vi

NDICE

NDICE ____________________________________________________________ i

NDICE DE GRFICOS ______________________________________________ v

NDICE DE TABLAS _______________________________________________ vii

RESUMEN _________________________________________________________ 1

ABSTRACT ________________________________________________________ 2

INTRODUCCIN ___________________________________________________ 3

CAPTULO I PLANTEAMIENTO DEL PROBLEMA ______________________ 5

1.1. Descripcin del problema _______________________________________ 5

1.2. Formulacin del problema ______________________________________ 8

1.2.1. Formulacin del problema general ________________________________ 8

1.2.2. Formulacin de problemas especficos _____________________________ 8

1.3. Objetivos ____________________________________________________ 8

1.3.1. Objetivo general ______________________________________________ 8

1.3.2. Objetivos especficos __________________________________________ 9

1.4. Justificacin del estudio ________________________________________ 9

1.4.1. Factibilidad __________________________________________________ 9

1.4.2. Conveniencia_________________________________________________ 9

1.4.3. Utilidad ____________________________________________________ 10

1.4.4. Pertinencia__________________________________________________ 11

CAPTULO II MARCO TERICO _____________________________________ 13

2.1. Antecedentes ________________________________________________ 13

2.2. Conceptos de base ____________________________________________ 23

vi

2.3. Establecimiento de procesos ____________________________________ 25

2.4. ISO9001:2000, Gestin de la mejora continua ______________________ 28

2.5. ISO/IEC 27002:2008, Gestin de la seguridad de las tecnologas de la

informacin y comunicaciones (TIC), Cdigo de prctica _____________ 30

2.6. ISO/IEC 20000-2, Gestin de los servicios de TI, Cdigo de prctica ___ 36

2.7. ISO/IEC 38500:2008, Gobierno corporativo de la tecnologa de la

informacin _________________________________________________ 42

2.8. Costo total de propiedad TCO _________________________________ 47

2.9. Acuerdo de nivel de servicio ANS______________________________ 49

2.10. Auditora, enfoque moderno ____________________________________ 58

2.11. Computacin en nube _________________________________________ 60

2.12. Caractersticas de la computacin en nube _________________________ 61

2.12.1. Pago por uso ________________________________________________ 61

2.12.2. Abstraccin _________________________________________________ 61

2.12.3. Agilidad en la escalabilidad ____________________________________ 62

2.12.4. Multiusuario ________________________________________________ 62

2.12.5. Autoservicio bajo demanda_____________________________________ 62

2.12.6. Acceso sin restricciones _______________________________________ 63

2.12.7. Virtualizacin _______________________________________________ 63

2.13. Clasificacin de los modelos en nube _____________________________ 67

2.13.1. Modelos de servicio en nube____________________________________ 67

2.13.2. Modelos de despliegue en nube _________________________________ 71

2.13.3. Cargas de trabajo en nube ______________________________________ 76

2.13.4. Modelo de negocio en nube ____________________________________ 83

2.14. Beneficios de la nube _________________________________________ 84

2.14.1. Relativos a la puesta en marcha del servicio _______________________ 84

2.14.2. Relativos a los beneficios econmicos ____________________________ 86

2.14.3. Relativos al uso y la operacin __________________________________ 88

2.15. Riesgos de la computacin en nube ______________________________ 89

2.15.1. Riesgos legales y contractuales __________________________________ 90

vi

2.15.2. Riesgos tcnicos _____________________________________________ 93

2.16. Resumen de ideas centrales ____________________________________ 97

2.17. Hiptesis __________________________________________________ 102

2.17.1. Hiptesis general ____________________________________________ 102

2.17.2. Hiptesis especficas _________________________________________ 102

2.18. Variables __________________________________________________ 103

2.18.1. Variable Principal / Independiente ______________________________ 103

2.18.2. Variable Secundaria / Dependiente ______________________________ 103

2.18.3. Variable Interviniente ________________________________________ 103

2.18.4. Operacionalizacin de la variable independiente ___________________ 104

CAPTULO III METODOLOGA _____________________________________ 105

3.1. Tipo de investigacin ________________________________________ 105

3.1.1. Descripcin del diseo _______________________________________ 105

3.1.2. Tipo ______________________________________________________ 105

3.1.3. Nivel _____________________________________________________ 105

3.1.4. Enfoque ___________________________________________________ 105

3.2. Poblacin muestra ___________________________________________ 106

3.2.1. Tcnicas de recoleccin de datos _______________________________ 106

3.2.2. Tcnicas para el procesamiento y anlisis de la informacin __________ 107

3.2.3. Viabilidad _________________________________________________ 107

CAPTULO IV ANLISIS PRELIMINAR ______________________________ 109

4.1. Caso de estudio _____________________________________________ 109

4.2. Situacin actual _____________________________________________ 111

4.3. Necesidad a satisfacer ________________________________________ 118

4.4. Solucin propuesta __________________________________________ 123

vi

CAPTULO V RESULTADOS _______________________________________ 127

5.1. Polticas y procesos __________________________________________ 127

5.2. Encuestas__________________________________________________ 139

5.3. Condiciones de riesgo ________________________________________ 140

5.4. Seguridad en la solucin ______________________________________ 141

CAPTULO VI OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES

_________________________________________________________________ 143

6.1. Observaciones ______________________________________________ 143

6.2. Conclusiones _______________________________________________ 144

6.2.1. Viabilidad de la solucin _____________________________________ 144

6.3. Recomendaciones ___________________________________________ 146

6.3.1. Vigencia de la solucin _______________________________________ 147

FUENTES DE INFORMACIN ______________________________________ 148

LISTA DE ABREVIATURAS ________________________________________ 157

GLOSARIO_______________________________________________________ 159

ANEXOS_________________________________________________________ 165

vi

NDICE DE GRFICOS

Figura 1. Elementos de un proceso ______________________________________ 26

Figura 2. Control de la calidad _________________________________________ 27

Figura 3. Modelo de un sistema de gestin de la calidad basado en procesos. _____ 28

Figura 4. Gestin de la seguridad de la informacin. ________________________ 33

Figura 5. Gestin de servicios de las tecnologas de la informacin. ____________ 40

Figura 6. Marco de gobierno de TI. _____________________________________ 43

Figura 7. Proceso de consecucin de expectativas entre proveedor y cliente. _____ 54

Figura 8. mbito de solucin de un Acuerdo de Nivel de Servicio ANS _______ 55

Figura 9. Esquema de virtualizacin de servidores __________________________ 65

Figura 10. Esquema de virtualizacin de almacenamiento. ___________________ 66

Figura 11. Esquema del modelo infraestructura como servicio. ________________ 70

Figura 12. Esquema de gestin de los diferentes modelos de servicio. __________ 71

Figura 13. Esquema de Nube. __________________________________________ 72

Figura 14. Hipervisor vulnerado generando ataques entre VM. ________________ 96

Figura 15. Principales servicios publicados por MINEDU. __________________ 110

Figura 16. Condicin, distribucin y orientacin de equipos utilizados en

MINEDU. _____________________________________________ 112

Figura 17. Distribucin de sistemas operativos utilizados por MINEDU. _______ 114

Figura 18. Distribucin de nodos remotos de MINEDU a nivel nacional. _______ 117

Figura 19. Esquema de toma de decisiones. ______________________________ 124

Figura 20. FODA situacional del centro de datos de MINEDU. ______________ 125

vi

Figura 21. Estrategias propuestas para el centro de datos de MINEDU. ________ 126

Figura 22. Esquema propuesto de arquitectura con base en la NTP ISO/IEC

27001. ________________________________________________ 129

Figura 23. Arquitectura propuesta, con base en la NTP ISO/IEC 27001. _______ 138

Figura 24. Arquitectura propuesta, con base en la NTP ISO/IEC 27001. _______ 141

vi

NDICE DE TABLAS

Tabla 1. Ventajas e inconvenientes de la nube pblica. ______________________ 73

Tabla 2. Ventajas e inconvenientes de la nube privada. ______________________ 74

Tabla 3. Ventajas e inconvenientes de la nube comunitaria. __________________ 75

Tabla 4. Carga de trabajo. _____________________________________________ 81

Tabla 5. Ejemplos de carga de trabajo. ___________________________________ 97

Tabla 6. Tecnologas estratgicas. _____________________________________ 101

Tabla 7. Costos asociados a la investigacin. _____________________________ 108

1

RESUMEN

Se presenta el diseo de una arquitectura de infraestructura tecnolgica que

permita a una entidad pblica peruana, como el Ministerio de Educacin, alcanzar los

beneficios planteados por el modelo de computacin en nube privada, dentro de un

marco de seguridad de la informacin, a la vez que propicia la eficiencia de su

implementacin, y efectividad de los resultados esperados, todo en cumplimiento del

marco regulatorio del gobierno.

Se realiz una investigacin documental de fuentes secundarias para precisar

conceptos y trminos referidos a la computacin en nube, ahondando en el mbito de

la seguridad de la informacin, y para identificar experiencias relacionadas en los

planos nacional e internacional. Asimismo, se realiz una investigacin cualitativa al

encuestar a jefes de departamento de TI de ministerios locales, y se incorpor a

diferentes fabricantes con presencia local quienes, con su juicio experto aunque

sesgado, avalaron la factibilidad tcnica de la arquitectura propuesta a la institucin,

mediante la presentacin de sus respectivas propuestas econmicas condicionadas a

su enfoque tecnolgico.

Esta investigacin ha permitido evaluar diferentes controles y modelos de

gestin de tecnologas de la informacin enmarcadas en la seguridad de la

informacin, los que se consideran apropiados para su posible implementacin en la

institucin.

2

ABSTRACT

The main objective of this work is to present a design of architecture of

technology infrastructure, following the model of private cloud computing, that

allows reaching the benefits claimed for this model, within a framework of security

and efficiency, which complies with government regulations, and suits a public entity

as the Ministry of Education of Per.

3

INTRODUCCIN

Se sabe que el modelo de computacin en nube propugna el uso racional y

eficiente de los recursos informticos para minimizar el impacto negativo de la

tecnologa sobre el medio ambiente y maximizar su viabilidad econmica mediante la

reduccin del TCO, as como velar por la responsabilidad social.

Tambin se sabe que las organizaciones del sector pblico difieren de las del

sector privado en sus objetivos y ahorro de costos, ya que sus principios

fundamentales son, ante todo de naturaleza social, en la transparencia con la que

deben operar, y tambin estn obligados a crear sistemas sostenibles.

El Ministerio de Educacin es un referente en el sector pblico, por el nmero

de usuarios que se gestiona a nivel nacional en el sector, el procesamiento de la

nmina del personal docente, la informacin histrica que se debe mantener del

rendimiento de los alumnos y la evaluacin docente, y el control de las bases de datos

de todas las instituciones educativas a nivel nacional.

Por lo tanto, se recomienda al Ministerio de Educacin la adopcin del modelo

de computacin en nube privado, con el fin de garantizar el control, la centralizacin,

la concentracin, la normalizacin, y los niveles de seguridad y escalabilidad de una

plataforma tecnolgica moderna, flexible e integrada, de alto rendimiento y capacidad

4

para apoyar el despliegue del modelo educativo nacional promulgado por el Estado

peruano.

El objetivo general de este trabajo es desarrollar para el Ministerio de

Educacin un diseo de arquitectura de una nube privada segura y eficiente centrada

en la infraestructura, y considerando el marco regulatorio, tal que le permita alcanzar

los beneficios planteados.

5

CAPTULO I

PLANTEAMIENTO DEL PROBLEMA

1.1. Descripcin del problema

Una arquitectura de tecnologa de informacin (TI) provee un programa

estratgico general para el desarrollo e implementacin de infraestructura de TI e

incluye los estndares y las guas que orientan el uso de tecnologas y el diseo,

configuracin, administracin y evolucin de los componentes de infraestructura que

constituyen una solucin para un determinado organismo.

Una arquitectura de TI considera la capacidad de almacenamiento, de red, y de

operaciones, as como su racionalizacin, entrega y despliegue, que sean ms

adecuados para dicha solucin, a la par que evala sus ventajas e inconvenientes. Con

base en unos requisitos claros se busca la mejor solucin de ingeniera que se adapte a

estos requisitos, desde los puntos de vista funcional y tcnico.

En el Foro de intercambio de experiencias en migracin a fuentes abiertas para

las administraciones pblicas (Centro Nacional de Referencia de Aplicacin de las

Tecnologas de Informacin y la Comunicacin basadas en Fuentes Abiertas -

CENATIC, 2011), se menciona que los organismos del sector pblico difieren de los

del sector privado en sus objetivos (ahorro de costos por ejemplo) o principios

6

fundamentales (de carcter social principalmente), en la transparencia con la que

deben actuar, y adems estn obligados a la creacin de sistemas sostenibles

La Comisin Europea (Comisin Europea, 2010), al promover una plataforma

de interoperabilidad con base en SOA (Service-Oriented Architecture), siendo

referente entre los estados miembro la OASIS (Organization for the Advancement of

Structured Information Standards -OASIS, 2006), recomienda a las administraciones

pblicas desarrollar un modelo de servicio basado en componentes, lo que permite el

establecimiento de servicios pblicos mediante la reutilizacin, tanto como sea

posible, de componentes de servicios existentes.

Esta Comisin recomienda a las administraciones pblicas ponerse de acuerdo

en un esquema comn para interconectar los componentes de servicios dbilmente

acoplados y poner en marcha la infraestructura necesaria cuando se establecen

servicios pblicos

En el Per, la Ley de Contrataciones del Estado Peruano (Ley 29873) rige las

adquisiciones tanto de bienes como de servicios. La aplicacin de dicha ley est

particularmente enfocada en condiciones de conveniencia administrativa o legal y

deja de lado una real conveniencia funcional y tcnica. Dicha ley no considera que en

el segmento de tecnologa de cmputo, ampliamente globalizado, el mercado es quien

rige finalmente el precio de los bienes y servicios relacionados.

7

Dejando de lado el nfasis del mercado en ciertas tendencias la condicin

anterior hace que las empresas del sector pblico desechen alternativas tecnolgicas

modernas y viables cuya aplicacin redundara en que el estado peruano en su

conjunto se modernice, economice y realmente despegue en su compromiso con lo

siguiente:

Las diferentes normas internacionales ISO (International Organization for

Standarization).

Las normas tcnicas peruanas como la Norma Tcnica Peruana NTP ISO

9001:2000, Gestin de la mejora continua; NTP ISO/IEC 20000-1:2012

(International Organization for Standarization/International

Electrotechnical Commission), Gestin de los servicios; NTP ISO/IEC

27001:2008, Gestin de la seguridad de la informacin.

Los diferentes acuerdos y tratados internacionales como TLC (Tratado de

Libre Comercio) que el Per est firmando.

Por ejemplo, la tecnologa y alcances subyacentes en el paradigma de

computacin en nube, que permite reducir el CAPEX (Capital expenditure) y OPEX

(Operational Expenditure), as como apoyar la propia Ley N 27446 (Sistema

Nacional de Evaluacin del Impacto Ambiental), no pueden ser considerados por

cuanto no se cuenta con el marco legal real para obtener sus ventajas.

8

1.2. Formulacin del problema

1.2.1. Formulacin del problema general

En qu medida una nube privada segura puede desarrollarse en el sector

pblico peruano?

1.2.2. Formulacin de problemas especficos

Cul es valor de implementar una nube privada segura en el sector

pblico?

Cules son los componentes de una infraestructura de nube privada

segura para el sector pblico peruano?

1.3. Objetivos

1.3.1. Objetivo general

Disear la infraestructura tecnolgica de una nube privada segura y eficiente

para el sector pblico peruano, personalizado para el Ministerio de Educacin, y con

proyeccin al siguiente quinquenio.

9

1.3.2. Objetivos especficos

Identificar los componentes de seguridad que generan valor en el diseo

de la infraestructura de una nube privada.

Definir los componentes de una infraestructura de nube privada

adecuados para el sector pblico peruano, desde el punto de vista de la

seguridad de la informacin.

1.4. Justificacin del estudio

1.4.1. Factibilidad

El presente estudio slo se enfoca en la investigacin tecnolgica de tipo

cualitativa de alternativas viables con el objetivo de desarrollar una alternativa o

mezcla de alternativas que mejor se adapte a la realidad de una institucin pblica en

Per como es el Ministerio de Educacin; por tanto, no hay costos involucrados por

implementacin.

1.4.2. Conveniencia

Se busca evitar que las empresas del sector pblico desechen alternativas

tecnolgicas modernas y viables cuya aplicacin correcta y adecuada, alineada con su

10

finalidad pblica, redundara en que el estado peruano en su conjunto se modernice y

economice costos.

Es posible, incluso, con base en este trabajo, la formacin de una nube

comunitaria del Estado Peruano, conformado por las nubes privadas de los diferentes

poderes del estado y ministerios.

1.4.3. Utilidad

Se busca presentar un marco de referencia para la implementacin del modelo

de computacin en nube en una entidad pblica peruana, como es el caso del

Ministerio de Educacin, que mantiene una planilla salarial de las ms altas en el

sector pblico y presta servicios a nivel nacional para beneficio de un total

aproximado de 6 800 0001 alumnos y 600 000 profesores.

Se ha logrado propiciar la implementacin futura de una plataforma tecnolgica

moderna, flexible e integrada, segura y de alto rendimiento y capacidad para apoyar

1 Aproximadamente 1 700 000 familias a nivel nacional, considerando un promedio de cuatro (04) hijos por

familia. Datos obtenidos de Censos Nacionales 2007: XI de Poblacin y VI de Vivienda. INEI.

11

el despliegue del modelo educativo nacional promulgado por el Estado Peruano y

plasmado en su ROF-MED20062.

1.4.4. Pertinencia

Luego de una etapa inicial de investigacin, no se ha encontrado informacin

respecto de una evaluacin similar previa, realizada en una entidad pblica peruana.

En el plano nacional, el Fondo Nacional de Financiamiento de la Actividad

Empresarial del Estado FONAFE3, ha contratado para su plataforma tecnolgica a

un proveedor de servicios de CENTRO DE DATOS CENTRALIZADO, bajo el

esquema de pago por equipamiento requerido. Es principalmente un hosting de

infraestructura, plataforma y servicios.

2 http://www.minedu.gob.pe/normatividad/reglamentos/ROF-MED2006.php 3 FONAFE es una empresa de Derecho Pblico adscrita al Sector Economa y Finanzas creada por la Ley No.

27170, que fue promulgada el 08/09/1999. Cuenta con un Directorio conformado por seis miembros, todos

ellos Ministros de Estado de los siguientes sectores: Economa y Finanzas; Transportes y Comunicaciones;

Vivienda, Construccin y Saneamiento; Energa y Minas; el Ministro a cuyo sector est adscrito

PROINVERSIN; y, Presidencia del Consejo de Ministros. http://www.fonafe.gob.pe/portal?accion=c&t=13&i=128&n=2&o=105&m=2

12

Recientemente el Poder Judicial ha construido un moderno centro de datos para

albergar su renovada plataforma tecnolgica, sin embargo los servicios son

entregados a travs de su intranet.

Existe por parte de Instituto Nacional de Tecnologas de la Comunicacin

(INTECO, Espaa) y del National Institute of Standards and Technology (NIST,

USA) sendas investigaciones relacionadas con el empleo del modelo nube en

entidades pblicas, pero son estudios generales y de alto nivel.

El presente trabajo se plantea con carcter orientador, especfico y concreto,

enfocado en la infraestructura, pero sin atarse a productos especficos de ningn

fabricante o proveedor de servicios.

13

CAPTULO II

MARCO TERICO

2.1. Antecedentes

El padre de la inteligencia artificial, John McCarthy4, dijo en 1961 que si los

equipos del tipo que he defendido se convierten en las computadoras del futuro,

entonces algn da la computacin podr organizarse como un servicio pblico al

igual que el sistema telefnico es un servicio pblico.... La computadora como

servicio bsico5 podra convertirse en la base de una industria nueva e importante

(Wikipedia, 2012). Esta es una referencia, de las ms antiguas, relacionadas con el

paradigma de servicio que promulga la computacin en nube.

En el artculo Utility Computing de la revista especializada Search Data Center

(Rouse, Utility computing, 2007), el autor establece que es conveniente aclarar que la

computacin como servicio bsico es un modelo de provisin de servicios en los que

un prestador de servicios pone recursos de computacin y la gestin de la

infraestructura a disposicin del cliente, segn sea necesario, y les cobra para el uso

4 Parte de su disertacin durante el Centenario del MIT en 1961

(http://en.wikipedia.org/wiki/John_McCarthy_%28computer_scientist%29). 5 Al igual que el agua, transporte o electricidad. [Nota de los autores].

14

especfico en lugar de una tarifa fija; sin embargo, este concepto no es similar al de

computacin en nube.

La computacin como servicio bsico se puede implementar en formas

diferentes a la computacin en nube; por ejemplo, considere la posibilidad de una

supercomputadora que alquila tiempo de procesamiento a mltiples clientes: un lugar

y sin virtualizacin de recursos, por lo que no puede ser llamado computacin en

nube. Aunque la computacin en nube apoya la computacin como servicio bsico,

no toda la computacin como servicio bsico se basa en la nube (Manzalin, 2012).

La nube se refiere a los recursos y aplicaciones que estn disponibles en

Internet u otra red a travs de cualquier dispositivo que se conecta a Internet o a otra

red. El trmino nube se origina a partir de los diagramas que se utilizan a menudo

para describir los alcances y capacidades de Internet (Minkiewicz, 2011), se usa

como una metfora de Internet (Computacin en Nube, 2013), y define bastante bien

la aparente imposibilidad de establecer donde se encuentran fsicamente los datos

con los que se trabajan (Jos Antonio, 2010).

El National Institute of Standards and Technology (NIST) (Mell, Peter; Grance,

Timothy, 2011), define que la computacin en nube es un modelo [un nuevo

paradigma dominante de prestacin dinmica de servicios de negocio y tecnologa

altamente automatizada que representa para muchas empresas e instituciones del

estado, sobre todo, cambios tecnolgicos fundamentales y hasta cambios en el perfil y

15

competencias de la fuerza laboral] que propugna el acceso de forma conveniente,

desde cualquier sitio y bajo demanda [ya que se paga por su consumo lo que

potencialmente reduce el CAPEX aunque incrementa el OPEX, por lo que una

organizacin podra elegir trasladar a la nube slo una parte de sus funciones

referidas a las tecnologas de la informacin (Minkiewicz, 2011)], a un conjunto

compartido de recursos informticos configurables (por ejemplo, redes, servidores,

almacenamiento, aplicaciones y servicios [como un catlogo de servicios

estandarizados y responder con ellos a las necesidades de su negocio, de forma

flexible y adaptativa (Wikipedia, 2013)]) que se pueden provisionar y desplegar

rpidamente [cuando los propios medios no son capaces de satisfacer las demandas

hay que pensar en nuevas formas de proveer las tecnologas de la informacin] con

un mnimo esfuerzo de gestin o interaccin del proveedor de servicios [los servicios

mismos o la carretera de comunicaciones hacia estos servicios].

La IEEE Computer Society (Computing Now, 2009), perteneciente al Institute

of Electrical and Electronics Engineers (IEEE), tambin sostiene que en las reas de

tecnologa de la informacin, los costos usualmente estn referidos a gestionar

equipos (OPEX) y no slo a adquirirlos (CAPEX). Recordemos, por ejemplo, el

tiempo, esfuerzo, experiencia y dinero que demanda la implementacin y

configuracin de equipos y sistema operativo, su aseguramiento fsico y lgico, el

afinamiento del rendimiento de equipos, herramientas de software, bases de datos,

entre otros aspectos importantes.

16

Asimismo, la IEEE presenta algunas interrogantes: qu significa escribir

aplicaciones para la computacin en nube? En qu son diferentes de los modelos

tradicionales? Presumiblemente, deben ser elsticas (escalar de unos pocos usuarios o

nodos a un gran nmero de ellos), deben ser entregadas en demanda sin dependencias

significativas, seguir el modelo SOA, y as sucesivamente.

En el artculo If it is not Interoperable, If it is not Portable, It is not Cloud

(Daz, 2011), el autor declara que se debe desarrollar un plan estratgico el cual, bien

pensado, permitir a cada nuevo servicio en la nube, a partir de un servicio anterior,

convertirse en una parte integral de la organizacin.

Contina afirmando Daz que este plan estratgico tambin establecer los

criterios para los servicios y la facilidad de integracin e interoperabilidad de los

servicios [una facilidad de integracin de los servicios en la nube con los servicios

existentes dentro de la empresa reduce costos], y portabilidad de los datos [porque

permite la flexibilidad de los servicios entre los proveedores de servicios, y NIST

concuerda con que estos puntos de interoperabilidad y portabilidad son clave para que

el gobierno de Estados Unidos de Norte Amrica confe en mover sus aplicaciones a

la nube].

Discutir estos puntos es muy importante, no slo los referidos a estndares, que

promovern la igualdad de condiciones entre los proveedores de servicios en nube y

darn a los consumidores de servicios de nube una serie de diferentes opciones en el

17

mercado y la confianza de que sus datos y aplicaciones funcionarn en cualquier nube

(Fang, Jin, Mao, & et.all, 2011).

Daz Contina afirmando que es probablemente la discusin ms importante

para el xito a largo plazo de la nube y, en la mayora de los casos, usualmente no se

le da la importancia debida y hasta ignora. Si se ignora, es un rea que puede causar

un gran impacto ms adelante a medida que sean considerados nuevos servicios,

como son costos exorbitantes de integracin y tiempos prolongados de

implementacin. En el plan, pueden mapearse los servicios especficos a considerar

para su uso en nube y las dependencias de los servicios existentes dentro de la

empresa, y establecer los niveles de seguridad y privacidad de los datos. Con esta

informacin se podr recomendar confiadamente el tipo de proveedor en la nube y el

modelo de servicios en nube que se requiera.

Muchas organizaciones se estn dando cuenta que su infraestructura de TI

existente no es suficiente para mantenerse al da con la dinmica de los datos en

crecimiento, las expectativas de los usuarios finales y las rpidamente cambiantes

demandas del negocio. Para que las organizaciones tengan xito con la computacin

en nube deben tener visibilidad, control y automatizacin a travs de toda la

infraestructura empresarial y la cadena de valor de la prestacin de servicios

(Selvakumar, 2011).

18

Considerando preocupaciones de alto nivel con respecto a la continuidad del

negocio, la IEEE piensa en voz alta: Realmente puedo confiar en que el proveedor

de la nube estar siempre ah?

IBM (IBM Global Services, 2011) concuerda con que en la actualidad este

nuevo paradigma de computacin en nube se ha convertido en un imperativo con el

potencial, si no la promesa, de transformar el cmo es capturado y entregado el nuevo

valor del negocio, con velocidad y destreza sin precedentes, de reducir los costos

laborales y el hardware subutilizado. Un punto de partida para negocios complejos

con infraestructura importante es aprovechar las tecnologas de nube privada para

optimizar sus centros de datos y reducir la tasa de error de los sistemas informticos;

y, Oracle (Oracle, 2013) agrega, para transformar la manera en que se disean,

construyen y ofrecen las aplicaciones.

Sin embargo, HP (HP, 2011) sostiene que es importante notar que todos los

servicios no son iguales; cada uno tiene sus propios requisitos en trminos de

rendimiento, seguridad, control y disponibilidad. El objetivo de toda organizacin

debera tender a combinar la computacin en nube con su tradicional infraestructura

de tecnologas de la informacin a fin de crear un modelo relacionado que se adece

mejor a la organizacin, considerando la manera en que se construye la nube, se

consumen los servicios en nube, se gestionan y aseguran los servicios para obtener

una ventaja competitiva, y se transforman las aplicaciones y la infraestructura.

19

En Enterprise Risk Management for Cloud Computing (Horwarth, Crowe;

Chan, Warren; Leung, Eugene; Pili, Heidi, 2012), los autores alertan que aplicar

soluciones de computacin en nube sin el cuidado apropiado, debidamente

diligenciadas, y sin control, son causa de futuros problemas. Utilizada

apropiadamente con las necesarias precauciones y controles implementados, como

los aplicados con el marco de gobierno de la Committee of Sponsoring Organizations

of the Treadway Commission (COSO), la computacin en nube podra conducir a una

multitud de beneficios, algunos an por descubrir.

El documento contina afirmando que los ejecutivos, al percatarse mejor de los

riesgos y otros aspectos relacionados con la computacin en nube, estn en mejor

posicin para lograr los objetivos de la organizacin ya que pueden manejar los

riesgos en este ambiente dinmico y evolutivo que posiblemente se convierta en el

modelo de computacin ms popular del futuro.

Segn el informe Privacy in Cloud Computing (Telecommunication Union,

Telecommunication Standardization Bureau, ITU-T, 2012), la dimensin global de la

computacin en nube requiere de metodologas y soluciones tcnicas estandarizadas

que permitan a los grupos de inters evaluar riesgos de privacidad y establecer los

niveles de proteccin adecuados. En los servicios en nube, la implementacin de

tecnologa que incremente la privacidad depender de la disponibilidad de estndares

para evaluar los riesgos de privacidad y medios para asegurar el cumplimiento de la

proteccin de datos.

20

En Cloud Security and Privacy (Mather, Tim; Kumaraswamy, Subra; Latif,

Shahed, 2009), se nos recuerda que la computacin en nube es un modelo diferente

de hacer las cosas, no una nueva tecnologa. Sin embargo, es preciso aclarar que para

el Estado, relacionado con la adquisicin de bienes, un nuevo paradigma para utilizar

dicho modelo en nube podra no ser un asunto de fcil entendimiento y esto generara

una barrera importante para su adopcin correcta.

En Cloud security: A comprehensive guide to secure cloud computing (Krutz,

2010), el autor concluye que el nivel adecuado de tecnologa desplegada o procesos

implementados permiten a una empresa pblica adoptar el modelo de computacin en

nube con confianza.

En Cloud Computing For Dummies (Hurwitz, Judith; Bloor, Robin; Kaufman,

Marcia, 2010), los autores aconsejan a las empresas que planean utilizar servicios en

nube comprobar que existen servicios de seguridad especficos y bien definidos, ya

que se requieren muchos niveles de seguridad en el ambiente de nube; as, se necesita

que exista una infraestructura de seguridad entendible y consistente en todos los

niveles y tipos de servicios en nube.

En Private Clouds for Dummies (Hurwitz & Kaufman, 2011), los autores

recomiendan a las organizaciones considerar si se desea contar con una manera ms

flexible de utilizar los recursos existentes, establecer claramente las caractersticas de

las cargas de trabajo que estas soportan, el modo en que se implementarn las

21

polticas de seguridad en la nube. Estos puntos son particularmente importantes en

una empresa pblica por cuanto existen aspectos legales, contractuales y de garanta

que se deben resolver, incluso en el tiempo, por las caractersticas de desarrollo e

implementacin de los actuales sistemas de informacin y su orientacin, y porque se

debe determinar claramente si en la nube se puede dar cumplimiento a los

requerimientos legales peruanos de auditora y registro de datos.

La empresa consultora McKinsey & Company, en un informe preparado para la

empresa EMC2 (EMC2, 2010), fabricante de sistemas de almacenamiento en disco de

clase empresarial, lleg a cuatro conclusiones principales con respecto a la nube:

Las inquietudes por la confianza deberan dejar de ser una barrera para

adoptar la nube. Muchas de las inquietudes comunes son exageradas o,

dados los avances en la tecnologa de administracin de nubes,

simplemente obsoletas.

En realidad, las nubes privadas e hbridas pueden ser ms seguras y

confiables que los ambientes tradicionales de tecnologas de informacin.

La nube pblica sigue presentando riesgos materiales para datos

confidenciales y aplicaciones crticas.

Una organizacin maximiza los beneficios para el negocio al determinar

el destino ms econmico y confiable para cada carga de trabajo

22

individual (por ejemplo, un conjunto de aplicaciones relacionadas y sus

datos).

En ltima instancia, la nube hbrida ofrece la mayor flexibilidad y

beneficio, pero la nube privada es el primer paso natural y un destino

predeterminado razonable para la mayora de las cargas de trabajo en la

actualidad, que pueden ser estacionales, con especial atencin a la

naturaleza y el flujo de la informacin para evaluar una posible

transferencia a una nube pblica considerando previamente la factibilidad

funcional y los beneficios de esta transferencia.

El director de Cloud Computing de Dell Mxico (Kat, 2011) enfatiz que es

importante entender dnde est parada cada organizacin en su camino a la nube

(aplicaciones heredadas, la complejidad de la gestin de recursos humanos y

tecnologa, los procesos de negocio que no estn bien definidos, la innovacin con

menores presupuestos, el acceso limitado y la dificultad de la colaboracin entre

colegas, grupos de trabajo y clientes) antes de emprender la adopcin de este

esquema de oferta de soluciones, ya que no todas las aplicaciones o cargas de trabajo

pueden estar en la nube. Hay que hacer, dijo, una auditora para saber cules s y

cules no. Adems, hay que migrar de manera gradual.

En el informe Seguridad y resistencia en las nubes de la Administracin

Pblica (European Network and Information Security Agency -ENISA, 2011), se

afirma que la falta de gobernanza y control sobre operaciones que involucran las

23

tecnologas de la informacin y el posible incumplimiento de leyes y normativas son

considerados problemas de seguridad para la aplicacin del modelo de computacin

en nube pblica. En su opinin, aspectos relacionados con la ubicuidad de datos,

gestin de los niveles de servicio que no son directamente controlados, control

ineficiente de la infraestructura de comunicaciones, son algunos aspectos a

considerar.

En Securing the Cloud: Cloud Computer Security Techniques and Tactics

(Winkler, 2011), el autor concluye que, dependiendo cmo se adopte el modelo en

nube o como se entreguen los servicios basados en dicho modelo, con la apropiada

seguridad, no hay razn para que la seguridad en nube no deba ser igual o pueda

exceder las implementaciones tradicionales de tecnologas de la informacin.

2.2. Conceptos de base

Como se ha mencionado anteriormente, NIST ha definido el nuevo paradigma

de computacin en nube como un modelo para permitir el acceso de forma

conveniente, desde cualquier sitio y bajo demanda a recursos informticos que se

pueden provisionar y desplegar rpidamente con un mnimo esfuerzo de gestin o

interaccin del proveedor de servicios.

24

En otras palabras, y considerando el contexto econmico, resulta ventajoso

poder convertir las inversiones en gastos recurrentes: contratar el servicio que sea

requerido en la dimensin necesaria y justa.

Sin embargo, debemos considerar que, si bien este modelo puede significar una

fuente reduccin de gastos de inversin (menor CAPEX, mayor OPEX), tambin

puede generar riesgos para los usuarios (INTECO, 2011).

Como riesgo identificado por el Instituto Nacional de Tecnologas de la

Comunicacin de Espaa (INTECO) est la posible falta de control respecto a dnde

est ubicada realmente la informacin: si bien el modelo es un entorno compartido de

recursos, es indispensable el aislamiento de la informacin. Esto nos lleva a

considerar el contar con adecuados controles de acceso y polticas de auditoria

implementadas en la plataforma.

Todo lo anterior conlleva a preguntarse quin gestiona o controla el servicio?

La respuesta es que esta gestin es una responsabilidad compartida entre el proveedor

y el cliente, desde diversos ngulos y en diferentes grados, de acuerdo con el modelo

nube elegido.

A continuacin revisaremos algunos conceptos intrnsecamente relacionados

con el control y la gestin.

25

2.3. Establecimiento de procesos

Trabajar con procesos es la base para la norma ISO 9001 y las siguientes que

trataremos. Esto supone un completo sistema de gestin organizado con base en

procesos de gestin de servicio, polticas, objetivos y controles.

Con la Figura 1 siguiente recordamos los elementos de un proceso.

Se aprecia que existen requisitos que deben ser satisfechos sobre la base de

ciertos atributos que el cliente, interno o externo, desea. Para lograr los atributos

deseados es necesario gestionar la calidad del producto o servicio ofrecido.

Una caracterstica es un rasgo diferenciador que puede ser de muchos tipos:

fsico; sensorial; comportamiento; tiempo; otros. Un requisito es una necesidad o

expectativa establecida, implcita u obligatoria, cuantitativa o cualitativa.

26

Fuente: elaboracin propia

Figura 1. Elementos de un proceso

La Figura 2 (Kilian Zambrano D., 2008) muestra un esquema de un sistema de

control de calidad. Segn ISO 9000, la calidad se define como el grado en el que un

conjunto de caractersticas inherentes cumple con los requisitos.

27

Adaptacin de un grfico de Kilian Zambrano

Figura 2. Control de la calidad

Un sistema de gestin de la calidad es el conjunto de normas interrelacionadas

de una empresa u organizacin por el cual se administra de forma ordenada la calidad

de la misma, en la bsqueda de la satisfaccin de sus clientes. Generalmente incluye

el establecimiento de la poltica de la calidad y los objetivos de la calidad, as como la

planificacin, el control, el aseguramiento y la mejora de la calidad.

El nfasis en procesos y gestin de la calidad es la base para el desarrollo de las

normas que trataremos a continuacin.

28

2.4. ISO9001:2000, Gestin de la mejora continua

Sobre la norma ISO 9000 (ISO, 2013), y normas relacionadas o similares, se

debe tener en cuenta que los sistemas de gestin de la calidad o mejora continua no

solucionan los problemas de las organizaciones, es uno quien los soluciona con la

aplicacin eficaz de estos sistemas.

En la Figura 3 se muestran los conceptos bsicos que comprende esta norma.

Adaptacin de un diagrama de la norma ISO

Figura 3. Modelo de un sistema de gestin de la calidad basado en procesos.

29

Se aprecia en la figura anterior la interrelacin de los ocho conceptos

fundamentales de la gestin de la mejora continua: enfoque al cliente; liderazgo en la

empresa; participacin del personal; enfoque en procesos; enfoque de sistemas para la

gestin; mejora continua; toma de decisiones basada en hechos; relaciones

mutuamente beneficiosas con los proveedores.

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son

los siguientes:

Optimizacin de los recursos.

Los ms altos niveles de eficiencia.

Mejora en la produccin.

Estandarizacin de procesos.

Procesos de calidad garantizada.

Igualdad tcnica de productos y/o servicios.

Elaboracin de manuales y procedimientos.

Estandarizacin y optimizacin de los mtodos de trabajo.

Mejores mtodos de medicin y control.

Mayor uniformidad en el trabajo.

30

Reconocimiento, competencia, ventaja competitiva.

Alineamiento de procesos con objetivos del negocio.

Gestin por indicadores.

Menor tiempo de llegada al mercado.

Mayor satisfaccin de los clientes.

Consistencia en la calidad del producto/servicio que recibe el cliente.

2.5. ISO/IEC 27002:2008, Gestin de la seguridad de las tecnologas de la

informacin y comunicaciones (TIC), Cdigo de prctica

La norma ISO/IEC 27002:2008 (ISO, 2013) de la International Organization for

Standardization/International Electrotechnical Commission, no es una norma

tecnolgica. Ha sido redactada de forma flexible e independiente de cualquier

solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto

a la tecnologa y a las soluciones disponibles en el mercado.

En el contexto de este estndar, el trmino informacin incluye a todas las

formas de datos, documentos, comunicaciones, conversaciones, mensajes, registros,

grabaciones, fotografas. Incluye todo desde datos digitales y correo electrnico hasta

faxes y conversaciones telefnicas. Es decir, incluye todas las formas de informacin,

no solo las relacionadas con las tecnologas de la informacin.

31

Tradicionalmente la seguridad de la informacin est definida en el contexto de

la preservacin de la confidencialidad, integridad y disponibilidad.

La confidencialidad tiene que ver con autorizaciones, no se ve lo que no se

supone que pueda ser visto; la integridad con que los datos se mantienen sin cambios

durante su almacenamiento o transmisin, los cambios se realizan sujetos a una

autorizacin previa, y/o que cualquier cambio es detectado y probado; y la

disponibilidad con que los usuarios autorizados tengan acceso a la informacin y

activos asociados cuando lo requieran, esto significa que los sistemas informticos

utilizados para almacenar y procesar la informacin, los controles de seguridad

utilizados para protegerlos, y los canales de comunicacin utilizados para acceder a

stos deben estar funcionando correctamente.

Es por tanto necesario identificar, clasificar, tratar, valorar riesgos, asignar roles

y responsabilidades, implementar controles y proteger la informacin, as como todo

equipo que se utilice para su almacenamiento, transmisin y procesamiento. Esto

conlleva, entre otros aspectos, a lo siguiente:

Definir la Poltica de seguridad de la informacin, las normas de apoyo y

procedimientos de ejecucin requeridos.

Generar conciencia.

32

Difundir y capacitar de forma apropiada y continua, incluyendo el

entrenamiento que pueda ser requerido.

Interiorizacin de la importancia de la seguridad de la informacin.

Monitorizar y mantener la efectividad de la Poltica de seguridad de la

informacin.

Recientemente tambin son relevantes:

La autenticidad, la garanta de que un mensaje, transaccin o intercambio

de informacin es genuino proviene de la fuente que dice ser, lo que

implica una prueba de la identidad.

La rendicin de cuentas, que es el reconocimiento y asuncin de

responsabilidad por las acciones, productos, decisiones, y polticas,

incluso la administracin, la gobernanza y la aplicacin en el mbito de la

funcin o puesto de trabajo y que abarca la obligacin de informar,

explicar y responder por la consecuencias resultantes.

La confiabilidad, que es la capacidad de un sistema o componente para

realizar sus funciones requeridas bajo condiciones establecidas durante un

perodo determinado de tiempo.

33

El no repudio, que implica que una parte de una transaccin no puede

negar haber recibido una transaccin ni tampoco la otra parte negar haber

enviado esa transaccin.

La seguridad de la informacin implica diferentes tipos de seguridad, como se

muestra en la Figura 4 que se explica por s sola. De esta figura se puede apreciar la

incidencia que tiene esta norma en la evaluacin y tratamiento del riesgo.

Adaptacin de un diagrama de la norma ISO

Figura 4. Gestin de la seguridad de la informacin.

34

El objetivo estratgico de esta norma es alcanzar un nivel de seguridad mximo

determinado por los recursos de la empresa contrastados con los requerimientos del

negocio. Mientras tanto, es necesario que la empresa vaya resolviendo los problemas

de seguridad urgentes y de corto plazo.

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son

los siguientes:

Confianza de clientes y socios estratgicos por la garanta de calidad,

integridad, disponibilidad y confidencialidad de la informacin.

Los riesgos y sus controles son continuamente revisados.

Imagen de empresa a nivel internacional y elemento diferenciador de la

competencia.

Demuestra un compromiso real de mantener la seguridad de la

informacin.

Abre nuevas oportunidades de negocio con clientes conscientes de la

importancia de la seguridad.

Establecimiento de una metodologa de gestin de la seguridad clara y

estructurada.

Reduccin del riesgo de prdida, robo o corrupcin de informacin.

35

Los clientes tienen acceso a la informacin a travs medidas de seguridad.

Las auditoras externas ayudan cclicamente a identificar las debilidades

del sistema y las reas a mejorar.

Continuidad de las operaciones necesarias de negocio tras incidentes de

gravedad.

Conformidad con la legislacin vigente sobre informacin personal,

propiedad intelectual y otras.

Reduccin de costos y mejora de los procesos y servicio.

Mejora la manera en que la organizacin gestiona la seguridad de la

informacin.

Mejora los objetivos de control.

Incrementa la disponibilidad de recursos y aclara las responsabilidades.

Permitir la creacin de nuevas actividades de negocio relacionadas con la

seguridad de la informacin.

Permite formular los objetivos y requisitos de seguridad de la

organizacin.

Forma de garantizar la gestin del riesgo y la rentabilidad de la inversin

en seguridad.

36

Para garantizar el cumplimiento de las leyes y regulaciones establecidas

en materia de gestin de informacin.

Identificacin y aclaracin de los procesos de gestin de la seguridad.

2.6. ISO/IEC 20000-2, Gestin de los servicios de TI, Cdigo de prctica

Segn la entidad certificadora intersek-sc.com, la norma ISO/IEC 20000-2:

Gestin de servicios (ISO, 2013) es un enfoque de conduccin de negocio "de arriba

hacia abajo" de la gerencia de tecnologas de la informacin. Especficamente, trata el

valor estratgico del negocio generado por las tecnologas de la informacin y la

necesidad de brindar servicios relacionados de alta calidad -no solamente en el final

sino tambin para los clientes y su interaccin con el sistema.

Los servicios son un medio para entregar valor a los clientes al facilitar los

resultados que los clientes desean conseguir, sin tener que apropiarse de los costos y

riesgos involucrados.

En el amplio sentido de la palabra, los servicios facilitan los resultados al

mejorar la realizacin y reducir la fuerza de las restricciones.

37

Por tanto, el valor de un servicio se basa en dos elementos primarios: utilidad6 y

garanta. La utilidad considerando adems la usabilidad7 del servicio.

La norma ISO/IEC 20000-2 se aplica a proveedores de servicio tanto grandes

como pequeos y los requerimientos son independientes de la forma organizacional

del proveedor de servicio.

Esta norma se basa en la Biblioteca de Infraestructura de Tecnologas de la

Informacin (ITIL, por sus siglas en ingls), que recientemente ha sido rediseado a

partir de un enfoque dirigido por procesos hacia un enfoque en el ciclo de vida del

servicio. As, la visin de ITIL V3 de integrar las iniciativas relacionadas con las

tecnologas de la informacin a la estrategia de negocio se centra en lo siguiente:

6 Es considerada parte de la estrategia del servicio. Es la funcionalidad ofrecida por un producto o servicio para

satisfacer una necesidad particular. La utilidad se resume a veces en un qu es lo que hace (ITIL, 2013). 7 Usabilidad es la medida en la cual un producto puede ser usado por usuarios especficos para conseguir

objetivos especficos con efectividad, eficiencia y satisfaccin en un contexto de uso especificado. (ISO 9241-

171:2008). Es parte del diseo del servicio. Es la facilidad con la que se puede usar una aplicacin, un

producto, o un Servicio de TI. Los requisitos de usabilidad se incluyen a menudo en una Declaracin de

requerimientos. (ITIL V3 Glosario v2.1, 30 de mayo del 2007).

La efectividad se refiere a la capacidad del sistema para ofrecer las funcionalidades para las que se ha

diseado; la eficiencia al esfuerzo necesario para conseguir realizar estas funcionalidades; y la satisfaccin -el

aspecto ms subjetivo- a la sensacin que el usuario tiene mientras lo usa y despus de usarlo. (Mari-Carmen

Marcos et al.. Evaluacin de la usabilidad en sistemas de informacin terminolgicos online. "Hipertext.net", nm. 4, 2006. [Consulta: 19/05/110]. ISSN 1695-5498).

38

1. Estrategia del servicio, que estudia los objetivos y las expectativas generales de

negocio para garantizar que la estrategia referida a las tecnologas de la

informacin se correlacione con stos.

2. Diseo del servicio, que inicia con un conjunto de requisitos de negocio,

nuevos o modificados y termina con el desarrollo de una solucin diseada para

satisfacer las necesidades documentadas del negocio.

3. Transicin del servicio, que se ocupa de la gestin de cambios, riesgos y el

aseguramiento de la calidad, as mismo tiene el objetivo de implementar los

diseos del servicio de manera que las operaciones del servicio puedan

administrar los servicios y la infraestructura de una manera controlada.

4. Operacin del servicio, que se ocupa de las actividades de negocio comunes.

5. Mejora continua del servicio, que proporciona una visin general del resto de

los elementos y busca maneras de mejorar el proceso general y el

aprovisionamiento del servicio.

No debemos dejarse de mencionar que al planificar la gestin de servicios se

debe considerar que los servicios seguramente cambiarn y que podra conducir a uno

o ms de los siguientes supuestos:

39

La estandarizacin de la infraestructura. Esto por economas de escala y

utilizacin de tecnologa moderna que proporciona mayores niveles de

seguridad y contribuye a la proteccin del medio ambiente.

Cambios en la legislacin. Para propiciar lo anterior, y manejar de mejor

manera las adquisiciones de bienes o servicios de todo tipo y sus pagos

correspondientes.

A una regulacin personalizada o desregulacin, dependiente el hecho

de la orientacin de la empresa o industria y condiciones coyunturales del

ecosistema relacionado.

Que el proveedor de servicios defina y asegure contractualmente el cmo

mantendr la calidad en el tiempo.

La gestin de servicios es un conjunto de capacidades organizacionales

especializadas para proporcionar valor a los clientes a travs de servicios, y toma la

forma de un conjunto de funciones y procesos para gestionar servicios a lo largo de su

ciclo de vida.

Esto se muestra en la Figura 5. Los procesos involucrados proveen el mejor

servicio posible para satisfacer las necesidades de negocio de los clientes con niveles

de recursos acordados; en otras palabras, proveer un servicio profesional, econmico

y con riesgos que son entendidos y gestionados.

40

Adaptacin de un diagrama de la norma ISO

Figura 5. Gestin de servicios de las tecnologas de la informacin.

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son

los siguientes:

Alineacin de servicios de tecnologas de la informacin con las

estrategias del negocio.

Incremento en la competitividad a travs de la entrega de mejores

servicios a menor costo y en menor tiempo cuando sea posible.

41

Creacin de un marco de referencia para el mejoramiento de servicios.

Enfoque en la creacin de procesos proactivos (resultado de una

conciencia y enfoque en la mejora continua) en vez de procesos reactivos

(tendientes a mitigar problemas), tanto por parte del proveedor como del

cliente.

Mejoramiento en las interdependencias y operaciones internas de las

tecnologas de la informacin.

La gestin de las tecnologas de la informacin y comunicaciones (TIC)

mejora el posicionamiento del departamento de tecnologas de la

informacin (TI) y del Director de Informtica (CIO).

En un futuro, los CIO ms gestores y menos tecnlogos.

Maximizar la calidad del servicio.

Reducir costos.

Gestionar la disponibilidad y continuidad de los servicios, sobre la base

de prioridades, acuerdos de nivel de servicio y valoracin temprana de

riesgos.

Aumentar la satisfaccin del cliente.

Clarificar y sincerar la capacidad del Departamento de Informtica.

42

Minimizar el tiempo de ciclo de cambios.

Mejorar resultados en base a mtricas.

Tomar decisiones sobre la base de indicadores de negocio y relacionados

con la gestin de las tecnologas de la informacin.

2.7. ISO/IEC 38500:2008, Gobierno corporativo de la tecnologa de la informacin

El estndar ISO/IEC 38500:2008 (ISO, 2013) ha aparecido en junio de 2008.

Alison Holt, alto ejecutivo del IT Governance Working Group comenta sobre l:

"Este estndar est dirigido a la mesa directiva de la organizacin, para asistirla en

obtener el mximo valor de TI y de los activos de informacin en toda la

organizacin.

Esta norma provee principios rectores a los directores de las organizaciones

(incluyendo propietarios, miembros de la mesa directiva, socios, ejecutivos, otros)

relacionados con el uso efectivo, eficiente y aceptable de las tecnologas de la

informacin dentro de sus organizaciones.

Se aplica a la gobernanza de los procesos de gestin (y decisorios) que se

relacionan con los servicios de informacin y comunicacin que son utilizados por la

organizacin, como se muestra en la Figura 6, donde se busca el rendimiento y

43

cumplimiento de las tecnologas de la informacin con normas tcnicas y de

gobierno.

El objeto entonces puede resumirse en evaluar propuestas para dirigir aquellas

que han sido implementadas a travs de polticas y planes especficos, y verificar

continuamente el rendimiento y conformidad con estas polticas y planes.

Adaptacin de un diagrama de la norma ISO

Figura 6. Marco de gobierno de TI.

44

Algunos de los beneficios que se obtienen por la aplicacin de esta norma son

los siguientes:

Conformidad de la organizacin con:

o Los estndares de seguridad.

o Legislacin de privacidad.

o Legislacin sobre el correo electrnico no solicitado -spam.

o Legislacin sobre prcticas comerciales.

o Derechos de propiedad intelectual, incluyendo acuerdos de licencia de

software.

o Regulacin medioambiental.

o Marco regulatorio en general.

o Normativa de seguridad y salud laboral.

o Legislacin sobre accesibilidad.

o Estndares de responsabilidad social.

o Otros.

Buen rendimiento de la TI mediante:

o Una apropiada implementacin y operacin de los activos de TI.

o Clarificacin de las responsabilidades y rendicin de cuentas en lograr

los objetivos de la organizacin.

o Continuidad y sostenibilidad del negocio.

o Alineamiento de TI con las necesidades del negocio.

45

o Asignacin eficiente de los recursos.

o Innovacin en servicios, mercados y negocios.

o Buenas prcticas en las relaciones con los grupos de inters

(accionistas, socios, empleados, clientes, proveedores, otros).

o Reduccin de costos.

o Otros.

Materializacin efectiva de los beneficios esperados de cada inversin en

la plataforma tecnolgica de cmputo.

Alcanzar metas estratgicas.

Producir informacin relevante y pertinente para la organizacin.

Asegurar que la informacin crtica para el negocio est disponible

cuando se necesita, es y permanece confidencial, es confiable, exacta y

completa, y se cie a las regulaciones vigentes.

Asegura ganancias importantes en eficiencia.

El modelo de Gobierno de las tecnologas de la informacin es responsable de

los xitos o fracasos de la organizacin, desde las decisiones clave de los CIO, hasta

cmo atendemos las peticiones de los usuarios. Por este motivo, es interesante

trabajar en su mejora. Adems, el modelo debe ajustarse a la organizacin, y no la

organizacin al modelo.

46

Aunque el modelo final pueda implementarse de forma progresiva (Fernndez

Domnguez, 2013), deben considerarse los siguientes aspectos bsicos: decisiones

clave de alto nivel, modelos de decisin, diseo de la organizacin y de las

estructuras de gobierno, establecimiento de polticas, despliegue de procesos,

determinacin de procedimientos, normalizacin de puestos de trabajo y alineacin

de competencias, gestin de la comunicacin y del cambio, adecuado soporte

tecnolgico y realizacin de actividades de seguimiento y monitorizacin de

desempeo y beneficios.

Fernndez recomienda tambin no alejar las prcticas de gobierno de las

operaciones, con las finalidades siguientes:

Que estas decisiones persigan elevar la calidad percibida por los usuarios

por encima de los umbrales previamente establecidos.

Que el modelo sea eminentemente prctico y operativo, para garantizar

que cumplen con su finalidad, que es facilitar el gobierno de las

tecnologas de la informacin de forma normalizada y racional.

Transparencia y comunicacin son aqu aspectos fundamentales, puesto que es

importante informar del valor aportado (cualitativo y cuantitativo), de las mejoras en

productividad, de las mejoras en la calidad percibida, lo que pone de manifiesto los

beneficios que realmente se estn aportando, indicando su grado de alineamiento con

47

los negocios y, por extensin, con los objetivos y estrategias finales de la

organizacin.

2.8. Costo total de propiedad TCO

Es una medida diseada por el Grupo Gartner a finales de los aos 70 y

ampliamente difundida a principios de los aos 80 para evaluar el costo total en que

se incurre al adquirir un bien (Fellner), al comparar equitativamente propuestas que

incluyen valores de cobro permanente al igual que valores de pago nico y durante

todo su ciclo de vida, y en la actualidad las organizaciones lo utilizan para conocer el

costo y riesgos a la hora de invertir en tecnologas de la informacin (Estrella

Verdesoto, 2008).

Es una metodologa que ayuda a evidenciar las cuestiones ms actuales, en las

decisiones de inversin, a justificar la necesidad para cambios y proporcionar una

retroalimentacin continua en la administracin de costos.

ITIL (ITIL, 2013) la considera una estrategia del servicio.

Los factores que intervienen en un anlisis TCO son los siguientes:

Complejidad de la propia infraestructura tecnolgica y de su propia

administracin.

48

Riesgos de implementacin (que crecen con la complejidad de la

implementacin) y riesgos operacionales (periodos de inactividad,

prdida de datos, incumplimiento regulatorio o normativo, entre otros),

que podran generar un mayor costo ante la aparicin de un determinado

evento.

Mejores prcticas en la industria.

En la evaluacin se consideran, a lo largo del ciclo de vida del bien objeto de

anlisis, lo siguiente:

Costos directos (presupuestados la adquisicin del bien).

ostos indirectos recurrentes no presupuestados el uso

mantenimiento del bien como los siguientes:

o De operacin.

o De maquinaria.

o De implantacin de las TIC.

o De trabajos de consultora.

o e infraestructura consumo de energa elctrica espacio fsico aire

acondicionado equipo contra incendio controles de temperatura

humedad otros .

o Aspectos del uso, mantenimiento, reparaciones, reposiciones,

depreciacin.

49

o Proyecciones de gastos recurrentes.

o Capacitacin para el personal de soporte y para usuarios.

o Perodo de inactividad del usuario final.

o Investigacin y desarrollo, documentacin, otros.

o Marketing y publicidad.

Beneficios.

Por facilidad, los costos normalmente estos se agrupan en: (a) capital; (b)

administracin; (c) soporte tcnico; y (d) operaciones del usuario final.

2.9. Acuerdo de nivel de servicio ANS

Es importante considerar que la prestacin de los servicios est -o debera

estar- condicionada a la firma de un acuerdo de nivel de servicio. Con este acuerdo o

contrato, el usuario es quien determina el nivel de calidad en la prestacin del servicio

que proporciona cada proveedor (lo que puede ofrecer), de acuerdo con sus

necesidades y expectativas (lo que se necesita y espera), y sujetas a un acuerdo mutuo

(lo que se puede obtener y es aceptado).

Un acuerdo de nivel de servicio es parte del diseo mismo del servicio (ITIL,

2013) y se le considera una herramienta para la mejora continua del servicio.

50

Estas condiciones acordadas permitiran definir un costo diferenciado para el

servicio que ser prestado dado que ser necesario:

Establecer las necesidades especficas de los clientes (usuarios) por lo que

requerir:

o Levantamiento de informacin previo con la finalidad de determinar

apropiadamente el mbito de accin.

o Labores de consultora.

Establecer los recursos que sern asignados:

o Cantidad.

o Experiencia.

o Calidad.

o Oportunidad.

Establecer el tiempo asignado para el servicio:

o Planeamiento, investigacin.

o Diseo, anlisis.

o Coordinaciones.

o Implementacin.

Determinar los alcances (qu s se har).

Determinar las exclusiones (qu no se har).

51

Un acuerdo de nivel de servicio es importante para el cliente porque permite

definir, entre otras cosas, lo siguiente:

Responsabilidades y lmites compartidos.

Indicadores de rendimiento para el servicio al cliente.

Indicadores de rendimiento sincerados para la organizacin.

El precio de la no conformidad con las expectativas -penalidades por

incumplimiento.

Trminos conceptuales

Segn foro-helpdesk.com, el xito de la implementacin de un ANS depende en

gran medida de la correcta eleccin de los indicadores y los objetivos a alcanzar para

cada uno de ellos. Un indicador representa algunas de las variables que componen un

proceso o servicio brindado. Los objetivos estarn relacionados con la eficiencia,

eficacia o disponibilidad de dicho servicio. Sin embargo, slo aquellas variables de

servicio que estn directamente ligadas con la percepcin de calidad por parte del

usuario y que respondan a los intereses del negocio son importantes.

Tngase presente que los elementos constitutivos deben ser: medibles y

especficos; a mayor detalle, menor ocurrencia de malos entendidos y expectativas no

satisfechas.

52

Adicionalmente, un acuerdo de nivel de servicio est definido de diversas

formas, aqu presentaremos algunas:

Es un protocolo plasmado normalmente en un documento de carcter

legal por el que una compaa que presta un servicio a otra se

compromete a prestarlo sobre la base de unas determinadas condiciones y

con unas prestaciones pre-establecidas.

Tratar de mantener y de garantizar la calidad del servicio brindado a un

cliente.

Ayuda a prometer lo que es posible de entregar y a entregar lo prometido.

Es el mantenimiento de la disponibilidad de un determinado servicio

basado en un compromiso que puede ser medido y demostrado, del nivel

de cumplimiento en su ejecucin.

En un ANS se pueden establecer tantos indicadores como se estime

necesario y de su evaluacin se obtienen por ejemplo penalizaciones a la

empresa suministradora, identificacin de puntos dbiles del proceso e

indicaciones para procesos de mejora continua en determinadas

actividades.

Es un documento de referencia para la relacin con el cliente en todo lo

que respecta a la provisin de los servicios acordados.

53

Consiste en un contrato en el que se estipulan los niveles de un servicio

en funcin de una serie de parmetros objetivos, establecidos de mutuo

acuerdo entre ambas partes, as, refleja contractualmente el nivel

operativo de funcionamiento, penalizaciones por cada de servicio,

limitacin de responsabilidad por no servicio, otros.

Es un documento que fija las expectativas entre el consumidor y el

proveedor.

Es un convenio formal celebrado entre dos o ms entidades, que se logra

despus de un perodo de negociacin con el fin de establecer las

caractersticas de un servicio; as como las responsabilidades y las

prioridades de todas las partes.

Es una mtrica de servicio, acuerdos contractuales entre el proveedor y el

cliente que especifican en trminos medibles la cantidad y calidad y

oportunidad de servicios a prestar.

En la Figura 7 se muestra un proceso de consecucin de expectativas para un

ANS entre proveedor y cliente.

54

Adaptado de foro-helpdesk.com

Figura 7. Proceso de consecucin de expectativas entre proveedor y cliente.

En la Figura 8 se muestra el mbito de solucin de un ANS.

Se aprecia que los costos son producto de una combinacin de diferentes

factores que, de forma individual, pueden ser considerados ms o menos importantes,

de acuerdo con la orientacin del servicio que se desea brindar o por el valor que se le

pueda otorgar, dependiendo esto de la coyuntura y conocimiento intrnseco de quien

realiza la evaluacin o pertinencia. Por ejemplo, un vendedor podra desestimar la

necesidad y no considerar en el precio del servicio el costo que el desarrollador del

servicio podra establecer.

El usuario es

quien

determina el

nivelnivel de de

calidadcalidad en la

prestacin del

servicio que

proporciona

cada

proveedor, de

acuerdo con

sus

necesidadesnecesidades

y y

expectativasexpectativas

55

Fuente: elaboracin propia

Figura 8. mbito de solucin de un Acuerdo de Nivel de Servicio ANS

A continuacin se detallarn algunas consideraciones para la elaboracin de un

ANS:

El ANS seguramente cambiar con el tiempo.

Cada uno de los involucrados debe estar representado en la creacin y en

el proceso de negociacin del ANS.

Debe permitir tomar accin cuando los resultados caen por debajo de los

objetivos definidos.

Necesidades de los usuarios: Levantamiento de

informacin.

Consultora.

Recursos asignados: Cantidad.

Experiencia.

Calidad.

Tiempo asignado: Planeamiento.

Diseo / anlisis.

Coordinaciones.

Investigacin.

Implementacin.

Alcances. Qu s se har.

Exclusiones: Qu no se har.

Costo

s A s p e c t o s f u e r a d e l a lc a n c e t c n ic o

A s p e c t o s d e p o s ib le

r e s o lu c i n d i r e c t a

A s p e c t o s

q u e

r e q u ie r e n

m a y o r

e x p e r ie n c ia

Lm it e

t c n ic o

Lm it e fu n c io n a l

Esc a la m ie n t o

Es

ca

lam

ien

to

Responsabilidades y lmites compartidos

Indicadores de rendimiento para el servicio al cliente

Indicadores de rendimiento para la organizacin

El precio de la no conformidad

56

Los elementos constitutivos deben ser:

o Medibles.

o Especficos.

A mayor detalle menor ocurrencia de:

o Malos entendidos.

o Expectativas no satisfechas.

Los indicadores:

o Deben manejar objetivos alcanzables.

o La evaluacin e interpretacin debe ser objetiva.

Los datos que componen las mtricas deben ser:

o Obtenibles y no ser modificables.

o Conocidos por el personal apropiado nicamente.

o Entendibles y con objetivos claramente definidos.

o ntegros es decir, deben ser:

Significativos (reflejan lo que se intenta medir).

Precisos (numricamente correctos).

Seguros (sin posibilidad de manipulacin o engao).

Representativos (que dan cuenta del volumen de

transacciones).

57

A continuacin se describirn algunas mejores prcticas para la elaboracin de

un ANS que los autores han compilado y otras, producto de su propia experiencia:

Un ANS no debe considerarse como un opcional a un servicio, es parte

fundamental del mismo.

El ANS debe ser el resultado de la identificacin de las necesidades y la

negociacin entre las partes. La identificacin de necesidades y la

negociacin permiten encontrar los indicadores adecuados y los niveles

de servicios posibles y comprometidos.

El servicio debe estar alineado con los intereses de la organizacin. La

direccin misma debe participar aportando la visin del negocio.

El ciclo de vida de un ANS debe incluir un programa de revisiones

peridicas, donde se analicen los objetivos alcanzados vs. los propuestos.

Un ANS adecuado reglamenta el servicio indicando derechos y

obligaciones para ambas partes.

Las penalidades sirven como elemento de presin al prestador, pero en

ningn caso reemplazan al servicio no prestado o prestado

ineficientemente.

Establezca un circuito de comunicacin eficiente entre todas las partes,

esto acercar las visiones del prestador y de los usuarios.

58

Establezca indicadores de fcil medicin e interpretacin.

Incluya a todos los sectores en la mesa de negociacin (gerentes a cargo

del negocio y gerentes a cargo de la tecnologa).

Documente las necesidades relevadas, los cambios y genere actas de las

reuniones de negociacin.

Incluya el resultado de encuestas de satisfaccin como un indicador ms

del servicio.

Establezca un sistema de monitoreo donde pueda detectar desvos y que

permita corregirlos en lnea.

Comunique el alcance del servicio a los usuarios. Ellos pueden estar

esperando un servicio diferente al acordado.

Recuerde mantener los acuerdos simples, medibles y realistas.

2.10. Auditora, enfoque moderno

La auditora es una funcin de direccin, un proceso sistmico, crtico,

cuantitativo y detallista, basado en la evidencia, y realizado por un tercero,

competente, distinto y sin relacin con quien prepar o se relaciona con la

informacin motivo de la auditora, y que tampoco tiene relacin directa con la

informacin que se audita.

59

Este proceso es necesario para determinar la autenticidad, integridad y calidad

de la informacin que se produce, con el propsito de determinar e informar sobre el

grado de correspondencia existente entre la informacin cuantificable y los criterios

establecidos.

Una auditora constituye una herramienta de control y supervisin que

contribuye a la creacin de una cultura de la disciplina de la organizacin, al ocuparse

fundamentalmente del conjunto de medidas, polticas y procedimientos establecidos

en las empresas para proteger el activo, minimizar las posibilidades de fraude,

incrementar la eficiencia operativa y optimizar la calidad de la informacin en

general (Morell Gonzlez, 2013), -un enfoque tradicional que se vea como algo

negativo por la fiscalizacin inherente.

Segn Morell, tras el proceso anterior, el enfoque moderno es proporcionar

determinada informacin a la direccin para que pueda evaluar si sus objetivos y

metas se estn cumpliendo conforme a los esperado o si son efectivos los controles

establecidos para incrementar la eficacia de la empresa partiendo de la evaluacin

sistemtica del proceso de control interno de la empresa -por ejemplo, al descubrir

fallas en las estructuras o vulnerabilidades existentes y presentarlas de modo

conveniente para que la empresa pueda tomar las acciones correctivas necesarias.

60

Adems, contina Morell, a uda a la organizacin a cumplir sus objetivos

aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad

de los procesos de gestin de riesgos, control y direccin (Hevia, 1999).

El objetivo es detectar las desviaciones en cuanto al plan establecido y detectar

los problemas concretos con la finalidad de encontrar la manera de rectificar las

actuaciones y solucionar las contingencias.

La imagen que la auditora tiene hoy es la de una actividad consultiva y docente

que aade valor a la empresa.

2.11. Computacin en nube

Segn NIST, es un modelo que permite, convenientemente y bajo demanda, el

acceso por red a un conjunto compartido de recursos informticos configurables (por

ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser

rpidamente aprovisionados y desplegados con mnimo esfuerzo de administracin o

de interaccin con el proveedor de servicios. Este modelo de nube promueve la

disponibilidad y se compone de:

Cinco caractersticas esenciales (autoservicio por demanda, acceso de

banda ancha, pool de recursos, rpida elasticidad, servicio medido);

61

Tres modelos de servicio (Software como Servicio [SaaS], Plataforma

como Servicio [PaaS], Infraestructura como Servicio [IaaS]); y

Cuatro modelos de despliegue (nube privada, comunitaria, pblica,

hbrida).

2.12. Caractersticas de la computacin en nube

Entre las caractersticas asociadas a la computacin en nube se encuentran las

siguientes (ONTSI, 2012):

2.12.1. Pago por uso

Una de las caractersticas principales de las soluciones en nube es el modelo de

facturacin basado en el consumo; es decir, el pago que debe abonar el cliente vara

en funcin del uso que se realiza del servicio en nube contratado.

2.12.2. Abstraccin

Caracterstica o capacidad de aislar los recursos informticos contratados al

proveedor de servicios nube de los equipos informticos del cliente. Esto se consigue

gracias a la virtualizacin, con lo que la organizacin usuaria no requiere de personal

62

dedicado al mantenimiento de la infraestructura, actualizacin de sistemas, pruebas y

dems tareas asociadas que quedan del lado del servicio contratado.

2.12.3. Agilidad en la escalabilidad

Caracterstica o capacidad consistente en aumentar o disminuir las

funcionalidades ofrecidas al cliente, en funcin de sus necesidades puntuales sin

necesidad de nuevos contratos ni penalizaciones. De la misma manera, el costo del

servicio asociado se modifica tambin en funcin de las necesidades puntuales de uso

de la solucin. Esta caracterstica, relacionada con el pago por uso, evita los riesgos

inherentes de un posible mal dimensionamiento inicial en el consumo o en la

necesidad de recursos.

2.12.4. Multiusuario

Capacidad que otorga la nube, que permite a varios usuarios compartir los

medios y recursos informticos, permitiendo la optimizacin de su uso.

2.12.5. Autoservicio bajo demanda

Esta caracterstica permite al usuario acceder de manera flexible a las

capacidades de computacin en nube de forma automtica a medida que las vaya

63

requiriendo, sin necesidad de una interaccin humana con su proveedor o

proveedores de servicios cloud.

2.12.6. Acceso sin restricciones

Caracterstica consistente en la posibilidad ofrecida a los usuarios de acceder a

los servicios contratados dela computacin en nube en cualquier lugar, en cualquier

momento y con cualquier dispositivo que disponga de conexin a redes de servicio

IP. El acceso a los servicios de computacin en nube se realiza a travs de la red, lo

que facilita que distintos dispositivos, tales como telfonos mviles, dispositivos

PDA o computadoras porttiles, puedan acceder a un mismo servicio ofrecido en la

red mediante mecanismos de acceso comunes.

2.12.7. Virtualizacin

La virtualizacin es la creacin a travs de software de una versin virtual de

algn recurso tecnolgico, como puede ser una plataforma de hardware, un sistema

operativo, un dispositivo de almacenamiento u otros recursos de red (Diskeeper

Corporation, 2006).

La tecnologa de virtualizacin tiene aplicaciones importantes para el modelo

de cloud computing como son:

64

Virtualizacin de Servidores

La virtualizacin de servidor describe la creacin de una o varias instancias de

un sistema operativo husped bien sobre un sistema operativo host o

anfitrin (arquitectura alojada) o directamente sobre una capa de software

especializado denominado hipervisor (arquitectura de hipervisor).

En ambas arquitecturas, la virtualizacin del sistema host de otros sistemas

operativos se consigue mediante software propio del fabricante (por ejemplo,

Vmware ESX, Xen, RHEV, Hyper-V, etc.), que reside entre el hardware fsico

(CPU, memoria, etc.) y los sistemas operativos "huspedes".

Cada sistema operativo husped o host ejecuta sus propias aplicaciones de

manera Independiente como si se tratara del nico sistema que opera en el

hardware.

En la Figura 9 siguiente se aprecian estos esquemas, donde se representa a un

equipo fsico cuyos recursos son entregados segn necesidad mediante un

software virtualizador a diferentes mquinas virtuales.

65

Fuente: http://infoaprende.web44.net/infoaprende/virtualizacion/.

Fuente: http://www.compuexpress.com.mx/2011/?p=1412.

Figura 9. Esquema de virtualizacin de servidores

66

Virtualizacin de almacenamiento

La virtualizacin del almacenamiento implica la creacin de un contenedor

lgico de datos, generalmente de gran tamao, que mediante software aparenta

estar fsicamente situado completamente en un nico servidor. En realidad, los

datos pueden estar situados en cientos de discos fsicos repartidos por decenas

de servidores. Este es el concepto que implementan las SAN (Storage Area

Networks: redes de rea de almacenamiento).

En la Figura 10 se muestra este esquema.

Fuente: elaboracin propia.

Figura 10. Esquema de virtualizacin de almacenamiento.

67

2.13. Clasificacin de los modelos en nube

2.13.1. Modelos de servicio en nube

Existen tres modelos de servicio y sus combinaciones derivadas describen la

prestacin de los servicios en nube y son los siguientes (Cloud Security Alliance -

CSA, 2011):

a. Software como servicio - Cloud Software as a Service (SaaS).

En el Software de nube como servicio, la capacidad proporcionada al

consumidor consiste en utilizar las aplicaciones del proveedor que se ejecutan

en una infraestructura de nube.

Mediante esta modalidad de servicio puede accederse a las aplicaciones desde

diversos dispositivos de cliente, a travs de una interfaz de cliente ligero como

un navegador de Internet. Por ejemplo, correo web, Salesforce.com.

Es un modelo de distribucin de software en donde la compaa de tecnologas

de informacin y comunicacin provee el servicio de mantenimiento, operacin

diaria, y soporte del software usado por el cliente.

68

Es tener la informacin, el procesamiento, los insumos y los resultados de la

lgica de negocio del software hospedado en la compaa de que provee la

plataforma de tecnologas de la informacin. (wikipedia.org).

Algunas metas de este modelo son las siguientes:

Incrementar la usabilidad (recordemos a Apple que con el iPhone y el

iPod, aunque no fueron los primeros, cambiaron la forma de usar ciertos

aparatos) y aspectos funcionales del software aplicativo.

Construir estructuras de costo y ganancias recurrentes que sean ms

predecibles.

Reducir el continuo tiempo invertido en soporte, en implementacin y

entrenamiento; minimizar el riesgo en general del negocio con mayor

accesibilidad a los datos y seguridad. (saas.com).

El consumidor no gestiona ni controla la infraestructura subyacente de nube, la

que incluye la red, servidores, sistemas operativos, almacenamiento o incluso

capacidades de aplicaciones individuales, con la posible excepcin de unos

parmetros de configuracin de la aplicacin especficos del usuario limitados.

b. Plataforma como servicio - Cloud Platform as a Service (PaaS).

69

En la Plataforma de nube como servicio, la capacidad proporcionada al

consumidor es desplegar en la infraestructura de nube aplicaciones adquiridas o

creadas por el consumidor, que fueran creadas utilizando lenguajes y

herramientas de programacin soportadas por el proveedor.

La capa presenta todo lo necesario para que los desarrolladores puedan realizar

su trabajo de construccin y puesta en marcha de aplicaciones y servicios web

completamente disponibles en la Internet. Por ejemplo, el empleo de interfaces

programticas de aplicacin -API, Google App Engine.

El consumidor no gestiona ni controla la infraestructura de nube subyacente que

incluye la red, servidores, sistemas operativos o almacenamiento, pero tiene

control sobre las aplicaciones desplegadas y la posibilidad de controlar las

configuraciones de entorno del hosting de aplicaciones.

c. Infraestructura como servicio - Cloud Infrastructure as a Service (IaaS).

En la infraestructura de nube como servicio los usuarios utilizan recursos de

cmputo, almacenami