propuesta para trabajo de gradopegasus.javeriana.edu.co/.../memoriaguiametodologica.docx · web...
TRANSCRIPT
CIS1130SD03Guía Metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de de-
cisión para la migración hacia la nube pública
Johana Carolina Sosa Preciado
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación
CIS1130SD03Guía Metodológica para apoyar a las empresas MiPYMEs Colombianas
en la toma de decisión para la migración hacia la nube pública
Autor(es):
Johana Carolina Sosa Preciado
MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO
DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE
SISTEMAS
Director
Samuel Gutiérrez Tibaquirá, PMP, CISSP
Jurados del Trabajo de Grado
<Nombres y Apellidos Completos del Jurado >
Página iPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
<Nombres y Apellidos Completos del Jurado >
Página web del Trabajo de Grado
http://pegasus.javeriana.edu.co/~ CIS1130SD03
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
BOGOTÁ, D.C.
Enero, 2012
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
Rector Magnífico
Página ii
Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación
Joaquín Emilio Sánchez García S.J.
Decano Académico Facultad de Ingeniería
Ingeniero Luis David Prieto Martínez
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Director (E) de la Carrera de Ingeniería de Sistemas
Ingeniero César Julio Bustacara Medina
Director Departamento de Ingeniería de Sistemas
Ingeniero César Julio Bustacara Medina
Página iiiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
En esta hoja solía venir la nota de aceptación del director y la firma de los jurados. Ahora, el
director puede aprobar a través de correo electrónico. Esta hoja puede ser obviada.
Página iv
Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación
Artículo 23 de la Resolución No. 1 de Junio de 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus
proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral
católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que
se vean en ellos el anhelo de buscar la verdad y la Justicia”
Página vPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
AGRADECIMIENTOS
Quiero agradecer primeramente a Dios por su respaldo en todo este proceso y por rodearme de perso-
nas que han sido de apoyo en este tiempo. A mis padres que siempre han sido un ejemplo y un apoyo
incondicional en todo lo que emprendo, gracias por motivarme cada día y a enseñarme a dar siempre lo
mejor de mí. A mis hermanos por siempre estar ahí cuando los necesito, son un apoyo y una motiva-
ción para mí.
También quiero agradecer a mi director de trabajo de grado, Samuel Gutiérrez, por su tiempo, dedica-
ción, dirección y aportes a nivel académico que compartió conmigo durante todo este proceso. A los
expertos, quiero agradecerles por su tiempo y aportes para ayudarme con la revisión y mejoramiento
del trabajo de grado.
Por último, agradecer a mis amigos, familiares y profesores que fueron de apoyo en este tiempo y que
ayudaron a que pudiera terminar exitosamente este trabajo de grado.
Página vi
Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación
Contenido
INTRODUCCIÓN.....................................................................................................12
I – DESCRIPC,ION GENERAL DEL TRABAJO DE GRADO..........................14
1. OPORTUNIDAD, PROBLEMÁTICA, ANTECEDENTES..................................................141.1 Descripción del contexto.........................................................................................141.2 Formulación del problema que se resolvió.................................................................141.3 Justificación.................................................................................................................151.4 Impacto Esperado........................................................................................................15
2. DESCRIPCIÓN DEL PROYECTO..................................................................................152.1 Visión global................................................................................................................162.2 Objetivo general...........................................................................................................162.3 Fases Metodológicas o conjunto de objetivos específicos...........................................162.4 Método que se propuso para satisfacer cada fase metodológica................................16
II - MARCO TEÓRICO............................................................................................18
1. MARCO CONTEXTUAL..............................................................................................18
2. MARCO CONCEPTUAL..............................................................................................20
III – DESARROLLO DEL TRABAJO....................................................................24
FASE TIPO DE INFORMACIÓN.......................................................................................24
FASE VALIDACIÓN Y MEJORA.....................................................................................26
IV - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS.............................30
V – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS....32
1. CONCLUSIONES.................................................................................................32
2. RECOMENDACIONES.........................................................................................33
3. TRABAJOS FUTUROS.........................................................................................33
VI - REFERENCIAS Y BIBLIOGRAFÍA..............................................................34
1. REFERENCIAS...........................................................................................................34
2. BIBLIOGRAFÍA..........................................................................................................34
Página viiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
VII - ANEXOS............................................................................................................38
ANEXO 1. GLOSARIO....................................................................................................38
ANEXO 2. POST-MORTEM............................................................................................39
1. METODOLOGÍA PROPUESTA VS. METODOLOGÍA REALMENTE UTILIZADA........39
2. ACTIVIDADES PROPUESTAS VS. ACTIVIDADES REALIZADAS............................39
3. EFECTIVIDAD EN LA ESTIMACIÓN DE TIEMPOS DEL PROYECTO........................39
4. COSTO ESTIMADO VS. COSTO REAL DEL PROYECTO........................................39
Página viii
Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación
ABSTRACT
One of the main problems faced by MiPyMEs organizations when deciding to continue with
the management that they have with their information or migrate that information into the
cloud, is not to know how exposed or secure their information could be. For this reason this
methodological guide was developed to provide assistance to these organizations, through
steps such as: the classification of information, risk analysis of information in its current
management, consideration of the risks facing in the cloud, the definition of the necessary
controls; support them to make the right decision regarding the handling of information.
RESUMEN
Uno de los principales problemas que deben afrontar las organizaciones MiPyMEs al mo-
mento de decidir entre continuar con el manejo que vienen haciendo de la información o la de
migrar la información a la nube, es la de no conocer que tan expuesta o segura puede estar su
información. Por esta razón se desarrolló esta guía metodológica, para brindar ayuda a este
tipo de organizaciones, a través de pasos como: la clasificación de la información, el análisis
de riesgos de la información en su manejo actual, la consideración de los riesgos que se
afrontan en la nube, la definición de los controles necesarios; con el fin de apoyarlos a tomar
la decisión acertada en cuanto al manejo de la información.
Página ixPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Pontificia Universidad Javeriana Memoria de Trabajo de Grado - Investigación
RESUMEN EJECUTIVO
El principal problema que deben afrontar las organizaciones MiPyMEs al momento de deci-
dir entre pasar a la nube pública o quedarse con el manejo convencional de la información, es
la falta de conocimiento frente al hecho de qué tan expuesta o segura puede estar la informa-
ción, y de cuál es la forma más adecuada para el manejo de la misma. Aunque la tendencia
actual es a trabajar en la nube, las empresas deben tener conciencia de los riesgos a los que se
enfrentan al poner la información en la nube.
Con base en esta problemática se trabajó en el desarrollo de una Guía metodológica para
apoyar a este tipo de organizaciones Colombianas en la toma de decisión para la migración
hacia la nube pública. Este desarrollo se llevó a cabo en 3 fases que se describen a continua -
ción:
En la primera fase se realizó un trabajo investigativo para consolidar y analizar los diferentes
tipos de clasificación de la información que se manejan en diferentes países y diferentes tipos
de organizaciones. También se visitaron algunas organizaciones MiPyMEs como Digiservice
(Empresa que presta sus servicios en outsoursing) y Misión Carismática Internacional (La
iglesia cristiana más grande de Colombia y que maneja grandes volúmenes de información),
en estas visitas se identificó cuál es la información que dichas empresas manejan y la forma
como la clasifican. Al finalizar esta etapa se establecieron los niveles de clasificación de la
información como una propuesta para que las organizaciones utilicen si no manejan ninguna
clasificación.
Posteriormente se realizó una investigación de las metodologías más reconocidas que existen
para realizar el Análisis de Riesgos. Después de tomar una muestra de 5 metodologías y de
estudiarlas, se llegó a la conclusión que no era necesario desarrollar una nueva metodología
para este análisis sino, proponer el uso de por lo menos tres de ellas, consideradas las más
apropiadas para este fin. Para esta selección se tuvo en cuenta aquellas metodologías que
reúnen las mejores prácticas para realizar el Análisis de Riesgos y las que ponen en práctica
las normas más reconocidas. Adicionalmente en esta fase, se investigaron y consolidaron los
Página xiPreparado por el Grupo Investigación Istar- Versión 1.0 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
riesgos con mayor probabilidad de ocurrencia que se tienen en la nube y que es necesario que
la organización conozca como un elemento primordial en la toma de decisión.
Una vez identificados los riesgos, las organizaciones deben determinar los controles que de-
ben ser implementados para disminuir la probabilidad de ocurrencia o mitigar el impacto de
los riesgos que se puedan materializar.
Después de finalizar las fases investigativas, se inició la fase de desarrollo de la guía. En esta
fase se logró establecer los pasos o mejores prácticas que conforman la metodología propues-
ta y objeto de este trabajo de tesis.
El resultado obtenido con este desarrollo es la “Guía Metodológica para apoyar a las empre -
sas MiPyMEs Colombianas en la toma de decisión para la migración hacia la nube pública”.
Esta guía está compuesta por cinco pasos entre los que se contempla que se realice un análisis
del costo-beneficio de cada proveedor del servicio que se esté considerando dentro de los
opcionados para migrar la información, y así las organizaciones MiPyMEs pueden establecer
qué es lo que más les conviene, para llegar a tomar la decisión de migrar o no a la nube públi-
ca. Los pasos que componen esta guía son:
1) Clasificación de la Información
2) Análisis de Riesgos
3) Estableciendo controles para la seguridad en la nube
4) Análisis para la toma de decisión
5) Tomando la decisión acertada
De esta forma esta guía metodológica, ayudará a las organizaciones MiPyMEs para que si-
guiendo el proceso de los pasos expuestos, tengan uno de los factores claves para la toma de
esta decisión. Teniendo en cuenta que las organizaciones también deben considerar otros
elementos como los costos de la implementación, la infraestructura tecnológica que se requie-
re, los procesos, el personal adecuado entre otros.
Página xii
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
INTRODUCCIÓN
En este documento se describe el proceso realizado durante la construcción de la “Guía Meto-
dológica para apoyar a las empresas MiPyMEs Colombianas en la toma de decisión para la
migración hacia la nube pública”.
En el primer capítulo de este documento se realiza una descripción general del trabajo, en
donde se plantea la problemática que en la actualidad afrontan las MiPyMEs de adoptar o no
un modelo de nube pública para el manejo de la información aunque la tendencia este llevan-
do a las empresas a migrar a la nube, estas deben tener un amplio conocimiento de los riesgos
que deben enfrentar y sus beneficios. También se plantean los objetivos y la justificación para
la realización de dicho trabajo.
En el segundo capítulo se trabaja la base teórica, en donde se utilizan una serie de definicio-
nes que corresponden a los conceptos de Cloud Computing y sus modelos de servicio, y la
seguridad en la nube entre otros.
En el tercer capítulo, que corresponde al desarrollo del trabajo, se describe el proceso que se
realizó para alcanzar el cumplimiento de los objetivos planteados en el primer capítulo, así
como los entregables que se obtuvieron dentro de este proceso.
En el cuarto capítulo, se muestran los resultados obtenidos en el proceso de desarrollo y se
realiza una comparación con lo descrito en la propuesta.
En el quinto capítulo, se presentan las conclusiones relacionadas con todo el proceso del de-
sarrollo del trabajo de grado, junto con sugerencias y trabajos futuros que se pudieron descu -
brir a lo largo del trabajo.
Página 13
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
I – DESCRIPC,ION GENERAL DEL TRABAJO DE GRADO
1. Oportunidad, Problemática, Antecedentes
Cumpliendo con la esencia de la Universidad Javeriana en su misión, a través de este trabajo
de grado, se ha logrado fortalecer su condición interdisciplinaria; al presentar una solución
en la discriminación social y la concentración del poder económico, pues tras una metodolo-
gía practica y estructurada, realizando un buen análisis de riesgos y beneficios, la organiza-
ción puede tener la seguridad de que su información se encuentra segura, como si estuviera
en sus oficinas y no en la nube, además de contar con la certeza de recuperar su inversión en
un tiempo muy breve y continuar incrementando sus ingresos, gracias a la reducción de cos-
tos, que representa el tener ahora la información en la nube, poniéndose en un nivel importan-
te de competencia, como las grandes compañías, cancelando los argumentos que se presentan
cuando hay deficiencia y lentitud en los cambios tecnológicos.
1.1 Descripción del contexto
En la presente guía Metodológica se han concretado los aspectos más relevantes relacionados
con uno de los factores claves para tomar una decisión acertada al momento de migrar la
información de la organización a la nube pública, que tras una buena evaluación que conside-
ra las ventajas y los costos se hace indubitable.
1.2 Formulación del problema que se resolvió
La respuesta al problema a resolver, ha quedado enmarcada al concluir el desarrollo de la
guía metodológica, donde se han dado los pasos que orientan a la organización a tomar la
decisión más conveniente.
El clasificar la información, analizar sus riesgos, y poder ver la información actual en la
infraestructura de la empresa a nivel de seguridad y controles, muestra la conveniencia de
subir a la nube la información, con la certeza de que la seguridad corresponde a toda la orga-
Página 15
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
nización, pero será necesario elegir un líder de proyecto con el perfil idóneo para que una
decisión acertada este bien acompañada en su implementación.
1.3 Justificación
Era muy importante resolver el dilema de las organizaciones, si migrar o no la información a
la nube. El presente trabajo de grado, desarrollo la guía metodológica que apoya esta toma de
decisión, a través de la investigación del estado actual de la seguridad de la información en la
empresa y la seguridad en la nube, a donde se quiere llegar. Al considerar que el desarrollo
tecnológico de los últimos 30 años, ha sido tan vertiginoso, si se compara con el mismo desa-
rrollo de 1980 hacia atrás, vemos como la guía metodológica, en estos rápidos cambios es una
herramienta valiosa que permite que las MiPyMEs colombianas crezcan como es debido y se
ponga al nivel de las grandes organizaciones, en un mercado cada vez más competitivo, mini-
mizando el riesgo que la organización enfrenta al no tener en cuenta la seguridad de la infor -
mación migrada a la nube, y mirar solo los beneficios que el cloud computing ofrece, en re-
ducción de costos a nivel tecnológico y de recurso humano, como en el aumento de la pro-
ductividad.
1.4 Impacto Esperado
Varias organizaciones MiPyMEs tomarán el conocimiento generado en el desarrollo de esta
metodología, a nivel de Colombia y lo aprovecharan al máximo, y seguramente en poco tiem-
po, y con una ampliación plena, frente a otros entornos y culturas, las organizaciones usarán
la metodología para tomar la decisión de migrar a la nube bajo los principios enunciados.
2. Descripción del Proyecto
A continuación se describen los objetivos del proyecto tanto generales como específicos.
2.1 Visión global
Se desarrolla la guía metodológica, basada en diferentes investigaciones, sobre las cuales se
proponen los principios para que las organizaciones tomen o no la decisión de migrar a la
nube.
Página 16
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
2.2 Objetivo general
Desarrollar una guía metodológica dirigida a empresas MiPyMEs Colombianas que facilite la
toma de decisión para migrar o no la información a la nube pública.
2.3 Fases Metodológicas o conjunto de objetivos específicos
1. Proponer los niveles de clasificación de la información que se va a migrar a la nube.
2. Proponer algunas metodologías para realizar el análisis de riesgos de la información
en la infraestructura actual de la empresa.
3. Proponer los pasos para analizar la seguridad de la información que se quiere migrar
a la nube.
4. Desarrollar la guía metodológica basada en las investigaciones realizadas previamen-
te. (Deductivo)
5. Realizar la validación de la guía metodológica por parte de un grupo de expertos.
(Deductivo)
6. Analizar los comentarios realizados por los expertos y realizar ajustes a la guía meto-
dológica para su mejora. (Deductivo)
2.4 Método que se propuso para satisfacer cada fase metodológica
Para satisfacer cada fase metodológica se usaron dos métodos científicos. El método inducti-
vo y el método deductivo
2.4.1 El método inductivo
Es un método científico que obtiene conclusiones generales a partir de premisas particulares.
Se trata del método científico más usual, que se caracteriza por cuatro etapas básicas: la ob-
servación y el registro de todos los hechos: el análisis y la clasificación de los hechos; la deri-
vación inductiva de una generalización a partir de los hechos; y la contrastación.
Página 17
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
Para el primer objetivo se realizó una investigación que busca proponer los niveles de clasifi -
cación de la información. En el segundo objetivo se realizó una investigación de diferentes
metodologías de análisis de riesgos para proponer algunas de estas metodologías que ayuden
con este paso.
2.4.2 El método deductivo
Es un método científico que saca consecuencias de un supuesto y que considera que la con-
clusión está implícita en las premisas. Este método se utilizó para el desarrollo de la guía
metodológica
Página 18
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
II - MARCO TEÓRICO
1. Marco Contextual
A continuación se encuentra la base teórica sobre la cual se fundamentó la investigación y la
propuesta metodológica realizadas en el presente trabajo de grado. Se contextualiza
sobre el cloud computing, los modelos de servicios que maneja, los beneficios que obtiene
una organización al hacer uso de ésta.
Cloud computing: es un modelo de prestación de servicios de negocio y tecnología, que per-
mite acceder a un catálogo de servicios estandarizados para responder a las necesidades del
negocio. Esta tecnología innovadora permite el crecimiento del negocio de una forma senci-
lla y transparente. Mediante este servicio la plataforma no se encuentra en un solo servidor
sino en varios servidores conectados entre sí (nube). Esta tecnología permite la creación de
Centros de Datos Virtuales que incrementan el desempeño, estabilidad y disminuyen notoria-
mente los gastos de infraestructura.
En conclusión Cloud Computing es la sumatoria de tres grandes modelos de servicio en la
computación: SAAS, PAAS y IAAS.
1. SAAS (Software As A Service)
Es un modelo de distribución de software en donde una compañía provee el servicio de man-
tenimiento, operación diaria y soporte del software usado por el cliente. En este esquema
normalmente, las empresas tienen acceso a programas o software de contabilidad, facturación
o inventarios
2. PAAS (Plataform As A Service)
Es una forma de separar las necesidades físicas de las necesidades de cómputo real que nece -
sita un aplicativo o sistema. Cuando se cree que nuestra empresa necesita un servidor para
realizar el trabajo para el que fue diseñado, se piensa en inversiones de infraestructura; cuan-
Página 19
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
do se piensa en la necesidad de capacidad de cómputo para poder desempeñar un trabajo, se
puede conseguir como un servicio de un tercero, como capacidad de procesamiento, sistema
operativo, memoria RAM, con lo cual los computadores serán cada vez más livianos y se
dejará la inteligencia de los mismos en la nube. Es en este servicio cuando Cloud Computing
entrega soluciones de almacenamiento de la información y memoria para procesar diferentes
tareas o software.
3. IAAS (Infrastructure As A Service)
Se denomina como la Computación en red de una tecnología que permite utilizar de forma
coordinada y simultánea varios computadores, sumando las capacidades de almacenamiento y
cómputo disponibles entre ellos y entregándolas según la demanda de servicio necesaria. Es
decir, en lugar de tener varios servidores, memorias o discos duros de diferentes capacidades
para diferentes propósitos, existe una forma de unir todas las capacidades que tengan y aten-
der todos los propósitos para los que fueron pensados inicialmente. Esto, añadido a la virtua-
lización de hardware, permite simular tantos servidores como se necesiten, de las capacidades
requeridas y desde una sola plataforma física [36]
Dentro de los beneficios que las organizaciones pueden obtener al hacer uso de los modelos
que brinda el Cloud Computing están:
Posibilidad de contratar más recursos como procesador, memoria y almacenamiento
en cualquier momento si necesidad de hacer cambios de hardware y sin traumatis-
mos para sus aplicativos.
Alta disponibilidad, debido a que no es sólo un servidor el que presta su servicio, en
el caso de que un servidor presente un problema técnico sus aplicativos continuarán
trabajando sin ningún inconveniente.
Redundancia, su información es almacenada en varios servidores simultáneamente a
diferencia de los servidores virtuales y dedicados.
Otro concepto que debemos considerar en este tema es la seguridad en la nube pues se trata
de definir, qué, cuándo y cómo dar el salto a la nube, no es cuestión del azar, puesto que para
Página 20
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
saber definir los peligros de la computación en la nube lo primero que debemos saber es si es
necesaria para la organización.
Para mejorar los aspectos de seguridad de trabajo en la nube la CSA ha definido 13 puntos
que van desde el nivel de auditoría, recuperación de desastres, seguridad de aplicaciones o
identidades, ciclo de vida de los documentos, portabilidad e interoperabilidad entre otros. Se
trata de un documento de referencia imprescindible que ayudará a conocer todas las implica-
ciones que tiene el salto del trabajo a la nube para muchas empresas. [1]
2. Marco Conceptual
A continuación se definen los conceptos y elementos fundamentales para el desarrollo
de la “Guía metodológica para apoyar a las empresas MiPyMEs Colombianas en la toma de
decisión para la migración hacia la nube pública” propuesta como resultado de este trabajo de
grado.
Activos críticos de información: Son los activos más importantes dentro de una organización.
[7]
Activo de Información: Información o datos que son de valor para la organización y pueden
existir en forma física o electrónicamente.
Amenaza: Indicador del potencial de un evento indeseable. Se refiere a una situación o esce -
nario en la cual una persona pudo hacer algo indeseable o algo natural pudo causar una con-
secuencia indeseable.
Análisis de Riesgos: Proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización.
Área de interés: Una descripción que detalla una condición del mundo real o una situación
que puede afectar un activo de información dentro de la organización.
Página 21
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
Cloud Computing: Es un lugar donde los recursos de TI, tales como hardware, sistemas ope-
rativos, redes, almacenamiento, bases de datos, e incluso aplicaciones de software completo
están disponibles al instante, bajo demanda
Confidencialidad: Asegurar que sólo las personas autorizadas o sistemas autorizados tengan
acceso a los activos de información. [7]
Contenedor de activos de información: Es algo en lo que los activos de información son al-
macenados, transportados o procesados. [7]
Criterio de medida del riesgo: Conjunto de medidas cualitativas con las que se evalúa el
efecto de cada riesgo sobre la misión de la organización. [7]
Disponibilidad: Asegurar que los activos de información permanezcan accesibles para todos
los usuarios. [7]
Estado del impacto: Una descripción del estado que detalle como la organización es impacta-
da cuando un escenario de amenaza se realiza. Es la consecuencia de la realización de ese
escenario.
IAAS: Plataformas que ofrecen infraestructuras de cómputo y usualmente se encuentran des-
plegadas sobre un entorno de virtualización. La plataforma brinda la alternativa de escalar la
infraestructura de manera vertical (subir y bajar los recursos de cómputo) a demanda y se
paga por los recursos consumidos. Este modelo ofrece el más alto grado de flexibilidad, así
como el menor grado de dependencia con la plataforma permitiendo a los usuarios migrar las
aplicaciones de un proveedor a otro. Requiere instalación, configuración y mantenimiento
adicionales.
Impacto: El efecto que una amenaza tiene en la misión de una organización y objetivos del
negocio. [7]
Integridad: Asegurar que un activo de información permanece en la condición y para los pro-
pósitos en que la dejó el propietario. [7]
Página 22
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
Nube pública: Es la infraestructura de la nube que está disponible para el público en general o
para un gran grupo de industria; dicha infraestructura la provee una organización que vende
servicios en la nube.
Probabilidad: Número de veces que el riesgo se ha presentado en un determinado tiempo.
Posibilidad de ocurrencia.
Requerimientos de seguridad: Requerimientos que son categorizados en cómo se va a prote-
ger los activos de información. [7]
Riesgo: Es la posibilidad de sufrir un daño o pérdida. Estimación del grado de exposición a
que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la
Organización. [2]
Riesgo residual: Es el riesgo que queda cuando el enfoque de mitigación ha sido desarrollada
e implementada para los rangos del riesgo que afectan un activo de información. Este riesgo
residual debe ser aceptable para la organización.
Valor del impacto: Medida cualitativa del impacto a la organización de un riesgo específico
(Alto, Medio o Bajo) [7]
Vulnerabilidad: Debilidad en el software, hardware o procedimiento que puede proveer un
atacante al abrir una puerta que estaba buscando para entrar al computador o red y tener un
acceso no autorizado a fuentes del ambiente. [33]
Metodología: Conjunto de procedimientos basados en principios lógicos, utilizados para
alcanzar objetivos que rigen en una investigación científica o en una exposición doctri-
nal. [37].
Página 23
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
III – DESARROLLO DEL TRABAJO
El desarrollo del Trabajo de Grado se realizó en 4 fases descritas a continuación.
Fase Tipo de Información
La metodología que se usó para el desarrollo de este trabajo fue la investigación inductiva,
logrando uno de los objetivos como lo era el proponer los niveles de clasificación de la infor-
mación para ayudar en este primer proceso a la organización. Para lograr esto, se llevaron a
cabo 2 actividades paralelamente, la primera fue investigar diferentes formas de clasificar la
información en el mundo y la segunda fue una investigación en dos empresas MiPyMes co-
lombianas para determinar las diferentes opciones de clasificación de la información en las
mismas, para esta investigación se realizaron entrevistas con encargados en el tema en cada
una de las organizaciones. Teniendo esta información se finalizó esta fase comparando las
diferentes formas de clasificar la información, escogiendo y proponiendo los niveles de clasi-
ficación a usar en esta metodología. Como resultado de esta fase se obtuvo el primer entrega-
ble: Documento Clasificación de la información. (Ver anexo 1)
Ilustración 1. Fase Tipo de Información
Página 25
Entregable 1
Actividad 1
Actividad 2
Actividad 3
Objetivo Espe-cífico 1
Fase Tipo de Información
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
Fase Análisis de Riesgos
En esta fase se realizó la investigación de los riesgos relacionados con la información que
manejan las dos organizaciones que se tuvieron en cuenta en la fase anterior. Luego se realizó
una investigación de diferentes estándares y metodologías que ayudan a la realización del
análisis de riesgos cualitativo, de esos se seleccionaron 3 de los más reconocidos a nivel mun-
dial para que la organización tenga varias opciones y pueda escoger el que mejor se acople a
sus necesidades y gustos. En esta parte del análisis de riesgos también se investigó como se
podría hacer el análisis de riesgos cuantitativamente y también se propuso dentro de la guía
metodológica. En cuanto a los riesgos relacionados con la nube pública se realizó una investi -
gación de los riesgos más conocidos que toda organización debe considerar al momento de
migrar la información a la misma. Por último se propusieron dos pasos para tener en cuenta la
seguridad de la información en la nube. En esta fase, como se observa en la siguiente ilustra-
ción se tuvieron en cuenta dos de los objetivos específicos y con las actividades mencionadas
anterior mente se obtuvo el segundo entregable: Documento Metodologías Análisis de ries-
gos. (Ver anexo 2)
Ilustración 2. Fase Análisis de Riesgos
Página 26
Actividad 7
Objetivo Especí-fico 3
Entregable 2
Actividad 4
Actividad 5
Actividad 6
Objetivo Especí-fico 2
Fase Análisis de Riesgos
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
Fase Desarrollo
En la fase de desarrollo se usó la investigación deductiva ya que se desarrolló la guía metodo-
lógica basándose en las investigaciones y resultados de las fases anteriores. Las actividades
desarrolladas en esta fase fueron: la Organización de los entregables de las fases anteriores en
el documento de la metodología final y la redacción de la guía metodológica, usando un len-
guaje técnico a que va orientado al área de tecnología de la información de la empresa, siendo
ellos los encargados de informar a la gerencia de la empresa los resultados obtenidos para una
toma de decisión por parte de ellos. Como resultado de esta fase se tiene el tercer entregable:
Guía Metodológica.
Ilustración 3. Fase Desarrollo
Fase Validación y Mejora
En la fase de validación y mejora se seleccionaron dos expertos a los cuales se les entregó la
metodología completa para su revisión y validación, los cuales leyeron el documento, respon-
diendo a un cuestionario y aportando con correcciones y propuestas para mejoras del mismo.
Por último, junto con el director de trabajo de grado se revisaron los comentarios y correccio -
nes realizados por los expertos y se empezó el proceso de mejoras a la guía metodológica.
Una vez finalizada esta fase se obtuvo el cuarto entregable: Guía metodológica con mejoras.
Página 27
Entregable 3
Actividad 8
Actividad 9
Objetivo Espe-cífico 4
Fase Desarrollo
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
Ilustración 4. Fase Validación y Mejoras.
Página 28
Objetivo Especí-fico 6
Entregable 4
Actividad 10
Actividad 11
Actividad 12
Objetivo Especí-fico 5
Fase Validación y Mejoras
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
Página 29
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
IV - RESULTADOS Y REFLEXIÓN SOBRE LOS MISMOS
El resultado obtenido con el desarrollo de este trabajo es la Guía Metodológica, logrando así
el cumplimiento del objetivo general y de los objetivos específicos propuestos, ya que se
proponen los niveles para la clasificación de la información (ilustración 5).
Ilustración 5. Clasificación de la Información.
También se proponen tres diferentes metodologías para que las organizaciones puedan reali-
zar el análisis de riesgos de la información en su manejo actual (ilustración 6).
Página 31
Identificación y definición de los
activos de la información
Identificación de los propietarios de
los activos de la información
Identificación de los contenedores de los
activos de la información
Identificación de los requerimientos de
seguridad
Clasificar cada activo de información
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
Ilustración 6. Estándares de Análisis de Riesgo.
Se sugieren los pasos relacionados con la seguridad de la información en la nube.
Ilustración 7. Pasos seguridad en la nube
A su vez esta guía fue evaluada y validada por dos expertos en el tema; y estas evaluaciones
facilitaron realizar los ajustes de acuerdo a los comentarios recibidos.
Página 32
ISO/IEC 27005
Magerit V2.
NIST
Seguridad de la Información en la nube
Identificación del riesgo
Control del riesgo
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
V – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS
FUTUROS
1. Conclusiones
Con el desarrollo de esta guía se cumplieron los objetivos, permitiendo el desarrollo de la
guía metodológica, como una apoyo para las organizaciones MiPyMEs al momento de deci-
dir migrar a la nube pública, pues se aportaron recomendaciones para realizar un análisis
minucioso y así resolver uno de los grandes problemas que enfrentan las organizaciones en la
seguridad y privacidad de la información en la nube.
El tema correspondiente al Cloud Computing en Colombia aún le falta mucho camino por
recorrer, y temas tan importantes como la seguridad aún se pueden seguir explorando mucho
más para así continuar aportando al mejoramiento en las nuevas tecnologías y lo relacionado
a la innovación.
Página 33
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
A algunas organizaciones colombianas aún les falta buenas prácticas y organización para el
manejo de su información, es por esto que la guía metodológica realizada va a ser de gran
apoyo para estas organizaciones por su sencillo y práctico lenguaje que va orientando a la
organización paso a paso de lo que debe realizar para entender y llevar a cabo cada cosa rela-
cionada con el manejo de su información.
2. Recomendaciones
Se recomienda a otros estudiantes que quieran realizar un Trabajo de Grado enfocado al
Cloud Computing, que se interesen en profundizar la investigación de la seguridad en la
nube, y que sus objetivos para la realización de los Trabajos de Grado estén claramente defi -
nidos para obtener el resultado propuesto.
Al Departamento de Ingeniería de Sistemas se recomienda seguirse manteniendo actualizado
en las últimas tendencias de tecnología para que así los estudiantes puedan ser competitivos
en el campo profesional.
3. Trabajos Futuros
Durante el proceso de realización de la guía metodológica se confirmó que el tema Cloud
computing tiene aún mucho campo por desarrollar y que se pueden seguir realizando trabajos
que complementen esta guía, considerando otros factores importantes que afecten la toma de
decisión de migrar el activo más importante de la organización a la nube.
Después de la investigación realizada a través de este trabajo, creo conveniente que se aborde
un Trabajo de Grado enfocado hacia la investigación de Seguridad en la Nube, ya que este es
un tema que preocupa a las empresas en general y que demanda un amplio desarrollo, para
llegar a obtener controles robustos que garanticen dicha seguridad.
Página 34
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
Como una investigación futura y gracias a la reciente tendencia en tecnología de la informa-
ción “Consumerization” se puede realizar un trabajo enfocado a la seguridad de la informa-
ción, teniendo en cuenta los diferentes tipos de dispositivos a través de los cuales se puede
tener acceso a la misma, en cualquier momento y desde cualquier lugar. [3]
Página 35
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
VI - REFERENCIAS Y BIBLIOGRAFÍA
1. Referencias
[34] Ponemon. Dr. Larry, «Security of Cloud Computing Users, A Study of Practitioners
in the US & Europe », Publication Date: 12 May 2010.
[35] Instituto Nacional de Tecnologías de la Comunicación, Gobierno España, Riesgos y
amenazas en cloud computing, Marzo 201, disponible en: http://www.inteco.es
[36] Definiciones Cloud Computing, Disponible en: http://www.peesco.com/blog/241
[37] Maurice Eyssautier de la Mora, Metodología de la investigación: desarrollo de la inte-
ligencia, Quinta ed.: Cengage Learning Editores, 2006
2. Bibliografía
[1] Consejeria de Universidades, Empresa e investigación. Ser innovador y sus ventajas. Di-
vulgación de la importancia del componente tecnológico en la empresa industrial. Región de
Murcia, España.
[2] Bits & Vaits. Publicación de Negocios y Tecnología. En busca de un almacenamiento
correcto para la empresa. Edición No. 7 – Año 3. Pag. 1.
[3] Shane O’Neill. Cisco Inteligent Network. 'Consumerization of IT' Taking Its Toll on IT
Managers. 15 Septiembre 2011 Disponible en: http://www.cio.com/article/689944/_Consu-
merization_of_IT_Taking_Its_Toll_on_IT_Managers
[4] National Institute of Standards and Technology-NIST. Disponible en: http://www.nist.-
gov/index.html
Página 36
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
[5] Guía de gestión de riesgo para los sistemas de Tecnologías de la Información (800-30).
Julio 2002. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[6] Instituto de Ingeniería de Software. Disponible en: http://www.sei.cmu.edu/
[7] Instituto de Ingeniería de Software. Introducción a OCTAVE Allegro: Mejora del proceso
de evaluación de los riesgos de la seguridad de la información. Mayo 2005. Disponible en:
http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=Sear-
chResults
[8] Departamento administrativo de la función pública de la República de Colombia. Disponi-
ble en:
http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision
[9] Departamento administrativo de la función pública. República de Colombia. Guía de ad-
ministración del riesgo.
[10] Consejo Superior de Administración Electrónica. Disponible en: http://www.csi.map.es/
csi/nuevo/csae_1.htm
[11] MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Infor-
mación. Disponible en:
http://administracionelectronica.gob.es/?
_nfpb=true&_pageLabel=P800292251293651550991&langPae=es&detalleLista=PAE_1276
529683497133
[12] ISO. Disponible en: http://www.iso.org/iso
[13] ISO/IEC 27005. Tecnologías de la información – Técnicas de seguridad – Gestión de
riesgo de seguridad de la información
Página 37
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
[14] Centro de transferencia de tecnología. Magerit v2. Disponible en: http://administracione-
lectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciati-
va=184
[15] ISO 27000 Directory. Introduction To ISO 27005 (ISO27005). Disponible en: http://
www.27000.org/iso-27005.htm
[16] Modelo de Política de Seguridad de la Información para Organismos de la administra-
ción Pública Nacional, Versión 1. Julio 2005. Disponible en: http://www.sgp.gov.ar/sitio/
PSI_Modelo-v1_200507.pdf
[17] Departamento de Seguridad Informática, Dirección General de Tecnología. Banco de la
República. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Mayo 2011.
[18] Aeronáutica Civil. Clasificación de la Información (Normas) versión 2.0. 19 septiembre
2006.
[19] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible
en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903
[20] IT Governance Institute. Cobit 4.1. 2007 Disponible en: http://cs.uns.edu.ar/~ece/audi -
toria/cobiT4.1spanish.pdf
[21] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.
Library N° S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov .
[22] Susan Fowler. Información de la Clasificación – Quién, Por qué y Cómo. 2003. GIAC
Security Essentials Certification (GSEC). SANS Institute.
[23] Normas para la Clasificación de Seguridad de Información Federal y Sistemas de Infor-
mación. Febrero 2004. NIST: National Institute of Standards and Technology
[24] Cabinet Office. HMG Security Policy Framework. Mayo 2011.
Página 38
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
[25] Queensland Government Chief Information Officer . Queensland Government informa-
tion Security Classification Framework. Octubre 2010
[26] Information Management Branch, Government and Program Support Services Division,
Alberta Government Services. Information Security Classification. Febrero 2005.
[27] Human Rights in China. State secrets: China’s legal labyrinth. Human Rights in China.
2007.
[28] Digiservice Limitada. Disponible en: http://www.digiservice.com.co/
[29] MEMORIA - XXI Congreso Archivístico Nacional “Valoración Documental un reto
archivístico en los tiempos actuales”. 2009
[30] CISSP - Certified Information Systems Security Professional. All in one exam guide. 4th
Edition. McGraw-Hill. Nov. 2007.
[31] Circular externa 052 de 2009, Superintendencia Financiera de Colombia, Roberto Borrás
Polanía. Noviembre 27 2009. Disponible en: http://www.superfinanciera.gov.co
[32] Ley Hábeas Datas, Ley Estatutaria 1266 de 2008, Congreso de la República. Diario Ofi-
cial No. 47.219 de 31 de diciembre de 2008. Disponible en: http://www.secretariasenado.go-
v.co/senado/basedoc/ley/2008/ley_1266_2008.html
[33] HIPPA, Health insurance portability and accountability act of 1996. Ley pública 104–
191—AUG. 21, 1996. Congreso de los Estados Unidos. Disponible en: http://www.gpo.gov/
fdsys/pkg/PLAW-104publ191/content-detail.html
Página 39
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008
Ingeniería de Sistemas Sidre - CIS1130SD03
VII - ANEXOS
Anexo 1. Documento Clasificación de la información.
Anexo 2. Documento Metodologías Análisis de riesgos.
Coloque en esta sección del documento una lista de todos los anexos relacionados con la
modalidad de Trabajo de Grado escogida. Enumérelos con número arábigo al igual que el
resto de secciones del documento. Los anexos deben ser descargables de la página web
Anexo 1. Glosario
Los anexos son libres, se sugiere que uno de ellos sea el glosario
No deben imprimirse ya que a los evaluadores deberán poder descargar solo las 80 páginas.
El resto deberá también estar disponible en la web del proyecto.
Página 40
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Investigación
Anexo 2. Post-Mortem
Esta sección presenta un post-mortem del Trabajo de Grado en donde se compara lo escrito
en la propuesta vs la realidad. Se propone que abarque desde la metodología propuesta
hasta la gestión del proyecto. Por lo mismo, se sugieren los siguientes ítems:
1. Metodología propuesta vs. Metodología realmente utilizada.
¿Fue completamente fiel a la metodología propuesta? ¿Las actividades estaban enmarcadas
dentro de dicha metodología? ¿Fue necesario hacer ajustes metodológicos en el camino?
2. Actividades propuestas vs. Actividades realizadas.
¿Las actividades que propuso fueron suficientes?¿surgieron nuevas actividades en el tiem-
po?¿por qué?
3. Efectividad en la estimación de tiempos del proyecto
Compare el tiempo estimado por usted en la propuesta para cada actividad y para el proyec-
to vs. el tiempo real que realmente duró cada actividad y en general el proyecto.
4. Costo estimado vs. Costo real del proyecto
En esta sección revise el presupuesto del proyecto que fue realizado durante la propuesta.
Principalmente las secciones en las cuales los recursos físicos y humanos dependen de usted.
¿Su proyecto hubiese costado más de lo presupuestado? O por el contrario, la inversión fue
mucho menor a lo que presupuesto.
Página 41
Preparado por el Grupo Investigación Istar- Versión 1.01 – 12/03/2008