Cloud Compiter

GUIA METODOLOGICA PARA LA ADQUISICION DE LA TECNOLOGIA CLOUD COMPUTING EN LAS PYMES JORGE DIAZ MARTINEZ BELKIS GUELL MUÑOZ KEVIN IBAÑEZ PINZON CORPORACIÓN UNIVERSITARIA DE LA COSTA CUC ESPECIALIZACIÓN DE AUDITORÍA EN SISTEMAS DE INFORMACIÓN BARRANQUILLA 2011 1 GUIA METODOLOGICA PARA LA ADQUISICION DE LA TECNOLOGIA CLOUD COMPUTING EN LAS PYMES JORGE DIAZ MARTINEZ BELKIS GUELL MUÑOZ KEVIN IBAÑEZ PINZON Trabajo de grado presentado como requisito para optar al título de Especialista en Auditoría de Sistemas de Información Director: Ing. VICTOR MANUEL MONTAÑO ARDILA CORPORACIÓN UNIVERSITARIA DE LA COSTA CUC ESPECIALIZACIÓN DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN BARRANQUILLA 2011 2 PAGINA DE ACEPTACION Nota de aceptación ______________________________ ______________________________ ______________________________ ______________________________ ______________________________ Jurado ______________________________ Jurado Barranquilla, Octubre de 2011 3 RESUMEN En la actualidad los recursos tecnológicos hacen parte de las empresas y de los hogares, ya que se ha convertido en la mejor clave para llevar a cabo muchas tareas. Las pequeñas y medianas empresas también llamadas PYMES para realizar una gran parte de sus actividades diarias como producción y comercialización, hasta comunicaciones internas y externas y cualquier otra faceta; necesitan de la tecnología. A partir de lo anterior, una de las tecnologías más llamativas por las PYMES es la utilización de Cloud Computing el cual consiste en un modelo inspirado en la idea de disponer de infraestructuras tecnológicas de modo que los recursos informáticos sean compartidos dinámicamente, se encuentren virtualizados y resulten accesibles como un servicio. Teniendo en cuenta todos esos beneficios, el propósito de la presente investigación consiste en realizar una guía metodológica que sirva como base al momento en que las PYMES deseen adquirir esta tecnología. Para el logro de lo anterior, primeramente se realizo un marco teórico sobre el cloud computing, seguidamente se plantea paso a paso los ítems a tener en cuenta en la implementación de esta y en base a esto se construye la metodología. 4 ABSTRACT Today the technological resources are part of businesses and households, as has become the best key to perform many tasks. Small and medium enterprises SMEs also called for a major part of their daily activities such as production and marketing, to internal and external communications and any other aspect, they need technology. From this, one of the most striking technologies by SMEs is the use of Cloud Computing which is a model inspired by the idea of having technological infrastructure so that resources are dynamically shared computing, virtualized and are are accessible as a service. Given all these benefits, the purpose of this research is to conduct a methodological guide that serves as a base at the time that SMEs wishing to acquire this technology. To achieve this, first a theoretical framework was conducted on cloud computing, then step arises items to consider in implementing this and based on this methodology is built. 5 DEDICATORIA A Dios, porque es él quien guía mi camino. A mis padres por su confianza y apoyo incondicional. A mi novia por su colaboración y apoyo. A mi familia, que siempre ha creído en mí. A mis profesores, que compartieron su conocimiento e hicieron de este proyecto una realidad. Ing. Jorge Díaz Martínez 6 DEDICATORIA A Dios que me ha bendecido infinitamente y protegido con su preciosísima sangre. A esa hermosa familia que tengo a mi papá Adolfo Güell Flórez y a mi mamá Alma Muñoz Núñez ellos son las personas a quien les debo todo. A mis hermanos Adolfo, Jocelyns y Jeisson Güell Muñoz por haberme apoyado emocionalmente. A mis abuelas María Núñez y Sofía Flórez por ser las personas que con solamente hablar con ellas los momentos de tristezas los transforman en alegrías. A Giovanny Navarro, por todo ese apoyo brindado cuando más lo he necesitado, gracias le doy por dedicarme con esmero tanto tiempo, por ayudarme de corazón y ante todo por soportarme con tanta paciencia. Son ustedes las personas que me impulsan a alcanzar todas las metas y propósitos que he logrado en mi vida, son la bendición más grande que Dios me ha dado. Ing. Belkis Güell Muñoz 7 DEDICATORIA A Dios por guiarme, A mis padres, A mis compañeros, Al cuerpo docente por su orientación, A todas las personas involucradas en el logro de este objetivo. Ing. Kevin Ibáñez Pinzón 8 AGRADECIMIENTOS A La Corporación Universitaria de la Costa CUC por su apoyo y por hacer posible la realización de esta especialización. A los docentes de cada uno de los módulos de la Especialización de Auditoría de Sistemas de Información, que de una u otra forma sembraron su granito de arena para brindar conocimiento y a todas aquellas personas que colaboraron o participaron en la realización de esta investigación, hacemos extensivos nuestros más sinceros agradecimientos. 9 GLOSARIO  ACOTADO: es una situación en la que para cierto objeto matemático o un objeto construido a partir del mismo puede establecerse una relación de orden con otro tipo de entidad llamada cota superior o inferior  ACUERDO DE NIVEL DE SERVICIO: es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio.  ATAQUE MAN-IN-THE-MIDDLE: es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.  AUTENTICACIÓN: Servicio de seguridad que permite verificar la identidad  AUTORIZACIÓN: es una parte del sistema operativo que protege los recursos del sistema permitiendo que sólo sean usados por aquellos consumidores a los que se les ha concedido autorización para ello.  BATCH: Es un comando para poner en cola tareas para posterior ejecución.  CENTRO DE DATOS: ubicación donde se concentran los recursos necesarios para el procesamiento de la información de una organización 10  CIBERESPACIO: es una realidad virtual que se encuentra dentro de los ordenadores y redes del mundo  CLOUD COMPUTING: concepto conocido también bajo los términos informática en la nube, nube de cómputo o computación en la nube es un paradigma que permite ofrecer servicios de computación a través de Internet.  CRIPTOGRAFÍA: es la técnica, bien sea aplicada al arte o la ciencia, que altera las representaciones lingüísticas de un mensaje.  FREEMIUM: es un modelo de negocios que funciona ofreciendo servicios básicos gratuitos, mientras se cobra por otros más avanzados o especiales  GRID COMPUTING: es una tecnología innovadora que permite utilizar de forma coordinada todo tipo de recursos (entre ellos cómputo, almacenamiento y aplicaciones específicas) que no están sujetos a un control centralizado.  HOSTING: (El alojamiento web) es el servicio que provee a los usuarios de Internet un sistema para poder almacenar información, imágenes, vídeo, o cualquier contenido accesible vía web  HYPERVISOR: es una plataforma que permite aplicar diversas técnicas de control de virtualización para utilizar, al mismo tiempo, diferentes sistemas operativos (sin modificar o modificados en el caso de paravirtualización) en una misma computadora. 11  INGENIERÍA SOCIAL: es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.  LAAS: (infraestructura como servicio, también llamado en algunos casos hardware as a service, HaaS) se encuentra en la capa inferior y es un medio de entregar almacenamiento básico y capacidades de cómputo como servicios estandarizados en la red.  MALWARE: también llamado badware, código maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario  MIDDLEWARE: es un software que asiste a una aplicación para interactuar o comunicarse con otras aplicaciones, software, redes, hardware y/o sistemas operativos.  NO REPUDIO: es un servicio de seguridad que permite probar la participación de las partes en una comunicación  PAAS: (plataforma como servicio) es la encapsulación de una abstracción de un ambiente de desarrollo y el empaquetamiento de una carga de servicios  PLUGINS: un software que permite cambiar, mejorar o agregar funcionalidades en SPIP  PROTOCOLO SOAP: Se trata de un protocolo que te permite la comunicación entre aplicaciones a través de mensajes por medio de Internet. 12  ROOTKIT: es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible.RTOs.  SLA: Hace referencia a los acuerdos de los niveles de servicio  SSA: (Software como Servicio) es un modelo de distribución de software donde el software y los datos que maneja se alojan en servidores de la compañía de tecnologías de información y comunicación (TIC) y se accede con un navegador web a través de internet  WORST CASE SCENARIO: es una situación en la que todo lo que podía salir mal, va mal  WORKFLOWS: consiste en una secuencia de pasos conectados  WRAPPING: una variable que excede su valor máximo en la informática  XEN: es un monitor de máquina virtual que proporciona servicios que permiten a múltiples sistemas operativos para ejecutar en el mismo hardware concurren.  WORKFLOWS: consiste en una secuencia de pasos conectados. Se trata de una representación de una secuencia de operaciones, declaró que el trabajo de una persona, un grupo de personas, una organización de personal, o uno o varios mecanismos simples o complejos. 13  ZOMBIE: es la denominación que se asigna a computadores personales que tras haber sido infectados por algún tipo de malware, pueden ser usadas por una tercera persona para ejecutar actividades hostiles. 14 TABLA DE CONTENIDO Pag. INTRODUCCION 1. PLANTEAMIENTO DEL PROBLEMA……………………………………. 25 2. JUSTIFICACIÓN E IMPORTANCIA DEL ESTUDIO……………………. 26 2.1 Eficiencia y control de gastos…………………………………………….... 26 2.2 Mejor respuesta a las necesidades del negocio……………………….... 26 2.3 Mejor gestión financiera……………………………………………………. 27 2.4 Mayor enfoque ti…………………………………………………………….. 27 3. OBJETIVOS………………………………………………………………….. 28 3.1 Objetivo general…………………………………………………………….. 28 3.2 Objetivos específicos……………………………………………………….. 28 4. ALCANCE……………………………………………………………………. 29 5. DELIMITACIÓN……………………………………………………………… 30 5.1 Delimitación espacial………………………………………………………. 30 5.2 Delimitación temporal………………………………………………………. 30 6. MARCO DE REFERENCIA………………………………………………… 31 6.1 Marco teórico y estado del arte……………………………………………. 31 6.1.1 Historia……………………………………………………………………….. 31 6.1.2 Definición de cloud computing……………………………………………. 34 6.1.3 Características de cloud Computing……………………………………… 37 6.1.3.1Caracteristicas esenciales de cloud Computing………………………… 37 6.1.4 Modelos de servicios de cloud computing……………………………….. 38 6.1.4.1 Software como servicio (SaaS) ………………………………………….. 39 6.1.4.2 Plataforma como servicio (PaaS) ………………………………………... 40 6.1.4.3 Infraestructura como servicio……………………………………………... 41 15 6.1.5 Modelos de despliegue en Cloud Computing………………………….. 42 6.1.6 Arquitectura general de cloud computing………………………………… 44 6.1.7 Proveedores de la tecnología cloud computing…………………………. 45 6.1.7.1 Software como servicio……………………………………………………. 46 6.1.7.2 Plataforma como servicio…………………………………………………. 49 6.1.7.3 Infraestructura como servicio…………………………………………….. 53 6.1.7.4 Almacenamiento como servicio………………………………………….. 58 6.1.8 Modelos relacionados al cloud computing en Colombia………………. 60 6.1.9 Estándares relacionados con el cloud computing en Colombia……… 61 6.1.9.1 NITS………………………………………………………………………….. 61 6.1.9.2 ISACA………………………………………………………………………... 61 6.1.9.3 Mesa sectorial cloud computing…………………………………………. 61 6.1.10 Marco regulatorio del cloud computing en Colombia………………….. 62 7. ANTECEDENTES DEL PROYECTO…………………………………….. 69 7.1 Necesidades tecnológicas de las pymes………………………………... 69 7.2 Cifras en las pymes………………………………………………………… 70 7.3 Descripción tecnológica de información y comunicación…………… 73 7.3.1 Tecnologías importantes de información y comunicación utilizadas en las pymes………………………………………………………………………... 74 7.3.2 Factores que influyen en la adopción de TIC en las PYMES………… 77 7.4 Atracción de las pymes hacia el cloud computing……………………… 78 7.5 Ejemplo de empresas que tienen implementada la tecnología cloud computing en Colombia……………………………………………………………. 7.6 79 Casos de éxitos de empresas que poseen la tecnología cloud computing en Colombia……………………………………………………………. 81 7.6.1 Avantel: Gmail transforma las comunicaciones………………………… 81 7.6.2 Superintendencia de Servicios Públicos (SSP): reducción del 98% en requerimientos de soporte…………………………………………………………. 16 83 7.6.3 Fedepalma: del correo a la colaboración…………………………………. 83 8. DISEÑO METODOLÓGICO……………………………………………….. 85 8.1 Método de estudio…………………………………………………………... 85 8.2 Técnicas e instrumentos de recolección de información……………… 85 8.3 Desarrollo de encuesta…………………………………………………….. 86 9. CRITERIOS DE AUDITORIA…………………………………………….... 89 9.1 Análisis de riesgos asociados a la implementación del cloud computing en las pymes………………………………………………………….... 89 9.1.1 Gestión de Riesgos…………………………………………………………. 90 9.1.2 Riesgos y preocupaciones de seguridad relacionados con el cloud computing……………………………………………………………………………. 91 9.2 Matriz dofa………………………………………………………………….... 93 9.3 Beneficios en la implementación del cloud computing………………… 94 9.4 Recomendaciones y mejores prácticas sobre metodologías y tecnologías de auditoría para la computación en la nube…………………….. 97 9.4.1 Recomendaciones en la definición del marco auditor a aplicar……… 97 9.4.2 Recomendaciones en la praxis de ejecución de la acción auditora….. 98 9.4.3 Recomendaciones en la difusión y publicación de los resultados……. 99 10. GUIA METODOLOGICA………………………………………………….... 100 10.1 Conocimiento de la empresa (diagnóstico inicial)……………………… 100 10.2 Dimensionar el tipo, tamaño y cantidad de los documentos………….. 100 10.3 Definir proveedores de los servicios……………………………………… 101 10.3.1 Precios………………………………………………………………………... 101 10.3.2 Acuerdos de nivel de servicio (SLA) ……………………………………… 102 10.3.3 Seguridad……………………………………………………………………. 103 10.3.4 Equipos disponibles………………………………………………………… 104 10.3.5 Velocidad de respuesta…………………………………………………….. 104 10.3.6 Integración – interoperabilidad……………………………………………. 17 104 10.3.7 Innovación y desarrollo……………………………………………………. 10.3.8 Interfaces……………………………………………………………………. 105 105 10.3.9 Complejidad de uso……………………………………………………….... 105 10.3.10 Normatividad………………………………………………………………. 105 10.3.11 Buen nombre………………………………………………………………. 105 10.3.12 Aplicaciones disponibles en la plataforma…………………………….. 105 10.3.13 Soporte (helpdesk)……………………………………………………….. 106 10.4 Migrar datos de la empresa a la nube……………………………………. 106 10.5 Desarrollar la implementación y utilizar las aplicaciones……………… 11. 107 CONCLUSION………………………………………………………………. 108 BIBLIOGRAFIA………………………………………………………………………. 110 ANEXOS……………………………………………………………………………… 111 18 ÍNDICE DE TABLAS Pag. Tabla1: Ejemplo SaaS ……………………………………………………………. 40 Tabla 2: Ejemplo PaaS……………………………………………………………. 41 Tabla 3: Ejemplo IaaS…………………………………………………………….. 42 Tabla 4: Clasificación de las pymes según el congreso de la república…….. 69 Tabla 5: Uso de internet en las Pymes………………………………………….. 74 Tabla 6. Matriz DOFA……………………………………………………………… 94 19 ÍNDICE DE FIGURAS Pag. Figura 1: ―Internet representada en forma de Cloud‖………………………….. 35 Figura 2: ―Modelos de Servicios Cloud Computing‖……………………………. 39 Figura 3. Modelos de despliegue del cloud computing.……………………….. 44 Figura 4: ―Representación General de Cloud Computing‖……………………. 45 Figura 5: Principales servicios de cloud computing en la actualidad..……….. 46 Figura 6: Avianca, en su nube privada..…………………………………………. 80 Figura 7: Manuelita, en su nube privada………………………………………… 20 81 INDICE DE GRAFICOS Pag. Grafico 1: Inversión en TIC´s de las PYMES..………………………………….. 70 Grafico 2: Factores para la compra de tecnología…………………………….. 71 Grafico 3: Prioridades de las Pymes para sus gastos en TI..…………………. 71 Grafico 4: Concentración Geográfica……………………………………………. 72 Grafico 5: Servicios por tecnologías en las PYMES..…………………………. 75 Gráfico 6: ―Tecnologías de Hardware según tamaño de empresa..…………. 76 Gráfico 7: Tecnologías de Seguridad Informática según tamaño empresa…. 76 Gráfico 8: Tecnologías Web según tamaño de empresa……………………… 77 Grafico 9: Sector de las empresas encuestadas……………………………….. 86 Grafica 10: Utilización de los servicios Cloud computing……………………… 87 Grafico 11. Beneficio más importante de la tecnología Cloud Computing….. 88 21 ÍNDICE DE ANEXOS Pag. Anexo A: El futuro del Cloud Computing……..…………………………………. 112 Anexo B: Recomendaciones a tener en cuenta por las pymes en el uso de la tecnología Cloud Computing…………………… …………………………….. 113 Anexo C: Criterios para evaluación de los proveedores del Cloud Computing………………………………………………………………………….. 115 Anexo D: Carta de entrega de los autores para la consulta, la reproducción parcial o total, y publicación electrónica del texto completo de tesis y trabajo de grado………………………………….…………………………………………. 121 Anexo E: Formulario de la descripción de la tesis o del trabajo de grado..…. 127 22 INTRODUCCION En la actualidad los recursos tecnológicos hacen parte de las empresas y de los hogares, ya que se ha convertido en la mejor clave para llevar a cabo muchas tareas. Las pequeñas y medianas empresas también llamadas PYMES para realizar una gran parte de sus actividades diarias como producción y comercialización, hasta comunicaciones internas y externas y cualquier otra faceta; necesitan de la tecnología. A partir de lo anterior, una de las tecnologías más llamativas por las PYMES es la utilización de Cloud Computing el cual consiste en un modelo inspirado en la idea de disponer de infraestructuras tecnológicas de modo que los recursos informáticos sean compartidos dinámicamente, se encuentren virtualizados y resulten accesibles como un servicio. Aún de esta manera gran parte de las nuevas tendencias de software como servicio, virtualización de recursos, redes grids e informática bajo demanda. En el modelo cloud computing, los grandes clusters de sistemas se enlazan entre sí para proporcionar servicios tecnológicos como si se tratase de un único superordenador global‖ (Rebés, 2008), lo que abre una nueva alternativa a la forma de funcionamiento de las empresas, que al no depender de sistemas operativos específicos, amplía las opciones al momento de tomar decisiones relacionadas con tecnologías de información (TI). Permite también dar movilidad a los empleados al tener acceso en cualquier sitio con conexión a internet y concentrar los recursos de la organización en sus factores críticos de éxito, evitando preocupaciones por el mantenimiento de sus sistemas de información (tanto hardware como software), al trasladar esta responsabilidad a proveedores externos de estas soluciones informáticas. 23 Es por esto que se plantea una metodología para que las empresas adquieran esta tecnología como un modelo de negocio en el que al pagar por uso, se racionaliza el gasto en TIC permitiendo concentrar los recursos financieros y de personal en el core del negocio, siendo así un factor que permite dinamizar la creación y sostenimiento de la empresa, al no tener que contar con mucho dinero en el montaje de la empresa y dándoles una infraestructura robusta y confiable para la gestión de la información respecto a las necesidades básicas de manejo de datos de la empresa, pues solo se necesitan computadores de características normales y conexión a internet para el uso de los programas que necesiten. Cuando las empresas deciden contratar estos servicios lo primero que valoran es en el ahorro de costos y el tiempo, los cuales son los dos factores decisorios principales que los hacen inclinarse por estos servicios. El ahorro de costos es un factor clave porque involucra lo que es el área de licencias de software, el hardware, el trabajo, el apoyo y el mantenimiento. 24 1. PLANTEAMIENTO DEL PROBLEMA Actualmente las pymes observan que la tecnología está evolucionando a gran velocidad haciendo que los equipos y los programas que posee una empresa queden obsoletos rápidamente, sin alcanzar a recuperar los costos de inversión, un ejemplo de esto es la ley de Moore, que dice que la cantidad de circuitos se duplica la capacidad cada 2 años; si miramos esto en las empresas que se inician, la inversión en tecnología es una de las primeras que se debe hacer y en muchas ocasiones una de las que mas parte del presupuesto toma. Sin embargo muchas empresas de todo el mundo se sienten atraídas hacia el Cloud Computing por su capacidad para acelerar la prestación de servicios y aumentar el servicio y disponibilidad de infraestructura, mientras se da la creación de una elasticidad que permite que los servicios se amplíen en la demanda de cambios. En esta tecnología intervienen diversas herramientas, pero se ha determinado según estudios que aproximadamente el 50% de las empresas temen implementarla por desconocimiento de diversos factores como:  En qué consiste esta tecnología  Ítems que deben tener en cuenta las Pymes al momento de adquirirla e implementarla  Beneficios de la implementación del cloud computing en la organización 25 2. JUSTIFICACION E IMPORTANCIA DEL ESTUDIO Las posibilidades del cloud computing son muy numerosas; es un sistema capaz de transformar el rol que la TI juega en la organización en la misma medida que Internet ha transformado las comunicaciones y el comercio. 2.1 EFICIENCIA Y CONTROL DE GASTOS Para muchas empresas, la característica más atractiva de este tipo de solución es su flexibilidad. El acceso a grandes cantidades de potencia informática ofrece una gran libertad a la hora de aumentar y disminuir la capacidad al ritmo de los ciclos naturales del negocio. De esta manera, es posible añadir, desactivar o reasignar recursos según se necesite. La nube elimina la necesidad de sobre aprovisionar y el equipo, el software, el mantenimiento y los gastos de electricidad innecesarios. 2.2 MEJOR RESPUESTA A LAS NECESIDADES DEL NEGOCIO Las aplicaciones procedentes de la nube no requieren la instalación de una infraestructura extensa en el emplazamiento del cliente, lo que reduce en gran manera la dedicación anticipada de recursos concretos. Las aplicaciones nuevas pueden pasar más rápidamente por las etapas de aprobación e implementación y así responder mejor a las necesidades de los gerentes de toda la organización 26 2.3 MEJOR GESTIÓN FINANCIERA Con la informática en la nube, la dinámica financiera se transforma radicalmente. Este tipo de servicios no exigen grandes inversiones para lanzar aplicaciones nuevas, por lo que la decisión se puede basar más en las necesidades operacionales y menos en las financieras. 2.4 MAYOR ENFOQUE TI El cloud computing permite que los departamentos de TI se concentren en gestionar los servicios que prestan las aplicaciones en lugar de instalarlas y mantenerlas. Al transferir las tareas de supervisión y mantenimiento a un tercero, el departamento de TI se puede centrar en actividades de más valor que respondan y apoyen a los objetivos empresariales de la empresa. Cloud Computing ha emergido con una fuerza imparable, como un eje de la estrategia principal informática de las empresas. Tiene una alta funcionalidad, genera grandes economías de escala, elasticidad y una capacidad virtualmente ilimitada, por lo cual se ha convertido en un modelo computacional que no se puede pasar por alto, sin el riesgo de perder gravemente, productividad y competitividad. Su correcta adopción e implementación le permitirá a la empresa entrar con paso firme, en una sociedad de la información altamente globalizada y exigente. 27 3. OBJETIVOS 3.1 OBJETIVO GENERAL  Desarrollar una guía metodológica para la adquisición e implementación del cloud computing en las pymes 3.2 OBJETIVOS ESPECÍFICOS  Conocer los beneficios de la implementación de esta tecnología en las pymes  Identificar los riesgos a lo que está sometido la empresa con la implementación de esta tecnología  Implementar criterios de auditoría para la minimización de estos riesgos  Dar a conocer las debilidades, oportunidades, fortalezas y amenazas de implementar esta tecnología en la empresa. 28 4. ALCANCE En base a investigaciones realizadas por expertos en la materia acerca de la tecnología Cloud computing y teniendo en cuenta las opiniones del mercado de las pymes se procedió a crear una guía metodológica para la adquisición de la tecnología Cloud Computing en las Pymes, Tomando como base los siguientes documentos:  El documento técnico de ISACA sobre tecnología emergente  las nits,  Guía para la seguridad en áreas críticas de atención en cloud computing  Cloud computing una perspectiva para Colombia Lo importante es que basado en esta Guía metodológica, las pequeñas y medianas empresas serán capaces de adquirir esta tecnología conociendo todas las características que deben tener en cuenta y como es el proceso para la implementación de esta. 29 5. DELIMITACIÓN 5.1 DELIMITACIÓN ESPACIAL El proyecto Guía metodológica para la implementación de la tecnología cloud computing en las pymes será desarrollado como proyecto de investigación para cualquier tipo de empresa interesada en adquirir e implementar esta. 5.2 DELIMITACIÓN TEMPORAL Este proyecto se realizara en el periodo comprendido entre Junio y Octubre del 2011. 30 6. MARCO DE REFERENCIA 6.1 MARCO TEÓRICO Y ESTADO DEL ARTE Antes de comenzar a explicar el proceso de implementación del cloud computing en las pymes empezaremos por explicar en qué consiste esta tecnología, cuál es su arquitectura, su historia, entre otros datos interesantes. También hablaremos de las necesidades que tienen las pymes en la implementación de las tecnologías en especial de esta. 6.1.1 Historia El cloud computing no es un concepto nuevo, tiene como antecedentes el grid computing o "cómputo de malla" y aprovecha aspectos o tecnologías ya conocidos, como el software de código abierto, la entrega de servicios por Internet y la gestión de la información empresarial, pero en una modalidad de entrega diferente en donde el cliente ya no tiene que preocuparse de actualizar sus plataformas, conseguir espacios para su almacenamiento o mantener grandes centros de datos, pues todo es almacenado en la infraestructura de los proveedores de servicios. Como se puede apreciar Cloud Computing es un concepto que ha ido tomando forma a través de los años, para llegar a este fue necesario pasar por varias etapas y conceptos. Cloud Computing tiene sus bases en los Mainframes (Computadora central, macro computadora) los cuales son computadoras grandes, poderosas y costosas que surgieron desde los años de 1960, utilizadas principalmente en empresas que necesitan procesar gran cantidad de datos o soportar gran cantidad de usuarios. Un mainframe puede funcionar años sin problemas ni interrupciones; incluso puede repararse mientras funciona. También 31 puede simular el funcionamiento de cientos de computadoras personales dentro de una empresa. En los años de 1980 empezó la masificación y descentralización y con ello fue surgiendo la necesidad de la personalización ya que el acceso a la red era mucho más demandado. El modelo Cliente-Servidor surge en los años de 1990, este permite que un cliente que funciona en su computadora local, se comunique con el servidor remoto, y pida a éste información. El servidor envía la información solicitada. Un único servidor típicamente sirve a una multitud de clientes, ahorrando a cada uno de ellos el problema de tener la información instalada y almacenada localmente. Los sistemas Cliente-Servidor pueden ser de muchos tipos, dependiendo de las aplicaciones que el servidor pone a disposición de los clientes. Entre otros, existen:  Servidores de Impresión, mediante el cual los usuarios comparten impresoras y  Realizan peticiones de imprimir datos en una impresora asociada.  Servidores de Archivos, con el cual los clientes comparten discos duros y realizan Peticiones de datos.  Servidores de Bases de Datos, donde existe una única base de datos.  Servidores de Lotus Notes, que permite el trabajo simultáneo de distintos clientes con los mismos datos, documentos o modelos. Aunque clientes y servidores suelen verse como máquinas separadas, pueden, de hecho, ser dos áreas separadas en la misma máquina. Por tanto, una única máquina Unix puede ser al mismo tiempo cliente y servidor. Además una máquina cliente unida a un servidor puede ser a su vez servidor de otro cliente y el servidor puede ser un cliente de otro servidor en la red. También es posible tener el cliente 32 corriendo en un sistema operativo y el servidor en otro distinto. La inteligencia es servidor compartido. El Navegador en el año 2000. A principios del nuevo siglo fue el tiempo del Internet cliente similar al modelo Cliente/Servidor, pero otorgando mayor inteligencia al servidor Servidores. La inteligencia seguía siendo compartida. En el año 2005 llega Cloud Computing gracias a nuevas tecnologías e infraestructura Bases de Datos, la inteligencia y el servicio empezó a estar en la nube de Internet. Servidores Gran cantidad de datos y su almacenamiento generan más y mejor inteligencia. Optimizando de forma dinámica su infraestructura para hostear sus aplicaciones. El concepto Cloud Computing empezó con proveedores de servicio de Internet de gran Escala tales como Google, Amazon, y otras construyeron su infraestructura. Una Arquitectura emergió: un sistema de recursos horizontalmente distribuidos, introducidos Como servicios virtuales TI masivamente escalados y manejados como recursos Continuamente configurados y mancomunados. Este modelo arquitectónico fue Inmortalizado por George Gilder en su artículo de octubre 2006 en la revista Wired titulado ―Las Fábricas de Información‖. Las granjas de servidores acerca de las cuales Gilder Escribió eran similares en su arquitectura al cómputo grid, pero mientras que los grids son Utilizados para aplicaciones de cómputo técnico ―loosely coupled‖ (o sea un sistema compuesto de subsistemas con cierta autonomía de acción a la par que mantienen una Interrelación continua con los otros componentes) este nuevo modelo de nube se estaba aplicando a los servicios de Internet. Tanto las nubes como los grids están hechos para escalar horizontalmente muy eficientemente. Ambos están construidos para resistir fallas de los elementos o nodos individuales. Ambos son cargados ―por-uso‖. Pero mientras que los grids típicamente procesan los trabajos en batch, con un punto definido de inicio y final, 33 los servicios nube pueden ser continuos. Lo que es más, las nubes expanden los tipos de recursos disponibles, almacenamiento de archivos, bases de datos, y servicios web, y extienden la aplicabilidad a la web y a las aplicaciones de la empresa. Al mismo tiempo, el concepto de cómputo de programas utility llegó a ser el foco de diseño y operaciones de TI. 6.1.2 Definición de cloud computing Cuando nos referimos a cloud o nube es un término que comenzó a utilizarse por los profesionales de redes para referirse a un área donde se desconoce la topología o modo de operación de una red, pero a través de la cual se tiene acceso a otros equipos con los que se necesita establecer comunicación Cloud computing se ha definido como un modelo para hacer posible acceso a red adecuado y bajo demanda de un conjunto de recursos de computación configurables y compartidos como lo son las redes, servidores, almacenamiento, aplicaciones y servicios. El origen del término está en el gráfico de uso común para representar Internet como si fuera una nube (cloud). Los recursos de computación (hardware y software) de estos modelos están disponibles a través de Internet. 1 Peter Mell, Tim Grance, The NIST Definition of Cloud Computing, Version 15, October 7, 2009, <URL: http://csrc.nist.gov/groups/SNS/cloud-computing>. 34 1 Cloud Computing Figura 1. ―Internet representada en forma de Cloud‖ Según el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, Cloud Computing se define como: ―Un modelo que permite acceder a un conjunto compartido de recursos informáticos configurables (ej. Redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente, ubicua y bajo demanda, que pueden ser proporcionados rápidamente y liberados, con un mínimo esfuerzo administrativo e interacción del proveedor de servicios‖. 2 De acuerdo con la siguiente definición, cloud computing se entiende como un modelo de prestación de servicios de TI cuya principal orientación es la escalabilidad. Desde el punto de vista una de las principales características que ofrece a los usuarios es mover la computación del simple computador personal o centro de 2 Esta definición se asume de la publicación número 15 del NIST WorkingDefinition of Cloud Computing publicado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos http://csrc.nist.gov/groups/SNS/cloud-computing/. 35 datos hacia internet, ofreciéndoles a los usuarios servicios elásticos que pueden crecer o recuperar su tamaño original de manera rápida y sencilla. Esto posibilita que las organizaciones se despreocupen de la gestión física de los recursos y distribuyan adecuadamente su capital sin tener que entrar en costosas inversiones para atender requerimientos temporales, concentrando todos sus esfuerzos en los objetivos particulares de su negocio. Esta orientación permite que los usuarios que acceden a los servicios, perciban que todo funciona de manera simple y rápida, dando como resultado una experiencia más gratificante. Este le proporciona a las empresas la capacidad de comprar/alquilar servicios Tecnología Informática (TI) ya sea relacionados con la infraestructura (Iaas), con las plataformas (Paas) o con las soluciones (Saas); así como operar en tiempo real y bajo demanda, pero entendiendo que se adquiere el servicio, es decir el derecho de uso mas no los elementos físicos o lógicos encargados de proporcionar ese servicio. Estas nubes son soportadas por empresas que corren diferentes plataformas y permiten que su utilización sea tan sencilla como el simple hecho de abrir una sesión de Internet, teclear el acceso y trabajar. Así como lo es en las redes sociales, cada quien sube la información que desea y determina si todos o sólo algunos pueden ver nuestro sitio, las empresas designan qué información quieren subir y cuál mantendrán en sus equipos, así como quiénes del total del personal tendrán acceso a la misma. Generalmente los proveedores de servicios suministran al cliente toda la seguridad que requieren para que no pierdan su información, acudiendo a menudo a la encriptación de datos.3 3 Seminario de Titulación: ―Las tecnologías aplicadas en redes de computadoras‖ DES/ ESME-CUL 092005/08/10 - ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELECTRICA UNIDAD CULHUACAN 36 6.1.3 Características de cloud Computing Una de las principales características del Cloud Computing es que no hay necesidad de conocer la infraestructura o arquitectura que hay detrás de esta, pasa a ser ―una nube‖ donde las aplicaciones y servicios pueden fácilmente crecer o escalar, funcionar rápido y casi nunca fallan, sin conocer los detalles del funcionamiento de esta ―nube‖. Como se puede observar cloud computing es una forma de gestionar el negocio, ya que en lugar de ejecutar aplicaciones uno mismo, se hace en un centro de datos compartido es como el caso de la plataforma SalesForce.com, aplicación que se ejecuta en la nube y en la cual solo es necesario iniciar sesión, personalizarla y comenzar a usarla. Aquí cada usuario puede tener la nube tan grande como la requiera y designar a las personas que tendrán acceso a ella; los demás quedamos fuera de esa nube y de ninguna manera podremos entrar en ella. El tipo de pago cuando las aplicaciones se ejecuten en la nube es solo una suscripción mensual, la cual será variable depende del servicio que se contrate. Otro punto importante el cual se debe tomar en cuenta es que el usuario no realiza las actualizaciones, de modo que sus aplicaciones obtienen mejoras de seguridad y rendimiento así como nuevas funciones automáticamente. 6.1.3.1 Características esenciales de cloud Computing El NIST describe cinco características esenciales de Cloud Computing 4. Estas son: 4 Mesa Sectorial Cloud Computing-Cloud Computing Una Perspectiva Para Colombia-(CINTELMICROSOFT) Pag#8 37  Auto-servicio por demanda: Los servicios pueden ser solicitados por el usuario o cliente a través de Internet directamente. El usuario paga únicamente por el tiempo de uso del servicio.  Acceso ubicuo a la red: Los servicios están desplegados en la nube y son accesibles desde cualquier medio con acceso a la red (Internet, Intranet o Extranet).  Fondo común de recursos: Los servicios se encuentran en la nube para ser usados por múltiples usuarios bajo un modelo multi-arrendatario en diferentes lugares del mundo. Esto genera una Independencia de la ubicación de los recursos aprovechando la naturaleza del internet (internet, intranet o extranet).  Rápida elasticidad: La cantidad o calidad de los servicios ofrecidos en la nube puede aumentar o disminuir rápidamente dependiendo de las necesidades cambiantes de los usuarios.  Servicio Medido: Cada recurso que consume el usuario y que es facturable debe ser medido, no sólo para fines de tarificación sino también de control. Este servicio puede ser vendido al mismo usuario o cliente dentro de su contexto y/o ambiente. 6.1.4 Modelos de servicios de cloud computing Cuando nos referimos a cloud computing es un término demasiado amplio y utilizado de muchas formas pero aun así existe aprobación general correspondiente a los tres modelos principales que describe en la siguiente figura 38 Figura 2. ―Modelos de Servicios Cloud Computing‖ Fuente: Elaboración Propia 6.1.4.1 Software como servicio (SaaS) El modelo de Software como servicios consiste en que una aplicación es proporcionada por un proveedor de servicios a través de Internet y puede ser accedida por diferentes usuarios, generalmente a través de un navegador web. El cliente usa la aplicación pero no gestiona ni controla la infraestructura subyacente sobre la que esta se ejecuta, como hardware, almacenamiento o red. La empresa que entrega el servicio de software es la encargada de su mantenimiento y entregar el soporte de la aplicación que utilizará el cliente, de acuerdo a las condiciones contractuales que definen la prestación de servicios. 39 A continuación le vamos a presentar ejemplos más concretos acerca de este tipo de servicio en la siguiente tabla 5 Tipo de Servicio Ejemplos Aplicaciones Box.net (Box.net), Microsoft Office Live (Microsoft), Facebook como sitios (Facebook, Inc.), LinkedIn (LinkedIn Corporation), Twitter (Twitter, Web Inc.), MySpace (MySpace.com), Zillow (Zillow.com), Google Maps (Google). Colaboración y Cisco WebEx Weboffice (Cisco Systems, Inc.), Google Docs aplicaciones de (Google), Google Talk (Google), IBM BlueHouse (IBM, Corp.), oficina Microsoft Exchange Online (Microsoft), RightNow (RightNow Technologies, Inc.), Gmail (Google), Microsoft Hotmail (Microsoft Hotmail), Yahoo! Mail (Yahoo! Inc.). Servicios de pago Amazon Flexible Payments Service (Amazon FPS) (Amazon Web Services, LLC), Amazon DevPay (Amazon Web Services, LLC). Software Flickr Application Programming Interface (API) (Flickr, LLC), basado en Web Google Calendar API (Google), Saleforce.com´s AppExchange integrable a (Salesforce.com, Inc.), Yahoo! Maps API (Yahoo! Inc.), Zembly otras (Sun Microsystems, Inc.). aplicaciones Tabla 1. Ejemplo SaaS 6.1.4.2 Plataforma como servicio (PaaS) Es un modelo a través del cual se ofrece todo lo necesario para dar soporte al ciclo de vida aplicaciones, ya sea en la etapa de construcción como en la de puesta en marcha. Para la utilización de este servicio no es necesario descargar ningún tipo de software en los equipos de los desarrolladores, ya que se entregan todas las herramientas necesarias para llevarlos a cabo como una solución 5 Gráfico de Tipo de servicios Y ejemplos-Universidad de los Andes - Mesa Sectorial Cloud Computing-Cloud Computing Una Perspectiva Para Colombia-(CINTEL-MICROSOFT) Pag#9 40 integral vía web. El cliente no controla ni gestiona la infraestructura subyacente que incluye la red, servidores, sistemas operativos o almacenamiento, pero tiene control sobre las aplicaciones desplegadas y la posibilidad de controlar las configuraciones de entorno del hosting de aplicaciones. Tipo de Servicio Ejemplos Plataformas de Amazon Simple Queue Service (Amazon SQS) (Amazon Web desarrollo Services, Amazon Simple Queue Service (Amazon SQS)), Amazon Simple Storage Service (Amazon S3) (Amazon Web Services, LLC), Google App Engine (Google), GRIDS Lab Aneka (Vecchiol, Chu, &Buyya, 2009). Bases de datos Amazon SimpleDB (Amazon Web Services, Amazon SimpleDB), Big Table (Chang, y otros, noviembre de 2006), Microsoft SQL Azure Database (Microsoft). Cola de mensajes Servidores de Amazon Simple Queue Service (Amazon SQS) (Amazon Web Services, Amazon Simple Queue Service (Amazon SQS)). NetSuite Business Operating System (NS-BOS) (NetSuite, Inc.). aplicaciones Tabla 2. Ejemplo PaaS6 6.1.4.3 Infraestructura como servicio Proporciona al cliente una infraestructura de computación como un servicio, usando principalmente la virtualización. El cliente compra recursos a un proveedor externo, para hosting, capacidad de cómputo, mantenimiento y gestión de redes. El cliente puede abastecerse de capacidad de procesamiento, almacenamiento, 6 Gráfico de Tipo de servicios Y ejemplos-Universidad de los Andes - Mesa Sectorial Cloud Computing-Cloud Computing Una Perspectiva Para Colombia-(CINTEL-MICROSOFT) Pag#10 41 componentes de red y otros recursos computacionales fundamentales de forma que puede desplegar y controlar software arbitrario, que puede incluir sistemas operativos y aplicaciones. Estos recursos se implementan normalmente mediante una plataforma de virtualización. Tipo de Servicio Ejemplos Procesamiento Amazon Elastic Compute Cloud (Amazon EC2) (Amazon Web Services, LLC), Sun Network.com (Sun Grid) (SUN Microsystems, Inc.), ElasticHost (ElasticHosts Ltd,), Eucalyptus (Nurmi, y otros, 2009), Nimbus (Alliance), OpenNebula (Grupo de ArquitecturaDistribuida), Enomaly (Enomaly, Inc.). Cisco WebEx Weboffice (Cisco Systems, Inc.), Google Docs (Google), Google Talk (Google), IBM BlueHouse (IBM, Corp.), Microsoft Exchange Online (Microsoft), RightNow (RightNow Technologies, Inc.), Gmail (Google), Microsoft Hotmail (Microsoft Hotmail), Yahoo! Mail (Yahoo! Inc.). Amazon Flexible Payments Service (Amazon FPS) (Amazon Web Services, LLC), Amazon DevPay (Amazon Web Services, LLC). Elastra (Elastra Corporation), Engine Yard (Engine Yard, Inc.), FlexiScalable (XCalibre Communications), Grid Layer (Layered Technologies, Inc.), Joyent (Joyent, Inc.), Mosso (Rackspace, US Inc.), Savvis Virtual Intelligent Hosting (Savvis, Inc.). Digital Realty Trust (Digital Realty Trust, Inc.), GoDaddy.com (GoDaddy.com, Inc.), Layered Technology (Layered Technologies, Inc.). Rackspace (Rackspace, US Inc.), Savvis Virtual Intelligent Hosting (Savvis, Inc.), Terremark Worldwide (Terremark Worldwide), FlexiScalable (XCalibre Communications), 1&1 Internet (1&1 Internet, Inc.). CohesiveFT (Cohesive Flexible Technologies, Corp.). Distribución de contenido a través de servidores virtuales Almacenamiento Administración de sistemas Administración de alojamiento Alojamiento autónomo VLAN (Virtual Local Area Network) Tabla 3. Ejemplo IaaS 6.1.5 Modelos de despliegue en Cloud Computing Con independencia del modelo de servicio utilizado (SaaS, PaaS, IaaS,) hay cuatro formas principales en los que se despliegan los servicios en la nube y se 42 caracterizan con modelos de despliegue adicionales que afrontan requisitos específicos:  Nube pública: La infraestructura de nube se pone a disposición del público en general o de un gran grupo industrial y es propiedad de una organización que vende los servicios en la nube.   Nube privada: La infraestructura de nube se gestiona únicamente para una organización. Puede gestionarla la organización o un tercero y puede existir tanto en las instalaciones como fuera de ellas.  Nube híbrida: La infraestructura de nube es una composición de dos o más nubes (privada, comunitaria o pública) que se mantienen como entidades separadas pero que están unidas por tecnología estandarizada o propietaria que permite la portabilidad de datos y aplicaciones (p.ej., procedimientos de escalado para el equilibrio de cargas entre nubes en el caso de picos Puntuales).  Nube comunitaria: La infraestructura de nube la comparten diversas organizaciones y soporta una comunidad específica que tiene preocupaciones similares (p.ej., misión, requisitos de seguridad, políticas y consideraciones sobre cumplimiento normativo). Puede ser gestionada por las organizaciones o un tercero y puede existir en las instalaciones y fuera de ellas. 43 Figura 3. Modelos de despliegue del cloud computing Tipos de Cloud Fuente: http://4.bp.blogspot.com/ Estos son los cuatro Modelos de despliegue de Cloud, son Cloud Publica, Cloud Privada, Cloud Hibrida y Cloud Comunitaria7 6.1.6 Arquitectura general de cloud computing Es el conjunto de capas que se encuentran acopladas entre sí para brindar la funcionalidad del sistema, en este caso la arquitectura de Cloud Computing es similar a la arquitectura de red, desde un nivel físico hasta un nivel de aplicación. A continuación se menciona una arquitectura genérica para Cloud Computing, que tienen las siguientes capas mencionadas de abajo hacia arriba La Figura 4 representa de forma general los modelos y características esenciales revisadas sobre Cloud Computing. 7 Fuente : http://cloudcomputingtechnologybasics.blogspot.com/2011/05/understanding-cloudcomputing-in-detail.html 44 Figura 4: ―Representación General de Cloud Computing‖ Fuente Guía para la seguridad en áreas críticas de atención en Cloud Computing. Versión 2 - Noviembre 2009 6.1.7 Proveedores de la tecnología cloud computing En este ítem se pretende mostrar los diferentes servicios que se ofrecen en la actualidad, relacionados con cada una de las capas de Cloud Computing. De esta forma, tendremos una visión global sobre este modelo de computación y las posibilidades que ofrece. 45 Figura 5. Principales servicios de cloud computing en la actualidad8 6.1.7.1 Software como servicio  Salesforce: A día de hoy, Salesforce es una de las empresas más notables que ofrecen servicios de SaaS. Fue fundada en 1999 por Marc Benioff, antiguo ejecutivo de Oracle. Ofrecen un CRM (Customer Relationship Management) o software de gestión de clientes accesible desde internet bajo demanda. Se divide en varias aplicaciones, entre las que se encuentran, ventas, marketing, soporte, relación con socios o partners, análisis, etc. Entre sus características más importantes se encuentran:  Servicio escalable que proporciona mecanismos de recuperación ante fallos.  Los datos de los clientes están protegidos con medidas de seguridad física, cifrado de datos, autenticación de usuarios, cortafuegos, …  8 Integración con otras tecnologías a través de Web-Services. Universidad Compútense de Madrid 46  Actualizaciones automáticas  No es necesario ningún tipo de instalación de software ni de hardware.  Pago en función del uso. Las actualizaciones están incluidas en la suscripción.  Acuerdo con Google para la colaboración con Google Apps, de forma que es capaz integrar Salesforce con Gmail, Google Talk, Google Calendar y otros servicios de Google con el fin de cubrir más necesidades empresariales.  Google Apps: Google es una de las empresas que más fuerte está apostando por el Cloud Computing. Google Apps es un servicio que ofrece varias aplicaciones accesibles vía web. Es posible acceder a ellas incluso desde dispositivos móbiles. Entre las herramientas ofrecidas se encuentran algunas tan populares como Gmail, Calendar, Docs, Sites, Talk, Vídeo, una completa API para extender y mejorar los servicios, panel de control para gestionar tu dominio, ayuda, soporte,... Se ofrecen diferentes ediciones dependiendo de las necesidades del cliente: Standard Edition (gratuita), Premier Edition (de pago) y Education Edition (gratuita). Para garantizar la seguridad, Google adquirió en 2007 una empresa denominada Postini que trabaja en temas relacionados con la seguridad web.  Windows Live: Se trata de una plataforma en la que Microsoft agrupa un conjunto de servicios y productos software. La mayoría de estos servicios son aplicaciones web accesibles desde un navegador, siendo almacenados 47 el software y la información del usuario en servidores de la compañía estadounidense. Los servicios que se ofrecen son, entre otros: Windows Live Hotmail, Windows Live Calendar, Windows Live ID, Windows Live SkyDrive, Windows Live Spaces, Windows Live Photos, Windows Live Contacts, Windows Live Maps, Xbox Live, Microsoft Office Live, … La firma de Bill Gates planea ofrecer tres modelos de precio diferentes para sus servicios bajo demanda:  El primer nivel será gratuito y las herramientas online estarán acompañadas de anuncios.  Habrá un segundo nivel donde se ofrecerán características extra a cambio de un pequeño coste de suscripción.  Finalmente, existirá un servicio premium para los usuarios con mayores necesidades. Bill Gates denominó esta apuesta por el Cloud Computing como una revolución en la estrategia de la firma en los últimos años.  MobileMe: Apple también tiene cabida en el mundo del SaaS. MobileMe es una colección de software y servicios online accesibles a través de subscripción. Originariamente se lanzó como iTools y más tarde pasó a denominarse .Mac. Se integra con Mac, PCs (con peor resultado), iTouch y iPhone y es capaz de sincronizar el mail, el calendario, los contactos y las fotos entre todos estos dispositivos. Utiliza el pushmail del iPhone para sincronizarlo con Microsoft Outlook en el PC o con la agenda, iCal y Mail en un Mac. Al comienzo tuvo bastantes problemas (fallos de servidores, problemas de sincronización, emails 48 perdidos, indisponibilidad del servicio,...), aunque poco a poco se van solucionando. Steve Jobs llegó a admitirlo públicamente Está formado por los siguientes servicios:  Almacenamiento: El plan individual (99$) incluye 20 GB de almacenamiento y 200 GB de transferencia de datos. El paquete familiar (149$) incluye 40 GB de almacenamiento divididos entre una cuenta individual de 20 GB y cuatro cuentas de correo de 5 GB cada una.  Mail.  Libreta de direcciones y calendario.  Galería de fotos.  iDisk: Repositorio de almacenamiento online accesible mediante un navegador.  iWeb Publish: Publicación de sitios web.  iChat.  SAP Business ByDesign: SAP también ofrece un paquete de software de gestión bajo demanda orientado a las pequeñas y medianas empresas que quieran aprovecharse de los beneficios de las aplicaciones de gestión de SAP sin la necesidad de tener una gran infraestructura. Consiste en un conjunto de componentes software online que se integran con el software tradicional de la compañía. Entre otras cosas se ofrece CRM, gestor de finanzas, gestor de proyectos, aplicaciones para recursos humanos, ... 6.1.7.2 Plataforma como ser vicio En este apartado se pretende dar una visión general sobre los PaaS más conocidos a día de hoy. Es curioso ver a empresas cómo Microsoft cuyo modelo tradicional habían sido las aplicaciones de escritorio. 49  Google App Engine: Google App Engine (GAE) es una plataforma para construcción y almacenamiento de aplicaciones web en servidores de Google. De momento sólo soporta los lenguajes de programación Python y Java, aunque esperan incluir alguno más en un futuro. A continuación se enumeran algunas de sus características más relevantes:  Las aplicaciones web construidas en GAE escalan automáticamente según las necesidades de tráfico y almacenamiento.  Por razones de seguridad no proporciona acceso al sistema operativo subyacente a bajo nivel.  Su punto fuerte es la capacidad de almacenar información en servidores de Google a través de la tecnología BigTable y Google File System (GFS). Para realizar las consultas a Big Table, los ingenieros de Google han creado un lenguaje de consultas, llamado GQL (Google Query Language).  No sigue el modelo relacional para el almacenamiento de datos, ya que, por ejemplo, no es posible hacer consultas agregadas ni joins.  El SDK incluye una aplicación de servidor web que emula todos los servicios de App Engine en tu equipo local. También incluye todas las API y bibliotecas disponibles en App Engine.  Ofrece un API para integrar tu aplicación con las cuentas de Google.  Proporciona dominios gratuitos (appspot.com), aunque también se pueden utilizar dominios propios.  Puedes limitar el acceso a tu aplicación a miembros de tu organización.  Paquete indisoluble: A diferencia de Amazon Web Services, donde puedes utilizar algunos servicios y dejar de lado los demás, GAE no ofrece esa opción.  Podemos comenzar a utilizar GAE con cuentas gratuitas o adquirir recursos adicionales pagando una cuota, si necesitamos mayor capacidad. 50  Proporciona una consola de administración desde donde se pueden gestionar las aplicaciones.  Microsoft Azure: Microsoft Azure, también conocido como Azure Service Platform es un PaaS almacenado en los centros de datos de Microsoft que proporciona un sistema operativo (Windows Azure) y un conjunto de servicios que pueden utilizarse individualmente o unidos. Permite a los desarrolladores crear aplicaciones que serán ejecutadas en la nube utilizando sus conocimientos en el entorno de desarrollo Microsoft Visual Studio y el framework Microsoft.NET. Como se puede ver, algunas de las diferencias con Google App Engine son que ofrece un sistema operativo y que se basa en la plataforma .NET en vez de en Python y Java, aunque se espera que en un futuro se soporten más lenguajes de programación y entornos de desarrollo. De momento, están disponibles dos SDKs para interoperabilidad con la plataforma Azure: Java SDK para servicios .NET y Ruby SDK para servicos .NET. Esto permite integrar Java y Ruby con .NET. Proporciona un entorno con soporte para múltiples protocolos de internet, incluyendo HTTP, REST, SOAP y XML. Incluye cinco servicios que los desarrolladores pueden utilizar para construir las aplicaciones que se ejucutarán en la nube:  Windows Azure: Es un sistema operativo orientado a la nube que facilita la gestión de la plataforma Microsoft Azure.  Live Services: Conjunto de bloques de construcción para gestión de datos de usuario y aplicaciones.  Microsoft SQL Services: Extiende las posibilidades de Microsoft SQL Server a la nube, convirtiéndola en una base de datos distribuida y relacional basada en la web. 51  Microsoft .NET Services: Incluye control de acceso para ayudarte a hacer más seguras tus aplicaciones, un servicio de comunicación entre aplicaciones y servicios,...  Microsoft SharePoint Services & Dynamics CRM Services: En un futuro, los desarrolladores tendrán acceso a la funcionalidad de SharePoint y de un CRM.  Force.com: Salesforce también tiene su plataforma para desarrollo de aplicaciones en la nube. Force.com incluye base de datos, seguridad, interfaz de usuario y otras herramientas que facilitan la construcción de aplicaciones y sitios web. Estas aplicaciones son construidas utilizando Apex, un lenguaje de programación propietario, similar a Java para la plataforma Force.com y Visualforce (similar a XML) para la construcción de interfaces de usuario en HTML, AJAX o FLEX. Las aplicaciones construidas sobre este entorno pueden ser distribuidas como SaaS a través de Force.com AppExchange y se integran fácilmente con la aplicación principal de Salesforce.  Rollbase: Es un proveedor de PaaS centrado en la pequeña y mediana empresa. Se pueden crear aplicaciones bajo demanda basadas en AJAX utilizando sencillas herramientas basadas en movimientos de ratón (point & click, drag & drop,…) en un navegador estándar. Se pretende que su utilización sea lo más sencilla posible (no es necesario escribir código), sin perder por ello la posibilidad de crear aplicaciones sofisticadas y de alta calidad. 52 Es posible la integración con otras aplicaciones a través de los protocolos SOAP y REST. También se ofrece integración con Google Apps. Entre sus componentes principales se encuentran los siguientes:  Asistentes para creación de tablas, campos, relaciones, … Editor de páginas con posibilidad de introducir scripts y código HTML embebido.  Motor de búsqueda con control de indexación de campos.  Integración para aplicaciones construidas en la misma plataforma.  Gráficos animados 2D y 3D. 6.1.7.3 Infraestructura como servicio En esta sección aparecen algunos de los más importantes proveedores de IaaS. Los que ofrecen almacenamiento como servicio aparecen al final en un subapartado para que quede más claro y ordenado.  Amazon Web Services (AWS): Es una colección de servicios de computación ofrecidos bajo demanda a través de Internet por Amazon.com. Amazon es una compañía estadounidense de comercio electrónico, conocida por la mayoría de los usuarios por la venta de libros a través de Internet. En un momento dado, decidieron obtener beneficios de los grandes centros de datos que tenían repartidos por el mundo y que la mayoría del año estaban infrautilizados y finalmente lanzaron Amazon Web Services en Julio de 2002. La robusta plataforma construida y refinada por Amazon a lo largo de los años, está ahora disponible para todo aquel que disponga de una conexión a Internet. Estos servicios son accedidos a través de HTTP utilizando los protocolos REST y SOAP y pueden utilizarse unidos o de forma independiente. 53 Veamos una breve descripción de los principales productos que nos ofrece esta plataforma:  Servicios de infraestructura:  Amazon Elastic Compute Cloud (Amazon EC2): o Servicio que permite adquirir máquinas virtuales en pocos minutos y escalar tu capacidad de computación fácilmente, tanto hacia arriba o hacia abajo, bajo demanda o Control total sobre el entorno: Puedes ejecutar las aplicaciones y el software que quieras. o Varios tipos de servidores a elegir, con diferentes características. También es posible elegir imágenes predefinidas con un SO y un software preconfigurado. o Direcciones IP elásticas: Son direcciones IP estáticas que se asocian a tu cuenta con la posibilidad de controlarlas hasta que decides liberarlas. o Balanceo de carga: Elastic Load Balancing, distribuye automáticamente el tráfico de las aplicaciones entre múltiples instancias de EC2 o Posibilidad de definir condiciones para escalado automático de forma que sea posible responder satisfactoriamente a picos en la demanda. o Pago por uso: Es posible consultar las tarifas en su página web.  Amazon SimpleDB: o Servicio web para almacenamiento, procesamiento y consulta de datos estructurados. Se explica más detalladamente en el apartado 2.3.5. 54  Amazon Simple Storage Service (Amazon S3): o Servicio de almacenamiento bajo demanda. Se explica más detalladamente en el apartado 2.3.5.  Amazon CloudFront: o Servicio de Content Delivery (distribución de contenidos) capaz de integrarse con los demás servicios de AWS o Actualmente está en estado de beta.  Amazon Simple Queue Service (Amazon SQS): o Infraestructura de colas para almacenamiento de mensajes muy útil para enviar datos y comunicarse entre distintos componentes distribuidos de nuestras aplicaciones. o Comunicación entre los diferentes servicios ofrecidos por Amazon de forma que es posible coordinar de una manera eficiente el flujo de trabajo. o Mecanismos de autentificación que aseguran que los mensajes almacenados en las colas están protegidos de accesos no autorizados.  Amazon Elastic MapReduce: o Facilita el procesamiento de grandes cantidades de datos. o Utiliza un framework Hadoop ejecutándose sobre infraestructura EC2 y S3. o Actualmente está en estado de beta. 55 Cloud virtual privado:  Amazon Virtual Private Cloud: o Nuevo servicio, lanzado el 26 de agosto de 2009 y que todavía se encuentra en estado de beta, que permite conectar de forma segura la infraestructura de una compañía con un conjunto de recursos AWS aislados, a través de una conexión VPN (Virtual Private Network o Red Virtual Privada). No es ni más ni menos que la posibilidad de poner una ―valla‖ a las instancias de EC2 utilizadas. Pago y facturación:  Amazon Flexible Payments Service (Amazon FPS)  Amazon DevPay o Actualmente, AWS puede considerarse como el estándar de facto en el mundo del Cloud Computing.  GoGrid: es un proveedor de infraestructura cloud, que proporciona máquinas virtuales basadas en Windows y Linux y que pertenece a ServePath, una compañía de hosting estadounidense. Estas máquinas virtuales tienen gran variedad de software preinstalado tal como Apache, PHP, Microsoft SQL Server y MySQL. Además, es accesible a través de un API REST y soporta llamadas desde diferentes lenguajes: Java, PHP, Pitón y Ruby. Es uno de los mayores competidores de Amazon Web Services, ya que su oferta es de bastante calidad y entre sus características más notables se encuentran las siguientes:  Soporta entornos de aplicación como Ruby on Rails. 56  Cada cuenta ofrece un balanceador de carga hardware F5 gratuitamente.  Proporciona IPs estáticas y cada cuenta viene con una VLAN pública y privada.  Interfaz gráfica de usuario desde donde podemos gestionar toda nuestra infraestructura de forma sencilla.  Podemos elegir entre un amplio rango de imágenes de servidores preconfigurados.  GoGrid Cloud Storage: Servicio escalable de Backus para Windows y Linux a nivel de archivo. Los 10 primeros GB son gratuitos.  Pago por uso.  Fexiscale: es la solución de Cloud Computing ofertada por Xcalibre, una empresa dedicada a temas de hosting del Reino Unido. Los usuarios de este servicio tienen la posibilidad de crear, arrancar y detener servidores según sus necesidades. Todo ello a través de un API o de un panel de control. Sus características principales son las siguientes:  Servidores con soporte para Windows y Linux.  Recuperación automática antes fallos hardware en menos de 15 minutos respaldada por SLA.  Ofrece direcciones IP estáticas y una VLAN dedicada para cada cliente.  Nodos redundantes mediante redes de almacenamiento SAN/NAS.  Mosso: es una plataforma de IaaS propietaria de Rackspace, una compañía tradicional de web hosting. Al contrario que la mayoría de sus competidores, no ofrece acceso a nivel de root a sus servidores. En vez de eso, se ofrecen servidores pre-configurados con un rango de opciones software y son gestionados de forma similar a un entorno de hosting. 57 Factura siguiendo un modelo de utility computing y ofrece los siguientes productos:  Cloud Sites: Hospeda tus sitios web con la posibilidad de escalar a cientos de servidores para ser capaz de responder a las demandas de tráfico existentes. Ofrece base de datos e e-mail.  Cloud Servers: Instancias de servidores bajo demanda.  Cloud Files: Ilimitado almacenamiento online. 6.1.7.4 Almacenamiento como servicio En este apartado, se muestran algunos de los servicios actuales de cloud storage o almacenamiento como servicio. Se encuentran separados de los anteriores, ya que a pesar de ofrecer infraestructura, el concepto no es exactamente el mismo. Mientras los servicios comentados arriba, lo que ofrecen es capacidad de computación a través de la obtención de máquinas virtuales bajo demanda, los que se muestran en esta sección ponen a disposición de sus clientes capacidad de almacenamiento según sus necesidades.  Amazon Simple Storage Service (Amazon S3): Como ya se ha explicado un poco más arriba Amazon S3 es un servicio para almacenamiento y recuperación de datos bajo demanda. Y, ¿qué es lo que ofrece?  Los datos almacenados pueden ser de cualquier tipo y pueden ser accedidos desde cualquier lugar a través de Internet.  Se pueden almacenar un número de objetos ilimitado con la restricción de que cada objeto almacenado no puede superar los 5GB.  Los objetos se almacenan en ―buckets‖, concepto similar al de carpetas en tu sistema operativo. 58  Puedes seleccionar la localización donde serán almacenados tus datos. Para ello existen dos opciones, Europa y Estados Unidos.  Utiliza mecanismos de autenticación para asegurar que los datos están protegidos de forma segura ante accesos no autorizados.  Se pueden especificar restricciones de acceso para cada objeto en particular.  Interfaz basada en los estándares REST y SOAP.  Posibilidad de descargar tus objetos a través del protocolo BitTorrent.  Nirvanix: es una compañía que ofrece servicios de almacenamiento en la nube. Nirvanix’s Storage Delivery Network (SDN) es una plataforma de almacenamiento online que, además, proporciona capacidades para manipulación de archivos multimedia (imágenes, audio, vídeo,…). El acceso a esta plataforma se realiza vía estándares tales como HTTP, REST, SOAP y XML, siguiendo un modelo bajo demanda. Además, proporciona replicación automática de archivos en múltiples localizaciones alrededor del mundo. Últimamente, esta compañía se ha posicionado como uno de los mayores rivales del servicio S3 de Amazon. Aseguran ser un 200% más rápidos y fáciles de utilizar, aunque algo más caros. Han desarrollado un sistema NAS orientado a la nube que permite a los usuarios conectar sistemas a los nodos de almacenamiento vía NFS, CIFS y FTP.  Amazon Simple DB: es un servicio web para almacenamiento, procesamiento y consulta de conjuntos de datos estructurados. Actualmente se encuentra en estado de beta. Entre sus características principales, destacamos las siguientes: 59 No es una base de datos relacional en el sentido tradicional, ya que los datos se almacenan de forma menos estructurada.  Actualmente, no están permitidas las consultas de referencias cruzadas.  Proporciona la mayoría de las funciones de una base de datos relacional.  Una ventaja de no estar fuertemente restringida a los esquemas es la posibilidad de insertar datos al vuelo y añadir nuevas columnas y claves dinámicamente. 6.1.8 Modelos relacionados al cloud computing en Colombia Según IBM El modelo de cloud computing se centra en el usuario y ofrece un modo de adquisición y suministro de servicios muy efectivo. El cloud computing se define y caracteriza por su escalabilidad elástica, por una excepcional experiencia de usuario, y por definir un nuevo modelo económico basado en una nueva forma de consumir servicios. Según neuro red Lo primero que debemos saber es que es un modelo de negocio: es un mecanismo para obtener ingresos dignos de ser imitado y que se toma como pauta a seguir. El modelo del cloud computing es una mezcla de varios modelos a la vez, y al menos podemos contar con: Freemium, Pago por uso o suscripción, Servicio – NO producto, LowCost, Servicios externalizados. Y seguro que podremos encontrar alguno más. 60 6.1.9 Estándares relacionados con el cloud computing en Colombia 6.1.9.1 NITS El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. A pesar de ser de Estados Unidos muchos estándares aplican acá en Colombia por eso vale la pena tenerlo en cuenta. 6.1.9.2 ISACA Es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidades, apoyo y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con TI. Diseñó y creó Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento (el ―Trabajo‖), en principio, como un recurso educativo para profesionales de seguridad, gobierno y aseguramiento. 6.1.9.3 Mesa sectorial cloud computing El objetivo de la Mesa Sectorial sobre Cloud Computing radica en apoyar al sector de las TIC en la identificación de los problemas, el análisis y la formulación de conclusiones y recomendaciones que permitan potenciar el desarrollo armónico del sector a través del Cloud Computing. 61 6.1.10 Marco regulatorio del cloud computing en Colombia Colombia es uno de los países que cuenta a la fecha con un conjunto de leyes que facilita el desarrollo del Cloud Computing en Colombia. A continuación, se describen estas leyes y se enuncian los temas más importantes que éstas mencionan:  Ley 1273 de 2009: Por medio de la Ley 1273 de 2009 se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado ―de la protección de la información y de los datos‖- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Esta ley protege a los sistemas de Información de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. La Ley penaliza, entre estos atentados, el acceso abusivo a los sistemas informáticos, la interceptación de datos, la ejecución de daños informáticos, el uso de software malicioso, la violación de los datos personales, la suplantación de sitios web para capturar datos personales, el hurto por medios informáticos y semejantes y la Transferencia no consentida de activos.  Ley 1221 de 2008 – Ley de Teletrabajo: Por medio de esta ley, se establecen normas para promover y regular el Teletrabajo y se provee un marco de seguridad jurídica. Esta ley define el teletrabajo en sus distintas formas, establece una política pública de fomento al teletrabajo y una red nacional de fomento al teletrabajo. De igual manera, menciona que el Gobierno Nacional pondrá en funcionamiento un sistema de inspección, vigilancia y control para 62 garantizar el cumplimiento de la legislación laboral en el marco del teletrabajo y se proveen las garantías laborales, sindicales y de seguridad social para los teletrabajadores.  Ley 1266 de 2008: Declarado Exequible mediante Sentencia C- 1011 del 16 de octubre de 2008., dictan las disposiciones generales del hábeas data y regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países, entre otros. Esta ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países. Además, estable los principios de la administración de datos: Principio de veracidad, de finalidad, de circulación restringida, de temporalidad de la información, de interpretación integral de derechos constitucionales, de seguridad y de confidencialidad; establece los derechos de los titulares de la información, los deberes de los operadores, las fuentes y los usuarios de información, la vigilancia de los destinatarios de la ley.  Ley 1341 de 2009:Por medio de esta ley, se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones. Esta ley tiene por objeto 63 determinar el marco general para la formulación de las políticas públicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones, su ordenamiento general, el régimen de competencia, la protección al usuario, así como lo concerniente a la cobertura, la calidad del servicio, la promoción de la inversión en el sector y el desarrollo de estas tecnologías, el uso eficiente de las redes y del espectro radioeléctrico, así como las potestades del Estado en relación con la planeación, la gestión, la administración adecuada y eficiente de los recursos, regulación, control y vigilancia del mismo y facilitando el libre acceso y sin discriminación de los habitantes del territorio nacional a la Sociedad de la Información. Además, define los siguientes principios orientadores: prioridad al acceso y uso de las tecnologías de la información y las comunicaciones, libre competencia, uso eficiente de la infraestructura y de los recursos escasos, protección de los derechos de los usuarios, promoción de la inversión, neutralidad tecnológica, el derecho a la comunicación, la información y la educación y los servicios básicos de las tic y la masificación del gobierno en línea.  Resolución CRC 2258 de 2009: Teniendo en cuenta que la protección del ciberespacio es un factor de trascendente importancia para preservar la seguridad de la nación y su economía, la CRC comprendió la necesidad de estudiar los cambios que se han generado sobre estos asuntos, y analizar alternativas de modificación o creación de reglas para contribuir desde la perspectiva regulatoria interna. Con el fin de cumplir con lo descrito anteriormente se consideraron diferentes tendencias mundiales sobre la materia, así como el estado actual de redes de telecomunicaciones en el país, y los servicios y mecanismos de seguridad que son implementados en las mismas. 64 Por medio de esta Resolución, se incluyeron definiciones de términos asociados a la ciberseguridad en el Artículo 1.8 de la Resolución CRT 1740 de 2007: Autenticación, Autorización, Ciberespacio, Ciberseguridad, Confidencialidad de datos, Disponibilidad, Entidad, Infraestructura crítica, Integridad de datos, Interceptación, Interferencia, Interrupción, No repudio, Pharming, Phishing, Software Malicioso (Malware), Vulnerabilidad. Por otra parte, se modificó la redacción del Artículo 2.4 de la Resolución CRT 1740 de 2007, incluyendo la necesidad por parte de los proveedores de redes y/o servicios de telecomunicaciones que ofrezcan acceso a Internet que deben utilizar los recursos técnicos y logísticos que garanticen la seguridad de la red y la integridad del servicio, para evitar la interceptación, interrupción, e interferencia del mismo. De acuerdo con los marcos de seguridad definidos por la UIT, en lo que respecta a:  Autenticación: (Recomendaciones UIT X.805 y UIT X.811).  Acceso: (Recomendaciones UIT X.805 y UIT X.812)  Servicio de No repudio: (Recomendaciones UIT X.805 y X.813)  Principio de Confidencialidad de datos: (Recomendaciones UIT X.805 y X.814)  X.805 y X.815)  Principio de Disponibilidad: (Recomendación X.805) Así mismo, se modificó el Artículo 22 de la Resolución CRT 1732 de 2007, sobre inviolabilidad de la comunicaciones aclarando que los proveedores de redes y/o servicios de telecomunicaciones, deben asegurar los principios (confidencialidad, integridad y disponibilidad) y servicios de seguridad (autenticación, autorización y no repudio) de la información, requeridos para garantizar la inviolabilidad de las comunicaciones, la información que se 65 curse a través de ellas y los datos personales de los suscriptores y/o usuarios, en lo referente a las redes y/o servicios suministrados por dichos operadores. Por último se modificó el Artículo 23 de la Resolución CRT 1732 de 2007, sobre seguridad de los datos e informaciones, en donde los proveedores de redes y/o servicios de telecomunicaciones, deberán adoptar mecanismos que garanticen el manejo confidencial, la integridad y disponibilidad de los datos de los suscriptores y/o usuarios, los cuales sólo pueden ser intercambiados con otros proveedores para efectos de la prevención y control de fraudes en las telecomunicaciones y el cumplimiento de las obligaciones regulatorias que así lo exijan.  Plan Nacional de TIC: El Plan Nacional de Tecnologías de la Información y las Comunicaciones es la estrategia nacional para la utilización de TICs en Colombia. Entre sus objetivos, el Plan está orientado a contribuir en el fortalecimiento de las políticas de inclusión y de equidad social y aumentar la competitividad del país, lo cual redundará en desarrollo social para los colombianos. Para esto, el Plan propone una serie de políticas, acciones y proyectos en ocho ejes principales: cuatro transversales y cuatro verticales. Los ejes transversales cubren aspectos y programas que tienen efecto sobre los distintos sectores y grupos de la sociedad. Estos ejes son:  Comunidad  Marco regulatorio  Investigación, desarrollo e innovación  Gobierno en Línea 66 Los ejes verticales se refieren a programas que ayudarán a lograr una mejor apropiación y uso de las TIC en sectores. Estos ejes son:  Educación  Salud  Justicia  Competitividad empresarial.  Documento CONPES 3072 de 2000: El documento CONPES 3072 de 2000 presenta la ―Agenda de Conectividad‖, que es el programa del Ministerio de Tecnologías de la Información y las Comunicaciones, encargado de impulsar el uso y masificación de las Tecnologías de Información y Comunicación -TIC- como herramienta dinamizadora del desarrollo social y económico del país. En este documento se presenta como estrategia ―Gobierno en Línea‖, que propende por el mejoramiento del funcionamiento y la eficiencia del Estado, de la transparencia del Estado y busca fortalecer el control social sobre la gestión pública así como la función del Estado al servicio del ciudadano a través del uso de tecnologías de la información.  Documento CONPES 3248 de 2003: El Documento CONPES 3248 de 2003 define el programa de renovación de la administración pública y establece que la finalidad de la estrategia de Gobierno electrónico es ―….definir una política y un conjunto de instrumentos adecuados para el manejo de la información en el sector público de modo que se garantice plena transparencia de la gestión, alta eficiencia en los servicios prestados a los ciudadanos y en las relaciones con el sector productivo y condiciones adecuadas para promover el desarrollo interno y la inserción internacional. Esta política confiere sentido a la incorporación y al uso de la tecnología 67 informática en el desarrollo de las operaciones de las entidades estatales, tanto en sus actividades internas como en sus relaciones con otras entidades públicas y privadas, con los ciudadanos y con el sector productivo. El propósito último es facilitar las relaciones del ciudadano con la administración, e incrementar la eficiencia, la transparencia y el desarrollo territorialmente equilibrado del Estado‖. 68 7. ANTECEDENTES DEL PROYECTO 7.1 NECESIDADES TECNOLÓG ICAS DE LAS PYMES Antes de analizar las necesidades tecnológicas de la empresa comenzaremos por clasificarlas. En Colombia, según la Ley para el Fomento de la Micro, Pequeña y Mediana Empresa, Ley 905, las PYMES se clasifican así:  Mediana empresa  Pequeña empresa  Microempresa Tabla 4. Clasificación de las pymes según el congreso de la república CATEGORÍA EMPRESA N° EMPLEADOS ACTIVOS TOTALES CLASE DE A MICRO 1 10 267.800.000 PEQUEÑA 11 50 268.335.600$ 2.678.000.000 MEDIANA 51 200 2.678.535.600$ - 16.068.000.000 Fuente elaboración propia En consecuencia, podemos señalar que según el servicio de impuestos internos las pequeñas y medianas empresas (PYMES) que tienen entre 1 y 200 trabajadores. 69 7.2 CIFRAS EN LAS PYMES Para determinar las principales Tecnologías de Información y Comunicación (TICs) utilizadas por las PYMES de Colombia se tomó como referencia la mesa redonda "Tecnología, oportunidad de crecimiento para las Pymes en Colombia", realizada por Cisco y ACOPI. Según estudio realizado por FUNDES Colombia, la Pyme invierte en TIC´s con los siguientes propósitos9 Grafico 1. Inversión en TIC´s de las PYMES También se puede observar los factores que se consideran para la compra de tecnología en las pymes según FUNDES, y Las prioridades de las Pymes para sus gastos en TI en el grafico 3 podemos observar este otro punto importante. 10 9 http://www.deltaasesores.com/estadisticas/tecnologia/2142-inversion-en-tic-de-pymes-en-colombia 70 Grafico 2. Factores para la compra de tecnología Grafico 3.Prioridades de las Pymes para sus gastos en TI 10 http://www.deltaasesores.com/estadisticas/tecnologia/2142-inversion-en-tic-de-pymes-encolombia 71 Además de los anteriores indicadores del uso de las TI en las pymes en cuanto tecnología podemos destacar que en Colombia hay división geográfica de esta misma como lo vemos en el siguiente gráfico.11 Grafico 4. Concentración Geográfica Luego de estos resultados podemos llegar a ultimar que la inversión de las PYMES en TIC es mínima y que estas no están utilizando la tecnología como parte estratégica de sus procesos de negocio, el uso de internet se concentra prioritariamente para uso de correo electrónico y transacciones en línea, pagos servicios impuestos y nóminas. 11 FUNDES-La red de soluciones Empresariales –Características de las pymes en Colombiahttp://hasp.axesnet.com/contenido/documentos 72 7.3 DESCRIPCIÓN TECNOLÓGICA DE INFORMACIÓN Y COMUNICACIÓN Las tecnologías de la comunicación (TIC), se encargan del estudio, desarrollo, implementación, almacenamiento y distribución de la información mediante la utilización de hardware y software como medio de sistema informático. 12 Son sistemas de comunicación necesarios para manipular, convertir, almacenar, administrar, transmitir y encontrar la información. Con el paso del tiempo, las TIC Tecnologías de la Información y las Comunicaciones hacen más parte de nuestra vida. Sin importar nuestro rol en la sociedad, edad o sexo, hacemos uso de ellas para tener mejores experiencias en muchos ámbitos: el entretenimiento, interacción con las personas y la educación, entre muchas otras13 La Conferencia de Autoridades Iberoamericanas de Informática (CAIBI) propuso una definición más estándar de las TIC: ―Las Tecnologías de la Información y la Comunicación se pueden concebir como resultado de una convergencia tecnológica entre las telecomunicaciones, las ciencias de la computación, la microelectrónica y ciertas ideas de administración y manejo de información. Se consideran como sus componentes el hardware, el software, los servicios y las telecomunicaciones‖ 14 12 http://tics.org.ar/index.php?option=com_content&task=view&id=13&Itemid=28 Ministerio de Tecnología de la Información y las Comunicaciones- http://www.mintic.gov.co/ 14 CAIBI (Conferencia de Autoridades Iberoamericanas de Informática). Aspectos Metodológicos y Listado de Definiciones. Lisboa, Portugal. Junio de 2001, pag.5 13 73 7.3.1 Tecnologías importantes de información y comunicación utilizadas en PYMES Según el informe de CISCO altamente usados 15 conceptos Hoy en día en Colombia y en el mundo son como: innovación, productividad, eficiencia, integración, gestión por procesos, globalización y competitividad; conceptos que todo empresario y gerente debe tener siempre presentes si quiere lograr sus objetivos estratégicos. Ya está más que probado que la integración de la tecnología en empresas de cualquier tamaño, aumenta la capacidad de respuesta, brinda herramientas para la ejecución de la estrategia, aumenta la eficiencia y la productividad, reduce costos y potencia el crecimiento. USO ACTUAL USO PROYECTADO DE 2 A 3 AÑOS Bajar software 19% 28% Tele conferencias 2% 12% Capacitación para empleados 7% 25% Investigar la competencia / mercado 24% 31% Trabajo en equipo / empleado 115 25% Comunicarse con socios 11% 20% Comunicarse con empleados 9% 23% Comunicarse con distribuidores 19% 28% Para participar en licitaciones publicas 4% 19% Correo electrónico/empresa 38% 68% Acceso a internet 40% 69% Página web de empresa 9% 49% Página web de una agrupación a la que pertenezca 5% 26% USO DE INTERNET Página del directorio a la que está suscrito 5% Tabla 5. Uso de internet en las Pymes 16 15 32% CISCO-TIC’s la base para el crecimiento y la productividad de la PYME pág. 12 E-Commerce and Develpoment Report 2004, United Conference on Trade and Developement 16 74 Gestion de la cadena de… 16,3 Arquitectura Orientada a Servicios… 21 Plaforma de desarrollo.Net 22,4 Factura electronica 22,5 Inteligencias de Negocios 23,2 Modelacion de procesos de negocios 23,5 Gestion relacion con clientes (CRM) 26 Sistemas de integracion de aplicación… 29,5 Software Open Source Linux 40,7 Herramientas de trabajo en grupo 52,1 Sistemas empresarial de gestion 68,4 Herramienta de productividad Pequeña Mediana 0 96,5 20 Grande 40 60 80 100 Grafico 5.Servicios por tecnologías en las PYMES 17 El Gráfico 5 permite observar que en general el nivel de adopción de tecnologías es directamente proporcional al tamaño de la empresa. Además se puede determinar que los niveles de utilización de herramientas de productividad y factura electrónica son similares en los tres tipos de organizaciones. Las herramientas de productividad incluyen planillas de cálculo, procesadores de texto, presentaciones, manejo de agenda y correo electrónico. 17 CISCO-TIC’s la base para el crecimiento y la productividad de la PYME pág. 8 75 Identificacion por… 6,3 GPS 16,8 VoIP 24,6 Dispositivos De… 38,7 Servidores De Telefonia… 50,8 Redes Inalambricas (WIFI) 67 Servidores Centrales 93,7 Pequeña Mediana Grande 0 20 40 60 80 100 Gráfico 6. ―Tecnologías de Hardware según tamaño de empresa‖18 Este grafico 6 permite observan significativas diferencias en los niveles de utilización de hardware. Por ejemplo, la mayoría de las empresas grandes tienen servidores centrales (93.7%) en cambio, solo un tercio de las pequeñas empresas (33,4%) posee esta tecnología Identificacion por… 6,3 GPS 16,8 Certificados Digitales 24,6 Biometricas 38,7 Encriptacion 50,8 Firewall 67 Antivirus Pequeña Mediana Grande 0 93,7 20 40 60 80 100 Gráfico 7. Tecnologías de Seguridad Informática según tamaño empresa 19 18 19 CISCO-TIC’s la base para el crecimiento y la productividad de la PYME pág. 7 CISCO-TIC’s la base para el crecimiento y la productividad de la PYME pág. 9 76 E-Learning 2,1 Blog Corporativo 8,4 Comercio Electronico 19,8 Servicios Web XML Pequeña 19,8 Herramientas de colaboracion y portales… Mediana 22,3 Encriptacion Grande 31,5 Administracion de contenidos 42,9 Sitios Web 0 90 20 40 60 80 100 Gráfico 8. Tecnologías Web según tamaño de empresa El Gráfico 8 muestra los niveles de adopción de Tecnología Web según tamaño de la empresa.20 También es posible apreciar una importante excepción en el uso de comercio electrónico, debido a que son las pequeñas y medianas empresas las que revelan una mayor adopción con un 26.8% y 22% respectivamente contra un 19.8% de adopción en las grandes. 7.3.2 Factores que influyen en la adopción de TIC en las PYMES De acuerdo con Lefebvre y Lefebvre 21 (1996) existen tanto factores externos como internos que determinan el nivel de adopción de las TICs por parte de una PYME, en donde, dentro de los factores externos se encuentran las políticas nacionales en los campos social, económico, comercial y tecnológico, además del entorno macroeconómico y del sector productivo al cual pertenece la firma. Dentro de los factores internos, destacan la parte administrativa y el personal de la empresa. Es 20 CISCO-TIC’s la base para el crecimiento y la productividad de la PYME pág. 10 Tecnologías de la información y la comunicación (TICs), productividad y competitividad-Pág.9 21 77 decir, aquellos factores que afectan la productividad, la rentabilidad y la competitividad de la firma. 7.4 ATRACCIÓN DE LAS PYMES HACIA EL CLOUD COMPUTING Muchas organizaciones de todo el mundo se sienten atraídas hacia el Cloud Computing por su capacidad para acelerar la prestación de servicios y aumentar el servicio y disponibilidad de infraestructura, mientras se da la creación de una elasticidad que permite que los servicios se amplíen en la demanda de cambios. Las organizaciones pueden aprovechar las economías de escala a través del cloud computing, también pueden obtener un mayor retorno de la inversión a través de una mayor eficiencia del personal y la optimización de las TI de los recursos. El cloud computing apoya los esfuerzos para establecer una arquitectura orientada a servicios y mejorar la información de gestión y administración del servicio. Con todos estos beneficios a su favor, el cloud computing también puede ayudar a mejorar la percepción de la TI como ser a la vez flexible y sensible. Generalmente las empresas a la hora de tomar decisiones acerca del cloud computing prefieren los servicios de la ―nube privada‖ porque son más atractivos, seguido de los servicios de la ―nube de híbridos‖ y finalmente los servicios de la ―nube pública‖. Cuando las empresas deciden contratar estos servicios lo primero que valoran es en el ahorro de costos y el tiempo, los cuales son los dos factores decisorios principales que los hacen inclinarse por estos servicios. El ahorro de costos es un factor clave porque involucra lo que es el área de licencias de software, el hardware, el trabajo, el apoyo y el mantenimiento. 78 7.5 EJEMPLO DE EMPRESAS QUE TIENEN IMPLEMENTADA LA TECNOLOGÍA CLOUD COMPUTING EN COLOMBIA En Colombia, salvo ejemplos excepcionales como el Sena, Avianca y Manuelita ya muestran resultados sobre su uso, sin embargo, un estudio de la firma de investigación Forrester Research señala que esta tecnología crecerá en dos dígitos, al menos, en los próximos cinco años.22  SENA Desde hace un par de años decidió tercerizar toda su operación informática con herramientas de gestión interna, e-learning y productividad basadas en un modelo de computación en la nube, que le ha permitido a esta entidad avanzar más velozmente en su replanteamiento estratégico. "El foco de la institución es ofrecer oportunidades educativas a todos los colombianos y no administrar recursos tecnológicos"23  AVIANCA En este modelo, la información que utiliza esta empresa reposa en grandes centros de datos que se encuentran físicamente en cualquier lugar del mundo y los trabajadores acceden a ella a través de internet. "Antes, los funcionarios debían desplazarse hasta la sede de la aerolínea para hacer cualquier trabajo" "Ahora, tenemos la opción de acceder a nuestros escritorios desde ubicaciones remotas, sin importar si estamos en nuestra casa 22 http://www.dinero.com/caratula/edicion-impresa/articulo/cloud-computing-clave-para-agregarvalor/101375 23 Amán Zuluaga, líder del grupo de teleinformática y tecnología educativa del Sena. 79 o en un hotel, en la oficina o en el celular, en Colombia o en cualquier otro país". Antes, el trabajo era más individual, ahora es más y más colaborativo 24 Figura 6. Avianca, en su nube privada25  MANUELITA S.A. Está integrando sus servicios de correo electrónico, agenda, videoconferencia e indicadores de gestión en 800 puestos de trabajo distribuidos por el Valle del Cauca, los Llanos Orientales, Bogotá, Perú y Chile. 24 25 Fabio Villegas, presidente de la compañía Avianca 2010 http://www.dinero.com/caratula/edicion-impresa/articulo/avianca/101811 80 Figura 7. Manuelita, en su nube privada26 7.6 CASOS DE ÉXITOS DE EMPRESAS QUE POSEEN LA TECNOLOGÍA CLOUD COMPUTING EN COLOMBIA 7.6.1 Avantel: Gmail transforma las comunicaciones La empresa de telecomunicaciones móviles Avantel adoptó la plataforma de Google Apps para solucionar problemas y limitaciones con sus sistemas de correo y mensajería, afectaban la productividad de sus empleados. El fácil acceso a las aplicaciones, la mejor relación costo/beneficio, la alta disponibilidad y el respaldo 26 http://www.dinero.com/caratula/edicion-impresa/articulo/avianca/101811 81 de Google fueron las razones que Avantel tuvo para optar por la plataforma en la nube de Google. La empresa realizó un proyecto piloto con 50 cuentas empresariales, que le permitió probar las características funcionales del producto. Posteriormente, implementó nuevas cuentas de manera gradual en todas las dependencias de las oficinas principales en Bogotá, para finalmente habilitar las cuentas en las diferentes sucursales a lo largo del país. Dada la magnitud del proyecto, Avantel se apoyó en Eforcers, firma experta y certificada en Google Apps, para que instalara la plataforma, migraran los datos de la antigua y capacitara a los empleados en el uso de las herramientas En cuanto al correo, los empleados de Avantel venían trabajando con sistemas de almacenamiento de correos con una cuota limitada, que se multiplicaron por 50 con Google Apps Premier Edition y su servicio Gmail (25 GB). Con este cambio, 497 empleados drásticamente sus comunicaciones electrónicas al no tener limitaciones en sus buzones. Además, contar con diferentes alternativas de acceso al correo –cualquier computador con acceso a Internet, así como dispositivos móviles– representó más beneficios. El gran impacto de Google Apps Premier Edition, especialmente con Gmail, no sólo ha transformado las comunicaciones de los empleados, sino también su productividad y movilidad. Además, ha generado nuevas ideas comerciales por parte de la compañía, como la de llevar los beneficios de Gmail a las unidades móviles de sus clientes, lo cual le permitiría ofrecer un valor agregado a sus clientes y una ventaja competitiva a Avantel. 82 7.6.2 Superintendencia de Servicios Públicos (SSP): reducción del 98% en requerimientos de soporte La Superintendencia de Servicios Públicos Domiciliarios es una de las entidades del Estado colombiano pioneras en adoptar Google Apps Premier. La SSP tenía varios objetivos para implementar esta solución: la flexibilidad que podría brindar a los usuarios para comunicarse –por correo, mensajería instantánea y videoconferencia– y para colaborar en documentos compartidos en línea, y los bajos costos mensuales, que permitirían drásticamente su presupuesto en TI, al reducir el número de servidores y otros equipos, así como los costos de administración y soporte técnico. Hoy, más de 850 usuarios de la SSP utilizan Google Apps Premier como su plataforma de uso permanente, y además de lograr los objetivos de flexibilidad y reducción de costos, obtuvo un importante beneficio adicional: la reducción de los requerimientos de soporte técnico de un 98%, que le ha permitido al personal de TI concentrarse en labores más importantes que la solución de problemas. 7.6. 3 Fedepalma: del correo a la colaboración Para resolver sus crecientes necesidades en comunicación y gestión de información, la Federación Nacional de Cultivadores de Palma de Aceite, decidió adoptar Google Apps Premier Edition en sus sedes de Bogotá, Villavicencio (Meta) y Cumaral (Casanare), además de las sedes del Centro de Investigación en Palma de Aceite, Cenipalma, en Bogotá, Villavicencio, Barrancabermeja (Santander) y Fundación (Magdalena). 83 Tumaco (Nariño), La implementación de Google Apps Premier Edition, realizada por la firma Eforcers, facilitó las comunicaciones en las seis sedes del gremio palmicultor en el país, que a su vez se reflejó en un incremento en su productividad. Fedepalma encontró en la plataforma de Google y en particular en Gmail la solución para sus necesidades de comunicación robusta, confiable y segura, y con una capacidad de almacenamiento que con las plataformas tradicionales sería difícil de imaginar. Pero más allá de los beneficios de Gmail para los 240 usuarios de Fedepalma y Cenipalma, éstos también se comunican por mensajería y videoconferencia a través de Google Talk, agendan tareas y reuniones con Calendar y han empezado a editar documentos compartidos con Google Docs, lo que les ha brindado nuevas opciones de colaboración. 84 8. DISEÑO METODOLÓGICO 8.1 MÉTODO DE ESTUDIO El método implicado en la investigación fue de carácter investigativo y exploratorio, puesto que se inicia con la identificación de cada una de los aspectos a tener en cuenta para el proceso de adquisición de la tecnología cloud computing en las pymes, luego se investigo. De esta manera tomamos lo anterior para mostrar las ventajas y desventajas que existen al momento de la implementación de ella, de manera que se pueda utilizar como guía al momento adquirir esta tecnología y sea más fácil su adecuación a las pymes. 8.2 TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN Para la recolección de la información se utilizaron Fuentes primarias, Fuentes secundarias y se desarrollo una encuesta.  Fuentes primarias: El presente estudio se realizó a través de una investigación exploratoria - investigativa, que se centró básicamente en adquisición de documentación por medio de monografías y investigaciones anteriormente realizadas en cuanto a la tecnología Cloud Computing. El método usado para la recolección de los datos fue estructurado directo, por medio de monografías, libros, sitios web especializados, ya que estos son de fácil acceso para el estudio requerido. 85  Fuentes secundarias: Como medio de sustentación secundario para este proyecto utilizamos sitios web especializados en tecnologías de sistemas de información, Base de datos bibliográficas, y libros digitales. 8.3 DESARROLLO DE ENCUESTA Se efectuó una encuesta de 2 preguntas a 20 empresas pequeñas y medianas en Barranquilla con el fin de obtener resultados a cerca de la adquisición e implementación de la tecnología Cloud Computing. Como resultado se obtuvo lo siguiente:  Sector de las empresas encuestadas Tecnologia de informacion 8% Telecomunicaciones 6% 5% Otros 48% 12% Bancos Sector publico 10% Industria 11% Medios de comunicación e internet Grafico 9. Sector de las empresas encuestadas 86 Pregunta 1 “¿Tiene pensado utilizar servicios de Cloud Computing próximamente?” obtuvo las siguientes respuestas: Ya lo estamos haciendo 27% 37% Si en los proximos 12 meses Si en los proximos 2 años No hay planes en estos momentos 21% 15% Grafico 10. Utilización de los servicios Cloud computing El 15% de los encuestados afirma que a finales de 2011 estarán utilizando algún servicio de cloud computing, y otro 21% indica que piensa hacerlo en los próximos dos años. Estos resultados ratifican que se tiene la necesidad de venderle más a las empresas el servicio de cloud computing ya que ni el 50% de las empresas encuestadas posee actualmente esta tecnología. Un análisis más detallado de las respuestas revela que los sectores de las Tecnologías de la Información y de las Telecomunicaciones son los pioneros en la adopción de cloud computing, mientras que la administración pública aparece como el sector en el que la adopción será más tardía. 87 Pregunta 2 “¿Cuáles considera usted que es el beneficio más importante al implantar cloud computing?” 45% 30% 20% 5% Ahorro de dinero Pagar solo por lo que se utiliza Agilidad en la obtención de recursos Otros Grafico 11. Beneficio más importante de la tecnología Cloud Computing El ahorro en dinero es el beneficio más importante que la tecnología Cloud Computing puede ofrecerle a las empresas, seguido de la agilidad que ofrece a la hora de obtener recursos 88 9. CRITERIOS DE AUDITORIA 9.1 ANÁLISIS DE RIESGOS ASOCIADOS A LA IMPLEMENTACIÓN DEL CLOUD COMPUTING EN LAS PYMES Los múltiples beneficios que nos ofrece la nube computacional, acompañado del ahorro en tecnología que nos brinda son los factores más importantes por el cual las empresas siente la necesidad de migrar sus servicios a esta tecnología. Pero la masiva concentración de recursos y datos también hacen que este modelo sea atractivo para los atacantes. Por esta razón es muy importante identificar los riesgos con el fin de minimizarlos para no tener problemas que puedan afectar el negocio. Muchos de los riesgos frecuentemente asociados a la computación en la nube no son nuevos y se pueden encontrar en las empresas de la actualidad. Una buena planificación de las actividades de gestión de riesgos será crucial para asegurar que la información esté tanto disponible como protegida. Los procesos y procedimientos de negocio deben dar cuenta de la seguridad, y es posible que los gerentes de seguridad de la información deban ajustar las políticas y los procedimientos de sus empresas para satisfacer las necesidades del negocio.27 En este ítem se pretende identificar y analizar los principales riesgos a los que se exponen los datos en ambientes de computación en la nube. 27 Documento técnico de ISACA sobre tecnología emergente 89 9.1.1 Gestión de Riesgos Con los servicios basados en el cloud computing muchos componentes de los sistemas de información quedan fuera del control directo de la organización suscriptora. Mucha gente se siente mejor con un riesgo siempre y cuando tengan mayor control sobre los procesos y los equipos involucrados. La gestión de riesgos es el proceso de identificar y valorar los riesgos realizando los pasos necesarios para reducirlos a un nivel asumible. Los sistemas de cloud computing públicos requieren, al igual que los sistemas tradicionales, que los riesgos sean gestionados a lo largo de su ciclo de vida. Valorar y gestionar riesgos en sistemas que utilizan servicios de cloud computing puede llegar a ser un desafío. Para llevarlo a la práctica, la organización debe confirmar que los controles de seguridad están implementados correctamente y cumplen con los requisitos de seguridad de la empresa. El establecimiento de un nivel de confianza depende del grado de control que una organización esté dispuesta a delegar en el proveedor para que sea éste el que implemente los controles de seguridad necesarios para la protección de los datos y las aplicaciones de la organización, así como las pruebas de la efectividad de dichos controles. Si el nivel de confianza baja por debajo de las expectativas y la organización no puede aplicar medidas correctivas, ésta debe decidirse entre la aceptación de un riesgo mayor o el rechazo del servicio.28 28 Riesgos y amenazas en Cloud computing 90 9.1.2 Riesgos y preocupaciones de seguridad relacionados con el cloud computing. Para identificar los principales riesgos que podrían afectar los diferentes servicios en la nube computacional, se ha tomado como referencia los siguientes documentos: Computación en la nube: Beneficios de negocios con perspectivas de seguridad, gobierno y aseguramiento. Un documento técnico de ISACA sobre tecnología emergente  Selección inapropiada del proveedor de la nube: Las empresas deben ser específicas al seleccionar un proveedor. La reputación, los antecedentes y la sostenibilidad son factores que se deben tomar en consideración. La sostenibilidad es particularmente importante para garantizar que los servicios estarán disponibles y que los datos se podrán rastrear.29  Perdida de gobernabilidad: Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio.30  Accesos de usuarios con privilegios: El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen los 29 Documento técnico de ISACA sobre tecnología emergente Cloud Computing, Beneficios, Riesgo y Recomendaciones para la seguridad de la información 30 91 controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer quién maneja dichos datos.31  Perdida o fuga de información de la empresa: Existen muchas formas en las que los datos se pueden ver comprometidos. Por ejemplo, el borrado o modificación de datos sin tener una copia de seguridad de los originales, supone una pérdida de datos. Con frecuencia, el proveedor de la nube asume la responsabilidad de manejar la información, lo cual constituye una parte crítica del negocio. No actuar de conformidad con los niveles de servicio acordados puede perjudicar no sólo la confidencialidad, sino también la disponibilidad, lo que afecta enormemente las operaciones del negocio.  Desconocimiento de localización de los datos: La misma naturaleza dinámica de la nube podría resultar confusa en cuanto a dónde reside la información realmente. Cuando se requiere la recuperación de la información, es posible que haya demoras.  Accesos por terceros a los datos de la empresa: El acceso por parte de terceros a información sensitiva crea el riesgo de comprometer la confidencialidad de la información. En la computación en la nube, esto pudiera representar una amenaza significativa a la hora de asegurar la protección de la propiedad intelectual (IP) y los secretos comerciales.  Violación de la privacidad: es lo que se denomina ataque a través de ingeniería social se realiza para obtener información confidencial así como contraseñas, datos personales, datos de los negocios, etc., a través de la 31 Riesgos y amenazas en Cloud Computing 92 manipulación de usuarios legítimamente autorizados. Estos ataques se basan en la interacción humana para lograr obtener información.  Infringir las directrices: En el cloud computing se debe tener en cuenta el cumplimiento de todas las exigencias y demandas legales. Además, se debe revisar el orden jurídico de cada país, ya que muchas veces existen diferencias por país.32  Modificación del tráfico de red: El tráfico que viaja a través de internet en su mayoría viaja como texto plano, es decir, sin encriptación como medida de seguridad que garantice su integridad y confiabilidad, factores importantes en el trato de la información.33 9.2 MATRIZ DOFA Con el fin de identificar las debilidades, oportunidades, fortaleza y amenazas que tienen las pymes al implementar esta tecnología se plantea la siguiente matriz DOFA OPORTUNIDADES FORTALEZAS  Posibilidad de reducir costos operativos  Mayor agilidad para responder a  Software como servicio las condiciones del mercado  La empresa solo paga lo que se consume  Los  Cloud computing permite a las empresas centrarse en su negocio principal servicios de infraestructura son extensibles  Es fácil, simple y sencilla  Incrementar la capacidad para ser flexibles 32 http://www.marketingdirecto.com/actualidad/tendencias/los-8-riesgos-mas-grandes-del-cloudcomputing/ 33 www.enisa.europa.eu/act/rm/files/deliverables/...risk.../fullReport 93 DEBILIDADES AMENAZAS  Administración de archivos de la empresa  Percepción de pérdida del control de datos por terceras personas y sistemas  Ingreso vulnerables a fallos de seguridad  Temor al mal manejo de un tercero sobre información de su compañía  Dependencia del internet  Mantenimiento del versionado de software  Actuales sistemas internos demasiados caros Tabla 6. Matriz DOFA 9.3 BENEFICIOS EN LA IMPLEMENTACIÓN DEL CLOUD COMPUTING Si bien la promesa de ahorros financieros es un incentivo bastante atractivo de la computación en la nube, quizás la mejor oportunidad que ésta ofrece a las empresas es la capacidad de modernizar los procesos y aumentar el número de innovaciones. Permite aumentar la productividad y transformar los procesos de negocio utilizando medios que, antes de la nube, habrían sido excesivamente costosos. Las organizaciones se pueden enfocar en su actividad de negocio principal, en lugar de preocuparse por la escalabilidad de la infraestructura. Atender las altas demandas de negocio relacionadas con el desempeño se puede lograr fácilmente a través de la computación en la nube—lo que se traduce en un respaldo más confiable, clientes más satisfechos, aumento de la escalabilidad y márgenes más elevados. Algunos de los beneficios clave de negocio que ofrece la nube son: • Contención de costos: La nube ofrece a las empresas la opción de escalabilidad sin los serios compromisos financieros que requieren la adquisición y el mantenimiento de una infraestructura. Con los servicios en la nube, los gastos de capital directos son mínimos e incluso inexistentes. Los servicios y el 94 almacenamiento están disponibles a solicitud y el precio depende del uso. Además, el modelo de la nube puede ayudar a ahorrar costos en términos de consumir recursos. Ahorrar espacio no utilizado en servidores permite a las empresas contener costos en términos de requerimientos tecnológicos existentes y experimentar con nuevas tecnologías y servicios sin tener que hacer una gran inversión. Las empresas tendrán que comparar los costos actuales con los gastos potenciales en la nube y considerar los modelos de TCO para entender si los servicios en la nube ofrecerán ahorros potenciales. • Inmediatez: Muchas de las primeras personas en adoptar la tecnología de computación en la nube han recalcado la capacidad de configurar y utilizar un servicio en un mismo día. Esto se compara con los proyectos de TI tradicionales que pueden requerir semanas o meses para pedir, configurar y operacionalizar los recursos necesarios. Esto tiene un impacto fundamental sobre la agilidad de un negocio y la reducción de costos asociados con demoras de tiempo. • Disponibilidad: Los proveedores de la nube tienen la infraestructura y el ancho de banda para cumplir con los requerimientos del negocio relacionados con acceso de alta velocidad, almacenamiento y aplicaciones. Debido a que estos proveedores con frecuencia tienen rutas redundantes, existe la oportunidad de balancear cargas para asegurar que no se sobrecarguen los sistemas ni se demoren los servicios. Aunque pueda haber una promesa de disponibilidad, los clientes deben asegurarse de que cuentan con las provisiones necesarias en caso de interrupciones del servicio. • Escalabilidad: La capacidad ilimitada de los servicios en la nube ofrece mayor flexibilidad y escalabilidad para las necesidades cambiantes de TI. El suministro y 95 la implementación se realizan a solicitud, lo que permite controlar el tráfico y reducir el tiempo necesario para implementar nuevos servicios. • Eficiencia: Reasignar actividades operacionales de gestión de la información a la nube ofrece a los negocios una oportunidad única de dirigir esfuerzos hacia la innovación, la investigación y el desarrollo. Esto permite un crecimiento del negocio y los productos y pudiera incluso ser más útil que las ventajas financieras que ofrece la nube. • Resiliencia: Los proveedores de la nube poseen soluciones duplicadas que se pueden utilizar en un escenario de desastre y para balancear cargas de tráfico. Si llegara a ocurrir un desastre natural que requiera un sitio en otra área geográfica o simplemente tráfico pesado, los proveedores de la nube tendrán la resiliencia y capacidad para asegurar la sostenibilidad durante un evento inesperado. El principio de la nube es que al tercerizar parte de la gestión y las operaciones de TI, los empleados de las empresas tendrán la libertad de mejorar procesos, aumentar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de forma más inteligente, rápida y económica. Asumiendo que éste sea el caso, es posible que se requiera efectuar cambios significativos a los procesos de negocio existentes a fin de aprovechar las oportunidades que ofrecen los servicios en la nube.34 34 Documento técnico de ISACA sobre tecnología emergente 96 9.4 RECOMENDACIONES METODOLOGÍAS Y Y MEJORES TECNOLOGÍAS DE PRÁCTICAS AUDITORÍA SOBRE PARA LA COMPUTACIÓN EN LA NUBE 9.4.1 Recomendaciones en la definición del marco auditor a aplicar Se recomienda que los mecanismos de supervisión sean de obligado cumplimiento para el prestador del servicio en la nube, garantizando el servicio y el acceso a sus instalaciones a petición del usuario o cliente de los aparatos de comunicaciones, equipos informáticos o armarios de discos y soportes.35 Se recomienda seguir de cerca la evolución de mecanismos, tales como CloudAudit, ya que su integración en los servicios y productos existentes será deseable para hacer más transparentes a los proveedores de servicios en la nube. También se recomienda seguir la labor de grupos como el ―Security Metrics WG‖ de la Cloud Security Alliance, cuyos resultados serán complementarios al CloudAudit. Se recomienda que el TPA sea independiente del proveedor de servicios de computación en la nube al que audita. Asimismo, es recomendable que se haga público un catálogo de TPA autorizados por cada proveedor de computación en la nube. 35 I:\USB\nube\Cloud Compliance Report Auditoría de entornos de computación en la nube (y 7) Nexica Blog Noticias sobre alojamiento de aplicacions críticas, cloud computing y servicios gestionados TIC.mht 97 9.4.2 Recomendaciones en la praxis de ejecución de la acción auditora En general, todos los servicios de auditoría y mecanismos de control para la computación en la nube deberán de respetar la confidencialidad y privacidad de los clientes y sus datos. Se deberá observar que cada prestador de servicios en la nube debe disponer de una estructura organizativa que pueda atender las necesidades y requerimientos de cumplimiento legal de sus clientes y, en su caso, facilitar los trabajos de auditoría. Se auditará que el Acuerdo de Nivel de Servicios (ANS) entre el proveedor y el cliente deba incorporar elementos adicionales y penalizaciones asociados a su incumplimiento, en los ámbitos de: cumplimientos regulatorios exigible a su cliente, verificación del cumplimiento del ANS, acceso no autorizado por empleados del proveedor o proveedores a información del cliente, errores de seguridad y/o servicio que sean responsabilidad del proveedor, accesos no autorizados por deficiencias en el servicio del proveedor. La verificación se realizará tanto sobre la existencia de estos elementos, como en su medición y seguimiento en el curso de la prestación de los servicios, como en la aplicación de penalizaciones y/u otras provisiones que, contractualmente, se hayan establecido. El auditor deberá verificar la existencia y el uso de herramientas que protejan la integridad y completitud de ficheros de registros utilizados por el proveedor de servicios en la nube, para prevenir y/o detectar cualquier intento de manipulación. Al hacer sus valoraciones, el auditor debe evaluar toda la cadena de confianza que va desde la fuente (creación) de la información de los registros, pasando por la medidas de protección utilizadas en la transmisión de dicha información 98 (HTTPS, TLS, etc.) hasta el tipo de protección de integridad (criptográfica o de otro tipo) utilizada y la cronología de dichos ficheros. En el ámbito de colaboración con el proveedor de servicios en la nube, y buscando minimizar el impacto en recursos y operaciones del proveedor que pueden suponer las distintas acciones auditoras por parte de sus distintos clientes, el equipo auditor se adaptará a los calendarios y ventanas de auditoría que establezca el proveedor de forma que sus distintos clientes puedan compartir para sus diversos fines los resultados de actividades auditoras realizadas en dicho calendario. 9.4.3 Recomendaciones en la difusión y publicación de los resultados Se deberá observar que los servicios de auditoría para la computación en la nube estén disponibles para su consulta en cualquier momento a petición del auditor autorizado por el peticionario del servicio en la nube o del cliente del servicio, sin interrumpir los niveles de servicio acordados. La forma en la que dichos servicios están disponibles serán diferentes en el caso de TPAs y PAS. Se deberá verificar que se establezcan los mecanismos de monitorización y alerta de los servicios prestados que informen al consumidor el grado de cumplimiento (o incumplimiento) de los niveles de servicio acordados. En particular, estos elementos deben ser puestos a disposición de los equipos auditores en el transcurso de su trabajo.36 36 Cloud Compliance Report Auditoría de entornos de computación en la nube (y 7) Nexica Blog Noticias sobre alojamiento de aplicacions críticas, cloud computing y servicios gestionados TIC.mht 99 10. GUIA METODOLOGICA Basados en la necesidad de proveer nuevas herramientas que impulsen y apoyen la gestión y el funcionamiento de las empresas a lo largo del tiempo, se desarrolla una guía para la implementación de la tecnología del cloud computing para negocio o empresas. 10.1 CONOCIMIENTO DE LA EMPRESA (DIAGNÓSTICO INICIAL) Como primera medida hay que conocer y entender los procesos internos, los flujos de información y los servicios, que están relacionados con los sistemas de información y que apoyan el cumplimiento de los objetivos del negocio y la situación o estado ideal de acuerdo al manejo de los sistemas de información. Para esto es necesario realizar una tarea en una fase avanzada de la formulación del proyecto pues de esto dependerá si las TICs son un apoyo o un obstáculo para desarrollar sus tareas. Además es necesario este nivel de avance, porque ya tienen claro que es lo importante del negocio, que se debe hacer para cumplir los objetivos y quienes intervienen en ellos. Con esto se pueden crear los workflows necesarios para una implementación más sencilla de las aplicaciones cloud. Como resultado se tienen criterios para la selección del tipo de aplicaciones que utilizará la empresa, quiénes son los usuarios y qué clase de usuarios tenemos. 10.2 DIMENSIONAR EL TIPO, TAMAÑO Y CANTIDAD DE LOS DOCUMENTOS En esta etapa, ya teniendo claro los flujos de información, los servicios y los procesos que se llevan a cabo en la empresa, es necesario saber entonces que clase o con qué tipo de archivos cuenta la empresa para satisfacer los 100 requerimientos de información y con cuales se trabaja a nivel interno y externo con sus clientes (integración) para determinar si se pueden compartir esos documentos de manera natural o por medio de middleware que facilite esta integración y el trabajo colaborativo en la cadena de suministro. Esta definición de los tipos de archivos que se manejan, ayuda a precisar las aplicaciones a nivel de cloud computing que utilizará la empresa. También se debe fijar la cantidad aproximada (o esperada) de archivos que se producen diariamente o en un intervalo de tiempo, tomando como supuesto un tamaño estándar dependiendo de los tipos de archivo que se trabajen, la capacidad de almacenamiento y la infraestructura necesaria para que la empresa cubra sus necesidades a nivel de hardware y software (IaaS, PaaS y SaaS). Como resultado de este paso se tiene un listado más acotado de los servicios a nivel de infraestructura, plataforma y software necesarios para el funcionamiento de la empresa. 10.3 DEFINIR PROVEEDORES DE LOS SERVICIOS Este es el paso más delicado porque se debe definir quiénes serán las empresas proveedoras con las cuales vamos a contratar los servicios que utilizará la empresa y adicionalmente se debe tener claro cada uno de los siguientes factores importantes: 10.3.1 Precios En este ítem se debe establecer el valor a pagar teniendo en cuenta el tipo de tecnología. Normalmente los proveedores de la nube cobran por: 101  Metro cúbico de espacio utilizado.  Consumo de energía.  Disipación de calor de energía necesario.  Costos fijos por reserva de espacio y derechos de uso. 10.3.2 Acuerdos de nivel de servicio (SLA) Es un contrato escrito entre el proveedor de servicio de la nube y la empresa cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio, a su vez representara uno de los mecanismos más efectivos que puede utilizar la empresa para asegurar la adecuada protección de la información que se confía a la nube. El acuerdo de nivel de servicio será la herramienta en la que la empresa puede especificar si se utilizarán marcos de control conjunto y describir la expectativa de una auditoría externa por parte de un tercero. El acuerdo de nivel de servicio debe contener:  Las expectativas relacionadas con el manejo  El uso  El almacenamiento  La disponibilidad de la información  Además, los requerimientos correspondientes a la continuidad del negocio y a la recuperación en caso de desastre se deberán expresar en el acuerdo. La protección de la información evolucionará como resultado de un acuerdo de nivel de servicio sólido e integral respaldado por un proceso de aseguramiento igualmente sólido e integral. La estructuración de un 102 acuerdo de nivel de servicio detallado y completo que incluya los derechos específicos para llevar a cabo auditorías ayudará a la empresa en la gestión de su información una vez que ya no esté en la compañía y se haya transportado, almacenado o procesado en la nube. Los departamentos de seguridad deberían implicarse durante el establecimiento de los acuerdos de Nivel de Servicios y las obligaciones contractuales, para garantizar que los requisitos de seguridad se pueden aplicar contractualmente. 10.3.3 Seguridad Esta es una de las barreras más grandes por el cual las empresas se abstiene de implementar esta tecnología porque consideran que existen riesgos y amenazas que pueden atentar contra esta. En la seguridad debemos:  Validar la necesidad que proveedores de servicios en la nube nos brinden una adecuada protección a nuestra privacidad  Verificar las medidas y controles de seguridad con los que cuentan los proveedores para asegurarse de que la información que se les pretende confiar permanecerá segura y libre de ataques de terceros. Esto cobra particular relevancia cuando se trata de información confidencial y sensible de propiedad del usuario o cuando se decide entregar a terceros el manejo o custodia de información reservada de clientes que puede estar sujeta a normas rigurosas de confidencialidad y seguridad de la información.  Establecer métricas y estándares para medir los resultados y la efectividad de la gestión de la seguridad antes de trasladarse a la nube. 103  La organización deben comprender y documentar sus métricas actuales y cómo éstas cambiarán cuando se trasladen las operaciones a la nube y también cuando un proveedor pueda utilizar unas métricas distintas y potencialmente incompatibles.  Analizar el impacto de las normativas en la seguridad de los datos.  Asegurarse de que los Objetivos de Tiempo de Recuperación (RTOs, en sus siglas inglesas) del cliente se comprenden plenamente y se definen en las relaciones contractuales y se tienen en cuenta en los procesos de planificación tecnológica. Asegurarse de que la hoja de ruta tecnológica, las políticas y las capacidades operativas pueden satisfacer estos requisitos.  La empresa deberá confirmar que el proveedor cuenta con una Política de Plan de Continuidad del Negocio aprobada por el Consejo de Administración del proveedor. 10.3.4 Equipos disponibles: Se debe verificar que cantidad de equipos y que material tecnológico tiene el proveedor de la nube para ofrecerle a la empresa. 10.3.5. Velocidad de respuesta Tiene que ver con el rendimiento del sistema, se debe estimar el tiempo y someter a pruebas con que velocidad abre una aplicación o un archivo teniendo en cuenta los servicios que tiene contratado la empresa con el proveedor de la nube 10.3.6 Integración – interoperabilidad En un ambiente de pruebas el proveedor de la nube debe certificar la habilidad de integrar e interoperar los sistemas con que cuenta la empresa y a la vez analizar la información y utilizar la información intercambiada. 104 10.3.7 Innovación y desarrollo Es aconsejable realizar un estudio con el fin de determinar si el proveedor de la nube realiza investigaciones con el fin de presentarle cada dia mejores herramientas a la empresa que contribuyan al desarrollo de esta. 10.3.8 Interfaces Se debe tener claridad sobre las interfaces que tiene implementadas la empresa en la nube y a que tipo pertenecen. 10.3.9 Complejidad de uso El proveedor de la nube debe entregar a la empresa los manuales de uso de sus aplicaciones. 10.3.10 Normatividad Bajo el modelo de Cloud Computing, los datos de los usuarios pueden estar en cualquier parte del mundo. Esto compromete al usuario a conocer y cumplir con las normas y leyes existentes sobre temas como el almacenamiento y la difusión de los datos, impuestos en transacciones comerciales, entre otros; reguladas en cada nación. Del mismo modo, compromete al proveedor de Cloud Computing a responsabilizarse por el cumplimiento con la normatividad lo cual conlleva a procesos de auditoría y seguimientos periódicos. 10.3.11 Buen nombre La empresa debe evaluar a través de estudios quien es el proveedor de la nube y cuál es la imagen que tiene esta en el mercado. 10.3.12 Aplicaciones disponibles en la plataforma La empresa debe visualizar cuales son las aplicaciones que ofrece el proveedor de la nube y cuales se ajustan más a sus necesidades. 105 10.3.13 Soporte (helpdesk) El proveedor de la nube entre sus productos debe tener la posibilidad de ofrecerle opciones de auto ayuda que incluyan la orientación y la búsqueda de documentación técnica en la empresa, así como contacto con otras empresas en línea si es necesario y si está pactado. Como se puede ver hay varios criterios importantes y son muchos más los que se deben tener en cuenta como si el proveedor es local o es internacional, pero en la medida en que se tiene claro que se quiere como producto de los dos pasos anteriores, la empresa puede hacer una mejor selección entre la cantidad de proveedores que ofrecen aplicaciones cloud. Adicionalmente dentro hay que tener en cuenta la negociación con el proveedor de internet que es algo fundamental para que el modelo cloud funcione, pues dependiendo de la calidad y velocidad de internet será mejor o peor la experiencia con cloud computing. Como resultado de este paso la empresa tendrá definida quiénes son sus proveedores. 10.4 MIGRAR DATOS DE LA EMPRESA A LA NUBE A continuación se enumeran los pasos a seguir para poder migrar con garantía datos de la empresa a la nube:  La empresa debe valorar si es necesario tener sus antiguos datos en la nueva aplicación o no.  Si es necesario subir datos antiguos, el proveedor de la nube debe disponer de una herramienta de migración.  Después la empresa debe seleccionar las saas 106  La empresa debe saber la cantidad de datos que tiene en la nube y la velocidad de línea.  En relación con lo anterior la empresa debe tener en cuenta las limitaciones de la API o del mecanismo para subir la información.  Adaptación de los datos de la empresa a la API.  Por último, la empresa deberá contar con la forma en que descarga la información para el caso de que cambies de proveedor de saas Las empresas deben analizar cuidadosamente qué tipo de información procesarán o almacenarán con este tipo de tecnologías. Desde usuarios con documentos en procesador de texto, archivos y fotos, hasta programas y datos contables, los límites están en la complejidad de la información que maneje cada organización y en el grado de seguridad del servicio de cloud computing. 10.5 DESARROLLAR LA IMPLEMENTACIÓN Y UTILIZAR LAS APLICACIONES Con este paso culmina el proceso de implementación del modelo de cloud computing a las empresas, en donde una vez se terminan las negociaciones, se pasa la ejecución del contrato y la parametrización de las soluciones. Cuando se termina este proceso se hacen las pruebas necesarias para comprobar que la solución si funciona como se esperaba o como se pactó y una vez queda implantada se hace la salida en vivo del sistema para el uso diario. 107 11. CONCLUSION Hoy las Pyme obtienen servicios que antes solo podían tener si invertían fuertemente en la adquisición de equipos. Así como se refleja la cantidad de volumen de información en la empresa es necesario utilizar los servicios del cloud computing. El cloud computing abre oportunidades extraordinarias para incrementar la productividad de empresas de todos los tamaños. No solo reduce costos y tiempos de aplicación, sino que, al soportar el trabajo colaborativo, estimula la creatividad y la innovación y permite acelerar el desarrollo de conexiones entre empresas. La nube, que se está convirtiendo rápidamente en el estándar para el desarrollo de las tecnologías de información, es una gran oleada de cambio todavía en su fase inicial de desarrollo. Las empresas que se suban pronto en esta ola verán en corto tiempo cómo aumenta su competitividad y su velocidad de desarrollo. El cloud computing es la tendencia que se va a imponer en un futuro para los sistemas de información empresariales, lo cual se puede verificar a través de la variedad de aplicaciones existentes en el mercado que tienen diferentes rangos de precios incluyendo aplicaciones gratuitas como google docs que pueden satisfacer las necesidades de información de los proyectos emprendedores. Así mismo se puede verificar por las empresas que están dedicando recursos a desarrollos 108 cloud en donde se pueden encontrar empresas como Google, Microsoft, IBM, entre otros. Sus características de bajo costo y facilidad de implementación y uso, convierten al cloud computing como una alternativa que apoya las iniciativas de emprendimiento al permitirle a los integrantes concentrarse en el core del negocio sin que los sistemas de información se conviertan en un problema de tiempo, conocimiento o dinero. Para implementar cloud computing en la empresa es necesario el conocimiento del negocio, en términos de procesos, servicios requeridos y ofrecidos, flujos de información y quienes intervienen en ellos, para determinar de manera correcta la gestión de la información que nos dirá que se necesita en términos de infraestructura, plataforma y software, y teniendo esto claro se facilita la selección de proveedores de acuerdo a los criterios que se consideren críticos para la empresa. 109 12. BIBLIOGRAFIA  http://www.gbmcloud.com/blog/la-adopcion-del-cloud-computing/  http://www-05.ibm.com/es/cloudcomputing/  http://www.nubeblog.com/2010/12/15/es-la-agilidad-estupido/  Cloud Compliance Report Auditoría de entornos de computación en la nube (y 7) Nexica Blog Noticias sobre alojamiento de aplicaciones críticas, cloud computing y servicios gestionados TIC  http://www.verizonbusiness.com/resources/whitepapers/itsolutions/wp_clou d-computing_es_xg.pdf  Cloud Computing Security Risk Assessment  Cloud computing una alternativa para Colombia  Assessing-the-security-risks  cert_inf_riesgos_y_amenazas_en_cloud_computing  NITS COMPLETADraft-SP-800-144_cloud-computing  COMPUTACIONENLANUBE_WALTER. Reglamentación  ISACA WITCOC_Cloud_E-book_20July2011_Research  Cloud-Mgmt-Audit-Prgm-20Aug2010-Research  cloud_cube_model_v1.0  computación en la nube beneficios de negocio. ISACA  ITCO_Cloud_SAMPLE_E-book_20July2011  guía para la seguridad en áreas críticas de atención en CC V2  Seguridad_enla_nubeaspectos_practicos-JordiGascon-CA_Technologies  http://maspublicidadymarketing.com/cloud-computing-ya-tiene-casos-deexito-en-colombia/  Cloud computing como herramienta facilitadora para el emprendimiento en Colombia. Carlos Andrés Osorio Toro 110 ANEXOS 111 ANEXO A EL FUTURO DEL CLOUD COMPUTING En el caso de los avances tecnológicos predomina la movilidad. Casi todos los dispositivos en la actualidad son móviles, e incluso se proyecta que para la década siguiente se va a contar con dos mil millones de dispositivos móviles, y que los usuarios de Internet crecerán en número hasta llegar a los cinco mil millones. Otra característica de los avances, además de la movilidad, es la ubicuidad de las TI, sostuvo Venturelli. Pero por sobre todo -resaltó el ejecutivo- es la presencia de la cloud computing; es decir, poder acceder a servicios desde cualquier lugar, a través de cualquier dispositivo. Estos avances tecnológicos tienen un impacto directo en los modelos de negocios. Por ejemplo, las familias que antes nunca tuvo un teléfono fijo tienen ahora cinco teléfonos celulares. Y en tercer lugar, los cambios en la fuerza de trabajo se reflejan en la presencia de la llamada generación X y del net generation. Personas jóvenes que tienen una visión totalmente diferente de lo que son las tecnologías de la información. Para ellos las TI son una plataforma de servicios a la que ellos acceden, y que tiene que estar disponible en cualquiera de sus dispositivos. 37 http://itnews.ec/news/001827.aspx 112 37 ANEXO B RECOMENDACIONES A TENER EN CUENTA POR LAS PYMES EN EL USO DE LA TECNOLOGIA CLOUD COMPUTING Según el informe del NIST, estás son las buenas prácticas generales por área. Gobernanza  Implantar políticas y estándares en la provisión de servicios cloud.  Establecer mecanismos de auditoría y herramientas para que se sigan las políticas de la organización durante el ciclo de vida. Cumplimiento  Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos cloud.  Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización. Confianza  Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad empleados por el proveedor. Arquitectura  Comprender las tecnologías que sustentan la infraestructura del proveedor para comprender las implicaciones de privacidad y seguridad de los controles técnicos. Identidad y control de acceso  Asegurar las salvaguardas necesarias para hacer seguras la autenticación, la autorización y las funciones de control de acceso. 113 Aislamiento de software  Entender la virtualización y otras técnicas de aislamiento que el proveedor emplee y valorar los riesgos implicados Disponibilidad  Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas se pueden reanudar inmediatamente y todo el resto de operaciones, en un tiempo prudente. Respuesta a incidentes  Entender y negociar los contratos de los proveedores así como los procedimientos para la respuesta a incidentes requeridos por la organización. 114 ANEXO C CRITERIOS PARA EVALUACIÓN DE LOS PROVEEDORES DE CLOUD COMPUTING Una Pyme debe asegurarse de que la solución que implementará satisface realmente sus necesidades. Por lo tanto deberá evaluar cuidadosamente la solución. Los siguientes criterios permiten evaluar los proveedores de servicios con el fin de ayudar a elegir la mejor opción:  Funcionalidad: La ventaja de tener una solución de negocios accesible en la nube al usar un navegador web, no elimina o sustituye la necesidad de tener requerimientos funcionales específicos para cada uno de los departamentos de la empresa, que son definidos dependiendo de las labores que estos desempeñen. La solución del proveedor debe integrar una suite de negocios que sirva a todas o la mayor parte de la empresa, ofreciendo una alta disponibilidad y respecto a las funciones críticas, personalizable, etc.  Precios y condiciones: Un factor importante dentro de la evaluación de un proveedor es el precio que se cobrará por los servicios, además de indicar las formas de cobrar, es decir, si es por usuario, por mes, etc. Se deben considerar los costos adicionales de las soluciones, respecto a nuevas funcionalidades, actualizaciones, etc.  Disponibilidad: Se debe evaluar cuidadosamente las capacidades de los data center de los proveedores de soluciones, incluyendo servicios y plataforma. Algunos proveedores ofrecen un 99.5% de disponibilidad, pero otros no ofrecen ningún tipo de garantía de servicio. La solución debe ser 115 constante respecto a los tiempos de actividad, es decir, no exista interrupciones.  Tiempos de respuestas: Las pymes deben evaluar las soluciones SaaS considerando los tiempos de respuesta del sistema, asegurándose de que los niveles de los servicios coincidan con sus expectativas. Las PYMES deben exigir al proveedor de servicios una demostración de histórica de los tiempos de respuesta, si es que su negocio depende de eso.  Calidad de Servicio: La Asociación de Industrias de Información y Software (SIIA), ha indicado algunas recomendaciones para deben cumplir las SLA para calidad de servicio. Las SLA deberán establecer un control de los rendimientos y definir cómo y en cuánto tiempo se resolverá los problemas más críticos Las SLA deberán además indicar lo que miden y como lo hacen, así como el número de veces que un incidente puede ocurrir antes de ser considerada como crónica. Las mejores prácticas de calidad de servicio de los proveedores de incluyen publicaciones de datos en tiempo real del rendimiento del sistema, información sobre los mantenimientos planificado, datos históricos de volúmenes de transacciones y tiempo de respuesta, etc.  Seguridad y privacidad: Los términos de seguridad y privacidad tienen gran importancia a la hora de evaluar un proveedor. La mayoría de los proveedores hoy en día tiene la certificación SAS 70 II, asegurando que el proveedor ha demostrado que se han hecho controles y se ha aceptado lo 116 logrado por dichos controles. Cualquier Pyme debe deberá observar de cerca la seguridad que ofrecen los proveedores y preguntar por el tipo de certificación que posea le proveedor de servicios.  Capacidad de respaldo y recuperación: Es fundamental que el proveedor ofrezca respaldo de los datos ante posibles pérdidas. Lo ideal es que los respaldos se realicen en distintas ubicaciones objeto de proveer redundancia y disponibilidad.  Capacidad de personalización: Las soluciones deben permitir la personalización de la interfaz de usuario, con el fin de ofrecer una solución más fácil de manejar, representativa para la empresa, amigable, etc.  Capacidad de Integración: Para la integración de la solución SaaS con las aplicaciones de software propietarias es necesario la utilización de una API de servicios Web. Es ideal que un proveedor incluya dentro de la solución de SaaS una API de servicios que permita la integración con software propietario. Una pregunta que la mayoría de las empresas debería hacerse ¿Es necesario conectar las aplicaciones que están utilizando en la empresa con la aplicación SaaS? Si la respuesta a esta pregunta es sí, entonces ¿Son las compatibles esas aplicaciones?  Respuesta a las recomendaciones de los clientes: Con respecto a esta característica los proveedores de SaaS solicitan abiertamente mejoras de parte de sus clientes a través de un buzón de sugerencias. Las Pymes deben consultar al proveedor de SaaS hasta que punto influyen los procesos de mejoras aportados por ellos. 117  Capacidad para participar en una comunidad de usuarios de un Proveedor: La comunidad de usuarios de una solución SaaS se reúnen e intercambian puntos de vista y experiencias, mejores prácticas, para recibir ideas, para entregar ideas, etc.  Disponibilidad: Es capaz de ofrecer la aplicación SaaS ¿Un rendimiento óptimo, disponibilidad 24x7, seguridad y confidencialidad de los datos, facilidades de escalar y de añadir nuevos usuarios? ¿Maneja técnicas de auditorías externas para garantizar que lo anterior es verdadero y puede ser entregado a través de su infraestructura y procedimientos?  Quiebra del ISV: En caso de que el proveedor de servicios quiebre, ¿existirá la posibilidad de instalar el software en mis instalaciones? ¿Se podrá utilizar la misma aplicación en otro proveedor de SaaS?  Mantenimiento de los sistemas por parte del proveedor: Algunos proveedores programan mantenciones periódicas. Debido a que muchos proveedores son extranjeros, es necesario que el cliente se informe bien respecto si estas se realizarán en el horario de funcionamiento de la empresa, con el fin de evitar inconvenientes o que estas alteren el funcionamiento normal de la empresas. Alojamiento Saber realmente donde están almacenados los datos es complicado. Se puede saber si a través de contrato del servicio se ha dejado estipulado. De no ser así. ¿Estarán los datos en la infraestructura del proveedor o en la de uno externo? Monitorización ¿Dispone el proveedor de servicios de herramientas de monitorear el funcionamiento y rendimiento de la aplicación? para evitar caídas de servicios, mitigación de riesgos, etc. 118  Conexión SSL: A través del protocolo SSL se establece una conexión Web segura entre el cliente y el proveedor de servicios pudiendo enviar datos a través de un canal seguro y confiable.  Periodo de Prueba: Este periodo resulta de mucha utilidad para obtener práctica y conocimiento en la utilización de los servicios, objeto una vez que se empiecen a utilizar sean aprovechados de buena forma y al máximo.  Soporte: Esta característica es fundamental para todo tipo de servicios que se utilicen, ya que puede ayudar a corregir problemas y aclarar dudas que se presenten mediante la utilización de servicios.  Respaldo de Datos: Es fundamental tener un respaldo de los datos ante posibles pérdidas que se puedan presentar, el respaldo tiene que hacerse en diferentes medios ojala mínimo en dos, objeto proveer redundancia y disponibilidad.  Idioma: Lo ideal es que los servicios pueden ser utilizados en idioma español, para facilitar su uso a personas que no dominan otros idiomas  Capacidad de acceso y análisis de datos: El proveedor de servicios tiene la obligación de garantizar al propietario de los datos que proporciona toda la transparencia, en relación con las prácticas y procedimientos de seguridad. Los clientes deberán inspeccionar los planes de recuperación de catástrofes y de continuidad de negocio del proveedor en la nube. 119 Es necesario que los clientes posean documentación de los controles de seguridad internos y externos del proveedor. El cliente deberá confirmar que el proveedor cuenta con una política de plan de continuidad de negocios. El cliente debe poder realizar análisis de datos a través de auditorías de seguridad. 120 ANEXO D CARTA DE ENTREGA Y AUTORIZACIÓN DE LOS AUTORES PARA LA CONSULTA, LA REPRODUCCIÓN PARCIAL O TOTAL, Y PUBLICACIÓN ELECTRÓNICA DEL TEXTO COMPLETO DE TESIS Y TRABAJOS DE GRADO Barranquilla, 15 Octubre de 2011 Marque con una X Tesis Trabajo de Grado Yo Jorge Luis Díaz Martínez, identificado con C.C. No. 72.298.719, actuando en nombre propio y como autor de la tesis y/o trabajo de grado titulado GUIA METODOLOGICA PARA LA ADQUISICION DE LA TECNOLOGIA CLOUD COMPUTING EN LAS PYMES presentado y aprobado en el año 2011 como requisito para optar al título de Especialista en Auditoria de Sistemas de Información ; hago entrega del ejemplar respectivo y de sus anexos de ser el caso, en formato digital o electrónico (DVD) y autorizo a la CORPORACIÓN UNIVERSITARIA DE LA COSTA, para que en los términos establecidos en la Ley 23 de 1982, Ley 44 de 1993, Decisión Andina 351 de 1993, Decreto 460 de 1995 y demás normas generales sobre la materia, utilice y use en todas sus formas, los derechos patrimoniales de reproducción, comunicación pública, transformación y distribución (alquiler, préstamo público e importación) que me corresponden como creador de la obra objeto del presente documento. Y autorizo a la Unidad de información, para que con fines académicos, muestre al mundo la producción intelectual de la Corporación Universitaria de la Costa, a través de la visibilidad de su contenido de la siguiente manera: Los usuarios puedan consultar el contenido de este trabajo de grado en la página Web de la Facultad, de la Unidad de información, en el repositorio institucional y en las redes de información del país y del exterior, con las cuales tenga convenio la institución y Permita la consulta, la reproducción, a los usuarios interesados en el contenido de este trabajo, para todos los usos que tengan finalidad académica, ya sea en formato DVD o digital desde Internet, Intranet, etc., y en general para cualquier formato conocido o por conocer. El AUTOR - ESTUDIANTES, manifiesta que la obra objeto de la presente autorización es original y la realizó sin violar o usurpar derechos de autor de terceros, por lo tanto la obra es de su exclusiva autoría y detenta la titularidad ante la misma. PARÁGRAFO: En caso de presentarse cualquier reclamación o acción por parte de un tercero en cuanto a los derechos de autor sobre la obra en cuestión, EL ESTUDIANTE - AUTOR, asumirá toda la 121 responsabilidad, y saldrá en defensa de los derechos aquí autorizados; para todos los efectos, la Universidad actúa como un tercero de buena fe. Para constancia se firma el presente documento en dos (02) ejemplares del mismo valor y tenor, en Barranquilla D.E.I.P., a los 15 días del mes de Octubre de Dos Mil _once_2011_ EL AUTOR - ESTUDIANTE.__________________________________ FIRMA 122 CARTA DE ENTREGA Y AUTORIZACIÓN DE LOS AUTORES PARA LA CONSULTA, LA REPRODUCCIÓN PARCIAL O TOTAL, Y PUBLICACIÓN ELECTRÓNICA DEL TEXTO COMPLETO DE TESIS Y TRABAJOS DE GRADO Barranquilla, 15 Octubre de 2011 Marque con una X Tesis Trabajo de Grado Yo Belkis Milena Güell Muñoz, identificado con C.C. No. 22.591.655, actuando en nombre propio y como autor de la tesis y/o trabajo de grado titulado GUIA METODOLOGICA PARA LA ADQUISICION DE LA TECNOLOGIA CLOUD COMPUTING EN LAS PYMES presentado y aprobado en el año 2011 como requisito para optar al título de Especialista en Auditoria de Sistemas de Información ; hago entrega del ejemplar respectivo y de sus anexos de ser el caso, en formato digital o electrónico (DVD) y autorizo a la CORPORACIÓN UNIVERSITARIA DE LA COSTA, para que en los términos establecidos en la Ley 23 de 1982, Ley 44 de 1993, Decisión Andina 351 de 1993, Decreto 460 de 1995 y demás normas generales sobre la materia, utilice y use en todas sus formas, los derechos patrimoniales de reproducción, comunicación pública, transformación y distribución (alquiler, préstamo público e importación) que me corresponden como creador de la obra objeto del presente documento. Y autorizo a la Unidad de información, para que con fines académicos, muestre al mundo la producción intelectual de la Corporación Universitaria de la Costa, a través de la visibilidad de su contenido de la siguiente manera: Los usuarios puedan consultar el contenido de este trabajo de grado en la página Web de la Facultad, de la Unidad de información, en el repositorio institucional y en las redes de información del país y del exterior, con las cuales tenga convenio la institución y Permita la consulta, la reproducción, a los usuarios interesados en el contenido de este trabajo, para todos los usos que tengan finalidad académica, ya sea en formato DVD o digital desde Internet, Intranet, etc., y en general para cualquier formato conocido o por conocer. El AUTOR - ESTUDIANTES, manifiesta que la obra objeto de la presente autorización es original y la realizó sin violar o usurpar derechos de autor de terceros, por lo tanto la obra es de su exclusiva autoría y detenta la titularidad ante la misma. PARÁGRAFO: En caso de presentarse cualquier reclamación o acción por parte de un tercero en cuanto a los derechos de autor sobre la obra en cuestión, EL ESTUDIANTE - AUTOR, asumirá toda la responsabilidad, y saldrá en defensa de los derechos aquí autorizados; para todos los efectos, la Universidad actúa como un tercero de buena fe. 123 Para constancia se firma el presente documento en dos (02) ejemplares del mismo valor y tenor, en Barranquilla D.E.I.P., a los 15 días del mes de Octubre de Dos Mil _once_2011_ EL AUTOR - ESTUDIANTE.__________________________________ FIRMA 124 CARTA DE ENTREGA Y AUTORIZACIÓN DE LOS AUTORES PARA LA CONSULTA, LA REPRODUCCIÓN PARCIAL O TOTAL, Y PUBLICACIÓN ELECTRÓNICA DEL TEXTO COMPLETO DE TESIS Y TRABAJOS DE GRADO Barranquilla, 15 Octubre de 2011 Marque con una X Tesis Trabajo de Grado Yo Kevin Ibáñez Pinzón, identificado con C.C. No. 72.290.579, actuando en nombre propio y como autor de la tesis y/o trabajo de grado titulado GUIA METODOLOGICA PARA LA ADQUISICION DE LA TECNOLOGIA CLOUD COMPUTING EN LAS PYMES presentado y aprobado en el año 2011 como requisito para optar al título de Especialista en Auditoria de Sistemas de Información; hago entrega del ejemplar respectivo y de sus anexos de ser el caso, en formato digital o electrónico (DVD) y autorizo a la CORPORACIÓN UNIVERSITARIA DE LA COSTA, para que en los términos establecidos en la Ley 23 de 1982, Ley 44 de 1993, Decisión Andina 351 de 1993, Decreto 460 de 1995 y demás normas generales sobre la materia, utilice y use en todas sus formas, los derechos patrimoniales de reproducción, comunicación pública, transformación y distribución (alquiler, préstamo público e importación) que me corresponden como creador de la obra objeto del presente documento. Y autorizo a la Unidad de información, para que con fines académicos, muestre al mundo la producción intelectual de la Corporación Universitaria de la Costa, a través de la visibilidad de su contenido de la siguiente manera: Los usuarios puedan consultar el contenido de este trabajo de grado en la página Web de la Facultad, de la Unidad de información, en el repositorio institucional y en las redes de información del país y del exterior, con las cuales tenga convenio la institución y Permita la consulta, la reproducción, a los usuarios interesados en el contenido de este trabajo, para todos los usos que tengan finalidad académica, ya sea en formato DVD o digital desde Internet, Intranet, etc., y en general para cualquier formato conocido o por conocer. El AUTOR - ESTUDIANTES, manifiesta que la obra objeto de la presente autorización es original y la realizó sin violar o usurpar derechos de autor de terceros, por lo tanto la obra es de su exclusiva autoría y detenta la titularidad ante la misma. PARÁGRAFO: En caso de presentarse cualquier reclamación o acción por parte de un tercero en cuanto a los derechos de autor sobre la obra en cuestión, EL ESTUDIANTE - AUTOR, asumirá toda la responsabilidad, y saldrá en defensa de los derechos aquí autorizados; para todos los efectos, la Universidad actúa como un tercero de buena fe. 125 Para constancia se firma el presente documento en dos (02) ejemplares del mismo valor y tenor, en Barranquilla D.E.I.P., a los 15 días del mes de Octubre de Dos Mil _once_2011_ EL AUTOR - ESTUDIANTE.__________________________________ FIRMA 126 ANEXO E F ORMULARIO DE LA DESCRIPCIÓN DE LA TESIS O DEL TRABAJO DE GRADO TÍTULO COMPLETO DE LA TESIS O TRABAJO DE GRADO: GUIA METODOLOGICA PARA LA ADQUISICION DE LA TECNOLOGIA CLOUD COMPUTING EN LAS PYMES SUBTÍTULO, SI LO TIENE: ________________________________________________________________________ ___________________________________________________ AUTOR AUTORES Apellidos Completos Nombres Completos Díaz Martínez Güell Muñoz Ibáñez Pinzón Jorge Luis Belkis Milena Kevin DIRECTOR (ES) Apellidos Completos Nombres Completos Montaño Ardila Víctor Manuel JURADO (S) Apellidos Completos Nombres Completos Ramos Torres Fabián José ASESOR (ES) O CODIRECTOR Apellidos Completos Nombres Completos Orozco Bohórquez Mario TRABAJO PARA OPTAR AL TÍTULO DE: Especialista en Auditoria de sistemas de información___________ FACULTAD Ciencias Económicas_ PROGRAMA: Pregrado ____ Especialización _X_ NOMBRE DEL PROGRAMA_ Auditoria de sistemas de información 127 CIUDAD: Barranquilla AÑO DE PRESENTACIÓN DEL TRABAJO DE GRADO:_2011__ NÚMERO DE PÁGINAS _129___ TIPO DE ILUSTRACIONES: Ilustraciones Planos Láminas Mapas Retratos Fotografías Tablas, gráficos y diagramas MATERIAL ANEXO (Vídeo, audio, multimedia o producción electrónica): Duración del audiovisual: ___________ minutos. Número de casetes de vídeo: ______ Formato: VHS ___ Beta Max ___ ¾ ___ Beta Cam ____ Mini DV ____ DV Cam ____ DVC Pro ____ Vídeo 8 ____ Hi 8 ____ Otro. Cuál? _____ Sistema: Americano NTSC ______ Europeo PAL _____ SECAM ______ Número de casetes de audio: ________________ Número de archivos dentro del DVD (En caso de incluirse un DVD diferente al trabajo de grado): _____________________________________________________________________ PREMIO O DISTINCIÓN (En caso de ser LAUREADAS o tener una mención especial): ________________________________________________________________________ ____ DESCRIPTORES O PALABRAS CLAVES EN ESPAÑOL E INGLÉS: Son los términos que definen los temas que identifican el contenido. (En caso de duda para designar estos descriptores, se recomienda consultar con la Unidad de Procesos Técnicos de la Unidad de información en el correo [email protected], donde se les orientará). ESPAÑOL INGLÉS Guía metodológica_____________ Methodological Guide ___ Computación en la nube Cloud computing______ Tecnología______________________ Tecnology_________ 128 RESUMEN DEL CONTENIDO EN ESPAÑOL E INGLÉS:(Máximo 250 palabras-1530 caracteres): _En la actualidad los recursos tecnológicos hacen parte de las empresas y de los hogares, ya que se ha convertido en la mejor clave para llevar a cabo muchas tareas. Las pequeñas y medianas empresas también llamadas PYMES para realizar una gran parte de sus actividades diarias como producción y comercialización, hasta comunicaciones internas y externas y cualquier otra faceta; necesitan de la tecnología. A partir de lo anterior, una de las tecnologías más llamativas por las PYMES es la utilización de Cloud Computing el cual consiste en un modelo inspirado en la idea de disponer de infraestructuras tecnológicas de modo que los recursos informáticos sean compartidos dinámicamente, se encuentren virtualizados y resulten accesibles como un servicio. Teniendo en cuenta todos esos beneficios, el propósito de la presente investigación consiste en realizar una guía metodológica que sirva como base al momento en que las PYMES deseen adquirir esta tecnología. Para el logro de lo anterior, primeramente se realizo un marco teórico sobre el cloud computing, seguidamente se plantea paso a paso los ítems a tener en cuenta en la implementación de esta y en base a esto se construye la metodología_ 129 Today the technological resources are part of businesses and households, as has become the best key to perform many tasks. Small and medium enterprises SMEs also called for a major part of their daily activities such as production and marketing, to internal and external communications and any other aspect, they need technology. From this, one of the most striking technologies by SMEs is the use of Cloud Computing which is a model inspired by the idea of having technological infrastructure so that resources are dynamically shared computing, virtualized and are are accessible as a service. Given all these benefits, the purpose of this research is to conduct a methodological guide that serves as a base at the time that SMEs wishing to acquire this technology. To achieve this, first a theoretical framework was conducted on cloud computing, then step arises items to consider in implementing this and based on this methodology is built. 130