UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIA DEL HOMBRE Y LA NATURALEZA

LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN

“LOS SERVICIOS EN LA NUBE Y SU INCIDENCIA EN LAS ESTRATEGIAS

DE SEGURIDAD DE APLICACIONES Y DATOS DE LA PEQUEÑA Y

MEDIANA EMPRESA DE LOS MUNICIPIOS DE SAN SALVADOR,

SOYAPANGO E ILOPANGO, DEPARTAMENTO DE SAN SALVADOR EN EL

AÑO 2013”.

TESIS PARA OPTAR AL GRADO DE

LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN.

PRESENTADO POR

CAÑENGUEZ HERNANDEZ, INGRID ELIZABETH.

FLORES ARGÜELLO, MARÍA INDIRA.

ASESORA:

LICDA. ANA LISSETTE GIRÓN.

NOVIEMBRE 2013

SAN SALVADOR, EL SALVADOR, CENTROAMÉRICA

UNIVERSIDAD LUTERANA SALVADOREÑA

AUTORIDADES UNIVERSITARIAS

LIC. FIDEL NIETO LAÍNEZ

RECTOR

LIC. JOSÉ DAGOBERTO GUTIÉRREZ LINARES

VICE-RECTOR

LICDA. ANA DE LOS ÁNGELES SALOMONE

SECRETARIA GENERAL

LIC. LUIS HERNÁNDEZ

FISCAL

DR. ROLANDO MARTÍNEZ MELARA

DECANO DE LA FACULTAD DE CIENCIAS

DEL HOMBRE Y LA NATURALEZA

UNIVERSIDAD LUTERANA SALVADOREÑA

MIEMBROS DEL JURADO CALIFICADOR

LIC.

PRESIDENTE

LIC.

SECRETARIO

ING.

VOCAL

INDICE

INTRODUCCION ..................................................................................................... I

CAPITULO I ............................................................................................................ 1

1. PLANTEAMIENTO DEL PROBLEMA ............................................................ 1

1.1 SITUACIÓN PROBLEMÁTICA ..................................................................... 1

1.2 ENUNCIADO DEL PROBLEMA ................................................................... 4

1.3 JUSTIFICACIÓN ........................................................................................... 4

1.4 OBJETIVOS .................................................................................................. 8

1.4.1 Objetivo General ..................................................................................... 8

1.4.2 Objetivos Específicos ............................................................................. 8

1.5 DELIMITACIÓN............................................................................................. 9

1.5.1 Delimitación Geográfica. ........................................................................ 9

1.5.2 Delimitación Temporal. ........................................................................... 9

1.5.3 Delimitación Poblacional. ..................................................................... 10

1.5.4 Delimitación Contextual........................................................................ 10

1.5.5 Delimitación Social ............................................................................... 10

1.6 ALCANCES Y LIMITACIONES .................................................................. 11

1.6.1 Alcances ............................................................................................... 11

1.6.2 Limitaciones .......................................................................................... 12

CAPITULO II ......................................................................................................... 13

2 MARCO REFERENCIAL .............................................................................. 13

2.1 Pequeña y Mediana Empresa en El Salvador ........................................... 13

2.1.1 Clasificación de las Pequeñas y Medianas Empresas ....................... 14

2.2 Clasificación de las Empresas en El Salvador .......................................... 15

2.2.1 Clasificación por Actividad a la que se dedican .................................. 15

2.2.2 Clasificación por su tamaño. ................................................................ 16

2.2.2.2 Por su número de trabajadores (Según el BMI) ............................... 17

2.2.2.3 Por sus Ventas Totales (según el BMI) ............................................ 17

2.3 Origen del término Cloud Computing ......................................................... 18

2.4 El origen de El Cómputo en la Nube .......................................................... 19

2.5 Cloud Computing o Computación en la Nube .......................................... 22

2.6 Componentes de la Computación en la Nube ........................................... 23

2.7 Arquitectura de referencia en Cloud Computing........................................ 26

2.7.1 Infraestructura como servicio o Infrastructure as a Service (IaaS)..... 28

2.7.2 Plataforma como servicio o Platform as a Service (PaaS) ................. 29

2.7.2.1 Características de una Plataforma como Servicio ........................... 31

2.7.2.2 Beneficios de PaaS ........................................................................... 32

2.7.2.3 Recursos PaaS .................................................................................. 32

2.7.3 Virtualización ........................................................................................ 33

2.7.3.1 Algunas de las características de la Virtualización son: .................. 33

2.7.4 Software como Servicio o Software as a Service (SaaS) ................... 34

2.7.4.1 Las características fundamentales de este modelo se pueden....... 34

2.7.4.2 Tres sistemas básicos que desarrolla un Proveedor de SaaS ........ 35

2.7.4.3 Algunos aspectos fundamentales de cara al cliente que va a

consumir los servicios SaaS. ........................................................................ 36

2.8 Tipos de Cloud ............................................................................................ 40

2.8.1 Cloud pública ........................................................................................ 40

2.8.2 Cloud privada ........................................................................................ 41

2.8.2.1 Diferencias entre Nube Pública y Nube Privada .............................. 41

2.8.3 Cloud Híbrida ........................................................................................ 43

2.9 Implementaciones ....................................................................................... 44

2.9.1 Amazon Web Services (AWS) ............................................................. 45

2.9.1.1 Amazon Elastic Compute Cloud (EC2) ............................................ 46

2.9.1.1.1 Características que brinda Amazon con este servicio son: .......... 47

2.9.1.2 Amazon Simple Storage Service (S3) .............................................. 48

2.9.2 Microsoft Windows Azure ..................................................................... 50

2.10 Cloud Computing y SOA........................................................................... 52

2.11 Aspectos claves en la elección de IaaS frente a sistemas tradicionales 55

2.11.1 Aspectos técnicos............................................................................... 56

2.11.2 Aspectos estratégicos ........................................................................ 57

2.11.3 Aspectos económicos ........................................................................ 58

2.11.4 Aspectos legales ................................................................................ 58

2.12 Aspectos claves en la elección de PaaS frente a sistemas tradicionales

........................................................................................................................... 58

2.12.1 Calidad final ........................................................................................ 59

2.12.2 Interoperabilidad con otros sistemas en línea ................................... 59

2.13 Aspectos Claves a tomar en cuenta para implantar una solución PaaS 60

2.13.1 Aspectos técnicos............................................................................... 60

2.13.2 Aspectos estratégicos ........................................................................ 60

2.13.3 Aspectos económicos ........................................................................ 61

2.13.4 Aspectos legales ............................................................................... 61

2.14 Aspectos claves en la elección de SaaS frente a sistemas tradicionales

........................................................................................................................... 62

2.14.1 Coste ................................................................................................... 62

2.14.2 Administración informática ................................................................. 62

2.14.3 Independencia de las mejoras en las aplicaciones ........................... 62

2.15 Aspectos clave a la hora de decidir optar por soluciones SaaS de forma

total o parcial en la organización: ..................................................................... 63

2.15.1 Aspectos técnicos............................................................................... 63

2.15.2 Aspectos estratégicos ........................................................................ 63

2.15.3 Aspectos económicos ........................................................................ 64

2.15.4 Aspectos legales ................................................................................ 64

2.16 Otros XaaS: El caso del Virtual Desktop Infrastructure (VDI) ................. 64

2.17 Riesgos en Cloud Computing ................................................................... 67

2.17.1 Riesgo de pérdida de datos: .............................................................. 68

2.17.2 Riesgo de caída del servicio: ............................................................. 68

2.18 Beneficios .................................................................................................. 69

2.19 Desventajas .............................................................................................. 70

2.20 Principales factores que contribuyen a mejorar la productividad y

competitividad en las Pequeñas y Medianas empresas.................................. 71

2.21 La nube una alternativa para las PYMES ................................................ 73

2.22 Cinco pasos clave y sencillos para llegar a la nube ................................ 75

2.23 Seguridad Informática ............................................................................... 77

2.23.1 Seguridad en el Web .......................................................................... 77

2.23.2. Importancia de la seguridad en el Web ............................................ 78

2.23.3 Objetivos de la Seguridad. ................................................................. 80

2.23.4. Estrategias de Seguridad. ................................................................. 81

2.23.4.1. Metodología para la definición de una estrategia de seguridad

(Benson, 2001). ............................................................................................. 84

2.23.5 Amenazas a la seguridad de la información. .................................... 92

2.23.6 Creación de una estrategia para controlar los riesgos de Tecnología

de Información ............................................................................................... 96

2.24 La importancia de analizar los riesgos de las TI ..................................... 99

2.25 Arquitectura de Sistemas: I.- Cloud Computing. ................................... 103

2.26 Plan de Recuperación Ante Desastres .................................................. 105

2.27 La Solución de Acronis ........................................................................... 111

2.28 CLOUD COMPUTING Y LA FILOSOFÍA OPENSOURCE ................... 113

2.29 ASPECTOS LEGALES ........................................................................... 115

2.29.1 LA COMPUTACIÓN EN LA NUBE EN EUROPA............................... 115

2.29.2 LA COMPUTACIÓN EN LA NUBE EN LATINOAMERICA ................ 116

2.29.3 LA COMPUTACIÓN EN LA NUBE EN EL SALVADOR .................... 118

2.30 TERMINOLOGÍA BÁSICA ...................................................................... 120

CAPITULO III ...................................................................................................... 125

3. SISTEMA DE HIPÓTESIS .......................................................................... 125

3.1 HIPÓTESIS GENERAL ............................................................................ 125

3.2 HIPÓTESIS ESPECÍFICAS ...................................................................... 125

3.3 RELACIÓN ENTRE OBJETIVOS E HIPÓTESIS .................................... 126

3.4 RELACIÓN ENTRE HIPÓTESIS GENERAL E HIPÓTESIS ESPECÏFICAS

......................................................................................................................... 127

3.5 OPERACIONALIZACIÓN DE VARIABLES ............................................. 128

3.6 MATRIZ DE CONGRUENCIA .................................................................. 131

CAPITULO IV...................................................................................................... 133

4. METODOLOGÍA DE LA INVESTIGACION ................................................ 133

4.1 TIPO DE ESTUDIO................................................................................... 133

4.1.1 INVESTIGACIÓN BIBLIOGRÁFICA ................................................ 133

4.1.2 INVESTIGACIÓN DE CAMPO: ........................................................ 133

4.2 NIVELES DE ESTUDIO........................................................................... 133

4.2.1 EXPLORATORIO: ............................................................................. 134

4.2.2 DESCRIPTIVO: ................................................................................ 134

4.2.3 EXPLICATIVO: ................................................................................... 134

4.3 MÉTODO LÓGICO: .................................................................................. 135

4.3.1 DEDUCTIVO ....................................................................................... 135

4.3.2 INDUCTIVO ........................................................................................ 135

4.3.3 ANALÍTICO ......................................................................................... 135

4.3.4 SINTETICO ......................................................................................... 135

4.4 SUJETO Y OBJETO DE ESTUDIO ....................................................... 135

4.5 UNIDADES DE ANÁLISIS ........................................................................ 136

4.6 POBLACIÓN Y MUESTRA. ...................................................................... 136

4.6.1 POBLACIÓN: ...................................................................................... 136

4.6.2 MUESTRA: ......................................................................................... 137

4.7 TÉCNICAS E INSTRUMENTOS DE LA INVESTIGACIÓN: ................... 140

4.7.1 TÉCNICA: ........................................................................................... 140

4.7.2 INSTRUMENTOS: .............................................................................. 141

4.8 PROCESO DE VALIDACIÓN DE INSTRUMENTOS. ............................. 142

4.9 PROCEDIMIENTO DE LA INVESTIGACIÓN. ........................................ 143

4.9.1 PROCEDIMIENTO GENERAL ......................................................... 143

4.10 PROCEDIMIENTOS ESTADISTICOS. ................................................. 144

CAPITULO V....................................................................................................... 145

5. ANÁLISIS E INTERPRETACIÓN DE RESULTADO ................................. 145

5.1 SÍNTESIS DEL ANALISIS E INTERPRETACION DE RESULTADOS.. 145

5.2 Síntesis del Análisis .............................................................................. 172

5.3 Verificación de Hipótesis ...................................................................... 172

5.3.1 Verificación de la Hipótesis Específica Uno .................................. 173

5.3.2 Verificación de la Hipótesis Específica Dos ..................................... 174

5.3.3 Verificación de la Hipótesis Específica Tres .................................... 175

5.3.4 Verificación de Hipótesis General ..................................................... 176

CAPITULO VI...................................................................................................... 178

6. CONCLUSIONES Y RECOMENDACIONES............................................. 178

6.1 CONCLUSIONES ..................................................................................... 178

BIBLIOGRAFÍA ................................................................................................... 184

ANEXO 1................................................................ ¡Error! Marcador no definido.

ANEXO 2................................................................ ¡Error! Marcador no definido.

ANEXO 3.............................................................. ¡Error! Marcador no definido.0

ANEXO 4................................................................ ¡Error! Marcador no definido.

I

INTRODUCCION

En el presente trabajo de tesis se desarrolla el tema “Los Servicios en la Nube y

su incidencia en las estrategias de seguridad de aplicaciones y datos de la

Pequeña y Mediana empresa de los municipios de San Salvador, Soyapango e

Ilopango, departamento de San Salvador en el año 2013”.

Internet en el último tiempo ha tenido un enorme crecimiento, lo que ha

generado en los usuarios la costumbre de utilizar servicios en línea como parte

de sus actividades cotidianas, tales como: mensajería instantánea, web mail,

redes sociales, mapas, documentos, respaldos de datos, videos online y un sin

fin de servicios. Todas estas aplicaciones no están instaladas en sus

computadores, sino en la llamada “nube de Internet”. De esta forma, cuando se

utilizan servicios de la “nube”, se utilizan servicios que forman parte de Cloud

Computing, un modelo de computación en el que todo lo que puede brindar un

sistema informático se ofrece como un servicio que puede ser accedido a través

de Internet.

Últimamente, la variedad de servicios que se ofrecen mediante Cloud

Computing ha crecido de forma considerable, siendo las grandes empresas

norteamericanas y europeas las que lideran en innovación e implementación,

sin embargo, en Latinoamérica aún existen sectores económicos que

desconocen del uso de esta tecnología. De aquí nace la necesidad de analizar

este paradigma con el fin de estudiar cual es el uso que se está dando a los

Servicios en la Nube en las Pequeñas y Medianas Empresas de nuestro país y

qué estrategias están utilizando para garantizar la seguridad de los datos y la

continuidad de las operaciones dentro del sector empresarial.

II

Para la mayoría de las Pequeñas y Medianas Empresas, las inversiones en las

Tecnologías de Información implican un esfuerzo significativo en términos

económicos, pues no solo se necesita la infraestructura adecuada sino que

además personal dedicado para mantener los sistemas funcionando,

garantizando seguridad y mecanismos de recuperación ante desastres. Por otra

parte existen empresas que aun necesitando sistemas informáticos carecen de

las capacidades o deseos de trabajar con su propia infraestructura. Es aquí

donde Cloud Computing se presenta como una alternativa atractiva pues

permite implementar de forma rápida recursos, aplicaciones y servicios de

negocios con menor esfuerzo técnico, económico y operacional.

La computación en nube es conveniente para los usuarios y es rentable para

los proveedores pues, a pesar de presentar algunos riesgos, el poder trabajar

con este nuevo tipo de tecnología, permite ahorrarse tanto licencias como la

administración de servicios y de los equipos necesarios para estos. Todo

gracias a la arquitectura conformada por capas con la cual trabaja denominadas

por las siglas SaaS, PaaS y IaaS, las cuales corresponden al software,

plataforma e infraestructura como servicios respectivamente.

A lo largo de la investigación, las tecnologías de información, en especial el

tema de interés que en este caso es la seguridad de “la tecnología alojada” o

“computación en la nube”, se han mostrado como herramientas válidas para

ayudar a la organización a resguardar los datos y a su vez en la tarea de

gestionar eficientemente su información. Se trata además los cambios que

pueden sufrir las empresas en su aplicación, es decir, la influencia del cómputo

en la nube sobre la estructura organizativa de la empresa, sin olvidar el impacto

de esta tecnología sobre resultados empresariales.

III

El desarrollo de la tesis lleva consigo una serie de etapas que describen de

forma sistemática y específica los pasos que se han ejecutado dentro del

proyecto; los cuales se detallan a continuación:

CAPITULO I: Comprende una investigación del planteamiento del problema con

el objetivo de profundizar en las necesidades tecnológicas y de seguridad y el

uso de servicios en la nube en las pequeñas y medianas empresas de los

municipios de San Salvador, Soyapango e Ilopango.

CAPITULO II: Se presenta el marco de referencia donde se describen aspectos

importantes como los antecedentes sobre el origen del Cloud Computing,

además de la información teórica que sirve para fundamentar la información de

la investigación y definición operacional de términos básicos.

CAPITULO III: Constituido por el sistema de hipótesis, hipótesis general,

hipótesis específica uno, hipótesis especifica dos, hipótesis especifica tres,

relación entre hipótesis general e hipótesis específicas, operacionalización de

hipótesis en variables e indicadores.

CAPITULO IV: En esta etapa se presenta la metodología de la investigación,

donde se aclara el tipo de investigación que se realizará con sus respectivos

fundamentos, además mostrando el método utilizado, la población, la muestra,

la técnica e instrumentos y por último se presenta la fórmula para la

comprobación de hipótesis.

CAPITULO V: Este capítulo lo forma una de las partes más importantes, el

análisis e interpretación de los datos, tabulación y la comprobación de las

hipótesis.

IV

CAPITULO VI: En esta fase se presenta las conclusiones y recomendaciones

como productos directos de los resultados obtenidos mediante el desarrollo de

la investigación.

Finalmente se describe la bibliografía consultada y se presentan los anexos en

los cuales se ha adquirido la información necesaria para realizar la

investigación.

1

CAPITULO I

1. PLANTEAMIENTO DEL PROBLEMA

Actualmente la aparición de diferentes plataformas informáticas y las

aplicaciones que estás ofrecen, el creciente número de usuarios navegando en

internet y el uso que estos le dan cada día es mayor. Esta es una de las

principales razones por las que “La computación en la nube” o “Cloud

Computing” se popularizo. Proveedores de servicio gestionado de tecnología

con años de trayectoria en el mercado de la computación como Google,

Amazon, Salesforce, Microsoft entre otros que construyeron su propia

infraestructura para poder ofrecer servicios en línea, no importando el sistema

que se use en la computadora local.

1.1 SITUACIÓN PROBLEMÁTICA

La mayor necesidad de un negocio en la actualidad es continuar operando a

pesar de una interrupción del recurso de información. Sin embargo como los

negocios ahora están cimentados en esas herramientas están apoyados en

procesos de información, una falta de un servicio de información puede

provocar una interrupción en la operación de las empresas y esto ha venido, en

la medida que la tecnología viene entrando y apoyándose cada vez más se

está dando la necesidad de que no se puede trabajar si no hay un apoyo

tecnológico.

Servicios importantes destinan en tecnología la base de sus operaciones de

negocios sus procesos más críticos están basados en operaciones de negocios

y requieren apoyo tecnológico, entre los cuales se destacan: Servicios

financieros, externalizadores de procesos, centro de llamada o Call Center. Se

habla de la industria, la mayoría de las empresas que prestan los servicios que

tienen un alto valor agregado de conocimientos y procesos especializados

están cimentados en plataformas tecnológicas sin las cuales no pudiera ser

2

posible brindar el servicio y esas son las que está requiriendo planes de

continuidad de negocios.

Todo presupone un nuevo modelo de compra, ya no se compran activos se

compran servicios. Es un nuevo modelo de acceso, ya los usuarios no están

fijos en escritorios, andan móviles en los cuales tienen acceso a internet andan

cualquier tipo de dispositivo.

La nube informática es un servicio que está teniendo mayor demanda y

utilización en las empresas a nivel mundial. Una encuesta realizada en el año

2012 por Business Software Alliance (BSA), elaborada por Ipsos Public Affairs,

que fue hecha en 33 países y a 15.000 usuarios obtuvo como resultado que en

todo el mundo, el 88% de los usuarios dicen que utilizan los servicios remotos

para propósitos personales, y un 33% señala que los utiliza para temas

profesionales. Estos datos son ligeramente superiores si se trata de economías

emergentes, ya que estas últimas están adoptando los servicios de cloud

computing de forma general, incluso los servicios de pago.

El 45% de los usuarios utiliza servicios on-line para gestionar contenido de

manera digital de forma remota. Esta cifra se eleva de media hasta el 50% en

mercados emergentes como Tailandia, Malasia, Argentina o Perú, pero

desciende hasta el 33% en economías más desarrolladas, como Estados

Unidos, Reino Unido, Alemania o Francia. Los usuarios que utilizan servicios de

pago, el 42% comparte las claves de acceso dentro de su organización. En los

países emergentes, el 45% de los usuarios de servicios de pago comparte las

claves, frente al 30% de los usuarios de países desarrollados.

Según explica el presidente y director de Business Software Alliance (BSA)

Rober Holleyman, estos porcentajes no significan que se esté pirateando

servicios en la nube porque algunas licencias permiten compartir cuentas y

3

algunos proveedores no facturan por usuarios sino por volumen de recursos

utilizados.1

En la reciente LatinComm Conference and Expo realizada en febrero en el año

2013, el primer evento de su tipo enfocado en la floreciente industria de

comunicaciones de Tecnología de Información, Wilson Grava, vicepresidente de

NetApp Latinoamérica: “El cómputo en la nube ya es una realidad en

Latinoamérica. Existe la idea errónea de que nuestra región está atrasada en

términos del cómputo en la nube. Sin embargo, de acuerdo a una investigación

de Tata Consultancy Services (TCS), las aplicaciones en la nube constituyen

hasta el 39% de todas las aplicaciones de software corporativo en las

compañías grandes de Latinoamérica, en comparación con el 28% en Asia

Pacífico, el 19% en Estados Unidos, y tan solo el 12% en Europa. Considero

que la mayoría de las compañías en la región ya están en la nube, o planean

estarlo".2

Pese a que grandes y medianas empresas han implementado poco a poco los

servicios en la nube, aún existe miedo en las empresas por la Seguridad de sus

datos en la nube ya que para una empresa su información es su principal

recurso y este se le deposita en una tercera persona. Este punto en el cual la

información está en manos y es manejada por terceros es bien delicado y es

aquí el verdadero reto del cloud. Las fallas de la Seguridad en la nube es una

razón fuerte para que las empresas duden en usar el clouding.

A medida que las empresas empiecen a quitarse el miedo y confiar en el

servicio en la nube existe otro reto, en Latinoamérica es contar con una fuerza

laboral de Tecnología de Información que esté capacitada para operar nuevos

sistemas, infraestructuras en la nube.

1 http://www.portalinformatico.com/newsbook/actualidad/uso-nube-mundo-33-profesional-88-personal--

2012071987113.htm 2 http://tecno.americaeconomia.com/noticias/latinoamerica-esta-lista-para-la-nube

4

1.2 ENUNCIADO DEL PROBLEMA

Dado el planteamiento anterior se ha llegado a la conclusión de plantear las

siguientes interrogantes:

1.2.1 Pregunta General

-¿Cómo inciden los servicios en la nube en las estrategias de seguridad de

aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año

2013?

1.2.2 Preguntas Específicas

-¿En qué medida los servicios en la nube proporcionan una gestión eficiente de

recursos de Hardware y Software de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e Ilopango, Departamento de San

Salvador en el año 2013?

-¿De qué manera los servicios en la nube garantizan la seguridad de

aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año

2013?

-¿De qué forma los servicios en la nube aseguran la disponibilidad de

aplicaciones y datos de la de la Pequeña y Mediana Empresa de los Municipios

de San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el

año 2013?

1.3 JUSTIFICACIÓN

Una de las transformaciones más importante de las empresas se ha dado a raíz

de la crisis económica mundial y a las altas tasas de desempleo, no había

mucha disponibilidad de inversiones en activos tecnológicos, sin embargo el

mercado de soluciones seguía teniendo los mismos ofrecimientos y hubo

5

participantes oferentes en ese mercado que cambiaron su modelo de despacho

y empezaron a ofrecer sus productos y servicios permitiéndoles centrarse cada

vez más en la competitividad y en la reducción de costos.

Actualmente los servicios informáticos gestionados a través del área de

Tecnología de la Información de las empresas han sufrido una

reconceptualización por el uso de la Nube. El papel que tenía el área de

Tecnología de la Información era el de un simple gestor de recursos y sistemas,

es decir, la empresa los adquiría, los implementaba y finalmente ella misma los

administraba en el tiempo Los proveedores de hardware obligaban a las

empresas a tener un ciclo y este era: Comprar, usar, descartar, renovar, y esos

ciclos se deban y existían ciclos de inversiones, ciclos de mantenimiento.

Después se dieron cuenta que también para mantener los productos, seguirlos

optimizando necesitaban tener contratos de servicios, pagar un contrato de

servicio que adicionalmente les permitieran a ellos tener un cuerpo de

ingeniería que modificara y mejorara los productos o los servicios y además

diera soporte en luz si estos escapaban del conocimiento de los empleados.

Hubo una adaptación y adopción de las empresas a ese tipo de modelo y último

modelo reciente.

El modelo de crisis económica ya existía, el modelo tecnológico surgió

posteriormente, el mismo modelo de crisis económica también hizo unos que

otros proveedores dijeran “Bueno mira tenemos que crear otro modelo de

compra de esto, porque no tienen dinero las empresas, no hay dinero para

inversiones” y el ultimo que vino es el modelo de adopción. Hubo un tiempo, un

escenario de adopción de las empresas en decir “bueno mira debemos de

pasar la página dejar de pensar que si es cloud, que si es inseguro, vamos

averiguar y veamos si se adapta”. Entonces todo esto ha hecho que en los

últimos tiempos los oferentes empiecen a hablar de cloud, pero también los que

requieren los servicios de consumo de infraestructura tecnológica.

6

Las empresas a nivel mundial utilizan el internet y los recursos que este ofrece

para tener acceso a información, aplicación desde cualquier lugar del mundo

para realizar y concretar negocios, pero esto ha ido cambiando de manera

acelerada debido a situaciones de inseguridad a nivel cibernético y surge la

necesidad de mantener la información segura de cualquier ataque de robo,

suplantación de la información, entre otros que puedan darse del exterior y

determinar el grado de resguardo de los datos y aplicaciones.

El mercado del Software ofrece el acceso a soluciones bajo esta fórmula que

pueden ser gratis como de pago, que le reporta al cliente un control del gasto

por el por uso y una actualización constante de sus productos, con nuevas

aplicaciones y da una alternativa a los requerimientos del mercado mediante la

innovación en sus soluciones.

Una solución que se ofrece hoy en dia y que está dando buenos resultados es

el Servicio en la Nube conocido en ingles por “Cloud Computing” que son

nuevas tecnologías, analizando el estado del mercado del software y muestran

su estrategia para responder a los retos del futuro.

Además de marcar la diferencia con su tecnología y enfoque, los especialistas

en software de gestión coinciden en transmitir a las empresas el mensaje de

que la inversión en tecnología es rentable por el beneficio que les reportará a la

hora de optimizar sus procesos de negocio, con herramientas más eficaces,

presentando así oportunidades y que los proveedores de software estén

introduciendo novedades tecnológicas para ser más competitivos y responder a

la demanda actual de la empresa.

El cloud computing, no solo conlleva la innovación tecnológica, sino también un

cambio de modelo de negocio, que se caracteriza por todos sus servicios,

programas, aplicaciones, aumento de capacidad de almacenamiento y de

procesamientos de datos, responder a todas las necesidades de gestión de

todo tipo de empresas y profesionales; como la ejecución de los programas en

7

dispositivos móviles que son alternativas, el servicio al cliente es una de las

claves del éxito de las implantaciones del software y será un factor fundamental

tanto en la actualidad como en el futuro.

El cloud computing está ganando terreno a los sistemas tradicionales y cada

vez son más las empresas que empiezan a valorar este modelo.

Según un informe Tata Consultancy Services (TCS), Latinoamérica es el lugar

que mas software aloja información en la nube por delante de Estados Unidos

y Europa, eso en el campo de los negocios, pero la nube está presente en

actividades cotidianas como el uso de las redes sociales y más.3

Las redes sociales, se han convertido en el paradigma de una nueva forma de

obtener información, contratar opiniones y como canal de comunicación y de

negocio de las empresas para dar soluciones de gestión de un proceso y

obtener la máxima rentabilidad de las nuevas oportunidades que surgen y cómo

cuantificarlas para asegurar su optimización.

Sin embargo se debe tener en cuenta que cuando se trata de la Nube así como

en el entorno físico hay que asegurarse que solamente los usuarios autorizados

puedan acceder a la información crítica y que dicha información no salga de la

empresa, también es clave garantizar que los proveedores de servicios en la

nube puedan satisfacer los requisitos de cumplimiento legal y normativo de

cada país.

Otro factor muy importante a evaluar es como los proveedores de cuestiones

operativas en la nube garantizan alta disponibilidad y capacidad de

recuperación antes desastres.

La realización de esta investigación permite establecer cuáles son las

estrategias de seguridad que la Pequeña y Mediana Empresa aplica para

garantizar la seguridad de sus datos y aplicaciones.

3Fuente: La Prensa Gráfica-Techlife. Octubre2013. P.37

8

En nuestro medio no existe un estudio que determine como están utilizando las

PYMES al Cloud Computing, o siquiera si tienen planes de hacerlo en el corto o

mediano plazo, y este estudio puede significar una guía no solamente para

conocer el grado de utilización de la computación en la nube sino para

establecer una ruta a seguir que puede incluir otros servicios y/o aplicaciones

ofrecidas por el proveedor de servicio en la nube. Además permitirá develar un

gran potencial para que empresas de tecnologías puedan brindar soluciones no

satisfechas ante la demanda de atención de las PYMES que no consideraban

prioritaria la protección de sus datos ante un desastre tecnológico.

1.4 OBJETIVOS

1.4.1 Objetivo General

Investigar como los Servicios en la Nube Inciden en las Estrategias de

Seguridad de Aplicaciones y Datos de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e Ilopango, Departamento de San

Salvador en el año 2013.

1.4.2 Objetivos Específicos

- Evaluar en qué medida los Servicios en la Nube Proporcionan una Gestión

Eficiente de Recursos Hardware y Software de la Pequeña y Mediana

Empresa de los Municipios de San Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el año 2013.

- Determinar de qué manera los Servicios en la Nube Garantizan la Seguridad

de Aplicaciones y Datos de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e Ilopango, Departamento de San

Salvador en el año 2013.

- Identificar de qué forma los Servicios en la Nube Aseguran la Disponibilidad

de Aplicaciones y Datos de la Pequeña y Mediana Empresa de los

9

Municipios de San Salvador, Soyapango e Ilopango, Departamento de San

Salvador en el año 2013.

1.5 DELIMITACIÓN

1.5.1 Delimitación Geográfica.

La investigación se desarrollará en la zona de San salvador, tomando en cuenta

los municipios de San Salvador, Soyapango e Ilopango, dado que la cantidad

de pequeña y mediana empresa, que operan en esas zonas permitirá hacer un

estudio que cumpla con las expectativas planteadas.

Fig. N° 1.1 Ubicación Geográfica de la zona de San Salvador, Soyapango e Ilopango

1.5.2 Delimitación Temporal.

La investigación estará comprendida entre los meses de Junio a Octubre del

año 2013, periodo el cual se llevarán a cabo entrevistas y recopilación de

información que de un aporte relevante al estudio en las pequeñas y medianas

empresas de los municipios de San Salvador, Soyapango e Ilopango,

Departamento de San Salvador.

10

1.5.3 Delimitación Poblacional.

La población a la cual se dirige la investigación, es a las Pequeñas y Medianas

Empresas de los municipios de San Salvador, Soyapango e Ilopango, del

Departamento de San Salvador, enfocada al área de informática que tenga en

común el uso de Servicios en la Nube o alguno de los servicios que esta

proporciona a las cuales se les encuestará y entrevistará para recopilar dicha

información que da un aporte relevante al estudio.

El propósito de realizar esta investigación es con el fin de determinar cuántas

empresas están utilizando el Servicio en la Nube, los beneficios que han

obtenido al experimentar nuevas aplicaciones para la mejora de la empresa y

como esto les ha ayudado a proteger su información.

1.5.4 Delimitación Contextual.

Debido a las innovaciones tecnológicas y los nuevos servicios que orientan al

almacenamiento de datos y gestión de aplicaciones en la nube, se vio la

necesidad de realizar la presente investigación sobre el uso de los servicios en

la nube en la pequeña y mediana empresa buscando como resultado brindar

orientaciones adecuadas para determinar los mecanismos de seguridad

implementados en este sector para garantizar la integridad de su información.

1.5.5 Delimitación Social

La misma necesidad de la transformación digital de las empresas, poder reducir

sus costos de operaciones como recursos tecnológicos, expandir sus

operaciones, la misma manera de trabajo de los tele trabajadores, la dispersión

geográfica de los negocios. Por razones anteriormente expuestas las Pymes se

han visto en la obligación de buscar nuevos métodos o formas que puedan

beneficiarles para que estas sean más competitivas en el mercado mundial.

11

1.6 ALCANCES Y LIMITACIONES

1.6.1 Alcances

Los municipios que se tomaron en cuenta para llevar a cabo la investigación

serán: Ilopango, Soyapango y San Salvador, del Departamento de San

Salvador, debido que en estos municipios se encuentra la mayor

concentración de empresas que se necesitan para poder realizarla.

Por medio de la investigación se ha obtenido un porcentaje de pequeña y

mediana empresas que hacen uso de los Servicios en la Nube.

Conocer la tendencia de la nube: Los servicios que están siendo más

usados y las razones de su uso.

Identificar las pequeñas y medianas empresas que proporcionan los

diferentes servicios y que están alojados en la nube.

Saber cómo las empresas están adoptando el uso de los avances

tecnológicos para la protección, resguardo de información

Reconocer qué estrategias implementan las pequeñas y medianas

empresas que utilizan los servicios de la nube para mantener la

disponibilidad de la información .

Qué el resultado de la investigación de campo sirva para aumentar el tesario

de la biblioteca de la Universidad Luterana Salvadoreña, de manera que

proporcione a los estudiantes una fuente de información.

Qué el presente estudio y sus resultados sirvan como guía para que pueda

ser utilizada por las personas interesadas en conocer sobre el Cloud

Computing y su uso en el sector empresarial.

12

1.6.2 Limitaciones

- La investigación se desarrolló tomando en cuenta diferentes tipos de

pequeña y mediana empresas que utilizan los servicios en la nube, por lo

cual poder obtener la información deseada fue una limitante ya que esto es

aún algo nuevo para las empresas, pese que algunas ya tienen unos meses

con los servicios.

- Desconfianza por parte de las empresas de quien pueda llegar a tener

acceso a la información privada de ellos y que esta caiga en manos de

terceros.

- El poco conocimiento y/o poco manejo de los Servicios en la nube o el no

conocimiento de estos.

- Poca información del tema en el idioma español. La mayor información

acerca de Servicios en la Nube se encuentra en otros idiomas, como inglés

y portugués.

- Poca divulgación de los Servicios en la Nube en el ámbito empresarial de

pequeñas y medianas empresas.

- La falta de conocimiento e interés en el tema hace la creencia que por el uso

de los Servicios en la Nube debe de pagar un alto costo por ellos.

13

CAPITULO II

2 MARCO REFERENCIAL

2.1 Pequeña y Mediana Empresa en El Salvador

“El surgimiento del concepto de PYMES se enmarca hacia finales de la década

de los años 70 del siglo pasado y se relaciona principalmente con la crisis del

modelo Fordista de producción que sustentaba la existencia de grandes

industrias con rigidez en sus esquemas tecnológicos y productivos, y estaban

orientadas casi exclusivamente al mercado interno. En este contexto el papel de

las PYMES se limitaba al mantenimiento del equilibrio socioeconómico. Su

tarea era la de generar fuentes de trabajo”. En la actualidad las pequeñas y

medianas empresas desempeñan una función crucial en la competencia

mundial. Si bien se esperaba que esta requeriría de grandes unidades de

producción, la historia industrial de los últimos decenios ha demostrado con

claridad que las PYMES no son agentes marginales de la dinámica competitiva;

es decir, el escenario no está plenamente dominado por unos cuantos gigantes.

El concepto o definición de PYME puede en un momento determinado crear

distorsiones y percepciones, cuando se comparan empresas del mismo sector,

en otras palabras, existe una heterogeneidad entre las mismas que hace difícil

con una definición lograr una comparación. 9 Las PYMES son el pilar

fundamental de la economía de la mayoría de los países, y son las que

necesitan ser más competitivas, para la generación de empleo y dinamizar el

consumo e inversión como fuentes de crecimiento y desarrollo económico. Las

Pequeñas y Medianas Empresas (PYMES) constituyen más del 90% de las

empresas en la mayoría de los países del mundo. Son la fuerza impulsora de

gran número de innovaciones y contribuyen al crecimiento de la economía

nacional mediante la creación de empleo, las inversiones y las exportaciones.

A pesar de la importancia que tienen las PYMES para la vida económica y de

las posibilidades que ofrece el sistema de propiedad intelectual (P.I.) para el

fomento de su competitividad, a menudo las PYMES no saben aprovechar

14

debidamente ese sistema. En El Salvador este tipo de empresas, en su

mayoría, no cuentan con la información y la asesoría necesaria para mejorar su

competitividad y mucho menos para enfrentarse al reto de la exportación.

Clasificación de empresas.

Clasificación Personal remunerado Ventas brutas anuales/Ingresos

brutos anuales

Microempresa Hasta 10 Empleados Hasta $100,000

Pequeña Empresa Hasta 50 Empleados De $100,000 Hasta $1,000,000

Mediana Empresa Hasta 100

Empleados

De $1,000,000 Hasta $7 Millones

Gran Empresa Más de 100

Empleados

Más de $ 7.0 Millones

Fuente: “El Salvador, generando riqueza desde la base: Políticas y Estrategias para la

competitividad sostenible de las MIPYMES” de Ministerio de Economía.

2.1.1 Clasificación de las Pequeñas y Medianas Empresas

Se pueden clasificar por: Activos, Ventas y Número de Empleados.

Por lo tanto:

Una pequeña empresa es aquella que cuenta con los siguientes datos:

Activos: Menores a US$85,714.00

Ventas Brutas: Hasta un Millón de dólares anual

Número de Empleados: Hasta 50 trabajadores remunerados

Mediana Empresa:

Activos: Menores a US$228,571.00

Ventas Brutas: Hasta 7 Millones de dólares anuales

Número de Empleados: Hasta 100 trabajadores remunerados

Fuente: CONAMYPE y BMI)

15

Las PYMES se definirán como:

Pequeña Empresa: Es la persona natural o jurídica que opera en el mercado

produciendo y/o comercializando bienes o servicios por riesgo propio, a través

de una unidad organizativa, que empleen entre 10 y 49 trabajadoras y

trabajadores.

Mediana Empresa: Es la persona natural o jurídica que opera en el mercado

produciendo y/o comercializando bienes o servicios por riesgo propio, a través

de una unidad organizativa, que emplean entre 50 y 99 trabajadoras y

trabajadores. Para definir a las PYMES únicamente se ha tomado el criterio de

número de trabajadores. Se tomó este criterio con fines prácticos, debido a que

la mayoría de bases de datos disponibles en el país ordenan a las empresas a

partir del número de empleados4.

2.2 Clasificación de las Empresas en El Salvador

Las empresas en el Salvador se clasifican según su actividad, tamaño.

2.2.1 Clasificación por Actividad a la que se dedican

Clasificación que se les asigna

Rubros que entran en esta clasificación

Extractivas - Agricultura, Caza, Selvicultura y

pesca - Explotación de minas y canteras - Extracción de madera

Industriales

- Electricidad, agua y gas - Manufactureras - Construcción

4 Audrey Henríquez, Leticia Guevara, Oscar Díaz, Instrumentos Financieros y medios de pago

internacional aplicado para Pymes en el Salvador. P.9

16

Comerciales - Comercio al por mayor y menor

- Restaurantes y hoteles

Financieras - Establecimientos financieros

- Seguros - Bienes inmuebles y servicios prestados a las empresas comunales,

sociales y personales

Servicios

- Personales - Auxiliares a la industria y comercio

2.2.2 Clasificación por su tamaño.

Esto viene designado por instituciones tales como FUSADES, el BCR, BMI,

CONAMYPE, entre otras, que evalúan varios factores que influyen a esto.

Tipo de empresa Características

Micro Es de iniciativa modesta en magnitud y capacidad,

sus recursos económicos son escasos, y está

integrada comúnmente por familiares.

Pequeña Al igual que la anterior en cuanto a recursos

económicos y capacidad, pero con la diferencia, que

incluye personal que no pertenece al núcleo

familiar.

Mediana Es clasificada así, en vista que se encuentra en

crecimiento superando las etapas anteriores. Ya

cuenta con instalaciones adecuadas a su demanda,

incluyendo tecnología moderna y personal de todo

nivel académico.

Grande Esta cuenta con los mejores recursos económicos,

organizacionales, de materiales y de tecnología

avanzada.

17

2.2.2.1 Por su capital de trabajo Según FUSADES

Tipo de empresa por su monto de activo Monto de activo

Micro Cuyo activo total no excede los

US$11,500

Pequeña Cuyo activo total no excede los

US$85,700

Mediana Cuyo Activo total no excede los

US$228,600

Grande Cuyo activo total es mayor de

los US$228,600

2.2.2.2 Por su número de trabajadores (Según el BMI)

Tipo de empresa Número de empleados

Micro 1 – 10

Pequeña 11 – 49

Mediana 50 – 199

Grande 199 – a más trabajadores

2.2.2.3 Por sus Ventas Totales (según el BMI)

Tipo de empresa Ventas Totales

Micro Son de US$68,571.43

Pequeña Son de US$68,571.43 – US$685,714.28

Mediana Son de US$685,714.28 – US$4,571,428.50

Grande Es Mayor de US$4,571,428.50

Se muestran las diferentes categorías en las cuales se pueden clasificar las

empresas dentro de El Salvador, las cuales varían dependiendo de diversos

18

factores. Ya sean por la capacidad de producción y ventas, como también el

capital con el que estas cuenten.

Así mismo se toma en cuenta la cantidad de personal que estas empleen para

su funcionamiento. El reconocimiento de la fuerza laboral, es una de las bases

importantes dentro una empresa sea cual sea su área de funcionamiento, lo

que demuestra que el personal humano, aún sigue siendo una pieza de mucho

valor dentro de la labor empresarial.5

2.3 Origen del término Cloud Computing

Cuando se indaga de Cloud Computing en un buscador se encuentran más de

48 millones de resultados con el término. Muchos relatos dicen que esta

denominación se remite al año 2006, cuando Google y Amazon comenzaron a

utilizar este sistema para ellos mismos, sin exportarlo a todos los usuarios.

Pero hay otras informaciones en las que dejan el origen del término a Houston

en el año 1996. En aquel tiempo, si se hablaba de tecnología las

denominaciones más frecuentas era la de Netscape, pero en las oficinas

de Compaq Computer se empezó a hablar de la computación en nube.

La visión que se tenía en aquel momento era muy simple en cuanto al

pensamiento. Quizás se complicaría cuando se intente llevar a los hechos. La

intención que había era la de movilizar todo los diferentes negocios de la

empresa a la Web. El costo que iba a tener ese servicio sería de 2 millones de

dólares anuales, lo que representaría una cifra un poco superior al millón y

medio de euros.6

5 Iddo Claros, Clasificación de las Empresas en El Salvador. p.1-4

6 http://cloudprivado.org/el-origen-del-termino-computacion-en-nube-o-cloud-computing/

19

2.4 El origen de El Cómputo en la Nube

El término "nube" se utiliza como una metáfora de Internet, basado en el dibujo

de nubes utilizado en el pasado para representar a la red telefónica, y más

tarde para representar a Internet en los diagramas de red de computadoras

como una abstracción de la infraestructura subyacente que representa.

La idea básica es que los usuarios finales ya no necesitan tener conocimientos

o el control sobre la infraestructura de tecnología "en la nube" que los apoya.

El concepto básico del cloud computing o computación en nube se le atribuye a

John McCarthy, responsable de introducir el término “inteligencia artificial".

Investigadores afirman que las raíces de la computación en nube nos llevan

hasta la década de 1950 con las observaciones de Herb Grosch. Él decía que la

potencia de una computadora es proporcional al cuadrado de su precio (Ley

Grosch), sin embargo la ley de Moore se encargó de desmentir esto. Algunos

académicos recientemente han rehabilitado la ley de Grosch, mirando la

historia de la computación en la nube, afirman que "Grosch estaba equivocado

sobre el modelo del costo de la computación en nube, no se equivocaba en su

suposición de que las economías eficientes y adaptables podría alcanzar su

objetivo si confían en centros de datos centralizados en lugar confiar en el

almacenamiento de unidades".

Esta idea de una computadora o utilidad de la información era muy popular en

la década de 1960, incluso algunas empresas comenzaron a proporcionar

recurso compartidos como oficina de servicios - donde se alquilaba tiempo y

servicio de cómputo. El sistema de tiempo compartido proporcionaría un

ambiente operacional completo, incluyendo editores de texto y entornos de

desarrollo integrado para lenguajes de programación, paquetes de programas

informáticos, almacenamiento de archivos, impresión masiva y de

almacenamiento offline. A los usuarios se les cobraba un alquiler por el

20

terminal, las horas de tiempo de conexión, tiempo del CPU y kilobytes

mensuales de almacenamiento en disco. Sin embargo, esta popularidad se

desvaneció a mediados de los 70s cuando quedó claro que el hardware,

software y las tecnologías de comunicación simplemente no estaban

preparados.

En 1961, durante un discurso para celebrar el centenario del MIT, fue el primero

en sugerir públicamente que la tecnología de tiempo compartido (Time-Sharing)

de las computadoras podría conducir a un futuro donde el poder del cómputo e

incluso aplicaciones específicas podría venderse como un servicio (Como el

agua, la electricidad).

El concepto de una red de computadoras capaz de comunicar usuarios en

distintas computadoras fue formulado por J.C.R. Licklider de Bolt, Beranek and

Newman (BBN) en agosto de 1962, en una serie de notas que discutían la idea

de una "Red Galáctica".

Las empresas de telecomunicaciones hasta la década de los 90s eran quienes

ofrecían redes privadas virtuales (VPN) con una calidad de servicio semejante,

pero a un costo mucho menor. Al ser capaces de equilibrar el tráfico pudieron

hacer uso del ancho de banda total de la red con mayor eficacia. Incluso el

símbolo de la nube se utiliza para indicar el punto de demarcación entre lo que

es la responsabilidad del proveedor y lo que era la responsabilidad del usuario.

Ahora la computación en nube extiende este límite para cubrir servidores, así

como la infraestructura de red.

Uno de los pioneros en la computación en nube fue Salesforce.com, que en

1999 introdujo el concepto de entrega de aplicaciones empresariales a través

de una sencilla página web.

21

Amazon era el siguiente en el tren, al lanzar Amazon Web Service en 2002.

Entonces llegó Google Docs en 2006, que realmente trajo el cloud computing a

la vanguardia de la conciencia del público. 2006 también vio la introducción de

Elastic Compute Cloud de Amazon (EC2) como un servicio web comercial que

permitió a las empresas pequeñas y particulares alquilar equipos en los que

pudieran ejecutar sus propias aplicaciones informáticas.

Esto fue seguido por una colaboración de toda la industria en 2007 entre

Google, IBM y una serie de universidades de los Estados Unidos. Luego vino

Eucalyptus en 2008, como la primera plataforma de código abierto compatible

con el API-AWS para el despliegue de nubes privadas, seguido por

OpenNebula, el primer software de código abierto para la implementación de

nubes privadas e híbridas. Microsoft entraría hasta el 2009 con el lanzamiento

de Windows Azure. Luego en 2010 proliferaron servicios en distintas capas de

servicio: Cliente, Aplicación, Plataforma, Infraestructura y Servidor. En 2011,

Apple lanzó su servicio iCloud, un sistema de almacenamiento en la nube -

para documentos, música, videos, fotografías, aplicaciones y calendarios - que

prometía cambiar la forma en que usamos la computadora.

Figura N°1 Empresas Proveedoras de Computo en la Nube

22

Hoy en dia hay muchos jugadores importantes en la nube y muchos servicios a

la disposición, pero en los años de 2010 y 2011 muchos de ellos, no son cien

por cientos seguros, ya sean por fallas o vulnerabilidad.

Las empresas al momento de contratar un servicio tienen que resolver la

legalidad de la información que circula en estos Modelos de Negocio. Richard

Stallman cree que la computación en nube pone en peligro las libertades de los

usuarios, porque éstos dejan su privacidad y datos personales en manos de

terceros.7

2.5 Cloud Computing o Computación en la Nube

La nube o Cloud Computing es uno de los términos tecnológicos que más se

está repitiendo en los últimos años. Las empresas, las organizaciones y los

negocios en general, están viendo en esta tecnología la resolución de muchos

de sus problemas, sobre todo, económicos pero también en infraestructura

tecnológica.

La computación en la nube concepto conocido también bajo los

términos servicios en la nube, informática en la nube, nube de cómputo o nube

de conceptos, del inglés Cloud Computing, es un paradigma que permite

ofrecer servicios de computación a través de Internet.8

Pero ¿Qué es Computación en Nube o Cloud Computing? La nube es un

Sistema Informático basado en Internet y Centros de Datos remotos para

gestionar servicios de información y aplicaciones. La nube es una virtualización

de recursos tales como redes, servidores, aplicaciones, recursos y

almacenamiento de información que el usuario puede acceder cuando guste y

7 http://www.fayerwayer.com/2012/01/el-origen-de-el-computo-en-la-nube/

8 http://es.wikipedia.org/wiki/Computación_en_la_nube

23

de donde guste, solamente debe poseer un dispositivo electrónico que tenga

conexión a Internet.9

Figura N°2 Formas de conexión a Computación en la Nube

2.6 Componentes de la Computación en la Nube

Es importante destacar que la Computación en la Nube se trata de un Modelo

de Prestación de Servicios de Negocio y No de una tecnología, algo que suele

confundir con frecuencia a muchos, particularmente a empresarios. En este

modelo, los centros de datos ofrecen a los usuarios ciertos recursos de

cómputo como servicios, a través de una conexión a Internet, de manera tal que

se pague un determinado valor por tipo y cantidad de servicios requeridos.

La Computación en la Nube es la suma de la evolución de varias tecnologías

(INTECO, 2011):

1. Aumento de la Capacidad de Procesamiento: Desde el origen de la

Informática, la capacidad de Cómputo de los ordenadores personales de ha

ido incrementando de forma vertiginosa.

9 http://www.computacionennube.org/computacion-en-nube/

24

2. Conexión a Internet: La Red se ha convertido en una herramienta casi

indispensable en la vida cotidiana de las personas: Su evolución implica

aumento en la velocidad de conexión y en el número de conexiones en el

hogar y en el trabajo.

3. Dispositivos Móviles: La miniaturización de los componentes informáticos ha

permitido la aparición de dispositivos móviles que permiten la conexión

permanentemente a Internet. Hoy en día, en un negocio es necesario

poderse conectar con los recursos de la empresa, tanto desde ordenadores

fijos como desde dispositivos

Esta tecnología ofrece un uso mucho más eficiente de recursos, como

almacenamiento, memoria, procesamiento y ancho de banda, al proveer

solamente los recursos necesarios.

En este tipo de computación todo lo que puede ofrecer un sistema informático

se ofrece como servicio, de modo que los usuarios puedan acceder a los

servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin

ser expertos) en la gestión de los recursos que usan. Según el IEEE Computer

Society, es un paradigma en el que la información se almacena de manera

permanente en servidores de Internet y se envía a cachés temporales de

cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc.

La computación en la nube son servidores desde internet encargados de

atender las peticiones en cualquier momento. Se puede tener acceso a su

información o servicio, mediante una conexión a internet desde cualquier

dispositivo móvil o fijo ubicado en cualquier lugar. Sirven a sus usuarios desde

varios proveedores de alojamiento repartidos frecuentemente por todo el

mundo. Esta medida reduce los costes, garantiza un mejor tiempo de actividad

y que los sitios web sean invulnerables a los hackers, a los gobiernos locales y

a sus redadas policiales.

25

"Cloud computing" es un nuevo modelo de prestación de servicios de negocio y

tecnología, que permite incluso al usuario acceder a un catálogo de servicios

estandarizados y responder con ellos a las necesidades de su negocio, de

forma flexible y adaptativa, en caso de demandas no previsibles o de picos de

trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente

en caso de proveedores que se financian mediante publicidad o de

organizaciones sin ánimo de lucro.

El cambio que ofrece la computación desde la nube es que permite aumentar el

número de servicios basados en la red. Esto genera beneficios tanto para los

proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor

número de servicios, como para los usuarios que tienen la posibilidad de

acceder a ellos, disfrutando de la ‘transparencia’ e inmediatez del sistema y de

un modelo de pago por consumo. Así mismo, el consumidor ahorra los costes

salariales o los costes en inversión económica (locales, material especializado,

etc).

Computación en nube consigue aportar estas ventajas, apoyándose sobre una

infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por

un alto grado de automatización, una rápida movilización de los recursos, una

elevada capacidad de adaptación para atender a una demanda variable, así

como virtualización avanzada y un precio flexible en función del consumo

realizado, evitando además el uso fraudulento del software y la piratería.

La computación en nube es un concepto que incorpora el software como

servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos

como tendencias tecnológicas, que tienen en común el que confían en Internet

para satisfacer las necesidades de cómputo de los usuarios.10

10 http://es.wikipedia.org/wiki/Computación_en_la_nube

26

2.7 Arquitectura de referencia en Cloud Computing

Cloud Computing es un nuevo modelo de prestación de servicios, no es una

nueva tecnología, este nuevo modelo está claramente orientado a la

escalabilidad, es decir, poder atender una demanda muy fuerte en la prestación

de un servicio, pero de manera muy directa, inmediata en el tiempo, con un

impacto en la gestión y en el coste que es casi plano, esta orientación a la

escalabilidad lo que provocará es que el usuario final perciba que todo funciona,

todo va rápido, todo es fácil y por lo tanto su experiencia como usuario es

mucho más gratificante. A pesar de que no es una nueva tecnología, es

conveniente explicar los fundamentos tecnológicos que los proveedores de

Cloud están tomando comúnmente.

Como principios tecnológicos es necesaria una fuerte capa de virtualización de

infraestructura (servidores, almacenamiento, comunicaciones, etc.). Una

capacidad muy avanzada en cuanto a aprovisionamiento de recursos IT,

orquestación de esos recursos y una orientación a servicios, diría que

Arquitectura Orientada a Servicio (SOA) es el alma de Cloud Computing y nos

permitirá dar esa escalabilidad tan agresiva, por ello se implementará también

una elasticidad, tanto en el modelo como en la infraestructura.

Por último es muy importante destacar la necesidad de una estandarización de

los servicios, cuando más estandarizada sea la infraestructura, más sencillo

será todo. Como se puede ver, no hay nada nuevo, la única novedad es el nivel

de exigencia que se le pide a ese entorno de computación.

Las empresas hoy en dia tienen de 5 a 8 necesidades principales: Proteger

datos, sostener un crecimiento desmedido de datos, (hoy hay 8 veces más

información que antes) la data se manifiesta de diferentes formas y están en

diferentes localidades y en diferentes dispositivos y hay que tener un respaldo

de toda la información. Por otro lado los ambientes tecnológicos se han hecho

27

más complejos y hay que administrarlos como tal gestionarlo en su ciclo de

vida, el cumplimiento de regulaciones, los ambientes heterogéneos, el costo de

propiedad o la necesaria transformación digital de los negocios, para cada una

de las necesidades se ha estructurado un modelo como tal.

Se describirá los diferentes modelos de Cloud Computing categorizados como

un conjunto de modelos de servicios. Otro modo de verlo sería mediante capas

sobre las cuales podrían desplegarse y construirse aplicaciones distribuidas.

Estas capas, principalmente son, Infraestructura, Plataforma y Software, con

una gran capa de virtualización y protocolos de comunicación.

Figura N°3 Modelos en Cloud Computing

Esta tipología de servicios se distribuye entre todas las capas tradicionales de

un sistema informático, desde la capa de hardware hasta la capa aplicación

software propiamente dicha.

28

2.7.1 Infraestructura como servicio o Infrastructure as a Service (IaaS)

Infraestructura como servicio podría definirse como un Modelo de Servicios de

Computación, estos servicios se podrían utilizar para resolver las necesidades

computacionales sin límites de escalabilidad de despliegues. Incluye desde una

base de comunicación o conectividad, base de procesamiento, servidores, base

de sistemas operativos o de virtualización. Y por ser un nuevo modelo comercial

implica un modelo de infraestructura en un nuevo modelo de pago y por eso se

le ataña el concepto como modelo como servicio. Solo se paga por lo que se

usa y solo cuando se necesite. IaaS es un modelo de servicio en el cuál el

hardware está virtualizado en la nube.

En este particular modelo, el proveedor del servicio provisiona servidores,

almacenamiento, redes, y así sucesivamente. Esta manera de ver una

infraestructura profesional rompe con todos los moldes, ya que se puede tener

desde un pequeño negocio a una gran empresa en un corto plazo. La adopción

de este tipo de servicios está siendo empujada actualmente gracias a una

multitud de startups que han comenzado a emprender en estos tiempos de

crisis y que no se pueden permitir tener su propio data center o una

infraestructura InHouse. Los desarrolladores en este modelo encuentran una

manera dinámica y flexible de trabajar, ya que interactúan con la IaaS a través

de servidores virtuales, almacenamiento virtual, generalmente se generan

instancias de estas máquinas virtuales a golpe de ratón desde un portal,

normalmente web, en ese primer momento lo que obtienen es un “green field”

dispuesto a ser personalizado para que la solución sea completada, el acceso y

la interacción de la aplicación.

Con la IaaS suele ser a través de SOA y contratos de servicios, puede ser

mediante WSDL o mediante servicios REST. Un ejemplo de una infraestructura

como servicio es Amazon Web Services, cuyos servicios incluyen,

29

almacenamiento, infraestructura de redes, máquinas virtuales, y tienen estos

servicios replicados a lo largo del mundo (Irlanda, Singapur, Este y Oeste de

EEUU) aunque se entrará en detalle sobre este proveedor más adelante.

IaaS está dirigido a cualquier empresa que desee delegar la implantación de

sus sistemas software y aplicaciones en la infraestructura hardware de un

proveedor externo (fenómeno conocido tradicionalmente como hosting) o que

requiera de servicios de almacenamiento externo, copias de seguridad de sus

datos, cálculos complejos que requieran software de elevadas prestaciones,

etc. El proveedor les permitirá gestionar dichos sistemas en un entorno

virtualizado.

Así, los proveedores de servicios son los propietarios de las máquinas físicas, y

las ofrecerán como servicio a los usuarios a través de entornos que les

permitan gestionarlas, por ejemplo una página Web para el control de las

máquinas.

2.7.2 Plataforma como servicio o Platform as a Service (PaaS)

Una Plataforma como Servicio (PaaS) es un modelo de servicio que se sitúa por

encima de IaaS en cuanto a nivel de abstracción de los recursos IT. Este

modelo propone un entorno software en el cuál un desarrollador puede crear y

customizar soluciones dentro de un contexto de herramientas de desarrollo que

la plataforma proporciona.

La plataforma puede estar basada en un lenguaje específico, varios o

frameworks de desarrollo. En un modelo PaaS los clientes pueden interactuar

con el software para introducir o recuperar datos, realizar acciones etc., pero no

tienen responsabilidad de mantener el hardware, el software o el desarrollo de

las aplicaciones, solo se tiene responsabilidad de la interacción con la

30

plataforma. Dicho de otro modo, el proveedor es el responsable de todos los

aspectos operacionales. A menudo la plataforma ofrece herramientas de

desarrollo y despliegue de aplicaciones como por ejemplo: Windows Azure y su

integración a través de Visual Studio, es solo un ejemplo, la idea es que se

puedan soportar estándares de desarrollo tales como, HTML, CSS, XML, Java

Script etc; Otro ejemplo es Google App Engine admite aplicaciones escritas en

varios lenguajes de programación. Gracias al entorno de tiempo de ejecución

Java de App Engine, puedes crear tu aplicación a través de tecnologías Java

estándar, que incluyen JVM, Servlets Java y el lenguaje de programación Java,

o cualquier otro lenguaje que utilice un intérprete o compilador basado en JVM

como, por ejemplo, JavaScript o Ruby. App Engine también ofrece un entorno

de tiempo de ejecución Python dedicado, que incluye un rápido interprete

Python y la biblioteca estándar Python. Los entornos de tiempo de ejecución

Java y Python se generan para garantizar que tu aplicación se ejecute de forma

rápida, segura y sin interferencias de otras aplicaciones en el sistema.

Las plataformas como servicio vienen a suponer que el desarrollador de

aplicaciones web se olvida de almacenaje de ficheros, de gestión de la base de

datos, de balanceo entre máquinas, de ancho de banda, de escalabilidad, de

picos de demanda, de estabilidad, de tocar una máquina servidor, en definitiva,

la plataforma sobre la que construyes tu aplicación web ya no es cosa tuya, es

del servicio que contratas y que pagas religiosamente.

Concentrarse en la aplicación y ahorrar costes, son las dos ventajas inmediatas

de las plataformas como servicio. No sólo porque vendan almacenamiento y

ancho de banda más barato que un pequeño proveedor, sino porque también

adquirir el conocimiento para montar arquitecturas que escalen cuesta mucho

dinero (o muchos años de esfuerzo, aunque el rol de administrador de sistemas

va a cambiar mucho si se impone como tendencia). Por supuesto tienen sus

peros, como se comentó en "tu aplicación sobre web services": depender de un

31

único proveedor (algo con lo que tener mucho cuidado, diseñando la aplicación

para tener poco acoplamiento y probándola también siempre en un servidor de

toda la vida) y cometer también sus caídas, aunque se antoja improbable que

por uno mismo se consiga la disponibilidad de Amazon o Google.

El movimiento de estos dos gigantes de la web (en el mercado de las

aplicaciones como servicio también está Salesforce con Force.com o Joyent) es

una lucha por el rol por el que siempre ha apostado Microsoft con todas sus

fuerzas: ser la plataforma sobre la que otros construyen sus aplicaciones, tanto

en el escritorio como en el lado del servidor.

2.7.2.1 Características de una Plataforma como Servicio

Para saber si realmente se está ante una auténtica plataforma como servicio se

deben dar las siguientes características:

Un entorno de desarrollo basado en un navegador: Si tienes que instalar

algo en tu computadora para desarrollar aplicaciones, entonces no es PaaS.

Despliegue transparente hacia el entorno de ejecución: Idealmente, el

desarrollador debería poder desplegar su aplicación PaaS con un solo click.

Si hay que hablar con alguna persona para instalar la aplicación, entonces

no es PaaS.

Herramientas de monitoreo y gestión: Aunque las soluciones basadas en

nubes son muy convenientes en cuanto a costos, puede resultar complicado

gestionarlas y escalarlas sin buenas herramientas. Si hay que construir o

agregar una herramienta de monitoreo propia para poder escalar la

aplicación, entonces no es PaaS.

Facturación basada en el uso. Lo que hizo que PaaS fuera popular es que

evita pagar por adelantado. Si no puedes pagar con la tarjeta de crédito

basándote en el uso que haces de la plataforma, entonces no es PaaS.

32

2.7.2.2 Beneficios de PaaS

“Los beneficios de PaaS están cada vez en mayor cantidad de personas que

van a poder desarrollar, mantener y desplegar aplicaciones web.

Resumidamente, PaaS permite democratizar el desarrollo de aplicaciones web,

de la misma forma en que Microsoft Access democratizó el desarrollo de

aplicaciones cliente/servidor.

En la actualidad, construir aplicaciones web requiere desarrolladores expertos

con 3 habilidades especializadas:

1. Desarrollo del backend en el servidor (por ejemplo, Java / J2EE)

2. Desarrollo del frontend en el cliente (por ejemplo, JavaScript / Dojo)

3. Administración de sitios web

PaaS ofrece el potencial para que desarrolladores generales puedan construir

aplicaciones web sin tener que ser un experto especializado. Esto le abre la

puerta a toda una generación de desarrolladores MS Access, Lotus Notes y

PowerBuilder para que pueda comenzar a construir aplicaciones web sin una

curva de aprendizaje enorme.

2.7.2.3 Recursos PaaS

Hoy en día ya hay varios ofrecimientos PaaS:

App Engine de Google, basado en Python y Django, y ahora también en

Java.

Force.com de SalesForce, basado en la infraestructura SalesForce SaaS y

en el lenguaje Apex.

Bungee Connect, un entorno de desarrollo visual basado en Java.

LongJump, basado en Java / Eclipse.

WaveMaker, un estudio de desarrollo visual basado en Java y alojado en

Amazon EC2”. 11

11 http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-como-servicio-paas.html

33

2.7.3 Virtualización

Como se ha mencionado anteriormente, es muy importante disponer de una

fuerte capa de virtualización en la infraestructura para ser capaces de

responder a la demanda con una agresiva escalabilidad. La idea de la

virtualización es poder crear servidores virtuales, almacenamiento virtual, redes

virtuales y quizás algún día aplicaciones virtuales, es decir un pool de recursos.

Esta abstracción es clave en Cloud Computing ya que permite compartir y

acceso ubicuo. Para crear sistemas de hardware virtual, en ocasiones se usan

lo que se denomina como hipervisores. Un hipervisor o monitor de máquina

virtual (virtual machine monitor) es una plataforma que permite aplicar diversas

técnicas de control de virtualización para utilizar, al mismo tiempo, diferentes

sistemas operativos (sin modificar o modificados en el caso de

paravirtualización) en una misma computadora. Es una extensión de un término

anterior, “supervisor”, que se aplicaba a kernels de sistemas operativos. La

virtualización consiste en asignar un nombre lógico a un recurso físico, estos

recursos se gestionan fácil y dinámicamente ya que se realiza un mapeo entre

los recursos físicos y lógicos, estos mapeos pueden ser cambiados

dinámicamente de una forma muy eficiente, siempre a través de las

herramientas y productos que nos ofrecen los proveedores expertos como

VMWARE.

2.7.3.1 Algunas de las características de la Virtualización son:

Acceso: Un cliente puede acceder a un servicio Cloud desde cualquier

geografía.

Aplicación: Un Cloud tiene múltiples instancias de la aplicación y peticiones

directas a una de las instancias basadas en condiciones.

CPU: Se pueden crear particiones dentro de los ordenadores como un

conjunto de máquinas virtuales que se ejecutan dentro de ese ordenador.

Alternativamente se puede introducir un balanceador para repartir cargas.

34

Almacenamiento: A menudo se realiza una replicación para conseguir

redundancia.

2.7.4 Software como Servicio o Software as a Service (SaaS)

El modelo de servicio más completo es aquél que ofrece el software y el

hardware como un servicio conjunto, es decir, SaaS provee la infraestructura,

software, solución y toda la pila de aprovisionamiento como un servicio global.

Software as a Service (SaaS) se puede describir como Software que está

desplegado en un servicio de hosting y puede ser accedido globalmente a

través de internet mediante navegador, móvil, tablet, etc. Y donde todos los

aspectos que no sean la propia interacción con la aplicación son transparentes

al usuario. En el modelo SaaS, los usuarios pagan por el uso del servicio

mediante cuotas de suscripción, válidas por un determinado período de tiempo,

como en el caso de un alquiler.

2.7.4.1 Las características fundamentales de este modelo se pueden

resumir

El software está disponible globalmente a través de internet y bajo demanda.

El modelo de suscripción suele ser mediante licencias o basado en uso y es

facturado por mensualidades de forma recurrente.

Todo lo relativo a operaciones es responsabilidad del proveedor

Las actualizaciones, mejoras, evoluciones o parches en el aplicativo, debe

ser siempre transparente al usuario y por supuesto no debe hacer ningún

tipo de configuración.

SaaS soporta múltiples usuarios generalmente con un modelo multi-tenant.

35

Figura N°4 Acceso global en Cloud Computing

Este modelo de servicios normalmente pretende llegar a pequeñas y medianas

empresas (PYMES) y a veces a usuarios individuales, dejando para las grandes

empresas un modelo basado en VDI (Virtual Desktop Infraestructure). El acceso

suele ser a través de un portal o de un CMS web, que puede ser abierto o bien

está sucinto a una suscripción previa de otro servicio en la compañía que ofrece

SaaS (ADSL, línea móvil, .etc.). Dicho portal puede ser muy variado, pero

generalmente contiene las aplicaciones que se han comprado previamente con

un acceso mediante mashups. Y por otro lado un catálogo de aplicaciones que

se ofrecen, de ahí en adelante el portal puede ser tan avanzado como se quiera

pero siempre será el punto de acceso y uso a los servicios.

2.7.4.2 Tres sistemas básicos que desarrolla un Proveedor de SaaS

Los proveedores que desarrollan portales para habilitar SaaS normalmente

tienen tres sistemas básicos que desarrollar.

1. Un potente sistema de billing y facturación, tanto para soportar el complejo

modelo de suscripción por uso, como los modelos de promociones,

generación de reportes y bussiness intelligence.

2. El siguiente subsistema clave, es el de autenticación, donde generalmente

se implementa un sistema basado en single sign on que se suele comunicar

con los sistemas CRM de las compañías para las que se habilita el SaaS o

36

bien con el propio sistema de gestión de cliente si el portal SaaS es

propiedad nuestra.

3. Es necesario un buen sistema de integración de ISV´s, el valor al portal

SaaS se lo darán las aplicaciones que tengan, por ello cuanto más flexible y

dinámica sea la API de integración de aplicaciones, más rápido serán

ofrecidas a los clientes y por lo tanto el retorno de la inversión será mayor en

menos tiempo.

2.7.4.3 Algunos aspectos fundamentales de cara al cliente que va a

consumir los servicios SaaS.

Desde el punto del cliente que va a adquirir los servicios de una aplicación

ofrecida como servicio, existen una serie de requisitos mínimos necesarios que

una SaaS debe ofrecer:

Rendimiento: Una SaaS debe ofrecer un rendimiento mínimo y aceptable

para que sea atractiva su adquisición. El problema aquí es definir mínimo y

aceptable y aunque es un concepto subjetivo puede ser medible en tiempos

de respuesta en el acceso a los datos, de ejecución los procesos de

negocio, de comunicación a la propia aplicación (delay producido por el

alojamiento geográfico de esta), etc.

Acuerdo de Nivel de Servicio (en inglés Service Level Agreement): El ISV de

la aplicación SaaS debe proveer de varios niveles de servicio al que el

cliente pueda adherirse. Habrá clientes que necesiten su aplicación

disponible 8×5 (8 horas, 5 días a la semana,) y habrá que clientes que

necesiten 24 X 7(24 horas y 7 días de la semana). El ISV deberá instalar en

sus sistemas los mecanismos necesarios para poder ofrecer este tipo de

acuerdos, esto es, backup, cluster de alta disponibilidad de datos y

aplicación, etc.

37

Privacidad en las comunicaciones: Debido a la importancia de los datos que

puedan albergar las aplicaciones en necesario que la comunicación que se

realiza a través de Internet sea segura, esto es, la comunicación debe

realizarse a través de https u otra forma de comunicación que asegure la

privacidad de las comunicaciones.

Privacidad de los datos: De igual forma el ISV debe asegurar que los datos

estén seguros y accesibles única y exclusivamente por el dueño del dato.

Esto debe ser especialmente perseguido en las aplicaciones multi-tenant

(nivel 3 y 4 de maduración).

Monitorización de la aplicación: El cliente debe saber de alguna forma que

es lo que ocurre en su aplicación, por ejemplo: quién accede, a qué

procesos, a qué datos, etc.

Esto es obligado cuando el pago por el uso de la aplicación se realiza a través

de conceptos como horas de utilización de la aplicación, consumo de espacio

de disco, o cualquier otra forma que sea variable.

Acceso a los datos: El resto de la aplicaciones de la organización deben

acceder a través de APIs o de Web Services, a los datos y lógica de negocio

que se utilizan y genera por el uso de la SaaS, sobretodo, en clientes que

tengan adoptado la arquitectura SOA en su sistema de información.

Cuando se tiene que enfrentar a elegir qué aplicación SaaS queremos que

cubra cierta funcionalidad para nuestra empresa o área funcional, se debe

saber qué es lo que ofrece el proveedor desde diferentes puntos de vista. Por

ejemplo, no es lo mismo que el software te lo ofrezca a un único cliente, o que

lo comparta con otros clientes y tampoco es lo mismo que el recurso que

38

comparta sea el código de la aplicación que la base de datos donde lo

almacenas.

Figura N°5 Modelos definidos por funcionalidad

Para decidir qué es lo que más interesa desde el punto de cliente, antes se

mostrará qué es lo que actualmente se puede encontrar en el mercado tomando

como referencia lo que Microsoft definió y llamó el modelo de madurez de

SaaS:

-Nivel 1 de Madurez: En este nivel, el cliente tiene su propia versión

personalizada de la aplicación alojada. Corre su propia instancia de la

aplicación en los servidores del proveedor.

-Nivel 2 de Madurez: En este nivel, hay un vendedor (propietario) y un cliente

(arrendatario). El proveedor aloja una instancia independiente para cada

aplicación de cada cliente. En este nivel todas las implementaciones son del

mismo código y el proveedor conoce las necesidades de los clientes,

proporcionando opciones detalladas de configuración que permiten al cliente

cambiar la forma en la que la aplicación se ve y se comporta para sus usuarios.

39

Los cambios realizados por el arrendatario pueden permitir la disponibilidad de

diversas opciones de personalización para sus clientes.

-Nivel 3 de Madurez: En este nivel, el vendedor, en lugar de acoger una

instancia independiente de la solicitud de cada cliente, alberga una sola

instancia. Las políticas de autorización y de seguridad garantizan que los datos

de cada cliente se mantienen separados de la de otros clientes.

-Nivel 4 de madurez: En este nivel, el proveedor agrupa a varios clientes en una

granja con equilibrio de carga para instancias idénticas, donde los datos de

cada cliente que se mantienen separados. Los metadatos configurables

proporcionan una experiencia de usuario única y un conjunto de características

para cada cliente.

Como se puede ver a medida que aumenta el nivel de madurez se obtiene un

mayor aprovechamiento de las economías de escala provenientes de la

reducción en cada nivel de los recursos necesarios que componen la solución y

por tanto del menor mantenimiento.

Figura N°6 Modelos de madurez en SaaS

40

2.8 Tipos de Cloud

Una vez que se ha valorado que Cloud Computing es un Modelo de Negocio

con unas características que dotarán de mayor valor a los servicios y que

obtendrá un retorno de la inversión, hay que estudiar qué tipo de Cloud se va a

adoptar. Los tres tipos de Clouds se van a definir en base a quién va a poder

acceder a los servicios y quién va a gestionar la infraestructura. Los tipos son:

Pública, Privada e Híbrida; también la tendencia actual propone federar las

nubes, comunicarlas entre sí y conseguir potenciar más la escalabilidad de la

infraestructura.

2.8.1 Cloud pública

En las Nubes Públicas, los servicios que se ofrecen se encuentra en servidores

externos al usuario, pudiendo tener acceso a las aplicaciones de forma gratuita

o de pago, aunque normalmente es de pago y cualquier con una tarjeta de

crédito válida puede acceder y consumir rápidamente el servicio, adecuado

cuando a la empresa que ofrece el servicio no le importa compartir recursos

virtualizados en la nube y donde el despliegue de la aplicación será de manera

provisional.

La ventaja más clara de las nubes públicas es la capacidad de procesamiento y

almacenamiento sin instalar máquinas localmente, por lo que no tiene una

inversión inicial o gasto de mantenimiento en este sentido, si no que se paga

por el uso. La carga operacional y la seguridad de los datos (backup,

accesibilidad, etc.) recae íntegramente sobre el proveedor del hardware y

software, debido a ello, el riesgo por la adopción de una nueva tecnología es

bastante bajo. El retorno de la inversión se hace rápido y más predecible con

este tipo de nubes.

Como inconvenientes se cuenta con el acceso de toda la información a terceras

empresas, y la dependencia de los servicios en línea (a través de Internet).

También puede resultar difícil integrar estos servicios con otros sistemas

41

propietarios. Es muy importante a la hora de apostar por un servicio en la nube

pública, asegurarse de que se puede conseguir todos los datos que se tengan

en ella, gratuitamente y en el menor tiempo posible.

2.8.2 Cloud privada

Actualmente existe una importante tendencia en grandes empresas a la

implementación, dentro de su estructura y utilizando la red privada de la propia

organización, de las llamadas “Nubes Privadas”. Este concepto, más cercano al

de despliegue tradicional de aplicaciones que al de Cloud Computing

“estándar”, hace referencia a redes o centros de procesamiento de datos

propietarios que utilizan tecnologías características de Cloud Computing, tales

como la virtualización. Así, parten de los principios del Cloud Computing

tradicional y ofrecen los mismos servicios pero dentro en la propia estructura de

la compañía. Se suelen diseñar específicamente para un usuario,

proporcionando un control óptimo de la información gestionada, de su seguridad

y de la calidad de servicio ofrecida. Habitualmente, el usuario es también

propietario de la infraestructura de nube privada, y tiene control total de las

aplicaciones desplegadas en ella.

Los principales inconvenientes de este modelo son los analizados para el

paradigma tradicional, por ejemplo los relativos a la ampliación de los sistemas

informáticos. Esto obliga a adquirir nuevos sistemas antes de hacer uso de

ellos, contrariamente a lo ofrecido por las nubes públicas, donde ampliar los

recursos se reduce a contratarlos con el proveedor de servicios. Como ventaja

de este tipo de nubes, a diferencia de las nubes públicas, destaca la

localización de los datos dentro de la propia empresa, lo que conlleva a una

mayor seguridad de estos.

2.8.2.1 Diferencias entre Nube Pública y Nube Privada

“Existen muchas diferencias entre nube pública y nube privada.

42

-Entre ellas la capacidad de la infraestructura con la que se cuenta: La nube

pública es más grande ya que es una plataforma que soporta muchos

servidores, mientras que en la privada depende directamente de la

organización, sus políticas y su capital.

-Por otro lado, los costos son también distintos, pues la pública suele ser más

económica ya que los servicios son de consumo general, mientras que en la

nube privada los costos se derivan de la capacidad y ejecución de cada

empresa.

En términos sencillos, la nube pública es más económica dado que es un

servicio a gran escala y con soporte más amplio y los costos se amortizan entre

la cantidad de usuarios y clientes que tiene la organización. Es decir, la nube

pública requiere una inversión de capital X que puede ser flexible dependiendo

de las necesidades del usuario, mientras que la nube privada requiere una

inversión de 2X o más, porque es el servicio de la nube per se, más el gasto de

soporte técnico. ¿Pero qué sucede con la información?

Lo primero que se debe tener en cuenta es que cuando una empresa accede a

la computación en la nube está confiando sus datos, información y privacidad a

una nueva tecnología que es para muchos aún desconocida y que pese a que

se ha convertido en tendencia, existe aún un porcentaje que desconfía del

almacenamiento de los datos y de la confiabilidad de la seguridad.

Así pues, una de las características de las nubes privadas es el grado de

confianza que genera, ya que puede ser controlado directamente por la

organización. Es decir, la nube privada no es menos segura que un centro de

datos más grande. Lo que sí cambia son las políticas y el manejo de la

información, por ejemplo: Si una empresa con nube privada tiene un problema

con sus servidores, debe resolverla ella misma o pagar a un tercero para que lo

resuelva y mientras tanto pierde tiempo valioso de trabajo y tal vez algún tipo de

43

información esté en riesgo. Por otro lado, si una empresa con nube pública

tiene un problema con un servidor, siempre habrá otro servidor que le

reemplace en tiempo real, una nube pública que soporta a miles de empresas

no se puede dar el lujo de fallar y no tener una infraestructura adicional que

soporte la información.

Por ejemplo, una PYME financiera que debe contar con todo el respaldo y

seguridad de un buen proveedor de computación en la nube, debe considerar la

nube pública como una solución; ya que esta le provee servicios de seguridad a

grandes bancos internacionales como Citi Bank. Por tanto, la PYME tiene el

mismo nivel de seguridad y confiabilidad que una gran empresa.

Entonces ¿Qué es mejor? La computación en la nube es un modelo que ha

llegado para quedarse, que está llevando a las empresas a un nivel tecnológico

superior, que les está abriendo paso en un mercado cada vez más competitivo

y que provee de plataformas y servicios útiles para los ejecutivos y empresarios

que no siempre pueden estar en sus escritorios, todo a bajo costo.

La diferencia entre nube pública y privada se establece básicamente por la

infraestructura, servicio y respaldo que una empresa necesita. Si sus datos

deben tener respaldo, trabajo ininterrumpido, mayor seguridad para su

información, actualizaciones constantes de servicios y bajos costos, la nube

pública es el tipo de nube que se necesita”12.

2.8.3 Cloud Híbrida

El modelo híbrido combina los modelos anteriormente descritos, sobre nubes

públicas y privadas, de manera que se aprovecha la ventaja de localización

física de la información gestionada por las nubes privadas con la facilidad de

12 http://www.avanxo.com/nube-pública-vs.-nube-privada-ventajas-de-la-computación-en-la-nube.html

44

ampliación de recursos de las nubes públicas. Las principales cuestiones a

vigilar en este modelo son la privacidad y la protección de datos, al igual que en

la nube pública.

Las nubes híbridas consisten en combinar las aplicaciones propias de la

empresa con las consumidas a través de la nube pública, entendiéndose

también como la incorporación de servicios de Cloud Computing a las

aplicaciones privadas de la organización. Esto permite a una empresa mantener

el control sobre las aplicaciones críticas para su negocio y aprovechar al mismo

tiempo las posibilidades ofrecidas por los servicios ofertados por la nube en

aquellas áreas donde resulte más adecuado.

Parece que actualmente este tipo de nubes está teniendo buena aceptación en

las empresas, por lo que se están desarrollando software de gestión de nube

que permita controlar la nube privada e incorporar al mismo tiempo recursos y

servicios de proveedores públicos de Cloud Computing.

Figura N°7 Esquema Cloud Computing

2.9 Implementaciones

A continuación se describen algunos proveedores de servicios que están

marcando la tendencia del mercado en la actualidad. Se ha descrito el

45

proveedor de referencia en IaaS (Amazon Web Services) y la referencia en

servicios PaaS (Microsoft Windows Azure y Google App Engine).

2.9.1 Amazon Web Services (AWS)

Uno de los proveedores de IaaS más sobresalientes en el mercado es Amazon

Web Services. Este proveedor permite que sus usuarios creen una Imagen de

Máquina Virtual de Amazon (AMI), esto es, una máquina virtual con el sistema

operativo Windows o Linux, en la que el usuario instala sus aplicaciones,

librerías y datos que necesite.

Figura N°8 Logotipo Amazon Web Services

Posteriormente, Amazon ejecuta esa máquina en sus sistemas, y le asigna

características físicas (como la capacidad de procesamiento máxima disponible,

la cantidad de memoria RAM máxima a utilizar, el espacio de almacenamiento

máximo disponible, etc.) de acuerdo al contrato suscrito con el usuario. El

usuario accede a esa máquina de manera remota de la misma forma en que

accedería a un servidor físico tradicional. Asimismo, el usuario puede indicar a

Amazon que amplíe sus sistemas automáticamente según las condiciones que

hayan establecido previamente, y puede monitorizar o controlar en todo

momento el estado de su máquina virtual.

En cuanto a precios, el coste se factura por hora de utilización y tipo de

recursos asignados a cada máquina física (como la capacidad de

procesamiento, la cantidad de memoria RAM, la cantidad de espacio para el

almacenamiento secundario, el sistema operativo utilizado o el software

46

adicional necesitado). Para facilitar el cálculo aproximado de la factura mensual,

el propio Amazon contiene una calculadora disponible en su Web.

Los servicios más destacables de Amazon son: EC2 y S3. A continuación se

explican las características principales de cada uno de ellos.

2.9.1.1 Amazon Elastic Compute Cloud (EC2)

Amazon Elastic Compute Cloud (Amazon EC2) es un servicio web que

proporciona capacidad informática con tamaño modificable en la nube. Se ha

diseñado con el fin de que la informática web resulte más sencilla a los

desarrolladores.

La sencilla interfaz de servicios web de Amazon EC2 permite obtener y

configurar capacidad con una fricción mínima. Proporciona un control completo

sobre sus recursos informáticos y permite ejecutarse en el entorno informático

acreditado de Amazon. Amazon EC2 reduce el tiempo necesario para obtener e

iniciar nuevas instancias de servidor a cuestión de minutos, lo que permite

escalar con rapidez su capacidad (aumentarla o reducirla) cuando cambie los

requisitos informáticos. Amazon EC2 cambia las reglas económicas de la

informática al permitirle pagar sólo por la capacidad que realmente utilice.

Amazon EC2 proporciona a los desarrolladores las herramientas necesarias

para crear aplicaciones resistentes a errores y para aislarse de los casos de

error más comunes.

Amazon EC2 presenta un auténtico entorno informático virtual, que permite

utilizar interfaces de servicio web para iniciar instancias con distintos sistemas

operativos, cargarlas con su entorno de aplicaciones personalizadas, gestionar

sus permisos de acceso a la red y ejecutar su imagen utilizando los sistemas

que desee. Para utilizar Amazon EC2, sólo tiene que: Seleccionar una imagen

de plantilla preconfigurada para pasar a estar activo de inmediato. O bien crear

47

una AMI (Amazon Machine Image) que contenga sus aplicaciones, bibliotecas,

datos y valores de configuración asociados. Configurar la seguridad y el acceso

a red en su instancia de Amazon EC2. Seleccionar los tipos de instancias y

sistemas operativos que desee y, a continuación, iniciar, finalizar y supervisar

tantas instancias de su AMI como sea necesario, a través de las API de servicio

web o la variedad de herramientas de gestión proporcionadas.

2.9.1.1.1 Características que brinda Amazon con este servicio son:

Elástico: Amazon EC2 permite aumentar o reducir la capacidad en cuestión

de minutos, sin esperar horas ni días. Puede enviar una, cientos o incluso

miles de instancias del servidor simultáneamente. Dado que todo está

controlado mediante las API del servicio web, su aplicación podrá escalarse

automáticamente según sus necesidades aumenten o se reduzcan.

Control total: Tendrá control total sobre sus instancias. Tiene acceso de

usuario raíz a todas ellas, y puede interactuar con ellas como con cualquier

otra máquina. Puede detener su instancia y mantener los datos en su

partición de arranque, para reiniciar a continuación la misma instancia a

través de las API del servicio web. Las instancias se pueden reiniciar de

forma remota mediante las API del servicio web. Así mismo, tiene acceso a

la emisión de consola de sus instancias.

Flexible: Tiene la opción de varios tipos de instancias, sistemas operativos y

paquetes de software. Amazon EC2 permite seleccionar una configuración

de memoria, CPU, almacenamiento de instancias y el tamaño de la partición

de arranque óptimo para su sistema operativo y su aplicación. Por ejemplo,

entre sus opciones de sistemas operativos se incluyen varias distribuciones

de Linux, Microsoft Windows Server y OpenSolaris.

48

Con un diseño pensado para su uso con otros Amazon Web Services:

Amazon EC2 trabaja con Amazon Simple Storage Service (Amazon S3),

Amazon SimpleDB y Cloud Computing: Fundamentos, diseño y arquitectura

aplicados a un caso de estudio Amazon Simple Queue Service (Amazon

SQS) para proporcionar una solución completa de computación,

procesamiento de consultas y almacenamiento en una gran gama de

aplicaciones.

Fiable: Amazon EC2 ofrece un entorno muy fiable en el que las instancias

de sustitución se pueden enviar con rapidez y anticipación. El servicio se

ejecuta en los centros de datos y la infraestructura de red acreditados de

Amazon. El compromiso del contrato a nivel de servicio de Amazon EC2 es

de una disponibilidad del 99,95% en cada Región de Amazon EC2.

Seguro: Amazon EC2 ofrece diversos mecanismos para proteger los

recursos informáticos. Amazon EC2 incluye interfaces de servicio web para

configurar el cortafuegos que controla el acceso de red a grupos de

instancias, y el acceso entre estos. Al iniciar recursos de Amazon EC2 en

Amazon Virtual Private Cloud (Amazon VPC), puede aislar sus instancias

informáticas especificando el rango de IP que desea utilizar, así como

conectarse a su infraestructura de IT existente mediante la red cifrada IPsec

VPN estándar del sector.

2.9.1.2 Amazon Simple Storage Service (S3)

Otro de los servicios clásicos de Amazon es S3. Amazon S3 es el servicio de

almacenamiento en la nube. Está diseñado para realizar el cómputo web a gran

escala más fácil. Amazon S3 proporciona una sencilla interfaz de servicios web

que pueden ser utilizados para almacenar y recuperar cualquier cantidad de

datos, en cualquier momento, desde cualquier lugar en la web. Se permite a

cualquier desarrollador acceder a la infraestructura altamente escalable, fiable,

49

segura, rápida, que Amazon utiliza para ejecutar su propia red mundial de sitios

web.

El servicio tiene como objetivo maximizar los beneficios de escala y pasar esos

beneficios a los desarrolladores. Amazon S3 está creado intencionadamente

con un conjunto de funciones mínimas.

Escriba, lea y elimine objetos que contengan desde 1 byte hasta 5 gigabytes

de datos. El número de objetos que puede almacenar es ilimitado.

Cada objeto está almacenado en un depósito, y se recupera por medio de

una clave exclusiva asignada por el desarrollador.

Un depósito puede estar almacenado en una de varias Regiones. Debe

escoger una Región cercana para optimizar la latencia, minimizar los costes

o afrontar exigencias reguladoras. Amazon S3 está actualmente disponible

en las Regiones EE. UU. estándar, UE (Irlanda), oeste EE. UU. (norte de

California) y Asia Pacífico (Singapur). La Región EE. UU. estándar redirige

automáticamente las solicitudes hacia instalaciones situadas en el norte de

Virginia o en el noroeste del Pacífico por medio de asignaciones de red.

Los objetos almacenados en una Región nunca abandonan la misma, a

menos que usted los transfiera. Por ejemplo, los objetos almacenados en la

Región UE (Irlanda) nunca salen de la UE.

Se incluyen mecanismos de autenticación diseñados para garantizar que los

datos se mantienen seguros frente a accesos no autorizados. Los objetos

pueden hacerse privados o públicos, y pueden otorgarse derechos a

usuarios determinados.

50

Utiliza interfaces REST y SOAP basadas en estándares diseñadas para

funcionar con cualquier kit de herramientas de desarrollo en Internet.

Está creado para ser flexible y permitir añadir fácilmente protocolos o capas

funcionales. El protocolo de descarga predeterminado es HTTP. Se

proporciona un protocolo BitTorren para reducir los costes de la distribución

a gran escala.

2.9.2 Microsoft Windows Azure

Uno de los proveedores que más ha destacado por el momento es Windows

Azure, que ofrece la creación de aplicaciones Web adaptadas a sus sistemas y

su despliegue en los mismos con ciertas limitaciones de consumo. Admite

varios lenguajes de programación y permite compartir las aplicaciones con todo

el mundo o sólo con quien se desee. Así mismo, se puede comenzar a usar

gratuitamente y sólo pagar si se necesitan incrementar los límites o los recursos

utilizados posteriormente, con un coste inferior al de los sistemas tradicionales.

Otras empresas proveedoras de servicios de PaaS son Velneo o Azure. Como

ejemplo de esta última destaca Windows Azure Platform, una plataforma que

ofrece a los desarrolladores de Cloud Computing: Fundamentos, diseño y

arquitectura aplicados a un caso de estudio, aplicaciones un entorno para crear

y ejecutar sus aplicaciones en los centros del proveedor.

Dicho entorno proporciona las funcionalidades necesarias para que las

aplicaciones creadas con él puedan realizar diversas tareas de negocio,

almacenar información en bases de datos de la “nube” y comunicarse con otras

aplicaciones creadas. Con ese o con otros entornos. Los escenarios más

comunes donde se emplea esta plataforma abarcan desde la creación de sitios

51

Web para empresas hasta el almacenamiento de grandes cantidades de

información de forma más barata y ampliable en bases de datos o sistemas de

almacenamiento masivo.

Figura N°9 Plataforma Windows Azure

Entre las ofertas y servicios que ofrece Windows Azure son:

-Windows Azure: Sistema Operativo como un servicio en línea

-Microsoft SQL Azur: Solución completa de base de datos Cloud relacional.

-Plataforma AppFabric de Windows Azure: Conecta servicios Cloud y

aplicaciones internas.

Figura N°10 Servicios en Windows Azure

52

La plataforma permite la total integración de los servicios mencionados

anteriormente con herramientas y aplicaciones que ya existían de Microsoft,

como las que todos conocemos, Microsoft Office, Exchange, todas ellas en

modalidad SaaS, aunque la novedad reside en su herramienta CRM Microsoft

Dynamics, para el seguimiento de clientes y gestión empresarial en general.

2.10 Cloud Computing y SOA

En esta sección se analizarán y evaluarán cómo SOA y Cloud Computing

coexisten. La sección discutirá las sinergias entre ambos modelos y se

explicará como el efecto de esta combinación es mayor que la suma de los

efectos individuales. La mayor parte de las implementaciones e integraciones

basadas en Cloud Computing que se realizan hoy en día tienen un propósito

común, optimizar las aplicaciones a gran escala.

Estas aplicaciones necesitan ser flexibles, y la adopción de SOA puede

proporcionar a los desarrollos basados en Cloud Computing un diseño para el

acceso a los servicios a través de un bajo acoplamiento y la habilidad de

evolucionar fácilmente que de otro modo sería muy complejo. El papel de SOA

en Cloud Computing está comenzando a ser sistémico ya que ayuda a la

compresión de los procesos a nivel de dominio del problema.

Cloud Computing es un tipo de solución, una alternativa más con las que

afrontar retos profesionales, una forma de crear un sistema en el que algunos o

todos sus Cloud Computing: Recursos de TI existentes pueden estar en algún

nivel de la infraestructura Cloud de terceros, tales como Amazon EC2 o

Force.com. Por lo tanto, Cloud Computing es algo que puede implicar parte o la

totalidad de una arquitectura. La diferencia principal es que los recursos del

sistema van a ser más distribuidos si cabe. SOA es todo sobre el proceso de

definición de una solución informática o la arquitectura, mientras que el Cloud

Computing es una alternativa arquitectónica. Por lo tanto, SOA no puede ser

53

sustituido por Cloud Computing. De hecho, la mayoría de soluciones basadas

en la nube van a ser definidas a través de SOA. No compiten, son conceptos

complementarios.

Otro aspecto que debemos considerar, es que SOA, además de ser un patrón

arquitectónico, es una estrategia que alinea la tecnología y las realidades del

negocio, dejando un entorno listo para sufrir cambios (tanto tecnológicos, como

estratégicos) con el menor impacto en costes posible. La decisión de introducir

un modelo de servicios basados en Cloud Computing sin duda introduce serios

cambios de la tipología comentada anteriormente, veremos en qué medida SOA

puede mitigar el gap de adoptar un modelo basado en Cloud.

Una de las principales ventajas de SOA es que está alineado con los procesos

de negocio de la organización, por lo tanto podemos delegar los aspectos

específicos de la infraestructura al proveedor de servicios Cloud que

escojamos. La ventaja de este aspecto reside en que, los profesionales de una

organización pueden estar más preocupados en alinear negocio y TI sin

preocuparse si la infraestructura lo podrá soportar, dicho de otro modo, se

podrá enfocar esfuerzos en las necesidades reales de la organización [12]. En

esta línea cabe afirmar que de algún modo SOA proporciona un entorno con las

bondades que se han explicado a lo largo del trabajo, y Cloud Computing

proporciona alta escalabilidad de forma transparente para el usuario, esta

abstracción de infraestructura y escalabilidad evita tener que pensar en

balanceos de carga de los servicios, centrándonos en las actividades que

realmente proporcionan valor dentro de la organización, es decir, SOA está

orientada al negocio y Cloud está orientado a la infraestructura.

Por supuesto, la escalabilidad de Cloud Computing se aplica a todo tipo de

estilos arquitectónicos, no sólo a SOA. Sin embargo, una de las ideas centrales

en SOA, la reutilización de la funcionalidad y la coherencia, es mucho mayor

54

cuando no hay problemas de escalabilidad, por la tanto se puede afirmar que

existe una clara sinergia entre reutilización y escalabilidad.

En cuanto a la gestión y gobernanza de los servicios, SOA es en sí mismo un

marco de referencia, es importante considerar que Cloud Computing va a llevar

los servicios SOA fuera del firewall interno donde solían alojarse, se hace

necesario un sistema de gestión y gobernanza tremendamente maduros. El

tremendo esfuerzo por introducir gobierno SOA se vería recompensando, ya

que se le proporcionaría a nuestra arquitectura Cloud características añadidas

tales como monitorización para el control de la actividad y cumplimiento de

SLAs por parte del proveedor de infraestructura Cloud, y un mayor control de la

seguridad para mitigar el aumento de riesgo que supone alojar en el exterior los

servicios al adoptar Cloud Computing.

Figura N°11 Sinergias entre SOA y Cloud Computing

Tal y como se puede observar en la Figura N°11, las sinergias entre Cloud

Computing y SOA aportarán un gran valor añadido al sistema y a la

infraestructura. La combinación no solo nos aporta valor a nuestro negocio,

SOA se verá potenciado ya que Cloud Computing extenderá SOA fuera de las

fronteras de los firewalls internos de la organización. Y SOA proporcionará a

55

Cloud Computing todo un marco de gestión y gobernabilidad, interfaces

débilmente acopladas basadas en estándares y una base de diseño de la

arquitectura a través de los principios de orientación a servicios.

Los motivos por los cuales puede interesar un modelo basado en la nube. Ya se

ha visto que permite el lanzamiento rápido de servicios, el acceso a los mismos

desde cualquier lugar, se facilita su difusión y publicidad, es capaz de absorber

crecimientos rápidos y picos de carga, facilita la integración con otros servicios,

etc. Veremos cuáles son las principales ventajas competitivas que Cloud

Computing ofrece y que parámetros son importantes para elegir unos modelos

u otros. Por último que riesgos se deben asumir y poner esfuerzo para evitarlos.

2.11 Aspectos claves en la elección de IaaS frente a sistemas tradicionales

A continuación se muestra de forma esquematizada una comparación entre el

uso de los sistemas informáticos tradicionales requeridos por una organización,

y los cambios que puede aportar el uso de IaaS.

En el sistema tradicional se desaprovechan recursos, mientras que en un

sistema IaaS se consigue una mayor eficiencia en su utilización (menos

sistemas informáticos desaprovechados, menor energía consumida por unidad

de información gestionada, sistemas más automatizados). Así mismo, los

recursos físicos se gestionan de manera unificada por parte del proveedor, por

lo que el tiempo necesario para adaptar los recursos de un usuario de IaaS a

sus necesidades reales en cada momento se reduce notablemente. Así, el

proveedor de servicios podrá optimizar el uso en todas sus máquinas,

reduciendo así los costes por el servicio.

Las máquinas físicas utilizadas para IaaS son propiedad del proveedor de

servicios, con el consiguiente riesgo de que éste pudiera dejar en algún

momento de ofrecer el servicio. Sin embargo, esta característica aporta

56

importantes ventajas, por ejemplo el hecho de que el equipamiento se renueva

más fácilmente debido a la economía de escala de estos sistemas y de que se

siguen estándares que facilitan la interoperabilidad entre fabricantes.

Por otra parte, aunque en los sistemas tradicionales la infraestructura es

propiedad de la organización, tiene el inconveniente de que está asociada a

sistemas que se pueden quedar obsoletos o ser incompatibles con otros.

El empleo de servidores virtuales dedicados, que simulan una máquina con un

sistema operativo propio, permite separar esta máquina simulada del resto de

funcionalidades ofrecidas por el resto de la máquina física. Así, si la máquina

física falla, se puede utilizar la máquina simulada en otra máquina física, por lo

que las consecuencias de un fallo en alguna de las Cloud Computing:

Fundamentos, diseño y arquitectura aplicados a un caso de estudio máquinas y

el tiempo de recuperación se reducen drásticamente.

Además, estas máquinas utilizadas en IaaS se encuentran replicadas, y

disponen de centros físicos de almacenamiento y procesamiento con ciertas

características (como la refrigeración de las máquinas, su seguridad física, etc.)

que, en el caso de ser implantadas en los centros tradicionales, tendrían unos

costes demasiado elevados.

Veamos los aspectos clave a tener en cuenta por parte de una empresa a la

hora de escoger la implantación de una solución IaaS.

2.11.1 Aspectos técnicos

El proveedor de servicios IaaS ofrece una infraestructura informática para

determinados Sistemas Operativos y software (como bases de datos,

alojamiento Web, entornos de desarrollo de aplicaciones, servidores de

aplicaciones, codificación y streaming de vídeo) y la empresa usuaria debe

57

tener en cuenta que no podrá incorporar otros sistemas particulares de su

solución.

2.11.2 Aspectos estratégicos

Los usuarios pueden desplegar máquinas virtuales en la infraestructura física

de IaaS en muy poco tiempo (en los casos más sencillos, en pocos minutos),

por lo que se reduce significativamente el tiempo y coste asociado de puesta en

marcha de nuevos sistemas. Además, la capacidad de ampliación de los

recursos hardware es bastante menos costosa y rápida que en el caso

tradicional.

Por otro lado, la disponibilidad y calidad de servicio ofrecidos en IaaS suelen

estar garantizados durante casi todo el tiempo de utilización, ofreciendo

soluciones alternativas en el caso de falta de servicio. Así, uno de los aspectos

estratégicos por los que una empresa podría optar por IaaS sería conseguir una

reducción significativa de la inversión en recursos para garantizar la

disponibilidad del sistema, que generalmente consiste en la adquisición de

sistemas físicos redundantes para evitar pérdidas de servicios que

habitualmente no se usan, con el consecuente coste que suponen los recursos

desperdiciados.

Otro aspecto estratégico a tener en cuenta es el hecho de que la

deslocalización física del hardware utilizado junto con el uso de redes privadas

virtuales (VPN) posibilita el acceso simultáneo y seguro de múltiples empleados

de la organización a los sistemas con mayor facilidad de disponer de alta

velocidad de conexión.

58

2.11.3 Aspectos económicos

El coste de utilización de los servicios IaaS sigue varios modelos:

En el primer modelo se cobra una tarifa fija por hora y unidad de recursos

utilizados. Esto suele ser útil para aplicaciones poco probadas en los que el

consumo sea impredecible.

En el segundo, se ofrece la posibilidad de disponer de un recurso reservado,

con un pequeño coste, y un cobro por el uso posterior. Suele emplearse en

aplicaciones con un uso predecible y que necesiten de capacidad reservada,

incluyendo recuperación ante desastres.

En otros modelos, se paga en función del uso instantáneo que se haga de

los recursos. Este último caso es adecuado cuando se necesita una alta

flexibilidad de los recursos en determinados momentos, por ejemplo,

grandes consumos en momentos determinados del día no predecibles.

Habitualmente, se pueden combinar estos modelos para adaptarlos a las

necesidades específicas del usuario.

2.11.4 Aspectos legales

El uso de IaaS obliga a sus usuarios a que no exijan la localización en todo

momento de la ubicación física de la información gestionada. Otra característica

a tener en cuenta es que algunos de los proveedores de servicios IaaS realizan

back-ups o copias de la información que gestionan. Estos dos aspectos son

importantes si se gestiona información protegida de carácter personal o

empresarial.

2.12 Aspectos claves en la elección de PaaS frente a sistemas

tradicionales

Al igual que en IaaS, el uso de PaaS aporta ciertas mejoras y facilidades frente

a sistemas tradicionales, entre las que destacan:

59

2.12.1 Calidad final

El importante esfuerzo colaborativo realizado en aplicaciones informáticas

creadas con Cloud Computing: Fundamentos, diseño y arquitectura aplicados a

un caso de estudio PaaS hace posible que en la gran mayoría de los casos el

usuario perciba una calidad final mayor que la ofrecida por aplicaciones

convencionales:

A diferencia del proceso tradicional, donde se desarrolla en un entorno y

posteriormente se traslada a otros para su prueba y puesta en marcha, en PaaS

la creación de la aplicación se realiza en un entorno unificado y que será el

mismo al que accederán sus usuarios finales, por lo que se reducirán los

errores debidos a las diferencias entre entornos y serán más sencillos de

corregir.

Por otra parte, el hecho de gestionar toda la información de manera

centralizada permite obtener estadísticas de la información real accedida en

cada momento, las cuales podrían reutilizarse para mejorar la aplicación u otras

similares.

2.12.2 Interoperabilidad con otros sistemas en línea

Un elevado número de aplicaciones, tales como sistemas de comercio

electrónico o sistemas de predicción meteorológica, requieren acceso en tiempo

real a información disponible en otros puntos de Internet u otras redes. Trabajar

con PaaS facilita la conectividad a esos recursos, ya que ambos estarán

diseñados específicamente para trabajar de forma conjunta, y permite actualizar

automáticamente las conexiones entre los recursos, lo cual supone una ventaja

respecto al desarrollo realizado en los sistemas tradicionales.

Asimismo, PaaS utiliza frecuentemente una infraestructura IaaS, ya descrita

anteriormente, beneficiándose de sus ventajas como ampliar o reducir los

recursos físicos eficientemente.

60

2.13 Aspectos Claves a tomar en cuenta para implantar una solución PaaS

A continuación, se citan los aspectos clave a tener en cuenta por parte de una

empresa a la hora de escoger la implantación de una solución PaaS.

2.13.1 Aspectos técnicos

A la hora de crear las aplicaciones que posteriormente se situarán en los

sistemas PaaS, hay que tener en cuenta que la tecnología a usar en las mismas

debe ser compatible con dichos sistemas. En general, la tecnología estará

basada en estándares internacionales, pero el rango de funciones que ofrece

puede ser bastante limitado en ciertos casos. Por ejemplo, en la creación de

aplicaciones Web sobre Google App Engine, los lenguajes de programación

utilizados únicamente pueden ser Python y Java. Esto puede reducir el

rendimiento de determinadas aplicaciones.

Por otro lado, las plataformas PaaS permiten ampliar fácilmente los recursos

disponibles para la aplicación ya que, por ejemplo, se usan sistemas de ficheros

y bases de datos específicas para ello. Sin embargo, la gestión de la

información en estos sistemas es bastante más compleja, por lo que en la

práctica se confía parte de ese control al proveedor de servicios. Se deberá

conocer hasta qué punto la información gestionada es crítica, y qué niveles de

seguridad se establecerán. Esto obliga al proveedor a suministrar información

sobre la estructura de los datos.

Finalmente, la gestión de las aplicaciones una vez situadas en las máquinas de

PaaS suele ser más sencilla que en las instalaciones tradicionales, pero se

dispone de menor control de todos los sistemas.

2.13.2 Aspectos estratégicos

Con PaaS se ofrecen soluciones de almacenamiento y computación para los

desarrolladores de software accesibles independientemente de la ubicación

61

geográfica, adoptando así economías de escala y flexibilidad de configuración

sin que los usuarios de la plataforma necesiten mantener la tecnología

subyacente.

2.13.3 Aspectos económicos

Los proveedores PaaS habitualmente ofrecen un periodo de pruebas sin coste

en los que los usuarios pueden comprobar las ventajas competitivas que

pueden encontrar en PaaS, o pueden experimentar con nuevas aplicaciones

adaptadas a ese tipo de sistemas.

Comúnmente, se ofrece un coste por uso de los recursos del sistema, es decir,

se cobra una cantidad fija por cada GByte de almacenamiento, por cada hora

de procesamiento o por cada GByte de información transmitida hacia terceros.

Asimismo, para fomentar la implantación de PaaS se tiende a ofrecer un

servicio gratuito limitado a una cantidad diaria de uso, a partir del cual se realiza

el cobro según se ha descrito.

2.13.4 Aspectos legales

Al comenzar a usar los servicios PaaS, se establece un acuerdo entre el

proveedor y el usuario en el que se describen las condiciones del servicio

ofrecido. Habitualmente, el usuario se compromete a no realizar un uso

indebido de los sistemas que se le ofrecen.

Por otro lado, el proveedor señala las condiciones de tarificación del servicio, de

garantía de acceso y gestión adecuada de la información, y de las garantías

legales en caso de errores o desastres en sus sistemas.

62

2.14 Aspectos claves en la elección de SaaS frente a sistemas

tradicionales

En la práctica, las aplicaciones SaaS se diferencian de las aplicaciones

tradicionales en ciertos aspectos fundamentales, varios de ellos ya comentados

en las ventajas generales ofrecidas por Cloud Computing:

2.14.1 Coste

Las aplicaciones tradicionales tienen un coste inicial alto basado en la

adquisición de las licencias para cada usuario. Estas licencias suelen ser a

perpetuidad, es decir, no imponen restricciones temporales a su uso.

En cambio, para las aplicaciones SaaS el coste se basa en el uso, no en el

número de usuarios, y el gasto de mantenimiento es nulo, ya que la las

aplicaciones las gestiona el propio proveedor. Un modelo más equilibrado entre

ambos podría ser el uso de sistemas basados en un uso ilimitado durante un

periodo de tiempo.

2.14.2 Administración informática

Las organizaciones que usan software tradicional comúnmente necesitan un

departamento de administración o una subcontratación de esas competencias a

otras empresas para que se resuelvan problemas asociados a la implantación

de la infraestructura informática o la resolución de problemas como la seguridad

de los sistemas, la fiabilidad, el rendimiento ofrecido o problemas de

disponibilidad. Si se utiliza SaaS, esta administración se ve reducida

considerablemente, ya que la realiza el proveedor de servicios basándose en el

acuerdo de nivel de servicio.

2.14.3 Independencia de las mejoras en las aplicaciones

El proveedor de SaaS no sólo se encarga de la administración, como se acaba

de comentar, sino que también es el que se encarga de instalar, mantener y

63

actualizar las aplicaciones del cliente, por lo que este último podrá invertir su

tiempo en las tareas propias de su negocio, utilizando sus recursos en las áreas

más estratégicas.

2.15 Aspectos clave a la hora de decidir optar por soluciones SaaS de

forma total o parcial en la organización:

2.15.1 Aspectos técnicos

Las aplicaciones informáticas SaaS suelen ofrecer cierta flexibilidad de

configuración para su adaptación a las necesidades del cliente. Sin embargo,

existen empresas que necesitan aplicaciones muy particulares, cuya adaptación

a partir de software SaaS es demasiado costosa económica o técnicamente

para los proveedores de servicios. En esos casos, esas empresas deberán

desarrollar un software específico.

Otro factor a considerar es el tipo y la cantidad de datos a transmitir a las

aplicaciones de la empresa. Habitualmente, las redes de comunicaciones

ofrecen altas velocidades de transmisión de datos en sus instalaciones, y

menores velocidades en su acceso a Internet. Si se utiliza una aplicación SaaS,

se ha de considerar que se deberá acceder a Internet para transmitir

información. Para paliar la lentitud del sistema al transmitir información, las

aplicaciones SaaS sólo transmiten la información estrictamente necesaria

(también llamada solución basada en caché) o agrupan la información para

transmitirla en el momento óptimo (solución denominada transmisión por lotes).

2.15.2 Aspectos estratégicos

En algunas empresas se presenta cierta resistencia a que las funcionalidades

de gestión de la empresa se externalicen hacia sistemas en Internet. Sin

embargo, se pueden realizar proyectos de prueba en los que se analicen las

mejoras que puede aportar a la empresa el uso de estos sistemas SaaS. En

64

consonancia con ello, los proveedores de SaaS ofrecen a menudo periodos de

prueba para que las empresas puedan realizar estos análisis.

2.15.3 Aspectos económicos

Para realizar un análisis adecuado se ha de comparar el coste total de

propiedad (llamado en términos económicos, TCO) de una aplicación SaaS

frente al del software tradicional. Aunque el coste inicial de una aplicación

SaaS es habitualmente inferior, el coste a largo plazo se puede llegar a

incrementar debido a las tarifas por el uso del servicio. Los factores más

destacados que afectan al TCO de una aplicación incluyen el número de

licencias de usuario del software necesarias o la cantidad de configuración

requerida para integrar la aplicación a la infraestructura de la organización.

Asimismo, se ha de tener en cuenta si se han realizado inversiones recientes en

infraestructuras de las que se espera un retorno de la inversión en cierto

periodo de tiempo.

2.15.4 Aspectos legales

Algunas organizaciones que operan en varios países están sujetas a

legislaciones que exigen la obtención de informes que describan cómo

gestionan la información. Sin embargo, es posible que los proveedores de SaaS

no sean capaces de proporcionar esos informes, o de utilizar sistemas de

trazabilidad o seguimiento de la información que gestionan. Todo esto debe

aparecer claramente especificado en el acuerdo de nivel de servicio (SLA).

2.16 Otros XaaS: El caso del Virtual Desktop Infrastructure (VDI)

Dada la creciente popularidad que están adquiriendo las distintas soluciones

basadas en Cloud Computing, ha surgido una familia de modelos de servicios

que se añaden a las ya comentadas (SaaS, PaaS, IaaS) y que se denomina

XaaS. Esta familia de servicios tiene como ejemplos, Testing as a Service,

Security as a Service, Modeling as a Service, todo como servicio.

65

En ocasiones cuando se descontrola la terminología sobre un concepto, esta,

deja de aportar valor, cuando lo que realmente aportar valor añadido es la

propia funcionalidad que te ofrece determinado servicio. No obstante, hay un

modelo de la familia XaaS y que está siendo adoptando por grandes compañías

como por ejemplo el BBVA. Este modelo se denomina Desktop as a Service

(DaaS), aunque su nombre más popular es Virtual Desktop Infrastructure (VDI).

La idea que hay detrás de lo que se llama Virtual Desktop Infrastructure (VDI)

es ejecutar sistemas operativos de escritorio y aplicaciones en máquinas

virtuales que residen en los servidores del centro de datos [8]. A los sistemas

operativos de escritorio dentro de máquinas virtuales también se les conoce

como los escritorios virtuales. Los usuarios acceden a los escritorios virtuales y

aplicaciones desde un cliente PC de escritorio o de cliente ligero con un

protocolo de visualización a distancia y llegar a casi todas las funciones como si

las aplicaciones se cargan en sus sistemas locales, con la diferencia de que las

solicitudes son administradas. Al igual que la virtualización de servidores, VDI

ofrece muchos beneficios. En concreto, las tareas administrativas y de gestión

se han reducido significativamente [8]; aplicaciones de forma rápida se pueden

agregar, eliminar, actualizar, y parches, la seguridad es centralizada.

VDI tiene algunas similitudes con una arquitectura de infraestructura de

aplicaciones para compartir, donde el acceso del usuario es a través de un

cliente ligero. Sin embargo, hay diferencias. Por ejemplo, VDI permite a las

empresas a aislar a los usuarios entre sí en el caso de un fallo de sesión

individual. VDI También puede ejecutar la mayoría de aplicaciones de forma

nativa sin modificaciones. VDI soporta aplicaciones que requieren un cliente

"pesado". Esta capacidad de soportar toda la gama de tipos de escritorio es

esencial, ya que muchos usuarios quieren los beneficios, tales como el espacio

de almacenamiento personal, que un PC completo ofrece.

66

Básicamente, los usuarios desean las características y flexibilidad del escritorio

tradicional, pero sin los problemas de la tasa de fallos. Los cambios como la

instalación de una nueva aplicación, la actualización de una aplicación

existente, o aplicar un parche se puede hacer sin tener que tocar la PC física

del usuario es transparente al usuario.

La programación y automatización de parches y actualizaciones tienen una tasa

de éxito mayor ya que se puede iniciar / detener las máquinas virtuales de

escritorio en el centro de datos. Estas máquinas virtuales son independientes

de hardware y se puede ejecutar en cualquier servidor de centro de datos y se

puede acceder desde cualquier cliente. Además, los datos asociados con estas

aplicaciones se pueden almacenar en el centro de datos, por lo que es más fácil

hacer una copia de seguridad de los datos y protegerlo de usuarios no

autorizados.

Además de hacer que sea más fácil de desplegar y mantener aplicaciones, VDI

también Cloud Computing: Fundamentos, diseño y arquitectura aplicados a un

caso de estudio simplifica la resolución de problemas [8]. Por ejemplo, cuando

un usuario llama al servicio de asistencia, el personal puede trabajar en el

problema en el centro de datos y no tiene que visitar el escritorio.

VDI también se puede utilizar para proporcionar acceso a aplicaciones y datos a

los usuarios remotos que no están dentro del firewall de la pared de la empresa.

Esto es útil cuando un departamento de TI debe apoyar a los usuarios que

trabajan desde casa o en otros, oficinas geográficamente dispersas. Apoyar a

los usuarios es a menudo una tarea difícil. Cuando hay problemas, el usuario a

menudo se necesita enviar su escritorio o portátil a la oficina principal para su

reparación. Con VDI, los problemas son más fáciles de solucionar ya que los

sistemas virtuales se mantienen en el centro de datos donde hay un personal

de TI.

67

Figura N°12 Modelo Virtual Desktop Infrastructure

Un beneficio adicional del uso de VDI es que permite a las empresas a

mantener la seguridad y cumplir con las regulaciones de cumplimiento, sin tener

que poner como foco tanto en la seguridad del PC virtuales mediante la

asignación de más recursos de CPU y memoria.

VDI reduce el tiempo de inactividad, las velocidades de la resolución de

problemas, mejora la capacidad de gestión y control, y ayuda a mantener la

seguridad de TI y protección de datos. El resultado final es una mayor

disponibilidad y productividad de los trabajadores mejora.

2.17 Riesgos en Cloud Computing

Como consecuencia directa de adoptar un nuevo modelo, siempre cabe la

posibilidad de que se deban asumir riesgos adicionales, en Cloud Computing la

mayoría de los riesgos son similares y comunes al resto de modelos y sistemas

de información, pero es conveniente afrontarlos de cara y añadir soluciones. A

continuación se analizan los riesgos más comunes en Cloud Computing.

68

En secciones anteriores se han mencionado las características y bondades que

ofrece Cloud Computing, pero el motivo de este apartado es señalar que este

nuevo modelo no debe tomarse a la ligera, que no es fácil adoptarlo y que

supone un reto. Existen determinados riesgos, riesgo de seguridad interna,

riesgo de seguridad externa, riesgo de caída del servicio, riesgo de protección

de datos, riesgo de pérdida de datos. Pero entraremos a detallar los

introducidos especialmente por Cloud Computing.

2.17.1 Riesgo de pérdida de datos:

Una de las mayores ventajas de mover nuestros recursos a la nube, es la

despreocupación de realizar backups diariamente, resulta una preocupación

menos. Pero existe el riesgo de que toda esa información se pueda perder, si

estamos hablando de un Cloud Público, el SLA debe asegurar la infraestructura

está replicada en distintas zonas geográficas y un sistema de recuperación

tremendamente maduro y gestionado. Una solución para prevenir pérdida de

datos en Clouds Públicos es optar por una solución de Cloud híbrida, en la cual

solo se migre a la parte pública nuestros procesos menos críticos. Otra posible

solución es optar por una segunda nube pública que sea redundante a la

primera y que sirva como backup.

2.17.2 Riesgo de caída del servicio:

Uno de los riesgos que más impacto puede causar en nuestro negocio, es sin

duda, la caída del servicio, este riesgo es mayor si estamos haciendo uso de

una IaaS pública]. La caída de un servicio no solo afecta a que durante un

tiempo determinado estemos teniendo pérdidas ya Cloud Computing:

Fundamentos, diseño y arquitectura aplicados a un caso de estudio que nuestra

funcionalidad está caída. Si no que además nuestra imagen con respecto a

nuestros clientes se ve deteriorada si no lo gestionamos bien.

69

Tabla 1 Ejemplos caídas de servicio

Como solución es necesario solicitar un completo SLA bajo el cual estemos

blindados si nuestro proveedor de servicios no cumple con las exigencias

negociadas. Algunos ejemplos históricos de caídas de servicio de grandes

proveedores son los que aparecen en la figura a continuación.13

2.18 Beneficios

Integración probada de servicios Red. Por su naturaleza, la tecnología

de cloud computing se puede integrar con mucha mayor facilidad y rapidez

con el resto de las aplicaciones empresariales (tanto software tradicional

como Cloud Computing basado en infraestructuras), ya sean desarrolladas

de manera interna o externa.3

Prestación de servicios a nivel mundial. Las infraestructuras de cloud

computing proporcionan mayor capacidad de adaptación, recuperación

completa de pérdida de datos (con copias de seguridad) y reducción al

mínimo de los tiempos de inactividad.

Una infraestructura 100% de cloud computing permite al proveedor de

contenidos o servicios en la nube prescindir de instalar cualquier tipo de

hardware, ya que éste es provisto por el proveedor de la infraestructura o la

13 José Manuel Arévalo, Cloud Computing: fundamentos, diseño y arquitectura aplicados a un caso de

estudio, p.22

70

plataforma en la nube. Un gran beneficio del cloud computing es la

simplicidad y el hecho de que requiera mucha menor inversión para

empezar a trabajar.

Implementación más rápida y con menos riesgos, ya que se comienza a

trabajar más rápido y no es necesaria una gran inversión. Las aplicaciones

del cloud computing suelen estar disponibles en cuestión de días u horas en

lugar de semanas o meses, incluso con un nivel considerable de

personalización o integración.

Actualizaciones automáticas que no afectan negativamente a los recursos

de TI. Al actualizar a la última versión de las aplicaciones, el usuario se ve

obligado a dedicar tiempo y recursos para volver a personalizar e integrar la

aplicación. Con el cloud computing no hay que decidir entre actualizar y

conservar el trabajo, dado que esas personalizaciones e integraciones se

conservan automáticamente durante la actualización.

Contribuye al uso eficiente de la energía. En este caso, a la energía

requerida para el funcionamiento de la infraestructura. En los data centers

tradicionales, los servidores consumen mucha más energía de la requerida

realmente. En cambio, en las nubes, la energía consumida es sólo la

necesaria, reduciendo notablemente el desperdicio.

2.19 Desventajas

La centralización de las aplicaciones y el almacenamiento de los datos

origina una interdependencia de los proveedores de servicios.

La disponibilidad de las aplicaciones está sujeta a la disponibilidad de

acceso a Internet.

Los datos "sensibles" del negocio no residen en las instalaciones de las

empresas, lo que podría generar un contexto de alta vulnerabilidad para la

sustracción o robo de información.

La confiabilidad de los servicios depende de la "salud" tecnológica y

financiera de los proveedores de servicios en nube. Empresas emergentes o

71

alianzas entre empresas podrían crear un ambiente propicio para el

monopolio y el crecimiento exagerado en los servicios.4

La disponibilidad de servicios altamente especializados podría tardar meses

o incluso años para que sean factibles de ser desplegados en la red.

La madurez funcional de las aplicaciones hace que continuamente estén

modificando sus interfaces, por lo cual la curva de aprendizaje en empresas

de orientación no tecnológica tenga unas pendientes significativas, así como

su consumo automático por aplicaciones.

Seguridad: La información de la empresa debe recorrer diferentes nodos

para llegar a su destino, cada uno de ellos (y sus canales) son un foco de

inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la

velocidad total disminuye debido a la sobrecarga que éstos requieren.

Escalabilidad a largo plazo: A medida que más usuarios empiecen a

compartir la infraestructura de la nube, la sobrecarga en los servidores de

los proveedores aumentará, si la empresa no posee un esquema de

crecimiento óptimo puede llevar a degradaciones en el servicio o altos

niveles de jitter.

Privacidad: La información queda expuesta a terceros que pueden copiarla o

acceder a ella14.

2.20 Principales factores que contribuyen a mejorar la productividad y

competitividad en las Pequeñas y Medianas empresas

Computación en la nube o “Cloud Computing”, ha pasado de ser una moda o

tendencia a convertirse en una realidad cada vez más presente en las

empresas. Gracias a este modelo, las pymes pueden acceder a recursos

tecnológicos que antes solo estaban al alcance de las grandes empresas que

14 http://es.wikipedia.org/wiki/Computación_en_la_nube#Comparaciones

72

se podían permitir la inversión necesaria para su desarrollo. ¿Quieres conocer

sus ventajas?

El Cloud Computing se basa principalmente en el uso de Internet como una

plataforma tecnológica a través de la que acceder a un conjunto de servicios y

aplicaciones alojados directamente en la red, en lugar de en soportes físicos,

como ha sido habitual desde que se incorporaran las nuevas tecnologías a la

actividad empresarial.

Este modelo tecnológico ofrece numerosas ventajas a las pequeñas y medianas

empresas. A continuación, analizamos los principales factores que contribuyen

a mejorar la productividad y competitividad de los negocios a través del uso del

Cloud Computing:

1. Accesibilidad y movilidad: Se Puede acceder a los servicios y a la

información almacenada en las aplicaciones Cloud desde cualquier lugar a

través de Internet, haciendo uso de dispositivos fijos y móviles.

2. Ahorro de costes: Se reduce el gasto en infraestructuras y en recursos para

su mantenimiento, así como en licencias de software y en personal técnico,

al ser menor la inversión en innovación tecnológica propia. En este sentido,

según un informe sobre el estado del Cloud Computing elaborado por

Sandetel, se estima que la migración del correo electrónico a una solución

en la nube reporta a las empresas un ahorro de costes del orden del 30%,

según la magnitud de la compañía, mientras que la migración de un sistema

CRM a la nube puede suponer un ahorro del 23% aproximadamente.

3. Tarifas basadas en el consumo: Se impone el modelo de pago por uso,

según lo que la empresa demande en cada momento, optimizando así el

gasto económico.

4. Foco en el negocio: Permite concentrarse en la gestión del negocio,

reduciendo el esfuerzo y los recursos necesarios para administrar tus

sistemas TIC.

73

5. Optimización en el uso de los recursos: Permite reducir la carga de trabajo

del personal respecto a tareas técnicas, y que puedan dedicar más tiempo a

otras más productivas para tu empresa.

6. Tecnología actualizada y segura: El proveedor del servicio Cloud se encarga

de actualizar y mejorar los sistemas, permitiendo a la empresa acceder a la

última tecnología sin tener que invertir esfuerzos en su desarrollo. Además,

recae sobre el proveedor el desarrollo de medidas para el impulso de la

protección de datos y la seguridad de la información contenida en sus

sistemas.

7. Almacenamiento masivo: La empresa puede guardar su información en la

nube, sin tener que invertir en la compra, instalación y mantenimiento de

servidores propios.

8. Flexibilidad y adaptación: Se puede elegir los servicios Cloud que mejor se

adapten a las necesidades concretas del negocio.

9. Escalabilidad: Conforme la empresa se vaya familiarizando con el uso del

Cloud se puede ir avanzando de aplicaciones más sencillas a otras más

complejas y personalizadas para aprovechar al máximo el potencial de este

modelo tecnológico.

10. Recuperación ante desastres: Al estar la información almacenada en la

nube, la empresa puede acceder a ella en todo momento, con

independencia de que se produzca algún incidente que le impida hacer uso

de sus herramientas propias.15

2.21 La nube una alternativa para las PYMES

El modelo de cloud computing les permite incorporar las últimas innovaciones

en TI sin gastar tanto

15

http://www.juntadeandalucia.es/economiainnovacioncienciayempleo/chequedeinnovacion/blog/2013/01/cl

oud-computing-para-pymes-que-es-y-que-ventajas-tiene/ Cheque Innovación (22-Septiembre-2013)

74

Pocas tecnologías a lo largo de la historia cobraron una adopción tan rápida

entre las pymes latinoamericanas, siempre cautas a la hora de incorporar

nuevas herramientas, como la computación en la nube. ¿Qué hace que este

modelo esté eliminando la aprensión a invertir en IT de los ejecutivos de las

empresas más pequeñas de la región?

Una de las principales razones es que las soluciones adquiridas bajo este

modelo tienen costos razonables. En efecto, no hay que comprar licencias

prohibitivas para los siempre escasos presupuestos de las pymes, ni montar

costosos centros de datos, ni tener infraestructura específica. Tampoco es

necesario atravesar un proceso infinito de implementación que consuma

recursos humanos, también escasos en el marco de las organizaciones de

menor porte. Bajo este esquema, sólo se efectúa el pago de una cuota mensual

por las aplicaciones específicas que se estén usando y que están alojadas en el

servidor del proveedor. Todo se vuelve controlable y predecible.

Respecto de la implementación, en muchos casos es posible acceder de

inmediato a la aplicación requerida. Las soluciones en la nube suelen ser lo

suficientemente flexibles como para ser configuradas de acuerdo a las

necesidades de cada empresa en particular en un período de tiempo más que

razonable. El éxito de la plataforma hace, por otra parte, que cada vez haya

más aplicaciones disponibles, que cubren diferentes necesidades de negocios.

Las interfaces suelen verse como las aplicaciones que las personas utilizan

cotidianamente en sus teléfonos inteligentes o en sus tablets. Por lo tanto, otro

beneficio es que no es necesario capacitar específicamente al personal en el

uso de la herramienta.

El último gran punto que toda pyme debe observar a la hora de decidir un

vuelco hacia la nube es el de la gestión. Este ha sido siempre uno de los puntos

débiles de las organizaciones más pequeñas que invirtieron en soluciones de

75

IT. Por falta de personal, de tiempo, de voluntad o de presupuesto (y de todas

las combinaciones posibles entre las anteriores), las herramientas tecnológicas

de las pymes, pasado un tiempo, comienzan a estar desactualizadas, a mermar

en su rendimiento o a trabajar en ambientes muy poco seguros.

El concepto de la nube también resuelve este ítem: es el proveedor el que se

hace responsable por mantener el software, garantizar que esté funcionando la

última versión disponible y ofrecer un centro de datos seguro. Esto significa que

los datos están almacenados en un ambiente de máxima seguridad, con

tecnologías de punta para contrarrestar amenazas informáticas y equipamientos

de redundancia y ventilación de última generación para proteger las

instalaciones físicas.

La nube rompe un paradigma en cuanto al consumo de tecnología por parte de

las pymes. Es el primer modelo que permite a las pequeñas y medianas

empresas concentrarse, de verdad, en la ejecución de sus negocios y

desentenderse de la adquisición y la gestión de IT. También es pionero en

permitirles el acceso a las últimas innovaciones sin tener que desangrar sus

presupuestos. Por fin, justo cuando el mercado se puso más competitivo que

nunca, las pequeñas pueden jugar en las grandes ligas16.

2.22 Cinco pasos clave y sencillos para llegar a la nube

Todo indica que el modelo de computación en la nube tiende a fortalecerse.

Motivos no faltan: se trata de una forma eficiente, confiable, segura y rápida

para que las empresas puedan incorporar nuevas soluciones informáticas, sin

incurrir en altos costos de inversión inicial, puesto que hay un proveedor que

asume los costos de hardware y de gestión y mantenimiento relacionados y con

menor riesgo, ya que el mismo prestador es el que garantiza el cumplimiento

16

Equipo de Redacción. http://elempresario.mx/opinion/que-pymes-deben-mirar-hacia-nube 14-11-13

76

con las normativas internacionales y la seguridad de las transacciones. ¿Qué

camino deben recorrer las empresas que quieran subirse a la nube?

1. Identificación de una necesidad de negocios: Se analiza luego cuáles son los

procesos, las aplicaciones y los sistemas involucrados. Un aspecto interesante

de las aplicaciones cloud es que están muy enfocadas en la solución de

negocios, por lo que será fundamental la participación de las áreas que son

atravesadas por los procesos. Muchas veces, es precisamente el área de

negocios quien activa la adquisición.

2. Establecimiento de un plan de desarrollo: Es cierto, "subirse" a la nube es

sencillo. Sin embargo, hacerlo de manera planificada puede generar beneficios

mucho más allá de los pensados en una primera instancia. Casi siempre, una

primera aplicación es tan solo la vía de entrada a la nube. Por eso, lo ideal es

poder pensar en un esquema escalable, para poder extender su alcance para

cubrir otras necesidades de negocios en áreas diferentes.

3. Selección del proveedor: Como todo concepto tecnológico en ebullición, el

número de proveedores alrededor de la nube está en franco y desordenado

aumento. A la hora de seleccionar uno, por lo tanto, habrá que considerar

aspectos clave como trayectoria en el mercado, casos de éxito probados o

disponibilidad de la solución que responde al problema de negocios. Otro dato:

uno de los beneficios de las aplicaciones en la nube radica en que sus costos

son predecibles y acotados. Exija esas características a su proveedor.

4. Diseño de un plan de integración: Es fundamental que la aplicación elegida

pueda sumarse a toda la infraestructura existente de aplicaciones y que no

quede como una cuestión aislada. Si la nueva herramienta no se integra con las

previas, estén en la nube o instaladas físicamente, será muy difícil visualizar

todos los beneficios de este nuevo modelo. La selección que se haya realizado

del proveedor aquí habrá sido clave.

77

5. Definición del nuevo rol estratégico del área de TI: La nube, entre otras

características, resta trabajo pesado y repetitivo a dicho sector. Por lo tanto,

esta también es una oportunidad para poder reconvertir la capacidad de esos

recursos humanos para agregar valor a su empresa.

La computación en la nube nace con la premisa de que acceder al modelo sea

simple. Está en cada uno no complicarlo17.

2.23 Seguridad Informática

¿Qué es “Network Security” o Seguridad en la red (Servicios Digitales en

Internet)?

Definimos la seguridad de información como la protección de ventajas de

información de la revelación no autorizada, de la modificación, o de la

destrucción, o accidental o intencional, o la incapacidad para procesar esa

información. La seguridad de la red, se compone de esas medidas tomadas

para proteger una red del acceso no autorizado, interferencia accidental o

intencionada con operaciones normales, o con la destrucción, inclusive la

protección de facilidades físicas, del software, y de la seguridad del personal.

La seguridad en el Web es un conjunto de procedimientos, prácticas y

tecnologías para proteger a los servidores y usuarios del Web y las

organizaciones que los rodean. La Seguridad es una protección contra el

comportamiento inesperado (Garfinkel, 1999).

2.23.1 Seguridad en el Web

Internet es una red de dos sentidos. Así como hace posible que los

servidores Web divulguen información a millones de usuarios, permite a los

17

Michel Stei ert. http://www.eleconomistaamerica.pe/actualidad-eAm-

peru/noticias/5313789/11/13/Cinco-pasos-clave-y-sencillos-para-llegar-a-la-nube1Identificacion-de-una-necesidad-de-negocios-.html 15-11-13

78

hackers, crackers, criminales y otros “chicos malos” irrumpir en las mismas

computadoras donde se ejecutan los servidores Web.

Las empresas, instituciones y los gobiernos utilizan cada vez más el Word

Wide Web para distribuir información importante y realizar transacciones

comerciales. Al violar servidores Web se pueden dañar reputaciones y

perder dinero.

Aunque el Web es fácil de utilizar, los servidores son piezas de software

extremadamente complicadas y tienen diversas fallas de seguridad

potenciales.

Es mucho más onerosa y tardada la recuperación de un incidente de

seguridad que implementar medidas preventivas.

2.23.2. Importancia de la seguridad en el Web

Los servidores son un blanco atractivo para los transgresores por varias

razones (Garfinkel, 1999):

Publicidad: Los servidores web son la cara que las organizaciones

presentan al público y al mundo electrónico. Un ataque exitoso a alguno de

ellos es acto público que puede ser visto en unas horas por cientos de miles

de personas. Los ataques pueden lanzarse por razones ideológicas o

financieras, o ser simples actos vandálicos cometidos al azar.

Comercio: Muchos servidores web están relacionados con el comercio y el

dinero. De hecho los protocolos criptográficos integrados a Navigator de

Netscape y otros navegadores fueron originalmente incluidos para permitir a

los usuarios enviar números de tarjetas de crédito por Internet sin

preocuparse de que fueran interceptados. De esta forma, los servidores web

se han convertido en repositorios de información financiera confidencial, lo

cual los convierte en un blanco atractivo para los atacantes.

Información confidencial: Para las organizaciones, la tecnología del Web

se ha convertido en una forma de distribuir información con gran sencillez,

tanto internamente, a sus propios miembros, como de manera externa, a sus

79

socios en todo el mundo. Esta información confidencial es un blanco

atractivo para sus competidores y enemigos.

Acceso a las redes: Al ser utilizados por personas tanto dentro como fuera

de las organizaciones, los servidores web sirven efectivamente como puente

entre la red interna de la organización y las redes externas. Su posición

privilegiada en cuanto a las conexiones de red los convierte en un blanco

ideal para ser atacados, ya que un servidor web violado puede emplearse

como base para atacar desde ahí a las computadoras de una organización.

Extensibilidad de los servidores: Debido a su naturaleza, los servidores

están diseñados para ser extensibles, lo cual hace posible conectarlos con

bases de datos, sistemas heredados y otros programas que se ejecutan en

la red de una organización. Si no se implementan de modo adecuado, los

módulos que se agregan a un servidor pueden comprometer la seguridad de

todo el sistema.

Interrupción del servicio: Como la tecnología del Web se basa en la familia

de protocolos TCP/IP, está sujeta a interrupciones del servicio: ya sea

accidental o intencionalmente por medio de ataques de negación del

servicio. Las personas que utilizan dicha tecnologías den estar enteradas de

sus fallas y prepararse para interrupciones importantes del servicio.

Soporte complicado: Los navegadores necesitan servicios internos, como

DNS (Servicio de Nombres de Dominio, Domain Name Service) y el

enrutamiento del protocolo IP (Protocolo Interne, Internet Protocol) para

funcionar bien. La robustez y confiabilidad de tales servicios pueden ser

desconocidas y vulnerables a errores de programación, accidentes y

subversión, la subversión de un servicio de más bajo nivel puede causar

problemas también a los navegadores.

80

2.23.3 Objetivos de la Seguridad.

Seguridad informática es el conjunto de procedimientos, estrategias y

herramientas que permitan garantizar la integridad, la disponibilidad

y la confidencialidad de la información de una entidad.

- Integridad: Es necesario asegurar que los datos no sufran cambios no

autorizados, la pérdida de integridad puede acabar en fraudes, decisiones

erróneas o como paso a otros ataques. El sistema contiene información que

debe ser protegida de modificaciones imprevistas, no autorizas o

accidentales, como información de censo o sistemas de transacciones

financieras.

- Disponibilidad: Se refiere a la continuidad operativa de la entidad, la pérdida

de disponibilidad puede implicar, la pérdida de productividad o de

credibilidad de la entidad. El sistema contiene información o proporciona

servicios que deben estar disponibles a tiempo para satisfacer requisitos o

evitar pérdidas importantes, como sistemas esenciales de seguridad y

protección de la vida

- Confidencialidad: Se refiere a la protección de datos frente a la difusión no

autorizada, la pérdida de confidencialidad puede resultar en problemas

legales, pérdida del negocio o de credibilidad. El sistema contiene

información que necesita protección contra la divulgación no autorizada,

como información parcial de informes, información personal o información

comercial patentada.

Estos aspectos además de lidiar con el riesgo que representan los atacantes

remotos, se ven amenazados también por los riesgos por desastres naturales,

empleados desleales, virus y sabotaje, entre otros.

81

2.23.4. Estrategias de Seguridad.

La metodología de seguridad está diseñada para ayudar a los profesionales de

la seguridad a desarrollar una estrategia para proteger la disponibilidad,

integridad y confidencialidad de los datos de los sistemas informáticos (IT) de

las organizaciones. Es de interés para los administradores de recursos de

información, los directores de seguridad informática y los administradores, y

tiene un valor especial para todos aquellos que intentan establecer directivas de

seguridad.

La metodología ofrece un acercamiento sistemático a esta importante tarea y,

como precaución final, también implica el establecimiento de planes de

contingencia en caso de desastre.

Los administradores de seguridad tienen que decidir el tiempo, dinero y

esfuerzo que hay que invertir para desarrollar las directivas y controles de

seguridad apropiados.

Cada organización debe analizar sus necesidades específicas y determinar sus

requisitos y limitaciones en cuanto a recursos y programación. Cada sistema

informático, entorno y directiva organizativa es distinta, lo que hace que cada

servicio y cada estrategia de seguridad sean únicos. Sin embargo, los

fundamentos de una buena seguridad siguen siendo los mismos y este proyecto

se centra en dichos principios (Benson, 2001).

a) Identificar métodos, herramientas y técnicas de ataques probables.

Las listas de amenazas, de las que disponen la mayor de las organizaciones,

ayudan a los administradores de seguridad a identificar los distintos métodos,

herramientas y técnicas de ataque que se pueden utilizar en los ataques. Los

métodos pueden abarcar desde virus y gusanos a la adivinación de contraseñas

y la interceptación del correo electrónico. Es importante que los administradores

actualicen constantemente sus conocimientos en esta área, ya que los nuevos

82

métodos, herramientas y técnicas para sortear las medidas de seguridad

evolucionan de forma continua.

b) Establecer estrategias proactivas y reactivas.

En cada método, el plan de seguridad debe incluir una estrategia proactiva y

otra reactiva. La estrategia proactiva o de previsión de ataques es un conjunto

de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables

existentes en las directivas de seguridad y a desarrollar planes de contingencia.

La determinación del daño que un ataque va a provocar en un sistema y las

debilidades y puntos vulnerables explotados durante este ataque ayudará a

desarrollar la estrategia proactiva.

La estrategia reactiva o estrategia posterior al ataque ayuda al personal de

seguridad a evaluar el daño que ha causado el ataque, a repararlo o a

implementar el plan de contingencia desarrollado en la estrategia proactiva, a

documentar y aprender de la experiencia, y a conseguir que las funciones

comerciales se normalicen lo antes posible.

c) Pruebas.

El último elemento de las estrategias de seguridad, las pruebas y el estudio de

sus resultados, se lleva a cabo después de que se han puesto en marcha las

estrategias reactiva y proactiva. La realización de ataques simulados en

sistemas de pruebas o en laboratorios permite evaluar los lugares en los que

hay puntos vulnerables y ajustar las directivas y los controles de seguridad en

consecuencia. Estas pruebas no se deben llevar a cabo en los sistemas de

producción real, ya que el resultado puede ser desastroso. La carencia de

laboratorios y equipos de pruebas a causa de restricciones presupuestarias

puede imposibilitar la realización de ataques simulados. Para asegurar los

fondos necesarios para las pruebas, es importante que los directivos sean

conscientes de los riesgos y consecuencias de los ataques, así como de las

medidas de seguridad que se pueden adoptar para proteger al sistema,

83

incluidos los procedimientos de las pruebas. Si es posible, se deben probar

físicamente y documentar todos los casos de ataque para determinar las

mejores directivas y controles de seguridad posibles que se van a implementar.

d) Equipos de respuestas a incidentes.

Es aconsejable formar un equipo de respuesta a incidentes. Este equipo debe

estar implicado en los trabajos proactivos del profesional de la seguridad. Entre

éstos se incluyen:

-El desarrollo de instrucciones para controlar incidentes.

-La identificación de las herramientas de software para responder a incidentes y

eventos.

-La investigación y desarrollo de otras herramientas de seguridad informática.

-La realización de actividades formativas y de motivación.

-La realización de investigaciones acerca de virus.

-La ejecución de estudios relativos a ataques al sistema.

Estos trabajos proporcionarán los conocimientos que la organización puede

utilizar y la información que hay que distribuir antes y durante los incidentes.

Una vez que el administrador de seguridad y el equipo de respuesta a

incidentes han realizado estas funciones proactivas, el administrador debe

delegar la responsabilidad del control de incidentes al equipo de respuesta a

incidentes.

Esto no significa que el administrador no deba seguir implicado o formar parte

del equipo, sino que no tenga que estar siempre disponible, necesariamente, y

que el equipo debe ser capaz de controlar los incidentes por sí mismo. El

equipo será el responsable de responder a incidentes como virus, gusanos o

cualquier otro código dañino, invasión, engaños, desastres naturales y ataques

del personal interno. El equipo también debe participar en el análisis de

cualquier evento inusual que pueda estar implicado en la seguridad de los

equipos o de la red.

84

2.23.4.1. Metodología para la definición de una estrategia de seguridad

(Benson, 2001).

La figura 13 explica una metodología para definir una estrategia de seguridad

informática que se puede utilizar para implementar directivas y controles de

seguridad con el objeto de aminorar los posibles ataques y amenazas. Los

métodos se pueden utilizar en todos los tipos de ataques a sistemas,

independientemente de que sean intencionados, no intencionados o desastres

naturales, y, por consiguiente, se puedan volver a utilizar en distintos casos de

ataque.

Figura N° 13 Metodología de estrategias de seguridad [Miguel, 1998].

85

a) Predecir posibles ataques y analizar riesgos.

La primera fase de la metodología esquematizada en la figura 1.1, es

determinar los ataques que se pueden esperar y las formas de defenderse

contra ellos. Es imposible estar preparado contra todos los ataques; por lo

tanto, hay que prepararse para los que tiene más probabilidad de sufrir la

organización. Siempre es mejor prevenir o aminorar los ataques que reparar el

daño que han causado.

Para mitigar los ataques es necesario conocer las distintas amenazas que

ponen en peligro los sistemas, las técnicas correspondientes que se pueden

utilizar para comprometer los controles de seguridad y los puntos vulnerables

que existen en las directivas de seguridad. El conocimiento de estos tres

elementos de los ataques ayuda a predecir su aparición e, incluso, su duración

o ubicación. La predicción de los ataques trata de pronosticar su probabilidad, lo

que depende del conocimiento de sus distintos aspectos. Los diferentes

aspectos de un ataque se pueden mostrar en la siguiente ecuación:

Amenazas + Motivos + Herramientas y técnicas + Puntos vulnerables = Ataque

b) Para cada tipo de amenaza.

Considere todas las amenazas posibles que causan ataques en los sistemas.

Entre éstas se incluyen los agresores malintencionados, las amenazas no

intencionadas y los desastres naturales. La siguiente figura clasifica las distintas

amenazas a los sistemas:

Figura N°14 Amenazas para la Seguridad [Martín, 2004].

86

Amenazas como empleados ignorantes o descuidados, y los desastres

naturales no implican motivos u objetivos; por lo tanto, no se utilizan métodos,

herramientas o técnicas predeterminadas para iniciar los ataques. Casi todos

estos ataques o infiltraciones en la seguridad se generan internamente; raras

veces los va a iniciar alguien ajeno a la organización.

Para estos tipos de amenazas, el personal de seguridad necesita implementar

estrategias proactivas o reactivas siguiendo las instrucciones de la figura N° 14.

c) Para cada tipo de método de ataque.

Para iniciar un ataque, se necesita un método, una herramienta o una técnica

para explotar los distintos puntos vulnerables de los sistemas, de las directivas

de seguridad y de los controles. Los agresores pueden utilizar varios métodos

para iniciar el mismo ataque. Por lo tanto, la estrategia defensiva debe

personalizarse para cada tipo de método utilizado en cada tipo de amenaza.

De nuevo, es importante que los profesionales de la seguridad estén al día en

los diferentes métodos, herramientas y técnicas que utilizan los agresores. La

siguiente es una lista breve de esta técnica:

-Ataques de denegación de servicio.

-Ataques de invasión.

-Ingeniería social.

-Virus.

-Gusanos.

-Caballos de Troya.

-Modificación de paquetes.

-Adivinación de contraseñas.

-Interceptación de correo electrónico.

87

d) Estrategia proactiva.

La estrategia proactiva es un conjunto de pasos predefinidos que deben

seguirse para evitar ataques antes de que ocurran. Entre estos pasos se incluye

observar cómo podría afectar o dañar el sistema, y los puntos vulnerables. Los

conocimientos adquiridos en estas evaluaciones pueden ayudar a implementar

las directivas de seguridad que controlarán o aminorarán los ataques. Éstos son

los tres pasos de la estrategia proactiva.

- Determinar el daño que causará el ataque.

- Establecer los puntos vulnerables y las debilidades que explotará el ataque.

- Reducir los puntos vulnerables y las debilidades que se ha determinado en

el sistema para ese tipo de ataque específico.

El seguimiento de estos pasos para analizar los distintos tipos de ataques tiene

una ventaja adicional: comenzará a emerger un modelo, ya que en los

diferentes factores se superponen para diferentes ataques. Este modelo puede

ser útil al determinar las áreas de vulnerabilidad que plantean el mayor riesgo

para la empresa. También es necesario tomar nota del costo que supone la

pérdida de los datos frente al de la implementación de controles de seguridad.

La ponderación de los riesgos y los costos forma parte de un análisis de riesgos

del sistema que se explica en el documento técnico acerca del diseño de la

seguridad.

Las directivas y controles de seguridad no serán, en ningún caso, totalmente

eficaces al eliminar los ataques. Éste es el motivo por el que es necesario

desarrollar planes de recuperación y de contingencia en caso de que se

quebranten los controles de seguridad.

e) Determinar el daño posible que puede causar un ataque.

Los daños posibles pueden oscilar entre pequeños fallos del equipo y la

pérdida, catastrófica, de los datos. El daño causado al sistema dependerá del

88

tipo de ataque. Si es posible, utilice un entorno de prueba o de laboratorio para

clarificar los daños que provocan los diferentes tipos de ataques. Ello permitirá

al personal de seguridad ver el daño físico que causan los ataques

experimentales. No todos los ataques causan el mismo daño.

f) Determinar los puntos vulnerables o las debilidades que pueden

explotar los ataques.

Si se pueden descubrir los puntos vulnerables que explota un ataque

específico, se pueden modificar las directivas y los controles de seguridad

actuales o implementar otras nuevas para reducir estos puntos vulnerables. La

determinación del tipo de ataque, amenaza y método facilita el descubrimiento

de los puntos vulnerables existentes. Esto se puede reconocer por medio de

una prueba real. Se deben determinar los puntos vulnerables o debilidades en

las áreas de seguridad física, de datos y de red.

g) Reducir los puntos vulnerables y debilidades que puede explotar un

posible ataque.

La reducción de los puntos vulnerables y las debilidades del sistema de

seguridad que se determinaron en la evaluación anterior es el primer paso para

desarrollar directivas y controles de seguridad eficaces. Ésta es la

compensación de la estrategia proactiva.

Mediante la reducción de los puntos vulnerables, el personal de seguridad

puede hacer disminuir tanto la probabilidad de un ataque como su eficacia, si se

produce alguno.

Tenga cuidado de no implementar controles demasiado estr ictos, ya que la

disponibilidad de la información se convertiría en un problema. Debe haber un

cuidado equilibrio entre los controles de seguridad y el acceso a la información.

Los usuarios deben tener la mayor libertad posible para tener acceso a la

información.

89

h) Elaborar planes de contingencia.

Un plan de contingencia es un plan alternativo que debe desarrollarse en caso

de que algún ataque penetre en el sistema y dañe los datos o cualquier otro

activo, detenga las operaciones comerciales habituales y reste productividad. El

plan se sigue si el sistema no se puede restaurar a tiempo. Su objetivo final es

mantener la disponibilidad, integridad y confidencialidad de los datos (es el

proverbial "Plan B").

Debe haber un plan para cada tipo de ataque y tipo de amenaza. Cada plan

consta de un conjunto de pasos que se han de emprender en el caso de que un

ataque logre pasar las directivas de seguridad.

i) Estrategia reactiva.

La estrategia reactiva se implementa cuando ha fallado la estrategia proactiva y

define los pasos que deben adoptarse después o durante un ataque. Ayuda a

identificar el daño causado y los puntos vulnerables que se explotaron en el

ataque, a determinar por qué tuvo lugar, a reparar el daño que causó y a

implementar un plan de contingencia, si existe. Tanto la estrategia reactiva

como la proactiva funcionan conjuntamente para desarrollar directivas y

controles de seguridad con el fin de reducir los ataques y el daño que causan.

El equipo de respuesta a incidentes debe incluirse en los pasos adoptados

durante o después del ataque para ayudar a evaluarlo, a documentar el evento

y a aprender de él.

j) Evaluar el daño.

Determine el daño causado durante el ataque. Esto debe hacerse lo antes

posible para que puedan comenzar las operaciones de restauración. Si no se

puede evaluar el daño a tiempo, debe implementarse un plan de contingencia

para que puedan proseguir las operaciones comerciales y la productividad

normales.

90

k) Determinar la causa del daño.

Para determinar la causa del daño, es necesario saber a qué recursos iba

dirigido el ataque y qué puntos vulnerables se explotaron para obtener acceso o

perturbar los servicios. Revise los registros del sistema, los registros de

auditoría y las pistas de auditoría. Estas revisiones suelen ayudar a descubrir el

lugar del sistema en el que se originó el ataque y qué otros recursos resultaron

afectados.

m) Reparar el daño.

Es muy importante que el daño se repare lo antes posible para restaurar las

operaciones comerciales normales y todos los datos perdidos durante el

ataque. Los planes y procedimientos para la recuperación de desastres de la

organización (que se tratan en el documento acerca del diseño de la seguridad)

deben cubrir la estrategia de restauración. El equipo de respuesta a incidentes

también debe poder controlar el proceso de restauración y recuperación, y

ayudar en este último.

n) Documentar y aprender.

Es importante documentar el ataque una vez que se ha producido. La

documentación debe abarcar todos los aspectos que se conozcan del mismo,

entre los que se incluyen el daño que ha causado (en hardware y software,

pérdida de datos o pérdida de productividad), los puntos vulnerables y las

debilidades que se explotaron durante el ataque, la cantidad de tiempo de

producción perdido y los procedimientos tomados para reparar el daño. La

documentación ayudará a modificar las estrategias proactivas para evitar

ataques futuros o mermar los daños.

91

ñ) Implementar un plan de contingencia.

Si ya existe algún plan de contingencia, se puede implementar para ahorrar

tiempo y mantener el buen funcionamiento de las operaciones comerciales. Si

no hay ningún plan de contingencia, desarrolle un plan apropiado basado de la

documentación del paso anterior.

l) Revisar el resultado y hacer simulaciones.

Tras el ataque o tras defenderse de él, revise su resultado con respecto al

sistema.

La revisión debe incluir la pérdida de productividad, la pérdida de datos o de

hardware, y el tiempo que se tarda en recuperarlos.

Documente también el ataque y, si es posible, haga un seguimiento del lugar en

el que se originó, qué métodos se utilizaron para iniciarlo y qué puntos

vulnerables se explotaron. Para obtener los mejores resultados posibles, realice

simulaciones en un entorno de prueba.

o) Revisar la eficacia de las directivas.

Si hay directivas para defenderse de un ataque que se ha producido, hay que

revisar y comprobar su eficacia. Si no hay directivas, se deben redactar para

aminorar o impedir ataques futuros.

p) Ajustar las directivas en consecuencia.

Si la eficacia de la directiva no llega al estándar, hay que ajustarla en

consecuencia. Las actualizaciones de las directivas debe realizarlas el personal

directivo relevante, los responsables de seguridad, los administradores y el

equipo de respuesta a incidentes. Todas las directivas deben seguir las reglas e

instrucciones generales de la organización.

92

2.23.5 Amenazas a la seguridad de la información.

Los tres elementos principales a proteger en cualquier sistema informático son

el software, el hardware y los datos. Contra cualquiera de los tres elementos

dichos anteriormente (pero principalmente sobre los datos) se pueden realizar

multitud de ataques o, dicho de otra forma, están expuestos a diferentes

amenazas. Generalmente, la taxonomía más elemental de estas amenazas las

divide en cuatro grandes grupos: interrupción, interceptación, modificación y

fabricación. Un ataque se clasifica como interrupción si hace que un objeto del

sistema se pierda, quede inutilizable o no disponible. Se tratará de una

interceptación si un elemento no autorizado consigue un acceso a un

determinado objeto del sistema, y de una modificación si además de conseguir

el acceso consigue modificar el objeto; algunos autores (Olovsson, 1992)

consideran un caso especial de la modificación: la destrucción, entendiéndola

como una modificación que inutiliza al objeto afectado. Por último, se dice que

un ataque es una fabricación si se trata de una modificación destinada a

conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el

objeto original y el “fabricado”. En la figura N° 15 se muestran estos tipos de

ataque de una forma gráfica.

Figura N° 15 Flujo normal de información entre emisor y receptor y posibles amenazas: (a)

interrupción, (b) interceptación, (c) modificación y (d) fabricación (Gallo, 2001).

93

En la gran mayoría de publicaciones relativas a la seguridad informática en

general, tarde o temprano se intenta clasificar en grupos a los posibles

elementos que pueden atacar nuestro sistema. Con frecuencia, especialmente

en las obras menos técnicas y más orientadas a otros aspectos de la seguridad

(Icove, 1995) (Meyer, 1989), se suele identificar a los atacantes únicamente

como personas; esto tiene sentido si hablamos por ejemplo de

responsabilidades por un delito informático. Pero en este trabajo es preferible

hablar de “elementos” y no de personas: aunque a veces lo olvidemos, nuestro

sistema puede verse perjudicado por múltiples entidades aparte de humanos. A

continuación se presenta una relación de los elementos que potencialmente

pueden amenazar a nuestro sistema. No pretende ser exhaustiva, ni por

supuesto una taxonomía formal (para este tipo de estudios, se recomienda

consultar (Landwher, 1994)(Aslam, 1996); simplemente trata de proporcionar

una idea acerca de qué o quién amenaza un sistema.

a) Personas.

No podernos engañarnos, la mayoría de ataques a nuestro sistema van a

provenir en última instancia de personas que, intencionada o

inintencionadamente, pueden causarnos enormes pérdidas.

Aquí se listan los diferentes tipos de personas que de una u otra forma pueden

constituir un riesgo para nuestros sistemas; generalmente se dividen en dos

grandes grupos: los atacantes pasivos, aquellos que fisgonean por el sistema

pero no lo modifican o destruyen, y los activos, aquellos que dañan el objetivo

atacado, o lo modifican en su favor. Generalmente los curiosos y los crackers

realizan ataques pasivos (que se pueden convertir en activos), mientras que los

terroristas y ex-empleados realizan ataques activos puros; los intrusos

remunerados suelen ser atacantes pasivos si nuestra red o equipo no es su

objetivo, y activos en caso contrario, y el personal realiza ambos tipos

indistintamente, dependiendo de la situación concreta.

94

-Personal.

-Ex-empleados.

-Curiosos.

-Crackers.

-Terroristas.

-Intrusos (remunerados).

b) Amenazas lógicas.

Bajo la etiqueta de “amenazas lógicas” encontramos todo tipo de programas

que de una forma u otra pueden dañar a nuestro sistema, creados de forma

intencionada para ello (software malicioso, también conocido como malware) o

simplemente por error (bugs o agujeros). Una excelente lectura que estudia las

definiciones de algunas de estas amenazas y su implicación se presenta en

(Garfinkel, 1996); otra buena descripción, pero a un nivel más general, se

puede encontrar en (Parker, 1981).

- Software incorrecto. Las amenazas más habituales a un sistema provienen

de errores cometidos de forma involuntaria por los programadores de

sistemas o de aplicaciones.

- Herramientas de Seguridad. Cualquier herramienta de seguridad representa

un arma de doble filo: de la misma forma que un administrador las utiliza

para detectar y solucionar fallos en sus sistemas o en la subred completa,

un potencial intruso las puede utilizar para detectar esos mismos fallos y

aprovecharlos para atacar los equipos.

- Puertas traseras. Durante el desarrollo de aplicaciones grandes o de

sistemas operativos es habitual entre los programadores insertar “atajos”. A

estos atajos se les denomina puertas traseras. Algunos programadores

pueden dejar estos atajos en las versiones definitivas de su software; la

cuestión es que si un atacante descubre una de estas puertas traseras (no

95

nos importa el método que utilice para hacerlo) va a tener un acceso global

a datos que no debería poder leer.

- Bombas lógicas. Las bombas lógicas son partes de código de ciertos

programas que permanecen sin realizar ninguna función hasta que son

activadas. Los activadores más comunes de estas bombas lógicas pueden

ser la ausencia o presencia de ciertos ficheros, la llegada de una fecha

concreta; cuando la bomba se activa va a poder realizar cualquier tarea que

pueda realizar la persona, los efectos pueden ser fatales.

- Virus. Un virus es una secuencia de código que se inserta en un fichero

ejecutable (denominado huésped), de forma que cuando el archivo se

ejecuta, el virus también lo hace, insertándose a sí mismo en otros

programas.

- Gusanos. Un gusano es un programa capaz de ejecutarse y propagarse por

sí mismo a través de redes, en ocasiones portando virus o aprovechando

bugs de los sistemas a los que conecta para dañarlos.

- Caballos de Troya. Los troyanos o caballos de Troya son instrucciones

escondidas en un programa de forma que éste parezca realizar las tareas

que un usuario espera de él, pero que realmente ejecute funciones ocultas

sin el conocimiento del usuario.

c) Catástrofes

Las catástrofes (naturales o artificiales) son la amenaza menos probable contra

los entornos habituales: simplemente por su ubicación geográfica, a nadie se le

escapa que la probabilidad de sufrir un terremoto o una inundación que afecte a

los sistemas informáticos en una gran ciudad, es relativamente baja, al menos

en comparación con el riesgo de sufrir un intento de acceso por parte de un

pirata o una infección por virus. Sin embargo, el hecho de que las catástrofes

sean amenazas poco probables no implica que contra ellas no se tomen unas

medidas básicas, ya que sí se produjeran generarían los mayores daños.

96

2.23.6 Creación de una estrategia para controlar los riesgos de Tecnología

de Información

Una vez identificados los riesgos de TI en la empresa, es necesario crear una

estrategia para poder gestionarlos correctamente.

Uno de los elementos claves en las empresas, más allá de si se trata de una

gran compañía o una PYME en desarrollo, es el control y administración de la

información. No en vano el refrán popular asegura que quien tiene la

información tiene el poder. Eso es precisamente lo que sucede también a nivel

empresarial.

Por ello, es fundamental que podamos predecir y enfrentar las posibles

eventualidades que surjan dentro del sistema de Tecnologías de la Información

(TI), ya que este tipo de plataformas no sólo nos brindan grandes beneficios en

lo que respecta al manejo de datos sensibles, sino que también implican

algunos riesgos.

Es por ello que ante la inminente aparición de estos riesgos nos debemos

preparar para enfrentar el desafío, a través de la creación de una estrategia que

nos permita gestionar dichos peligros de la TI, y de esta forma salvaguardar uno

de los recursos más preciados de nuestra empresa: la información.

Básicamente, la gestión de los riesgos TI es una manera estructurada de poder

controlar esos peligros, por lo que para lograrlo debemos llevar adelante una

serie de etapas correspondientes al método típico que se utiliza para la

administración de dicha problemática:

1. Identificación de los riesgos.

2. Evaluación de los riesgos, es decir que se debe evaluar la gravedad de cada

riesgo y priorizar las más importantes.

97

3. Debilitación de los riesgos, es decir aplicar medidas preventivas para reducir

la probabilidad de que ocurra el riesgo y así limitar su impacto. Para esto es

necesario crear un plan de contingencia acorde a cada tipo de riesgo.

4. Análisis permanente de los riesgos. Tengamos en cuenta que la gestión de

los riesgos TI debe ser vista como un proceso continuo, ya que las

amenazas deben ser reevaluadas de forma constante, con el fin de evitar

que vuelvan a aparecer.

¿Cómo lograr la reducción de los riesgos y su impacto?

Como hemos visto, a través de la gestión de riesgos TI podemos descubrir

cuáles son las amenazas que atentan contra nuestro sistema de información, y

que pueden llegar a perjudicar en mayor o menor medida a nuestra empresa.

Ahora bien, muchos se preguntan cómo se logra la reducción de dichos riesgos.

La respuesta es sencilla. Lo ideal es en primer lugar intentar por todos los

medios de reducir la probabilidad de aparición de los riesgos que afectan a

nuestro negocio.

Para ello podemos comenzar a poner en marcha una estrategia que incluya la

implementación de políticas y procedimientos de seguridad, tales como la

capacitación del personal, la privacidad en el uso de Internet y del correo

electrónico, instalación de software de seguridad como firewalls, antivirus,

antispyware, etc., lo que ayudan a prevenir que usuarios no autorizados

accedan a al sistema informático de nuestra empresa.

También es importante que en el caso de que hayamos contratado a un

proveedor de TI, se trate de un servicio confiable y que además aporte sus

propias herramientas y experiencia en el ámbito de la seguridad.

Claro está que siempre puede suceder que a pesar de los esfuerzos volcados

existan riesgos que no pueden ser reducidos o eliminados. Es entonces donde

98

debemos hacer hincapié en la reducción del impacto que esos riesgos tendrán

para con nuestro negocio.

Básicamente, se trata de poder definir un plan de continuidad, es decir una

estrategia eficaz que nos permita que nuestra empresa continúe funcionando, y

al mismo tiempo que posibilite la recuperación rápida de la compañía, luego de

que algún evento inesperado afecte a los sistemas de TI.

Una de las medidas que se recomiendan al respecto es contratar una póliza de

seguro que nos permita cubrir los costos que puedan llegar a provocar este tipo

de riesgos TI.

Claro que también debemos ser precavidos y tratar de adelantarnos a estos

infortunios, utilizando medidas tales como almacenamiento de copias de

seguridad de los datos fuera del sistema TI, utilización de servidores duplicados

ubicados en lugares diferentes y utilización de servicios en la Nube, entre otros.

También contribuye a reducir el impacto la eliminación de puntos de fallo, como

pueden serlo el uso de una sola fuente de suministro eléctrico, o el

mantenimiento de sistemas de trabajo manuales alternativos, que en definitiva

nos permiten seguir funcionando hasta que los servicios se restauren.

No obstante, lo más importante es no entrar en pánico y tener siempre presente

un plan claro y conciso, que también conozcan los empleados, con el fin de

enfrentar la crisis de la mejor manera posible.

Dentro de esta planificación no debemos olvidarnos que las pruebas de

seguridad se vuelven esenciales, ya que de ello depende que la estrategia de

continuidad ante la crisis sea confiable. Por ello, el análisis de prueba del plan

de continuidad debe comprobar lo siguiente:

1. Si el personal puede trabajar sin acceso a los datos.

99

2. La facilidad con que se puedan restaurar los datos a través de copias de

seguridad, por ejemplo recuperar la información almacenada en la Nube.

3. Si los datos de la copia de seguridad se mantienen al día.

Cabe destacar que una completa evaluación de nuestro plan de continuidad

implica por lo general la actuación de nuestros empleados, por lo que se debe

interrumpir la jornada laboral y por ende la producción de nuestra empresa para

llevar a cabo la prueba. Es por ello que antes de realizar este tipo de

simulacros, es fundamental su planificación cuidadosa, incluyendo los costos

que esta evaluación tendrá para nuestro negocio.

Lo ideal, según los expertos, es realizar este tipo de pruebas cada doce meses,

claro que también debe realizarse una evaluación completa en el caso que

hayan sido modificado el sistemas de TI que utilizamos en la empresa18.

2.24 La importancia de analizar los riesgos de las TI

Una empresa puede quedar seriamente comprometida debido a los riesgos que

conllevan las TI, por ello es fundamental analizar estos peligros.

En la actualidad, el uso de las Tecnologías de la Información (TI) son un

elemento clave para lograr el éxito de la gestión en las empresas, y es por ello

que cada vez son más las compañías y PYMES que se vuelcan a utilizar

sistemas que les permiten gestionar y administrar ese gran recurso, que no es

otro que la información.

Pero lo cierto es que existen ciertos riesgos asociados al uso de las TI dentro

del entorno empresarial, ya sea daños causados accidentalmente por los

empleados, o bien debido a intentos deliberados de intrusos, que desean

acceder a los datos de la empresa de forma ilegal para sacar provecho de esta

información.

18

Graciela Marker http://www.gestion.org/gestion-tecnologica/seguridad-informatica/35219/creacion-de-

una-estrategia-para-controlar-los-riesgos-de-ti/ 20-10-13

100

Es allí donde nuestra empresa puede llegar a quedar seriamente

comprometida, porque en definitiva en la actualidad el valor de la información es

enorme. Por eso se vuelve imprescindible poder contar con una estrategia y

herramientas que nos permitan evaluar y reconocer todos los riesgos asociados

con el uso de las TI, con el objetivo de poder minimizar esos riesgos.

En este sentido, lo primero que debemos tener en cuenta para realizar un

análisis serio de la situación es conocer los riesgos típicos que suelen presentar

las TI, es decir cuáles son las amenazas más frecuentes.

En general, una de las amenazas habituales en este ámbito se centran en

daños relacionados al aspecto físico de los equipos informáticos, principalmente

de los servidores, que se generan debido al mal trato que muchos empleados

suelen dispensarle a sus ordenadores. Claro que además siempre podemos

correr riegos tales como robo, incendio o inundación.

Otra de las amenazas frecuentes son aquellas relacionadas al software, que

puede haberse dañado y producir errores, lo que genera incompatibilidad en los

datos. Pero también nuestro sistema de TI puede convertirse en víctima de

ciber delincuentes y hackers, que a través de diferentes técnicas y virus pueden

llegar a infectar por completo el sistema, poniendo en peligro la información de

nuestro negocio.

Asimismo existe la posibilidad de que se produzcan errores en el software

debido a fallas técnicas. En este punto, es importante tener en cuenta que en

general, después de algunos años de uso, suelen comenzar a fallar los discos

duros, lo que inevitablemente genera un desplome catastrófico de nuestro

sistema de TI, sobre todo cuando el daño en el disco duro es tan grave que la

información no puede ser recuperada.

Por otra parte, no podemos llegar a enfrentar con ciertas fallas de

infraestructura, como por ejemplo la pérdida frecuente de la conexión a Internet,

101

lo cual inevitablemente nos hace interrumpir el negocio, lo que significa pérdida

de ventas y por ende dinero.

Dentro de los principales riesgos de las TI, también se incluyen el error humano,

que en general es sindicada como la principal amenaza de este tipo de

sistemas, por lo que es sumamente importante contar con parámetros bien

definidos en los procedimientos de seguridad, los cuales deben ser seguidos de

manera correcta por los empleados. De lo contrario puede llegar a perderse

información realmente valiosa.

2.24.1 Evaluación de riesgos de las TI

Hasta aquí se ha conocido algunos de los riesgos más frecuentes que suelen

presentar los sistemas de TI de la empresa. Ahora bien, el siguiente paso será

poder evaluar la presencia de esos peligros en nuestro negocio, para lo cual

deberemos ser sumamente cuidadosos, con el fin de evitar gastar demasiado

tiempo y dinero.

Es por ello que lo más importante se centra en poder identificar claramente las

amenazas concretas y serias de aquellas que no representan demasiado riesgo

para el sistema TI de nuestra empresa. Es decir que los riesgos que puedan

presentar poca o ninguna amenaza para nuestro negocio deben quedar

inmediatamente excluidos en la búsqueda de soluciones.

Para realizar el análisis podemos recurrir a dos tipos de evaluaciones

diferentes: la evaluación cuantitativa y la evaluación cualitativa.

En el caso de llevar a cabo una evaluación cuantitativa, lo que debemos hacer

es centrarnos en los peligros más graves, teniendo en cuenta dos factores

fundamentales:

1. La verdadera probabilidad de que ese riesgo esté presente.

2. El costo y el impacto que el mismo produce.

102

Precisamente de la combinación de ambos factores podremos realizar una

evaluación cuantitativa de los riesgos. Por ejemplo, si un riesgo tiene una alta

probabilidad y un alto impacto, entonces deberemos realizar una evaluación

cuidadosa de dicha amenaza, con el fin de hallar la solución al problema.

No obstante, lo cierto es que las evaluaciones cuantitativas de riesgos sólo

tienen sentido cuando se dispone de buena información para ello, y muchas

veces las empresas no poseen los datos históricos necesarios para llevar a

cabo este tipo de estimaciones.

En esos casos podemos optar por realizar un análisis con un enfoque más

práctico, denominado evaluación cualitativa, para lo cual debemos utilizar un

parámetro definido que nos permita decidir si la probabilidad de ocurrencia de

ese riesgo es alta, media o baja.

Para ello debemos planificarse una clasificación de los tipos de riesgo,

utilizando medidas tales como las siguientes:

- Bajo: Provocaría la perdida de hasta una hora de producción.

- Medio: Causaría el cierre de la empresa durante al menos tres días.

- Alto: Generaría la pérdida irrevocable de la empresa.

Los mismos parámetros pueden tenerse en cuenta para realizar una

clasificación de riesgos relacionados a los impactos y costos que podrían llegar

a producir la presencia de amenazas en el sistema TI.

Un buen ejemplo de este tipo de evaluación, sería clasificar un riesgo como

“Alto” cuando estimamos que el mismo puede llegar a producirse varias veces

durante un mismo año.

Con estos elementos ya estamos en condiciones de poder analizar nosotros

mismo si existen amenazas que pueden poner en riesgo la información de

103

nuestra empresa, que en definitiva es uno de los principales recursos de los que

disponemos para hacer negocios19.

2.25 Arquitectura de Sistemas: I.- Cloud Computing.

En Cloud Computing, los datos se alojan en un servidor “remoto” en el centro de

proceso de datos de la empresa proveedora y los puestos de trabajo pueden

estar en cualquier sitio… con una conexión a Internet. Hay una separación

completa entre los datos (servidor) y los clientes (dispositivos con acceso a

Internet).

O cómo elegir el modelo más adecuado para mi “sistema de gestión

documental”.

Una definición informal de “arquitectura de sistemas” es la forma en la que

conectamos nuestros dispositivos “físicos”, que en el caso de la gestión

documental son principalmente el servidor (en el que se guardan todos los

documentos), los ordenadores desde los que consultamos estos documentos o

añadimos nuevos y los escáneres con los que digitalizamos los documentos en

papel.

Hay otros “componentes” menos importantes como pueden ser dispositivos

móviles de acceso (iPad u otras tabletas y Smartphones o similares) y los

demás equipos necesarios en una instalación, como los routers (de acceso a

Internet), conmutadores (para conectar los equipos en la red local), impresoras.

Desde el punto de vista de la “arquitectura” o forma de conectarlos, la decisión

es sobre todo del servidor y los ordenadores “cliente”, los puestos de trabajo

(fijos o móviles) de los usuarios.

Últimamente parece que no hay otra opción que no sea “la nube”, el Cloud

Computing.

19 Graciela Marker http://www.gestion.org/gestion-tecnologica/seguridad-informatica/35173/la-importancia-de-analizar-los-riesgos-de-las-ti/ 13-11-2013

104

En este modelo, los datos se alojan en un servidor “remoto” en el centro de

proceso de datos de la empresa proveedora y los puestos de trabajo pueden

estar en cualquier sitio, con una conexión a Internet. Hay una separación

completa entre los datos (servidor) y los clientes (dispositivos con acceso a

Internet).

Formalmente es un modelo muy atractivo, sencillo de instalar, sin

mantenimiento, escalable. Tiene todas las ventajas que repiten sus defensores.

Pero tiene un gran inconveniente: la dependencia total de la conexión a

Internet. No solo dependo de que funcione mi conexión para acceder a los

datos sino que dependo de su velocidad. El conocido “ancho de banda”, o

velocidad de acceso, se convierte en una cuestión decisiva, especialmente en

gestión documental en la que el tamaño de los archivos que “viajan” por la Red

puede ser bastante importante.

No se habla de unos pocos Kilobytes con los datos de una factura o cliente. Son

ficheros, PDF, Word, Excel… que pueden tener fácilmente 1 ó 2 MB de tamaño.

Y esto puede ser un gran problema.

Por tanto, el modelo “Cloud” es una opción, pero ni mucho menos es la única a

considerar, aunque viendo la publicidad de las revistas especializadas es fácil

pensar que no hay otra.

En realidad hay muchas otras “arquitecturas” tan válidas o más como el “cloud”

y conviene conocerlas para elegir la más adecuada a “mis” necesidades, que no

tienen por qué coincidir con las de la empresa de al lado20.

20 Fernando Moreno-Torres Camy http://www.gestion.org/gestion-documental/30940/arquitectura-de-sistemas-i-cloud-computing/ 30-10-13

105

2.26 Plan de Recuperación Ante Desastres

Un Plan de Recuperación ante Desastres de Tecnología de Información (del

inglés Disaster Recovery Plan) es un proceso de recuperación y proporciona un

enfoque estructurado para responder a los incidentes no previstos que ponen

en peligro la infraestructura de Tecnología de Información y/o que han sufrido

disrupciones y ayudar a resumir la normalidad en las operaciones, compuesta

por Hardware, Software, Redes, Procesos y Personas.

El proceso de recuperación de desastres identifica los sistemas y redes críticos

de Tecnología de Información; fija las prioridades para su recuperación y dibuja

los pasos necesarios para reiniciar, reconfigurar y recuperar dichos sistemas y

redes. Todo plan integral de recuperación de desastres debería incluir también

a todos los proveedores relevantes, las fuentes de experiencia para recuperar

los sistemas afectados y una secuencia lógica de los pasos a seguir hasta

alcanzar una recuperación óptima.

Proteger las inversiones realizadas por su firma en la infraestructura tecnológica

y garantizar la capacidad empresarial para ejecutar sus operaciones

corporativas son las principales razones para poner en marcha un plan de

recuperación de desastres en Tecnología de Información. Para que un negocio

pueda comenzar de nuevo sus operaciones en caso de un desastre natural o

causado por humanos.

2.26.1 Negocios

Con el crecimiento de la tecnología de información y la confianza sobre datos

cruciales, el panorama ha cambiado en años recientes a favor de la protección

de datos irreemplazables. Esto es evidente sobre todo en la tecnología de

información; con los sistemas de ordenadores más grandes que sostienen

información digital para limitar pérdida de datos y ayudar recuperación de datos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en

proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar

106

pérdidas más grandes. De las empresas que tenían una pérdida principal de

registros automatizados el 43 % nunca vuelve a abrir, el 51 % cierra en menos

de dos años, y sólo el 6 % sobrevivirá el largo plazo.

El mercado de protección de datos existente es caracterizado por varios

factores:

-El permanente cambio de las necesidades de los clientes determinado por el

crecimiento de datos, asuntos regulatorios y la creciente importancia de tener

rápido acceso a los datos conservándolos en línea.

-Respaldar los datos de vez en cuando teniendo tecnologías de cintas

convencionales de reservas.

Como el mercado de recuperación de desastre sigue sufriendo cambios

estructurales significativos, este cambio presenta oportunidades para las

empresas de la nueva generación a que se especialicen en la planificación de

continuidad de negocio y la protección de datos fuera de sitio.

2.26.2 Razones para recurrir a un Plan de Recuperación ante Desastre

Existen diferentes riesgos que pueden impactar negativamente las operaciones

normales de una organización. Una evaluación de riesgo debería ser realizada

para ver que constituye el desastre y a que riesgos es susceptible una empresa

específica, incluyendo:

- Catástrofes.

- Fuego.

- Fallos en el suministro eléctrico.

- Ataques terroristas.

- Interrupciones organizadas o deliberadas.

- Sistema y/o fallos del equipo.

- Error humano.

107

- Virus, amenazas y ataques informáticos.

- Cuestiones legales.

- Huelgas de empleados.

- Prevención ante los desastres

- Enviar respaldos fuera de sitio semanalmente para que en el peor de los

casos no se pierda más que los datos de una semana.

- Incluir el software así como toda la información de datos, para facilitar la

recuperación.

- -Si es posible, usar una instalación remota de reserva para reducir al mínimo

la pérdida de datos.

- Redes de Área de Almacenamiento (SANs) en múltiples sitios son un

reciente desarrollo (desde 2003) que hace que los datos estén disponibles

inmediatamente sin la necesidad de recuperarlos o sincronizarlos.

- Protectores de línea para reducir al mínimo el efecto de oleadas sobre un

delicado equipo electrónico.

- El suministro de energía ininterrumpido (SAI).

- La prevención de incendios - más alarmas, extintores accesibles.

- El software del antivirus.

- El seguro en el hardware.

2.26.3 Business Continuity Planning (BCP)

Continuidad del Negocio es un concepto que abarca tanto la Planeación para

Recuperación de Desastres (DRP) como la Planeación para el

Restablecimiento del Negocio. Recuperación de Desastres es la capacidad para

responder a una interrupción de los servicios mediante la implementación de un

plan para restablecer las funciones críticas de la organización (es decir la parte

operativa del negocio). Ambos se diferencian de la Planeación de Prevención

de Pérdidas, la cual implica la calendarización de actividades como respaldo de

sistemas, autenticación y autorización (seguridad), revisión de virus y monitoreo

de la utilización de sistemas (principalmente para verificaciones de capacidad).

108

En esta ocasión hablaremos sobre la importancia de contar con la capacidad

para restablecer la infraestructura tecnológica de la organización en caso de

una disrupción severa

Constantemente se experimentan situaciones de emergencia, directa o

indirectamente, las cuales se manifiestan en respuestas equívocas ocasionadas

por el temor, miedo o un extremoso pánico aterrador.

Frecuentemente los administradores o responsables de los sistemas de

cómputo empiezan a tomar en cuenta la seguridad de su sistema después de

haber sido objeto de un ataque, dando como resultado la pérdida de

información, horas de trabajo, incluso dinero. La seguridad en el trabajo es uno

de los factores más importantes que garantizan el crecimiento de la

productividad.

Velar por la seguridad física y lógica no es una tarea que se efectúe una sola

vez y garantice su eficiencia por siempre. Para mantener la seguridad se

requiere realizar periódicamente tareas preventivas.

El establecimiento de procedimientos y medidas de seguridad están destinados

a salvaguardar la unidad administrativa, el centro de cómputo su estructura

física, al personal, sus procedimientos operacionales, la información y

documentación generada contra cualquier evento natural o humano que de

forma intencional o por accidente puedan afectarlos.

Proceso de recuperación

Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.

-Llamar el abastecedor de software e instalar de nuevo el software.

-Recuperar los discos de almacenaje que estén fuera de sitio.

-Reinstalar todos los datos de la fuente de respaldo.

-Volver a ingresar los datos de las pasadas semanas.

-Tener estrategias periódicas de respaldos de base de datos.

109

-Monitorear el proceso.

Tecnología

-Biblioteca de cinta virtual.

-Software de réplica sincrónico.

-Tecnología de almacenaje de réplica.

-Servicio telefónico virtual PBX/HOSTED.

-Backups remotos de reserva.

-Protector de datos continúo.

-Sistema para la administración de planes (Moebius) 21.

2.26.4 Índice de Plantilla del Plan de Recuperación de Desastres

Asumiendo que hemos completado una evaluación de riesgos e identificado

amenazas potenciales a nuestra infraestructura de TI, el siguiente paso será

determinar qué elementos de dicha infraestructura son los más importantes

para las operaciones corporativas. Además, asumiendo que todos los sistemas

y redes Tecnología de Información funcionan con normalidad, nuestra empresa

debería ser plenamente viable, competitiva y sólida desde el punto de vista

financiero. Cuando un incidente —interno o externo— afecta negativamente a la

infraestructura de TI, las operaciones corporativas pueden verse amenazadas.

2.26.4.1 Estructura Ideal de un Plan de Recuperación ante Desastres

Según la Publicación Especial 800-34, Contingency Planning for Information

Technology Systems (Planificación de contingencias para los sistemas de

tecnologías de la información), del National Institute for Standards and

Technology (NIST, o Instituto Nacional de Estándares y Tecnología) de los

Estados Unidos, lo que viene a continuación resume la estructura ideal de un

plan de recuperación de desastres TI.

21

http://es.wikipedia.org/wiki/Plan_de_recuperación_ante_desastres 30-10-13

110

1. Elaboración de la declaración de políticas para el plan de

contingencia: Contar con unas directivas formales proporciona la autoridad y

orientación necesaria para elaborar un plan de contingencia efectivo.

2. Realización del análisis de impacto sobre el negocio (BIA): El análisis del

impacto sobre el negocio ayuda a identificar y priorizar los sistemas y

componentes críticos de TI.

3. Identificación de controles preventivos: Medidas que reducen los efectos de

las disrupciones al sistema y pueden aumentar su disponibilidad y reducir los

costos de contingencia del ciclo de vida.

4. Desarrollo de estrategias de recuperación: Tener una estrategia integral

garantiza que el sistema se recuperará de manera rápida y efectiva después de

una disrupción.

5. Desarrollo de un plan de contingencia TI: El plan de contingencia debería

contener orientaciones y procedimientos detallados para la restauración del

sistema dañado.

6. Prueba, formación y ejecución del plan: La prueba del plan identifica lagunas

en la planificación, mientras que la formación prepara al personal de

recuperación para la activación del plan; ambas actividades mejoran la eficacia

del plan y la preparación general de la entidad.

7. Mantenimiento del plan: El plan debería ser un documento vivo que se

actualiza regularmente para mantenerlo al día con mejoras al sistema.

2.26.4.2 Aspectos clave a considerar al Planificar la Recuperación de

Desastres Tecnología de Información.

-Apoyo de la alta gerencia: Asegúrese de tener el apoyo de la alta gerencia a

fin de lograr alcanzar los objetivos del plan.

-Tomarse en serio el proceso de planificación de RD de T: Aunque la

recopilación y análisis de los datos para el plan de RD de TI puede llevar mucho

tiempo, no es necesario que tenga docenas de páginas. Los plantes

111

simplemente necesitan la información correcta, y esa información debería ser

actual y precisa.

-Disponibilidad de estándares: Entre los estándares relevantes que podemos

usar a la hora de desarrollar los planes de RD de TI están los siguientes: NIST

SP 800-34, ISO/IEC 24762 y BS 25777.

-La sencillez es un grado: Es esencial reunir y organizar la información

correcta.

-Estudiar los resultados con las unidades de negocio: Una vez finalizado el plan

de recuperación de desastres, debemos cotejar sus conclusiones con los

líderes de las unidades de negocio para comprobar que nuestras premisas son

correctas.

-Flexibilidad: La plantilla sugerida en este artículo puede ser modificada en lo

que sea necesario para conseguir nuestros objetivos.

Teniendo en cuenta las inversiones que las empresas realizan en

infraestructuras TI, sería conveniente que inviertan también tiempo y recursos

para proteger dichas inversiones de acontecimientos no previstos y

potencialmente destructivos22.

2.27 La Solución de Acronis

Copia de seguridad y recuperación ante desastres rápida y escalable

El crecimiento de los datos está aumentando rápidamente. De hecho, se espera

un crecimiento de los volúmenes, del 30 por ciento a más del 150 por ciento

cada año. ¿Cómo puede almacenar, proteger y gestionar sus datos?

No es necesario hacer una inversión costosa en infraestructura. No necesita

disponer de personal de TI dedicado o un enorme presupuesto. Sólo necesita

22

Paul Kirvan, CISA, CISSP, FBCI, CBCP http://searchdatacenter.techtarget.com/es/cronica/De-la-A-a-la-Z-plan-para-la-recuperacion-de-desastres-RD-TI 09-11-13

112

un entorno de copia de seguridad y recuperación de desastres en el que pueda

confiar. Necesita Acronis Cloud.

Convierta la gestión de datos en una prioridad.

¿Cree que una copia de seguridad física local es suficiente? La realidad es que

está expuesta a riesgos exactamente igual que los propios datos. Y, como los

datos continúan creciendo a un ritmo exponencial, también lo hace el costo y la

complejidad relacionados con la gestión de discos y el almacenamiento en

cintas.

La solución: Dé prioridad a sus datos. Decida qué datos son críticos para la

misión de su negocio y guárdelos en una copia de seguridad en el cloud. El

almacenamiento en el cloud le permite optimizar sus copias de seguridad,

garantizando que los datos con el RTO de prioridad más alta se guardan online

de forma regular para obtener redundancia. Añada una capa adicional de

seguridad para el entorno virtual: Configure una copia de seguridad sin agentes

en el cloud para proteger los datos de alta disponibilidad.

La combinación de almacenamiento in situ y online le ofrece la posibilidad de

restaurar los datos rápidamente desde el cloud, en caso de fallar el servidor

local. Además, el cloud es una solución ideal para la copia de seguridad de sus

empleados mientras viajan, ya que no se requiere una copia de seguridad local.

Acronis combina almacenamiento in situ, virtual y en el cloud en una única

interfaz, por lo que es fácil almacenar, gestionar, proteger y acceder a sus

datos.

Almacenamiento escalable: Bueno para sus datos. Bueno para su presupuesto.

Predecir la cantidad de espacio de almacenamiento que necesitará para

volúmenes de datos con un crecimiento explosivo puede ser desalentador. Con

113

Acronis, no tiene por qué ser así. Podrá comprar el espacio que necesite para

empezar y luego actualizarlo en cualquier momento.

Beneficios del cloud:

-Una alternativa rentable a la copia de seguridad remota física utilizando los

medios tradicionales

-Escalabilidad de las necesidades de almacenamiento

-Sin inversión inicial de infraestructura remota

-Seguridad para sus datos dentro del centro de datos

-ROI más alta en la recuperación de desastres

-Acceda a los datos en cualquier momento y en cualquier lugar desde un

dispositivo móvil

-Menor riesgo de tiempo de inactividad23

2.28 CLOUD COMPUTING Y LA FILOSOFÍA OPENSOURCE

De acuerdo a una nota publicada por Black Duck24, la cantidad de proyectos de

Open Source Software sobre Cloud Computing ha crecido a la par del

crecimiento y adopción de Cloud Computing en el tiempo.

Pero entonces, ¿Por qué se relacionan? ¿Cuál es la necesidad de esta

simbiosis? Existen muchas respuestas posibles pero, la más precisa es por

cuestiones político-económicas. Por ejemplo; Amazon el principal proveedor de

infraestructura sobre la nube (IaaS) no vería con buena estrategia de negocio

que toda su infraestructura dependa de un producto de terceros, principalmente

cuando este es el ‘key factor’ del valor agregado de su negocio. ¿Qué pasaría si

esta infraestructura estuviese montada sobre Vcloud de VmWarey de un día

para otro, este último decidiera aumentar el valor de sus licencias o

23 http://www.acronis.com.mx/solutions/enterprise/cloud.html 03-10-13 24 http://www.blackducksoftware.com/resources/data

114

simplemente dejar de brindarle soporte? Esto es algo que, desde el punto de

vista de negocios, es una obligación la no dependencia (un proveedor se vuelve

competencia).

Para salvaguardar este tipo de situaciones es donde comienzan a tener sentido

los sistemas de código abierto (o en inglés Open-Source Software). ¿Por qué?

Simplemente no le pertenecen a nadie y son de todos al mismo tiempo.

En este campo surgen alternativas en todas las esferas de Cloud Computing:

IaaS, SaaS y PaaS (referirse a Black Duck y a la nota anterior sobre Cloud

Computing). Por citar un ejemplo, OpenStack es un proyecto bajo licencia de la

Apache Foundation, que es un OSS, que actualmente cuenta con el soporte

(esto es inversión en dinero) de aproximadamente 80 empresas, entre ellas, la

NASA, Cisco, Dell, entre otros.

En Software como servicio (SaaS en sus siglas en inglés) se tiene a eyeOS

(escritorio web, similar a Wave de Google) o Drupal Gardens (versión en la

nube del CMS Drupal).

Se pueden citar miles de ejemplos, pero lo importante de todo esto es entender

que la filosofía del software libre va a ir cada vez más de la mano con Cloud

Computing.

Lo fundamental en esto es responder las interrogantes ¿Cuál es el negocio de

todo esto? ¿Cuál es el beneficio de los aportes a estos proyectos?

En el caso de colaborar con proyectos de IaaS, los beneficios son claros si se

es una empresa que brinda servicios de IaaS, PaaS o SaaS y no se quiere que

los sistemas dependan de una corporación como VmWare o Hyper-V de

Microsoft (lo que se suele llamar en la jerga empresarial “socio indirecto”).

En los proyectos de SaaS, se puede ofrecer servicios tal como lo indica la

filosofía Open-Source Software, contribuyendo y brindando soporte a las

115

aplicaciones que se suben a la nube, pudiendo ser esta de tipo híbrida, pública

o privada.

Existe actualmente proyectos como el DeltaCloud (soportado por Red Hat) que

hace referencia a un subset de herramientas (APIs) de interconexión entre

diferentes sistemas IaaS, como Amazon EC2 y Microsoft Azure. Si bien todavía

los proyectos de interfaces entre distintos sistemas Cloud se encuentran, la

mayoría, en alpha/beta. No es de extrañarse que en menos de un año surja

algún estándar, ya que se está convirtiendo rápidamente en una necesidad

insatisfecha del mercado. Todo esto obviamente bajo licencia open source.

En resumen, Cloud Computing es el nuevo paradigma que llegó para quedarse

y demostrará en un futuro (ya podríamos decir que es el presente) que formará

parte de la nueva revolución y forma de montar negocios de IT, Cloud

Computing debería extasiar a aquellos que trabajan y defienden a la filosofía

open source dado que les permitirá fortalecerla con los aportes tecnológicos en

los que trabaje la comunidad. Aportes que beneficiarán en gran medida tanto a

start-ups y particulares como a empresas.

2.29 ASPECTOS LEGALES

2.29.1 LA COMPUTACIÓN EN LA NUBE EN EUROPA

Antecedentes

El 27 de septiembre de 2012, la Comisión Europea adoptó la estrategia «Liberar

el potencial de la computación en nube en Europa» (IP/12/1025,

MEMO/12/713). Esta estrategia está concebida para acelerar y aumentar el uso

de la computación en nube en toda la economía, para seguir promoviendo el

mercado único digital. Se basa en otras iniciativas legislativas ya presentadas,

como la reforma de la protección de datos de la UE (MEMO/13/923) y la

propuesta de normativa europea en materia de compraventa de carácter

facultativo (MEMO/13/792).

116

El grupo de expertos está encargado de ayudar a la Comisión a estudiar

fórmulas para mejorar el marco jurídico de los contratos relativos a la

computación en nube que afectan a los consumidores y a las PYME

(IP/13/590), con el fin de reforzar la confianza de los consumidores y de las

PYME en la celebración de tales contratos.

De acuerdo con la Estrategia Europa 2020, en el marco de la Agenda Digital, el

Comité Económico y Social Europeo ha elaborado un Dictamen sobre la

computación en la nube, tras efectuar distintos trabajos sobre aspectos que le

afectan, como son: 1. Protección de Datos, 2. Sistemas de

Telecomunicaciones, 3. Comunicaciones Electrónicas, 4. Internet, 5. Protección

de los Consumidores. Entre los beneficios de este modelo destacan: inversión

inicial reducida, reducción de plazos de instalación, refuerzo del modelo de

servicio, contabilidad y control de costes, movilidad de los asalariados. El

Dictamen también plantea distintos aspectos críticos de la computación en la

nube, como son: la seguridad de los datos, la dificultad para determinar la

reglamentación aplicable, los derechos de autor, la portabilidad, etc.

2.29.2 LA COMPUTACIÓN EN LA NUBE EN LATINOAMERICA

Las empresas latinoamericanas están adoptando las oportunidades que

ofrece la computación en la nube, con cerca de 40% de utilización de estas

plataformas en las pequeñas y medianas empresas (pymes) desde 2010.25

La nube proporciona un nivel de potencia que hasta hace poco sólo estaba

disponible para las empresas con grandes presupuestos. Así, permite

incrementar la capacidad tecnológica rápidamente en respuesta a la demanda

de los clientes, contribuyendo a igualar las condiciones con otras regiones y

países que tradicionalmente han tenido una ventaja competitiva en esta

materia.

25 http://www.americaeconomia.com/analisis-opinion/oportunidades-en-la-nube-para-latinoamerica

117

Sin embargo, el poder de la computación en la nube y el fomento al progreso

económico que ésta genera hacen necesario que nuestros sistemas legislativos

consideren ciertas reformas normativas que aceleren la adopción de esta forma

de procesar y almacenar información e incentiven su correcto uso.

Uno de los principales desafíos es proteger la privacidad de datos con un marco

normativo adecuado para la nube. El éxito de la computación en la nube

depende de un marco sólido y moderno para proteger los datos de los

consumidores. En ausencia de ese marco, los usuarios carecen de la confianza

para almacenar sus datos en la nube. Sin embargo, muchos países de la región

están mirando la legislación vigente en Europea como modelo, cuando la propia

Unión Europa se encuentra ahora en el proceso de repensar y reformar su

régimen -adoptado en la década del 90-, que ya no logra sortear los desafíos de

un mundo globalizado en que los datos traspasan las fronteras y los

continentes.

Otro importante reto es acordar los principios de la soberanía de datos. A

medida que la nube evoluciona, las autoridades nacionales, se enfrentan a

diversos retos: la delincuencia en línea, el uso de Internet para amenazar la

seguridad pública o la seguridad nacional, muchas veces incluso cuando los

datos se obtienen o transfieren fuera de su jurisdicción. Los gobiernos de toda

América Latina y de todos los países en general, beneficiarán sus economías

locales cuando se logre determinar universalmente reglas claras de

competencia y acceso a los datos.

También se debe trabajar para lograr un marco jurídico armonizado para la

nube. En la medida que la computación en la nube se desarrolla, las

limitaciones geográficas tradicionales aplicables a los flujos de datos comienzan

a desaparecer. La información puede ser creada en Brasil utilizando un

118

software alojado en Argentina, procesado en el Perú, almacenados en Chile y

ser accedido desde cualquier lugar en América Latina y el mundo.

2.29.3 LA COMPUTACIÓN EN LA NUBE EN EL SALVADOR

En nuestro país no existe actualmente un marco regulatorio sobre el uso de

servicios en la nube, la SIGET se encuentra trabajando en ello. Sin embargo,

esto requiere de varios elementos, incluida la discusión a través de la ejecución

penal y civil efectivas, con sanciones significativas y oportunas, un marco

jurídico que favorezca la cooperación y el intercambio de información entre los

sectores público y privado, así como el intercambio de conocimientos técnicos y

la capacidad de aplicación de la ley a proveedores que salgan de nuestra

jurisdicción.

2.29.4 COPYLEFT Y CREATIVE COMMONS

Si bien Creative Commons (CC) y Copyleft apuntan ambos a una

transformación en el sistema del Copyright, no son exactamente lo mismo. Aquí

se debe hacer una distinción entre licencias libres y abiertas. Licencias libres

son aquellas que cumplen con las cuatro libertades que señalaba Stallman, en

cambio con las licencias abiertas los autores permiten ciertos usos de la obra,

pero restringen otros. El Copyleft es una licencia libre; pero no todas las

licencias Creative Commons son libres ya que algunas no permiten usos

comerciales u obras derivadas. Explica Lawrence Lessig, impulsor del Creative

Commons:

“Una licencia de Creative Commons constituye una concesión de libertad a

cualquiera que acceda a la licencia, y de un modo más importante, una

expresión del ideal de que la persona asociada a la licencia cree en algo distinto

a los extremos de “Todo” o “Nada”. Los contenidos se marcan con la marca de

CC, lo que no significa que se renuncie al copyright, sino que se conceden

ciertas libertades”

119

Creative Commons es una ONG estadounidense que creó una serie de

licencias flexibles que permiten a los autores de las obras elegir cómo quieren

que sus producciones se distribuyan. En su sitio web explican su misión:

“Creative Common s desarrolla, apoya y brinda infraestructura jurídica y técnica

que maximiza la creatividad digital, el intercambio y la innovación”

No todas las licencias de Creative Commons permiten la derivación, algo que sí

posibilita el Copyleft, aunque todas posibilitan la distribución.

Existen seis grandes tipos de licencias Creative Commons:

1. Atribución (Attribution) CC BY: Se permite la copia, distribución y

presentación pública de la obra y trabajos derivados de la misma siempre

que se reconozca y cite adecuadamente al autor original.

2. Atribución- No comercial (Attribution -Non-commercial) CC BY-NC: Se

permite la copia, distribución y presentación de la obra y trabajos derivados

de la misma siempre que se realice con fines no comerciales y se cite

adecuadamente al autor original.

No es necesario licenciar las obras derivadas bajo la misma licencia.

3. Atribución sin obras derivadas (Attribution-No Derivs) CC BY-ND: Se permite

la copia, distribución y presentación de la obra en su versión original, incluso

con fines comerciales; pero se prohíbe la realización de trabajos derivados

de la misma.

4. Atribución Compartir igual (Attribution- Share Alike) CC BY-SA: Se permite la

distribución de trabajos derivados de la obra, incluso con fines comerciales,

siempre que se realice bajo una licencia idéntica a la que ampara a la obra

original.

5. Atribución-NoComercial-Compartir Igual (Attribution- Non commercial- Share

alike) CC BY-NC-SA Se permite la distribución de trabajos derivados de la

obra sin fines comerciales, siempre que se realice bajo una licencia idéntica

a la que ampara a la obra original.

120

6. Atribución-NoComercial-SinObraDerivada (Attribution- Non comercial- No

Derivs) CC BY-NC-ND Es la licencia más restrictiva. Se permite sólo la

descarga de los trabajos para compartirlos con otros sin fines comerciales y

sin posibilidad de hacer obras derivadas

El documento ha quedado establecido con el tipo de licenciamiento: Creative

Commons Atribución-NoComercial-CompartirIgual 3.0 Unported.

2.30 TERMINOLOGÍA BÁSICA

- Amazon EC2: Amazon Elastic Compute Cloud (Amazon EC2) es un servicio

web que proporciona capacidad informática con tamaño modificable en la nube.

Está diseñado para facilitar a los desarrolladores recursos informáticos

escalables basados en web.

- API: Interfaz de programación de aplicaciones (IPA) o API (del inglés

Application Programming Interface) es el conjunto de funciones y

procedimientos (o métodos, en la programación orientada a objetos) que ofrece

cierta biblioteca para ser utilizado por otro software como una capa de

abstracción.

- AWS: Amazon Web Services (abreviado AWS) es una colección de

computación remotos servicios (también llamados servicios web) que en

conjunto conforman un cloud computing plataforma, que ofrece a través de

Internet Amazon.com.

- BBN: Perno, Beranek y Newman (originalmente Bolt, Beranek and Newman)

es una empresa de alta tecnología que provee servicios de investigación y

desarrollo.

- CMS Web: Un sistema de gestión de contenidos (o CMS, del inglés Content

Management System) es un programa que permite crear una estructura de

121

soporte (framework) para la creación y administración de contenidos,

principalmente en páginas web, por parte de los administradores, editores,

participantes y demás roles.

- CRM: Es una forma de gestionar la relación con los clientes para lograr un

beneficio mutuo y duradero. Concretamente, los modernos sistemas de CRM le

permiten capturar la información sobre las interacciones con los clientes e

integrarlos a través de funciones relacionadas con el cliente y la base de datos.

- Gap: Gap Analysis (análisis de diferencias) que permite identificar las

acciones a tomar para alcanzar dicho estado futuro, a nivel de organización,

sistemas, procesos, personal y proyectos. Posteriormente los planes tácticos

(p.e. de carácter anual) programarán dichas acciones.

- GREENFIELD: (tierra verde, terreno virgen) se refiere a realizar un proyecto

desde cero o cambiar completamente uno existente. La imagen es aquella

construcción de la tierra de greenfield, donde no es necesario remodelar o

demoler una estructura existente.

- Heterogéneo: Es aquel que se encuentra compuesto por hardware con

características físicas distintas entre sí, y software con características

operativas distintas entre sí, pero que se pueden comunicar utilizando medios

comunes.

- ISVs: Un proveedor de software independiente (ISV) es una empresa

especializada en la fabricación o la venta de software, diseñado para la masa o

el nicho de mercado. Normalmente, esto se aplica para el software de

aplicación específica o incrustada, de otros fabricantes de software.

- IT: «Information Technology» son las tecnologías de la información y la

comunicación (TIC, TICs o bien NTIC para Nuevas Tecnologías de la

Información y de la Comunicación) agrupan los elementos y las técnicas

122

utilizadas en el tratamiento y la transmisión de las informaciones, principalmente

de informática, internet y telecomunicaciones.

- Ley de Grosch: (Herb Grosh) El coste de los sistemas informáticos es

proporcional a la raíz cuadrada de su potencia.

- Ley de Moore: Es un término informático originado en la década de 1960 y

que establece que la velocidad del procesador o el poder de procesamiento

total de las computadoras se duplica cada doce meses. En un principio, la

norma no era muy popular pero sí se sigue utilizando hasta el día de hoy.

- Multi-tenant: Las arquitecturas multi-tenant (multi-propietario) son cada vez

más utilizadas entre los proveedores de SaaS (Software as a Service). En un

entorno multi-tenant, todos los clientes y sus usuarios consumen el servicio

desde la misma plataforma tecnológica, el intercambio de todos los

componentes de la tecnología incluyendo el modelo de datos, servidores y las

capas de base de datos.

- Netscape: Es un navegador web y el primer producto comercial de la

compañía Netscape Communications corporation que es una empresa

productora de software creada por Marc Andreessen, uno de los autores de

Mosaic, cuando se encontraba en el NCSA (Centro Nacional de Aplicaciones

para Supercomputadores) de la Universidad de Illinois en Urbana-Champaign.

Netscape fue el primer navegador comercial.

- Pool de Recursos: La utilización de rsp ( resource pool ) se utiliza

básicamente para repartir los recursos del servidor de manera que puedas

segmentarlos y utilizarlos de manera que puedas hacer reservas de estos

recursos para grupos de VMs que se encuentran bajo este. La segmentación a

nivel de recursos puede hacerse para la CPU, memoria, almacenamiento y red.

- REST: Transferencia de estado representacional, es un estilo arquitectónico

que abstrae los elementos arquitectónicos dentro de un entorno distribuido

123

hipermedia sistema. Pasa por alto los detalles de implementación del

componente y la sintaxis del protocolo con el fin de centrarse en las funciones

de los componentes, las limitaciones de su interacción con otros componentes,

y su interpretación de los elementos de datos importantes, se ha convertido en

una predominante web API modelo de diseño.

- Sandetel: (Sociedad Andaluza para el Desarrollo de las Telecomunicaciones

S.A.) es una empresa pública adscrita a la Consejería de Economía, Innovación

y Ciencia de la Junta de Andalucía, cuyo objetivo es contribuir al desarrollo y

fomento de la innovación y las Tecnologías de la Información y la Comunicación

(TIC) en la sociedad, en la empresa andaluza y en las administraciones

públicas.

- Sistema de Billing: Es el lenguaje del mailing, se conoce como el proceso

compuesto por la adecuación de fichero, el proceso representa la

externalización de la generación y entrega al correo de su facturación, lo cual

resulta muy interesante ya que su empresa no necesitará disponer de la

infraestructura, recursos y conocimientos que son necesarios para el desarrollo

del envío.

- SOA: Arquitectura Orientada a Servicios, es un software de diseño y

arquitectura de software modelo de diseño basado en piezas discretas de

software que proporcionan funcionalidad de las aplicaciones como servicios a

otras aplicaciones. Esto se conoce como servicio de orientación.

- STREAMING: Es una corriente continua (sin interrupción). Este tipo de

tecnología funciona mediante un búfer de datos que va almacenando lo que se

va descargando en la estación del usuario para luego mostrarle el material

descargado. Esto se contrapone al mecanismo de descarga de archivos, que

requiere que el usuario descargue por completo los archivos para poder

acceder a su contenido.

124

- TCO: El Protocolo de Control de Transmisión (TCP en sus siglas en inglés,

Transmission Control Protocol que fue creado entre los años 1973 – 1974 por

Vint Cerf y Robert Kahn) es uno de los protocolos fundamentales en Internet.

Muchos programas dentro de una red de datos compuesta por ordenadores

pueden usar TCP para crear conexiones entre ellos a través de las cuales

enviarse datos.

- Ubicuo: Mark Weiser acuñó en 1980 el término “ubiquitous computing”

(“computación ubicua” o “informática ubicua”) para referirse al proceso por el

cual los ordenadores se están integrando perfectamente en el mundo físico, la

presencia de los ordenadores es menos visible, la nueva tecnología se

entremezcla discretamente en nuestro día a día, a través de dispositivos

integrados en los objetos más cotidianos. Esta tecnología penetrante está

totalmente centrada en la persona, lo que implica una nueva forma de

interactuar con los ordenadores.

- VMWARE: (VM de Virtual Machine) Es una filial de EMC Corporation que

proporciona software de virtualización disponible para ordenadores compatibles

X86. Entre este software se incluyen VMware Workstation, y los gratuitos

VMware Server y VMware Player. El software de VMware puede funcionar en

Windows, Linux, y en la plataforma Mac OS X que corre en procesadores

INTEL, bajo el nombre de VMware Fusion.

- VPN: Una red privada virtual en la informática se extiende una red privada a

través de una red pública, tales como la Internet.

- WSDL: El Web Services Description Language es un XML basado en lenguaje

de descripción de la interfaz que se utiliza para describir la funcionalidad que

ofrece un servicio web.

125

CAPITULO III

3. SISTEMA DE HIPÓTESIS

3.1 HIPÓTESIS GENERAL

Los Servicios en la Nube inciden en las estrategias de seguridad de

Aplicaciones y Datos de la Pequeña y Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año

2013.

3.2 HIPÓTESIS ESPECÍFICAS

- Los Servicios en la Nube proporcionan una gestión eficiente de recursos de

Hardware y Software de la Pequeña y Mediana Empresa de los Municipios

de San Salvador, Soyapango e Ilopango, Departamento de San Salvador en

el año 2013.

- Los Servicios en la Nube garantizan la seguridad de aplicaciones y datos de

la Pequeña y Mediana Empresa de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de San Salvador en el año 2013.

- Los Servicios en la Nube aseguran la disponibilidad de aplicaciones y datos

de la Pequeña y Mediana Empresa de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de San Salvador en el año 2013.

126

3.3 RELACIÓN ENTRE OBJETIVOS E HIPÓTESIS

Objetivos Hipótesis

Objetivo General

Investigar como los Servicios en la Nube

Inciden en las Estrategias de Seguridad de

Aplicaciones y Datos de la Pequeña y Mediana

Empresa de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de San

Salvador en el año 2013.

Hipótesis General

Los Servicios en la Nube inciden en las

estrategias de seguridad de aplicaciones y

datos de la Pequeña y Mediana Empresa

de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de

San Salvador en el año 2013.

Objetivo Especifico Uno

Evaluar en qué medida los Servicios en la

Nube Proporcionan una Gestión Eficiente de

Recursos Hardware y Software de la Pequeña

y Mediana Empresa de los Municipios de San

Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el año 2013.

Hipótesis Especifica Uno

Los Servicios en la Nube proporcionan

una gestión eficiente de recursos de

Hardware y Software de la Pequeña y

Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el año

2013.

Objetivo Especifico Dos

Determinar de qué manera los Servicios en la

Nube Garantizan la Seguridad de Aplicaciones

y Datos de la Pequeña y Mediana Empresa de

los Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el

año 2013.

Hipótesis Especifica Dos

Los Servicios en la Nube garantizan la

seguridad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador

en el año 2013.

Objetivo Especifico Tres

Identificar de qué forma los Servicios en la Nube

Aseguran la Disponibilidad de Aplicaciones y

Datos de la Pyme de la Pequeña y Mediana

Empresa de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de San

Salvador en el año 2013.

Hipótesis Especifica Tres

Los Servicios en la Nube aseguran la

disponibilidad de aplicaciones y datos de la

Pyme de la Pequeña y Mediana Empresa

de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de

San Salvador en el año 2013.

127

3.4 RELACIÓN ENTRE HIPÓTESIS GENERAL E HIPÓTESIS ESPECÏFICAS

Hipótesis General

Los Servicios en la Nube inciden en las estrategias de seguridad de

aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el

año 2013.

Hipótesis Especifica Uno

Los Servicios en la Nube

proporcionan una gestión

eficiente de recursos de

Hardware y Software de

la Pequeña y Mediana

Empresa de los

Municipios de San

Salvador, Soyapango e

Ilopango, Departamento

de San Salvador en el

año 2013.

Hipótesis Especifica Dos

Los Servicios en la

Nube garantizan la

seguridad de

aplicaciones y datos de

la Pequeña y Mediana

Empresa de los

Municipios de San

Salvador, Soyapango e

Ilopango, Departamento

de San Salvador en el

año 2013.

Hipótesis Especifica Tres

Los Servicios en la Nube

aseguran la

disponibilidad de

aplicaciones y datos de

la Pyme de la Pequeña y

Mediana Empresa de los

Municipios de San

Salvador, Soyapango e

Ilopango, Departamento

de San Salvador en el

año 2013.

128

3.5 OPERACIONALIZACIÓN DE VARIABLES

Hipótesis Específica uno

-He1. Los Servicios en la Nube proporcionan una gestión eficiente de recursos de Hardware y

Software de la Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el año 2013.

Variable Independiente

Los Servicios en la Nube.

Variable Dependiente

Una gestión eficiente de recursos de Hardware

y Software de la Pequeña y Mediana Empresa

de los Municipios de San Salvador,

Soyapango e Ilopango, Departamento de San

Salvador en el año 2013.

Definición Conceptual

Todas las aplicaciones a las cuales se tienen

acceso y se hace uso a través del internet.

Definición Conceptual

Acciones a realizar para un mejor desempeño

de recurso de Hardware y Software de la

empresa.

Definición Operacional

Software que brinda mayor desarrollo

empresarial

Definición Operacional

Optimización de recursos: Humano, financiero

y tecnológico.

Indicadores

-Adaptabilidad a las necesidades de la

empresa.

-Modelo de prestación de servicio de negocio.

-Confidencialidad de los datos.

-Rápida movilización de recurso (Software).

-Uso eficiente de servicio de energía.

-Alto grado de automatización.

-Implementación rápida.

-Virtualización avanzada.

-Aumento en número de servicios basado en la

red.

Indicadores

-Ahorro monetario

-Infraestructura

-Almacenamiento

-Multiplataforma

129

Hipótesis Específica dos

-He2. Los Servicios en la Nube garantizan la seguridad de aplicaciones y datos de la Pequeña

y Mediana Empresa de los Municipios de San Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el año 2013.

Variable Independiente

Los Servicios en la Nube.

Variable Dependiente

La seguridad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en

el año 2013.

Definición Conceptual

Todas las aplicaciones a las cuales se tienen

acceso y se hace uso a través del internet.

Definición Conceptual

Consiste en establecer vínculos que protejan

la información y aplicaciones para el correcto

funcionamiento de la empresa.

Definición Operacional

Software que brinda mayor desarrollo

empresarial

Definición Operacional

Restricción de gestión de acceso a los

diferentes recursos de la empresa.

Indicadores

-Adaptabilidad a las necesidades de la

empresa.

-Modelo de prestación de servicio de

negocio.

-Confidencialidad de los datos.

-Rápida movilización de recurso (Software).

-Uso eficiente de servicio de energía.

-Alto grado de automatización.

-Implementación rápida.

-Virtualización avanzada.

-Aumento en número de servicios basado en

la red.

Indicadores

-Protección de almacenamiento de dato

-Encriptamiento de datos

-Control de acceso

-Modelo de prestación de servicio de negocio.

-Infraestructura.

-Políticas de seguridad.

-Seguridad de Virtualización.

-Minimización de intrusión o ataques.

-Acceso seguro

130

Hipótesis Específica tres

-He3. Los Servicios en la Nube aseguran la disponibilidad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el año 2013.

Variable Independiente

Los Servicios en la Nube.

Variable Dependiente

La disponibilidad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en

el año 2013.

Definición Conceptual

Todas las aplicaciones a las cuales se tienen

acceso y se hace uso a través del internet.

Definición Conceptual

Se logra mediante el acceso a internet y

manejo de la multiplataforma que tiene la

empresa.

Definición Operacional

Software que brinda mayor desarrollo

empresarial

Definición Operacional

Uso de los diferentes dispositivos electrónicos

y ancho de banda para dar paso a la

información.

Indicadores

-Adaptabilidad a las necesidades de la

empresa.

-Modelo de prestación de servicio de negocio.

-Confidencialidad de los datos.

-Disminución de Costos monetarios.

-Rápida movilización de recurso (Software).

-Uso eficiente de servicio de energía.

-Alto grado de automatización.

-Implementación rápida.

-Virtualización avanzada.

-Aumento en número de servicios basado en la

red.

Indicadores

-Proveedor de servicio de Internet.

-Ancho de banda de Internet.

-Recurso (Hardware y Software).

-Multiplataforma.

-Flexibilidad

-Catálogo de Servicios estandarizados

131

3.6 MATRIZ DE CONGRUENCIA

Presentación del Tema

Enunciado del Problema

Operacionalización de Hipótesis

Formulación de

Objetivos Planteamiento de

Hipótesis Extracción de Variables Extracción de Indicadores

-Los Servicios en la Nube

y su Incidencia en las Estrategias de Seguridad

de Aplicaciones y Datos

de la Pequeña y Mediana Empresa de los Municipios

de San Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el año 2013.

Pregunta General

-¿Cómo inciden los servicios en la nube en

las estrategias de

seguridad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el

año 2013?

Hipótesis General

-Los Servicios en la Nube inciden en las estrategias

de seguridad de

aplicaciones y datos de la Pequeña y Mediana

Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el año 2013.

V.I.

-Los Servicios en la

Nube.

V.D.

-Estrategias de

Seguridad de aplicaciones de la

Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango

e Ilopango,

Departamento de San Salvador en el

año 2013.

V.I

V.D.

Objetivo General

-Investigar como los Servicios en la Nube

Inciden en las Estrategias de

Seguridad de Aplicaciones y Datos de

la Pequeña y Mediana

Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el año 2013.

Pregunta Especifica 1

-¿En qué medida los

servicios en la nube proporcionan una gestión

eficiente de recursos de

Hardware Y Software de la Pequeña y Mediana

Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el año 2013?

Hipótesis Especifica 1

-Los Servicios en la Nube

proporcionan una gestión eficiente de recursos de

Hardware y Software de

la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el

año 2013.

V.I.1

-Los Servicios en la

Nube.

V.D.1

-Una gestión eficiente

de recursos de Hardware y Software

de la Pequeña y

Mediana Empresa de los Municipios de San

Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el

año 2013.

V.I.1

-Adaptabilidad a las necesidades de la

empresa. -Modelo de prestación

de servicio de negocio. -Confidencialidad de

los datos. -Rápida movilización de

recurso (Software).

-Uso eficiente de servicio de energía.

-Alto grado de automatización.

-Implementación rápida.

-Virtualización avanzada.

-Aumento en número

de servicios basado en la red.

V.D.1

-Ahorro monetario.

-Infraestructura.

- Almacenamiento.

-Multiplataforma.

Objetivo Especifico 1

-Evaluar en qué medida

los Servicios en la Nube Proporcionan una

Gestión Eficiente de

Recursos Hardware y Software de la Pequeña

y Mediana Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el año 2013

132

Pregunta Especifica 2

-¿De qué manera los

servicios en la nube

garantizan la seguridad de aplicaciones y datos

de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el

año 2013?

Hipótesis Especifica 2

-Los Servicios en la Nube

garantizan la seguridad

de aplicaciones y datos de la Pequeña y Mediana

Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el año 2013.

V.I.2

-Los Servicios en la

Nube.

V.I.2

-La seguridad de

aplicaciones y datos

de la Pequeña y Mediana Empresa de

los Municipios de San Salvador, Soyapango

e Ilopango, Departamento de

San Salvador en el

año 2013.

V.I.2

-Adaptabilidad a las

necesidades de la

empresa. -Modelo de prestación

de servicio de negocio. -Confidencialidad de

los datos. -Rápida movilización de

recurso (Software). -Uso eficiente de

servicio de energía.

-Alto grado de automatización.

-Implementación rápida.

-Virtualización avanzada.

-Aumento en número de servicios basado en

la red.

V.D.2

-Protección de

almacenamiento

de dato -Encriptamiento de

datos. -Control de

acceso. -Modelo de

prestación de servicio de

negocio.

-Infraestructura. -Políticas de

seguridad. -Seguridad de

Virtualización. -Minimización de

intrusión o ataques.

-Acceso seguro.

Objetivo específico 2

-Determinar de qué

manera los Servicios en

la Nube Garantizan la Seguridad de

Aplicaciones y Datos de la Pequeña y Mediana

Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el

año 2013.

Pregunta Especifica 3

-¿De qué forma los

servicios en la nube aseguran la

disponibilidad de aplicaciones y datos de la

de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento

de San Salvador en el año 2013?

Hipótesis Especifica 3

-Los Servicios en la Nube

aseguran la disponibilidad de

aplicaciones y datos de la Pyme de la Pequeña y

Mediana Empresa de los Municipios de San

Salvador, Soyapango e Ilopango, Departamento

de San Salvador en el

año 2013.

V.I.3

-Los Servicios en la

Nube.

V.D.3

-La disponibilidad de

aplicaciones y datos de la Pequeña y

Mediana Empresa de los Municipios de San

Salvador, Soyapango

e Ilopango, Departamento de

San Salvador en el año 2013.

V.I.3

-Adaptabilidad a las

necesidades de la empresa.

-Modelo de prestación de servicio de negocio.

-Confidencialidad de

los datos. -Rápida movilización de

recurso (Software). -Uso eficiente de

servicio de energía. -Alto grado de

automatización. -Implementación

rápida.

-Virtualización avanzada.

-Aumento en número de servicios basado en

la red.

V.D.3

-Proveedor de

servicio de Internet.

-Ancho de banda de Internet.

-Recurso (Hardware y

Software).

-Multiplataforma.

Objetivo Especifico 3

-Identificar de qué

forma los Servicios en la Nube Aseguran la

Disponibilidad de Aplicaciones y Datos de

la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e

Ilopango, Departamento

de San Salvador en el año 2013.

133

CAPITULO IV

4. METODOLOGÍA DE LA INVESTIGACION

4.1 TIPO DE ESTUDIO.

La presente investigación tiene como finalidad desarrollar los diferentes tipos de

estudio entre ellos están: Investigación Bibliográfica e Investigación de campo.

4.1.1 INVESTIGACIÓN BIBLIOGRÁFICA

Es la que se utilizó a través de la consulta y revisión de diferentes fuentes

bibliográficas como: libros, separatas, folletos, enciclopedias, boletines y otras

fuentes relacionadas con el tema como Internet, entre otros.

4.1.2 INVESTIGACIÓN DE CAMPO:

Esta se llevó a cabo por medio de la aplicación de los instrumentos que fueron

elaborados con base en los indicadores, lo que permitió la recopilación de la

información necesaria de parte de los sujetos de la muestra, quienes fueron

consultados en forma directa en cada uno de los lugares en donde desarrollan

sus actividades; el instrumentos básico que se utilizó en este caso es la guía de

cuestionario administrada a usuarios de los servicios en la nube en las

pequeñas y medianas empresas donde se realizó el estudio, y se complementó

con una guía de entrevista dirigida a especialistas y conocedores del tema.

4.2 NIVELES DE ESTUDIO

La presente investigación se desarrolló aplicando los siguientes niveles de

estudio: Exploratorio, Descriptivo, Explicativo.

Estos niveles se utilizaron porque permitieron realizar un mejor estudio al

fenómeno tanto de sus causas efecto para orientar el desarrollo de la

investigación.

134

4.2.1 EXPLORATORIO:

Es la búsqueda de información de manera general del problema permitiendo

observar detalladamente el objeto de estudio (pequeñas y medianas empresas),

además la revisión de otros estudios y publicaciones efectuados en el tema de

carácter descriptivo, este contribuyó a una aproximación o acercamiento del

fenómeno en estudio a través de la obtención de la información preliminar.

4.2.2 DESCRIPTIVO:

Es describir la información general obtenida por medio del estudio exploratorio,

lo más importante que se relaciona con la problemática planteada, lo cual

significó seleccionar y organizar la información para analizar e interpretar el

problema.

Por medio del mismo se determinó la descripción de las variables para el

estudio y la relación de causa y efecto; el cual sirvió para construir la

formulación y delimitación del problema.

4.2.3 EXPLICATIVO:

La investigación realizada permitió la explicación y aclaración del tema en

estudio, presenta la siguiente estructura sistemática relacionando causa y

efecto entre las variables del problema estudiado, la investigación de campo

juntamente con la teórica permitió analizarla con relación a los objetivos e

hipótesis formulados para el estudio, haciendo un análisis interpretativo de los

resultados obtenidos y finalmente el planteamiento de las conclusiones y

recomendaciones.

A través de la información teórica que fue consultada, así como el

planteamiento de objetivos e hipótesis las cuales fueron analizadas con sus

variables e indicadores a partir de esto se formuló la explicación de la relación

en términos de causa y efecto entre las variables investigados, se llegó a las

135

hipótesis formuladas para el estudio realizando un análisis e interpretación de

los resultados del estudio.

4.3 MÉTODO LÓGICO:

Los métodos aplicados a orientar la estructura del pensamiento lógico científico

son:

Deductivo, Inductivo, Analítico y Sintético.

4.3.1 DEDUCTIVO: Consiste en ordenar las ideas de lo general a lo particular y

se utilizó en los capítulos I, II, al incorporar toda la información obtenida por

medio de la investigación.

4.3.2 INDUCTIVO: Se realiza desde lo particular a lo general el cuál se aplica

en el Capítulo V, al procesar la información obtenida por medio de la

investigación de campo.

4.3.3 ANALÍTICO: Significa desagregar descomponer un todo en sus partes

para identificar y estudiar cada uno de sus elementos y las relaciones entre sí y

con el todo. Puede ser de naturaleza racional en la investigación, se utilizó el

todo racional en la investigación, porque es la unidad teórica conceptual el cual

está integrado por conceptos, juicios, razonamientos, e hipótesis, leyes y

teorías y es aplicado en el capítulo III, IV, y V.

4.3.4 SINTETICO: Se aplica en el capítulo VI, donde se realiza el análisis e

interpretaciones de los resultados y posteriormente pasar a construir las

conclusiones y recomendaciones del tema en estudio.

4.4 SUJETO Y OBJETO DE ESTUDIO

Definido el objeto de estudio que para el caso son los servicios en la nube y su

incidencia en las estrategias de seguridad de la pequeña y mediana empresa,

136

así como también el sujeto de estudio que son las pequeñas y medianas

empresas de los municipios de San Salvador, Soyapango e Ilopango, se

procedió a determinar el diseño a seguir estableciendo criterios claves,

población y muestra, que consistió en seleccionar las unidades elementales de

la población según el criterio del equipo del presente estudio a juicio del cual

goza de representatividad.

4.5 UNIDADES DE ANÁLISIS

Revisión de bibliografía sobre el tema a investigar

Revisión de documentos de gremios y asociaciones empresariales.

Selección de municipios

Asignación de empresas por tamaños

Identificación de conocedores y especialistas

Visita a empresas relacionadas con el servicio a la nube

Visita de campo para observar condiciones de las empresas sujetos a

investigación.

4.6 POBLACIÓN Y MUESTRA.

El universo Poblacional que constituyo la presente investigación está formulado

por 3183 empresas, que se encuentran ubicadas en los municipios de San

Salvador, Soyapango e Ilopango.

4.6.1 POBLACIÓN:

La población que se tomó en cuenta para esta Investigación fue de 3183

usuarios que hacen uso de los servicios en la nube en dos sectores, pequeña y

mediana empresa, así también se tomaron en cuenta Especialistas y

Conocedores de la temática estudiada ellos son: Ing. Ernesto Chang Columbus

Bussiness, Ing. José Ramírez Microsoft Corporation, Ing. Billy Orellana

Intelector e Ing. Darvin Otero Aeegle, con la finalidad de obtener un parámetro

que permita dar respuesta a las hipótesis planteadas al inicio de la

137

investigación.

A continuación se presenta la distribución de los dos sectores de estudio en

cada uno de los municipios evaluados:

Municipio/Sectores Pequeña Mediana Total

San Salvador 2584 395 2979

Ilopango 59 14 73

Soyapango 111 20 131

Total 2754 429 3183

Teniendo la sumatoria de todos los sectores integrantes del estudio los

resultados de la población total es de 3183 personas.

4.6.2 MUESTRA:

De la totalidad de 3183 usuarios que hacen uso de los servicios en la nube se

tomó una muestra de un 97% de docentes, siendo una cantidad, manejable con

el estrato de los Centros Escolares, donde se estimó la aplicación de la

siguiente fórmula:

n= Z2 x P x Q x N

(n-1) E2 + Z2 x P x Q

n= Simboliza la muestra

N= Representa el tamaño de la población (100)

P= Representa el 50% (0.50) de la proporción del tamaño de la población que

ocurra el fenómeno.

Q= Presenta el 50% (0.50) de la proporción de la población de que no ocurra el

fenómeno.

138

Z= Representa el nivel de confianza máximo del 95% (1.96)

E= Máximo error permisible 0.05 ó 5%

n= Z2 x P x Q x N

(n-1) E2 + Z2 x P x Q

n= (1.96) 2 (0.50) (0.50) (3183)

(3183-1) (0.50) 2 + (1.96) 2 (0.50) (0.50)

n= (3.8416) (0.50) (0.50) (3183)

(3182) (0.0025) + (3.8416) (0.50) (0.50)

n= 3056.9532

7.955 + 0.9604

n= 342.88

Ajustando la muestra

no’ = 342.88

1 + ((342.88-1)/3183)

no’ = 342.88

1 + (0.1074081)

no’ = 342.88

1.1074081

no’ = 309.62

Porqué se trabajó con dos sectores empresariales distribuidos en tres

municipios: San Salvador, Soyapango e Ilopango, se utilizó la fórmula llamada

porcentaje para instrumento, que se detalla a continuación:

%= ne x 100

N

n= 310

139

San Salvador

PEQUEÑA EMPRESA MEDIANA EMPRESA

%= 2584x 100 3183 %= 81.18 empresas

%= 395 x 100 3183

%= 12.41 empresas

Soyapango

PEQUEÑA EMPRESA MEDIANA EMPRESA

%= 59 x 100 3183

%= 1.85 empresas

%= 14 x 100 3183

%= 0.44 empresas

Ilopango

PEQUEÑA EMPRESA MEDIANA EMPRESA

%= 111 x 100 3183

%= 3.49 empresas

%= 20 x 100 3183

%= 0.63 empresas

A continuación se presenta el cuadro donde se detallan la distribución de instrumentos por sector:

Municipio/Sectores

Porcentaje de instrumento

Cantidad

Pequeña Mediana Pequeña Mediana

San Salvador 81.18 12.41 252 38

Ilopango 1.85 0.44 6 1

Soyapango 3.49 0.63 11 2

Total 86.52 13.48 269 41

100 310

140

Se realizó el estudio utilizando muestreo dirigido intencional por estar divididos

en diferentes sectores, se utilizó una clasificación aleatoria que determinó

únicamente los usuarios de empresas que tienen acceso a la nube.

4.7 TÉCNICAS E INSTRUMENTOS DE LA INVESTIGACIÓN:

4.7.1 TÉCNICA:

Es la aplicación específica del método mediante el procedimiento para el

empleo de un instrumento, para el uso de un material o para el manejo de una

determinada situación sobre el uso de la nube y su incidencia en las estrategias

de seguridad de la pequeña y mediana empresa de los municipios de San

Salvador, Soyapango e Ilopango y para la realización de la investigación se

aplicó la entrevista y la muestra.

- Entrevista:

Consiste en la obtención de información oral de parte de los especialistas y

conocedores del tema entrevistados en forma directa del fenómeno

investigado. Es una conversación con una persona en la que se hace una

serie de preguntas encaminadas a la recopilación de información, que va

desde la interrogante estandarizada hasta la conversación libre.

- Encuesta:

Es uno de los procedimientos más usados en la investigación social, y se

define como un conjunto de técnicas destinadas a reunir de manera

sistemática datos sobre determinado tema, la cual se aplicó a las y los

Docentes para obtener información de la temática de investigación, está

consta de una serie de preguntas y respuestas, así mismo sirvió para

facilitar el análisis crítico que permitió un acercamiento de los indicadores

que afectan el bienestar de las y los Docentes y también para la

comprobación de hipótesis.

141

4.7.2 INSTRUMENTOS:

En el presente trabajo de investigación fue necesario definir, elaborar y al

mismo tiempo administrar ciertos instrumentos investigativos con el fin de

recopilar y seleccionar la información esencial para responder a los objetivos,

las hipótesis y la comprobación de esta.

Instrumento Número 1 (Entrevista)

La entrevista se diseñó y se administró a especialistas y conocedores de la

temática investigada, en la que se realizó una serie de 14 preguntas que

permitió conocer diferentes opiniones sobre el tema en estudio, la entrevista

recoge la información de las causas y factores salariales, que inciden en el

bienestar de las y los Docentes permitiendo enriquecer los fundamentos

teóricos de esta investigación contribuyendo con la validación del sistema de

hipótesis planteadas.

Instrumento Número 2 (Encuesta)

La encuesta fue diseñada con el fin de recoger información de las y los usuarios

de servicios en la nube, elaborando un cuestionario de veintisiete interrogantes

de las cuales las primeras cuatro responden a obtener información general

sobre el sujeto- objeto investigado, si la empresa encuestada hace uso de

servicios en la nube, mientras las veinte dos restantes recogen información que

permitió el conocimiento objetivo del problema en relación a las estrategias de

seguridad que las empresas implementan al hacer uso de servicios en la nube

con el cual se pretende la aceptación o rechazo de las hipótesis.

La encuesta administrada en los municipios de San Salvador, Soyapango e

Ilopango consta de las siguientes partes:

142

-Datos del Investigador

Son los datos que identifican al encuestador tales como: Nombre, tema y

objetivo de la recopilación de la información proporcionada por los encuestados.

- Solicitud de la Colaboración

Esta fue diseñada para que personas encuestadas conocieran la finalidad y

objetivo de la investigación y nos brindaran colaboración en la información

solicitada.

- Datos de Clasificación

Son parámetros que facilitan vaciar la información que arroja la encuesta.

- Cuerpo del Cuestionario

Está compuesto por las preguntas y las posibles respuestas que se han

plasmado en la encuesta. En esta parte de la investigación se desplegó

preguntas básicas que sirven de base para elaborar la propuesta.

4.8 PROCESO DE VALIDACIÓN DE INSTRUMENTOS.

Los Instrumentos por los cuales se realizó la investigación fueron validados y

administrados en una muestra piloto, a un grupo de especialistas conocedores

del tema a los cuales se les solicitó su comprobación para la revisión del

instrumento en el que se corrigió cada una de las interrogantes de la encuesta y

entrevista como el orden de las preguntas, claridad, redacción y ortografía. Esto

ayudó a mejorar los instrumentos, tomando en cuenta cada una de las

sugerencias y observaciones realizadas por cada uno/a de las y los

Especialistas.

Prueba Piloto

Previamente se realizó una prueba piloto dirigida a las pequeñas y medianas

143

empresas, que comprendió el 10% de las 310 personas encuestadas y para el

producto se tomaron diez encuestas de las 310 empresas en estudio con la

finalidad de conocer el grado de comprensión de las preguntas con relación a

los sujetos de investigación y comprobar si cumplen con el objetivo que se

persigue.

Con base a los resultados de este proceso se realizaron los ajustes y

adecuaciones necesarias a fin de garantizar la obtención de la información

requerida para este estudio.

4.9 PROCEDIMIENTO DE LA INVESTIGACIÓN.

Para la realización y ejecución de la investigación se eligió una muestra de 310

pequeñas y medianas empresas pertenecientes los municipios de San

Salvador, Soyapango e Ilopango departamento de San Salvador. Sin embargo

en la realización del proceso de investigación se discriminaron 58 empresas

quienes expresaron no usar los servicios en la nube quedando una muestra

final de 252 usuarios que respondieron hacer uso de los servicios en la nube y

que goza de representatividad dentro de la investigación.

4.9.1 PROCEDIMIENTO GENERAL

A- Recopilación de información relativa al problema, hipótesis y teoría.

B- Esquematización del sistema de hipótesis. C- Ordenamiento de información y formulación del Marco Teórico.

D- Revisión y Ajuste de los diferentes capítulos.

E- Diseño metodológico. F- Elaboración de instrumentos para la recolección de información

G- Recopilación de información.

144

H- Tabulación de información recapitulada. I- Análisis e interpretación de la información

J- Formulación de conclusiones y recomendaciones.

K- Estructuración del Informe. L- Revisión del informe global

M- Presentación del Informe.

4.10 PROCEDIMIENTOS ESTADISTICOS.

La comprobación de hipótesis se realizó en el primer paso del método

porcentual simple para convertir los valores de números naturales en valores

porcentuales, por medio de la fórmula siguiente:

Dónde:

F= Frecuencia porcentual.

%= Frecuencia absoluta.

N= Número de Encuestados.

En el segundo paso se aplicó a cada variable e hipótesis la media aritmética, si

la hipótesis obtiene valores del 50% +1, es aprobada, caso contrario es

rechazada.

Luego se desarrolló la tabulación de datos el cual sirvió para la elaboración de

cuadros estadísticos según los resultados obtenidos de la aplicación de cada

instrumento, la elaboración de los análisis estadísticos permitió llegar al

establecimiento de conclusiones y recomendaciones.

% = F x 100

N

145

CAPITULO V

5. ANÁLISIS E INTERPRETACIÓN DE RESULTADO

El presente capítulo muestra la recopilación de los datos obtenidos en la fase

de investigación. Se incorpora para cada pregunta su respectivo análisis y la

interpretación que al final determinaron la validez de las hipótesis planteadas.

5.1 SÍNTESIS DEL ANALISIS E INTERPRETACION DE RESULTADOS

ENCUESTA DIRIGIDA A USUARIOS DE LA PEQUEÑA Y MEDIANA

EMPRESA DE LOS MUNICIPIOS DE SAN SALVADOR, SOYAPANGO E

ILOPANGO.

1) ¿Cuál es la clasificación de su empresa?

Tabla N° 5.1.1

ANÁLISIS:

El gráfico Nº 1 muestra que el 87% pertenecen a la pequeña empresa, mientras

que un 15% pertenece a la mediana empresa.

INTERPRETACIÓN:

Los datos anteriores reflejan que existe una mayor concentración de pequeñas

empresas en los municipios evaluados.

Respuesta Cantidad Porcentaje

Pequeña 269 87%

Mediana 41 15%

TOTAL 310 100% 87%

13%

Gráfico N° 1

Pequeña

Mediana

146

2) ¿Cuál es la clasificación de su empresa?

Tabla N° 5.1.2

ANÁLISIS:

El gráfico Nº 2 muestra que el 12% de empresas pertenece al sector Industrial,

mientras que un 28% pertenece al sector Comercial y un 60% pertenece al

sector de Servicios.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas del Sector de Servicios han

confiado en los Servicios en la Nube y son los que más usan, mientras que el

sector Comercial e Industrial son los que aún están usando poco los servicios y

muestran una desconfianza ante ellos.

Respuesta Cantidad Porcentaje

Industrial 37 12%

Comercial 87 28%

Servicios 186 60%

TOTAL 310 100%

12%

28% 60%

Gráfico N° 2.

Indrustrial

Comercial

Servicios

147

3) ¿Utiliza Servicios informáticos en una red interna?

Tabla N° 5.1.3

ANÁLISIS:

El gráfico Nº 3 muestra que el 98% de utiliza los servicios informáticos en una

red interna y un 2% muestra que no utiliza o no posee una red interna en la

empresa.

INTERPRETACIÓN:

Los datos anteriores demuestran que la mayoría de las empresas utilizan los

servicios de una red interna en la empresa, cada vez más empresas hacen el

uso de estos.

Respuestas Cantidad Porcentaje

SI 303 98%

NO 7 2%

Total 310 100%

98%

2%

Gráfico N° 3

SI

NO

148

4) -¿Conoce Usted si la empresa hace uso de los Servicios en la Nube?

Respuestas Cantidad Porcentaje

SI 252 81%

NO 58 19%

Total 310 100%

Tabla 5.1.4

ANÁLISIS:

El gráfico Nº 4 muestra que un 81% de empresas hace uso de los Servicios en

la Nube, mientras que un 19% no hacen uso de estos.

INTERPRETACIÓN:

Los datos anteriores demuestran que más Pequeña y Mediana Empresa están

haciendo uso de los Servicios en la Nube, cada vez el número aumenta, y las

PYMES se involucran y le dan mayor importancia a estos servicios.

81%

19%

Gráfico N° 4

SI

NO

149

5) ¿Cuáles son los Servicios que usa?

Tabla 5.1.5

ANÁLISIS:

El gráfico Nº 5 muestra que en las empresas un 16% hace uso de Chat, un 23%

usa el Correo Electrónico, el 12% utilizan Video llamada, el 13% usa

Almacenamiento, el 11% usan DNS, el 12% hace uso de Servidor Virtual, el 9%

de Hosting y el 4% hacen uso de otros servicios.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas utilizan más los servicios

para comunicarse tanto internamente como externamente y para el resguardo

de sus datos. Y hacen uso de otro tipo de servicio para el funcionamiento de la

empresa.

Respuestas Cantidad Porcentaje

Chat 182 16%

Correo Electrónico 252 23%

Video Llamada 137 12%

Almacenamiento 148 13%

DNS 126 11%

Servidor Virtual 131 12%

Hosting 106 9%

Otros 40 4%

Total 1122 100% 0

50

100

150

200

250

300

Ch

at

Co

rre

o E

lectr

on

ico

Vid

eo

Lla

ma

da

Alm

ace

na

mie

nto

DN

S

Se

rvid

or

Virtu

al

Ho

stin

g

Otr

os

Em

pre

sas C

on

su

ltad

as

Servicos

Gráfico N° 5

Chat

Correo Electronico

Video Llamada

Almacenamiento

DNS

Servidor Virtual

150

0

50

100

150

200

Em

pre

sa

s E

nc

ue

sta

das

Areas de las Empresas

Gráfico N° 6

Administración

Contabilidad

Ventas

R.R.H.H.

Informatica

Soporte Tecnico

6) ¿Identifica que áreas de la empresa necesitan de los servicios en la nube?

Tabla 5.1.6

ANÁLISIS:

El gráfico Nº 6 muestra que las empresas hacen uso en sus áreas de

Administración con un 19%, Contabilidad con el 5%, ventas con un 12%,

Recursos Humanos con el 7%, Informática con un 20%, Soporte Técnico con el

13%, Mantenimiento con un 11%, Compras con el 4% y otras áreas con un 9%.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas ya están haciendo el uso de

los servicios en la Nube en las diferentes áreas o departamentos de la empresa,

estas áreas son las que más los necesitan y es en donde le sacan un mayor

provecho a estos.

Respuestas Cantidad Porcentaje

Administración 170 19%

Contabilidad 40 5%

Ventas 110 12%

R.R.H.H. 60 7%

Informática 180 20%

Soporte Técnico 120 13%

Mantenimiento 100 11%

Compras 34 4%

Otros 82 9%

Total 896 100%

151

7) ¿Los Servicios que utiliza la empresa son de pago?

Tabla 5.1.7

ANÁLISIS:

El gráfico Nº 7 muestra que un 49% de las empresas pagan por el uso de los

servicios en la nube mientras que un 51% utiliza los servicios gratuitos de las

diferentes empresas que brindan este servicio.

INTERPRETACIÓN:

Los datos anteriores revelan que la mayoría de empresas no pagan por el

servicio en la nube. Aprovechan y hacen uso de los Servicios que los diferentes

proveedores de servicio brindan gratuitamente.

Respuestas Cantidad Porcentaje

SI 123 49%

NO 129 51%

Total 252 100% 49%

51%

Gráfico N° 7

SI

NO

152

8) ¿Su Proveedor de Servicio en la Nube es Gratuito?

Tabla 5.1.8

ANÁLISIS:

El gráfico Nº 8 muestra que las empresas hacen uso de los Servicios que

proporciona Google con un 61%, mientras que Dropbox tiene un 28% y otros

proveedores de servicio tienen un 11%.

INTERPRETACIÓN:

Los datos anteriores demuestran que los Servicios que Google ofrece han sido

más aceptados por las empresas. Ya que es una de las empresas pioneras que

trajeron el concepto de Cloud Computing y lo ha popularizado más. Y otros

proveedores de Nube como Dropbox está siendo más conocido y usado entre

las empresas, este aún ofrece servicio de almacenamiento de datos, mientras

que Google ofrece más que solo almacenamiento de los datos.

Respuestas Cantidad Porcentajes

Google 152 61%

Dropbox 70 28%

Otros 29 11%

Total 251 100% 61% 28%

11%

Gráfico N° 8

Google

Dropbox

Otros

153

9) ¿Su proveedor de Pago de Servicio en la Nube?

Tabla 5.1.9

ANÁLISIS:

El gráfico Nº 9 muestra los diferentes proveedores de pago de servicio de Nube

entre los cuales Google tiene un 17%, Tigo con el 12%, Amazon con un 8%,

Microsoft con el 26%, Zoho con un 4%, Rackspace con el 4%, y otros

proveedores con un 29%.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas ya están haciendo el uso de

los servicios en la Nube y pagan por ellos. Entre las empresas se puede

encontrar Microsoft como uno de los que más vende el servicio, ya que es una

de las empresas de Software que más se conoce en el mercado. Google pese a

que da un servicio gratuito también tiene su parte de pago, y está siendo

utilizada ya que genera más servicios al pagarles.

Respuestas Cantidad Porcentaje

Google 42 17%

Tigo 31 12%

Amazon 21 8%

Microsoft 64 26%

Zoho 10 4%

Rackspace 10 4%

Otros 74 29%

Total 252 100% 0

10 20 30 40 50 60 70 80

Em

pre

sa

s E

nc

ue

sta

da

s

Proveedores de Servicio de Nube

Gráfico N° 9

Google

Tigo

Amazon

Microsoft

Zoho

Rackspace

Otros

154

10) ¿Conoce Usted si la empresa ha adquirido algún/os paquete/s de servicio?

Tabla 5.1.10

ANÁLISIS:

El gráfico Nº 10 muestra que un 45% de las empresas tiene algún paquete de

servicio mientras que un 55% de las empresas no tiene un paquete de servicio

de nube.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas si han adquirido un paquete

de Servicio en la Nube, estos paquetes son los que se pagan por ellos, y las

empresas que no poseen un paquete son las que hacen uso de ellos

gratuitamente.

Respuestas Cantidad Porcentajes

SI 114 45%

NO 138 55%

Total 252 100% 45%

55%

Gráfico N° 10

SI

NO

155

11) ¿Indique que paquete tiene la Empresa?

Tabla 5.1.11

ANÁLISIS:

El gráfico Nº 11 muestra que las empresas pagan por un paquete, entre ellos

encontramos Google Apps con un 16%, Cloud Block Storage con el 5%,

Hosting Empresarial con un 5%, Office 365 con el 32%, Windows Azure con el

5%, Oracle con un 5% y otros paquetes con el 32%.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas contratan un paquete de

servicio en la nube, de acuerdo a las necesidades y al área que será

implementado el servicio.

Respuestas Cantidad Porcentajes

Google APPS 40 16%

Cloud Block Storage 13 5%

Hosting Empresarial 13 5%

Office 365 80 32%

Windows Azure 13 5%

Oracle 13 5%

Otros 80 32%

Total 252 100%

0

20

40

60

80

100

Go

og

le A

PP

S

Clo

ud

Blo

ck …

Ho

stin

g …

Off

ice

36

5

Win

do

ws …

Ora

cle

Otr

os

Em

pre

sa

s e

nc

ue

sta

das

e

Paquetes que Usan

Gráfico N°11

Google APPS

Cloud Block Storage

Hosting Empresarial

Office 365

Windows Azure

Oracle

156

12) ¿Accede a los Servicios desde cualquier lugar?

Tabla 5.1.12

ANÁLISIS:

El gráfico Nº 12 muestra que un 93% de las empresas si accede a los Servicios

en la Nube desde cualquier lugar, mientras que 7% no accede desde cualquier

lugar.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas tienen acceso a los

Servicios en la Nube, desde cualquier lugar del mundo, no importando país o

ciudad.

Respuestas Cantidad Porcentajes

SI 234 93%

NO 18 7%

Total 252 100%

93%

7%

Gráfico N° 12

SI

NO

157

13) ¿Desde qué dispositivos electrónicos?

Tabla N° 5.1.13

ANÁLISIS:

El gráfico Nº 13 muestra que las personas acceden desde su celular con un

35%, Ipad/Tablet con el 29% y PC con un 36%, a los servicios en la nube.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas tienen acceso desde los

diferentes dispositivos electrónicos que conectan a Internet. Siendo su principal

dispositivo una Computadora, ya sea de escritorio o portátil. Los dispositivos

como el Celular y la tablet, son utilizados en las empresas, y desde ellos se

conectan desde cualquier lugar.

Respuestas Cantidad Porcentaje

Celular 88 35%

Tablet/Ipad 72 29%

PC 92 36%

Total 252 100% 35%

29%

36%

Gráfico N° 13

Celular

Tablet/Ipad

PC

158

14) ¿Existe un encargado para regular el acceso a los servicios en la nube?

Tabla N° 5.1.14

ANÁLISIS:

El gráfico Nº 14 muestra que un 69% de las empresas tienen un encargado que

regula el acceso a los Servicios en la Nube, mientras que un 31% de empresas

no lo tiene.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas controlan y regulan a las

personas que tienen el acceso a los Servicios en la Nube, esto es una medida

que toma la empresa por su seguridad.

Respuestas Cantidad Porcentaje

SI 174 69%

NO 78 31%

Total 252 100%

69%

31%

Gráfico N° 14

SI

NO

159

15) ¿Existe algún sistema de seguridad para el resguardo de los datos de la

empresa?

Tabla N° 5.1.15

ANÁLISIS:

El gráfico Nº 15 muestra que las empresas tienen un resguardo físico con un

37%, mientras que el informático con el 63%.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas toman sus medidas de

seguridad para proteger los datos que la empresa posee, y hay una tendencia

que esto lo hacen a nivel de Software o informático.

Respuestas Cantidad Porcentaje

Físico 94 37%

Informático 158 63%

Total 252 100% 37%

63%

Gráfico N° 15

Fisico

Informatico

160

16) ¿La información de la empresa se encuentra alojada en servidores locales?

Tabla 5.1.16

ANÁLISIS:

El gráfico Nº 16 muestra que un 72% de las empresas SI alojan sus datos en

servidores locales, mientras que un 28% NO alojan sus datos de forma local.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas invierten dinero para montar

su propio equipo, por lo tanto, tienen sus datos en el mismo local en donde está

ubicada la organización.

Respuestas Cantidad Porcentaje

SI 182 72%

NO 70 28%

Total 252 100%

72%

28%

Gráfico N° 16

SI

NO

161

17) ¿Garantiza el proveedor la confidencialidad de los datos que gestiona a

través de sus servidores?

Tabla N° 5.1.17

ANÁLISIS:

El gráfico Nº 17 muestra que un 81% de los proveedores de Nube SI les da

confidencialidad de datos a las empresas, mientras que un 19% NO les da

confidencialidad de datos.

INTERPRETACIÓN:

Los datos anteriores demuestran que la mayoría de proveedores si les da

confidencialidad de datos a las empresas que tienen como clientes. Les

asegura en un alto porcentaje que su información no será robada, borrada, o

modificada por intrusos, mientras este alojada en los servidores de ellos.

Respuestas Cantidad Porcentaje

SI 203 81%

NO 49 19%

Total 252 100%

81%

19%

Gráfico N° 17

SI

NO

162

18) ¿Qué mecanismos utilizan de recuperación ante riesgos o desastres?

Tabla N° 5.1.18

ANÁLISIS:

El gráfico Nº 18 muestra que el 44% de las empresas utilizan Respaldo de dato,

Replica de dato el 38%, Verificación de archivos un 10% y otros mecanismo con

el 8%.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas han aprendido y ponen en

práctica los mecanismos de Recuperación Ante Desastres. El Salvador es un

país en el cual pasan muchos desastres naturales, y se deben de tomar las

precauciones necesarias para evitar perdida de información, ya que si esto

sucediera la empresa sufre un daño muy alto.

Respuestas Cantidad Porcentaje

Respaldos 112 44%

Replica de Datos 96 38%

Verificación de Archivos 24 10%

Otros 20 8%

Total 252 100%

44%

38%

10% 8%

Gráfico N° 18

Respaldos

Replica de Datos

Verificación de

Archivos

Otros

163

19) ¿Conoce usted las medidas que toman los proveedores para evitar ataque

o intrusión?

Tabla N° 5.1.19

ANÁLISIS:

El gráfico Nº 19 muestra que un 67% de las empresas SI conocen las medidas

que toman los proveedores de los Servicios en la Nube, mientras que un 33%

desconocen las medidas.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas se preocupan y se interesan

por conocer como su proveedor de los Servicios en la Nube, les protege su

información mientras usan el servicio que estos les proporcionen.

Respuestas Cantidad Porcentaje

SI 168 67%

NO 84 33%

Total 252 100%

67%

33%

Gráfico N° 19

SI

NO

164

20) ¿Indique las medidas que los proveedores de los Servicios en la Nube

tienen?

Tabla N° 5.1.20

ANÁLISIS:

El gráfico Nº 19 muestra que los Proveedores de Servicio en la Nube utilizan

Firewall con el 30%, Bloqueo de IP´s el 21%, Bloqueo de Usuario un 19%,

Autorización por Correo Electrónico el 18%, Autorización por Zona un 9% y

otros con el 3%, como medidas de seguridad.

INTERPRETACIÓN:

Los datos anteriores demuestran que los proveedores se preocupan e interesan

por guardar la información de sus clientes, para ello ponen en práctica medidas

o mecanismos de seguridad en sus servidores, tanto para registrar, almacenar

y adquirir información.

Respuestas Cantidad Porcentaje

Firewall 75 30%

Bloqueo de IP´S 53 21%

Bloqueo de Usuario 49 19%

Autorización por Correo Electrónico 45 18%

Autorización por Zona 22 9%

Otros 8 3%

Total 252 100% 0

10

20

30

40

50

60

70

80

Em

pre

sas E

ncu

esta

das

Medidas de Seguridad

Gráfico N° 20

Firewall

Bloqueo de IP´S

Bloqueo de Usuario

Autorización por Correo Electronico

Autorización por Zona

Otros

165

21) ¿Cuenta la empresa con seguridad a nivel de red corporativa?

Tabla N° 5.1.21

ANÁLISIS:

El gráfico Nº 21 muestra que las empresas poseen Seguridad a Nivel de red, se

encuentran Firewall con un 38%, Proxy con el 18%, Autenticación de Usuario

con un 33%, Análisis de Tráfico con el 11%.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas tienen red interna y medida

de seguridad para regular y controlar los usuarios que accedan a ella y los

servicios internos que esta posea.

Respuestas Cantidad Porcentaje

Firewall 96 38%

Proxy 46 18%

Autenticación de Usuario 83 33%

Análisis de Trafico 27 11%

Total 252 100% 0

20

40

60

80

100

Em

pre

sa

s E

nc

ue

sta

das

Seguridad de Red Corporativo

Gráfico N° 21

Firewall

Proxy

Autenticación de Usuario

Analisis de Trafico

166

22) ¿A su juicio percibe beneficios que la empresa obtiene al hacer uso de los

Servicios en la Nube?

Tabla N° 5.1.22

ANÁLISIS:

El gráfico Nº 22 muestra que las empresas el 88% SI percibe el beneficio al

hacer uso de los Servicios en la Nube, mientras que el 12% NO lo perciben.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas perciben los beneficios al

hacer uso de los Servicios en la Nube. Las empresas cada dia se convencen

mas de las ventajas que les da los Servicios en la Nube, y cada vez innovan

mas y usan los diferentes Servicios que proporciona la Nube Informática.

Respuestas Cantidad Porcentajes

SI 222 88%

NO 30 12%

Total 252 100%

88%

12%

Gráfico N° 22

SI

NO

167

23) ¿A su juicio considera Usted que se ha minimizado los costos de recursos

tecnológicos de la empresa por el uso de los Servicios en la Nube?

Tabla N° 5.1.23

ANÁLISIS:

El gráfico Nº 23 muestra que un 88% de las empresas consideran que SI se

han minimizado los costos de recursos tecnológicos, mientras que un 12% NO

considera que minimizo sus costos.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas están teniendo una

reducción en su inversión de tecnología como es compra de Hardware y

Software, debido a que usan los Servicios en la Nube y estos les proporcionan

el Software que la empresa necesita, evitándose comprar licencias y programas

con las actualizaciones.

Respuestas Cantidad Porcentaje

SI 222 88%

NO 30 12%

Total 252 100%

88%

12%

Gráfico N° 23

SI

NO

168

24) ¿A su juicio considera que los servicios en la nube hacen más eficiente el

trabajo del personal de la empresa?

Tabla N° 5.1.

ANÁLISIS:

El gráfico Nº 24 muestra que el 100% de las empresas SI consideran que los

Servicios en la Nube hacen más eficiente el trabajo del personal que labora en

ella.

INTERPRETACIÓN:

Los datos anteriores mostrados, revelan que las personas que trabajan en las

empresas están sacándole el mayor provecho a los Servicios en la Nube. Los

líderes de las organizaciones han probado los beneficios que estos les ofrecen

y como resultado su personal se desempeña mejor, aunque ellos estén fuera de

la empresa pueden seguir realizando sus labores sin importar el lugar, hora y

fecha.

Respuestas Cantidad Porcentaje

SI 252 100%

NO 0 0%

Total 252 100%

100%

0%

Gráfico N° 24

SI

NO

169

25) ¿Según su criterio: los servicios en la nube agilizan el desarrollo de

procedimientos administrativos en la empresa?

Tabla 5.1.25

ANÁLISIS:

El gráfico Nº 25 muestra que un 95 % de las empresas SI agilizan el desarrollo

de sus procedimientos en sus labores, mientras que un 5% NO agilizan el

desarrollo.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas que hacen uso de los

Servicios en la Nube si han agilizado el desarrollo en su proceso. Ha hecho que

sean más competitivos en el mercado y esto les ha generado un beneficio

económico.

Respuestas Cantidad Porcentaje

SI 240 95%

NO 12 5%

Total 252 100%

95%

5%

Gráfico N° 25

SI

NO

170

26) ¿Confía en los servicios que brinda el proveedor a su empresa?

Tabla N° 5.1.26

ANÁLISIS:

El gráfico Nº 26 muestra que un 95 % de las empresas SI confían en los

servicios que brinda el proveedor, mientras que un 5% NO confía en ellos.

INTERPRETACIÓN:

Los datos anteriores demuestran que las empresas están satisfechas con el

Servicio que les brinda el proveedor de los Servicios en la Nube y cada vez mas

empresas están confiando en esta nueva tecnología, se están arriesgando a

usarlos y han comprobado sus beneficios.

Respuestas Cantidad Porcentajes

SI 240 95%

NO 12 5%

Total 252 100%

95%

5%

Gráfico N° 26

SI

NO

171

27) ¿Por qué la empresa no hace uso de los servicios en la nube?

Tabla N° 5.1.27

ANÁLISIS:

El gráfico Nº 27 muestra que el 81% de las empresas encuestadas SI hacen

uso de los Servicios en la Nube, mientras que un 19% NO hace uso de ellos.

INTERPRETACIÓN:

Los datos anteriores demuestran que hay una tendencia en las Pequeñas y

Medianas Empresas que están haciendo uso de los Servicios en la Nube. Han

comprobado que esta tecnología no es solamente para la gran empresa, que

ellas también pueden y hacen uso de los Servicios, se han dado cuenta que les

ha funcionado y les ha dado un alto rendimiento en sus labores. Los

proveedores de Servicio en la Nube, se han interesado porque también las

PYMES hagan uso de ellos, brindándoles facilidad y comodidad de pagos.

Respuestas Cantidad Porcentaje Empresas que usan la Nube 252 81% Empresas que no usan la Nube 58 19%

Total 310 100%

81%

19%

Porcentaje de Empresas Encuestadas

Empresas que USAN la Nube

Empresas que NO usan la Nube

172

5.2 Síntesis del Análisis

La tendencia de las encuestas, se inclina a que el 81% de las Pequeñas y

Medianas Empresas encuestadas SI hacen Uso de los Servicios en la Nube,

consideran que les ha ayudado en sus procesos laborales y que sean más

competitivos en el mercado.

Así mismo, muestran satisfacción con los servicios que utilizan ya que son

sencillos y fácil de adaptarse a la nueva tecnología. Las Pequeñas y Medianas

Empresas de los Municipios de Ilopango, Soyapango y San Salvador han

conocido y puesto a prueba los diferentes servicios que se pueden obtener de

la Nube, y han comprobado sus ventajas. El poder conectarse desde cualquier

lugar y desde un dispositivo electrónico les hace desarrollar sus labores diarias

sin inconvenientes.

El 100% de las empresas encuestadas consideran que si es viable la adopción

y adaptación de los Servicios en la Nube. Pese que algunas empresas no

conocían esta nueva tecnología y todo lo que se puede hacer con ella.

5.3 Verificación de Hipótesis

El procedimiento utilizado para la comprobación de hipótesis es el proceso

estadístico denominado media aritmética, aplicada a todos los aspectos que

contribuyen a favor o en contra de las hipótesis específicas y del análisis e

interpretación de estos resultados se llegó a la toma de decisiones relacionadas

con el rechazo o aceptación de las mismas; a partir de considerar el porcentaje

de los instrumentos tanto favorables como desfavorables dividido entre el

número de instrumentos para obtener el promedio general.

173

La comprobación de la hipótesis general se logró por medio de los resultados

de las tres hipótesis específicas, tomando en cuenta la siguiente regla de

decisión: Si la suma del promedio porcentual de los aspectos considerados que

favorecen la hipótesis es igual o mayor al cincuenta por ciento más uno (50% +

1), se acepta la hipótesis; caso contrario se rechaza.

Los cuadros de interpretación de hipótesis se estructuran de la siguiente

manera: consta de tres columnas, la primera contiene el número de pregunta

que corresponde a la hipótesis tratada, la segunda correspondiente al

instrumento al que pertenece dicha pregunta y la tercera los resultados

obtenidos y se encuentra subdividida en los aspectos favorables y

desfavorables.

Para una mejor apreciación de los datos obtenidos se elaboró un cuadro por

cada instrumento relacionando la pregunta con la hipótesis a la que

corresponde y otro donde se establece o asocia los resultados obtenidos de

ambos instrumentos atendiendo la hipótesis en verificación.

5.3.1 Verificación de la Hipótesis Específica Uno

“Los Servicios en la Nube proporcionan una gestión eficiente de recursos de

Hardware y Software de la Pequeña y Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año

2013”.

174

Tratamiento de los resultados del cuestionario administrado a las Pequeñas y

Medianas Empresas.

Tabla N° 5.18

Aceptación o Rechazo de la Hipótesis Específica 1

El promedio favorable es de 92.75% por lo tanto de acuerdo con la fórmula de

decisión explicada al inicio de este capítulo se acepta el enunciado de la

primera hipótesis específica con relación a la hipótesis general

Por lo que se acepta como válido que “Los Servicios en la Nube proporcionan

una gestión eficiente de recursos de Hardware y Software de la Pequeña y

Mediana Empresa de los Municipios de San Salvador, Soyapango e Ilopango,

Departamento de San Salvador en el año 2013”.

5.3.2 Verificación de la Hipótesis Específica Dos

“Los Servicios en la Nube garantizan la seguridad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el año 2013”.

N° de Pregunta Instrumento Resultados

Favorables Desfavorables

22 Cuestionario 88% 12%

23 Cuestionario 88% 12%

24 Cuestionario 100% 0%

25 Cuestionario 95% 5%

Total 371% 29%

Promedio 92.75% 7.25%

175

Tratamiento de los resultados del cuestionario administrado a a las Pequeñas y

Medianas Empresas.

N° de Pregunta Instrumento Resultados

Favorables Desfavorables

3 Cuestionario 98% 2%

14 Cuestionario 69% 31%

16 Cuestionario 72% 28%

17 Cuestionario 81% 19%

19 Cuestionario 67% 33%

26 Cuestionario 95% 5%

Total 482% 118%

Promedio 80.33% 19.67%

Tabla N° 5.21

Aceptación o Rechazo de la Hipótesis Específica 2

El promedio favorable es de 80.33% por lo tanto de acuerdo con la fórmula de

decisión explicada al inicio de este capítulo se acepta el enunciado de la

primera hipótesis específica con relación a la hipótesis general.

Por lo que se acepta como válido que “Los Servicios en la Nube garantizan la

seguridad de aplicaciones y datos de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e Ilopango, Departamento de San

Salvador en el año 2013”.

5.3.3 Verificación de la Hipótesis Específica Tres

“Los Servicios en la Nube aseguran la disponibilidad de aplicaciones y datos de

la Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango

e Ilopango, Departamento de San Salvador en el año 2013”.

176

Tratamiento de los resultados del cuestionario administrado a a las Pequeñas y

Medianas Empresas.

N° de Pregunta Instrumento Resultados

Favorables Desfavorables

7 Cuestionario 49% 51%

10 Cuestionario 45% 55%

12 Cuestionario 93% 7%

Total 187% 113%

Promedio 62.33% 37.67%

Tabla N° 5.21

Aceptación o Rechazo de la Hipótesis Específica 3

El promedio favorable es de 62.33% por lo tanto de acuerdo con la fórmula de

decisión explicada al inicio de este capítulo se acepta el enunciado de la

primera hipótesis específica con relación a la hipótesis general.

Por lo que se acepta como válido que “Los Servicios en la Nube aseguran la

disponibilidad de aplicaciones y datos de la Pequeña y Mediana Empresa de los

Municipios de San Salvador, Soyapango e Ilopango, Departamento de San

Salvador en el año 2013”.

5.3.4 Verificación de Hipótesis General

“Los Servicios en la Nube inciden en las estrategias de seguridad de

aplicaciones y datos de la Pequeña y Mediana Empresa de los Municipios de

San Salvador, Soyapango e Ilopango, Departamento de San Salvador en el año

2013.”.

177

Tratamiento de resultado de Hipótesis Específicas

Hipótesis Específica Resultados

Favorables Desfavorables

Específica 1 92.75% 7.25%

Específica 2 80.33% 19.67%

Específica 3 62.33% 37.67%

Total 235.41% 64.59%

Promedio 78.47% 21.53%

Tabla N° 5.24

Aceptación o rechazo de la Hipótesis General

Para aceptar o rechazar la Hipótesis General de acuerdo al cuadro anterior fue

en relación a los resultados de las hipótesis específicas, cuya comprobación

avala la de la Hipótesis General de la siguiente manera:

El promedio favorable es de 78.47% por lo tanto, de acuerdo con la fórmula

de decisión antes definida se acepta el enunciado de las hipótesis específicas

por un promedio del 21.53% sobre los datos establecidos del 50% más 1.

Por lo que, se acepta como válido que, “Los servicios en la nube y su

incidencia en las estrategias de seguridad de aplicaciones y datos de la

Pequeña y Mediana Empresa de los Municipios de San Salvador, Soyapango e

Ilopango, Departamento de San Salvador en el año 2013”.

178

CAPITULO VI

6. CONCLUSIONES Y RECOMENDACIONES

6.1 CONCLUSIONES

Como resultado de la investigación se concluyó lo siguiente:

Las Pymes son afectadas considerablemente en el evento de un desastre

tecnológico, pudiendo provocarle pérdidas económicas, disminución en

cartera de clientes y hasta el cierre de la empresa.

No obstante lo anterior, las Pymes que formulen un Plan de Recuperación

ante Desastres utilizando un modelo de computación en la nube tendrán un

menor impacto en recuperación ante desastres que aquellas que utilizan un

modelo tradicional, o que no lo tengan siquiera contemplado, con una

inversión relativamente baja.

Adicionalmente se puede concluir de este trabajo de investigación que el

levantamiento de información llevada a cabo en la fase de investigación

previa, o de fundamentación teórica, permitió conocer de manera global la

situación de las Pymes a nivel mundial, nacional y en los Municipios de San

Salvador, Soyapango e Ilopango respecto a los mecanismos utilizados para

proteger su información ante desastres tecnológicos, y la implementación de

planes de recuperación ante estos desastres utilizando a la computac ión en

la nube.

Las Pequeñas y Medianas empresas, de acuerdo a los resultados arrojados

en la fase de diagnóstico, están poco preparadas ante eventos producidos

debido a desastres tecnológicos, y al momento se usan mayoritariamente

medios tradicionales de respaldos, tales como Discos Duros (u otros

179

medios como CD-S y DVDs), duplicación de infraestructura, lo cual resulta

ineficiente y/o costoso.

En las Pymes de los Municipios de San Salvador, Soyapango e Ilopango

existe poco conocimiento sobre los beneficios que puede proveer la

computación en la nube para ellas de manera general, y en cuanto a los

mecanismos que se pueden usar para beneficio de éstas en cuanto a

servicios como los de recuperación ante desastres tecnológicos.

Uno de los beneficios que se tiene al utilizar la computación en la nube para

una recuperación ante desastres tecnológicos es el acceso de red ubicuo,

es decir, desde cualquier dispositivo, así como el poder contar con una

mejor infraestructura de la que se puede tener dentro de la empresa y con el

respaldo de personal técnico mejor preparado para manejar la

infraestructura de Tecnología de la Información que requeriría si estuviera

dentro de las instalaciones de la empresa.

Se puede concluir así mismo que las Pymes, todavía deben sensibilizar a la

alta gerencia sobre la importancia de contar con Estrategias de Seguridad

como por ejemplo con un Plan de Recuperación ante Desastres, y que

pueden apalancarse en los Servicios en la nube.

La elaboración de Estrategias de Seguridad de Aplicaciones y Datos usando

los Servicios en la Nube benefician no solamente a las grandes empresas

sino también a las Pequeñas y Medianas Empresas, cuya implementación

se reflejará en la disminución en el porcentaje de quejas por parte de

usuarios, incremento en el porcentaje de clientes satisfechos, y una mejora

en la imagen de la empresa y mas competitividad en el mercado tanto

nacional como internacional.

180

A raíz del levantamiento de información en la fase de Planteamiento de

Problema se vio la necesidad de elaborar un Cuestionario para Especialistas

del área de los Servicios en la Nube para las Pymes, sino también para las

microempresas, en un formato más simple, pero con la profundidad

suficiente para llevarlo a cabo.

Las Estrategias de Seguridad de Aplicaciones y Datos son propuestas que

irán madurando en las Pymes conforme se difunda al interior de estos

negocios que la inversión en seguridad no es un gasto.

Existe una necesidad por capacitar a todo el personal que estará

involucrado en los Servicios en la Nube, para un mejor manejo de estos y

poder obtener un mayor beneficio al usarlos.

El conjunto de las principales Tecnologías de Información y Comunicación

que necesitan las PYMES nacionales y que Cloud Computing puede ofrecer

está conformado por Herramientas de Productividad (Procesadores de

Texto, Planillas de Cálculo, Agendas, Correo Electrónico), Herramientas de

Colaboración, CRM y ERP. Se observa que para cada uno de estos

servicios, existen diversas alternativas las que se evaluaron de acuerdo a un

conjunto de características técnicas mínimas que los proveedores deben

ofrecer con el fin de garantizar la seguridad de los datos y la disponibilidad

del servicio. A partir de lo anterior se puede sostener que desde el punto de

vista de la funcionalidad, Cloud Computing es una alternativa viable de

implementar en las PYMES.

181

6.2 RECOMENDACIONES

Al haber terminado la investigación se recomienda lo siguiente:

Es importante que las empresas que son Proveedoras de los Servicios en la

Nube tengan un acercamiento con las Pequeñas y Medianas Empresas, es

decir, los Proveedores de Nube deben de considerar a las Pymes como un

potencial mercado a atender no solamente en la provisión de aplicaciones

del tipo SaaS, sino para ofrecer servicios de IaaS y PaaS considerando

costos personalizados diseñados para este segmento que son distintos a los

de Grandes Empresas, pero este mercado no se le está siendo atendido

con más atención/profundidad.

Desde el punto de vista de las Pymes es recomendable que se empleen

Estrategias de Seguridad de Aplicación y Dato fáciles de implementar en

tiempo y costo, y que cuenten con el apoyo de los altos directivos, y cuya

difusión se dé a toda la organización, de lo contrario será una iniciativa que

podría fracasar.

Dado que el presupuesto para seguridad de la información en general es

bajo tanto en las Pymes se recomienda que se incremente este valor, ya

que esto les permitirá estar mejor preparados ante varios de los desastres

tecnológicos.

De igual manera se sugiere que las organizaciones que agrupan a las

diferentes Pymes que organicen asistencias técnicas y capacitaciones a

estos pequeños y medianos negocios sobre esta temática de seguridad de

la información y respaldos y recuperación de información.

Adicionalmente es muy recomendable que exista apoyo del Estado,

juntamente con la empresa privada para proveer lineamientos que permitan

que se pueda acceder a una mejor prestación de servicios de Internet para

llevar a cabo Estrategias de Seguridad usando la computación en la nube.

182

Hoy en día existen varias empresas locales proveedoras de servicios en la

nube que están incursionando en la entrega de soluciones SaaS, y se

recomienda que también provean de soluciones IaaS a las Pymes ya sea

directamente o tercerizando servicios de proveedores más grandes como

Amazon, Google, Microsoft, Rackspace, etc.

La computación en la nube puede ser implementada en las empresas

usando esquemas de nubes privadas, públicas o híbridas, pero para las

Pymes se recomienda que se inicien con nubes públicas debido a la menor

inversión inicial y aprovechamiento de la infraestructura de Proveedor de

Servicio en la Nube.

Dado que uno de los principales factores a tomar en cuenta por parte de las

Pymes para la contratación de un Proveedor de Servicio en la Nube es la

confiabilidad de la empresa así como la seguridad que puedan ofrecer a sus

clientes, se recomienda que se revise detalladamente el SLA que se firmará

entre las partes, de manera que se conozcan los deberes y derechos de

cada uno.

Se recomienda a las Pymes es conocer bien de los Servicios en la Nube y

que tenga una clara definición de ellos para que tenga el conocimiento si

usan o no esta tecnología.

Recomendación a los Proveedores de Servicio en la Nube es realizar más

publicidad de los servicios que ofrece y de quienes son como empresa, para

que tanto la Pequeña como Mediana Empresa conozca más acerca de este

tema y deje de ser visto como un medio inseguro para el resguardo de sus

datos.

183

Finalmente, se recomienda que se haga un seguimiento continuo a la

evolución de la adopción de los Servicios en la Nube como mecanismo de

Estrategias de Seguridad de Aplicación y Dato cuyos resultados beneficiarán

a las Pymes que constantemente no están preparadas para una

eventualidad en la pérdida de su información.

184

BIBLIOGRAFÍA

LIBROS Y FOLLETOS CONSULTADOS:

-Muñoz Campos, Roberto; La Investigación Científica Paso A Paso, Talleres

Gráficos, UCA. San Salvador, 2004, Cuarta Edición.

-Rojas Soriano, Raúl; Guía Para Realizar Investigaciones Sociales, Plaza Y

Valdés, S.A. De .C.V., UNAM. México D.F., 1991, Octava Edición.

-Metodología de la Investigación, Cuarta Edición, Roberto Hernández Sampieri.

-Fredy Antonio Rivas, Guía Metodológica para la Elaboración de

Investigaciones Científicas, El Salvador, 2011, segunda edición

-Clasificación de las Empresas en El Salvador, Iddo José Claros Arana,

Universidad Politécnica de El Salvador.

TESIS CONSULTADAS

-Instrumentos Financieros y medios de pago internacional aplicado para Pymes

en el Salvador. Audrey Stacey Henríquez Cestoni, Leticia Alexandra Guevara

Urbina, Oscar Ernesto Díaz Iraheta, Universidad Dr. José Matías Delgado año

2012.

- Cloud Computing: fundamentos, diseño y arquitectura aplicados a un caso de

estudio. José Manuel Arévalo Navarro, Universidad Rey Juan Carlos año 2011.

DIRECCIONES ELECTRÓNICAS CONSULTADAS

-http://www.portalinformatico.com/newsbook/actualidad/uso-nube-mundo-33-

profesional-88-personal--2012071987113.htm (28 de Junio de 2013)

-AETecno, ¿Latinoamérica está lista para la nube? En

http://tecno.americaeconomia.com/noticias/latinoamerica-esta-lista-para-la-nube

(05 de Julio de 2013)

185

-El origen del término computación en nube o Cloud Computing,

http://cloudprivado.org/el-origen-del-termino-computacion-en-nube-o-cloud-

computing/ (15 de julio de 2013).

-El origen de: El Cómputo en la Nube, http://www.fayerwayer.com/2012/01/el-

origen-de-el-computo-en-la-nube/ (12 de Septiembre de 2013).

-Computación en la Nube, http://es.wikipedia.org/wiki/Computación_en_la_nube

(16 de Noviembre de 2013).

-Computación en Nube, http://www.computacionennube.org/computacion-en-

nube/ (15 de Noviembre de 2013).

-¿Qué es una Plataforma como Servicio (PaaS)?,

http://www.dosideas.com/noticias/actualidad/504-ique-es-una-plataforma-como-

servicio-paas.html (20 de julio de 2013).

- AVANXO BLOGNube pública vs. Nube privada: Ventajas de la computación

en la nube. http://www.avanxo.com/nube-pública-vs.-nube-privada-ventajas-de-

la-computación-en-la-nube.html (15 de Octubre de 2013).

-Computación en la Nube,

http://es.wikipedia.org/wiki/Computación_en_la_nube#Comparaciones (16 de

Noviembre de 2013).

-Cheque Innovación, Cloud Computing para pymes, ¿Qué es y qué ventajas

tiene? http://www.juntadeandalucia.es/economiainnovacioncienciayempleo/chequedein

novacion/blog/2013/01/cloud-computing-para-pymes-que-es-y-que-ventajas-

tiene/ (15 de Octubre de 2013).

186

-Equipo de Redacción. ¿Por qué las Pymes deben mirar hacia la Nube?

http://elempresario.mx/opinion/que-pymes-deben-mirar-hacia-nube (14 de

Noviembre de 2013).

- Michel Stei ert. Cinco pasos clave (y sencillos) para llegar a la nube,

http://www.eleconomistaamerica.pe/actualidad-eAm-

peru/noticias/5313789/11/13/Cinco-pasos-clave-y-sencillos-para-llegar-a-la-

nube1Identificacion-de-una-necesidad-de-negocios-.html (15 de Noviembre de

2013).

-Graciela Marker, Creación de una estrategia para controlar los riesgos de TI,

http://www.gestion.org/gestion-tecnologica/seguridad-

informatica/35219/creacion-de-una-estrategia-para-controlar-los-riesgos-de-ti/

(28 de Octubre de 2013).

-Graciela Marker, La importancia de analizar los riesgos de las TI,

http://www.gestion.org/gestion-tecnologica/seguridad-informatica/35173/la-

importancia-de-analizar-los-riesgos-de-las-ti/ (28 de Octubre de 2013).

-Fernando Moreno –Torres Camy. Arquitectura de Sistemas de I.- Cloud

Computing, http://www.gestion.org/gestion-documental/30940/arquitectura-de-

sistemas-i-cloud-computing/ (30 de Octubre de 2013).

-Plan de Recuperación Ante Desastres,

http://es.wikipedia.org/wiki/Plan_de_recuperación_ante_desastres (30 de

Octubre de 2013).

187

- Paul Kirvan, CISA, CISSP, FBCI, CBCP. De la A a la Z: plan para la

recuperación de desastres (RD) TI,

http://searchdatacenter.techtarget.com/es/cronica/De-la-A-a-la-Z-plan-para-la-

recuperacion-de-desastres-RD-TI (09 de Septiembre de 2013).

-La solución Acronis Cloud,

http://www.acronis.com.mx/solutions/enterprise/cloud.html (03 de Octubre de

2013).

-Project Data. http://www.blackducksoftware.com/resources/data (18 de

Noviembre de 2013).

-Alex Pessó. Oportunidades en la Nube para Latinoamérica,

http://www.americaeconomia.com/analisis-opinion/oportunidades-en-la-nube-

para-latinoamerica (12 de Agosto de 2013).