propuesta para trabajo de gradopegasus.javeriana.edu.co/.../memoriaguiametodologica.docx · web...

CIS1130SD03Guía Metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de de-

cisión para la migración hacia la nube pública

Johana Carolina Sosa Preciado

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERIA

CARRERA DE INGENIERIA DE SISTEMAS

Ingeniería de Sistemas Sidre - CIS1130SD03

BOGOTÁ, D.C.

2012

Página 2

Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación

CIS1130SD03Guía Metodológica para apoyar a las empresas MiPYMEs Colombianas

en la toma de decisión para la migración hacia la nube pública

Autor(es):

Johana Carolina Sosa Preciado

MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO

DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE

SISTEMAS

Director

Samuel Gutiérrez Tibaquirá, PMP, CISSP

Jurados del Trabajo de Grado

<Nombres y Apellidos Completos del Jurado >

Página iPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008


<Nombres y Apellidos Completos del Jurado >

Página web del Trabajo de Grado

http://pegasus.javeriana.edu.co/~ CIS1130SD03




BOGOTÁ, D.C.

Enero, 2012




Rector Magnífico

Página ii

http://pegasus.javeriana.edu.co/~CIS1130SD03


Joaquín Emilio Sánchez García S.J.

Decano Académico Facultad de Ingeniería

Ingeniero Luis David Prieto Martínez

Decano del Medio Universitario Facultad de Ingeniería

Padre Sergio Bernal Restrepo S.J.

Director (E) de la Carrera de Ingeniería de Sistemas

Ingeniero César Julio Bustacara Medina

Director Departamento de Ingeniería de Sistemas

Ingeniero César Julio Bustacara Medina

Página iiiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008


En esta hoja solía venir la nota de aceptación del director y la firma de los jurados. Ahora, el

director puede aprobar a través de correo electrónico. Esta hoja puede ser obviada.

Página iv


Artículo 23 de la Resolución No. 1 de Junio de 1946

“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus

proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral

católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que

se vean en ellos el anhelo de buscar la verdad y la Justicia”

Página vPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008


AGRADECIMIENTOS

Quiero agradecer primeramente a Dios por su respaldo en todo este proceso y por rodearme de perso-

nas que han sido de apoyo en este tiempo. A mis padres que siempre han sido un ejemplo y un apoyo

incondicional en todo lo que emprendo, gracias por motivarme cada día y a enseñarme a dar siempre lo

mejor de mí. A mis hermanos por siempre estar ahí cuando los necesito, son un apoyo y una motiva-

ción para mí.

También quiero agradecer a mi director de trabajo de grado, Samuel Gutiérrez, por su tiempo, dedica-

ción, dirección y aportes a nivel académico que compartió conmigo durante todo este proceso. A los

expertos, quiero agradecerles por su tiempo y aportes para ayudarme con la revisión y mejoramiento

del trabajo de grado.

Por último, agradecer a mis amigos, familiares y profesores que fueron de apoyo en este tiempo y que

ayudaron a que pudiera terminar exitosamente este trabajo de grado.

Página vi


Contenido

INTRODUCCIÓN.....................................................................................................12

I – DESCRIPC,ION GENERAL DEL TRABAJO DE GRADO..........................14

1. OPORTUNIDAD, PROBLEMÁTICA, ANTECEDENTES..................................................141.1 Descripción del contexto.........................................................................................141.2 Formulación del problema que se resolvió.................................................................141.3 Justificación.................................................................................................................151.4 Impacto Esperado........................................................................................................15

2. DESCRIPCIÓN DEL PROYECTO..................................................................................152.1 Visión global................................................................................................................162.2 Objetivo general...........................................................................................................162.3 Fases Metodológicas o conjunto de objetivos específicos...........................................162.4 Método que se propuso para satisfacer cada fase metodológica................................16

II - MARCO TEÓRICO............................................................................................18

1. MARCO CONTEXTUAL..............................................................................................18

2. MARCO CONCEPTUAL..............................................................................................20

III – DESARROLLO DEL TRABAJO....................................................................24

FASE TIPO DE INFORMACIÓN.......................................................................................24

FASE VALIDACIÓN Y MEJORA.....................................................................................26

IV - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS.............................30

V – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS....32

1. CONCLUSIONES.................................................................................................32

2. RECOMENDACIONES.........................................................................................33

3. TRABAJOS FUTUROS.........................................................................................33

VI - REFERENCIAS Y BIBLIOGRAFÍA..............................................................34

1. REFERENCIAS...........................................................................................................34

2. BIBLIOGRAFÍA..........................................................................................................34

Página viiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008


VII - ANEXOS............................................................................................................38

ANEXO 1. GLOSARIO....................................................................................................38

ANEXO 2. POST-MORTEM............................................................................................39

1. METODOLOGÍA PROPUESTA VS. METODOLOGÍA REALMENTE UTILIZADA........39

2. ACTIVIDADES PROPUESTAS VS. ACTIVIDADES REALIZADAS............................39

3. EFECTIVIDAD EN LA ESTIMACIÓN DE TIEMPOS DEL PROYECTO........................39

4. COSTO ESTIMADO VS. COSTO REAL DEL PROYECTO........................................39

Página viii


ABSTRACT

One of the main problems faced by MiPyMEs organizations when deciding to continue with

the management that they have with their information or migrate that information into the

cloud, is not to know how exposed or secure their information could be. For this reason this

methodological guide was developed to provide assistance to these organizations, through

steps such as: the classification of information, risk analysis of information in its current

management, consideration of the risks facing in the cloud, the definition of the necessary

controls; support them to make the right decision regarding the handling of information.

RESUMEN

Uno de los principales problemas que deben afrontar las organizaciones MiPyMEs al mo-

mento de decidir entre continuar con el manejo que vienen haciendo de la información o la de

migrar la información a la nube, es la de no conocer que tan expuesta o segura puede estar su

información. Por esta razón se desarrolló esta guía metodológica, para brindar ayuda a este

tipo de organizaciones, a través de pasos como: la clasificación de la información, el análisis

de riesgos de la información en su manejo actual, la consideración de los riesgos que se

afrontan en la nube, la definición de los controles necesarios; con el fin de apoyarlos a tomar

la decisión acertada en cuanto al manejo de la información.

Página ixPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008


Página x


RESUMEN EJECUTIVO

El principal problema que deben afrontar las organizaciones MiPyMEs al momento de deci-

dir entre pasar a la nube pública o quedarse con el manejo convencional de la información, es

la falta de conocimiento frente al hecho de qué tan expuesta o segura puede estar la informa-

ción, y de cuál es la forma más adecuada para el manejo de la misma. Aunque la tendencia

actual es a trabajar en la nube, las empresas deben tener conciencia de los riesgos a los que se

enfrentan al poner la información en la nube.

Con base en esta problemática se trabajó en el desarrollo de una Guía metodológica para

apoyar a este tipo de organizaciones Colombianas en la toma de decisión para la migración

hacia la nube pública. Este desarrollo se llevó a cabo en 3 fases que se describen a continua -

ción:

En la primera fase se realizó un trabajo investigativo para consolidar y analizar los diferentes

tipos de clasificación de la información que se manejan en diferentes países y diferentes tipos

de organizaciones. También se visitaron algunas organizaciones MiPyMEs como Digiservice

(Empresa que presta sus servicios en outsoursing) y Misión Carismática Internacional (La

iglesia cristiana más grande de Colombia y que maneja grandes volúmenes de información),

en estas visitas se identificó cuál es la información que dichas empresas manejan y la forma

como la clasifican. Al finalizar esta etapa se establecieron los niveles de clasificación de la

información como una propuesta para que las organizaciones utilicen si no manejan ninguna

clasificación.

Posteriormente se realizó una investigación de las metodologías más reconocidas que existen

para realizar el Análisis de Riesgos. Después de tomar una muestra de 5 metodologías y de

estudiarlas, se llegó a la conclusión que no era necesario desarrollar una nueva metodología

para este análisis sino, proponer el uso de por lo menos tres de ellas, consideradas las más

apropiadas para este fin. Para esta selección se tuvo en cuenta aquellas metodologías que

reúnen las mejores prácticas para realizar el Análisis de Riesgos y las que ponen en práctica

las normas más reconocidas. Adicionalmente en esta fase, se investigaron y consolidaron los

Página xiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008


riesgos con mayor probabilidad de ocurrencia que se tienen en la nube y que es necesario que

la organización conozca como un elemento primordial en la toma de decisión.

Una vez identificados los riesgos, las organizaciones deben determinar los controles que de-

ben ser implementados para disminuir la probabilidad de ocurrencia o mitigar el impacto de

los riesgos que se puedan materializar.

Después de finalizar las fases investigativas, se inició la fase de desarrollo de la guía. En esta

fase se logró establecer los pasos o mejores prácticas que conforman la metodología propues-

ta y objeto de este trabajo de tesis.

El resultado obtenido con este desarrollo es la “Guía Metodológica para apoyar a las empre -

sas MiPyMEs Colombianas en la toma de decisión para la migración hacia la nube pública”.

Esta guía está compuesta por cinco pasos entre los que se contempla que se realice un análisis

del costo-beneficio de cada proveedor del servicio que se esté considerando dentro de los

opcionados para migrar la información, y así las organizaciones MiPyMEs pueden establecer

qué es lo que más les conviene, para llegar a tomar la decisión de migrar o no a la nube públi-

ca. Los pasos que componen esta guía son:

1) Clasificación de la Información

2) Análisis de Riesgos

3) Estableciendo controles para la seguridad en la nube

4) Análisis para la toma de decisión

5) Tomando la decisión acertada

De esta forma esta guía metodológica, ayudará a las organizaciones MiPyMEs para que si-

guiendo el proceso de los pasos expuestos, tengan uno de los factores claves para la toma de

esta decisión. Teniendo en cuenta que las organizaciones también deben considerar otros

elementos como los costos de la implementación, la infraestructura tecnológica que se requie-

re, los procesos, el personal adecuado entre otros.

Página xii

Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación

INTRODUCCIÓN

En este documento se describe el proceso realizado durante la construcción de la “Guía Meto-

dológica para apoyar a las empresas MiPyMEs Colombianas en la toma de decisión para la

migración hacia la nube pública”.

En el primer capítulo de este documento se realiza una descripción general del trabajo, en

donde se plantea la problemática que en la actualidad afrontan las MiPyMEs de adoptar o no

un modelo de nube pública para el manejo de la información aunque la tendencia este llevan-

do a las empresas a migrar a la nube, estas deben tener un amplio conocimiento de los riesgos

que deben enfrentar y sus beneficios. También se plantean los objetivos y la justificación para

la realización de dicho trabajo.

En el segundo capítulo se trabaja la base teórica, en donde se utilizan una serie de definicio-

nes que corresponden a los conceptos de Cloud Computing y sus modelos de servicio, y la

seguridad en la nube entre otros.

En el tercer capítulo, que corresponde al desarrollo del trabajo, se describe el proceso que se

realizó para alcanzar el cumplimiento de los objetivos planteados en el primer capítulo, así

como los entregables que se obtuvieron dentro de este proceso.

En el cuarto capítulo, se muestran los resultados obtenidos en el proceso de desarrollo y se

realiza una comparación con lo descrito en la propuesta.

En el quinto capítulo, se presentan las conclusiones relacionadas con todo el proceso del de-

sarrollo del trabajo de grado, junto con sugerencias y trabajos futuros que se pudieron descu -

brir a lo largo del trabajo.

Página 13

Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008


Página 14


I – DESCRIPC,ION GENERAL DEL TRABAJO DE GRADO

1. Oportunidad, Problemática, Antecedentes

Cumpliendo con la esencia de la Universidad Javeriana en su misión, a través de este trabajo

de grado, se ha logrado fortalecer su condición interdisciplinaria; al presentar una solución

en la discriminación social y la concentración del poder económico, pues tras una metodolo-

gía practica y estructurada, realizando un buen análisis de riesgos y beneficios, la organiza-

ción puede tener la seguridad de que su información se encuentra segura, como si estuviera

en sus oficinas y no en la nube, además de contar con la certeza de recuperar su inversión en

un tiempo muy breve y continuar incrementando sus ingresos, gracias a la reducción de cos-

tos, que representa el tener ahora la información en la nube, poniéndose en un nivel importan-

te de competencia, como las grandes compañías, cancelando los argumentos que se presentan

cuando hay deficiencia y lentitud en los cambios tecnológicos.

1.1 Descripción del contexto

En la presente guía Metodológica se han concretado los aspectos más relevantes relacionados

con uno de los factores claves para tomar una decisión acertada al momento de migrar la

información de la organización a la nube pública, que tras una buena evaluación que conside-

ra las ventajas y los costos se hace indubitable.

1.2 Formulación del problema que se resolvió

La respuesta al problema a resolver, ha quedado enmarcada al concluir el desarrollo de la

guía metodológica, donde se han dado los pasos que orientan a la organización a tomar la

decisión más conveniente.

El clasificar la información, analizar sus riesgos, y poder ver la información actual en la

infraestructura de la empresa a nivel de seguridad y controles, muestra la conveniencia de

subir a la nube la información, con la certeza de que la seguridad corresponde a toda la orga-

Página 15



nización, pero será necesario elegir un líder de proyecto con el perfil idóneo para que una

decisión acertada este bien acompañada en su implementación.

1.3 Justificación

Era muy importante resolver el dilema de las organizaciones, si migrar o no la información a

la nube. El presente trabajo de grado, desarrollo la guía metodológica que apoya esta toma de

decisión, a través de la investigación del estado actual de la seguridad de la información en la

empresa y la seguridad en la nube, a donde se quiere llegar. Al considerar que el desarrollo

tecnológico de los últimos 30 años, ha sido tan vertiginoso, si se compara con el mismo desa-

rrollo de 1980 hacia atrás, vemos como la guía metodológica, en estos rápidos cambios es una

herramienta valiosa que permite que las MiPyMEs colombianas crezcan como es debido y se

ponga al nivel de las grandes organizaciones, en un mercado cada vez más competitivo, mini-

mizando el riesgo que la organización enfrenta al no tener en cuenta la seguridad de la infor -

mación migrada a la nube, y mirar solo los beneficios que el cloud computing ofrece, en re-

ducción de costos a nivel tecnológico y de recurso humano, como en el aumento de la pro-

ductividad.

1.4 Impacto Esperado

Varias organizaciones MiPyMEs tomarán el conocimiento generado en el desarrollo de esta

metodología, a nivel de Colombia y lo aprovecharan al máximo, y seguramente en poco tiem-

po, y con una ampliación plena, frente a otros entornos y culturas, las organizaciones usarán

la metodología para tomar la decisión de migrar a la nube bajo los principios enunciados.

2. Descripción del Proyecto

A continuación se describen los objetivos del proyecto tanto generales como específicos.

2.1 Visión global

Se desarrolla la guía metodológica, basada en diferentes investigaciones, sobre las cuales se

proponen los principios para que las organizaciones tomen o no la decisión de migrar a la

nube.

Página 16


2.2 Objetivo general

Desarrollar una guía metodológica dirigida a empresas MiPyMEs Colombianas que facilite la

toma de decisión para migrar o no la información a la nube pública.

2.3 Fases Metodológicas o conjunto de objetivos específicos

1. Proponer los niveles de clasificación de la información que se va a migrar a la nube.

2. Proponer algunas metodologías para realizar el análisis de riesgos de la información

en la infraestructura actual de la empresa.

3. Proponer los pasos para analizar la seguridad de la información que se quiere migrar

a la nube.

4. Desarrollar la guía metodológica basada en las investigaciones realizadas previamen-

te. (Deductivo)

5. Realizar la validación de la guía metodológica por parte de un grupo de expertos.

(Deductivo)

6. Analizar los comentarios realizados por los expertos y realizar ajustes a la guía meto-

dológica para su mejora. (Deductivo)

2.4 Método que se propuso para satisfacer cada fase metodológica

Para satisfacer cada fase metodológica se usaron dos métodos científicos. El método inducti-

vo y el método deductivo

2.4.1 El método inductivo

Es un método científico que obtiene conclusiones generales a partir de premisas particulares.

Se trata del método científico más usual, que se caracteriza por cuatro etapas básicas: la ob-

servación y el registro de todos los hechos: el análisis y la clasificación de los hechos; la deri-

vación inductiva de una generalización a partir de los hechos; y la contrastación.

Página 17



Para el primer objetivo se realizó una investigación que busca proponer los niveles de clasifi -

cación de la información. En el segundo objetivo se realizó una investigación de diferentes

metodologías de análisis de riesgos para proponer algunas de estas metodologías que ayuden

con este paso.

2.4.2 El método deductivo

Es un método científico que saca consecuencias de un supuesto y que considera que la con-

clusión está implícita en las premisas. Este método se utilizó para el desarrollo de la guía

metodológica

Página 18


II - MARCO TEÓRICO

1. Marco Contextual

A continuación se encuentra la base teórica sobre la cual se fundamentó la investigación y la

propuesta metodológica realizadas en el presente trabajo de grado. Se contextualiza

sobre el cloud computing, los modelos de servicios que maneja, los beneficios que obtiene

una organización al hacer uso de ésta.

Cloud computing: es un modelo de prestación de servicios de negocio y tecnología, que per-

mite acceder a un catálogo de servicios estandarizados para responder a las necesidades del

negocio. Esta tecnología innovadora permite el crecimiento del negocio de una forma senci-

lla y transparente. Mediante este servicio la plataforma no se encuentra en un solo servidor

sino en varios servidores conectados entre sí (nube). Esta tecnología permite la creación de

Centros de Datos Virtuales que incrementan el desempeño, estabilidad y disminuyen notoria-

mente los gastos de infraestructura.

En conclusión Cloud Computing es la sumatoria de tres grandes modelos de servicio en la

computación: SAAS, PAAS y IAAS.

1. SAAS (Software As A Service)

Es un modelo de distribución de software en donde una compañía provee el servicio de man-

tenimiento, operación diaria y soporte del software usado por el cliente. En este esquema

normalmente, las empresas tienen acceso a programas o software de contabilidad, facturación

o inventarios

2. PAAS (Plataform As A Service)

Es una forma de separar las necesidades físicas de las necesidades de cómputo real que nece -

sita un aplicativo o sistema. Cuando se cree que nuestra empresa necesita un servidor para

realizar el trabajo para el que fue diseñado, se piensa en inversiones de infraestructura; cuan-

Página 19



do se piensa en la necesidad de capacidad de cómputo para poder desempeñar un trabajo, se

puede conseguir como un servicio de un tercero, como capacidad de procesamiento, sistema

operativo, memoria RAM, con lo cual los computadores serán cada vez más livianos y se

dejará la inteligencia de los mismos en la nube. Es en este servicio cuando Cloud Computing

entrega soluciones de almacenamiento de la información y memoria para procesar diferentes

tareas o software.

3. IAAS (Infrastructure As A Service)

Se denomina como la Computación en red de una tecnología que permite utilizar de forma

coordinada y simultánea varios computadores, sumando las capacidades de almacenamiento y

cómputo disponibles entre ellos y entregándolas según la demanda de servicio necesaria. Es

decir, en lugar de tener varios servidores, memorias o discos duros de diferentes capacidades

para diferentes propósitos, existe una forma de unir todas las capacidades que tengan y aten-

der todos los propósitos para los que fueron pensados inicialmente. Esto, añadido a la virtua-

lización de hardware, permite simular tantos servidores como se necesiten, de las capacidades

requeridas y desde una sola plataforma física [36]

Dentro de los beneficios que las organizaciones pueden obtener al hacer uso de los modelos

que brinda el Cloud Computing están:

Posibilidad de contratar más recursos como procesador, memoria y almacenamiento

en cualquier momento si necesidad de hacer cambios de hardware y sin traumatis-

mos para sus aplicativos.

Alta disponibilidad, debido a que no es sólo un servidor el que presta su servicio, en

el caso de que un servidor presente un problema técnico sus aplicativos continuarán

trabajando sin ningún inconveniente.

Redundancia, su información es almacenada en varios servidores simultáneamente a

diferencia de los servidores virtuales y dedicados.

Otro concepto que debemos considerar en este tema es la seguridad en la nube pues se trata

de definir, qué, cuándo y cómo dar el salto a la nube, no es cuestión del azar, puesto que para

Página 20


saber definir los peligros de la computación en la nube lo primero que debemos saber es si es

necesaria para la organización.

Para mejorar los aspectos de seguridad de trabajo en la nube la CSA ha definido 13 puntos

que van desde el nivel de auditoría, recuperación de desastres, seguridad de aplicaciones o

identidades, ciclo de vida de los documentos, portabilidad e interoperabilidad entre otros. Se

trata de un documento de referencia imprescindible que ayudará a conocer todas las implica-

ciones que tiene el salto del trabajo a la nube para muchas empresas. [1]

2. Marco Conceptual

A continuación se definen los conceptos y elementos fundamentales para el desarrollo

de la “Guía metodológica para apoyar a las empresas MiPyMEs Colombianas en la toma de

decisión para la migración hacia la nube pública” propuesta como resultado de este trabajo de

grado.

Activos críticos de información: Son los activos más importantes dentro de una organización.

[7]

Activo de Información: Información o datos que son de valor para la organización y pueden

existir en forma física o electrónicamente.

Amenaza: Indicador del potencial de un evento indeseable. Se refiere a una situación o esce -

nario en la cual una persona pudo hacer algo indeseable o algo natural pudo causar una con-

secuencia indeseable.

Análisis de Riesgos: Proceso sistemático para estimar la magnitud de los riesgos a que está

expuesta una Organización.

Área de interés: Una descripción que detalla una condición del mundo real o una situación

que puede afectar un activo de información dentro de la organización.

Página 21



Cloud Computing: Es un lugar donde los recursos de TI, tales como hardware, sistemas ope-

rativos, redes, almacenamiento, bases de datos, e incluso aplicaciones de software completo

están disponibles al instante, bajo demanda

Confidencialidad: Asegurar que sólo las personas autorizadas o sistemas autorizados tengan

acceso a los activos de información. [7]

Contenedor de activos de información: Es algo en lo que los activos de información son al-

macenados, transportados o procesados. [7]

Criterio de medida del riesgo: Conjunto de medidas cualitativas con las que se evalúa el

efecto de cada riesgo sobre la misión de la organización. [7]

Disponibilidad: Asegurar que los activos de información permanezcan accesibles para todos

los usuarios. [7]

Estado del impacto: Una descripción del estado que detalle como la organización es impacta-

da cuando un escenario de amenaza se realiza. Es la consecuencia de la realización de ese

escenario.

IAAS: Plataformas que ofrecen infraestructuras de cómputo y usualmente se encuentran des-

plegadas sobre un entorno de virtualización. La plataforma brinda la alternativa de escalar la

infraestructura de manera vertical (subir y bajar los recursos de cómputo) a demanda y se

paga por los recursos consumidos. Este modelo ofrece el más alto grado de flexibilidad, así

como el menor grado de dependencia con la plataforma permitiendo a los usuarios migrar las

aplicaciones de un proveedor a otro. Requiere instalación, configuración y mantenimiento

adicionales.

Impacto: El efecto que una amenaza tiene en la misión de una organización y objetivos del

negocio. [7]

Integridad: Asegurar que un activo de información permanece en la condición y para los pro-

pósitos en que la dejó el propietario. [7]

Página 22


Nube pública: Es la infraestructura de la nube que está disponible para el público en general o

para un gran grupo de industria; dicha infraestructura la provee una organización que vende

servicios en la nube.

Probabilidad: Número de veces que el riesgo se ha presentado en un determinado tiempo.

Posibilidad de ocurrencia.

Requerimientos de seguridad: Requerimientos que son categorizados en cómo se va a prote-

ger los activos de información. [7]

Riesgo: Es la posibilidad de sufrir un daño o pérdida. Estimación del grado de exposición a

que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la

Organización. [2]

Riesgo residual: Es el riesgo que queda cuando el enfoque de mitigación ha sido desarrollada

e implementada para los rangos del riesgo que afectan un activo de información. Este riesgo

residual debe ser aceptable para la organización.

Valor del impacto: Medida cualitativa del impacto a la organización de un riesgo específico

(Alto, Medio o Bajo) [7]

Vulnerabilidad: Debilidad en el software, hardware o procedimiento que puede proveer un

atacante al abrir una puerta que estaba buscando para entrar al computador o red y tener un

acceso no autorizado a fuentes del ambiente. [33]

Metodología: Conjunto de procedimientos basados en principios lógicos, utilizados para

alcanzar objetivos que rigen en una investigación científica o en una exposición doctri-

nal. [37].

Página 23



Página 24


III – DESARROLLO DEL TRABAJO

El desarrollo del Trabajo de Grado se realizó en 4 fases descritas a continuación.

Fase Tipo de Información

La metodología que se usó para el desarrollo de este trabajo fue la investigación inductiva,

logrando uno de los objetivos como lo era el proponer los niveles de clasificación de la infor-

mación para ayudar en este primer proceso a la organización. Para lograr esto, se llevaron a

cabo 2 actividades paralelamente, la primera fue investigar diferentes formas de clasificar la

información en el mundo y la segunda fue una investigación en dos empresas MiPyMes co-

lombianas para determinar las diferentes opciones de clasificación de la información en las

mismas, para esta investigación se realizaron entrevistas con encargados en el tema en cada

una de las organizaciones. Teniendo esta información se finalizó esta fase comparando las

diferentes formas de clasificar la información, escogiendo y proponiendo los niveles de clasi-

ficación a usar en esta metodología. Como resultado de esta fase se obtuvo el primer entrega-

ble: Documento Clasificación de la información. (Ver anexo 1)

Ilustración 1. Fase Tipo de Información

Página 25

Entregable 1

Actividad 1

Actividad 2

Actividad 3

Objetivo Espe-cífico 1

Fase Tipo de Información



Fase Análisis de Riesgos

En esta fase se realizó la investigación de los riesgos relacionados con la información que

manejan las dos organizaciones que se tuvieron en cuenta en la fase anterior. Luego se realizó

una investigación de diferentes estándares y metodologías que ayudan a la realización del

análisis de riesgos cualitativo, de esos se seleccionaron 3 de los más reconocidos a nivel mun-

dial para que la organización tenga varias opciones y pueda escoger el que mejor se acople a

sus necesidades y gustos. En esta parte del análisis de riesgos también se investigó como se

podría hacer el análisis de riesgos cuantitativamente y también se propuso dentro de la guía

metodológica. En cuanto a los riesgos relacionados con la nube pública se realizó una investi -

gación de los riesgos más conocidos que toda organización debe considerar al momento de

migrar la información a la misma. Por último se propusieron dos pasos para tener en cuenta la

seguridad de la información en la nube. En esta fase, como se observa en la siguiente ilustra-

ción se tuvieron en cuenta dos de los objetivos específicos y con las actividades mencionadas

anterior mente se obtuvo el segundo entregable: Documento Metodologías Análisis de ries-

gos. (Ver anexo 2)

Ilustración 2. Fase Análisis de Riesgos

Página 26

Actividad 7

Objetivo Especí-fico 3

Entregable 2

Actividad 4

Actividad 5

Actividad 6


Fase Análisis de Riesgos


Fase Desarrollo

En la fase de desarrollo se usó la investigación deductiva ya que se desarrolló la guía metodo-

lógica basándose en las investigaciones y resultados de las fases anteriores. Las actividades

desarrolladas en esta fase fueron: la Organización de los entregables de las fases anteriores en

el documento de la metodología final y la redacción de la guía metodológica, usando un len-

guaje técnico a que va orientado al área de tecnología de la información de la empresa, siendo

ellos los encargados de informar a la gerencia de la empresa los resultados obtenidos para una

toma de decisión por parte de ellos. Como resultado de esta fase se tiene el tercer entregable:

Guía Metodológica.

Ilustración 3. Fase Desarrollo

Fase Validación y Mejora

En la fase de validación y mejora se seleccionaron dos expertos a los cuales se les entregó la

metodología completa para su revisión y validación, los cuales leyeron el documento, respon-

diendo a un cuestionario y aportando con correcciones y propuestas para mejoras del mismo.

Por último, junto con el director de trabajo de grado se revisaron los comentarios y correccio -

nes realizados por los expertos y se empezó el proceso de mejoras a la guía metodológica.

Una vez finalizada esta fase se obtuvo el cuarto entregable: Guía metodológica con mejoras.

Página 27

Entregable 3

Actividad 8

Actividad 9

Objetivo Espe-cífico 4

Fase Desarrollo



Ilustración 4. Fase Validación y Mejoras.

Página 28


Entregable 4

Actividad 10

Actividad 11

Actividad 12


Fase Validación y Mejoras


Página 29



Página 30


IV - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS

El resultado obtenido con el desarrollo de este trabajo es la Guía Metodológica, logrando así

el cumplimiento del objetivo general y de los objetivos específicos propuestos, ya que se

proponen los niveles para la clasificación de la información (ilustración 5).

Ilustración 5. Clasificación de la Información.

También se proponen tres diferentes metodologías para que las organizaciones puedan reali-

zar el análisis de riesgos de la información en su manejo actual (ilustración 6).

Página 31

Identificación y definición de los

activos de la información

Identificación de los propietarios de

los activos de la información

Identificación de los contenedores de los

activos de la información

Identificación de los requerimientos de

seguridad

Clasificar cada activo de información



Ilustración 6. Estándares de Análisis de Riesgo.

Se sugieren los pasos relacionados con la seguridad de la información en la nube.

Ilustración 7. Pasos seguridad en la nube

A su vez esta guía fue evaluada y validada por dos expertos en el tema; y estas evaluaciones

facilitaron realizar los ajustes de acuerdo a los comentarios recibidos.

Página 32

ISO/IEC 27005

Magerit V2.

NIST

Seguridad de la Información en la nube

Identificación del riesgo

Control del riesgo


V – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS

FUTUROS

1. Conclusiones

Con el desarrollo de esta guía se cumplieron los objetivos, permitiendo el desarrollo de la

guía metodológica, como una apoyo para las organizaciones MiPyMEs al momento de deci-

dir migrar a la nube pública, pues se aportaron recomendaciones para realizar un análisis

minucioso y así resolver uno de los grandes problemas que enfrentan las organizaciones en la

seguridad y privacidad de la información en la nube.

El tema correspondiente al Cloud Computing en Colombia aún le falta mucho camino por

recorrer, y temas tan importantes como la seguridad aún se pueden seguir explorando mucho

más para así continuar aportando al mejoramiento en las nuevas tecnologías y lo relacionado

a la innovación.

Página 33



A algunas organizaciones colombianas aún les falta buenas prácticas y organización para el

manejo de su información, es por esto que la guía metodológica realizada va a ser de gran

apoyo para estas organizaciones por su sencillo y práctico lenguaje que va orientando a la

organización paso a paso de lo que debe realizar para entender y llevar a cabo cada cosa rela-

cionada con el manejo de su información.

2. Recomendaciones

Se recomienda a otros estudiantes que quieran realizar un Trabajo de Grado enfocado al

Cloud Computing, que se interesen en profundizar la investigación de la seguridad en la

nube, y que sus objetivos para la realización de los Trabajos de Grado estén claramente defi -

nidos para obtener el resultado propuesto.

Al Departamento de Ingeniería de Sistemas se recomienda seguirse manteniendo actualizado

en las últimas tendencias de tecnología para que así los estudiantes puedan ser competitivos

en el campo profesional.

3. Trabajos Futuros

Durante el proceso de realización de la guía metodológica se confirmó que el tema Cloud

computing tiene aún mucho campo por desarrollar y que se pueden seguir realizando trabajos

que complementen esta guía, considerando otros factores importantes que afecten la toma de

decisión de migrar el activo más importante de la organización a la nube.

Después de la investigación realizada a través de este trabajo, creo conveniente que se aborde

un Trabajo de Grado enfocado hacia la investigación de Seguridad en la Nube, ya que este es

un tema que preocupa a las empresas en general y que demanda un amplio desarrollo, para

llegar a obtener controles robustos que garanticen dicha seguridad.

Página 34


Como una investigación futura y gracias a la reciente tendencia en tecnología de la informa-

ción “Consumerization” se puede realizar un trabajo enfocado a la seguridad de la informa-

ción, teniendo en cuenta los diferentes tipos de dispositivos a través de los cuales se puede

tener acceso a la misma, en cualquier momento y desde cualquier lugar. [3]

Página 35



VI - REFERENCIAS Y BIBLIOGRAFÍA

1. Referencias

[34] Ponemon. Dr. Larry, «Security of Cloud Computing Users, A Study of Practitioners

in the US & Europe », Publication Date: 12 May 2010.

[35] Instituto Nacional de Tecnologías de la Comunicación, Gobierno España, Riesgos y

amenazas en cloud computing, Marzo 201, disponible en: http://www.inteco.es

[36] Definiciones Cloud Computing, Disponible en: http://www.peesco.com/blog/241

[37] Maurice Eyssautier de la Mora, Metodología de la investigación: desarrollo de la inte-

ligencia, Quinta ed.: Cengage Learning Editores, 2006

2. Bibliografía

[1] Consejeria de Universidades, Empresa e investigación. Ser innovador y sus ventajas. Di-

vulgación de la importancia del componente tecnológico en la empresa industrial. Región de

Murcia, España.

[2] Bits & Vaits. Publicación de Negocios y Tecnología. En busca de un almacenamiento

correcto para la empresa. Edición No. 7 – Año 3. Pag. 1.

[3] Shane O’Neill. Cisco Inteligent Network. 'Consumerization of IT' Taking Its Toll on IT

Managers. 15 Septiembre 2011 Disponible en: http://www.cio.com/article/689944/_Consu-

merization_of_IT_Taking_Its_Toll_on_IT_Managers

[4] National Institute of Standards and Technology-NIST. Disponible en: http://www.nist.-

gov/index.html

Página 36

http://www.nist.gov/index.html

http://www.nist.gov/index.html

http://www.cio.com/article/689944/_Consumerization_of_IT_Taking_Its_Toll_on_IT_Managers

http://www.cio.com/article/689944/_Consumerization_of_IT_Taking_Its_Toll_on_IT_Managers

http://www.peesco.com/blog/241

http://www.inteco.es/


[5] Guía de gestión de riesgo para los sistemas de Tecnologías de la Información (800-30).

Julio 2002. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

[6] Instituto de Ingeniería de Software. Disponible en: http://www.sei.cmu.edu/

[7] Instituto de Ingeniería de Software. Introducción a OCTAVE Allegro: Mejora del proceso

de evaluación de los riesgos de la seguridad de la información. Mayo 2005. Disponible en:

http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=Sear-

chResults

[8] Departamento administrativo de la función pública de la República de Colombia. Disponi-

ble en:

http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision

[9] Departamento administrativo de la función pública. República de Colombia. Guía de ad-

ministración del riesgo.

[10] Consejo Superior de Administración Electrónica. Disponible en: http://www.csi.map.es/

csi/nuevo/csae_1.htm

[11] MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Infor-

mación. Disponible en:

http://administracionelectronica.gob.es/?

_nfpb=true&_pageLabel=P800292251293651550991&langPae=es&detalleLista=PAE_1276

529683497133

[12] ISO. Disponible en: http://www.iso.org/iso

[13] ISO/IEC 27005. Tecnologías de la información – Técnicas de seguridad – Gestión de

riesgo de seguridad de la información

Página 37


http://www.iso.org/iso

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&langPae=es&detalleLista=PAE_1276529683497133



http://www.csi.map.es/csi/nuevo/csae_1.htm

http://www.csi.map.es/csi/nuevo/csae_1.htm

http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision

http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=SearchResults

http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=SearchResults

http://www.sei.cmu.edu/

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf


[14] Centro de transferencia de tecnología. Magerit v2. Disponible en: http://administracione-

lectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciati-

va=184

[15] ISO 27000 Directory. Introduction To ISO 27005 (ISO27005). Disponible en: http://

www.27000.org/iso-27005.htm

[16] Modelo de Política de Seguridad de la Información para Organismos de la administra-

ción Pública Nacional, Versión 1. Julio 2005. Disponible en: http://www.sgp.gov.ar/sitio/

PSI_Modelo-v1_200507.pdf

[17] Departamento de Seguridad Informática, Dirección General de Tecnología. Banco de la

República. Actualización Clasificación Información para Efectos de Aseguramiento de la

Misma. Mayo 2011.

[18] Aeronáutica Civil. Clasificación de la Información (Normas) versión 2.0. 19 septiembre

2006.

[19] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible

en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903

[20] IT Governance Institute. Cobit 4.1. 2007 Disponible en: http://cs.uns.edu.ar/~ece/audi -

toria/cobiT4.1spanish.pdf

[21] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.

Library N° S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov .

[22] Susan Fowler. Información de la Clasificación – Quién, Por qué y Cómo. 2003. GIAC

Security Essentials Certification (GSEC). SANS Institute.

[23] Normas para la Clasificación de Seguridad de Información Federal y Sistemas de Infor-

mación. Febrero 2004. NIST: National Institute of Standards and Technology

[24] Cabinet Office. HMG Security Policy Framework. Mayo 2011.

Página 38

http://www.doe.gov/

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

http://www.27000.org/iso-27005.htm

http://www.27000.org/iso-27005.htm

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184




[25] Queensland Government Chief Information Officer . Queensland Government informa-

tion Security Classification Framework. Octubre 2010

[26] Information Management Branch, Government and Program Support Services Division,

Alberta Government Services. Information Security Classification. Febrero 2005.

[27] Human Rights in China. State secrets: China’s legal labyrinth. Human Rights in China.

2007.

[28] Digiservice Limitada. Disponible en: http://www.digiservice.com.co/

[29] MEMORIA - XXI Congreso Archivístico Nacional “Valoración Documental un reto

archivístico en los tiempos actuales”. 2009

[30] CISSP - Certified Information Systems Security Professional. All in one exam guide. 4th

Edition. McGraw-Hill. Nov. 2007.

[31] Circular externa 052 de 2009, Superintendencia Financiera de Colombia, Roberto Borrás

Polanía. Noviembre 27 2009. Disponible en: http://www.superfinanciera.gov.co

[32] Ley Hábeas Datas, Ley Estatutaria 1266 de 2008, Congreso de la República. Diario Ofi-

cial No. 47.219 de 31 de diciembre de 2008. Disponible en: http://www.secretariasenado.go-

v.co/senado/basedoc/ley/2008/ley_1266_2008.html

[33] HIPPA, Health insurance portability and accountability act of 1996. Ley pública 104–

191—AUG. 21, 1996. Congreso de los Estados Unidos. Disponible en: http://www.gpo.gov/

fdsys/pkg/PLAW-104publ191/content-detail.html

Página 39


http://www.gpo.gov/fdsys/pkg/PLAW-104publ191/content-detail.html

http://www.gpo.gov/fdsys/pkg/PLAW-104publ191/content-detail.html

http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.html

http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.html

http://www.superfinanciera.gov.co/

http://www.digiservice.com.co/


VII - ANEXOS

Anexo 1. Documento Clasificación de la información.

Anexo 2. Documento Metodologías Análisis de riesgos.

Coloque en esta sección del documento una lista de todos los anexos relacionados con la

modalidad de Trabajo de Grado escogida. Enumérelos con número arábigo al igual que el

resto de secciones del documento. Los anexos deben ser descargables de la página web

Anexo 1. Glosario

Los anexos son libres, se sugiere que uno de ellos sea el glosario

No deben imprimirse ya que a los evaluadores deberán poder descargar solo las 80 páginas.

El resto deberá también estar disponible en la web del proyecto.

Página 40


Anexo 2. Post-Mortem

Esta sección presenta un post-mortem del Trabajo de Grado en donde se compara lo escrito

en la propuesta vs la realidad. Se propone que abarque desde la metodología propuesta

hasta la gestión del proyecto. Por lo mismo, se sugieren los siguientes ítems:

1. Metodología propuesta vs. Metodología realmente utilizada.

¿Fue completamente fiel a la metodología propuesta? ¿Las actividades estaban enmarcadas

dentro de dicha metodología? ¿Fue necesario hacer ajustes metodológicos en el camino?

2. Actividades propuestas vs. Actividades realizadas.

¿Las actividades que propuso fueron suficientes?¿surgieron nuevas actividades en el tiem-

po?¿por qué?

3. Efectividad en la estimación de tiempos del proyecto

Compare el tiempo estimado por usted en la propuesta para cada actividad y para el proyec-

to vs. el tiempo real que realmente duró cada actividad y en general el proyecto.

4. Costo estimado vs. Costo real del proyecto

En esta sección revise el presupuesto del proyecto que fue realizado durante la propuesta.

Principalmente las secciones en las cuales los recursos físicos y humanos dependen de usted.

¿Su proyecto hubiese costado más de lo presupuestado? O por el contrario, la inversión fue

mucho menor a lo que presupuesto.

Página 41



5. Efectividad en la estimación y mitigación de los riesgos del pro-

yecto.

¿Las estrategias propuestas para mitigar los riesgos identificados durante la propuesta fue-

ron suficientes ¿En qué se acertó? ¿Qué falló?

Página 42

propuesta para trabajo de gradopegasus.javeriana.edu.co/.../memoriaguiametodologica.docx · web...

Documents