Sie sind auf Seite 1von 172

vi

NDICE

NDICE ____________________________________________________________ i NDICE DE GRFICOS ______________________________________________ v NDICE DE TABLAS _______________________________________________ vii RESUMEN _________________________________________________________ 1 ABSTRACT ________________________________________________________ 2

INTRODUCCIN ___________________________________________________ 3

CAPTULO I PLANTEAMIENTO DEL PROBLEMA ______________________ 5 1.1. 1.2. 1.2.1. 1.2.2. 1.3. 1.3.1. 1.3.2. 1.4. 1.4.1. 1.4.2. 1.4.3. 1.4.4. Descripcin del problema _______________________________________ 5 Formulacin del problema ______________________________________ 8 Formulacin del problema general ________________________________ 8 Formulacin de problemas especficos _____________________________ 8 Objetivos ____________________________________________________ 8 Objetivo general ______________________________________________ 8 Objetivos especficos __________________________________________ 9 Justificacin del estudio ________________________________________ 9 Factibilidad __________________________________________________ 9 Conveniencia_________________________________________________ 9 Utilidad ____________________________________________________ 10 Pertinencia__________________________________________________ 11

CAPTULO II MARCO TERICO _____________________________________ 13 2.1. 2.2. Antecedentes ________________________________________________ 13 Conceptos de base ____________________________________________ 23

vi 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. Establecimiento de procesos ____________________________________ 25 ISO9001:2000, Gestin de la mejora continua ______________________ 28 ISO/IEC 27002:2008, Gestin de la seguridad de las tecnologas de la informacin y comunicaciones (TIC), Cdigo de prctica _____________ 30 ISO/IEC 20000-2, Gestin de los servicios de TI, Cdigo de prctica ___ 36 ISO/IEC 38500:2008, Gobierno corporativo de la tecnologa de la informacin _________________________________________________ 42 Costo total de propiedad TCO _________________________________ 47 Acuerdo de nivel de servicio ANS______________________________ 49 Auditora, enfoque moderno ____________________________________ 58 Computacin en nube _________________________________________ 60 Caractersticas de la computacin en nube _________________________ 61

2.12.1. Pago por uso ________________________________________________ 61 2.12.2. Abstraccin _________________________________________________ 61 2.12.3. Agilidad en la escalabilidad ____________________________________ 62 2.12.4. Multiusuario ________________________________________________ 62 2.12.5. Autoservicio bajo demanda_____________________________________ 62 2.12.6. Acceso sin restricciones _______________________________________ 63 2.12.7. Virtualizacin _______________________________________________ 63 2.13. Clasificacin de los modelos en nube _____________________________ 67 2.13.1. Modelos de servicio en nube____________________________________ 67 2.13.2. Modelos de despliegue en nube _________________________________ 71 2.13.3. Cargas de trabajo en nube ______________________________________ 76 2.13.4. Modelo de negocio en nube ____________________________________ 83 2.14. Beneficios de la nube _________________________________________ 84 2.14.1. Relativos a la puesta en marcha del servicio _______________________ 84 2.14.2. Relativos a los beneficios econmicos ____________________________ 86 2.14.3. Relativos al uso y la operacin __________________________________ 88 2.15. Riesgos de la computacin en nube ______________________________ 89 2.15.1. Riesgos legales y contractuales __________________________________ 90

vi 2.15.2. Riesgos tcnicos _____________________________________________ 93 2.16. 2.17. Resumen de ideas centrales ____________________________________ 97 Hiptesis __________________________________________________ 102

2.17.1. Hiptesis general ____________________________________________ 102 2.17.2. Hiptesis especficas _________________________________________ 102 2.18. Variables __________________________________________________ 103 2.18.1. Variable Principal / Independiente ______________________________ 103 2.18.2. Variable Secundaria / Dependiente ______________________________ 103 2.18.3. Variable Interviniente ________________________________________ 103 2.18.4. Operacionalizacin de la variable independiente ___________________ 104

CAPTULO III METODOLOGA _____________________________________ 105 3.1. 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.2. 3.2.1. 3.2.2. 3.2.3. Tipo de investigacin ________________________________________ 105 Descripcin del diseo _______________________________________ 105 Tipo ______________________________________________________ 105 Nivel _____________________________________________________ 105 Enfoque ___________________________________________________ 105 Poblacin muestra ___________________________________________ 106 Tcnicas de recoleccin de datos _______________________________ 106 Tcnicas para el procesamiento y anlisis de la informacin __________ 107 Viabilidad _________________________________________________ 107

CAPTULO IV ANLISIS PRELIMINAR ______________________________ 109 4.1. 4.2. 4.3. 4.4. Caso de estudio _____________________________________________ 109 Situacin actual _____________________________________________ 111 Necesidad a satisfacer ________________________________________ 118 Solucin propuesta __________________________________________ 123

vi CAPTULO V RESULTADOS _______________________________________ 127 5.1. 5.2. 5.3. 5.4. Polticas y procesos __________________________________________ 127 Encuestas__________________________________________________ 139 Condiciones de riesgo ________________________________________ 140 Seguridad en la solucin ______________________________________ 141

CAPTULO VI OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES _________________________________________________________________ 143 6.1. 6.2. 6.2.1. 6.3. 6.3.1. Observaciones ______________________________________________ 143 Conclusiones _______________________________________________ 144 Viabilidad de la solucin _____________________________________ 144 Recomendaciones ___________________________________________ 146 Vigencia de la solucin _______________________________________ 147

FUENTES DE INFORMACIN ______________________________________ 148 LISTA DE ABREVIATURAS ________________________________________ 157 GLOSARIO_______________________________________________________ 159 ANEXOS_________________________________________________________ 165

vi

NDICE DE GRFICOS

Figura 1. Elementos de un proceso ______________________________________ 26 Figura 2. Control de la calidad _________________________________________ 27 Figura 3. Modelo de un sistema de gestin de la calidad basado en procesos. _____ 28 Figura 4. Gestin de la seguridad de la informacin. ________________________ 33 Figura 5. Gestin de servicios de las tecnologas de la informacin. ____________ 40 Figura 6. Marco de gobierno de TI. _____________________________________ 43 Figura 7. Proceso de consecucin de expectativas entre proveedor y cliente. _____ 54 Figura 8. mbito de solucin de un Acuerdo de Nivel de Servicio ANS _______ 55 Figura 9. Esquema de virtualizacin de servidores __________________________ 65 Figura 10. Esquema de virtualizacin de almacenamiento. ___________________ 66 Figura 11. Esquema del modelo infraestructura como servicio. ________________ 70 Figura 12. Esquema de gestin de los diferentes modelos de servicio. __________ 71 Figura 13. Esquema de Nube. __________________________________________ 72 Figura 14. Hipervisor vulnerado generando ataques entre VM. ________________ 96 Figura 15. Principales servicios publicados por MINEDU. __________________ 110 Figura 16. Condicin, distribucin y orientacin de equipos utilizados en MINEDU. _____________________________________________ 112 Figura 17. Distribucin de sistemas operativos utilizados por MINEDU. _______ 114 Figura 18. Distribucin de nodos remotos de MINEDU a nivel nacional. _______ 117 Figura 19. Esquema de toma de decisiones. ______________________________ 124 Figura 20. FODA situacional del centro de datos de MINEDU. ______________ 125

vi Figura 21. Estrategias propuestas para el centro de datos de MINEDU. ________ 126 Figura 22. Esquema propuesto de arquitectura con base en la NTP ISO/IEC 27001. ________________________________________________ 129 Figura 23. Arquitectura propuesta, con base en la NTP ISO/IEC 27001. _______ 138 Figura 24. Arquitectura propuesta, con base en la NTP ISO/IEC 27001. _______ 141

vi

NDICE DE TABLAS

Tabla 1. Ventajas e inconvenientes de la nube pblica. ______________________ 73 Tabla 2. Ventajas e inconvenientes de la nube privada. ______________________ 74 Tabla 3. Ventajas e inconvenientes de la nube comunitaria. __________________ 75 Tabla 4. Carga de trabajo. _____________________________________________ 81 Tabla 5. Ejemplos de carga de trabajo. ___________________________________ 97 Tabla 6. Tecnologas estratgicas. _____________________________________ 101 Tabla 7. Costos asociados a la investigacin. _____________________________ 108

RESUMEN

Se presenta el diseo de una arquitectura de infraestructura tecnolgica que permita a una entidad pblica peruana, como el Ministerio de Educacin, alcanzar los beneficios planteados por el modelo de computacin en nube privada, dentro de un marco de seguridad de la informacin, a la vez que propicia la eficiencia de su implementacin, y efectividad de los resultados esperados, todo en cumplimiento del marco regulatorio del gobierno. Se realiz una investigacin documental de fuentes secundarias para precisar conceptos y trminos referidos a la computacin en nube, ahondando en el mbito de la seguridad de la informacin, y para identificar experiencias relacionadas en los planos nacional e internacional. Asimismo, se realiz una investigacin cualitativa al encuestar a jefes de departamento de TI de ministerios locales, y se incorpor a diferentes fabricantes con presencia local quienes, con su juicio experto aunque sesgado, avalaron la factibilidad tcnica de la arquitectura propuesta a la institucin, mediante la presentacin de sus respectivas propuestas econmicas condicionadas a su enfoque tecnolgico. Esta investigacin ha permitido evaluar diferentes controles y modelos de gestin de tecnologas de la informacin enmarcadas en la seguridad de la informacin, los que se consideran apropiados para su posible implementacin en la institucin.

ABSTRACT

The main objective of this work is to present a design of architecture of technology infrastructure, following the model of private cloud computing, that allows reaching the benefits claimed for this model, within a framework of security and efficiency, which complies with government regulations, and suits a public entity as the Ministry of Education of Per.

INTRODUCCIN

Se sabe que el modelo de computacin en nube propugna el uso racional y eficiente de los recursos informticos para minimizar el impacto negativo de la tecnologa sobre el medio ambiente y maximizar su viabilidad econmica mediante la reduccin del TCO, as como velar por la responsabilidad social.

Tambin se sabe que las organizaciones del sector pblico difieren de las del sector privado en sus objetivos y ahorro de costos, ya que sus principios fundamentales son, ante todo de naturaleza social, en la transparencia con la que deben operar, y tambin estn obligados a crear sistemas sostenibles.

El Ministerio de Educacin es un referente en el sector pblico, por el nmero de usuarios que se gestiona a nivel nacional en el sector, el procesamiento de la nmina del personal docente, la informacin histrica que se debe mantener del rendimiento de los alumnos y la evaluacin docente, y el control de las bases de datos de todas las instituciones educativas a nivel nacional.

Por lo tanto, se recomienda al Ministerio de Educacin la adopcin del modelo de computacin en nube privado, con el fin de garantizar el control, la centralizacin, la concentracin, la normalizacin, y los niveles de seguridad y escalabilidad de una plataforma tecnolgica moderna, flexible e integrada, de alto rendimiento y capacidad

4 para apoyar el despliegue del modelo educativo nacional promulgado por el Estado peruano.

El objetivo general de este trabajo es desarrollar para el Ministerio de Educacin un diseo de arquitectura de una nube privada segura y eficiente centrada en la infraestructura, y considerando el marco regulatorio, tal que le permita alcanzar los beneficios planteados.

CAPTULO I PLANTEAMIENTO DEL PROBLEMA

1.1. Descripcin del problema

Una arquitectura de tecnologa de informacin (TI) provee un programa estratgico general para el desarrollo e implementacin de infraestructura de TI e incluye los estndares y las guas que orientan el uso de tecnologas y el diseo, configuracin, administracin y evolucin de los componentes de infraestructura que constituyen una solucin para un determinado organismo.

Una arquitectura de TI considera la capacidad de almacenamiento, de red, y de operaciones, as como su racionalizacin, entrega y despliegue, que sean ms adecuados para dicha solucin, a la par que evala sus ventajas e inconvenientes. Con base en unos requisitos claros se busca la mejor solucin de ingeniera que se adapte a estos requisitos, desde los puntos de vista funcional y tcnico.

En el Foro de intercambio de experiencias en migracin a fuentes abiertas para las administraciones pblicas (Centro Nacional de Referencia de Aplicacin de las Tecnologas de Informacin y la Comunicacin basadas en Fuentes Abiertas CENATIC, 2011), se menciona que los organismos del sector pblico difieren de los del sector privado en sus objetivos (ahorro de costos por ejemplo) o principios

6 fundamentales (de carcter social principalmente), en la transparencia con la que deben actuar, y adems estn obligados a la creacin de sistemas sostenibles

La Comisin Europea (Comisin Europea, 2010), al promover una plataforma de interoperabilidad con base en SOA (Service-Oriented Architecture), siendo referente entre los estados miembro la OASIS (Organization for the Advancement of Structured Information Standards -OASIS, 2006), recomienda a las administraciones pblicas desarrollar un modelo de servicio basado en componentes, lo que permite el establecimiento de servicios pblicos mediante la reutilizacin, tanto como sea posible, de componentes de servicios existentes.

Esta Comisin recomienda a las administraciones pblicas ponerse de acuerdo en un esquema comn para interconectar los componentes de servicios dbilmente acoplados y poner en marcha la infraestructura necesaria cuando se establecen servicios pblicos

En el Per, la Ley de Contrataciones del Estado Peruano (Ley 29873) rige las adquisiciones tanto de bienes como de servicios. La aplicacin de dicha ley est particularmente enfocada en condiciones de conveniencia administrativa o legal y deja de lado una real conveniencia funcional y tcnica. Dicha ley no considera que en el segmento de tecnologa de cmputo, ampliamente globalizado, el mercado es quien rige finalmente el precio de los bienes y servicios relacionados.

7 Dejando de lado el nfasis del mercado en ciertas tendencias la condicin anterior hace que las empresas del sector pblico desechen alternativas tecnolgicas modernas y viables cuya aplicacin redundara en que el estado peruano en su conjunto se modernice, economice y realmente despegue en su compromiso con lo siguiente:

Las diferentes normas internacionales ISO (International Organization for Standarization).

Las normas tcnicas peruanas como la Norma Tcnica Peruana NTP ISO 9001:2000, Gestin de la mejora continua; NTP ISO/IEC 20000-1:2012 (International Organization for Standarization/International

Electrotechnical Commission), Gestin de los servicios; NTP ISO/IEC 27001:2008, Gestin de la seguridad de la informacin. Los diferentes acuerdos y tratados internacionales como TLC (Tratado de Libre Comercio) que el Per est firmando. Por ejemplo, la tecnologa y alcances subyacentes en el paradigma de computacin en nube, que permite reducir el CAPEX (Capital expenditure) y OPEX (Operational Expenditure), as como apoyar la propia Ley N 27446 (Sistema Nacional de Evaluacin del Impacto Ambiental), no pueden ser considerados por cuanto no se cuenta con el marco legal real para obtener sus ventajas.

8 1.2. Formulacin del problema

1.2.1. Formulacin del problema general

En qu medida una nube privada segura puede desarrollarse en el sector pblico peruano?

1.2.2. Formulacin de problemas especficos

Cul es valor de implementar una nube privada segura en el sector pblico?

Cules son los componentes de una infraestructura de nube privada segura para el sector pblico peruano?

1.3. Objetivos

1.3.1. Objetivo general

Disear la infraestructura tecnolgica de una nube privada segura y eficiente para el sector pblico peruano, personalizado para el Ministerio de Educacin, y con proyeccin al siguiente quinquenio.

9 1.3.2. Objetivos especficos

Identificar los componentes de seguridad que generan valor en el diseo de la infraestructura de una nube privada.

Definir los componentes de una infraestructura de nube privada adecuados para el sector pblico peruano, desde el punto de vista de la seguridad de la informacin.

1.4. Justificacin del estudio

1.4.1. Factibilidad

El presente estudio slo se enfoca en la investigacin tecnolgica de tipo cualitativa de alternativas viables con el objetivo de desarrollar una alternativa o mezcla de alternativas que mejor se adapte a la realidad de una institucin pblica en Per como es el Ministerio de Educacin; por tanto, no hay costos involucrados por implementacin.

1.4.2. Conveniencia

Se busca evitar que las empresas del sector pblico desechen alternativas tecnolgicas modernas y viables cuya aplicacin correcta y adecuada, alineada con su

10 finalidad pblica, redundara en que el estado peruano en su conjunto se modernice y economice costos.

Es posible, incluso, con base en este trabajo, la formacin de una nube comunitaria del Estado Peruano, conformado por las nubes privadas de los diferentes poderes del estado y ministerios.

1.4.3. Utilidad

Se busca presentar un marco de referencia para la implementacin del modelo de computacin en nube en una entidad pblica peruana, como es el caso del Ministerio de Educacin, que mantiene una planilla salarial de las ms altas en el sector pblico y presta servicios a nivel nacional para beneficio de un total aproximado de 6 800 0001 alumnos y 600 000 profesores.

Se ha logrado propiciar la implementacin futura de una plataforma tecnolgica moderna, flexible e integrada, segura y de alto rendimiento y capacidad para apoyar

Aproximadamente 1 700 000 familias a nivel nacional, considerando un promedio de cuatro (04) hijos por familia. Datos obtenidos de Censos Nacionales 2007: XI de Poblacin y VI de Vivienda. INEI.

11 el despliegue del modelo educativo nacional promulgado por el Estado Peruano y plasmado en su ROF-MED20062.

1.4.4. Pertinencia

Luego de una etapa inicial de investigacin, no se ha encontrado informacin respecto de una evaluacin similar previa, realizada en una entidad pblica peruana.

En el plano nacional, el Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE3, ha contratado para su plataforma tecnolgica a un proveedor de servicios de CENTRO DE DATOS CENTRALIZADO, bajo el esquema de pago por equipamiento requerido. Es principalmente un hosting de infraestructura, plataforma y servicios.

2 3

http://www.minedu.gob.pe/normatividad/reglamentos/ROF-MED2006.php FONAFE es una empresa de Derecho Pblico adscrita al Sector Economa y Finanzas creada por la Ley No. 27170, que fue promulgada el 08/09/1999. Cuenta con un Directorio conformado por seis miembros, todos ellos Ministros de Estado de los siguientes sectores: Economa y Finanzas; Transportes y Comunicaciones; Vivienda, Construccin y Saneamiento; Energa y Minas; el Ministro a cuyo sector est adscrito PROINVERSIN; y, Presidencia del Consejo de Ministros. http://www.fonafe.gob.pe/portal?accion=c&t=13&i=128&n=2&o=105&m=2

12 Recientemente el Poder Judicial ha construido un moderno centro de datos para albergar su renovada plataforma tecnolgica, sin embargo los servicios son entregados a travs de su intranet.

Existe por parte de Instituto Nacional de Tecnologas de la Comunicacin (INTECO, Espaa) y del National Institute of Standards and Technology (NIST, USA) sendas investigaciones relacionadas con el empleo del modelo nube en entidades pblicas, pero son estudios generales y de alto nivel.

El presente trabajo se plantea con carcter orientador, especfico y concreto, enfocado en la infraestructura, pero sin atarse a productos especficos de ningn fabricante o proveedor de servicios.

13

CAPTULO II MARCO TERICO

2.1. Antecedentes El padre de la inteligencia artificial, John McCarthy4, dijo en 1961 que si los equipos del tipo que he defendido se convierten en las computadoras del futuro, entonces algn da la computacin podr organizarse como un servicio pblico al igual que el sistema telefnico es un servicio pblico.... La computadora como servicio bsico5 podra convertirse en la base de una industria nueva e importante (Wikipedia, 2012). Esta es una referencia, de las ms antiguas, relacionadas con el paradigma de servicio que promulga la computacin en nube.

En el artculo Utility Computing de la revista especializada Search Data Center (Rouse, Utility computing, 2007), el autor establece que es conveniente aclarar que la computacin como servicio bsico es un modelo de provisin de servicios en los que un prestador de servicios pone recursos de computacin y la gestin de la infraestructura a disposicin del cliente, segn sea necesario, y les cobra para el uso

Parte de su disertacin durante el Centenario del MIT en 1961 (http://en.wikipedia.org/wiki/John_McCarthy_%28computer_scientist%29). Al igual que el agua, transporte o electricidad. [Nota de los autores].

14 especfico en lugar de una tarifa fija; sin embargo, este concepto no es similar al de computacin en nube.

La computacin como servicio bsico se puede implementar en formas diferentes a la computacin en nube; por ejemplo, considere la posibilidad de una supercomputadora que alquila tiempo de procesamiento a mltiples clientes: un lugar y sin virtualizacin de recursos, por lo que no puede ser llamado computacin en nube. Aunque la computacin en nube apoya la computacin como servicio bsico, no toda la computacin como servicio bsico se basa en la nube (Manzalin, 2012).

La nube se refiere a los recursos y aplicaciones que estn disponibles en Internet u otra red a travs de cualquier dispositivo que se conecta a Internet o a otra red. El trmino nube se origina a partir de los diagramas que se utilizan a menudo para describir los alcances y capacidades de Internet (Minkiewicz, 2011), se usa como una metfora de Internet (Computacin en Nube, 2013), y define bastante bien la aparente imposibilidad de establecer donde se encuentran fsicamente los datos con los que se trabajan (Jos Antonio, 2010).

El National Institute of Standards and Technology (NIST) (Mell, Peter; Grance, Timothy, 2011), define que la computacin en nube es un modelo [un nuevo paradigma dominante de prestacin dinmica de servicios de negocio y tecnologa altamente automatizada que representa para muchas empresas e instituciones del estado, sobre todo, cambios tecnolgicos fundamentales y hasta cambios en el perfil y

15 competencias de la fuerza laboral] que propugna el acceso de forma conveniente, desde cualquier sitio y bajo demanda [ya que se paga por su consumo lo que potencialmente reduce el CAPEX aunque incrementa el OPEX, por lo que una organizacin podra elegir trasladar a la nube slo una parte de sus funciones referidas a las tecnologas de la informacin (Minkiewicz, 2011)], a un conjunto compartido de recursos informticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios [como un catlogo de servicios estandarizados y responder con ellos a las necesidades de su negocio, de forma flexible y adaptativa (Wikipedia, 2013)]) que se pueden provisionar y desplegar rpidamente [cuando los propios medios no son capaces de satisfacer las demandas hay que pensar en nuevas formas de proveer las tecnologas de la informacin] con un mnimo esfuerzo de gestin o interaccin del proveedor de servicios [los servicios mismos o la carretera de comunicaciones hacia estos servicios].

La IEEE Computer Society (Computing Now, 2009), perteneciente al Institute of Electrical and Electronics Engineers (IEEE), tambin sostiene que en las reas de tecnologa de la informacin, los costos usualmente estn referidos a gestionar equipos (OPEX) y no slo a adquirirlos (CAPEX). Recordemos, por ejemplo, el tiempo, esfuerzo, experiencia y dinero que demanda la implementacin y configuracin de equipos y sistema operativo, su aseguramiento fsico y lgico, el afinamiento del rendimiento de equipos, herramientas de software, bases de datos, entre otros aspectos importantes.

16 Asimismo, la IEEE presenta algunas interrogantes: qu significa escribir aplicaciones para la computacin en nube? En qu son diferentes de los modelos tradicionales? Presumiblemente, deben ser elsticas (escalar de unos pocos usuarios o nodos a un gran nmero de ellos), deben ser entregadas en demanda sin dependencias significativas, seguir el modelo SOA, y as sucesivamente.

En el artculo If it is not Interoperable, If it is not Portable, It is not Cloud (Daz, 2011), el autor declara que se debe desarrollar un plan estratgico el cual, bien pensado, permitir a cada nuevo servicio en la nube, a partir de un servicio anterior, convertirse en una parte integral de la organizacin.

Contina afirmando Daz que este plan estratgico tambin establecer los criterios para los servicios y la facilidad de integracin e interoperabilidad de los servicios [una facilidad de integracin de los servicios en la nube con los servicios existentes dentro de la empresa reduce costos], y portabilidad de los datos [porque permite la flexibilidad de los servicios entre los proveedores de servicios, y NIST concuerda con que estos puntos de interoperabilidad y portabilidad son clave para que el gobierno de Estados Unidos de Norte Amrica confe en mover sus aplicaciones a la nube].

Discutir estos puntos es muy importante, no slo los referidos a estndares, que promovern la igualdad de condiciones entre los proveedores de servicios en nube y darn a los consumidores de servicios de nube una serie de diferentes opciones en el

17 mercado y la confianza de que sus datos y aplicaciones funcionarn en cualquier nube (Fang, Jin, Mao, & et.all, 2011).

Daz Contina afirmando que es probablemente la discusin ms importante para el xito a largo plazo de la nube y, en la mayora de los casos, usualmente no se le da la importancia debida y hasta ignora. Si se ignora, es un rea que puede causar un gran impacto ms adelante a medida que sean considerados nuevos servicios, como son costos exorbitantes de integracin y tiempos prolongados de implementacin. En el plan, pueden mapearse los servicios especficos a considerar para su uso en nube y las dependencias de los servicios existentes dentro de la empresa, y establecer los niveles de seguridad y privacidad de los datos. Con esta informacin se podr recomendar confiadamente el tipo de proveedor en la nube y el modelo de servicios en nube que se requiera.

Muchas organizaciones se estn dando cuenta que su infraestructura de TI existente no es suficiente para mantenerse al da con la dinmica de los datos en crecimiento, las expectativas de los usuarios finales y las rpidamente cambiantes demandas del negocio. Para que las organizaciones tengan xito con la computacin en nube deben tener visibilidad, control y automatizacin a travs de toda la infraestructura empresarial y la cadena de valor de la prestacin de servicios (Selvakumar, 2011).

18 Considerando preocupaciones de alto nivel con respecto a la continuidad del negocio, la IEEE piensa en voz alta: Realmente puedo confiar en que el proveedor de la nube estar siempre ah?

IBM (IBM Global Services, 2011) concuerda con que en la actualidad este nuevo paradigma de computacin en nube se ha convertido en un imperativo con el potencial, si no la promesa, de transformar el cmo es capturado y entregado el nuevo valor del negocio, con velocidad y destreza sin precedentes, de reducir los costos laborales y el hardware subutilizado. Un punto de partida para negocios complejos con infraestructura importante es aprovechar las tecnologas de nube privada para optimizar sus centros de datos y reducir la tasa de error de los sistemas informticos; y, Oracle (Oracle, 2013) agrega, para transformar la manera en que se disean, construyen y ofrecen las aplicaciones.

Sin embargo, HP (HP, 2011) sostiene que es importante notar que todos los servicios no son iguales; cada uno tiene sus propios requisitos en trminos de rendimiento, seguridad, control y disponibilidad. El objetivo de toda organizacin debera tender a combinar la computacin en nube con su tradicional infraestructura de tecnologas de la informacin a fin de crear un modelo relacionado que se adece mejor a la organizacin, considerando la manera en que se construye la nube, se consumen los servicios en nube, se gestionan y aseguran los servicios para obtener una ventaja competitiva, y se transforman las aplicaciones y la infraestructura.

19 En Enterprise Risk Management for Cloud Computing (Horwarth, Crowe; Chan, Warren; Leung, Eugene; Pili, Heidi, 2012), los autores alertan que aplicar soluciones de computacin en nube sin el cuidado apropiado, debidamente diligenciadas, y sin control, son causa de futuros problemas. Utilizada apropiadamente con las necesarias precauciones y controles implementados, como los aplicados con el marco de gobierno de la Committee of Sponsoring Organizations of the Treadway Commission (COSO), la computacin en nube podra conducir a una multitud de beneficios, algunos an por descubrir.

El documento contina afirmando que los ejecutivos, al percatarse mejor de los riesgos y otros aspectos relacionados con la computacin en nube, estn en mejor posicin para lograr los objetivos de la organizacin ya que pueden manejar los riesgos en este ambiente dinmico y evolutivo que posiblemente se convierta en el modelo de computacin ms popular del futuro.

Segn el informe Privacy in Cloud Computing (Telecommunication Union, Telecommunication Standardization Bureau, ITU-T, 2012), la dimensin global de la computacin en nube requiere de metodologas y soluciones tcnicas estandarizadas que permitan a los grupos de inters evaluar riesgos de privacidad y establecer los niveles de proteccin adecuados. En los servicios en nube, la implementacin de tecnologa que incremente la privacidad depender de la disponibilidad de estndares para evaluar los riesgos de privacidad y medios para asegurar el cumplimiento de la proteccin de datos.

20 En Cloud Security and Privacy (Mather, Tim; Kumaraswamy, Subra; Latif, Shahed, 2009), se nos recuerda que la computacin en nube es un modelo diferente de hacer las cosas, no una nueva tecnologa. Sin embargo, es preciso aclarar que para el Estado, relacionado con la adquisicin de bienes, un nuevo paradigma para utilizar dicho modelo en nube podra no ser un asunto de fcil entendimiento y esto generara una barrera importante para su adopcin correcta.

En Cloud security: A comprehensive guide to secure cloud computing (Krutz, 2010), el autor concluye que el nivel adecuado de tecnologa desplegada o procesos implementados permiten a una empresa pblica adoptar el modelo de computacin en nube con confianza.

En Cloud Computing For Dummies (Hurwitz, Judith; Bloor, Robin; Kaufman, Marcia, 2010), los autores aconsejan a las empresas que planean utilizar servicios en nube comprobar que existen servicios de seguridad especficos y bien definidos, ya que se requieren muchos niveles de seguridad en el ambiente de nube; as, se necesita que exista una infraestructura de seguridad entendible y consistente en todos los niveles y tipos de servicios en nube.

En Private Clouds for Dummies (Hurwitz & Kaufman, 2011), los autores recomiendan a las organizaciones considerar si se desea contar con una manera ms flexible de utilizar los recursos existentes, establecer claramente las caractersticas de las cargas de trabajo que estas soportan, el modo en que se implementarn las

21 polticas de seguridad en la nube. Estos puntos son particularmente importantes en una empresa pblica por cuanto existen aspectos legales, contractuales y de garanta que se deben resolver, incluso en el tiempo, por las caractersticas de desarrollo e implementacin de los actuales sistemas de informacin y su orientacin, y porque se debe determinar claramente si en la nube se puede dar cumplimiento a los requerimientos legales peruanos de auditora y registro de datos.

La empresa consultora McKinsey & Company, en un informe preparado para la empresa EMC2 (EMC2, 2010), fabricante de sistemas de almacenamiento en disco de clase empresarial, lleg a cuatro conclusiones principales con respecto a la nube:

Las inquietudes por la confianza deberan dejar de ser una barrera para adoptar la nube. Muchas de las inquietudes comunes son exageradas o, dados los avances en la tecnologa de administracin de nubes, simplemente obsoletas.

En realidad, las nubes privadas e hbridas pueden ser ms seguras y confiables que los ambientes tradicionales de tecnologas de informacin. La nube pblica sigue presentando riesgos materiales para datos confidenciales y aplicaciones crticas.

Una organizacin maximiza los beneficios para el negocio al determinar el destino ms econmico y confiable para cada carga de trabajo

22 individual (por ejemplo, un conjunto de aplicaciones relacionadas y sus datos). En ltima instancia, la nube hbrida ofrece la mayor flexibilidad y beneficio, pero la nube privada es el primer paso natural y un destino predeterminado razonable para la mayora de las cargas de trabajo en la actualidad, que pueden ser estacionales, con especial atencin a la naturaleza y el flujo de la informacin para evaluar una posible transferencia a una nube pblica considerando previamente la factibilidad funcional y los beneficios de esta transferencia. El director de Cloud Computing de Dell Mxico (Kat, 2011) enfatiz que es importante entender dnde est parada cada organizacin en su camino a la nube (aplicaciones heredadas, la complejidad de la gestin de recursos humanos y tecnologa, los procesos de negocio que no estn bien definidos, la innovacin con menores presupuestos, el acceso limitado y la dificultad de la colaboracin entre colegas, grupos de trabajo y clientes) antes de emprender la adopcin de este esquema de oferta de soluciones, ya que no todas las aplicaciones o cargas de trabajo pueden estar en la nube. Hay que hacer, dijo, una auditora para saber cules s y cules no. Adems, hay que migrar de manera gradual.

En el informe Seguridad y resistencia en las nubes de la Administracin Pblica (European Network and Information Security Agency -ENISA, 2011), se afirma que la falta de gobernanza y control sobre operaciones que involucran las

23 tecnologas de la informacin y el posible incumplimiento de leyes y normativas son considerados problemas de seguridad para la aplicacin del modelo de computacin en nube pblica. En su opinin, aspectos relacionados con la ubicuidad de datos, gestin de los niveles de servicio que no son directamente controlados, control ineficiente de la infraestructura de comunicaciones, son algunos aspectos a considerar.

En Securing the Cloud: Cloud Computer Security Techniques and Tactics (Winkler, 2011), el autor concluye que, dependiendo cmo se adopte el modelo en nube o como se entreguen los servicios basados en dicho modelo, con la apropiada seguridad, no hay razn para que la seguridad en nube no deba ser igual o pueda exceder las implementaciones tradicionales de tecnologas de la informacin.

2.2. Conceptos de base

Como se ha mencionado anteriormente, NIST ha definido el nuevo paradigma de computacin en nube como un modelo para permitir el acceso de forma conveniente, desde cualquier sitio y bajo demanda a recursos informticos que se pueden provisionar y desplegar rpidamente con un mnimo esfuerzo de gestin o interaccin del proveedor de servicios.

24 En otras palabras, y considerando el contexto econmico, resulta ventajoso poder convertir las inversiones en gastos recurrentes: contratar el servicio que sea requerido en la dimensin necesaria y justa.

Sin embargo, debemos considerar que, si bien este modelo puede significar una fuente reduccin de gastos de inversin (menor CAPEX, mayor OPEX), tambin puede generar riesgos para los usuarios (INTECO, 2011).

Como riesgo identificado por el Instituto Nacional de Tecnologas de la Comunicacin de Espaa (INTECO) est la posible falta de control respecto a dnde est ubicada realmente la informacin: si bien el modelo es un entorno compartido de recursos, es indispensable el aislamiento de la informacin. Esto nos lleva a considerar el contar con adecuados controles de acceso y polticas de auditoria implementadas en la plataforma.

Todo lo anterior conlleva a preguntarse quin gestiona o controla el servicio? La respuesta es que esta gestin es una responsabilidad compartida entre el proveedor y el cliente, desde diversos ngulos y en diferentes grados, de acuerdo con el modelo nube elegido.

A continuacin revisaremos algunos conceptos intrnsecamente relacionados con el control y la gestin.

25 2.3. Establecimiento de procesos

Trabajar con procesos es la base para la norma ISO 9001 y las siguientes que trataremos. Esto supone un completo sistema de gestin organizado con base en procesos de gestin de servicio, polticas, objetivos y controles.

Con la Figura 1 siguiente recordamos los elementos de un proceso.

Se aprecia que existen requisitos que deben ser satisfechos sobre la base de ciertos atributos que el cliente, interno o externo, desea. Para lograr los atributos deseados es necesario gestionar la calidad del producto o servicio ofrecido.

Una caracterstica es un rasgo diferenciador que puede ser de muchos tipos: fsico; sensorial; comportamiento; tiempo; otros. Un requisito es una necesidad o expectativa establecida, implcita u obligatoria, cuantitativa o cualitativa.

26

Fuente: elaboracin propia Figura 1. Elementos de un proceso

La Figura 2 (Kilian Zambrano D., 2008) muestra un esquema de un sistema de control de calidad. Segn ISO 9000, la calidad se define como el grado en el que un conjunto de caractersticas inherentes cumple con los requisitos.

27

Adaptacin de un grfico de Kilian Zambrano Figura 2. Control de la calidad

Un sistema de gestin de la calidad es el conjunto de normas interrelacionadas de una empresa u organizacin por el cual se administra de forma ordenada la calidad de la misma, en la bsqueda de la satisfaccin de sus clientes. Generalmente incluye el establecimiento de la poltica de la calidad y los objetivos de la calidad, as como la planificacin, el control, el aseguramiento y la mejora de la calidad.

El nfasis en procesos y gestin de la calidad es la base para el desarrollo de las normas que trataremos a continuacin.

28 2.4. ISO9001:2000, Gestin de la mejora continua

Sobre la norma ISO 9000 (ISO, 2013), y normas relacionadas o similares, se debe tener en cuenta que los sistemas de gestin de la calidad o mejora continua no solucionan los problemas de las organizaciones, es uno quien los soluciona con la aplicacin eficaz de estos sistemas.

En la Figura 3 se muestran los conceptos bsicos que comprende esta norma.

Adaptacin de un diagrama de la norma ISO Figura 3. Modelo de un sistema de gestin de la calidad basado en procesos.

29 Se aprecia en la figura anterior la interrelacin de los ocho conceptos fundamentales de la gestin de la mejora continua: enfoque al cliente; liderazgo en la empresa; participacin del personal; enfoque en procesos; enfoque de sistemas para la gestin; mejora continua; toma de decisiones basada en hechos; relaciones mutuamente beneficiosas con los proveedores.

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son los siguientes:

Optimizacin de los recursos. Los ms altos niveles de eficiencia. Mejora en la produccin. Estandarizacin de procesos. Procesos de calidad garantizada. Igualdad tcnica de productos y/o servicios. Elaboracin de manuales y procedimientos. Estandarizacin y optimizacin de los mtodos de trabajo. Mejores mtodos de medicin y control. Mayor uniformidad en el trabajo.

30 Reconocimiento, competencia, ventaja competitiva. Alineamiento de procesos con objetivos del negocio. Gestin por indicadores. Menor tiempo de llegada al mercado. Mayor satisfaccin de los clientes. Consistencia en la calidad del producto/servicio que recibe el cliente.

2.5. ISO/IEC 27002:2008, Gestin de la seguridad de las tecnologas de la informacin y comunicaciones (TIC), Cdigo de prctica

La norma ISO/IEC 27002:2008 (ISO, 2013) de la International Organization for Standardization/International Electrotechnical Commission, no es una norma tecnolgica. Ha sido redactada de forma flexible e independiente de cualquier solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto a la tecnologa y a las soluciones disponibles en el mercado.

En el contexto de este estndar, el trmino informacin incluye a todas las formas de datos, documentos, comunicaciones, conversaciones, mensajes, registros, grabaciones, fotografas. Incluye todo desde datos digitales y correo electrnico hasta faxes y conversaciones telefnicas. Es decir, incluye todas las formas de informacin, no solo las relacionadas con las tecnologas de la informacin.

31 Tradicionalmente la seguridad de la informacin est definida en el contexto de la preservacin de la confidencialidad, integridad y disponibilidad.

La confidencialidad tiene que ver con autorizaciones, no se ve lo que no se supone que pueda ser visto; la integridad con que los datos se mantienen sin cambios durante su almacenamiento o transmisin, los cambios se realizan sujetos a una autorizacin previa, y/o que cualquier cambio es detectado y probado; y la disponibilidad con que los usuarios autorizados tengan acceso a la informacin y activos asociados cuando lo requieran, esto significa que los sistemas informticos utilizados para almacenar y procesar la informacin, los controles de seguridad utilizados para protegerlos, y los canales de comunicacin utilizados para acceder a stos deben estar funcionando correctamente.

Es por tanto necesario identificar, clasificar, tratar, valorar riesgos, asignar roles y responsabilidades, implementar controles y proteger la informacin, as como todo equipo que se utilice para su almacenamiento, transmisin y procesamiento. Esto conlleva, entre otros aspectos, a lo siguiente:

Definir la Poltica de seguridad de la informacin, las normas de apoyo y procedimientos de ejecucin requeridos.

Generar conciencia.

32 Difundir y capacitar de forma apropiada y continua, incluyendo el entrenamiento que pueda ser requerido. Interiorizacin de la importancia de la seguridad de la informacin. Monitorizar y mantener la efectividad de la Poltica de seguridad de la informacin. Recientemente tambin son relevantes:

La autenticidad, la garanta de que un mensaje, transaccin o intercambio de informacin es genuino proviene de la fuente que dice ser, lo que implica una prueba de la identidad.

La rendicin de cuentas, que es el reconocimiento y asuncin de responsabilidad por las acciones, productos, decisiones, y polticas, incluso la administracin, la gobernanza y la aplicacin en el mbito de la funcin o puesto de trabajo y que abarca la obligacin de informar, explicar y responder por la consecuencias resultantes.

La confiabilidad, que es la capacidad de un sistema o componente para realizar sus funciones requeridas bajo condiciones establecidas durante un perodo determinado de tiempo.

33 El no repudio, que implica que una parte de una transaccin no puede negar haber recibido una transaccin ni tampoco la otra parte negar haber enviado esa transaccin. La seguridad de la informacin implica diferentes tipos de seguridad, como se muestra en la Figura 4 que se explica por s sola. De esta figura se puede apreciar la incidencia que tiene esta norma en la evaluacin y tratamiento del riesgo.

Adaptacin de un diagrama de la norma ISO Figura 4. Gestin de la seguridad de la informacin.

34 El objetivo estratgico de esta norma es alcanzar un nivel de seguridad mximo determinado por los recursos de la empresa contrastados con los requerimientos del negocio. Mientras tanto, es necesario que la empresa vaya resolviendo los problemas de seguridad urgentes y de corto plazo.

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son los siguientes:

Confianza de clientes y socios estratgicos por la garanta de calidad, integridad, disponibilidad y confidencialidad de la informacin.

Los riesgos y sus controles son continuamente revisados. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

Demuestra un compromiso real de mantener la seguridad de la informacin.

Abre nuevas oportunidades de negocio con clientes conscientes de la importancia de la seguridad.

Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.

Reduccin del riesgo de prdida, robo o corrupcin de informacin.

35 Los clientes tienen acceso a la informacin a travs medidas de seguridad. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Reduccin de costos y mejora de los procesos y servicio. Mejora la manera en que la organizacin gestiona la seguridad de la informacin. Mejora los objetivos de control. Incrementa la disponibilidad de recursos y aclara las responsabilidades. Permitir la creacin de nuevas actividades de negocio relacionadas con la seguridad de la informacin. Permite formular los objetivos y requisitos de seguridad de la organizacin. Forma de garantizar la gestin del riesgo y la rentabilidad de la inversin en seguridad.

36 Para garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestin de informacin. Identificacin y aclaracin de los procesos de gestin de la seguridad.

2.6. ISO/IEC 20000-2, Gestin de los servicios de TI, Cdigo de prctica

Segn la entidad certificadora intersek-sc.com, la norma ISO/IEC 20000-2: Gestin de servicios (ISO, 2013) es un enfoque de conduccin de negocio "de arriba hacia abajo" de la gerencia de tecnologas de la informacin. Especficamente, trata el valor estratgico del negocio generado por las tecnologas de la informacin y la necesidad de brindar servicios relacionados de alta calidad -no solamente en el final sino tambin para los clientes y su interaccin con el sistema.

Los servicios son un medio para entregar valor a los clientes al facilitar los resultados que los clientes desean conseguir, sin tener que apropiarse de los costos y riesgos involucrados.

En el amplio sentido de la palabra, los servicios facilitan los resultados al mejorar la realizacin y reducir la fuerza de las restricciones.

37 Por tanto, el valor de un servicio se basa en dos elementos primarios: utilidad6 y garanta. La utilidad considerando adems la usabilidad7 del servicio.

La norma ISO/IEC 20000-2 se aplica a proveedores de servicio tanto grandes como pequeos y los requerimientos son independientes de la forma organizacional del proveedor de servicio.

Esta norma se basa en la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL, por sus siglas en ingls), que recientemente ha sido rediseado a partir de un enfoque dirigido por procesos hacia un enfoque en el ciclo de vida del servicio. As, la visin de ITIL V3 de integrar las iniciativas relacionadas con las tecnologas de la informacin a la estrategia de negocio se centra en lo siguiente:

Es considerada parte de la estrategia del servicio. Es la funcionalidad ofrecida por un producto o servicio para satisfacer una necesidad particular. La utilidad se resume a veces en un qu es lo que hace (ITIL, 2013). Usabilidad es la medida en la cual un producto puede ser usado por usuarios especficos para conseguir objetivos especficos con efectividad, eficiencia y satisfaccin en un contexto de uso especificado. (ISO 9241171:2008). Es parte del diseo del servicio. Es la facilidad con la que se puede usar una aplicacin, un producto, o un Servicio de TI. Los requisitos de usabilidad se incluyen a menudo en una Declaracin de requerimientos. (ITIL V3 Glosario v2.1, 30 de mayo del 2007). La efectividad se refiere a la capacidad del sistema para ofrecer las funcionalidades para las que se ha diseado; la eficiencia al esfuerzo necesario para conseguir realizar estas funcionalidades; y la satisfaccin -el aspecto ms subjetivo- a la sensacin que el usuario tiene mientras lo usa y despus de usarlo. (Mari-Carmen Marcos et al.. Evaluacin de la usabilidad en sistemas de informacin terminolgicos online. "Hipertext.net", nm. 4, 2006. <http://www.hipertext.net> [Consulta: 19/05/110]. ISSN 1695-5498).

38 1. Estrategia del servicio, que estudia los objetivos y las expectativas generales de negocio para garantizar que la estrategia referida a las tecnologas de la informacin se correlacione con stos.

2.

Diseo del servicio, que inicia con un conjunto de requisitos de negocio, nuevos o modificados y termina con el desarrollo de una solucin diseada para satisfacer las necesidades documentadas del negocio.

3.

Transicin del servicio, que se ocupa de la gestin de cambios, riesgos y el aseguramiento de la calidad, as mismo tiene el objetivo de implementar los diseos del servicio de manera que las operaciones del servicio puedan administrar los servicios y la infraestructura de una manera controlada.

4.

Operacin del servicio, que se ocupa de las actividades de negocio comunes.

5.

Mejora continua del servicio, que proporciona una visin general del resto de los elementos y busca maneras de mejorar el proceso general y el aprovisionamiento del servicio. No debemos dejarse de mencionar que al planificar la gestin de servicios se

debe considerar que los servicios seguramente cambiarn y que podra conducir a uno o ms de los siguientes supuestos:

39 La estandarizacin de la infraestructura. Esto por economas de escala y utilizacin de tecnologa moderna que proporciona mayores niveles de seguridad y contribuye a la proteccin del medio ambiente. Cambios en la legislacin. Para propiciar lo anterior, y manejar de mejor manera las adquisiciones de bienes o servicios de todo tipo y sus pagos correspondientes. A una regulacin personalizada o desregulacin, dependiente el hecho de la orientacin de la empresa o industria y condiciones coyunturales del ecosistema relacionado. Que el proveedor de servicios defina y asegure contractualmente el cmo mantendr la calidad en el tiempo. La gestin de servicios es un conjunto de capacidades organizacionales especializadas para proporcionar valor a los clientes a travs de servicios, y toma la forma de un conjunto de funciones y procesos para gestionar servicios a lo largo de su ciclo de vida.

Esto se muestra en la Figura 5. Los procesos involucrados proveen el mejor servicio posible para satisfacer las necesidades de negocio de los clientes con niveles de recursos acordados; en otras palabras, proveer un servicio profesional, econmico y con riesgos que son entendidos y gestionados.

40

Adaptacin de un diagrama de la norma ISO Figura 5. Gestin de servicios de las tecnologas de la informacin.

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son los siguientes:

Alineacin de servicios de tecnologas de la informacin con las estrategias del negocio.

Incremento en la competitividad a travs de la entrega de mejores servicios a menor costo y en menor tiempo cuando sea posible.

41 Creacin de un marco de referencia para el mejoramiento de servicios. Enfoque en la creacin de procesos proactivos (resultado de una conciencia y enfoque en la mejora continua) en vez de procesos reactivos (tendientes a mitigar problemas), tanto por parte del proveedor como del cliente. Mejoramiento en las interdependencias y operaciones internas de las tecnologas de la informacin. La gestin de las tecnologas de la informacin y comunicaciones (TIC) mejora el posicionamiento del departamento de tecnologas de la informacin (TI) y del Director de Informtica (CIO). En un futuro, los CIO ms gestores y menos tecnlogos. Maximizar la calidad del servicio. Reducir costos. Gestionar la disponibilidad y continuidad de los servicios, sobre la base de prioridades, acuerdos de nivel de servicio y valoracin temprana de riesgos. Aumentar la satisfaccin del cliente. Clarificar y sincerar la capacidad del Departamento de Informtica.

42 Minimizar el tiempo de ciclo de cambios. Mejorar resultados en base a mtricas. Tomar decisiones sobre la base de indicadores de negocio y relacionados con la gestin de las tecnologas de la informacin.

2.7. ISO/IEC 38500:2008, Gobierno corporativo de la tecnologa de la informacin

El estndar ISO/IEC 38500:2008 (ISO, 2013) ha aparecido en junio de 2008. Alison Holt, alto ejecutivo del IT Governance Working Group comenta sobre l: "Este estndar est dirigido a la mesa directiva de la organizacin, para asistirla en obtener el mximo valor de TI y de los activos de informacin en toda la organizacin.

Esta norma provee principios rectores a los directores de las organizaciones (incluyendo propietarios, miembros de la mesa directiva, socios, ejecutivos, otros) relacionados con el uso efectivo, eficiente y aceptable de las tecnologas de la informacin dentro de sus organizaciones.

Se aplica a la gobernanza de los procesos de gestin (y decisorios) que se relacionan con los servicios de informacin y comunicacin que son utilizados por la organizacin, como se muestra en la Figura 6, donde se busca el rendimiento y

43 cumplimiento de las tecnologas de la informacin con normas tcnicas y de gobierno.

El objeto entonces puede resumirse en evaluar propuestas para dirigir aquellas que han sido implementadas a travs de polticas y planes especficos, y verificar continuamente el rendimiento y conformidad con estas polticas y planes.

Adaptacin de un diagrama de la norma ISO Figura 6. Marco de gobierno de TI.

44 Algunos de los beneficios que se obtienen por la aplicacin de esta norma son los siguientes:

Conformidad de la organizacin con: o Los estndares de seguridad. o Legislacin de privacidad. o Legislacin sobre el correo electrnico no solicitado -spam. o Legislacin sobre prcticas comerciales. o Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software. o Regulacin medioambiental. o Marco regulatorio en general. o Normativa de seguridad y salud laboral. o Legislacin sobre accesibilidad. o Estndares de responsabilidad social. o Otros.

Buen rendimiento de la TI mediante: o Una apropiada implementacin y operacin de los activos de TI. o Clarificacin de las responsabilidades y rendicin de cuentas en lograr los objetivos de la organizacin. o Continuidad y sostenibilidad del negocio. o Alineamiento de TI con las necesidades del negocio.

45 o Asignacin eficiente de los recursos. o Innovacin en servicios, mercados y negocios. o Buenas prcticas en las relaciones con los grupos de inters (accionistas, socios, empleados, clientes, proveedores, otros). o Reduccin de costos. o Otros. Materializacin efectiva de los beneficios esperados de cada inversin en la plataforma tecnolgica de cmputo. Alcanzar metas estratgicas. Producir informacin relevante y pertinente para la organizacin. Asegurar que la informacin crtica para el negocio est disponible cuando se necesita, es y permanece confidencial, es confiable, exacta y completa, y se cie a las regulaciones vigentes. Asegura ganancias importantes en eficiencia.

El modelo de Gobierno de las tecnologas de la informacin es responsable de los xitos o fracasos de la organizacin, desde las decisiones clave de los CIO, hasta cmo atendemos las peticiones de los usuarios. Por este motivo, es interesante trabajar en su mejora. Adems, el modelo debe ajustarse a la organizacin, y no la organizacin al modelo.

46 Aunque el modelo final pueda implementarse de forma progresiva (Fernndez Domnguez, 2013), deben considerarse los siguientes aspectos bsicos: decisiones clave de alto nivel, modelos de decisin, diseo de la organizacin y de las estructuras de gobierno, establecimiento de polticas, despliegue de procesos, determinacin de procedimientos, normalizacin de puestos de trabajo y alineacin de competencias, gestin de la comunicacin y del cambio, adecuado soporte tecnolgico y realizacin de actividades de seguimiento y monitorizacin de desempeo y beneficios.

Fernndez recomienda tambin no alejar las prcticas de gobierno de las operaciones, con las finalidades siguientes:

Que estas decisiones persigan elevar la calidad percibida por los usuarios por encima de los umbrales previamente establecidos.

Que el modelo sea eminentemente prctico y operativo, para garantizar que cumplen con su finalidad, que es facilitar el gobierno de las tecnologas de la informacin de forma normalizada y racional.

Transparencia y comunicacin son aqu aspectos fundamentales, puesto que es importante informar del valor aportado (cualitativo y cuantitativo), de las mejoras en productividad, de las mejoras en la calidad percibida, lo que pone de manifiesto los beneficios que realmente se estn aportando, indicando su grado de alineamiento con

47 los negocios y, por extensin, con los objetivos y estrategias finales de la organizacin.

2.8. Costo total de propiedad TCO

Es una medida diseada por el Grupo Gartner a finales de los aos 70 y ampliamente difundida a principios de los aos 80 para evaluar el costo total en que se incurre al adquirir un bien (Fellner), al comparar equitativamente propuestas que incluyen valores de cobro permanente al igual que valores de pago nico y durante todo su ciclo de vida, y en la actualidad las organizaciones lo utilizan para conocer el costo y riesgos a la hora de invertir en tecnologas de la informacin (Estrella Verdesoto, 2008).

Es una metodologa que ayuda a evidenciar las cuestiones ms actuales, en las decisiones de inversin, a justificar la necesidad para cambios y proporcionar una retroalimentacin continua en la administracin de costos.

ITIL (ITIL, 2013) la considera una estrategia del servicio.

Los factores que intervienen en un anlisis TCO son los siguientes:

Complejidad de la propia infraestructura tecnolgica y de su propia administracin.

48 Riesgos de implementacin (que crecen con la complejidad de la implementacin) y riesgos operacionales (periodos de inactividad, prdida de datos, incumplimiento regulatorio o normativo, entre otros), que podran generar un mayor costo ante la aparicin de un determinado evento. Mejores prcticas en la industria.

En la evaluacin se consideran, a lo largo del ciclo de vida del bien objeto de anlisis, lo siguiente:

Costos directos (presupuestados la adquisicin del bien). ostos indirectos recurrentes no presupuestados el uso

mantenimiento del bien como los siguientes: o De operacin. o De maquinaria. o De implantacin de las TIC. o De trabajos de consultora. o e infraestructura consumo de energa elctrica espacio fsico aire acondicionado equipo contra incendio controles de temperatura humedad otros . o Aspectos del uso, mantenimiento, reparaciones, reposiciones,

depreciacin.

49 o Proyecciones de gastos recurrentes. o Capacitacin para el personal de soporte y para usuarios. o Perodo de inactividad del usuario final. o Investigacin y desarrollo, documentacin, otros. o Marketing y publicidad. Beneficios.

Por facilidad, los costos normalmente estos se agrupan en: (a) capital; (b) administracin; (c) soporte tcnico; y (d) operaciones del usuario final.

2.9. Acuerdo de nivel de servicio ANS

Es importante considerar que la prestacin de los servicios est -o debera estar- condicionada a la firma de un acuerdo de nivel de servicio. Con este acuerdo o contrato, el usuario es quien determina el nivel de calidad en la prestacin del servicio que proporciona cada proveedor (lo que puede ofrecer), de acuerdo con sus necesidades y expectativas (lo que se necesita y espera), y sujetas a un acuerdo mutuo (lo que se puede obtener y es aceptado).

Un acuerdo de nivel de servicio es parte del diseo mismo del servicio (ITIL, 2013) y se le considera una herramienta para la mejora continua del servicio.

50 Estas condiciones acordadas permitiran definir un costo diferenciado para el servicio que ser prestado dado que ser necesario:

Establecer las necesidades especficas de los clientes (usuarios) por lo que requerir: o Levantamiento de informacin previo con la finalidad de determinar apropiadamente el mbito de accin. o Labores de consultora.

Establecer los recursos que sern asignados: o Cantidad. o Experiencia. o Calidad. o Oportunidad.

Establecer el tiempo asignado para el servicio: o Planeamiento, investigacin. o Diseo, anlisis. o Coordinaciones. o Implementacin.

Determinar los alcances (qu s se har). Determinar las exclusiones (qu no se har).

51 Un acuerdo de nivel de servicio es importante para el cliente porque permite definir, entre otras cosas, lo siguiente:

Responsabilidades y lmites compartidos. Indicadores de rendimiento para el servicio al cliente. Indicadores de rendimiento sincerados para la organizacin. El precio de la no conformidad con las expectativas -penalidades por incumplimiento.

Trminos conceptuales

Segn foro-helpdesk.com, el xito de la implementacin de un ANS depende en gran medida de la correcta eleccin de los indicadores y los objetivos a alcanzar para cada uno de ellos. Un indicador representa algunas de las variables que componen un proceso o servicio brindado. Los objetivos estarn relacionados con la eficiencia, eficacia o disponibilidad de dicho servicio. Sin embargo, slo aquellas variables de servicio que estn directamente ligadas con la percepcin de calidad por parte del usuario y que respondan a los intereses del negocio son importantes.

Tngase presente que los elementos constitutivos deben ser: medibles y especficos; a mayor detalle, menor ocurrencia de malos entendidos y expectativas no satisfechas.

52 Adicionalmente, un acuerdo de nivel de servicio est definido de diversas formas, aqu presentaremos algunas:

Es un protocolo plasmado normalmente en un documento de carcter legal por el que una compaa que presta un servicio a otra se compromete a prestarlo sobre la base de unas determinadas condiciones y con unas prestaciones pre-establecidas.

Tratar de mantener y de garantizar la calidad del servicio brindado a un cliente.

Ayuda a prometer lo que es posible de entregar y a entregar lo prometido. Es el mantenimiento de la disponibilidad de un determinado servicio basado en un compromiso que puede ser medido y demostrado, del nivel de cumplimiento en su ejecucin.

En un ANS se pueden establecer tantos indicadores como se estime necesario y de su evaluacin se obtienen por ejemplo penalizaciones a la empresa suministradora, identificacin de puntos dbiles del proceso e indicaciones para procesos de mejora continua en determinadas actividades.

Es un documento de referencia para la relacin con el cliente en todo lo que respecta a la provisin de los servicios acordados.

53 Consiste en un contrato en el que se estipulan los niveles de un servicio en funcin de una serie de parmetros objetivos, establecidos de mutuo acuerdo entre ambas partes, as, refleja contractualmente el nivel operativo de funcionamiento, penalizaciones por cada de servicio, limitacin de responsabilidad por no servicio, otros. Es un documento que fija las expectativas entre el consumidor y el proveedor. Es un convenio formal celebrado entre dos o ms entidades, que se logra despus de un perodo de negociacin con el fin de establecer las caractersticas de un servicio; as como las responsabilidades y las prioridades de todas las partes. Es una mtrica de servicio, acuerdos contractuales entre el proveedor y el cliente que especifican en trminos medibles la cantidad y calidad y oportunidad de servicios a prestar. En la Figura 7 se muestra un proceso de consecucin de expectativas para un ANS entre proveedor y cliente.

54

El usuario es quien determina el nivel de calidad en la prestacin del servicio que proporciona cada proveedor, de acuerdo con sus necesidades y expectativas

Adaptado de foro-helpdesk.com Figura 7. Proceso de consecucin de expectativas entre proveedor y cliente.

En la Figura 8 se muestra el mbito de solucin de un ANS.

Se aprecia que los costos son producto de una combinacin de diferentes factores que, de forma individual, pueden ser considerados ms o menos importantes, de acuerdo con la orientacin del servicio que se desea brindar o por el valor que se le pueda otorgar, dependiendo esto de la coyuntura y conocimiento intrnseco de quien realiza la evaluacin o pertinencia. Por ejemplo, un vendedor podra desestimar la necesidad y no considerar en el precio del servicio el costo que el desarrollador del servicio podra establecer.

55

Necesidades de los usuarios:


Levantamiento de informacin. Consultora.
Responsabilidades y lmites compartidos Indicadores de rendimiento para el servicio al cliente Indicadores de rendimiento para la organizacin El precio de la no conformidad

Recursos asignados:

Costos

Cantidad. Experiencia. Calidad.

A s p e c t o s f u e r a d e l a lc a n c e t c n ic o

Tiempo asignado:
Planeamiento. Diseo / anlisis. Coordinaciones. Investigacin. Implementacin.
Esc a l a m i e n t o
Asp ecto s que r e q u ie r e n m ayor e x p e r ie n c ia

Lm it e t c n ic o

A s p e c t o s d e p o s ib le r e s o lu c i n d ir e c t a

Alcances.
Qu s se har.

Exclusiones:
Qu no se har.
Esc a la m ie n t o

Lm it e fu n c io n a l

Fuente: elaboracin propia Figura 8. mbito de solucin de un Acuerdo de Nivel de Servicio ANS

A continuacin se detallarn algunas consideraciones para la elaboracin de un ANS:

El ANS seguramente cambiar con el tiempo. Cada uno de los involucrados debe estar representado en la creacin y en el proceso de negociacin del ANS.

Debe permitir tomar accin cuando los resultados caen por debajo de los objetivos definidos.

56 Los elementos constitutivos deben ser: o Medibles. o Especficos. A mayor detalle menor ocurrencia de: o Malos entendidos. o Expectativas no satisfechas. Los indicadores: o Deben manejar objetivos alcanzables. o La evaluacin e interpretacin debe ser objetiva. Los datos que componen las mtricas deben ser: o Obtenibles y no ser modificables. o Conocidos por el personal apropiado nicamente. o Entendibles y con objetivos claramente definidos. o ntegros es decir, deben ser:

Significativos (reflejan lo que se intenta medir). Precisos (numricamente correctos). Seguros (sin posibilidad de manipulacin o engao). Representativos transacciones). (que dan cuenta del volumen de

57 A continuacin se describirn algunas mejores prcticas para la elaboracin de un ANS que los autores han compilado y otras, producto de su propia experiencia:

Un ANS no debe considerarse como un opcional a un servicio, es parte fundamental del mismo.

El ANS debe ser el resultado de la identificacin de las necesidades y la negociacin entre las partes. La identificacin de necesidades y la negociacin permiten encontrar los indicadores adecuados y los niveles de servicios posibles y comprometidos.

El servicio debe estar alineado con los intereses de la organizacin. La direccin misma debe participar aportando la visin del negocio.

El ciclo de vida de un ANS debe incluir un programa de revisiones peridicas, donde se analicen los objetivos alcanzados vs. los propuestos.

Un ANS adecuado reglamenta el servicio indicando derechos y obligaciones para ambas partes.

Las penalidades sirven como elemento de presin al prestador, pero en ningn caso reemplazan al servicio no prestado o prestado

ineficientemente. Establezca un circuito de comunicacin eficiente entre todas las partes, esto acercar las visiones del prestador y de los usuarios.

58 Establezca indicadores de fcil medicin e interpretacin. Incluya a todos los sectores en la mesa de negociacin (gerentes a cargo del negocio y gerentes a cargo de la tecnologa). Documente las necesidades relevadas, los cambios y genere actas de las reuniones de negociacin. Incluya el resultado de encuestas de satisfaccin como un indicador ms del servicio. Establezca un sistema de monitoreo donde pueda detectar desvos y que permita corregirlos en lnea. Comunique el alcance del servicio a los usuarios. Ellos pueden estar esperando un servicio diferente al acordado. Recuerde mantener los acuerdos simples, medibles y realistas.

2.10. Auditora, enfoque moderno

La auditora es una funcin de direccin, un proceso sistmico, crtico, cuantitativo y detallista, basado en la evidencia, y realizado por un tercero, competente, distinto y sin relacin con quien prepar o se relaciona con la informacin motivo de la auditora, y que tampoco tiene relacin directa con la informacin que se audita.

59 Este proceso es necesario para determinar la autenticidad, integridad y calidad de la informacin que se produce, con el propsito de determinar e informar sobre el grado de correspondencia existente entre la informacin cuantificable y los criterios establecidos.

Una auditora constituye una herramienta de control y supervisin que contribuye a la creacin de una cultura de la disciplina de la organizacin, al ocuparse fundamentalmente del conjunto de medidas, polticas y procedimientos establecidos en las empresas para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la informacin en general (Morell Gonzlez, 2013), -un enfoque tradicional que se vea como algo negativo por la fiscalizacin inherente.

Segn Morell, tras el proceso anterior, el enfoque moderno es proporcionar determinada informacin a la direccin para que pueda evaluar si sus objetivos y metas se estn cumpliendo conforme a los esperado o si son efectivos los controles establecidos para incrementar la eficacia de la empresa partiendo de la evaluacin sistemtica del proceso de control interno de la empresa -por ejemplo, al descubrir fallas en las estructuras o vulnerabilidades existentes y presentarlas de modo conveniente para que la empresa pueda tomar las acciones correctivas necesarias.

60 Adems, contina Morell, a uda a la organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad de los procesos de gestin de riesgos, control y direccin (Hevia, 1999).

El objetivo es detectar las desviaciones en cuanto al plan establecido y detectar los problemas concretos con la finalidad de encontrar la manera de rectificar las actuaciones y solucionar las contingencias.

La imagen que la auditora tiene hoy es la de una actividad consultiva y docente que aade valor a la empresa.

2.11. Computacin en nube

Segn NIST, es un modelo que permite, convenientemente y bajo demanda, el acceso por red a un conjunto compartido de recursos informticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rpidamente aprovisionados y desplegados con mnimo esfuerzo de administracin o de interaccin con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y se compone de:

Cinco caractersticas esenciales (autoservicio por demanda, acceso de banda ancha, pool de recursos, rpida elasticidad, servicio medido);

61 Tres modelos de servicio (Software como Servicio [SaaS], Plataforma como Servicio [PaaS], Infraestructura como Servicio [IaaS]); y Cuatro modelos de despliegue (nube privada, comunitaria, pblica, hbrida).

2.12. Caractersticas de la computacin en nube

Entre las caractersticas asociadas a la computacin en nube se encuentran las siguientes (ONTSI, 2012):

2.12.1. Pago por uso

Una de las caractersticas principales de las soluciones en nube es el modelo de facturacin basado en el consumo; es decir, el pago que debe abonar el cliente vara en funcin del uso que se realiza del servicio en nube contratado.

2.12.2. Abstraccin

Caracterstica o capacidad de aislar los recursos informticos contratados al proveedor de servicios nube de los equipos informticos del cliente. Esto se consigue gracias a la virtualizacin, con lo que la organizacin usuaria no requiere de personal

62 dedicado al mantenimiento de la infraestructura, actualizacin de sistemas, pruebas y dems tareas asociadas que quedan del lado del servicio contratado.

2.12.3. Agilidad en la escalabilidad

Caracterstica o capacidad consistente en aumentar o disminuir las funcionalidades ofrecidas al cliente, en funcin de sus necesidades puntuales sin necesidad de nuevos contratos ni penalizaciones. De la misma manera, el costo del servicio asociado se modifica tambin en funcin de las necesidades puntuales de uso de la solucin. Esta caracterstica, relacionada con el pago por uso, evita los riesgos inherentes de un posible mal dimensionamiento inicial en el consumo o en la necesidad de recursos.

2.12.4. Multiusuario

Capacidad que otorga la nube, que permite a varios usuarios compartir los medios y recursos informticos, permitiendo la optimizacin de su uso.

2.12.5. Autoservicio bajo demanda

Esta caracterstica permite al usuario acceder de manera flexible a las capacidades de computacin en nube de forma automtica a medida que las vaya

63 requiriendo, sin necesidad de una interaccin humana con su proveedor o proveedores de servicios cloud.

2.12.6. Acceso sin restricciones

Caracterstica consistente en la posibilidad ofrecida a los usuarios de acceder a los servicios contratados dela computacin en nube en cualquier lugar, en cualquier momento y con cualquier dispositivo que disponga de conexin a redes de servicio IP. El acceso a los servicios de computacin en nube se realiza a travs de la red, lo que facilita que distintos dispositivos, tales como telfonos mviles, dispositivos PDA o computadoras porttiles, puedan acceder a un mismo servicio ofrecido en la red mediante mecanismos de acceso comunes.

2.12.7. Virtualizacin

La virtualizacin es la creacin a travs de software de una versin virtual de algn recurso tecnolgico, como puede ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de red (Diskeeper Corporation, 2006).

La tecnologa de virtualizacin tiene aplicaciones importantes para el modelo de cloud computing como son:

64 Virtualizacin de Servidores La virtualizacin de servidor describe la creacin de una o varias instancias de un sistema operativo husped bien sobre un sistema operativo host o anfitrin (arquitectura alojada) o directamente sobre una capa de software especializado denominado hipervisor (arquitectura de hipervisor). En ambas arquitecturas, la virtualizacin del sistema host de otros sistemas operativos se consigue mediante software propio del fabricante (por ejemplo, Vmware ESX, Xen, RHEV, Hyper-V, etc.), que reside entre el hardware fsico (CPU, memoria, etc.) y los sistemas operativos "huspedes". Cada sistema operativo husped o host ejecuta sus propias aplicaciones de manera Independiente como si se tratara del nico sistema que opera en el hardware. En la Figura 9 siguiente se aprecian estos esquemas, donde se representa a un equipo fsico cuyos recursos son entregados segn necesidad mediante un software virtualizador a diferentes mquinas virtuales.

65

Fuente: http://infoaprende.web44.net/infoaprende/virtualizacion/.

Fuente: http://www.compuexpress.com.mx/2011/?p=1412. Figura 9. Esquema de virtualizacin de servidores

66 Virtualizacin de almacenamiento La virtualizacin del almacenamiento implica la creacin de un contenedor lgico de datos, generalmente de gran tamao, que mediante software aparenta estar fsicamente situado completamente en un nico servidor. En realidad, los datos pueden estar situados en cientos de discos fsicos repartidos por decenas de servidores. Este es el concepto que implementan las SAN (Storage Area Networks: redes de rea de almacenamiento). En la Figura 10 se muestra este esquema.

Fuente: elaboracin propia. Figura 10. Esquema de virtualizacin de almacenamiento.

67 2.13. Clasificacin de los modelos en nube

2.13.1. Modelos de servicio en nube

Existen tres modelos de servicio y sus combinaciones derivadas describen la prestacin de los servicios en nube y son los siguientes (Cloud Security Alliance CSA, 2011):

a.

Software como servicio - Cloud Software as a Service (SaaS). En el Software de nube como servicio, la capacidad proporcionada al consumidor consiste en utilizar las aplicaciones del proveedor que se ejecutan en una infraestructura de nube.

Mediante esta modalidad de servicio puede accederse a las aplicaciones desde diversos dispositivos de cliente, a travs de una interfaz de cliente ligero como un navegador de Internet. Por ejemplo, correo web, Salesforce.com.

Es un modelo de distribucin de software en donde la compaa de tecnologas de informacin y comunicacin provee el servicio de mantenimiento, operacin diaria, y soporte del software usado por el cliente.

68 Es tener la informacin, el procesamiento, los insumos y los resultados de la lgica de negocio del software hospedado en la compaa de que provee la plataforma de tecnologas de la informacin. (wikipedia.org).

Algunas metas de este modelo son las siguientes:

Incrementar la usabilidad (recordemos a Apple que con el iPhone y el iPod, aunque no fueron los primeros, cambiaron la forma de usar ciertos aparatos) y aspectos funcionales del software aplicativo.

Construir estructuras de costo y ganancias recurrentes que sean ms predecibles.

Reducir el continuo tiempo invertido en soporte, en implementacin y entrenamiento; minimizar el riesgo en general del negocio con mayor accesibilidad a los datos y seguridad. (saas.com).

El consumidor no gestiona ni controla la infraestructura subyacente de nube, la que incluye la red, servidores, sistemas operativos, almacenamiento o incluso capacidades de aplicaciones individuales, con la posible excepcin de unos parmetros de configuracin de la aplicacin especficos del usuario limitados.

b.

Plataforma como servicio - Cloud Platform as a Service (PaaS).

69 En la Plataforma de nube como servicio, la capacidad proporcionada al consumidor es desplegar en la infraestructura de nube aplicaciones adquiridas o creadas por el consumidor, que fueran creadas utilizando lenguajes y herramientas de programacin soportadas por el proveedor.

La capa presenta todo lo necesario para que los desarrolladores puedan realizar su trabajo de construccin y puesta en marcha de aplicaciones y servicios web completamente disponibles en la Internet. Por ejemplo, el empleo de interfaces programticas de aplicacin -API, Google App Engine.

El consumidor no gestiona ni controla la infraestructura de nube subyacente que incluye la red, servidores, sistemas operativos o almacenamiento, pero tiene control sobre las aplicaciones desplegadas y la posibilidad de controlar las configuraciones de entorno del hosting de aplicaciones.

c.

Infraestructura como servicio - Cloud Infrastructure as a Service (IaaS). En la infraestructura de nube como servicio los usuarios utilizan recursos de cmputo, almacenamiento y comunicaciones; en vez de adquirir servidores, espacio en un centro de datos o equipamiento de redes, los clientes compran todos estos recursos a un proveedor de servicios externo.

De esta forma, el consumidor puede desplegar y ejecutar software arbitrario, que puede incluir sistemas operativos y aplicaciones.

70 El consumidor no gestiona ni controla la infraestructura de nube subyacente pero tiene control sobre los sistemas operativos, almacenamiento, aplicaciones desplegadas y la posibilidad de tener un control limitado de componentes de red seleccionados. Por ejemplo, hospedar firewalls; Amazon Web Services EC2).

En la Figura 11 se esquematiza este modelo de entrega de servicio.

donde

se

migra

Con

lo

que

se

construye

Lo que se consume

Adaptado de INTECO (INTECO, 2011). Figura 11. Esquema del modelo infraestructura como servicio.

En la Figura 12 se aprecia que conforme avanzamos en la utilizacin de los servicios, menos control y poder de gestin tenemos sobre la plataforma.

71

Fuente: (Fabregat, 2010). Figura 12. Esquema de gestin de los diferentes modelos de servicio.

2.13.2. Modelos de despliegue en nube

Con independencia del modelo de servicio utilizado (SaaS, PaaS, IaaS,) hay cuatro formas principales en los que se despliegan los servicios en nube y se caracterizan con modelos de despliegue adicionales que afrontan requisitos especficos.

La Figura 13 sintetiza el paradigma Nube segn NIST.

72

Fuente: NIST Working Definition of Cloud Computing V14 y http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html. Figura 13. Esquema de Nube.

d.

Nube pblica. La infraestructura de nube se pone a disposicin del pblico en general o de un gran grupo industrial y es propiedad de una organizacin que vende los servicios en nube.

El modelo de nube pblica es el modelo estndar de computacin en nube.

73 En la Tabla 1 se muestran las ventajas e inconvenientes de este modelo de despliegue de nube.

Tabla 1. Ventajas e inconvenientes de la nube pblica.

Fuente: Riesgos y amenazas en cloud computing (INTECO, 2011).

e.

Nube privada. La infraestructura de nube se gestiona nicamente para una organizacin. Puede gestionarla la organizacin o un tercero y puede existir tanto en las instalaciones como fuera de ellas.

Es un modelo de computacin en nube donde los servicios que se ofrecen se encuentran en la propia instalacin o estructura del cliente.

74 En la Tabla 2 se muestran las ventajas e inconvenientes de este modelo de despliegue de nube.

Tabla 2. Ventajas e inconvenientes de la nube privada.

Fuente: Riesgos y amenazas en la computacin en nube (INTECO, 2011).

f.

Nube comunitaria. La infraestructura de nube la comparten diversas organizaciones y soporta una comunidad especfica que tiene preocupaciones similares (p.ej., misin, requisitos de seguridad, polticas y consideraciones sobre cumplimiento normativo). Puede ser gestionada por las organizaciones o un tercero y puede existir en las instalaciones y fuera de ellas.

En la Tabla 3 se muestran las ventajas e inconvenientes de este modelo de despliegue de nube.

75 Tabla 3. Ventajas e inconvenientes de la nube comunitaria.

Fuente: Riesgos y amenazas en la computacin en nube (INTECO, 2011).

g.

Nube hbrida. La infraestructura de nube es una composicin de dos o ms nubes (privada, comunitaria o pblica) que se mantienen como entidades separadas pero que estn unidas por tecnologa estandarizada o propietaria que permite la portabilidad de datos y aplicaciones (p.ej., procedimientos de escalado para el equilibrio de cargas entre nubes en el caso de picos puntuales).

Es un modelo de computacin en nube donde se da una combinacin de las mejores caractersticas de sus componentes.

76 2.13.3. Cargas de trabajo en nube

En esencia, una carga de trabajo son todas las capacidades individuales y unidades de trabajo que componen una aplicacin discreta, como las aplicaciones distribuidas (Bloomberg, 2012); es la clase de trabajo que una organizacin necesita cumplir.

Esto hace del concepto carga de trabajo una abstraccin que implica portabilidad: la capacidad o cantidad de trabajo (alojar un sitio web) que puede ejecutarse en ambientes fsicos diferentes pero con configuraciones adecuadas para el trabajo en cuestin (por ejemplo, versiones especficas de los productos o herramientas empleadas, con la cantidad de memoria [de acceso aleatorio] RAM y rendimiento especficos necesarios).

En otras palabras, cada carga de trabajo tiene caractersticas que la hacen funcionar ms eficientemente en ciertos tipos de hardware y software. Adems, habran otras consideraciones de por medio, como las siguientes (IBM Smart Business, 2010):

Se tratarn datos sensibles (registros sobre pacientes con SIDA)? Existen transacciones dependientes entre s (transacciones en lnea de alto rendimiento o de misin crtica)?

77 Existen transacciones que necesitan un alto nivel de contabilidad y auditabilidad (por ejemplo, SOX)? Se trabajar con software de terceros que no es cloud-aware [preparado para trabajar en nube]? Qu hay si se requiere medicin de aplicacin de costos (planificacin de la capacidad) o de la utilizacin (facturacin a nivel departamental)? Se necesita adaptacin del ERP?

Price Waterhouse Coopers LLP (PwC) (Price Waterhouse Coopers LLP, 2011), reporta que, por varias razones tcnicas, la mayora de las cargas de trabajo de misin crtica todava no estn preparadas para la infraestructura informtica en nube.

Y aade que no estarn listas hasta que se realicen esfuerzos mayores en el rediseo de la arquitectura y re-codificacin, cuyo costo puede llegar a ser un factor importante para mantener estas aplicaciones por muchos aos en los centros de datos tradicionales.

En el mismo artculo, Ali Shadman, jefe de tecnologa de Hewlett-Packard, aade que esto se debe a que los motores de bases de datos no tienen buen

78 rendimiento en un ambiente altamente virtualizado; por la latencia que demandan las aplicaciones de alto rendimiento en cuanto a cantidad de IOPS 8 y el rendimiento de la red (Geyer, 2012).

En el mismo artculo, David Stuckey, lder de PwC en las prcticas para la [implementacin de la] infraestructura del centro de datos, dice que antes de volver a alojar partes principales de la cartera de aplicaciones en la nube, la empresa hara bien en revisar el ajuste estratgico entre la arquitectura empresarial cambiante y la [arquitectura] de las tecnologas de la informacin.

Tambin es un buen momento, aade, para comprometerse con disciplinas como ITSM (IT gestin de servicios), ya que la infraestructura de nube adapta de forma natural en el paradigma de ITSM.

IBM (Sylvia & Peterson, 2012) seala que son seis las cargas de trabajo de TI fundamentales: desarrollo y prueba, data analytics, almacenamiento, colaboracin, escritorio, y cargas de trabajo de aplicaciones.

Input/Output (operations) Per Second: operaciones de entrada/salida por segundo realizadas por el disco o arreglo de discos del dispositivo o sistema de almacenamiento.

79 Es claro entonces que mover algunas cargas de trabajo requiere un anlisis cuidadoso ya que se gana ms con unas que con otras y esto depende de cun fcil se puedan mover a la nube.

Por ejemplo, los autores sealan que el correo web, los sistemas colaborativos y los de desarrollo y prueba son los ms fciles de migrar. El hecho es que, continan los autores, ninguna carga de trabajo es la misma en trminos de su importancia y costo para la organizacin, y esto puede afectar su resultado en la nube.

En un artculo de VMware (VMware, 2010), se establece que los casos de uso de una nube privada caen en tres categoras:

Temporal (de uso poco frecuente -o de uso nico). Altamente elstico (crece y se reduce conforme se ejecuta -o necesita). De infraestructura (con un comportamiento estable todo el tiempo o la mayora).

Adems, agrega el artculo que la nube privada es muy adecuada para demostraciones de ventas, capacitar al personal y socios en software, y permite un

80 fcil acceso a las configuraciones predefinidas de paquetes de aplicaciones complejos. Por ejemplo, en un estudio de mbito mundial que realiz IBM9 (IBM Smart Business, 2010), se consideraron para el estudio las cargas de trabajo mostradas en la Tabla 4:

El estudio fue realizado entre junio y julio de 2009 y se entrevist a 1.090 responsables de la toma de decisiones de lnea de negocio (LOB) de empresas de Estados Unidos, Canad, Francia, Italia, Alemania, ReinoUnido, Japn, China e India, que representaban distintos sectores, entre los que se incluyen el sector pblico, las comunicaciones, la distribucin, los servicios financieros y la industria, entre otros, con el objetivo de entender los motivos, los obstculos y los aspectos a considerar que influyen en la adopcin de cloud computing.

81 Tabla 4. Carga de trabajo.

Fuente: IBM Market Insights, Cloud Computing Strategy Research, julio de 2009.

El estudio puso de manifiesto que los responsables de la toma de decisiones manifiestan estar abiertos a nubes tanto pblicas como privadas, aunque los ndices

82 de adopcin y consideracin del modelo de prestacin de nube privada eran superiores.

Obsrvese las condiciones y caractersticas de las siguientes dos cargas de trabajo propuestas en un artculo de IBM/Redbooks (Naphade, Prewitt, & Yocom, 2013), las que corren sobre una mquina virtual del mainframe [sujeto de estudio en el artculo], que proporciona una nube privada:

Un CRM que procesa transacciones tales como la creacin de nuevas cuentas de clientes, la actualizacin de las polticas de los clientes, y desactivar cuentas de clientes.

Estas operaciones se ejecutan en el horario de trabajo de 08:00 a 20:00 horas, los siete das de la semana.

Despus de las 20:00 horas, los empleados de las compaas de seguros utilizan la misma aplicacin para procesar reclamaciones de seguros.

Un proceso por lotes para archivar e imprimir datos de reclamaciones que est programado para comenzar a la medianoche cada noche y completa todos los das a las 10:00 horas.

83 Algunas de las cargas de trabajo ms crticas son tan costosas para la organizacin, financiera y operacionalmente, que la migracin a la nube tiene el potencial de proporcionar un beneficio considerable.

Otras cargas de trabajo pueden estar ya tan altamente optimizadas, que hay poco que ganar de esa migracin.

2.13.4. Modelo de negocio en nube

Los principales modelos de negocio existentes son los siguientes: (INTECO, 2012):

a.

Proveedor: Consiste en la prestacin de servicios a travs de la nube a suscriptores o intermediarios, es decir, servicio ofertado por la empresa proveedora al cliente, ya sea de forma directa o a travs de un intermediario.

La contraparte del proveedor es el suscriptor, que sera el usuario de los propios servicios en nube.

b.

Intermediario:

84 Este modelo de negocio consiste en la prestacin de servicios de intermediacin entre los usuarios finales y los proveedores, en un mercado dinmico de oferta y demanda como es la computacin en nube.

c.

Habilitador: Este modelo de negocio es un modelo tpicamente enfocado al mercado de proveedores de servicios en nube. Son empresas que venden software y hardware a terceros, para que estas terceras empresas (proveedores) desarrollen y ofrezcan al usuario servicios en nube.

d.

Auditor: El auditor es el modelo de negocio encargado de llevar a cabo las evaluaciones independientes de los servicios en nube, de las operaciones asociadas a los sistemas de informacin, del rendimiento y de la seguridad en el uso de la solucin en nube.

2.14. Beneficios de la nube

2.14.1. Relativos a la puesta en marcha del servicio

Los beneficios asociados a la puesta en marcha del servicio tienen que ver con los siguientes aspectos:

85 a. Inmediatez Se puede disponer de un servicio cualificado y productivo en muy corto plazo, sin necesidad de invertir tiempos excesivos en etapas anteriores. De esta manera se pueden evitar tareas innecesarias como la realizacin de un estudio de compatibilidad tecnolgica o la ejecucin de pruebas de capacidad.

b.

Inversin inicial No es necesario destinar ninguna cantidad a la compra de servidores ni acondicionar un posible centro de procesamiento de datos.

c.

Comodidad Los usuarios pueden utilizar el nuevo servicio sin que sus equipos tengan que ser actualizados o los sistemas se tengan que paralizar.

d.

Oferta El xito de la computacin en nube se traduce en una amplia variedad de servicios ofrecidos por los proveedores, pudindose encontrar toda clase de soluciones: gestin financiera, sistemas de comunicacin, etc.

86 2.14.2. Relativos a los beneficios econmicos

Los beneficios econmicos asociados tienen que ver con los siguientes aspectos:

a.

Contratacin por demanda La entidad contratante paga exclusivamente por el uso que est haciendo del servicio.

Ante un incremento del nmero de operaciones se podran ampliar las capacidades tcnicas directamente en nube.

Por otra parte, ante ciclos con una productividad menor se podra redimensionar la contratacin a la baja, minimizando el pago a realizar al proveedor.

b.

Aprovisionamiento dinmico Es posible acceder a cualquier sistema de informacin simplemente con un dispositivo informtico y conexin a Internet.

No es necesario el gasto en infraestructuras tecnolgicas para poder funcionar.

87 c. Recursos humanos La contratacin de personal especializado para la gestin de las tecnologas es responsabilidad del proveedor.

Con la evolucin hacia entornos ms avanzados, el proveedor ser el encargado de formar y contratar a empleados cualificados en cada momento para poder mantener la calidad contractual con los clientes.

d.

Espacio fsico Se evita la provisin de espacio fsico para la ubicacin del centro de procesado de datos.

Tampoco es necesario invertir en acondicionar salas de computadoras de manera adecuada (sistemas especiales de extincin de incendios, refuerzos de seguridad fsica, sistemas de climatizacin industrial, etc.).

e.

Suministro energtico Se ahorra consumo elctrico en instalacin de sistemas de alimentacin ininterrumpida, climatizacin, etc.

La adopcin de una mentalidad verde permitir incrementar la reputacin a la par que generar ahorro de costos directos.

88 f. Competitividad entre proveedores La gran oferta existente en el mercado se ve reflejada en la competitividad de los precios.

2.14.3. Relativos al uso y la operacin

La entidad contratante ocupa exclusivamente la figura de usuario del servicio.

El resto de tareas asociadas a la gestin y mantenimiento son responsabilidad del proveedor.

a.

Accesibilidad Para acceder al servicio en nube, simplemente se necesita un dispositivo informtico y conexin a Internet, permitiendo al usuario la conexin desde una computadora en su casa o desde su telfono inteligente.

b.

Tareas de mantenimiento y administracin La gestin de usuarios, as como la realizacin de copias de seguridad, pueden ser tareas totalmente transparentes para la entidad cliente.

89 c. Alta disponibilidad Se pueden contratar las medidas adecuadas de disponibilidad en relacin a la criticidad del servicio alojado en nube, evitndose prdidas de informacin y/o del servicio. Redundancias de la informacin a alto nivel son garantizadas por el proveedor.

d.

Acceso comn a recursos El acceso a recursos informticos a travs de Internet permite la concurrencia de varios usuarios y la posibilidad de compartir documentos, lo que implica una mejora de productividad y desempeo.

e.

Actualizaciones La gestin de la versin de aplicaciones, sistemas operativos y bases de datos, puede realizarse con un impacto muy reducido en la operativa de los usuarios y sin que sea necesario destinar recursos adicionales para este tipo de actividades.

2.15. Riesgos de la computacin en nube

La necesidad de atender a la demanda de los usuarios, en ocasiones impide realizar una correcta gestin de los riesgos que podran perturbar su actividad.

90 A continuacin se enumeran los principales riesgos asociadas a la adopcin de servicios de computacin en nube:

2.15.1. Riesgos legales y contractuales

Los riesgos principales de carcter legal y contractual a tener en cuenta en materia de computacin en nube pueden resumirse como sigue:

a.

Prdida de gobernanza Al utilizar las infraestructuras en nube, el cliente necesariamente cede el control de una serie de cuestiones que pueden influir en la seguridad al proveedor en nube. Al mismo tiempo, puede ocurrir que los Acuerdos de nivel de servicio no incluyan la prestacin de dichos servicios por parte del proveedor en nube, dejando as una laguna en las defensas de seguridad.

b.

Proteccin de datos La computacin en nube plantea varios riesgos relativos a la proteccin de datos tanto para clientes en nube como para proveedores en nube. En algunos casos, puede resultar difcil para el cliente en nube (en su funcin de controlador de datos) comprobar de manera eficaz las prcticas de gestin de datos del proveedor en nube, y en consecuencia, tener la certeza de que los datos son gestionados, de conformidad con la ley.

91 c. Acceso a la informacin El proveedor deber garantizar que la entidad contratante pueda acceder a la informacin e implantar medidas de seguridad y restriccin adecuadas.

d.

Titularidad de derechos Las cuestiones relativas a la propiedad intelectual de los desarrollos, creaciones, u otras prestaciones que puedan tener asociados derechos intangibles a las que tenga acceso o se desarrollen por parte del proveedor deben quedar reguladas de forma expresa bajo el contrato.

e.

Deslocalizacin de la informacin Es necesario que la entidad contratante conozca perfectamente la ubicacin de los datos, incluyendo la posible intervencin de subcontratistas en la prestacin de servicios.

f.

Dependencia del proveedor La contratacin de un servicio de computacin en nube sin estudiar futuras interoperabilidades con otros proveedores podra provocar grandes

inconvenientes a la empresa a la hora de alojar o migrar directamente el servicio a otro proveedor con mejores caractersticas y, por ello, estas cuestiones deben tener reflejo adecuado en el contrato, pudiendo incluso

92 preverse la aplicacin de penalizaciones al proveedor en caso de incumplimiento de sus obligaciones en materia de interoperabilidad.

g.

Indisponibilidad del servicio Es fundamental para la empresa contratante que pueda acceder al servicio cuando lo requieran. De lo contrario, se podra ver alterada la imagen y/o la productividad de la empresa, por no poder prestar el servicio habitual.

Por ello, es necesario definir adecuadamente los tiempos de inactividad permisibles y las prdidas de informacin aceptables, mediante un ANS con el proveedor, que contemple porcentajes coherentes de disponibilidad y medidas compensatorias adecuadas en caso de incumplimiento.

h.

Notificacin de incidentes graves de seguridad El mantenimiento y gestin de la seguridad es responsabilidad del proveedor. En caso de que exista un acceso no autorizado al centro de procesado de datos o se produzca el ataque de un hacker, la calidad del servicio puede verse afectada.

El proveedor deber gestionar estos sucesos con celeridad e informar de ellos con inmediatez a la empresa contratante para que sta pueda adoptar las medidas que en su caso estime necesarias.

93 i. Negativa del proveedor a ser auditado Pese a la posible confianza por parte de la empresa contratante hacia el proveedor, deben ser evaluadas las calidades acordadas mediante una auditora.

En determinados casos, el proveedor se puede negar a ser auditado. Frente a esta situacin puede ser til la solicitud de informes de auditora oficiales o certificaciones [como ISO 27001] que garanticen niveles adecuados de calidad.

2.15.2. Riesgos tcnicos

Los riesgos principales de carcter tcnico a tener en cuenta en materia de computacin en nube pueden resumirse como sigue:

a.

Dimensionamiento inadecuado El clculo de los recursos necesarios para que los usuarios puedan acceder con normalidad se debe tener en cuenta permanentemente.

En caso de que se estime una etapa ms exigente, por ejemplo, debido a mltiples accesos concurrentes, se debe comunicar al proveedor para que haga el redimensionamiento adecuado.

94 b. Comparticin de recursos Los sistemas del proveedor pueden ser compartidos por distintos clientes.

Es necesario que se implanten los controles de seguridad adecuados para que los usuarios no puedan acceder a informacin ajena.

c.

Comunicaciones inseguras Internet es la principal va para que un usuario tenga acceso a un servicio de computacin en nube.

El proveedor debe asegurar especialmente que todas las comunicaciones se estn cifrando de manera correcta.

d.

Abuso de privilegios Los administradores del proveedor van a tener privilegios completos sobre el servicio externalizado.

Debe existir la posibilidad de monitorizar o de tener trazabilidad, sobre todas las acciones que puedan realizar los sper-usuarios.

e.

Denegacin de servicio (DDoS)

95 Las empresas proveedoras de servicios cloud pueden ser objetivos de ataques externos y de la ciber delincuencia.

Uno de los ataques ms comunes es la denegacin de servicio que impide a los usuarios acceder al sistema.

f.

Borrado incompleto de informacin El proveedor debe garantizar la eliminacin total de la informacin que los usuarios han estado tratando en sus sistemas. Dicho acuerdo debe cerrarse contractualmente, presentndose en ltimo lugar los certificados de destruccin o borrado que apliquen.

g.

Compromiso de la interfaz de gesti ENISA alerta que las interfaces de gestin de cliente de un proveedor en nube pblico son accesibles a travs de Internet, y canalizan el acceso a conjuntos de recursos ms grandes (que los proveedores tradicionales de alojamiento), por lo que plantean un riesgo mayor, especialmente cuando son combinados con el acceso remoto y las vulnerabilidades del navegador de web.

h.

Compromiso del motor de servicio Cada arquitectura de nube descansa en una plataforma altamente especializada: el motor de servicio. Este motor se sita por encima de los recursos fsicos de

96 hardware y gestiona los recursos del cliente con distintos niveles de abstraccin.

El motor de servicio puede tener vulnerabilidades, y es proclive a sufrir ataques o errores inesperados.

Un atacante puede poner en peligro el motor de servicio accediendo a l sin autorizacin, desde dentro de una mquina virtual (nube IaaS), el entorno de ejecucin (nubes PaaS), el conjunto de la aplicacin (nubes SaaS) o a travs de sus API. En la Figura 14 se representa este hecho.

Fuente: Trend Micro, Virtualization & Cloud Computing Cost effective, 2012 Figura 14. Hipervisor vulnerado generando ataques entre VM.

97 2.16. Resumen de ideas centrales

El modelo de computacin en nube, como iniciativa verde, propugna el uso eficiente de los recursos computacionales minimizando el impacto ambiental, maximizando su viabilidad econmica y asegurando deberes sociales.

Sin embargo, existen cargas de trabajo apropiadas para diferentes modelos de computacin en nube, y podramos considerar los ejemplos que se describen en la Tabla 5 siguiente:

Tabla 5. Ejemplos de carga de trabajo. Cargas de trabajo Ejemplos


Data mining, minera de texto u otros analticos Seguridad Almacenes de datos o datamarts Continuidad empresaria y recuperacin de desastres

Privadas

Infraestructura del entorno de prueba Archivo/preservacin de los datos a largo plazo Bases de datos transaccionales Aplicaciones especficas de la industria Aplicaciones ERP Conferencias de audio/video/por la Web

Pblicas

Mesa de servicios/ayuda Infraestructura para capacitacin y demostraciones

98 Cargas de trabajo

Ejemplos
Capacidad de la WAN Infraestructura de VoIP Desktop Infraestructura del entorno de prueba Almacenamiento Capacidad de la red del centro de datos Servidor de archivos

Fuente: Adaptacin de IBM Market Insights, Cloud Computing Strategy Research, julio de 2009.

Se recomienda el modelo privado de computacin en nube entre otras, por las siguientes razones:

Para asegurar el control, centralizacin, concentracin, estandarizacin, empleo de mejores prcticas y metodologas de comprobada eficacia en la industria, los niveles de seguridad y escalabilidad de soluciones, los niveles de servicio.

Para gestionar la optimizacin de la potencia de cmputo y capacidad de almacenamiento de datos que de otra manera se encontrara fraccionada y por consiguiente no se estaran optimizando su eficiencia y efectividad.

99 Para atender a grupos reducidos de usuarios que demandan poder de cmputo, de forma rpida, adaptable y flexible, y tal vez por periodos limitados de tiempo. Por la posibilidad de aprovechar el personal existente y las inversiones realizadas con anterioridad en sistemas de informacin. Porque implica ms personalizacin de la solucin que se pretende adquirir o migrar, ya que est diseada para ajustarse a las necesidades propias de la institucin o, en general, de la empresa contratante. Para no perder el control en procesos ya instaurados en la institucin o empresa contratante. Para reducir una posible sobre exposicin a riesgos inherentes de lo anterior. Bajo este modelo, todos los recursos informticos (hardware, software, sistemas de redes, almacenamiento, otros) sern brindados a los consumidores de servicios -usuarios- de manera rpida segn lo que determina la demanda (virtualizacin, teletrabajo) y, para el caso especfico del Ministerio de Educacin, en todo el territorio nacional donde exista un medio de conectividad con los sistemas de informacin institucionales (lnea dedicada, servicio de Internet, acceso satelital).

100 Los recursos o servicios que se brinden son controlables a fin de asegurar cuestiones tales como la provisin misma de los servicios, la alta disponibilidad, la seguridad y la calidad en la entrega del servicio (que puede ligarse a la costumbre en cmo se entrega el servicio).

El factor clave para estas soluciones es que poseen la capacidad de ser escaladas de manera ascendente y descendente, de manera que los consumidores de servicios obtienen los recursos que necesitan para satisfacer sus necesidades, ni ms ni menos, y cuando son requeridos, aprovechando al mximo el costo de oportunidad.

Para el caso especfico del Ministerio de Educacin, estos consumidores de servicios pueden incluso convertirse en prosumidores; es decir, consumidores y productores de informacin algo importante de considerar por la creatividad inherente dado el mbito educativo de la institucin y que puede propiciar nuevos modelos de negocio tiles para el pas.

Los analistas de Gartner presentan la siguiente lista donde nos da a conocer que las tecnologas en donde se hace uso de centrales de datos estticos (como el hosting de datos comn), est pasando a ser tecnologa obsoleta, ya que desde el 2010 las

101 tecnologas emergentes que se destacan son aquellas en donde se hace uso de las redes sociales y sistemas de almacenamiento de datos tipo nube10.

Adems, de la Tabla 6 es evidente que: (a) para el xito de las futuras estrategias de negocio, las nuevas tecnologas estratgicas presentadas para 2012 incorporan en su diseo, desarrollo y operacin, el concepto de computacin en nube; y (b) que es inherente y vital el uso e interiorizacin de este concepto.

Tabla 6. Tecnologas estratgicas.


tem 1 2 3 4 5 6 7 8 2010 Cloud Computing Advanced Analytics Client Computing IT for Green Reshaping the Data Center Social Computing Security Activity Monitoring Flash Memory 2011 Cloud Computing Mobile Applications and Media Tablets Social Communications and Collaboration Video Next Generation Analytics Social Analytics Context-Aware Computing Storage Class Memory 2012 Media Tablets and Beyond Mobile-Centric Applications and Interfaces Contextual and Social User Experience Internet of Things App Stores and Marketplaces Next-Generation Analytics Big Data In-Memory Computing

10

http://www.10puntos.com/las-10-estrategias-tecnologicas-destacables-para-el-2011/

102
tem 9 10 URL 2010 Virtualization for Availability Mobile Applications http://www.gartner.com/it/ page.jsp?id=1210613 2011 Ubiquitous Computing Fabric-Based Infrastructure and Computers http://www.gartner.com/it/p age.jsp?id=1454221 2012 Extreme Low-Energy Servers Cloud Computing http://www.gartner.com/it/pag e.jsp?id=1826214

Fuente: Gartner

2.17. Hiptesis

2.17.1. Hiptesis general

El diseo apropiado de una nube privada como base de la infraestructura tecnolgica, teniendo en cuenta aspectos inherentes de seguridad de informacin, permitir al Ministerio de Educacin el uso eficiente de la tecnologa como base para el desarrollo de sus planes estratgicos a nivel nacional.

2.17.2. Hiptesis especficas

Existe un valor para la institucin en el empleo del paradigma de nube privada y segura.

103 El correcto anlisis de los componentes de una nube privada permitir desarrollar un diseo ptimo desde el punto de vista de la seguridad de la informacin. Al analizar las caractersticas que tienen los diferentes componentes se reduce el riesgo de errores en el diseo y en su orientacin final.

2.18. Variables

2.18.1. Variable Principal / Independiente

Con respecto a la hiptesis planteada, la variable independiente es: nube privada.

2.18.2. Variable Secundaria / Dependiente

Con respecto a la hiptesis planteada, la variable dependiente es: la seguridad.

2.18.3. Variable Interviniente

Con respecto a la hiptesis planteada, la variable interviniente es: el Ministerio de Educacin.

104 2.18.4. Operacionalizacin de la variable independiente

Las dimensiones que se trabajarn estarn relacionadas directamente con las promulgadas por la seguridad de la informacin, a saber: confidencialidad; integridad; disponibilidad. Estas dimensiones se han colocado en orden de importancia para este trabajo.

Los indicadores que se considerarn sern los siguientes, medidos en el lapso indicado:

Porcentaje de incumplimiento de las normas y polticas de seguridad nacionales con respecto a las vigentes durante el ltimo quinquenio.

Porcentaje

de

vulnerabilidades

explotadas

con

respecto

las

identificadas. Porcentaje de capacitaciones en seguridad de la informacin para usuario final que fueron llevadas a cabo con xito durante el ao.

105

CAPTULO III METODOLOGA

3.1. Tipo de investigacin

3.1.1. Descripcin del diseo

Se realizar la investigacin y desarrollo de un diseo de arquitectura de nube privada segura que podra considerarse apropiada para instituciones pblicas, especficamente para el Ministerio de Educacin. Este diseo de arquitectura segura se centra en la infraestructura como servicio (IaaS).

3.1.2. Tipo

El tipo de investigacin que se realizar ser aplicada.

3.1.3. Nivel

La presente investigacin se realizar en el plano tecnolgico.

3.1.4. Enfoque

El estudio se enfoca en la investigacin cualitativa de condiciones viables, que seguir un proceso inductivo en busca de la condicin ms apropiada o mezcla de

106 condiciones que mejor se adapte a la realidad de una institucin pblica en Per, desde el punto de vista de la seguridad de la informacin.

En el caso de este estudio, una nube privada permite controlar y centralizar este control de los servicios y recursos que ofrece la institucin a los alumnos, padres de familia y profesorado.

3.2. Poblacin muestra

El Ministerio de Educacin.

3.2.1. Tcnicas de recoleccin de datos

Las tcnicas que se emplearn sern las siguientes:

Bsqueda de informacin de fuentes secundarias, teniendo como referencia a los principales proveedores de infraestructura como servicio, mencionados en el cuadrante mgico de Gartner respectivo, a fin de precisar conceptos y trminos al respecto de la computacin en nube.

Bsqueda de experiencias similares en otros pases, mediante bsqueda en los sitios web de entidades representativas.

107 Reuniones de trabajo con proveedores locales de soluciones relacionadas, para la obtencin del presupuesto correspondiente como seal de factibilidad tcnica positiva. Investigacin cualitativa al realizar encuestas a jefes de departamento de TI de ministerios locales. Bsqueda de casos de xito local, mediante bsqueda en los sitios web de entidades representativas o publicaciones aparecidos en los principales diarios de circulacin nacional.

3.2.2. Tcnicas para el procesamiento y anlisis de la informacin

Las tcnicas que se emplearn sern las siguientes:

Registro de la informacin recabada en hojas de clculo. Ordenamiento y organizacin de los datos recabados. Desarrollo de un cuadro comparativo que permita evaluar diferentes condiciones de seguridad en nube generales o particulares para la entidad.

3.2.3. Viabilidad

Se tiene como primera fuente el diseo de una nube privada tanto en el sector privado como en el pblico por futuros proyectos de implementacin.

108 El desarrollo de este trabajo contemplar los costos asociados en la Tabla 7:

Tabla 7. Costos asociados a la investigacin.


RUBRO REMUNERACIONES Asesor Personal Apoyo CONSUMIBLES Artculos oficina Compra de artculos / papel Tner Artculos Oficina CERTIFICACIONES/CURSOS ISO/IEC 20000 ISO/IEC 27002 Gestin de servicios de TI orientada al Cloud Computing SERVICIOS Internet Telefona Mvil Servicio de suscripciones de papel Luz / Agua Refrigerios Transporte Fotocopias TOTAL 1 1 1 1 1 1 1 200 100 200 100 300 300 200 1 1 1 1,800 1,800 1,800 1 10 10 1 100 100 50 100 1 1 1,000 400 CANTIDAD COSTO UNITARIO COSTO TOTAL 1,400 1,000 400 1,700 100 1,000 500 100 5,400 1,800 1,800 1,800 1,400 200 100 200 100 300 300 200 9,900

Fuente: elaboracin propia

109

CAPTULO IV ANLISIS PRELIMINAR

4.1. Caso de estudio

El Ministerio de Educacin (MINEDU) es el rgano rector del sector educacin. La institucin mantiene una planilla salarial de las ms altas en el sector pblico, con trescientos veinte mil empleados activos, y presta servicios a nivel nacional para beneficio de aproximadamente 6 800 000 alumnos y 600 000 profesores. Cuenta con cuarenta y cuatro mil locales educativos pblicos y lidera diecisiete mil programas no escolarizados.

Si se hiciera una comparacin con cualquier organizacin pblica o privada actualmente en el pas, no se encontrara alguna que disponga de los recursos necesarios para poder gestionar la magnitud de lo que el MINEDU viene realizando.

El MINEDU cuenta con planes y proyectos para la atencin del sistema educativo nacional y aplica las TIC con la finalidad de optimizar sus procesos de gestin institucional, de brindar un mejor servicio a los usuarios del sector y de alcanzar sus objetivos estratgicos institucionales a la par que apoya los objetivos del Estado peruano.

110 Para este efecto, el MINEDU tiene como activo importante una gran cantidad de informacin como correos electrnicos; planillas; informacin histrica del rendimiento estudiantil y evaluacin docente; bases de datos de todas las Instituciones educativas a nivel nacional; informacin que los usuarios producen; e informacin publicada en el Portal Institucional, que tiene por finalidad informar a la ciudadana respecto al cumplimiento de los objetivos del MINEDU y garantizar la transparencia de los actos administrativos.

En la Figura 15 siguiente se muestran los principales sistemas de informacin que el MINEDU pone a disposicin de la ciudadana para su consumo.

Elaboracin con datos del sitio web del Ministerio de Educacin (MINEDU) Figura 15. Principales servicios publicados por MINEDU.

111 4.2. Situacin actual

Es mundialmente reconocido que en las soluciones modernas, especialmente las que involucran tecnologas de informacin, son gravitantes la estrategia de negocio de costo total de propiedad y la de proveer acuerdos de nivel de servicio.

La actual infraestructura tecnolgica del Ministerio de Educacin es diversa, en cuanto a fabricantes, sistemas operativos, herramientas, configuraciones y capacidades.

Esta diversidad tecnolgica dificulta la integracin de los recursos informticos y crea un desequilibrio en la provisin del apoyo a los sistemas de informacin, actuales y en desarrollo, adems que ocasiona problemas en su administracin por la no estandarizacin de los propios equipos y sus mantenimientos preventivos; trmite de garantas; disponibilidad y sostenibilidad del servicio; entre otros. Esto ltimo representa un riesgo alto para la sostenibilidad de los servicios informticos que atienden a los usuarios a nivel nacional.

La antigedad promedio de la plataforma tecnolgica actualmente en uso es mayor a cinco (05) aos. Esta condicin ocasiona un impacto econmico negativo por el consiguiente alto costo total de propiedad de la infraestructura tecnolgica empleada, y pone en riesgo la operativa de la institucin por emplear equipos con

112 garanta expirada que adems ya no cuentan con la capacidad necesaria o no ofrecen la suficiente flexibilidad para cubrir las necesidades de la institucin.

Todo lo anterior impacta negativamente en el servicio que el MINEDU entrega y planea entregar para su consumo por la comunidad educativa a nivel nacional.

A octubre de 2012, la condicin (vigencia u obsolescencia), distribucin (cantidad) y orientacin (produccin, soporte, test) de equipos que se listan en el Anexo A es como se muestra en la Figura 16 siguiente:

Fuente: elaboracin propia con datos de MINEDU, a octubre de 2012. Figura 16. Condicin, distribucin y orientacin de equipos utilizados en MINEDU.

113 Apreciamos que la infraestructura tecnolgica es obsoleta en un 49% y el uso de los equipos no est orientado a las labores de produccin que son las que permiten el uso de los sistemas de informacin.

Del mismo inventario podemos mostrar en la Figura 17 siguiente la distribucin de sistemas operativos empleados.

En esta figura se muestran en los crculos las caractersticas siguientes: (a) el hemisferio superior muestra la cantidad total de servidores que pertenecen a un determinado ambiente de trabajo; (b) la mitad izquierda del hemisferio inferior representa el porcentaje de contribucin de estos servidores a la condicin mostrada; (c) la mitad derecha del hemisferio inferior representa el porcentaje del total.

114

Fuente: elaboracin propia con datos de MINEDU, a octubre de 2012. Figura 17. Distribucin de sistemas operativos utilizados por MINEDU.

Conviene precisar que las limitaciones de recursos que tiene el Ministerio de Educacin no le permiten resolver integralmente los requerimientos de

automatizacin y/o implementacin de sistemas de informacin de a todas las reas de la Institucin.

115 Por esta razn, algunos rganos de lnea, han optado por contratar personal tcnico, en coordinacin con la Oficina de Informtica, para atender estos requerimientos no atendidos directamente.

Esta puede ser una de las razones de la limitada integracin que se observa en las aplicaciones como resultado del anlisis realizado. Es decir, sistemas informticos que no se comunican de manera eficiente, sino a travs de archivos externos que deben ser trabajados previamente, de manera manual.

Estas limitaciones pueden originar problemas de eficiencia tanto en el mantenimiento de los sistemas de informacin como en el uso de los mismos (doble esfuerzo para el ingreso de los mismos datos a los sistemas informticos). De la misma forma, esta situacin puede crear dificultades de confiabilidad de los sistemas informticos y de la informacin que proporcionan, por el riesgo de generarse informacin distinta, de dos o ms sistemas, sobre el mismo concepto.

Es evidente entonces la heterogeneidad de la infraestructura tecnolgica. Incluso de utilizan tres (03) bases de datos diferentes en los diferentes sistemas de informacin: Sybase; SQL Server; y MySQL, e incluso versiones diferentes de los productos. Esto implica la contratacin de especialistas con competencias variadas en cada caso: equipamiento; software base; herramientas para desarrollo.

116 Adicionalmente, en aos pasados el Ministerio de Educacin evalu la necesidad de proveer acceso a los sistemas de informacin que la institucin desarrollaba a las diferentes dependencias u organismos afines al sector, a nivel nacional.

Como resultado de esta evaluacin, el Ministerio de Educacin decidi implementar un servicio de interconexin, con el fin de proveer un medio seguro y confiable que permitiera adems ahorros econmicos en cuanto a llamadas telefnicas de larga distancia nacional.

De la relacin de nodos remotos del Ministerio de Educacin a nivel nacional que se muestra en el Anexo B, se obtienen los datos que se muestran en la Figura 18 siguiente.

En esta figura se muestran las caractersticas siguientes: (a) el tipo de nodo remoto (DRE11 o UGEL12) y su medio de conectividad (VPN13, IP-VPN14 o WAN15);

11

12 13 14 15

DRE = Direccin Regional de Educacin. Segn la Ley 28044 Ley General de Educacin, es un rgano especializado del Gobierno Regional responsable del servicio educativo en el mbito de su respectiva circunscripcin territorial. UGEL = Unidad de Gestin Educativa Local. Se utiliza OpenVPN como servidor; los clientes utilizan software o un appliance (equipo dedicado). Se utilizan enlaces ADSL canalizados a la red MPLS del proveedor de servicios. Se utilizan enlaces de lneas dedicadas canalizados a la red MPLS del proveedor de servicios.

117 (b) el nmero de nodos del tipo enunciado; y (c) el porcentaje que este tipo de nodo representa, del total de nodos remotos.

Fuente: elaboracin propia con datos de MINEDU, a octubre de 2012. Figura 18. Distribucin de nodos remotos de MINEDU a nivel nacional.

Se hace evidente que slo el 47% de nodos est interconectado, lo cual representa un gasto de S/. 8 000 000 para este ao. Segn estimados realizados por el operador incumbente (dominante), interconectar el 53% restante, incluyendo ampliaciones de ancho de banda en las localidades donde hay factibilidad tcnica,

118 mejorar el servicio de voz e incorporar el servicio de video conferencia para todos los nodos, el presupuesto asciende a S/. 140 000 000, lo cual hace inviable el proyecto.

Sobre la interconexin, vemos que principalmente se realiza mediante servicios VPN (72% de las entidades interconectadas lo que representa el 34% del total de entidades con necesidades de interconexin), ms que utilizando el servicio mismo WAN (28% de las entidades interconectadas lo que representa el 13% del total de entidades con necesidades de interconexin) lo cual hace que la tasa de penetracin del servicio sea slo del 47%, principalmente por la carencia de factibilidades tcnicas apropiadas.

4.3. Necesidad a satisfacer

Siendo que la Oficina de Informtica de MINEDU tiene los siguientes objetivos institucionales:

Establecer polticas, normas y estndares para el uso de los recursos informticos (hardware y software) en el Sector Educacin;

Evaluar, proponer e implementar nuevas tecnologas como soluciones para la optimizacin de los procesos administrativos y de gestin institucional;

119 Desarrollar los sistemas de informacin que requiere la gestin del MINEDU; Administrar la Base de Datos Institucional en un esquema racional e integrado; Establecer la conectividad requerida entre la Sede Central y los rganos desconcentrados de gestin del MINEDU y presta el soporte tecnolgico para asegurar la operatividad continua del equipamiento de cmputo y comunicaciones (Redes Locales - LAN / Red Nacional - WAN), evaluando y proponiendo la renovacin del parque informtico de acuerdo al avance tecnolgico. Y dada la coyuntura poltica actual que vive el pas y en consonancia con su misin16 y atendiendo a regulaciones y normativas de carcter legal, adems de buscar resolver problemas puntuales como los enunciados, el MINEDU busca renovar su plataforma tecnolgica y los resultados que espera obtener de esta renovacin son los siguientes:

Dar cumplimiento a leyes peruanas como las siguientes:

16

Reglamento de organizacin y funciones (ROF-MED2006): http://www.minedu.gob.pe/normatividad/reglamentos/ROF-MED2006.php

120 o Ley de contrataciones del Estado Peruano. o Ley N 27446, Sistema Nacional de Evaluacin del Impacto Ambiental. Dar cumplimiento a Normas Tcnicas Peruanas17. Una norma tcnica es el documento, establecido por consenso y aprobado por un organismo reconocido, que establece, para un uso comn y repetido, reglas, directivas o caractersticas para ciertas actividades o sus resultados, con el fin de conseguir un grado ptimo de orden en un contexto dado. En el caso de una norma tcnica internacional, es una norma adoptada por una organizacin internacional con actividades de normalizacin y puesta a disposicin del pblico. o La Norma Tcnica Peruana no exige la certificacin, pero si la consideracin y evaluacin de los principales dominios al momento de elaborar los planes de seguridad de la informacin, en cada una de las entidades pblicas. Estas normas constituyen estndares referenciales y no son obligatorios. De acuerdo con INDECOPI, las normas tcnicas peruanas son de carcter voluntario, sin

17

La Comisin de Reglamentos Tcnicos y Comerciales del INDECOPI, de acuerdo a lo dispuesto en el artculo 26 del Decreto Ley 25868, y el artculo 49 del Decreto Legislativo 807, es el Organismo Nacional de Normalizacin, el cual aprueba las Normas Tcnicas Peruanas (NTP) recomendables para todos los sectores.

121 embargo, si su inaplicacin afecta la seguridad, la salud, la proteccin al consumidor o el ambiente, los Organismos Competentes (Ministerios), las pueden hacer obligatorias,

incorporndolas en sus Reglamentos Tcnicos [cursivas aadidas]. Algunas normas tcnicas de inters para el presente trabajo son las siguientes: o NTP ISO 9001:2009, Sistemas de gestin de la calidad. Requisitos. 5a.ed. R. 9-2009/CNB-INDECOPI (2009-04-15). Establece los requisitos para un sistema de gestin de la calidad, cuando una organizacin necesita demostrar su capacidad para proporcionar regularmente productos que satisfagan los requisitos del cliente y los legales y reglamentarios aplicables [cursivas aadidas]. o NTP ISO/IEC 27001:2008, EDI. Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de seguridad de la informacin. Requisitos. R. 0072-2000/INDECOPI-CRT (2009-0111). Cubre todo los tipos de organizaciones (como por ejemplo: empresas comerciales, agencias de gobierno y organizaciones sin fines de lucro). Esta NTP especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un ISMS documentado dentro del contexto de los riesgos de negocio de la organizacin. Especifica los requisitos para implementar los controles

122 de seguridad, adaptado a las necesidades individuales de las organizaciones o partes de las mismas [cursivas aadidas]. o NTP ISO/IEC 20000-1:2008, Tecnologa de la informacin. Gestin del servicio. Parte 1: Especificaciones. R. 0072-2000/INDECOPICRT (2009-01-11). Define los requisitos para que un proveedor del servicio proporcione servicios gestionados de una aceptable calidad a sus clientes [cursivas aadidas]. Dar cumplimiento a normas internacionales y controles generales en TI basados en COBIT 4.1 como mnimo. Contar con una infraestructura tecnolgica moderna, integral e integrada, flexible y escalable, de alto rendimiento y capacidad, segura y confiable, apta para la envergadura de tratamiento de datos que ser exigido por los nuevos sistemas de informacin de misin crtica que el Ministerio de Educacin se encuentra desarrollando en concordancia con sus objetivos estratgicos. Despliegue casi inmediato de nuevos servicios cuando estn disponibles. Facilidad y flexibilidad para desarrollar pilotos de servicios a nivel nacional e internacional (concursos, difusin, premiaciones,

capacitaciones, otros.

123 Centralizar, concentrar y estandarizar los esfuerzos independientes de diferentes reas y unidades operativas descentralizadas a nivel nacional, y no especializadas en lo que a tecnologa de informacin se refiere. Asegurar la alta disponibilidad de los sistemas de informacin estratgicos que entrega a la comunidad educativa frente a eventos coyunturales polticos o de participacin ciudadana, desastres naturales, averas en servicios provistos por terceros u otros factores que escapan a su injerencia o responsabilidad. Estar en capacidad de acordar niveles de servicio con los usuarios, sincerados con respecto a la capacidad y caractersticas de la nueva plataforma tecnolgica. Convertirse en referente dentro del sector pblico al garantizar a la sociedad civil y al sector educativo del pas un servicio eficiente y efectivo.

4.4. Solucin propuesta

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) ha sugerido el esquema de toma de decisiones (INTECO, 2011) que se muestra en la Figura 19 siguiente, con la finalidad de determinar si existe un beneficio real en el empleo de la computacin en nube:

124

Fuente: INTECO. Figura 19. Esquema de toma de decisiones.

Se ha realizado un anlisis FODA situacional con los especialistas del centro de datos del MINEDU, y los hallazgos se muestran en la Figura 20 siguiente:

125

Fuente: elaboracin conjunta con especialistas de MINEDU. Figura 20. FODA situacional del centro de datos de MINEDU.

En consecuencias, se propone homogenizar y estandarizar la infraestructura tecnolgica.

Si bien la sola implementacin de tecnologa no es una estrategia, el objetivo primordial es que con una plataforma tecnolgica renovada ser posible llevar a cabo los esfuerzos estratgicos de la institucin. Por ello, se plantean las estrategias que se plantean en la Figura 21 siguiente:

126

Fuente: elaboracin propia. Figura 21. Estrategias propuestas para el centro de datos de MINEDU.

Esta propuesta ofrece la posibilidad de aprovechar el conocimiento del personal existente, adems de mejorar el clima laboral al proveer una lnea de carrera importante que asegure su permanencia, y las inversiones en sistemas de informacin realizadas con anterioridad por MINEDU. Adems, implica ms especificidad en la solucin adquirida, ya que est diseada para ajustarse a las necesidades propias de MINEDU, sobre la base de estndares internacionales de gestin.

127

CAPTULO V RESULTADOS

5.1. Polticas y procesos

De acuerdo con la normativa oficial, definir la Poltica de seguridad de la informacin es una responsabilidad propia del MINEDU.

Adems, es necesario disponer que los documentos normativos internos contengan clusulas o artculos que apoyen esta iniciativa de seguridad. De esta manera se podrn alinear los procesos internos y orientar sus respectivos procedimientos a la seguridad de la informacin.

Un proceso importante es el de adquisiciones. A este respecto, no basta con slo desarrollar un documento donde se planteen las caractersticas tcnicas 18 del producto que se requiere adquirir, tambin es necesario que el marco legal 19 con el

18 19

A este documento se le denomina Trminos de Referencia -TDR. A este documento se le denomina Bases.

128 que se publica en el SEACE20 se modernice e incorpore las clusulas necesarias que faciliten el nuevo proceso.

Dado que el MINEDU necesita reemplazar su actual plataforma tecnolgica por una Solucin moderna, integral e integrada, flexible y escalable, de alto rendimiento y capacidad, segura y confiable, apta para la envergadura de tratamiento de datos que ser exigida por los nuevos sistemas de informacin que se encuentra desarrollando en concordancia con sus objetivos estratgicos.

La modalidad de ejecucin elegida para dicha Solucin es llave en mano porque est constituida por diversos componentes y cada componente por diversos elemento de configuracin (EC), todos los que deben estar integrados e inter-operar con los dems EC ya existentes en el ecosistema de la plataforma tecnolgica del MINEDU, o con nuevos, producto del desarrollo de nuevos sistemas de informacin.

Esta integracin e interoperabilidad de los componentes requeridos de la Solucin con el ecosistema del MINEDU exigen un nivel de experiencia importante por la envergadura del proyecto y los servicios profesionales correspondientes, ya que

20

Sistema Electrnico de Contrataciones del Estado, regulado por el Organismo Supervisor de las Contrataciones del Estado -OSCE

129 una inadecuada implementacin pondra en riesgo los servicios que la institucin entrega a la comunidad educativa.

En esa lnea, y siguiendo las recomendaciones de la NTP ISO/IEC 27001, se plante el escenario de trabajo que se muestra en la Figura 22 siguiente, donde los componentes que constituyen la Solucin completa no estn sombreados:

Fuente: elaboracin propia. Figura 22. Esquema propuesto de arquitectura con base en la NTP ISO/IEC 27001.

Deben considerarse los siguientes aspectos:

130 Que el proveedor sea responsable de asegurar el funcionamiento del componente especfico requerido de la Solucin, integrado e

interoperable con el resto de componentes de la Solucin completa, y con los EC ya existentes en el MINEDU. En los diseos de los componentes de la Solucin se deber adoptar la recomendacin del modelo de computacin en nube privada referida a que los servicios deben ser entregados mediante la virtualizacin de los EC. La administracin de los servicios entregados por un componente en particular de la Solucin completa y, por ende, la administracin de los EC, debe ser uniforme, centralizada e integrada, en consonancia con el modelo adoptado de computacin en nube privada. Cada EC del componente propuesto de la Solucin deber ser proporcionado en cantidad suficiente, deber quedar completamente operativo y disponible para su utilizacin, con el 100% de sus partes, piezas, cables, conectores y otros, instalados y configurados, as como con todas las licencias de software o firmware necesarias para su utilizacin al 100% como componente integrado de la Solucin. Todos los componentes que constituyen la Solucin propuesta para el MINEDU se describen a continuacin, con propsito didctico y normativo, con el fin de esclarecer la integracin e interoperabilidad requeridas.

131 a. Componente Servidores blade El diseo conceptual de la nueva plataforma tecnolgica adopta el modelo de computacin en nube privada. Como iniciativa verde, propugna el uso eficiente de los recursos computacionales minimizando el impacto ambiental, maximizando su viabilidad econmica y asegurando deberes sociales.

El nuevo hardware de servidores implica gabinetes, chasises, procesadores, memoria RAM y se ha elegido la tecnologa blade por cuanto facilita migrar a una arquitectura de centro de datos de alta densidad lo que reduce significativamente el consumo elctrico y el uso sistemas de refrigeracin.

Estos nuevos servidores se interconectarn con los servidores que deban mantenerse an en operacin debido a que trabajan con aplicaciones heredadas.

Esta interconexin se realizar a travs de los EC considerados en el componente Comunicaciones de la Solucin completa.

Los servidores debern ser configurados en alta disponibilidad para asegurar los servicios y evitar un nico punto de falla.

b.

Componente Software para virtualizacin Este componente especfico de la Solucin completa debe permitir, como mnimo:

132 Independizar tres ambientes de trabajo: Desarrollo; Q&A; y Produccin Movilidad de mquinas virtuales entre el centro de datos principal (CDP) y el centro de datos alterno (CDA) que sera necesario implementar. Construir un nmero de mquinas virtuales al menos el doble de la cantidad actualmente utilizada. Preparar la infraestructura para el empleo de escritorios virtuales (VDI).

c.

Componente Almacenamiento jerrquico Este componente de la Solucin completa consta de un sistema de almacenamiento principal (storage), almacenamiento secundario y librera de cintas (robot), interconectados mediante switches SAN, adems del software de respaldo correspondiente.

Se solicita que este componente de la Solucin completa permita realizar el respaldo de datos del sistema de almacenamiento principal en un sistema de almacenamiento secundario con base en tecnologa de discos duros (primero), y librera fsica de respaldo en cinta (segundo).

El sistema de almacenamiento en disco debe permitir, como mnimo:

Guardar imgenes de los sistemas operativos instalados.

133 Iniciar el sistema operativo de los servidores desde este sistema.

El sistema de almacenamiento en disco debe ofrecer, como mnimo:

Rapidez en la recuperacin de los servicios por fallo en discos. Caractersticas de calidad de servicio.

El sistema de almacenamiento secundario debe contar con capacidad de deduplicacin.

El sistema de librera de cintas debe permitir que los datos del sistema de almacenamiento pasen directamente al robot para el respaldo de datos correspondiente.

Este Sistema jerrquico debe ser diseado de forma tal que, como mnimo:

Se interconecte con el componente Comunicaciones de la Solucin completa, utilizando estndares de convergencia y se integre con la solucin SAN del Ministerio de Educacin actualmente en operacin, y que al hacerlo, no pierda las funcionalidades requeridas.

Los EC ubicados en el CDP y en el CDA funcionen en alta disponibilidad.

134 Los EC estn preparados para operar a travs de fibra oscura (sncrona) o de enlaces dedicados (asncrona) con protocolo IP. Por estar preparados se entiende: contar con las licencias de software instaladas de la versin necesaria y en cantidad suficiente, con el software configurado de manera ptima; contar con las partes y piezas necesarias (conectores, cables, adaptadores, otros) ya instaladas e interconectadas, y en cantidad suficiente; contar con el firmware actualizado y de la versin requerida para asegurar la interoperabilidad.

d.

Componente Comunicaciones MINEDU ha diseado e implementado un sistema de comunicaciones el cual involucra los esquemas de conectividad y seguridad de una red cableada e inalmbrica, desplegada en toda la infraestructura de la institucin.

Este diseo se ha venido implementando sistemticamente con xito y es necesario mantener la funcionalidad desplegada en la red cableada e inalmbrica, tanto en la caracterstica tcnica del equipamiento, su gestin, administracin, polticas de seguridad y acceso integradas a travs de una sola herramienta con la que actualmente cuenta el MINEDU, todo esto con el fin de garantizar y mantener la compatibilidad, funcionabilidad y operatividad de los equipos existentes y adems de facilitar la operacin y gestin de los accesos minimizando el ndice de errores.

135 e. Componente Balanceadores de Aplicaciones Los balanceadores de aplicaciones se emplearn para un despliegue eficiente de los servidores Web que son el punto de ingreso para las aplicaciones de misin crtica actuales y nuevos sistemas que estn en pleno desarrollo.

Estos equipos balanceadores de aplicaciones se ubicarn en la capa de servicios.

Estos equipos balanceadores de aplicaciones debern ser configurados en alta disponibilidad para asegurar el servicio y evitar un nico punto de falla.

f.

Componente Firewalls de alto rendimiento Los firewall de alto rendimiento, especiales para centros de datos, son necesarios con el fin de soportar los requerimientos actuales e incrementos futuros de ancho de banda del servicio de Internet y apoyar la implementacin del modelo de computacin en nube privada que requiere el Ministerio de Educacin.

Estos equipos firewall de alto rendimiento debern ser configurados en alta disponibilidad para asegurar el servicio y evitar un nico punto de falla.

g.

Componente Balanceadores de enlaces Internet El uso de estos balanceadores permitir emplear cuatro enlaces Internet configurados en modo activo y balancear entre ellos de manera eficiente el

136 trfico Internet total, entrante y saliente, para un mejor rendimiento del servicio de Internet, mayor disponibilidad, flexibilidad en la asignacin de recursos, y provisin de recursos por demanda, ente otros beneficios.

Ninguno de los enlaces descritos es parte integral de este componente o de ningn componente de la Solucin.

Dos de estos enlaces atendern el servicio Internet institucional y los otros dos enlaces atendern el servicio Internet de aplicaciones de misin crtica.

En caso de urgencia, los enlaces del servicio institucional debern servir como respaldo de los de misin crtica.

Los balanceadores de enlaces Internet sern configurados en alta disponibilidad para asegurar el servicio integral y evitar un nico punto de falla.

h.

Componente Solucin para el monitoreo de la infraestructura tecnolgica y de servicios La solucin de monitorizacin debe permitir, como mnimo:

La visualizacin del comportamiento de los EC en tiempo real.

137 Mostrar los datos grficamente, con diferentes niveles de granularidad temporal (cinco minutos como mnimo, horas, das, semanas, seis meses como mnimo). Mostrar en un tablero de control centralizado el estado de cada uno de los EC que son monitorizados, por ejemplo: aplicaciones, servidores de archivos, bases de datos, ERP, middleware, servidores web, servidores de correo, sistemas virtuales, recursos pblicos en la nube, otros. El monitoreo de los EC de comunicaciones de voz y de datos. El monitoreo de transacciones Web desde las URL hasta las peticiones SQL. La arquitectura final propuesta se muestra en la Figura 23, donde la implementacin de la Solucin completa implica renovar la infraestructura de la red del centro de datos, como se muestra en el diagrama siguiente, donde en lnea entrecortada se muestra la ubicacin de los EC de la Solucin (los enlaces Internet para las aplicaciones de misin crtica y los enlaces institucionales no son componentes de la Solucin y se muestran slo como referencia):

Esta renovacin implica integrar la total funcionalidad desplegada y, a su vez, emplear nuevos EC como switches especiales para centro de datos en una infraestructura de red convergente y la adicin de switches para la capa de servicios,

138 donde se ubicarn los esquemas de balanceo de carga en general, la proteccin y seguridad para las redes del centro de datos.

Fuente: elaboracin propia. Figura 23. Arquitectura propuesta, con base en la NTP ISO/IEC 27001.

Los switches especiales para centro de datos son esenciales ya que se ha optado por implementar el modelo de computacin en nube privada con el cual se busca alcanzar los beneficios de concentracin e integracin, convergencia, y provisin rpida y flexible de servicios a nivel nacional, y para la operacin de la alta disponibilidad entre los centros de datos.

139 Estos switches especiales para centro de datos debern configurarse en alta disponibilidad para asegurar el servicio y evitar un nico punto de falla.

Estos switches especiales para centro de datos debern permitir, como mnimo:

Agrupar e independizar totalmente los servicios del centro de datos de las redes LAN y WAN.

Desarrollar una zona de servicios, acorde con el modelo de computacin en nube y SOA, que provea una capa de servicios de seguridad.

Interconectar los servidores actuales al componente Sistema jerrquico.

En el Anexo E se ofrece un modelo de documento TDR con base en lo anterior, el cual ha sido socializado a diferentes proveedores de soluciones en nube y validado por ellos que cumple con los trminos de la Ley de Contrataciones del Estado.

5.2. Encuestas

Se han emitido 17 encuestas por correo y se han recibido hasta el momento tres respuestas. El detalle de estas respuestas se encuentra en el Anexo C.

Los resultados iniciales de la encuesta muestran que los Ministerios encuestados estn considerando implementar un modelo de nube privadas, el enfoque

140 de servicio se encuentra orientado al software como servicio (SaaS) pero se considera tambin la infraestructura como servicio (IaaS).

La tecnologa de nube aun no es considerada como un elemento relevante dentro de sus proyectos actuales. Pero existe el deseo futuro de migrar algunos de sus servicios crticos a este modelo, consideran que sus procesos de seguridad deben ser reevaluados.

Los Ministerios encuestados indican que los principales beneficios que podran generarse con el uso de este modelo, son ahorro de costos y una mayor capacidad para expandir sus servicios actuales.

5.3. Condiciones de riesgo

Buscar obtener cambios sustantivos en cuanto a seguridad de la informacin sin haber sentado las mejoras a las bases legales y normativas al respecto.

Otro aspecto es el calendario de adquisiciones que se debe tener en cuenta de modo que las mismas sumen los esfuerzos individuales en favor de la seguridad de la informacin. Por ello, planteamos el derrotero de adquisiciones que se muestra en la Figura 24 siguiente:

141

Fuente: elaboracin propia. Figura 24. Arquitectura propuesta, con base en la NTP ISO/IEC 27001.

5.4. Seguridad en la solucin

Desde el punto de vista tecnolgico, es necesario identificar, clasificar, tratar, valorar riesgos, asignar roles y responsabilidades, implementar controles y proteger la informacin, as como todo equipo que se utilice para su almacenamiento y procesamiento o medio que se utilice para su transmisin.

Desde el punto de vista legal, es necesario reconocer que una probable estandarizacin de productos o marcas podra decantar en mejoras a la legislacin

142 referida a contrataciones del estado y hasta un cambio radical de ser necesario; lo que apoyar adems a la tendencia verde en todo el pas.

Esto conlleva, entre otros aspectos, a lo siguiente:

Definir la Poltica de seguridad de la informacin, las normas de apoyo y procedimientos de ejecucin requeridos.

Generar conciencia. Difundir y capacitar de forma apropiada y continua, incluyendo el entrenamiento que pueda ser requerido.

Interiorizacin de la importancia de la seguridad de la informacin. Monitorizar y mantener la efectividad de la Poltica de seguridad de la informacin.

Con el fin de incrementar controles de gestin que apoyen la seguridad de la arquitectura durante su implementacin, se proponen los controles SGSI mostrados en el Anexo D, que guardan relacin con los controles propuestos por la Cloud Security Alliance (CSA).

143

CAPTULO VI OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES

6.1. Observaciones

Las limitaciones para considerar el uso de este modelo estn relacionadas con la desconfianza con dicho modelos como tambin los riesgos con la seguridad de la informacin y la prdida de control sobre su informacin. Esto sumado a la falta de un marco regulatorio nacional al respecto.

Como se puede apreciar, para la adecuada adopcin de este paradigma existen mejoras que realizar a la legislacin referida a contrataciones del estado y hasta un cambio radical puede ser necesario.

Esto se hace ms evidente si consideramos que en la actualidad el componente seguridad de la informacin es vital, considerando sus aspectos mandatorios de disponibilidad, integridad y confidencialidad, y un dado en proyectos de envergadura como los que las entidades pblicas desarrollan en beneficio de la ciudadana.

Esta iniciativa, correctamente implementada y gestionada, apoyar adems a la tendencia verde en todo el pas y contribuir con ahorros econmicos importantes en beneficio de la economa nacional.

144 6.2. Conclusiones

Con este trabajo se demuestra que es posible la formacin de una nube privada segura en el sector pblico peruano y se comprueba que, dada la coyuntura y el estado de la infraestructura tecnolgica actual, el modelo ms adecuado a seguir por el Ministerio de Educacin es el de nube privada.

Se puede extender la seguridad de la infraestructura a mantener informacin valiosa y confidencial en nube privada y emplear la nube pblica para almacenar y procesar otro tipo de informacin. As se estara propiciando el empleo del modelo de nube hbrida.

6.2.1. Viabilidad de la solucin

Tomando como base la situacin actual de la plataforma tecnolgica del Ministerio de Educacin, y la coyuntura poltica por la que pasa en estos momentos, se propuso a la institucin la adopcin de este nuevo paradigma de computacin, como componente de apoyo a la estrategia de renovacin formulada, con los objetivos siguientes; entre otros:

Ahorro al erario nacional (inversiones centralizadas con beneficio del volumen y con administracin eficiente y efectiva).

145 Simplificacin de procesos y reduccin de esfuerzos (evitando la proliferacin de sistemas de informacin similares y a la vez diferentes, potencialmente por cada regin). Optimizacin de servicios y productos (mediante el empleo de estndares y mejores prcticas en la industria). Reduccin de tiempo inoperativo de los servidores pblicos (por fallo de equipos especializados en provincias que deben ser enviados a la oficina central del MINEDU para gestionar su reparacin o reemplazo por garanta). Reduccin de reclamaciones y quejas (por servicio ineficiente o incapacidad de entregar el servicio). Incremento de valor en la prestacin de los servicios y desarrollo de productos (apoyados en la gestin de la mejora continua y buenas prcticas para la gestin de proyectos). La propuesta de la infraestructura tecnolgica fue aceptada a tal punto que se form un equipo de trabajo que desarroll el perfil del proyecto de inversin el cual se registr en el Sistema Nacional de Inversin Pblica (SNIP) del Ministerio de Economa y Finanzas.

146 Actualmente este Proyecto de Inversin Pblica (Cdigo SNIP: 20446021) se encuentra con la FACTIBILIDAD APROBADA por la OPI-PCM el 12/03/2013 y la Unidad Formuladora lo declar de competencia Nacional.

6.3. Recomendaciones

Conformar un equipo de trabajo idneo el cual debe sentar las bases tcnico-legales para realizar la implementacin prctica del diseo propuesto en el MINEDU.

Desarrollar una nube comunitaria del Estado Peruano, conformada por las nubes privadas de los diferentes poderes del estado y ministerios, sobre la base sentada por la arquitectura propuesta.

Este modelo puede ampliarse a una nube pblica desde el punto de vista de las instituciones relacionadas al sector que pueden beneficiarse de la experiencia del rgano regulador, con beneficio en lo econmico y por la descentralizacin inherente que beneficia finalmente al estado peruano.

21

Para ms informacin puede ingresar el Cdigo SNIP en el campo correspondiente de la pgina http://www.mef.gob.pe/contenidos/inv_publica/banco/consultapip.php.

147 Utilizar la Plataforma de Interoperabilidad del Estado (PIDE) para facilitar y agilizar la integracin de las entidades pblicas a travs de este bus de servicios, lo que generara ahorros econmicos mayores para el estado.

6.3.1. Vigencia de la solucin

Ampliando el espectro de soluciones o de futuras investigaciones que pueden decantarse del presente trabajo, tenemos por ejemplo:

Se puede plantear el reemplazo de los balanceadores de carga Internet por un Sistema Autnomo (AS). El Ministerio de Educacin podra adquirir un segmento de direcciones IPv6, las que seran en adelante fijas, y en adelante no tendra que preocuparse por el riesgo que siempre existe al cambiar de operador que brinda el servicio de Internet. Cabe ampliar la seguridad que podra lograrse utilizando las caractersticas de seguridad inherentes a este protocolo.

Podramos preguntarnos, cul es la mejor manera de extender la seguridad de la infraestructura con el fin de mantener informacin valiosa y confidencial dentro de la nube privada y emplear la nube pblica para almacenar y procesar otro tipo de informacin?

148

FUENTES DE INFORMACIN

Disipando la niebla alrededor de cloud computing. (Enero de 2010). Recuperado el 11 S.PDF Bloomberg, J. (08 de Noviembre de 2012). Workloads in Cloud Computing: A Twist on an Old Concept. Recuperado el 10 de Febrero de 2013, de devx.com: http://www.devx.com/blog/understanding-cloud-workloads.html BusinessDictionary. (2013). Analytics: definition. Recuperado el 10 de Febrero de 2013, de BusinessDictionary.com: http://www.businessdictionary.com/definition/analytics.html Centro Nacional de Referencia de Aplicacin de las Tecnologas de Informacin y la Comunicacin basadas en Fuentes Abiertas -CENATIC. (2011). OSS procurement guideline. 2.3.1. Definicin de la arquitectura de TI. Recuperado el 1 de Noviembre de 2012, de Foro de intercambio de experiencias en migracin a fuentes abiertas para las administraciones pblicas: http://wiki.cenatic.es/wikiesp/index.php/2.3.1_Definici%C3%B3n_de_la_arq uitectura_de_TI Cloud Security Alliance -CSA. (2011). Security Guidance for Critical Areas of Focus in Cloud Computing. (C. S. Alliance, Ed.) Recuperado el 1 de Noviembre de 2012, de CSA: https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf Comisin Europea. (2010). European Interoperability Framework (EIF) for European public services. Recuperado el 1 de Noviembre de 2012, de Comisin Europea: http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf de Febrero de 2013, de IBM Smart Business: ftp://ftp.software.ibm.com/common/ssi/ecm/es/ciw03062eses/CIW03062ESE

149 Computacin en Nube. (2013). Qu es la Computacin en Nube ? Recuperado el 02 de Febrero de 2013, de Computacin en Nube: http://www.computacionennube.org/ Computing Now. (Setiembre de 2009). Cloud Computing: Opportunities and Challenges. (I. C. Society, Editor) Recuperado el 31 de Enero de 2013, de Computing Now IEEE Computer Society: http://www.computer.org/portal/web/computingnow/archive/september2009 Daz, . L. (27 de Setiembre de 2011). If it is not Interoperable, If it is not Portable, It is not Cloud. Recuperado el 02 de Febrero de 2013, de http://www.wired.com: http://www.wired.com/insights/2011/09/if-it-is-not-

interoperable-if-it-is-not-portable-it-is-not-cloud/ Diskeeper Corporation. (2006). Virtualizacin y rendimiento de discos. Recuperado el 1 de Noviembre de 2012, de Diskeeper Corporation: http://www.danysoft.com/free/dk07virtudisk.pdf EMC2. (2010). Creacin De Una Nube Confiable: Estrategias De Implementacin Para Nubes Privadas e Hbridas. Recuperado el 05 de Febrero de 2013, de mexico.emc.com: cloud-trust-ep.pdf Estrella Verdesoto, S. (Setiembre de 2008). Uso del modelo Costo total de propiedad (TCO) para comparar frameworks. Recuperado el 28 de Enero de 2013, de http://bibdigital.epn.edu.ec: http://bibdigital.epn.edu.ec/bitstream/15000/912/1/CD-1802%282008-12-0209-50-33%29.pdf European Network and Information Security Agency -ENISA. (2009). Computacin en nube: Beneficios, riesgos y recomendaciones para la seguridad de la informacin. Recuperado el 1 de Noviembre de 2012, de ENISA: http://mexico.emc.com/collateral/emc-perspective/h8558-

150 http://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-risk-assessment-spanish European Network and Information Security Agency -ENISA. (2011). Seguridad y resistencia en las nubes de la Administracin Pblica. Recuperado el 1 de Noviembre de 2012, de ENISA: http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/es_go vernmental_clouds_enisa.pdf Fabregat, M. (28 de Diciembre de 2010). La nube. IaaS, PaaS, SaaS, ITaaS. Un breve repaso de conceptos. Recuperado el 28 de Enero de 2013, de Adhoc Synectic Systems Blog: http://ad-hoc.net/blogs/2010/12/la-nube-iaas-paas-saas-itaa-unbreve-repaso-de-conceptos/ Fang, L., Jin, T., Mao, J., & et.all. (Setiembre de 2011). Cloud Computing Reference Architecture. (NIST, Ed.) Recuperado el 02 de Febrero de 2013, de Special Publication http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 Fellner, A. (s.f.). Gestin Del Costo De Tecnologa De La Informacin: Costo Total De Propiedad. Recuperado el 28 de Enero de 2013, de http://eco.unne.edu.ar: http://eco.unne.edu.ar/contabilidad/costos/SanLuis2006/area3d.pdf Fernndez Domnguez, J. M. (24 de 01 de 2013). La culpa la tiene el gobierno... de TI. Obtenido de http://www.computing.es/Informes/200906240022/La-culpala-tiene-el-Gobierno%E2%80%A6-de-TI-Jose-Manuel-FernandezDominguez-PWC.aspx Geyer, R. J. (23 de Mayo de 2012). Identifying Workloads for the Cloud. Recuperado el 11 de Febrero de 2013, de RightScale Blog: http://blog.rightscale.com/2012/05/23/identifying-workloads-for-the-cloud/ 500-292:

151 Hevia, E. (1999). Concepto moderno de auditoria interna. Partida Doble, nmero 139. Horwarth, Crowe; Chan, Warren; Leung, Eugene; Pili, Heidi. (2012). Enterprise Risk Management for Cloud Computing. Recuperado el 1 de Noviembre de 2012, de Committee of Sponsoring Organizations of the Treadway Commission COSO: http://www.coso.org/documents/Cloud%20Computing%20Thought%20Paper .pdf HP. (Enero de 2011). Finding the right cloud solutions for your organization. Recuperado el 04 de Febrero de 2013, de hp.com: http://h18006.www1.hp.com/storage/pdfs/4AA3-2633ENW.pdf Hurwitz, J., & Kaufman, M. (2011). Private Cloud for Dummies, IBM Limited Edition. New Jersey, NJ, USA: John Wiley & Sons, Inc. Hurwitz, Judith; Bloor, Robin; Kaufman, Marcia. (2010). Cloud Computing For Dummies, HP Special Edition. Indianapolis, IN, USA: John Wiley & Sons, Inc. IBM Global Services. (Junio de 2011). IBM Cloud: Rethink IT. Reinvent business. Recuperado el 04 de Febrero de 2013, de ibm.com: http://business-reviewvodcasts.com/ibm-site/CloudCustQuickWP_PoVv4.pdf IBM Smart Business. (Enero de 2010). Disipando la niebla alrededor de cloud computing. Recuperado el 11 de Febrero de 2013, de ibm.com: ftp://ftp.software.ibm.com/common/ssi/ecm/es/ciw03062eses/CIW03062ESE S.PDF INTECO. (14 de Noviembre de 2011). Gua para empresas: seguridad y privacidad del cloud computing. Recuperado el 28 de Enero de 2013, de Instituto

152 Nacional de Tecnologas de la Comunicacin -INTECO:

http://www.inteco.es/Seguridad/Observatorio/guias/Guia_Cloud INTECO. (11 de Marzo de 2011). Riesgos y amenazas en cloud computing. Recuperado el 28 de Enero de 2013, de Instituto Nacional de Tecnologas de la Comunicacin -INTECO: http://cert.inteco.es/cert/Notas_Actualidad/intecocert_presenta_informe_riesg os_amenazas_cloud_computing_20110311?postAction=getLatestInfo INTECO. (02 de Julio de 2012). Estudio sobre la cloud computing en el sector pblico de Espaa. Recuperado el 28 de Enero de 2013, de Instituto Nacional de Tecnologas de la Comunicacin -INTECO: http://www.inteco.es/Seguridad/Observatorio/Estudios/Estudio_Cloud_AAPP ISO. (24 de 01 de 2013). iso.org. Obtenido de http://www.iso.org ITIL. (24 de 01 de 2013). best-practice-management.com. Obtenido de

http://www.best-managementpractice.com/gempdf/ITILV3_Glossary_LA_Spanish_V2.1_Nov09.doc Jos Antonio. (2010). La computacin en la nube. Recuperado el 02 de Febrero de 2013, de lamula.pe: http://lamula.pe/2010/11/02/la-computacion-en-lanube/joseantonio Kat, G. (20 de Setiembre de 2011). En la Nube no pueden estar todas las cargas de trabajo. Recuperado el 10 de Febrero de 2013, de netmedia.info: http://www.netmedia.info/ultimas-noticias/en-la-nube-no-pueden-estar-todaslas-cargas-de-trabajo-sugiere-dell/ Kilian Zambrano D. (2008). Planificacin y Control de la Produccin Pblica. Caracas, Venezuela: Centro de Documentacin del FONACIT.

153 Krutz, R. (2010). Cloud security, A comprehensive guide to secure cloud computing. Indianapolis, IN, USA: Wiley Publishing Inc. Madrid-Aris, M. (s.f.). Terminos Tcnicos de Telecomunicaciones. Recuperado el 21 de Marzo de 2013, de sitio web de Warrington College of Business Administration: http://bear.warrington.ufl.edu/centers/purc/DOCS/papers/sp_02.pdf Manzalin, A. (01 de Octubre de 2012). Supercomputing for All. (T. Italia, Editor) Recuperado el 02 de Febrero de 2013, de Telecom Future Centre: http://www.blog.telecomfuturecentre.it/tag/utility-computing/ Mather, Tim; Kumaraswamy, Subra; Latif, Shahed. (2009). Cloud Security and Privacy. Sebastopol, CA, USA: O'Reilly Media, Inc. Mell, Peter; Grance, Timothy. (2011). Special Publication 800-145. the NIST definition of cloud computing. Recuperado el 1 de Noviembre de 2012, de National Institute of Standards and Technology of U.S. Department of Commerce -NIST: http://csrc.nist.gov/publications/nistpubs/800-145/SP800145.pdf Minkiewicz, A. (Octubre de 2011). Cloud Nine, Are we there yet? (D. o. (IAC), Ed.) Journal of software technology, 14(4). Recuperado el 02 de Febrero de 2013, de Cyber Security and Information Systems Information Analysis Center (CSIAC): https://journal.thecsiac.com/issue/62/198 Morell Gonzlez, L. M. (24 de 01 de 2013). Manual de auditoria interna. Una herramienta auditoria.shtml Naphade, D., Prewitt, R. D., & Yocom, P. (23 de Enero de 2013). Managing Workload Processor Resources on Cloud. Recuperado el 11 de Febrero de indispensable para el auditor. Obtenido de http://www.monografias.com/trabajos27/manual-auditoria/manual-

154 2013, de IBM Redbooks:

http://www.redbooks.ibm.com/redpapers/pdfs/redp4940.pdf NIST. (Setiembre de 2011). NIST Special Publication 800-145: The NIST definition of Cloud Computing. (U. D. Commerce, Ed.) Recuperado el 29 de Enero de 2013, de National Institute of Standards and Technology -NIST: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf ONTSI. (2012). Cloud computing: retos y oportunidades. Recuperado el 1 de Noviembre de 2012, de Observatorio Nacional de las Telecomunicaciones y de la SI del Ministerio de Industria, Energa y Turismo de Espaa -ONTSI: http://www.ontsi.red.es/ontsi/sites/default/files/1_estudio_cloud_computing_retos_y_oportunidades_vdef.pdf Oracle. (2013). Qu es la Computacin en Nube y por qu debe usted interesarse por ella? Recuperado el 04 de Febrero de 2013, de oracle.com: http://www.oracle.com/webapps/dialogue/ns/dlgwelcome.jsp?p_ext=Y&p_dl g_id=10706208&src=7372294&Act=36&sckw=WWMK11067056MPP005. GCM.9325 Organization for the Advancement of Structured Information Standards -OASIS. (2006). Modelo de referencia de OASIS para SOA. Recuperado el 1 de Noviembre de 2012, de OASIS: http://www.oasisopen.org/committees/download.php/19679/soa-rm-cs.pdf Price Waterhouse Coopers LLP. (2011). Big cloud hurdle: Workload readiness is the key to accelerating cloud adoption. Recuperado el 10 de Febrero de 2013, de www.pwc.com: http://www.pwc.com/gx/en/technology/cloudcomputing/assets/Article_5_Big_Cloud_Hurdle.pdf

155 Rouse, M. (Junio de 2007). Utility computing. (techtarget.com, Editor) Recuperado el 02 de Febrero de 2013, de SearchDataCenter: http://searchdatacenter.techtarget.com/definition/utility-computing Rouse, M. (Enero de 2008). data analytics (DA). Recuperado el 10 de Febrero de 2013, de http://searchdatamanagement.techtarget.com: http://searchdatamanagement.techtarget.com/definition/data-analytics Salom, J. (2011). Cloud Computing el ltimo paradigma de las tecnologas de la informacin. Recuperado el 1 de Noviembre de 2012, de CLARANET: http://www.dataprix.com/blogs/eurocloud/cloud-computing-ultimoparadigma-las-tecnologias-informacion searchdatamanagement.techtarget.com. (Enero de 2008). Definition: data analytics (DA). Recuperado el 10 de Febrero de 2013, de searchdatamanagement.techtarget.com: http://searchdatamanagement.techtarget.com/definition/data-analytics Selvakumar, S. (11 de Octubre de 2011). Rethink IT. Reinvent Business with Cloud Computing. Recuperado el 02 de Febrero de 2013, de IBM Impact Blog: https://www304.ibm.com/connections/blogs/aim/entry/rethink_it_reinvent_business_with _cloud_computing4?lang=en_us Sylvia, M., & Peterson, B. (Marzo de 2012). Success in the cloud: Why workload matters. Recuperado el 10 de Febrero de 2013, de IBM Global Services: ftp://public.dhe.ibm.com/common/ssi/ecm/en/ciw03082usen/CIW03082USE N.PDF Telecommunication Union, Telecommunication Standardization Bureau, ITU-T. (2012). Privacy in Cloud Computing. Recuperado el 1 de Noviembre de 2012,

156 de ITU-T: http://www.itu.int/dms_pub/itu-

t/oth/23/01/T23010000160001PDFE.pdf VMware. (2010). Service Definition for Private Cloud. Recuperado el 11 de Febrero de 2013, de vmware.com: http://www.vmware.com/files/pdf/VMwareService-Definition-Private-Cloud.pdf Wikipedia. (13 de Diciembre de 2012). Utility computing. Recuperado el 02 de Febrero de 2013, de Utility computing Wikipedia: http://en.wikipedia.org/wiki/Utility_computing Wikipedia. (01 de Febrero de 2013). Computacin en la nube. Recuperado el 02 de Febrero de 2013, de http://es.wikipedia.org: http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_la_nube Wikipedia. (s.f.). John McCarthy (computer scientist). Recuperado el 01 de Febrero de 2013, de Wikipedia: http://en.wikipedia.org/wiki/John_McCarthy_%28computer_scientist%29 Winkler, V. (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA, USA: Elsevier Inc.

157

LISTA DE ABREVIATURAS

ADSL ANS (SLA) CAPEX CIO COSO

ASYMMETRIC DIGITAL SUBSCRIBER LINE Lnea asimtrica digital de suscriptor Acuerdo de nivel de servicio SERVICE LEVEL AGREEMENT CAPITAL EXPENDITURES - Desembolso de capital CHIEF INFORMATION OFFICER - Director de Informtica COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - Comit de Organizaciones Patrocinadoras de la Comisin Treadway Cloud Security Alliance Direccin Regional de Educacin Elemento de configuracin ENTERPRISE RESOURCE PLANNING Sistemas de planificacin de recursos empresariales INTERNATIONAL ELECTROTECHNICAL COMMISSION Comisin Electrotcnica Internacional INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS Instituto de Ingenieros Elctricos y Electrnicos Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual Instituto Nacional de Estadstica e Informtica Instituto Nacional de Tecnologas de la Comunicacin INTERNATIONAL ORGANIZATION FOR STANDARDIZATION Organizacin Internacional de Estndares INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY - Biblioteca de Infraestructura de Tecnologas de la Informacin IT SERVICE MANAGEMENT Gestin de servicios de tecnologas de la informacin Ministerio de Educacin MULTIPROTOCOL LABEL SWITCHING Conmutacin de etiquetas multiprotocolo

CSA DRE EC ERP IEC IEEE INDECOPI INEI INTECO ISO ITIL

ITSM MINEDU MPLS

158 MTBF MTBSI NIST NTP OSCE ONTSI OPEX OPI PCM SEACE SNIP SOA SOX TCO TI TIC TLC UGEL VDI VPN WAN MEAN TIME BETWEEN FAILURES - Tiempo medio entre fallas MEAN TIME BETWEEN SYSTEM INCIDENTES - Tiempo medio entre incidentes del sistema NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Instituto Nacional de Estndares y Tecnologa Norma Tcnica Peruana (formulada por INDECOPI) Organismo Supervisor de las Contrataciones del Estado Observatorio Nacional de las Telecomunicaciones y de la SI del Ministerio de Industria, Energa y Turismo de Espaa OPERATIONAL EXPENDITURE - Gasto operacional Oficina de Programacin e Inversiones Presidencia del Consejo de Ministros Sistema Electrnico de Contrataciones del Estado Sistema Nacional de Inversiones Pblicas SERVICE-ORIENTED ARCHITECTURE - Arquitectura Orientada a Servicios Sarbanes-Oxley Act of 2002 TOTAL COST OF OWNERSHIP - Costo Total de Propiedad Tecnologas de la informacin Tecnologas de la informacin y las comunicaciones Tratado de Libre Comercio Unidad de Gestin Educativa Local Virtual Desktop Infrastructure VIRTUAL PRIVATE NETWORKS Redes privadas virtuales WIDE AREA NETWORK Red de rea amplia

159

GLOSARIO

Arquitectura Orientada a Servicios (SOA). La arquitectura orientada a servicios (SOA) fue descrita por primera vez por Gartner en 1996 (notas de investigacin SPA401-068 y SPA-401-069), pero el reciente inters en la arquitectura se ha visto estimulada por la aparicin de una tendencia de la industria de gran alcance: servicios Web. Aunque los servicios Web no se traducen necesariamente en SOA, y no todos los SOA se basan en servicios Web, la relacin entre las dos tecnologas es importante. (Gartner Group). SOA es un enfoque de desarrollo de aplicaciones de software empresarial, en el cual los procesos del software se descomponen en servicios, que despus se hacen disponibles y visibles en una red. Cada servicio provee funcionalidades para poder ser adecuado a las necesidades de la empresa, mientras esconde los detalles subyacentes de implementacin. SOA aborda la complejidad, inflexibilidad y debilidades de los enfoques existentes en los diseos de procesos, flujos de trabajo e integracin de aplicaciones. (epicor.com). En las arquitecturas de TI tradicionales, las actividades del proceso de negocios, las aplicaciones y los datos con frecuencia estn encerrados en "silos" almacenes cerrados, independientes e incompatibles que son caros de mantener y dejan a los

usuarios la necesidad de navegar entre redes, aplicaciones y bases de datos diferentes e independientes para realizar tareas de negocios concretas. Con una Arquitectura Orientada a Servicios (SOA), los usuarios ya no tienen que iniciar sesin en varios sistemas, buscar los datos relevantes e integrar los resultados manualmente. Los datos

160 de las actividades de los procesos de negocios se entregan como un servicio integrado, en una sola aplicacin, en una sola pantalla, con un solo inicio de sesin. (sun.com).

Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL). Es un conjunto de directrices de Buenas Prcticas para la Gestin del Servicio de TI. ITIL es propiedad de OGC y consta de una serie de publicaciones que sirven de gua en la prestacin de Servicios de TI de calidad, y en los procesos e instalaciones que se necesitan para darles soporte.

Confiabilidad. Es parte del diseo del servicio y del mejoramiento continuo del servicio. Es una medida de durante cunto tiempo un elemento de configuracin o un Servicio de TI puede realizar su funcin acordada sin interrupcin. Normalmente se mide como tiempo medio entre fallas (MTBF) o tiempo medio entre incidentes del sistema (MTBSI). El trmino confiabilidad se puede usar para declarar de qu modo es que probablemente un proceso, una funcin, otros, entregar los resultados requeridos (ITIL, 2013).

Confidencialidad. Es parte del diseo del servicio. Es un principio de seguridad que exige que slo acceda a los datos el personal autorizado (ITIL, 2013).

Data analytics. El campo de anlisis de datos. Analytics a menudo implica el estudio de datos histricos para investigar las posibles tendencias, para analizar los efectos de

161 determinadas decisiones o eventos, o para evaluar el desempeo de una determinada herramienta o escenario. El objetivo de este anlisis es el de mejorar el negocio mediante la adquisicin de conocimientos que se pueden utilizar para realizar mejoras o cambios (BusinessDictionary, 2013). Es la ciencia de analizar los datos en bruto con el fin de extraer conclusiones sobre esa informacin. Data Analytics se utiliza en muchas industrias para que las empresas y organizaciones tomen mejores decisiones de negocio y en las ciencias para verificar o refutar los modelos existentes o teoras. Data Analytics se distingue de la minera de datos en el alcance, propsito y enfoque del anlisis. Los mineros de datos buscan y ordenan a travs de grandes conjuntos de datos utilizando un software sofisticado para identificar patrones no descubiertos y establecer relaciones ocultas. Data Analytics se centra en la inferencia, el proceso de derivar una conclusin basada exclusivamente en lo que ya es conocido por el investigador (Rouse, data analytics (DA), 2008).

Desembolso de capital (CAPEX). Son erogaciones o inversiones de capital que crean beneficios. Una erogacin de capital se realiza cuando un negocio gasta dinero tanto para comprar un activo fijo como para aadir valor a un activo existente con una vida til que se extiende ms all del ao imponible. Los CAPEX son utilizados por una compaa para adquirir o mejorar los activos fijos tales como equipamientos, propiedades o edificios industriales. (wikipedia.org). Es considerada una estrategia del servicio. Es un costo asociado a la compra de algo que se convertir en un activo financiero, por ejemplo equipos informticos o edificios. El valor de un activo se deprecia durante varios periodos contables (ITIL, 2013).

162 Disponibilidad. Es parte del diseo de servicios. Es la capacidad de un elemento de configuracin o de un Servicio de TI de ejecutar la funcin acordada cuando sea requerido. La disponibilidad est determinada por la confiabilidad, sustentabilidad, capacidad de servicio, rendimiento y seguridad. La disponibilidad suele ser calculada como un valor porcentual. Este clculo suele basarse en el Tiempo acordado del servicio y en el Tiempo de inactividad. Es una buena prctica calcular la disponibilidad utilizando medidas de rendimiento para el negocio del Servicio de TI (ITIL, 2013).

Elemento de Configuracin (EC): (Transicin del Servicio) cualquier componente que deba ser gestionado a fin de prestar un servicio de TI. La informacin sobre cada EC se almacena en el Registro de Configuracin dentro del Sistema de Gestin de la Configuracin y se mantiene a lo largo de su Ciclo de Vida mediante la Gestin de la configuracin. Los EC estn bajo el control de Gestin del Cambio. Los EC suelen abarcar los Servicios de TI, el hardware, el software, los montajes, el personal, y la documentacin formal tal como la documentacin de un Proceso y los SLA (Acuerdos de Nivel de Servicio). (ITIL V3 Glosario, v2.1, 30 de mayo del 2007).

Fallo. Es parte de la operacin de servicios. Es la prdida de la capacidad de operar segn una especificacin, o de entregar el resultado requerido. El trmino fallo se puede usar para referirse a los Servicios de TI, procesos, actividades, elementos de configuracin, otros. Un fallo a menudo provoca un incidente (ITIL, 2013).

163 Fiabilidad. Capacidad de recuperarse inmediatamente ante cualquier tipo de eventualidad.

Gasto operacional (OPEX). Es una herramienta para el clculo de gastos operativos. Es el costo necesario para el funcionamiento continuo de un servicio, negocio, o sistema. (wikipedia.org). Es el costo de la ejecucin de los servicios de TI. Frecuentemente se trata de pagos. Por ejemplo, los costos de personal, el mantenimiento de hardware o el consumo elctrico (ITIL, 2013).

Incidente. Es parte de la operacin del servicio. Es una interrupcin no planificada de un Servicio de TI o una reduccin de la calidad de un Servicio de TI. El fallo de un elemento de configuracin que no haya impactado an sobre un servicio es considerado tambin un incidente. Por ejemplo, el fallo de un disco en un arreglo en espejo (ITIL, 2013).

Infraestructura tecnolgica - infraestructura de TI. Se refiere a todo el hardware, software, redes, instalaciones etc. requeridas para desarrollar, probar, proveer, monitorizar, controlar o brindar soporte tcnico a los servicios de TI. El trmino Infraestructura de TI incluye todas las Tecnologas de la Informacin pero no las personas, procesos y documentacin asociados.

Integridad. Es parte del diseo del servicio. Es un principio de seguridad que asegura que los datos y los elementos de configuracin slo sean modificados por el personal

164 autorizado y por las actividades. La integridad considera todas las causas posibles de una modificacin, incluyendo fallos de software y hardware, eventos ambientales y la intervencin humana (ITIL, 2013).

Incumbente. Es un trmino utilizado para referirse a una compaa operadora dominante de servicio local [de comunicaciones en general o Internet] (Madrid-Aris).

Seguridad. Es parte del diseo del servicio. Es el proceso que asegura confidencialidad, integridad y disponibilidad de los activos de una organizacin, de la informacin, de los datos y de los servicios de TI. La gestin de la seguridad de la informacin usualmente forma parte de un abordaje organizacional de la gestin de la seguridad que tiene un alcance mayor que el del proveedor de Servicios de TI, y comprende la manipulacin de los papeles, el acceso al edificio, las llamadas telefnicas, otros, en toda la organizacin (ITIL, 2013).

Tecnologas de informacin. Son todas aquellas tecnologas que permiten y dan soporte a la construccin y operacin de los sistemas de informacin y son tecnologas de hardware, software, de almacenamiento y de comunicaciones.

165

ANEXOS