obtenidos después del desarrollo de trabajo de grado, las conclusiones técnicas y personales que surgieron sobre el desarrollo y las recomendaciones enmarcadas en la visión global propuesta en el capítulo II entregadas por el autor que continúen la modalidad de proyectos en la universidad. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 1

16 Ingeniería de Sistemas Sidre - CIS1030SD02 I - DESCRIPCION GENERAL DEL TRABAJO DE GRADO 1. Oportunidad, Problemática, Antecedentes 1.1 Descripción del contexto Para iniciar es importante mencionar que en la actualidad la tecnología ha estado creciendo de forma rápida y contundente, con el propósito de mejorar la experiencia e interacción de esta con el usuario. Para ello se han venido desarrollando tendencias tecnológicas que brindan diferentes tipos de servicios con los cuales se satisfacen las necesidades de cómputo en la sociedad, por medio del internet. [Carpena M, 2009] Este crecimiento de aplicaciones y herramientas tecnológicas han dado paso a Cloud Computing o Computación en la nube, un concepto novedoso que se ha venido utilizando en diferentes aplicaciones como Second Life, las redes sociales o páginas que venían aplicando WEB 2.0. Cloud Computing consiste en permitir el uso de aplicaciones o servicios por medio de la nube, para el uso cotidiano de empresas o cualquier tipo de usuario. Esto nos lleva a considerar Cloud Computing como la evolución de WEB 2.0, en la que empresas y usuarios acceden a sus cuentas desde cualquier lugar operando sin instalar dispositivo alguno. Aunque este nuevo modelo no parece una novedad tan impresionante como normalmente lo catalogan, Cloud Computing es un caso especial, pues facilita aplicaciones, los servidores en donde se almacena y ejecuta la información para que estas funcionen [Fernández J, 2009]. También se caracteriza por el acceso de forma compartida a la información que se encuentre sobre la nube, para lo cual encontramos ejemplos como Amazon EC2 o Google Apps que proveen aplicaciones de negocio desde un navegador, mientras que el software y los datos son almacenados en Servidores manejados por ellos mismos. A pesar de las muchas ventajas que se pueden encontrar en Cloud Computing como los bajos costos, oportunidad corporativa de crecimiento para las empresas o acceso desde cualquier lugar por parte de los clientes, se han detectado desventajas en aspectos fuertes como la seguridad y privacidad, pues se encuentran muchos vacíos que pueden llegar a ser costosos para cualquier empresa que use servicios en la nube en caso de no ser manejados a tiempo [Areitio & Mail, 2010]. Además no Página 2

17 Pontificia Universidad Javeriana Memoria de Trabajo de Grado se tiene conocimiento que Cloud Computing cuente con algún estándar que dé un control interno a todo lo que se maneja debajo de lo que ven los usuarios. 1.2 Formulación del problema que se resolvió Cloud Computing es un modelo de servicios que se encuentra en una etapa de crecimiento y maduración en Colombia [Toro C, 2009], se enfoca en generar servicios estandarizados que puedan responder a las necesidades de negocio que tenga cada organización, de forma flexible y adaptativa sin necesidad de poseer un conocimiento previo sobre el manejo del modelo. Actualmente, esta tendencia tecnológica se compone de dos actores principales que son los proveedores quienes ofrecen los servicios a la medida del negocio y los usuarios que son aquellos que toman los servicios según los necesiten. Estos primeros, permiten a los usuarios el aumento de servicios basados en la web según ellos lo requieran, generando así beneficios para ambas partes, pues los proveedores empiezan a generar servicios de forma más rápida, eficiente cumpliendo las exigencias del negocio y los usuarios obtienen servicios de clara transparencia, con un modelo de pago por consumo que resulta más asequible para las empresas y de menos perdidas. [Millet D, 2010] Ahora bien, cada uno de los servicios que desee el usuario en Cloud Computing requiere que la empresa cliente brinde toda la información, requerimientos y especificaciones que permitan al proveedor realizar dicho trabajo dependiendo del servicio que se requiera. La información no solo será utilizada para la elaboración de las aplicaciones o para el manejo de la infraestructura a través de un navegador, sino que también se puede dar el caso que una empresa almacene información de cualquier nivel de importancia en la Cloud. Para nadie es un secreto que la información siempre requiere un trato especial, y más cuando se maneja la información de una organización [Aguilar L, 2009]. Es en ese punto donde se debe manejar un concepto bastante conocido, la seguridad de la información. Dicho aspecto es una necesidad para todo tipo de usuarios u organizaciones sin importar su tamaño. Es por eso que se vuelve inquietante conocer cuáles son las medidas de control en la Cloud, los lineamientos de seguridad manejados por las empresas proveedoras del servicio y la forma en que los aplican, pues es muy poco lo que se conoce acerca de estos detalles aun mas cuando se aplica en Colombia, un país que hasta hace poco tiempo abrió las puertas a este modelo de servicios. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 3

18 Ingeniería de Sistemas Sidre - CIS1030SD02 A partir de lo anterior surgió la siguiente inquietud, la cual se pretendió solucionar con el desarrollo del presente trabajo de grado: Cómo se podría llevar control de los procesos que se llevan a cabo dentro de una empresa proveedora del servicio de Cloud Computing? 1.3 Justificación El Trabajo de Grado tiene como propósito brindar una herramienta que facilite la toma de decisiones de una empresa (Pyme) en cuanto al mejoramiento de tareas, actividades, procedimientos sobre Cloud Computing para alcanzar una mejor calidad de procesos, reducción de costos y aumento de ganancias. Para ello es necesario evaluar de forma detallada cada tarea, actividad y proceso que permita dar siempre un mejor servicio a los clientes, profundizando en cada aspecto del modelo, las ventajas y desventajas, los lineamientos de seguridad para la información establecidos por los proveedores, entre otro tipo de detalles que permitan mejorar en el servicio. Además se debe tener en cuenta en todo momento que los controles a las empresas, permiten evaluar la eficiencia y eficacia, evitar problemas grandes dentro de estas y lograr un progreso si se realizan correctamente las labores, por lo que una guía que tenga las bases fuertes y necesarias para controlar este modelo de servicios, hace de este trabajo de grado una herramienta bastante interesante para la industria tecnológica. Por otro lado también se estaría generando una gran contribución a dos de las problemáticas que la Pontificia Universidad Javeriana pretende atacar, las cuales son: El poco aprecio de los valores de la nacionalidad y la falta de conciencia sobre la identidad cultural La deficiencia y la lentitud en el desarrollo científico y tecnológico. El aporte se estaría brindando ya que la guía metodológica es una herramienta que busca apoyar las pequeñas y medianas empresas colombianas que son el símbolo del progreso y crecimiento en un país lleno de emprendedores, fortaleciendo el aprecio por el talento y los valores nacionales que hacen grande al país. Desde otro punto de vista, se contribuye al crecimiento y progreso de este tipo de empresas que han sido las principales beneficiadas con la llegada de este modelo de servicios al Página 4

19 Pontificia Universidad Javeriana Memoria de Trabajo de Grado país, el cual aunque es relativamente nuevo ha generado bastantes ventajas competitivas dentro de las organizaciones, que serán fortalecidas con el apoyo de la guía creando mayor eficiencia y oportunidades de crecimiento tecnológico nivel nacional. 1.4 Impacto Esperado Los impactos que se establecieron a partir de este trabajo de grado son los siguientes: El impacto académico personal, el titulo como Ingeniero de Sistemas del autor que concede la Pontificia Universidad Javeriana. El impacto académico general, será la implementación de esta guía por parte de las Pymes, con el propósito de ofrecer control y aseguramiento en los servicios de modelo de Cloud Computing, el cual actualmente muchas empresas se están vinculando como parte del crecimiento en sus respectivas organizaciones. 2. Descripción del Proyecto 2.1 Visión global La elaboración de este documento de trabajo de grado, fue orientado hacia la definición de una guía metodológica que abarcara el tema del control y aseguramiento de información y activos de un usuario en el modelo tecnológico de servicios Cloud Computing, el cual se encuentra en una etapa de creciendo y maduración en las pequeñas y medianas empresas de Colombia. La guía metodológica elaborada consta de un análisis a las empresas proveedoras y clientes del servicio, un análisis de requerimientos orientado hacia el control y aseguramiento del modelo de servicios, los cuales fueron profundizados y desarrollados en la elaboración de la guía. Teniendo en cuenta que no se cuenta con mucho material acerca de control y aseguramiento de un modelo de servicios tan novedoso como este, se realizaron una serie de encuestas basadas en el documento [Alliance, C.-C. S., 2009], que permitieron plantear algunos requerimientos. La encuesta fue realizada a profesionales en el área de TI en empresas Pymes, y su resultado fue validado antes de entrar en el desarrollo de cada uno de los requerimientos encontrados. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 5

20 Ingeniería de Sistemas Sidre - CIS1030SD02 De acuerdo con el análisis realizado a las empresas, el levantamiento de información y los requerimientos establecidos, se dio inicio y desarrollo a la elaboración de la guía metodológica, la cual al ser finalizada contó con dos mecanismos de validación previamente analizados, para contar con la aprobación y opinión de las personas interesadas en el tema que se desarrollo en este trabajo. 2.3 Objetivo general Construir una Guía Metodológica de control y aseguramiento en Cloud Computing que evalúe la eficiencia, la eficacia en procesos y actividades que se llevan a cabo sobre el modelo, en medianas empresas colombianas (PYMES) para facilitar la toma de decisiones por parte de la gerencia en beneficio de sus empresas. 2.4 Objetivos específicos Hacer un levantamiento de información referente a la construcción de una Guía Metodológica, los lineamientos de uso y manejo de servicios en la nube por parte de proveedores, estándares de uso de Cloud Computing y de controles en TI. Establecer una caracterización de las empresas involucradas en el entorno de Cloud Computing (Proveedoras y Clientes), haciendo énfasis en Pymes colombianas y su visión frente al modelo de servicios. Definir los requerimientos necesarios de las en torno al control y aseguramiento de Cloud Computing para las Pymes, a partir del análisis de la información obtenida en el marco teórico, la caracterización de las empresas. Construir una guía metodológica de control y aseguramiento enmarcado en los aspectos relevantes de Cloud Computing, los requerimientos del servicio, el control y la seguridad de activos, para evaluar la eficiencia y efectividad en los procesos del negocio en las empresas. Encontrar un mecanismo por el cual se valide la Guía. Implementar mecanismo de validación y aprobación a la guía metodológica. Ejecutar un proceso de refinamiento y control de calidad en el que concluya con éxito la última versión de la Guía Metodológica. Página 6

21 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Como se podrá ver más adelante, estos objetivos están relacionados directamente con cada una de las fases de la metodología planteada para el desarrollo del trabajo de grado, y es precisamente esta relación la que permitió tener un mayor control y seguimiento del cumplimiento de actividades y objetivos planeados para cumplir el objetivo principal del trabajo. 2.5 Método que se propuso para satisfacer cada fase metodológica Aunque no se propuso de forma explícita algún método para satisfacer cada fase metodológica, se puede observar tanto en la ilustración de la metodología como en el argumento de los objetivos específicos, que se manejo un método secuencial de tal forma que no se omitiera ninguna fase u objetivo del trabajo y que se cumplieran todas las actividades establecidas para cada fase. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 7

22 Ingeniería de Sistemas Sidre - CIS1030SD02 II POST-MORTEM 1. Metodología Realizada La metodología que se había propuesto para llevar a cabo en el desarrollo del trabajo de grado se encontraba dividida en 7 fases que se aplicarían de forma secuencial desde el inicio hasta el final, a excepción de la fase de Aprobación de la guía metodológica que se aplicaría antes, durante y después del desarrollo de la guía con el propósito hacer un seguimiento de la calidad y validez del producto final. Control de Calidad y Refinamiento Levantamiento de Información Aprobación de la Guía Metodológica Caracterizacion de las empresas Definir el mecanismo de Validaciòn y aprobaciòn Establecer Requerimiento s de Empresas Elaboracion de la Guia Metodologica Ilustración 1 - Metodología Realizada Página 8

23 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Finalmente se concluye que la metodologia propuesta fue aplicada de forma satisfactoria, pues la realidad muestra que se fue fiel al plan propuesto, con todo lo que esto incluye (actividades, presupuesto, etc.) lo cual generó el éxito que se esperaba en la culminacion del trabajo. 2. Actividades propuestas vs. Actividades realizadas. Finalizado el trabajo, se puede manifestar que las actividades propuestas fueron suficientes para la elaboración del trabajo de grado. Sin embargo, después de hacer un analisis mas profundo de las actividades que se habian propuesto, se observó que muchas de las actividades expuestas iban implicitas en el desarrollo total del documento. Este caso se puede ver en actividades de la elaboracion de la memoria y la creación de la pagina Web del documento de la propuesta. Anexo 2. Actividades TG 3. Efectividad en la estimación de tiempos del proyecto La estimación del tiempo para el desarrollo del proyecto, fue planteado con una exactitud que permitiera el cumplimiento de las actividades y de las fases de la metodología en general. No obstante se presentaron casos en los que hubo variaciones del tiempo estimado con algunas actividades que tomaron más tiempo de los esperado que se compesaron con otras que tomaron menos tiempo de lo que se habia determinado. De acuerdo con esta situación, se identificaron 3 diferentes momentos en la elaboracion de las actividades que se determinaron de la siguiente manera: 1. Actividades que tomaron más tiempo: El establecimiento de los requerimientos fue la actividad que más tomo tiempo, pues desde el momento en el que se propuso como una actividad de gran relevancia para el desarrollo del trabajo, había claridad de que no se contaba con un requerimiento pre establecido lo cual originó la necesidad de encontrar un mecanismo para poder establecerlos. Dicho mecanismo fue la de realizar encuestas para poder establecerlos, en alianza con el levantamiento de informacion del marco teorico y la caracterizacion de las empresas. 2. Actividad de estimación correcta: El levantamiento de información fue la actividad mas precisa en cuanto al tiempo estimado, lo cual se presentó gracias a que se tenia Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 9

24 Ingeniería de Sistemas Sidre - CIS1030SD02 conocimiento del material y las posibles fuentes en donde se encontraría la información adecuada para el desarrollo del trabajo. 3. Actividad que tomó menos tiempo del estimado: La elaboración de la página WEB, que además de ser necesaria brindó un aporte de conocimiento adicional que no se tenía antes de realizarla, como el manejo de algunos programas para su elaboración. 4. Costo estimado vs. Costo real del proyecto 4.1 Presupuesto RECURSOS FISICOS Y SERVICIOS ITEM CANTIDAD VALOR TOTAL Transporte 73 $1600 $ Servicios 2 $ $ Papelería e Impresión 2 $ $ Diseño Pagina Web 1 $ $ CD 3 $1000 $3000 Subtotal $ RECURSOS HUMANOS Persona Horas de Semanas Precio por hora Total Trabajo por semana Pablo Andres $ $ Hidalgo Lara Freddy Vargas 1 17 $ $ Blanco Subtotal $ PRESUPUESTO Recursos Físicos y Servicios $ Recursos Humanos $ Página 10

25 Pontificia Universidad Javeriana Memoria de Trabajo de Grado TOTAL $ Tabla 1 - Presupuesto Total Propuesto Después de haber realizado el trabajo en su totalidad se pudo observar que hubo errores en la estimación propuesta pues el valor total fue menor al estimado en un 20%. Dicha reducción se dió con base a una mala estimacion en las horas de trabajo por semana por parte del autor, en la elaboración del proyecto ya que no se contenplaron diversas situaciones que se le presentarían a la persona. 5. Efectividad en la estimación y mitigación de los riesgos del proyecto. Es importante observar para este punto que dentro de la propuesta no se hizo un planteamiento explícito de los posibles riesgos que se pudiesen generar con la elaboración del proyecto. Sin embargo, aunque no estaban planteados dentro del documento si se habían identificado, con el propósito de poder llevar a cabo algún plan de contingencia en caso de que se materializaran. Los riesgos identificados fueron: No cumplimiento de los tiempos planeados en la elaboración de la guía, por parte del autor o del director de trabajo. Cambiar parcial o totalmente la metodología planeada, pues esto genera un cambio para todo el proceso. No entregar el trabajo de grado de acuerdo al cronograma, por estimación en tiempo, costos, elaboración del trabajo o pruebas finales. No contar con el apoyo de las Pymes o de personas que puedan ser importantes para el desarrollo del trabajo. No contar con el permiso de manejar información confidencial o crítica de las empresas. Afortunadamente en ningún momento durante el desarrollo de la guía de materializaron alguno de estos riesgos, por lo cual no se tuvo que llevar a cabo ningún plan de contingencia. Respecto al último riesgo planteado, se manejaron acuerdos directos para hacer uso adecuado de la información confidencial de las empresas visitadas en la fase de caracterización de empresas, pues Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 11

26 Ingeniería de Sistemas Sidre - CIS1030SD02 esta es una regla o directriz general para el personal interno y externo a la empresa. Sin embargo, no se contó con la misma fortuna para la empresa en la que se hizo la validación de la guía, por la falta de tiempo que se tenía y la disposición de algunas personas dentro de la empresa. III - MARCO TEÓRICO 1. Marco Contextual Tal como se puede observar en [Ayala, 2011], la opción de tener una gran cantidad de servidores robustos que faciliten el almacenamiento de información sin límite y de permitir acceder a esta desde cualquier lugar y en el momento que se desee hoy en día es toda una realidad. Cloud Computing es un sistema que ofrece servicios de cómputo a través de una infraestructura distribuida en la red y que se comparte entre sus clientes, lo cual les reduce la preocupación en costos de hardware o software. Este tipo de características son llamativas para las empresas pues les permite reducir costos mejorar los procesos que manejan, gestionar todo desde internet entre otras ventajas. Por otro lado también se encuentran algunos desafíos regulatorios en temas como privacidad y seguridad, pues es complicado entender que la oficina no tenga una ubicación física y tangible sino una ubicación lógica que pueda estar fuera de la jurisdicción del propio usuario. [Noticintel, 2010]. 2. Marco Conceptual 2.1 Fundamentos Cloud Computing A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofre- Página 12

27 Pontificia Universidad Javeriana Memoria de Trabajo de Grado cer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actualidad Qué es Cloud Computing? Uno de los temas más confusos que rodean a Cloud Computing Computación en la nube, y sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell, P. & Grance, T, 2009], quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo. La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en los últimos años como las novedades más influyentes de las empresas: SaaS o Software como un Servicio: Un modelo de distribución de software a través de la red. Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesamiento y almacenamiento como un servicio medible. Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada. Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través de la ce- Página 13 Preparado por el Grupo Investigación Istar- Versión /03/2008

28 Ingeniería de Sistemas Sidre - CIS1030SD02 sión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones Características Esenciales En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias de computación, estas son: Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que estar interactuando con su proveedor de servicios. La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las plataformas conectándose a internet Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independientemente de la disposición física de estas. Algunos de los recursos computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc. Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usual- Página 14

29 Pontificia Universidad Javeriana Memoria de Trabajo de Grado mente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite. Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente. Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplicaciones, toda la información es almacenada de forma redundante en backups que se utilizarían en algún caso de fallo Modelos de Servicio en la Nube Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente se conoce también como el Modelo SPI, donde cada sigla de la palabra hace referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio). A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara [Gutiérrez J, 2010]: Ilustración 2 Arquitectura del Cloud Computing [Wolf, 2009] Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 15

30 Ingeniería de Sistemas Sidre - CIS1030SD02 Software as a Service (SaaS) Es un modelo de distribución de software en el que la empresa proveedora aporta el servicio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos programas deben tener las condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcionamiento de esta capa: Ilustración 3 Funcionamiento de SaaS [Parallels, 2011] Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de software a través de la red. Página 16

31 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J, 2010]: Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja. Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación, cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el mantenimiento del software. Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instancia con la cual trabajar, así como reducción de costos y espacio para disponer de almacenamiento suficiente para todas las instancias, como sucedía en los casos anteriores. Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la aplicación que se utiliza según las necesidades, dando atención al número de clientes que estén usando el software, de esta forma el sistema se hace escalable a un número indeterminado de clientes evitando tener que rediseñarlo. Ilustración 4 Niveles de Madurez SaaS [Gutiérrez J, 2010] Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 17

32 Ingeniería de Sistemas Sidre - CIS1030SD02 Platform as a Service (PaaS). El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo. PaaS incluye todas las facilidades al programador para diseñar, analizar, desarrollar, documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el servicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos. [Gutiérrez A, 2009] Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración Ilustración 5 Que es PaaS? [Keene, 2009] Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene, 2009]: Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo. Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar. Página 18

33 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando la escalabilidad del sistema. El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa. El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual proporciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo. El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcionadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el sistema. Tal cual como en los demás modelos como un Servicio, las ventajas se basan en no tener que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad. Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo por parte de los clientes de no tener acceso a su propia información o de que personas ajenas tengan acceso a esta de alguna u otra forma. Infrastructure as a Service (IaaS). El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores que estén a su disposición, etc. Dentro de las principales características del modelo IaaS, encontramos: Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cuales serán las condiciones del contrato para ambos. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 19

34 Ingeniería de Sistemas Sidre - CIS1030SD02 Pago según el uso de capacidades computacionales ofrecidas por el proveedor. El ambiente proporcionado por el proveedor será en forma de maquinas virtuales. El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones El proveedor se encargará de ofrecer todo el software requerido para mantener las necesidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas operativos, etc. El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet sin problemas, con backups de seguridad que garanticen la integridad de los datos. Data Storage as a Service (DaaS). El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión con IaaS, [SNIA, 2009] Communications as a Service (CaaS). La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento necesario de redes y la gestión de las comunicaciones, como el balanceo de carga. Software Kernel. Esta capa gestiona la parte física del sistema. Controla los servidores a través de los sistemas operativos instalados, el software que permite la virtualización de las máquinas, la gestión de los clusters y del grid, etc. [Wolf, 2009] Hardware as a Service (HaaS). HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros con maquinas que ofrecen la computación, almacenamiento, servidores, etc. [Wolf, 2009] Página 20

35 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Modelos de Despliegue de Cloud Computing Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de despliegue de Cloud Computing [Mell, P. & Grance, T, 2009]: Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para los clientes por medio del proveedor a través de internet. El ser pública no implica totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones para hacer uso de los servicios suministrados, además proporciona un medio flexible y rentable para el desarrollo de soluciones para los clientes. Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La diferencia entre ambas se encuentra es que en la privada los datos y procesamientos están administrados dentro de la organización sin las restricciones del ancho de banda, seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la seguridad y la recuperación. Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organizaciones que comparten los mismos intereses, como una misión común o necesidades de seguridad similares. Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la privada. Ilustración 6 Modelo de Despliegue de Cloud Computing [Alliance, 2009] Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 21

36 Ingeniería de Sistemas Sidre - CIS1030SD Modelo de Referencia de Cloud Computing Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la relación y las dependencias entre los modelos de la nube. Aunque en la sección (Modelos de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observó es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se relacionan con la seguridad de la información. La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes formas en las cuales el cliente interactúa con el servicio. Ilustración 7 Modelo de Referencia de Cloud Computing [Alliance, 2009] Página 22

37 Pontificia Universidad Javeriana Memoria de Trabajo de Grado Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a la plataforma. Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y dinámico por parte de los clientes. A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]: SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del proveedor. Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja integración ya que está desarrollada para que los desarrolladores elaboren sus propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, compensando así entre capacidades de plataforma con funciones de seguridad. Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias aplicaciones, sistemas operativos, etc Ventajas de Cloud Computing Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]: El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 23

38 Ingeniería de Sistemas Sidre - CIS1030SD02 casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento, pues estos se encuentran en internet. Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga. Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales, con un gasto lógico de software, hardware o personal. Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno según la actividad que tenga en cada momento, evitando la escasez de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento. El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de información por fallos del sistema. La premisa de Cloud Computing es que por la subcontratación de partes de la información gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de manera más inteligente, más rápida y más barata Cómo Cloud logra aportar estas ventajas? Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características: Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las maquinas necesitan realizar para realizar dicha actividad. Rápida movilización de los recursos: los recursos computacionales (servidores, redes, software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario Página 24

39 Pontificia Universidad Javeriana Memoria de Trabajo de Grado para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es totalmente medible. Capacidad de escalado elástico atiende y gestiona la demanda fluctuante que se genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones o espacios de almacenamiento. Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar virtualmente los recursos computacionales por los cuales está pagando el servicio en el momento que este lo requiera. Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes y las formas debida de uso del servicio al cual esta accediendo. Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus necesidades. 2.2 Impactos De Cloud Computing Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está revolucionando el mundo de los servicios por la transformación de la informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de información. La frecuente influencia e innovación de Internet ha permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 25

40 Ingeniería de Sistemas Sidre - CIS1030SD02 innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el cliente. Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un modelo bajo demanda. Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio. Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto Página 26

41 Pontificia Universidad Javeriana Memoria de Trabajo de Grado ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio. 2.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuentra protegida es de vital importancia tener previstas acciones contundentes para la gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los administradores de la de seguridad de la información puede que necesiten ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son: Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y sostenibilidad deben ser factores para considerar en el momento de la elección. La sostenibilidad es de una importancia particular para asegurar que el servicio estará disponible y la información puede ser vigilada. El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibilidad, afectando gravemente las operaciones del negocio. La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se encuentra realmente la información. Cuando la recuperación de la información se requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se encuentra almacenada. El acceso de terceros a información sensible crea un riesgo que compromete la información confidencial. En Cloud Computing, esto puede provocar una amenaza significante para asegurar la protección de la propiedad intelectual y secretos comerciales. Página 27 Preparado por el Grupo Investigación Istar- Versión /03/2008

42 Ingeniería de Sistemas Sidre - CIS1030SD02 La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la nube es responsable y responsable de las ramificaciones derivadas de posibles problemas. Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing debe comprender el rol que juega en términos de backups, respuesta y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el contrato Estrategias para el manejo de riesgos en Cloud Computing Estos riesgos, tan bien como otros que una empresa puede llegar a identificar, deben ser gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemente flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y los controles adicionales de información sensible o de alto valor para la organización. A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la ex- Página 28

43 Pontificia Universidad Javeriana Memoria de Trabajo de Grado pectativa de un control externo, un tercero. Las expectativas respecto a la manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desastres, deberá estar informado dentro del contrato. La protección de la información evoluciona como resultado de un fuerte e integro SLA que es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y detallado SLA que incluya derechos específicos de seguridad ayudará a la empresa en el manejo de su información una vez que sale a la organización y es transportada, almacenada o procesada en Cloud Computing Gobernabilidad y Cuestiones de Cambio con Cloud Computing La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología de Cloud y sus proveedores. Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas posibles de cambio. Además, los procesos que detallan la forma en que se almacena la información, archivado y copia de seguridad tendrán que ser examinados de nuevo. Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 29

44 Ingeniería de Sistemas Sidre - CIS1030SD02 pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuenta los usos de servicios en Cloud Computing. 2.4 COSO - Committee of Sponsoring Organizations Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commission, divulgo al mundo un informe de gran importancia para la historia del control interno. El Control Interno Marco Integrado, conocido también como COSO ofrece una base clara y fundamental que establece los sistemas de control interno y determinar su eficacia. Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al Sistema de Control Interno que fueron determinadas en la Ley de Administración Financiera y Sistemas de Control. En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que evalúe la calidad de los controles. COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de control interno son: 1. Asegurar la eficiencia y eficacia de las operaciones 2. Realizar informes financieros fiables 3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno. Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales dentro de un sistema de control interno eficaz. Página 30

45 Pontificia Universidad Javeriana Memoria de Trabajo de Grado El Entorno de Control Evaluación del Riesgo Actividades de Control Información Y Comunicación Supervisión Ilustración 8 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado, examinar los componentes del sistema de control en la organización e informar los resultados a la dirección o la gerencia. Definición de objetivos. Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta Página 31 Preparado por el Grupo Investigación Istar- Versión /03/2008

46 Ingeniería de Sistemas Sidre - CIS1030SD02 en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado. Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el resultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones determina si se puede asegurar a la organización la no existencia de ineficiencias significativas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmente brinda información útil que se comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación del control. Información financiera. El objetivo de información financiera, está dirigido a la adecuación y eficacia de controles de gestión que rigen la confiabilidad de la información financiera que se utiliza en la comunicación con externos. Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e internos. El cumplimiento trata principalmente con la correlación entre las leyes, procedimientos de la organización y, la práctica real COSO II Gestión de Riesgos Corporativos (ERM) El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque Página 32

47 Pontificia Universidad Javeriana Memoria de Trabajo de Grado adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso de ser adoptada por las grandes empresas. En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante el intento por aumentar el valor de sus clientes o interesados. La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad de aumentar valor. Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos por la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]: Alinear el riesgo aceptado y la estrategia o Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, determinando los objetivos requeridos y empleando mecanismos para administrar algunos riesgos asociados. Mejorar las decisiones de respuesta a los riesgos o La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar, reducir, compartir o aceptar. Reducir las sorpresas y pérdidas operativas Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 33

48 Ingeniería de Sistemas Sidre - CIS1030SD02 o Las organizaciones aumentan la capacidad de identificar los acontecimientos potenciales con el propósito de establecer respuestas acordes a su nivel de complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asociados. Identificar y gestionar la diversidad de riesgos para toda la entidad o Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser eficaces e integradas a los impactos que se puedan dar en estos riesgos. Aprovechar las oportunidades o Considerando eventos potenciales, la gerencia identifica y aprovecha las oportunidades proactivamente, para poder sacarle valor a sus actividades. Mejorar la dotación de capital o Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficazmente las necesidades de dinero lo cual le facilita la administración del mismo. Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino. De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una organización: Normalmente se comporta como un proceso continuo que fluye por toda la organización. Todo el personal de la organización está en la capacidad de aplicarlo. Se aplica en el establecimiento de la estrategia de control y gestión de riesgos. Página 34

49 Pontificia Universidad Javeriana Memoria de Trabajo de Grado La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a nivel conjunto. Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los riesgos que se encuentran aceptados. Ofrece seguridad al consejo de administración y a la dirección de la organización. Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos [Nasaudit, 2009]. Comparación del Control Interno de COSO y del Marco Integrado ERM Marco de Control Interno Marco integrado ERM Control del Entorno: El ambiente de control establece el tono de una organización, el tono de la organización, y establece las Entorno interno: El entorno interno abarca influenciando de esta forma la conciencia de bases de cómo el riesgo es observado y direccionado a las personas de la entidad, in- control de su gente. Esta es la fundación para todos los otros componentes de control interno, proporcionando disciplina y estructura. apetito de riesgo, integridad y valores éticos, cluyendo la filosofía en gestión de riesgos y Los factores del ambiente de control incluyen y el entorno en el cual todos operan. la integridad, valores éticos, estilo de gestión de funcionamiento, delegación de los sistemas de autoridad, así como los procesos de gestión y desarrollo de personas dentro de la organización. Marco del objetivo: Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que lo afecten. La gestión de riesgos empresariales asegura Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 35

50 Ingeniería de Sistemas Sidre - CIS1030SD02 que la administración ha puesto en ejecución un proceso para establecer objetivos y que los objetivos seleccionados apoyan, se alinean con la misión de la entidad y que sean consistentes con el apetito de riesgo. Identificación de Eventos: Los eventos externos e internos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas de vuelta a la estrategia de gestión o los procesos en los que se fijan los objetivos. Evaluación de Riesgos: cada entidad muestra una variedad y riesgos de fuentes que deben ser evaluados. Una precondición para la evaluación de riesgos es el establecimiento de objetivos, y por tanto la evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la consecución de los objetivos planeados. La evaluación de riesgos es un prerrequisito para la determinación de cómo se deben gestionar los riesgos. Actividades de Control: Las actividades de control son las políticas y procedimientos a ayudan a asegurar que la gestión de las directivas se llevan a cabo. Ayudan a garantizar que se toman las medidas necesarias para hacer frente a los riesgos para la consecución de los objetivos de la organización. Las acti- Evaluación de Riesgos: Los riesgos son analizados, considerando la probabilidad y el impacto, como bases para la determinación de cómo se pueden gestionar. Las áreas de riesgo se evaluaran de forma inherente y formal. Actividades de Control: Políticas y procedimientos son establecidos e implementados para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de forma efectiva. Página 36

51 Pontificia Universidad Javeriana Memoria de Trabajo de Grado vidades de control acurren a lo largo de la organización, en todos los niveles y todas las funciones. Se incluyen una serie de diversas actividades, aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones del desempeño operativo, seguridad de activos y segregación de funciones. Información y Comunicación: Los sistemas de información juegan un papel clave en sistemas de control interno que producen los informes, incluyendo operaciones, Información financiera y de cumplimiento que hace esto posible para ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurar que la información fluye hacia abajo, a través y hacia arriba en la organización. La comunicación efectiva debe estar también asegurada con las partes externas, cada cliente, distribuidores, reguladores y accionistas. Monitoreo: Los sistemas de control interno requieren ser monitoreados, Un proceso que evalúa la calidad del desempeño del sistema sobre el tiempo, lo cual se logra con actividades de monitoreo o de evaluaciones separadas. Las deficiencias del control interno detectadas a través de estas actividades de monitoreo deberían ser reportadas en contra de la corriente y las acciones correctivas para asegurar la mejora continua del sistema Información y Comunicación: La información relevante es identificada, capturada y comunicada en una forma y marco de tiempo que la gente dispone para llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio por toda fluyendo de abajo hacia arriba por toda la entidad. Monitoreo: La totalidad de la gestión de riesgos es monitoreada y se realizan modificaciones en caso de ser necesarias. El monitoreo es realizado a través de las actividades de gestión en ejecución, las evaluaciones independientes o ambas cosas. Página 37 Preparado por el Grupo Investigación Istar- Versión /03/2008

52 Ingeniería de Sistemas Sidre - CIS1030SD02 Tabla 2- Comparación del Control Interno de COSO y del Marco Integrado ERM 2.5 COBIT - Control Objectives for Information and related Technology En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas. [Domenech & Lenis, 2007] Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas Buenas prácticas de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan mecanismos medibles que permiten juzgar el buen resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del negocio que deben ser alcanzados: Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad. Página 38

53 Pontificia Universidad Javeriana Memoria de Trabajo de Grado El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la gerencia. La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia requerida. El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser utilizado por usuarios, profesionales de seguridad en TI y los propietarios de los procesos de negocio como una guía clara y entendible. Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado con los procesos de negocio tal como ofrecer controles apropiados. COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios: 1 Planificación y Organización Adquisición e Implementación Entrega de servicios Soporte y Monitorización. 1 [NetworkSec, 2008] Página 39 Preparado por el Grupo Investigación Istar- Versión /03/2008

54 Ingeniería de Sistemas Sidre - CIS1030SD02 Ilustración 9 - Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado Página 40

55 Pontificia Universidad Javeriana Memoria de Trabajo de Grado final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una actividad de TI. Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los riesgos, el control y monitoreo, optimización de recursos en cada proceso y los beneficios que están relacionados con información y la tecnología. Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 41

56 Ingeniería de Sistemas Sidre - CIS1030SD02 IV DESARROLLO DEL TRABAJO La modalidad de investigación de este trabajo ha permitido obtener una experiencia bastante enriquecedora en la cual se han aprendido diversos temas de interés en el medio de la tecnología y además el poder compartir con algunos organismos su posición frente a estos temas en la actualidad. A continuación se presentará el desarrollo que se llevó a cabo en la realización de este trabajo, exponiendo los entregables que hacen parte del trabajo de grado con el propósito de dejar por escrito y con gran claridad el proceso en la elaboración de dicho trabajo. 1. Caracterización de las empresas La elaboración de este entregable de trabajo de grado, inicio con dos etapas diferentes de levantamiento de información. La primera, considerada como esencial para el desarrollo del trabajo ya que incluía la visita a una empresa Pyme en la cual se obtendría información de primera mano para complementar la información del marco teórico y además poder establecer la gestión que le estaban dando a su servicio de Cloud Computing. La segunda forma era por medio de investigación en fuentes bibliográficas de documentos, libros o artículos que aportaran a la elaboración de dicho documento. El levantamiento de información que se realizó a través de la visita fue interesante pero no causo los resultados que se esperaban para el desarrollo de este entregable, ya que no se contó con toda la información que aportara un valor agregado al documento. La visita se llevó a cabo en una empresa de outsourcing de tecnología, en la cual se conoció información básica como la misión, visión, objetivos de trabajo, e información muy reducida sobre la gestión del servicio de Cloud Computing que tienen en el momento, debido a las normas de confidencialidad con las que cuenta la empresa y a las cuales solo pueden acceder personal de la empresa. En base a esto se concluyó que la actividad fue débil e improductiva, ya que mediante la visita no se logró esclarecer debilidades del modelo que permitieran determinar de forma más sencilla los requerimientos de control y aseguramiento que este tipo de empresas puede necesitar con el servicio de Cloud Computing. Para la segunda etapa, el tema de búsqueda fue bastante claro lo cual permitió tener una clara organización de los temas que se tocarían dentro del documento. Por sugerencia de varias personas se inicio la búsqueda con los proveedores del servicio, teniendo como premisa de búsqueda que los Página 42

57 Pontificia Universidad Javeriana Memoria de Trabajo de Grado grandes proveedores de Cloud Computing cuentan con la información bien documentada acerca de sus servicios en sus portales, lo cual podría facilitar encontrar las fuentes de investigación. SAAS SOFTWARE AS A SERVICE Salesforce CLOUD COMPUTING Google Apps Windows Live PLATFORM AS A SERVICE Google App Engine Microsoft Azure Force.com INFRASTRUCTURE AS A SERVICE Amazon Web Service Preparado por el Grupo Investigación Istar- Versión /03/2008 Página 43

58 Ingeniería de Sistemas Sidre - CIS1030SD02 GoGrid Flexiscale CLOUD STORAGE Amazon Simple Storage Service (Amazon S3) Nirvanix Amazon SimpleDB GESTORES DE CLOUD COMPUTING OpenNebula AbiCloud Tabla 3 - Proveedores Cloud Computing [Hidalgo/Caracterización de Empresas Cloud Computing, 2011] Seguido de esto, se buscó información acerca de las empresas Pyme con caso de éxito en el país y las necesidades que las llevan a tomar este servicio de Cloud Computing. Para iniciar, se realizó una búsqueda de empresas colombianas con casos de éxito en la implementación de los servicios de Cloud Computing en su negocio [Avanxo, 2011], sin embargo con esta información y con los servicios que ofrecen los proveedores se pudo reforzar el desarrollo del documento. Además, se encontró un documento adiciona [MesaSectorial, 2010], que permitió formalizar mucho mas la información de los clientes de Cloud Computing. Página 44