DISEÑO DE UNA NUBE PRIVADA SEGURA PARA EL SECTOR PÚBLICO PERUANO: CASO MINISTERIO DE EDUCACIÓN
-
Upload
jack-daniel-caceres-meza -
Category
Documents
-
view
178 -
download
5
description
Transcript of DISEÑO DE UNA NUBE PRIVADA SEGURA PARA EL SECTOR PÚBLICO PERUANO: CASO MINISTERIO DE EDUCACIÓN
-
vi
NDICE
NDICE ____________________________________________________________ i
NDICE DE GRFICOS ______________________________________________ v
NDICE DE TABLAS _______________________________________________ vii
RESUMEN _________________________________________________________ 1
ABSTRACT ________________________________________________________ 2
INTRODUCCIN ___________________________________________________ 3
CAPTULO I PLANTEAMIENTO DEL PROBLEMA ______________________ 5
1.1. Descripcin del problema _______________________________________ 5
1.2. Formulacin del problema ______________________________________ 8
1.2.1. Formulacin del problema general ________________________________ 8
1.2.2. Formulacin de problemas especficos _____________________________ 8
1.3. Objetivos ____________________________________________________ 8
1.3.1. Objetivo general ______________________________________________ 8
1.3.2. Objetivos especficos __________________________________________ 9
1.4. Justificacin del estudio ________________________________________ 9
1.4.1. Factibilidad __________________________________________________ 9
1.4.2. Conveniencia_________________________________________________ 9
1.4.3. Utilidad ____________________________________________________ 10
1.4.4. Pertinencia__________________________________________________ 11
CAPTULO II MARCO TERICO _____________________________________ 13
2.1. Antecedentes ________________________________________________ 13
2.2. Conceptos de base ____________________________________________ 23
-
vi
2.3. Establecimiento de procesos ____________________________________ 25
2.4. ISO9001:2000, Gestin de la mejora continua ______________________ 28
2.5. ISO/IEC 27002:2008, Gestin de la seguridad de las tecnologas de la
informacin y comunicaciones (TIC), Cdigo de prctica _____________ 30
2.6. ISO/IEC 20000-2, Gestin de los servicios de TI, Cdigo de prctica ___ 36
2.7. ISO/IEC 38500:2008, Gobierno corporativo de la tecnologa de la
informacin _________________________________________________ 42
2.8. Costo total de propiedad TCO _________________________________ 47
2.9. Acuerdo de nivel de servicio ANS______________________________ 49
2.10. Auditora, enfoque moderno ____________________________________ 58
2.11. Computacin en nube _________________________________________ 60
2.12. Caractersticas de la computacin en nube _________________________ 61
2.12.1. Pago por uso ________________________________________________ 61
2.12.2. Abstraccin _________________________________________________ 61
2.12.3. Agilidad en la escalabilidad ____________________________________ 62
2.12.4. Multiusuario ________________________________________________ 62
2.12.5. Autoservicio bajo demanda_____________________________________ 62
2.12.6. Acceso sin restricciones _______________________________________ 63
2.12.7. Virtualizacin _______________________________________________ 63
2.13. Clasificacin de los modelos en nube _____________________________ 67
2.13.1. Modelos de servicio en nube____________________________________ 67
2.13.2. Modelos de despliegue en nube _________________________________ 71
2.13.3. Cargas de trabajo en nube ______________________________________ 76
2.13.4. Modelo de negocio en nube ____________________________________ 83
2.14. Beneficios de la nube _________________________________________ 84
2.14.1. Relativos a la puesta en marcha del servicio _______________________ 84
2.14.2. Relativos a los beneficios econmicos ____________________________ 86
2.14.3. Relativos al uso y la operacin __________________________________ 88
2.15. Riesgos de la computacin en nube ______________________________ 89
2.15.1. Riesgos legales y contractuales __________________________________ 90
-
vi
2.15.2. Riesgos tcnicos _____________________________________________ 93
2.16. Resumen de ideas centrales ____________________________________ 97
2.17. Hiptesis __________________________________________________ 102
2.17.1. Hiptesis general ____________________________________________ 102
2.17.2. Hiptesis especficas _________________________________________ 102
2.18. Variables __________________________________________________ 103
2.18.1. Variable Principal / Independiente ______________________________ 103
2.18.2. Variable Secundaria / Dependiente ______________________________ 103
2.18.3. Variable Interviniente ________________________________________ 103
2.18.4. Operacionalizacin de la variable independiente ___________________ 104
CAPTULO III METODOLOGA _____________________________________ 105
3.1. Tipo de investigacin ________________________________________ 105
3.1.1. Descripcin del diseo _______________________________________ 105
3.1.2. Tipo ______________________________________________________ 105
3.1.3. Nivel _____________________________________________________ 105
3.1.4. Enfoque ___________________________________________________ 105
3.2. Poblacin muestra ___________________________________________ 106
3.2.1. Tcnicas de recoleccin de datos _______________________________ 106
3.2.2. Tcnicas para el procesamiento y anlisis de la informacin __________ 107
3.2.3. Viabilidad _________________________________________________ 107
CAPTULO IV ANLISIS PRELIMINAR ______________________________ 109
4.1. Caso de estudio _____________________________________________ 109
4.2. Situacin actual _____________________________________________ 111
4.3. Necesidad a satisfacer ________________________________________ 118
4.4. Solucin propuesta __________________________________________ 123
-
vi
CAPTULO V RESULTADOS _______________________________________ 127
5.1. Polticas y procesos __________________________________________ 127
5.2. Encuestas__________________________________________________ 139
5.3. Condiciones de riesgo ________________________________________ 140
5.4. Seguridad en la solucin ______________________________________ 141
CAPTULO VI OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES
_________________________________________________________________ 143
6.1. Observaciones ______________________________________________ 143
6.2. Conclusiones _______________________________________________ 144
6.2.1. Viabilidad de la solucin _____________________________________ 144
6.3. Recomendaciones ___________________________________________ 146
6.3.1. Vigencia de la solucin _______________________________________ 147
FUENTES DE INFORMACIN ______________________________________ 148
LISTA DE ABREVIATURAS ________________________________________ 157
GLOSARIO_______________________________________________________ 159
ANEXOS_________________________________________________________ 165
-
vi
NDICE DE GRFICOS
Figura 1. Elementos de un proceso ______________________________________ 26
Figura 2. Control de la calidad _________________________________________ 27
Figura 3. Modelo de un sistema de gestin de la calidad basado en procesos. _____ 28
Figura 4. Gestin de la seguridad de la informacin. ________________________ 33
Figura 5. Gestin de servicios de las tecnologas de la informacin. ____________ 40
Figura 6. Marco de gobierno de TI. _____________________________________ 43
Figura 7. Proceso de consecucin de expectativas entre proveedor y cliente. _____ 54
Figura 8. mbito de solucin de un Acuerdo de Nivel de Servicio ANS _______ 55
Figura 9. Esquema de virtualizacin de servidores __________________________ 65
Figura 10. Esquema de virtualizacin de almacenamiento. ___________________ 66
Figura 11. Esquema del modelo infraestructura como servicio. ________________ 70
Figura 12. Esquema de gestin de los diferentes modelos de servicio. __________ 71
Figura 13. Esquema de Nube. __________________________________________ 72
Figura 14. Hipervisor vulnerado generando ataques entre VM. ________________ 96
Figura 15. Principales servicios publicados por MINEDU. __________________ 110
Figura 16. Condicin, distribucin y orientacin de equipos utilizados en
MINEDU. _____________________________________________ 112
Figura 17. Distribucin de sistemas operativos utilizados por MINEDU. _______ 114
Figura 18. Distribucin de nodos remotos de MINEDU a nivel nacional. _______ 117
Figura 19. Esquema de toma de decisiones. ______________________________ 124
Figura 20. FODA situacional del centro de datos de MINEDU. ______________ 125
-
vi
Figura 21. Estrategias propuestas para el centro de datos de MINEDU. ________ 126
Figura 22. Esquema propuesto de arquitectura con base en la NTP ISO/IEC
27001. ________________________________________________ 129
Figura 23. Arquitectura propuesta, con base en la NTP ISO/IEC 27001. _______ 138
Figura 24. Arquitectura propuesta, con base en la NTP ISO/IEC 27001. _______ 141
-
vi
NDICE DE TABLAS
Tabla 1. Ventajas e inconvenientes de la nube pblica. ______________________ 73
Tabla 2. Ventajas e inconvenientes de la nube privada. ______________________ 74
Tabla 3. Ventajas e inconvenientes de la nube comunitaria. __________________ 75
Tabla 4. Carga de trabajo. _____________________________________________ 81
Tabla 5. Ejemplos de carga de trabajo. ___________________________________ 97
Tabla 6. Tecnologas estratgicas. _____________________________________ 101
Tabla 7. Costos asociados a la investigacin. _____________________________ 108
-
1
RESUMEN
Se presenta el diseo de una arquitectura de infraestructura tecnolgica que
permita a una entidad pblica peruana, como el Ministerio de Educacin, alcanzar los
beneficios planteados por el modelo de computacin en nube privada, dentro de un
marco de seguridad de la informacin, a la vez que propicia la eficiencia de su
implementacin, y efectividad de los resultados esperados, todo en cumplimiento del
marco regulatorio del gobierno.
Se realiz una investigacin documental de fuentes secundarias para precisar
conceptos y trminos referidos a la computacin en nube, ahondando en el mbito de
la seguridad de la informacin, y para identificar experiencias relacionadas en los
planos nacional e internacional. Asimismo, se realiz una investigacin cualitativa al
encuestar a jefes de departamento de TI de ministerios locales, y se incorpor a
diferentes fabricantes con presencia local quienes, con su juicio experto aunque
sesgado, avalaron la factibilidad tcnica de la arquitectura propuesta a la institucin,
mediante la presentacin de sus respectivas propuestas econmicas condicionadas a
su enfoque tecnolgico.
Esta investigacin ha permitido evaluar diferentes controles y modelos de
gestin de tecnologas de la informacin enmarcadas en la seguridad de la
informacin, los que se consideran apropiados para su posible implementacin en la
institucin.
-
2
ABSTRACT
The main objective of this work is to present a design of architecture of
technology infrastructure, following the model of private cloud computing, that
allows reaching the benefits claimed for this model, within a framework of security
and efficiency, which complies with government regulations, and suits a public entity
as the Ministry of Education of Per.
-
3
INTRODUCCIN
Se sabe que el modelo de computacin en nube propugna el uso racional y
eficiente de los recursos informticos para minimizar el impacto negativo de la
tecnologa sobre el medio ambiente y maximizar su viabilidad econmica mediante la
reduccin del TCO, as como velar por la responsabilidad social.
Tambin se sabe que las organizaciones del sector pblico difieren de las del
sector privado en sus objetivos y ahorro de costos, ya que sus principios
fundamentales son, ante todo de naturaleza social, en la transparencia con la que
deben operar, y tambin estn obligados a crear sistemas sostenibles.
El Ministerio de Educacin es un referente en el sector pblico, por el nmero
de usuarios que se gestiona a nivel nacional en el sector, el procesamiento de la
nmina del personal docente, la informacin histrica que se debe mantener del
rendimiento de los alumnos y la evaluacin docente, y el control de las bases de datos
de todas las instituciones educativas a nivel nacional.
Por lo tanto, se recomienda al Ministerio de Educacin la adopcin del modelo
de computacin en nube privado, con el fin de garantizar el control, la centralizacin,
la concentracin, la normalizacin, y los niveles de seguridad y escalabilidad de una
plataforma tecnolgica moderna, flexible e integrada, de alto rendimiento y capacidad
-
4
para apoyar el despliegue del modelo educativo nacional promulgado por el Estado
peruano.
El objetivo general de este trabajo es desarrollar para el Ministerio de
Educacin un diseo de arquitectura de una nube privada segura y eficiente centrada
en la infraestructura, y considerando el marco regulatorio, tal que le permita alcanzar
los beneficios planteados.
-
5
CAPTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1. Descripcin del problema
Una arquitectura de tecnologa de informacin (TI) provee un programa
estratgico general para el desarrollo e implementacin de infraestructura de TI e
incluye los estndares y las guas que orientan el uso de tecnologas y el diseo,
configuracin, administracin y evolucin de los componentes de infraestructura que
constituyen una solucin para un determinado organismo.
Una arquitectura de TI considera la capacidad de almacenamiento, de red, y de
operaciones, as como su racionalizacin, entrega y despliegue, que sean ms
adecuados para dicha solucin, a la par que evala sus ventajas e inconvenientes. Con
base en unos requisitos claros se busca la mejor solucin de ingeniera que se adapte a
estos requisitos, desde los puntos de vista funcional y tcnico.
En el Foro de intercambio de experiencias en migracin a fuentes abiertas para
las administraciones pblicas (Centro Nacional de Referencia de Aplicacin de las
Tecnologas de Informacin y la Comunicacin basadas en Fuentes Abiertas -
CENATIC, 2011), se menciona que los organismos del sector pblico difieren de los
del sector privado en sus objetivos (ahorro de costos por ejemplo) o principios
-
6
fundamentales (de carcter social principalmente), en la transparencia con la que
deben actuar, y adems estn obligados a la creacin de sistemas sostenibles
La Comisin Europea (Comisin Europea, 2010), al promover una plataforma
de interoperabilidad con base en SOA (Service-Oriented Architecture), siendo
referente entre los estados miembro la OASIS (Organization for the Advancement of
Structured Information Standards -OASIS, 2006), recomienda a las administraciones
pblicas desarrollar un modelo de servicio basado en componentes, lo que permite el
establecimiento de servicios pblicos mediante la reutilizacin, tanto como sea
posible, de componentes de servicios existentes.
Esta Comisin recomienda a las administraciones pblicas ponerse de acuerdo
en un esquema comn para interconectar los componentes de servicios dbilmente
acoplados y poner en marcha la infraestructura necesaria cuando se establecen
servicios pblicos
En el Per, la Ley de Contrataciones del Estado Peruano (Ley 29873) rige las
adquisiciones tanto de bienes como de servicios. La aplicacin de dicha ley est
particularmente enfocada en condiciones de conveniencia administrativa o legal y
deja de lado una real conveniencia funcional y tcnica. Dicha ley no considera que en
el segmento de tecnologa de cmputo, ampliamente globalizado, el mercado es quien
rige finalmente el precio de los bienes y servicios relacionados.
-
7
Dejando de lado el nfasis del mercado en ciertas tendencias la condicin
anterior hace que las empresas del sector pblico desechen alternativas tecnolgicas
modernas y viables cuya aplicacin redundara en que el estado peruano en su
conjunto se modernice, economice y realmente despegue en su compromiso con lo
siguiente:
Las diferentes normas internacionales ISO (International Organization for
Standarization).
Las normas tcnicas peruanas como la Norma Tcnica Peruana NTP ISO
9001:2000, Gestin de la mejora continua; NTP ISO/IEC 20000-1:2012
(International Organization for Standarization/International
Electrotechnical Commission), Gestin de los servicios; NTP ISO/IEC
27001:2008, Gestin de la seguridad de la informacin.
Los diferentes acuerdos y tratados internacionales como TLC (Tratado de
Libre Comercio) que el Per est firmando.
Por ejemplo, la tecnologa y alcances subyacentes en el paradigma de
computacin en nube, que permite reducir el CAPEX (Capital expenditure) y OPEX
(Operational Expenditure), as como apoyar la propia Ley N 27446 (Sistema
Nacional de Evaluacin del Impacto Ambiental), no pueden ser considerados por
cuanto no se cuenta con el marco legal real para obtener sus ventajas.
-
8
1.2. Formulacin del problema
1.2.1. Formulacin del problema general
En qu medida una nube privada segura puede desarrollarse en el sector
pblico peruano?
1.2.2. Formulacin de problemas especficos
Cul es valor de implementar una nube privada segura en el sector
pblico?
Cules son los componentes de una infraestructura de nube privada
segura para el sector pblico peruano?
1.3. Objetivos
1.3.1. Objetivo general
Disear la infraestructura tecnolgica de una nube privada segura y eficiente
para el sector pblico peruano, personalizado para el Ministerio de Educacin, y con
proyeccin al siguiente quinquenio.
-
9
1.3.2. Objetivos especficos
Identificar los componentes de seguridad que generan valor en el diseo
de la infraestructura de una nube privada.
Definir los componentes de una infraestructura de nube privada
adecuados para el sector pblico peruano, desde el punto de vista de la
seguridad de la informacin.
1.4. Justificacin del estudio
1.4.1. Factibilidad
El presente estudio slo se enfoca en la investigacin tecnolgica de tipo
cualitativa de alternativas viables con el objetivo de desarrollar una alternativa o
mezcla de alternativas que mejor se adapte a la realidad de una institucin pblica en
Per como es el Ministerio de Educacin; por tanto, no hay costos involucrados por
implementacin.
1.4.2. Conveniencia
Se busca evitar que las empresas del sector pblico desechen alternativas
tecnolgicas modernas y viables cuya aplicacin correcta y adecuada, alineada con su
-
10
finalidad pblica, redundara en que el estado peruano en su conjunto se modernice y
economice costos.
Es posible, incluso, con base en este trabajo, la formacin de una nube
comunitaria del Estado Peruano, conformado por las nubes privadas de los diferentes
poderes del estado y ministerios.
1.4.3. Utilidad
Se busca presentar un marco de referencia para la implementacin del modelo
de computacin en nube en una entidad pblica peruana, como es el caso del
Ministerio de Educacin, que mantiene una planilla salarial de las ms altas en el
sector pblico y presta servicios a nivel nacional para beneficio de un total
aproximado de 6 800 0001 alumnos y 600 000 profesores.
Se ha logrado propiciar la implementacin futura de una plataforma tecnolgica
moderna, flexible e integrada, segura y de alto rendimiento y capacidad para apoyar
1 Aproximadamente 1 700 000 familias a nivel nacional, considerando un promedio de cuatro (04) hijos por
familia. Datos obtenidos de Censos Nacionales 2007: XI de Poblacin y VI de Vivienda. INEI.
-
11
el despliegue del modelo educativo nacional promulgado por el Estado Peruano y
plasmado en su ROF-MED20062.
1.4.4. Pertinencia
Luego de una etapa inicial de investigacin, no se ha encontrado informacin
respecto de una evaluacin similar previa, realizada en una entidad pblica peruana.
En el plano nacional, el Fondo Nacional de Financiamiento de la Actividad
Empresarial del Estado FONAFE3, ha contratado para su plataforma tecnolgica a
un proveedor de servicios de CENTRO DE DATOS CENTRALIZADO, bajo el
esquema de pago por equipamiento requerido. Es principalmente un hosting de
infraestructura, plataforma y servicios.
2 http://www.minedu.gob.pe/normatividad/reglamentos/ROF-MED2006.php 3 FONAFE es una empresa de Derecho Pblico adscrita al Sector Economa y Finanzas creada por la Ley No.
27170, que fue promulgada el 08/09/1999. Cuenta con un Directorio conformado por seis miembros, todos
ellos Ministros de Estado de los siguientes sectores: Economa y Finanzas; Transportes y Comunicaciones;
Vivienda, Construccin y Saneamiento; Energa y Minas; el Ministro a cuyo sector est adscrito
PROINVERSIN; y, Presidencia del Consejo de Ministros. http://www.fonafe.gob.pe/portal?accion=c&t=13&i=128&n=2&o=105&m=2
-
12
Recientemente el Poder Judicial ha construido un moderno centro de datos para
albergar su renovada plataforma tecnolgica, sin embargo los servicios son
entregados a travs de su intranet.
Existe por parte de Instituto Nacional de Tecnologas de la Comunicacin
(INTECO, Espaa) y del National Institute of Standards and Technology (NIST,
USA) sendas investigaciones relacionadas con el empleo del modelo nube en
entidades pblicas, pero son estudios generales y de alto nivel.
El presente trabajo se plantea con carcter orientador, especfico y concreto,
enfocado en la infraestructura, pero sin atarse a productos especficos de ningn
fabricante o proveedor de servicios.
-
13
CAPTULO II
MARCO TERICO
2.1. Antecedentes
El padre de la inteligencia artificial, John McCarthy4, dijo en 1961 que si los
equipos del tipo que he defendido se convierten en las computadoras del futuro,
entonces algn da la computacin podr organizarse como un servicio pblico al
igual que el sistema telefnico es un servicio pblico.... La computadora como
servicio bsico5 podra convertirse en la base de una industria nueva e importante
(Wikipedia, 2012). Esta es una referencia, de las ms antiguas, relacionadas con el
paradigma de servicio que promulga la computacin en nube.
En el artculo Utility Computing de la revista especializada Search Data Center
(Rouse, Utility computing, 2007), el autor establece que es conveniente aclarar que la
computacin como servicio bsico es un modelo de provisin de servicios en los que
un prestador de servicios pone recursos de computacin y la gestin de la
infraestructura a disposicin del cliente, segn sea necesario, y les cobra para el uso
4 Parte de su disertacin durante el Centenario del MIT en 1961
(http://en.wikipedia.org/wiki/John_McCarthy_%28computer_scientist%29). 5 Al igual que el agua, transporte o electricidad. [Nota de los autores].
-
14
especfico en lugar de una tarifa fija; sin embargo, este concepto no es similar al de
computacin en nube.
La computacin como servicio bsico se puede implementar en formas
diferentes a la computacin en nube; por ejemplo, considere la posibilidad de una
supercomputadora que alquila tiempo de procesamiento a mltiples clientes: un lugar
y sin virtualizacin de recursos, por lo que no puede ser llamado computacin en
nube. Aunque la computacin en nube apoya la computacin como servicio bsico,
no toda la computacin como servicio bsico se basa en la nube (Manzalin, 2012).
La nube se refiere a los recursos y aplicaciones que estn disponibles en
Internet u otra red a travs de cualquier dispositivo que se conecta a Internet o a otra
red. El trmino nube se origina a partir de los diagramas que se utilizan a menudo
para describir los alcances y capacidades de Internet (Minkiewicz, 2011), se usa
como una metfora de Internet (Computacin en Nube, 2013), y define bastante bien
la aparente imposibilidad de establecer donde se encuentran fsicamente los datos
con los que se trabajan (Jos Antonio, 2010).
El National Institute of Standards and Technology (NIST) (Mell, Peter; Grance,
Timothy, 2011), define que la computacin en nube es un modelo [un nuevo
paradigma dominante de prestacin dinmica de servicios de negocio y tecnologa
altamente automatizada que representa para muchas empresas e instituciones del
estado, sobre todo, cambios tecnolgicos fundamentales y hasta cambios en el perfil y
-
15
competencias de la fuerza laboral] que propugna el acceso de forma conveniente,
desde cualquier sitio y bajo demanda [ya que se paga por su consumo lo que
potencialmente reduce el CAPEX aunque incrementa el OPEX, por lo que una
organizacin podra elegir trasladar a la nube slo una parte de sus funciones
referidas a las tecnologas de la informacin (Minkiewicz, 2011)], a un conjunto
compartido de recursos informticos configurables (por ejemplo, redes, servidores,
almacenamiento, aplicaciones y servicios [como un catlogo de servicios
estandarizados y responder con ellos a las necesidades de su negocio, de forma
flexible y adaptativa (Wikipedia, 2013)]) que se pueden provisionar y desplegar
rpidamente [cuando los propios medios no son capaces de satisfacer las demandas
hay que pensar en nuevas formas de proveer las tecnologas de la informacin] con
un mnimo esfuerzo de gestin o interaccin del proveedor de servicios [los servicios
mismos o la carretera de comunicaciones hacia estos servicios].
La IEEE Computer Society (Computing Now, 2009), perteneciente al Institute
of Electrical and Electronics Engineers (IEEE), tambin sostiene que en las reas de
tecnologa de la informacin, los costos usualmente estn referidos a gestionar
equipos (OPEX) y no slo a adquirirlos (CAPEX). Recordemos, por ejemplo, el
tiempo, esfuerzo, experiencia y dinero que demanda la implementacin y
configuracin de equipos y sistema operativo, su aseguramiento fsico y lgico, el
afinamiento del rendimiento de equipos, herramientas de software, bases de datos,
entre otros aspectos importantes.
-
16
Asimismo, la IEEE presenta algunas interrogantes: qu significa escribir
aplicaciones para la computacin en nube? En qu son diferentes de los modelos
tradicionales? Presumiblemente, deben ser elsticas (escalar de unos pocos usuarios o
nodos a un gran nmero de ellos), deben ser entregadas en demanda sin dependencias
significativas, seguir el modelo SOA, y as sucesivamente.
En el artculo If it is not Interoperable, If it is not Portable, It is not Cloud
(Daz, 2011), el autor declara que se debe desarrollar un plan estratgico el cual, bien
pensado, permitir a cada nuevo servicio en la nube, a partir de un servicio anterior,
convertirse en una parte integral de la organizacin.
Contina afirmando Daz que este plan estratgico tambin establecer los
criterios para los servicios y la facilidad de integracin e interoperabilidad de los
servicios [una facilidad de integracin de los servicios en la nube con los servicios
existentes dentro de la empresa reduce costos], y portabilidad de los datos [porque
permite la flexibilidad de los servicios entre los proveedores de servicios, y NIST
concuerda con que estos puntos de interoperabilidad y portabilidad son clave para que
el gobierno de Estados Unidos de Norte Amrica confe en mover sus aplicaciones a
la nube].
Discutir estos puntos es muy importante, no slo los referidos a estndares, que
promovern la igualdad de condiciones entre los proveedores de servicios en nube y
darn a los consumidores de servicios de nube una serie de diferentes opciones en el
-
17
mercado y la confianza de que sus datos y aplicaciones funcionarn en cualquier nube
(Fang, Jin, Mao, & et.all, 2011).
Daz Contina afirmando que es probablemente la discusin ms importante
para el xito a largo plazo de la nube y, en la mayora de los casos, usualmente no se
le da la importancia debida y hasta ignora. Si se ignora, es un rea que puede causar
un gran impacto ms adelante a medida que sean considerados nuevos servicios,
como son costos exorbitantes de integracin y tiempos prolongados de
implementacin. En el plan, pueden mapearse los servicios especficos a considerar
para su uso en nube y las dependencias de los servicios existentes dentro de la
empresa, y establecer los niveles de seguridad y privacidad de los datos. Con esta
informacin se podr recomendar confiadamente el tipo de proveedor en la nube y el
modelo de servicios en nube que se requiera.
Muchas organizaciones se estn dando cuenta que su infraestructura de TI
existente no es suficiente para mantenerse al da con la dinmica de los datos en
crecimiento, las expectativas de los usuarios finales y las rpidamente cambiantes
demandas del negocio. Para que las organizaciones tengan xito con la computacin
en nube deben tener visibilidad, control y automatizacin a travs de toda la
infraestructura empresarial y la cadena de valor de la prestacin de servicios
(Selvakumar, 2011).
-
18
Considerando preocupaciones de alto nivel con respecto a la continuidad del
negocio, la IEEE piensa en voz alta: Realmente puedo confiar en que el proveedor
de la nube estar siempre ah?
IBM (IBM Global Services, 2011) concuerda con que en la actualidad este
nuevo paradigma de computacin en nube se ha convertido en un imperativo con el
potencial, si no la promesa, de transformar el cmo es capturado y entregado el nuevo
valor del negocio, con velocidad y destreza sin precedentes, de reducir los costos
laborales y el hardware subutilizado. Un punto de partida para negocios complejos
con infraestructura importante es aprovechar las tecnologas de nube privada para
optimizar sus centros de datos y reducir la tasa de error de los sistemas informticos;
y, Oracle (Oracle, 2013) agrega, para transformar la manera en que se disean,
construyen y ofrecen las aplicaciones.
Sin embargo, HP (HP, 2011) sostiene que es importante notar que todos los
servicios no son iguales; cada uno tiene sus propios requisitos en trminos de
rendimiento, seguridad, control y disponibilidad. El objetivo de toda organizacin
debera tender a combinar la computacin en nube con su tradicional infraestructura
de tecnologas de la informacin a fin de crear un modelo relacionado que se adece
mejor a la organizacin, considerando la manera en que se construye la nube, se
consumen los servicios en nube, se gestionan y aseguran los servicios para obtener
una ventaja competitiva, y se transforman las aplicaciones y la infraestructura.
-
19
En Enterprise Risk Management for Cloud Computing (Horwarth, Crowe;
Chan, Warren; Leung, Eugene; Pili, Heidi, 2012), los autores alertan que aplicar
soluciones de computacin en nube sin el cuidado apropiado, debidamente
diligenciadas, y sin control, son causa de futuros problemas. Utilizada
apropiadamente con las necesarias precauciones y controles implementados, como
los aplicados con el marco de gobierno de la Committee of Sponsoring Organizations
of the Treadway Commission (COSO), la computacin en nube podra conducir a una
multitud de beneficios, algunos an por descubrir.
El documento contina afirmando que los ejecutivos, al percatarse mejor de los
riesgos y otros aspectos relacionados con la computacin en nube, estn en mejor
posicin para lograr los objetivos de la organizacin ya que pueden manejar los
riesgos en este ambiente dinmico y evolutivo que posiblemente se convierta en el
modelo de computacin ms popular del futuro.
Segn el informe Privacy in Cloud Computing (Telecommunication Union,
Telecommunication Standardization Bureau, ITU-T, 2012), la dimensin global de la
computacin en nube requiere de metodologas y soluciones tcnicas estandarizadas
que permitan a los grupos de inters evaluar riesgos de privacidad y establecer los
niveles de proteccin adecuados. En los servicios en nube, la implementacin de
tecnologa que incremente la privacidad depender de la disponibilidad de estndares
para evaluar los riesgos de privacidad y medios para asegurar el cumplimiento de la
proteccin de datos.
-
20
En Cloud Security and Privacy (Mather, Tim; Kumaraswamy, Subra; Latif,
Shahed, 2009), se nos recuerda que la computacin en nube es un modelo diferente
de hacer las cosas, no una nueva tecnologa. Sin embargo, es preciso aclarar que para
el Estado, relacionado con la adquisicin de bienes, un nuevo paradigma para utilizar
dicho modelo en nube podra no ser un asunto de fcil entendimiento y esto generara
una barrera importante para su adopcin correcta.
En Cloud security: A comprehensive guide to secure cloud computing (Krutz,
2010), el autor concluye que el nivel adecuado de tecnologa desplegada o procesos
implementados permiten a una empresa pblica adoptar el modelo de computacin en
nube con confianza.
En Cloud Computing For Dummies (Hurwitz, Judith; Bloor, Robin; Kaufman,
Marcia, 2010), los autores aconsejan a las empresas que planean utilizar servicios en
nube comprobar que existen servicios de seguridad especficos y bien definidos, ya
que se requieren muchos niveles de seguridad en el ambiente de nube; as, se necesita
que exista una infraestructura de seguridad entendible y consistente en todos los
niveles y tipos de servicios en nube.
En Private Clouds for Dummies (Hurwitz & Kaufman, 2011), los autores
recomiendan a las organizaciones considerar si se desea contar con una manera ms
flexible de utilizar los recursos existentes, establecer claramente las caractersticas de
las cargas de trabajo que estas soportan, el modo en que se implementarn las
-
21
polticas de seguridad en la nube. Estos puntos son particularmente importantes en
una empresa pblica por cuanto existen aspectos legales, contractuales y de garanta
que se deben resolver, incluso en el tiempo, por las caractersticas de desarrollo e
implementacin de los actuales sistemas de informacin y su orientacin, y porque se
debe determinar claramente si en la nube se puede dar cumplimiento a los
requerimientos legales peruanos de auditora y registro de datos.
La empresa consultora McKinsey & Company, en un informe preparado para la
empresa EMC2 (EMC2, 2010), fabricante de sistemas de almacenamiento en disco de
clase empresarial, lleg a cuatro conclusiones principales con respecto a la nube:
Las inquietudes por la confianza deberan dejar de ser una barrera para
adoptar la nube. Muchas de las inquietudes comunes son exageradas o,
dados los avances en la tecnologa de administracin de nubes,
simplemente obsoletas.
En realidad, las nubes privadas e hbridas pueden ser ms seguras y
confiables que los ambientes tradicionales de tecnologas de informacin.
La nube pblica sigue presentando riesgos materiales para datos
confidenciales y aplicaciones crticas.
Una organizacin maximiza los beneficios para el negocio al determinar
el destino ms econmico y confiable para cada carga de trabajo
-
22
individual (por ejemplo, un conjunto de aplicaciones relacionadas y sus
datos).
En ltima instancia, la nube hbrida ofrece la mayor flexibilidad y
beneficio, pero la nube privada es el primer paso natural y un destino
predeterminado razonable para la mayora de las cargas de trabajo en la
actualidad, que pueden ser estacionales, con especial atencin a la
naturaleza y el flujo de la informacin para evaluar una posible
transferencia a una nube pblica considerando previamente la factibilidad
funcional y los beneficios de esta transferencia.
El director de Cloud Computing de Dell Mxico (Kat, 2011) enfatiz que es
importante entender dnde est parada cada organizacin en su camino a la nube
(aplicaciones heredadas, la complejidad de la gestin de recursos humanos y
tecnologa, los procesos de negocio que no estn bien definidos, la innovacin con
menores presupuestos, el acceso limitado y la dificultad de la colaboracin entre
colegas, grupos de trabajo y clientes) antes de emprender la adopcin de este
esquema de oferta de soluciones, ya que no todas las aplicaciones o cargas de trabajo
pueden estar en la nube. Hay que hacer, dijo, una auditora para saber cules s y
cules no. Adems, hay que migrar de manera gradual.
En el informe Seguridad y resistencia en las nubes de la Administracin
Pblica (European Network and Information Security Agency -ENISA, 2011), se
afirma que la falta de gobernanza y control sobre operaciones que involucran las
-
23
tecnologas de la informacin y el posible incumplimiento de leyes y normativas son
considerados problemas de seguridad para la aplicacin del modelo de computacin
en nube pblica. En su opinin, aspectos relacionados con la ubicuidad de datos,
gestin de los niveles de servicio que no son directamente controlados, control
ineficiente de la infraestructura de comunicaciones, son algunos aspectos a
considerar.
En Securing the Cloud: Cloud Computer Security Techniques and Tactics
(Winkler, 2011), el autor concluye que, dependiendo cmo se adopte el modelo en
nube o como se entreguen los servicios basados en dicho modelo, con la apropiada
seguridad, no hay razn para que la seguridad en nube no deba ser igual o pueda
exceder las implementaciones tradicionales de tecnologas de la informacin.
2.2. Conceptos de base
Como se ha mencionado anteriormente, NIST ha definido el nuevo paradigma
de computacin en nube como un modelo para permitir el acceso de forma
conveniente, desde cualquier sitio y bajo demanda a recursos informticos que se
pueden provisionar y desplegar rpidamente con un mnimo esfuerzo de gestin o
interaccin del proveedor de servicios.
-
24
En otras palabras, y considerando el contexto econmico, resulta ventajoso
poder convertir las inversiones en gastos recurrentes: contratar el servicio que sea
requerido en la dimensin necesaria y justa.
Sin embargo, debemos considerar que, si bien este modelo puede significar una
fuente reduccin de gastos de inversin (menor CAPEX, mayor OPEX), tambin
puede generar riesgos para los usuarios (INTECO, 2011).
Como riesgo identificado por el Instituto Nacional de Tecnologas de la
Comunicacin de Espaa (INTECO) est la posible falta de control respecto a dnde
est ubicada realmente la informacin: si bien el modelo es un entorno compartido de
recursos, es indispensable el aislamiento de la informacin. Esto nos lleva a
considerar el contar con adecuados controles de acceso y polticas de auditoria
implementadas en la plataforma.
Todo lo anterior conlleva a preguntarse quin gestiona o controla el servicio?
La respuesta es que esta gestin es una responsabilidad compartida entre el proveedor
y el cliente, desde diversos ngulos y en diferentes grados, de acuerdo con el modelo
nube elegido.
A continuacin revisaremos algunos conceptos intrnsecamente relacionados
con el control y la gestin.
-
25
2.3. Establecimiento de procesos
Trabajar con procesos es la base para la norma ISO 9001 y las siguientes que
trataremos. Esto supone un completo sistema de gestin organizado con base en
procesos de gestin de servicio, polticas, objetivos y controles.
Con la Figura 1 siguiente recordamos los elementos de un proceso.
Se aprecia que existen requisitos que deben ser satisfechos sobre la base de
ciertos atributos que el cliente, interno o externo, desea. Para lograr los atributos
deseados es necesario gestionar la calidad del producto o servicio ofrecido.
Una caracterstica es un rasgo diferenciador que puede ser de muchos tipos:
fsico; sensorial; comportamiento; tiempo; otros. Un requisito es una necesidad o
expectativa establecida, implcita u obligatoria, cuantitativa o cualitativa.
-
26
Fuente: elaboracin propia
Figura 1. Elementos de un proceso
La Figura 2 (Kilian Zambrano D., 2008) muestra un esquema de un sistema de
control de calidad. Segn ISO 9000, la calidad se define como el grado en el que un
conjunto de caractersticas inherentes cumple con los requisitos.
-
27
Adaptacin de un grfico de Kilian Zambrano
Figura 2. Control de la calidad
Un sistema de gestin de la calidad es el conjunto de normas interrelacionadas
de una empresa u organizacin por el cual se administra de forma ordenada la calidad
de la misma, en la bsqueda de la satisfaccin de sus clientes. Generalmente incluye
el establecimiento de la poltica de la calidad y los objetivos de la calidad, as como la
planificacin, el control, el aseguramiento y la mejora de la calidad.
El nfasis en procesos y gestin de la calidad es la base para el desarrollo de las
normas que trataremos a continuacin.
-
28
2.4. ISO9001:2000, Gestin de la mejora continua
Sobre la norma ISO 9000 (ISO, 2013), y normas relacionadas o similares, se
debe tener en cuenta que los sistemas de gestin de la calidad o mejora continua no
solucionan los problemas de las organizaciones, es uno quien los soluciona con la
aplicacin eficaz de estos sistemas.
En la Figura 3 se muestran los conceptos bsicos que comprende esta norma.
Adaptacin de un diagrama de la norma ISO
Figura 3. Modelo de un sistema de gestin de la calidad basado en procesos.
-
29
Se aprecia en la figura anterior la interrelacin de los ocho conceptos
fundamentales de la gestin de la mejora continua: enfoque al cliente; liderazgo en la
empresa; participacin del personal; enfoque en procesos; enfoque de sistemas para la
gestin; mejora continua; toma de decisiones basada en hechos; relaciones
mutuamente beneficiosas con los proveedores.
Algunos de los beneficios que se obtienen por la aplicacin de esta norma son
los siguientes:
Optimizacin de los recursos.
Los ms altos niveles de eficiencia.
Mejora en la produccin.
Estandarizacin de procesos.
Procesos de calidad garantizada.
Igualdad tcnica de productos y/o servicios.
Elaboracin de manuales y procedimientos.
Estandarizacin y optimizacin de los mtodos de trabajo.
Mejores mtodos de medicin y control.
Mayor uniformidad en el trabajo.
-
30
Reconocimiento, competencia, ventaja competitiva.
Alineamiento de procesos con objetivos del negocio.
Gestin por indicadores.
Menor tiempo de llegada al mercado.
Mayor satisfaccin de los clientes.
Consistencia en la calidad del producto/servicio que recibe el cliente.
2.5. ISO/IEC 27002:2008, Gestin de la seguridad de las tecnologas de la
informacin y comunicaciones (TIC), Cdigo de prctica
La norma ISO/IEC 27002:2008 (ISO, 2013) de la International Organization for
Standardization/International Electrotechnical Commission, no es una norma
tecnolgica. Ha sido redactada de forma flexible e independiente de cualquier
solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto
a la tecnologa y a las soluciones disponibles en el mercado.
En el contexto de este estndar, el trmino informacin incluye a todas las
formas de datos, documentos, comunicaciones, conversaciones, mensajes, registros,
grabaciones, fotografas. Incluye todo desde datos digitales y correo electrnico hasta
faxes y conversaciones telefnicas. Es decir, incluye todas las formas de informacin,
no solo las relacionadas con las tecnologas de la informacin.
-
31
Tradicionalmente la seguridad de la informacin est definida en el contexto de
la preservacin de la confidencialidad, integridad y disponibilidad.
La confidencialidad tiene que ver con autorizaciones, no se ve lo que no se
supone que pueda ser visto; la integridad con que los datos se mantienen sin cambios
durante su almacenamiento o transmisin, los cambios se realizan sujetos a una
autorizacin previa, y/o que cualquier cambio es detectado y probado; y la
disponibilidad con que los usuarios autorizados tengan acceso a la informacin y
activos asociados cuando lo requieran, esto significa que los sistemas informticos
utilizados para almacenar y procesar la informacin, los controles de seguridad
utilizados para protegerlos, y los canales de comunicacin utilizados para acceder a
stos deben estar funcionando correctamente.
Es por tanto necesario identificar, clasificar, tratar, valorar riesgos, asignar roles
y responsabilidades, implementar controles y proteger la informacin, as como todo
equipo que se utilice para su almacenamiento, transmisin y procesamiento. Esto
conlleva, entre otros aspectos, a lo siguiente:
Definir la Poltica de seguridad de la informacin, las normas de apoyo y
procedimientos de ejecucin requeridos.
Generar conciencia.
-
32
Difundir y capacitar de forma apropiada y continua, incluyendo el
entrenamiento que pueda ser requerido.
Interiorizacin de la importancia de la seguridad de la informacin.
Monitorizar y mantener la efectividad de la Poltica de seguridad de la
informacin.
Recientemente tambin son relevantes:
La autenticidad, la garanta de que un mensaje, transaccin o intercambio
de informacin es genuino proviene de la fuente que dice ser, lo que
implica una prueba de la identidad.
La rendicin de cuentas, que es el reconocimiento y asuncin de
responsabilidad por las acciones, productos, decisiones, y polticas,
incluso la administracin, la gobernanza y la aplicacin en el mbito de la
funcin o puesto de trabajo y que abarca la obligacin de informar,
explicar y responder por la consecuencias resultantes.
La confiabilidad, que es la capacidad de un sistema o componente para
realizar sus funciones requeridas bajo condiciones establecidas durante un
perodo determinado de tiempo.
-
33
El no repudio, que implica que una parte de una transaccin no puede
negar haber recibido una transaccin ni tampoco la otra parte negar haber
enviado esa transaccin.
La seguridad de la informacin implica diferentes tipos de seguridad, como se
muestra en la Figura 4 que se explica por s sola. De esta figura se puede apreciar la
incidencia que tiene esta norma en la evaluacin y tratamiento del riesgo.
Adaptacin de un diagrama de la norma ISO
Figura 4. Gestin de la seguridad de la informacin.
-
34
El objetivo estratgico de esta norma es alcanzar un nivel de seguridad mximo
determinado por los recursos de la empresa contrastados con los requerimientos del
negocio. Mientras tanto, es necesario que la empresa vaya resolviendo los problemas
de seguridad urgentes y de corto plazo.
Algunos de los beneficios que se obtienen por la aplicacin de esta norma son
los siguientes:
Confianza de clientes y socios estratgicos por la garanta de calidad,
integridad, disponibilidad y confidencialidad de la informacin.
Los riesgos y sus controles son continuamente revisados.
Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
Demuestra un compromiso real de mantener la seguridad de la
informacin.
Abre nuevas oportunidades de negocio con clientes conscientes de la
importancia de la seguridad.
Establecimiento de una metodologa de gestin de la seguridad clara y
estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
-
35
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Las auditoras externas ayudan cclicamente a identificar las debilidades
del sistema y las reas a mejorar.
Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
Conformidad con la legislacin vigente sobre informacin personal,
propiedad intelectual y otras.
Reduccin de costos y mejora de los procesos y servicio.
Mejora la manera en que la organizacin gestiona la seguridad de la
informacin.
Mejora los objetivos de control.
Incrementa la disponibilidad de recursos y aclara las responsabilidades.
Permitir la creacin de nuevas actividades de negocio relacionadas con la
seguridad de la informacin.
Permite formular los objetivos y requisitos de seguridad de la
organizacin.
Forma de garantizar la gestin del riesgo y la rentabilidad de la inversin
en seguridad.
-
36
Para garantizar el cumplimiento de las leyes y regulaciones establecidas
en materia de gestin de informacin.
Identificacin y aclaracin de los procesos de gestin de la seguridad.
2.6. ISO/IEC 20000-2, Gestin de los servicios de TI, Cdigo de prctica
Segn la entidad certificadora intersek-sc.com, la norma ISO/IEC 20000-2:
Gestin de servicios (ISO, 2013) es un enfoque de conduccin de negocio "de arriba
hacia abajo" de la gerencia de tecnologas de la informacin. Especficamente, trata el
valor estratgico del negocio generado por las tecnologas de la informacin y la
necesidad de brindar servicios relacionados de alta calidad -no solamente en el final
sino tambin para los clientes y su interaccin con el sistema.
Los servicios son un medio para entregar valor a los clientes al facilitar los
resultados que los clientes desean conseguir, sin tener que apropiarse de los costos y
riesgos involucrados.
En el amplio sentido de la palabra, los servicios facilitan los resultados al
mejorar la realizacin y reducir la fuerza de las restricciones.
-
37
Por tanto, el valor de un servicio se basa en dos elementos primarios: utilidad6 y
garanta. La utilidad considerando adems la usabilidad7 del servicio.
La norma ISO/IEC 20000-2 se aplica a proveedores de servicio tanto grandes
como pequeos y los requerimientos son independientes de la forma organizacional
del proveedor de servicio.
Esta norma se basa en la Biblioteca de Infraestructura de Tecnologas de la
Informacin (ITIL, por sus siglas en ingls), que recientemente ha sido rediseado a
partir de un enfoque dirigido por procesos hacia un enfoque en el ciclo de vida del
servicio. As, la visin de ITIL V3 de integrar las iniciativas relacionadas con las
tecnologas de la informacin a la estrategia de negocio se centra en lo siguiente:
6 Es considerada parte de la estrategia del servicio. Es la funcionalidad ofrecida por un producto o servicio para
satisfacer una necesidad particular. La utilidad se resume a veces en un qu es lo que hace (ITIL, 2013). 7 Usabilidad es la medida en la cual un producto puede ser usado por usuarios especficos para conseguir
objetivos especficos con efectividad, eficiencia y satisfaccin en un contexto de uso especificado. (ISO 9241-
171:2008). Es parte del diseo del servicio. Es la facilidad con la que se puede usar una aplicacin, un
producto, o un Servicio de TI. Los requisitos de usabilidad se incluyen a menudo en una Declaracin de
requerimientos. (ITIL V3 Glosario v2.1, 30 de mayo del 2007).
La efectividad se refiere a la capacidad del sistema para ofrecer las funcionalidades para las que se ha
diseado; la eficiencia al esfuerzo necesario para conseguir realizar estas funcionalidades; y la satisfaccin -el
aspecto ms subjetivo- a la sensacin que el usuario tiene mientras lo usa y despus de usarlo. (Mari-Carmen
Marcos et al.. Evaluacin de la usabilidad en sistemas de informacin terminolgicos online. "Hipertext.net", nm. 4, 2006. [Consulta: 19/05/110]. ISSN 1695-5498).
-
38
1. Estrategia del servicio, que estudia los objetivos y las expectativas generales de
negocio para garantizar que la estrategia referida a las tecnologas de la
informacin se correlacione con stos.
2. Diseo del servicio, que inicia con un conjunto de requisitos de negocio,
nuevos o modificados y termina con el desarrollo de una solucin diseada para
satisfacer las necesidades documentadas del negocio.
3. Transicin del servicio, que se ocupa de la gestin de cambios, riesgos y el
aseguramiento de la calidad, as mismo tiene el objetivo de implementar los
diseos del servicio de manera que las operaciones del servicio puedan
administrar los servicios y la infraestructura de una manera controlada.
4. Operacin del servicio, que se ocupa de las actividades de negocio comunes.
5. Mejora continua del servicio, que proporciona una visin general del resto de
los elementos y busca maneras de mejorar el proceso general y el
aprovisionamiento del servicio.
No debemos dejarse de mencionar que al planificar la gestin de servicios se
debe considerar que los servicios seguramente cambiarn y que podra conducir a uno
o ms de los siguientes supuestos:
-
39
La estandarizacin de la infraestructura. Esto por economas de escala y
utilizacin de tecnologa moderna que proporciona mayores niveles de
seguridad y contribuye a la proteccin del medio ambiente.
Cambios en la legislacin. Para propiciar lo anterior, y manejar de mejor
manera las adquisiciones de bienes o servicios de todo tipo y sus pagos
correspondientes.
A una regulacin personalizada o desregulacin, dependiente el hecho
de la orientacin de la empresa o industria y condiciones coyunturales del
ecosistema relacionado.
Que el proveedor de servicios defina y asegure contractualmente el cmo
mantendr la calidad en el tiempo.
La gestin de servicios es un conjunto de capacidades organizacionales
especializadas para proporcionar valor a los clientes a travs de servicios, y toma la
forma de un conjunto de funciones y procesos para gestionar servicios a lo largo de su
ciclo de vida.
Esto se muestra en la Figura 5. Los procesos involucrados proveen el mejor
servicio posible para satisfacer las necesidades de negocio de los clientes con niveles
de recursos acordados; en otras palabras, proveer un servicio profesional, econmico
y con riesgos que son entendidos y gestionados.
-
40
Adaptacin de un diagrama de la norma ISO
Figura 5. Gestin de servicios de las tecnologas de la informacin.
Algunos de los beneficios que se obtienen por la aplicacin de esta norma son
los siguientes:
Alineacin de servicios de tecnologas de la informacin con las
estrategias del negocio.
Incremento en la competitividad a travs de la entrega de mejores
servicios a menor costo y en menor tiempo cuando sea posible.
-
41
Creacin de un marco de referencia para el mejoramiento de servicios.
Enfoque en la creacin de procesos proactivos (resultado de una
conciencia y enfoque en la mejora continua) en vez de procesos reactivos
(tendientes a mitigar problemas), tanto por parte del proveedor como del
cliente.
Mejoramiento en las interdependencias y operaciones internas de las
tecnologas de la informacin.
La gestin de las tecnologas de la informacin y comunicaciones (TIC)
mejora el posicionamiento del departamento de tecnologas de la
informacin (TI) y del Director de Informtica (CIO).
En un futuro, los CIO ms gestores y menos tecnlogos.
Maximizar la calidad del servicio.
Reducir costos.
Gestionar la disponibilidad y continuidad de los servicios, sobre la base
de prioridades, acuerdos de nivel de servicio y valoracin temprana de
riesgos.
Aumentar la satisfaccin del cliente.
Clarificar y sincerar la capacidad del Departamento de Informtica.
-
42
Minimizar el tiempo de ciclo de cambios.
Mejorar resultados en base a mtricas.
Tomar decisiones sobre la base de indicadores de negocio y relacionados
con la gestin de las tecnologas de la informacin.
2.7. ISO/IEC 38500:2008, Gobierno corporativo de la tecnologa de la informacin
El estndar ISO/IEC 38500:2008 (ISO, 2013) ha aparecido en junio de 2008.
Alison Holt, alto ejecutivo del IT Governance Working Group comenta sobre l:
"Este estndar est dirigido a la mesa directiva de la organizacin, para asistirla en
obtener el mximo valor de TI y de los activos de informacin en toda la
organizacin.
Esta norma provee principios rectores a los directores de las organizaciones
(incluyendo propietarios, miembros de la mesa directiva, socios, ejecutivos, otros)
relacionados con el uso efectivo, eficiente y aceptable de las tecnologas de la
informacin dentro de sus organizaciones.
Se aplica a la gobernanza de los procesos de gestin (y decisorios) que se
relacionan con los servicios de informacin y comunicacin que son utilizados por la
organizacin, como se muestra en la Figura 6, donde se busca el rendimiento y
-
43
cumplimiento de las tecnologas de la informacin con normas tcnicas y de
gobierno.
El objeto entonces puede resumirse en evaluar propuestas para dirigir aquellas
que han sido implementadas a travs de polticas y planes especficos, y verificar
continuamente el rendimiento y conformidad con estas polticas y planes.
Adaptacin de un diagrama de la norma ISO
Figura 6. Marco de gobierno de TI.
-
44
Algunos de los beneficios que se obtienen por la aplicacin de esta norma son
los siguientes:
Conformidad de la organizacin con:
o Los estndares de seguridad.
o Legislacin de privacidad.
o Legislacin sobre el correo electrnico no solicitado -spam.
o Legislacin sobre prcticas comerciales.
o Derechos de propiedad intelectual, incluyendo acuerdos de licencia de
software.
o Regulacin medioambiental.
o Marco regulatorio en general.
o Normativa de seguridad y salud laboral.
o Legislacin sobre accesibilidad.
o Estndares de responsabilidad social.
o Otros.
Buen rendimiento de la TI mediante:
o Una apropiada implementacin y operacin de los activos de TI.
o Clarificacin de las responsabilidades y rendicin de cuentas en lograr
los objetivos de la organizacin.
o Continuidad y sostenibilidad del negocio.
o Alineamiento de TI con las necesidades del negocio.
-
45
o Asignacin eficiente de los recursos.
o Innovacin en servicios, mercados y negocios.
o Buenas prcticas en las relaciones con los grupos de inters
(accionistas, socios, empleados, clientes, proveedores, otros).
o Reduccin de costos.
o Otros.
Materializacin efectiva de los beneficios esperados de cada inversin en
la plataforma tecnolgica de cmputo.
Alcanzar metas estratgicas.
Producir informacin relevante y pertinente para la organizacin.
Asegurar que la informacin crtica para el negocio est disponible
cuando se necesita, es y permanece confidencial, es confiable, exacta y
completa, y se cie a las regulaciones vigentes.
Asegura ganancias importantes en eficiencia.
El modelo de Gobierno de las tecnologas de la informacin es responsable de
los xitos o fracasos de la organizacin, desde las decisiones clave de los CIO, hasta
cmo atendemos las peticiones de los usuarios. Por este motivo, es interesante
trabajar en su mejora. Adems, el modelo debe ajustarse a la organizacin, y no la
organizacin al modelo.
-
46
Aunque el modelo final pueda implementarse de forma progresiva (Fernndez
Domnguez, 2013), deben considerarse los siguientes aspectos bsicos: decisiones
clave de alto nivel, modelos de decisin, diseo de la organizacin y de las
estructuras de gobierno, establecimiento de polticas, despliegue de procesos,
determinacin de procedimientos, normalizacin de puestos de trabajo y alineacin
de competencias, gestin de la comunicacin y del cambio, adecuado soporte
tecnolgico y realizacin de actividades de seguimiento y monitorizacin de
desempeo y beneficios.
Fernndez recomienda tambin no alejar las prcticas de gobierno de las
operaciones, con las finalidades siguientes:
Que estas decisiones persigan elevar la calidad percibida por los usuarios
por encima de los umbrales previamente establecidos.
Que el modelo sea eminentemente prctico y operativo, para garantizar
que cumplen con su finalidad, que es facilitar el gobierno de las
tecnologas de la informacin de forma normalizada y racional.
Transparencia y comunicacin son aqu aspectos fundamentales, puesto que es
importante informar del valor aportado (cualitativo y cuantitativo), de las mejoras en
productividad, de las mejoras en la calidad percibida, lo que pone de manifiesto los
beneficios que realmente se estn aportando, indicando su grado de alineamiento con
-
47
los negocios y, por extensin, con los objetivos y estrategias finales de la
organizacin.
2.8. Costo total de propiedad TCO
Es una medida diseada por el Grupo Gartner a finales de los aos 70 y
ampliamente difundida a principios de los aos 80 para evaluar el costo total en que
se incurre al adquirir un bien (Fellner), al comparar equitativamente propuestas que
incluyen valores de cobro permanente al igual que valores de pago nico y durante
todo su ciclo de vida, y en la actualidad las organizaciones lo utilizan para conocer el
costo y riesgos a la hora de invertir en tecnologas de la informacin (Estrella
Verdesoto, 2008).
Es una metodologa que ayuda a evidenciar las cuestiones ms actuales, en las
decisiones de inversin, a justificar la necesidad para cambios y proporcionar una
retroalimentacin continua en la administracin de costos.
ITIL (ITIL, 2013) la considera una estrategia del servicio.
Los factores que intervienen en un anlisis TCO son los siguientes:
Complejidad de la propia infraestructura tecnolgica y de su propia
administracin.
-
48
Riesgos de implementacin (que crecen con la complejidad de la
implementacin) y riesgos operacionales (periodos de inactividad,
prdida de datos, incumplimiento regulatorio o normativo, entre otros),
que podran generar un mayor costo ante la aparicin de un determinado
evento.
Mejores prcticas en la industria.
En la evaluacin se consideran, a lo largo del ciclo de vida del bien objeto de
anlisis, lo siguiente:
Costos directos (presupuestados la adquisicin del bien).
ostos indirectos recurrentes no presupuestados el uso
mantenimiento del bien como los siguientes:
o De operacin.
o De maquinaria.
o De implantacin de las TIC.
o De trabajos de consultora.
o e infraestructura consumo de energa elctrica espacio fsico aire
acondicionado equipo contra incendio controles de temperatura
humedad otros .
o Aspectos del uso, mantenimiento, reparaciones, reposiciones,
depreciacin.
-
49
o Proyecciones de gastos recurrentes.
o Capacitacin para el personal de soporte y para usuarios.
o Perodo de inactividad del usuario final.
o Investigacin y desarrollo, documentacin, otros.
o Marketing y publicidad.
Beneficios.
Por facilidad, los costos normalmente estos se agrupan en: (a) capital; (b)
administracin; (c) soporte tcnico; y (d) operaciones del usuario final.
2.9. Acuerdo de nivel de servicio ANS
Es importante considerar que la prestacin de los servicios est -o debera
estar- condicionada a la firma de un acuerdo de nivel de servicio. Con este acuerdo o
contrato, el usuario es quien determina el nivel de calidad en la prestacin del servicio
que proporciona cada proveedor (lo que puede ofrecer), de acuerdo con sus
necesidades y expectativas (lo que se necesita y espera), y sujetas a un acuerdo mutuo
(lo que se puede obtener y es aceptado).
Un acuerdo de nivel de servicio es parte del diseo mismo del servicio (ITIL,
2013) y se le considera una herramienta para la mejora continua del servicio.
-
50
Estas condiciones acordadas permitiran definir un costo diferenciado para el
servicio que ser prestado dado que ser necesario:
Establecer las necesidades especficas de los clientes (usuarios) por lo que
requerir:
o Levantamiento de informacin previo con la finalidad de determinar
apropiadamente el mbito de accin.
o Labores de consultora.
Establecer los recursos que sern asignados:
o Cantidad.
o Experiencia.
o Calidad.
o Oportunidad.
Establecer el tiempo asignado para el servicio:
o Planeamiento, investigacin.
o Diseo, anlisis.
o Coordinaciones.
o Implementacin.
Determinar los alcances (qu s se har).
Determinar las exclusiones (qu no se har).
-
51
Un acuerdo de nivel de servicio es importante para el cliente porque permite
definir, entre otras cosas, lo siguiente:
Responsabilidades y lmites compartidos.
Indicadores de rendimiento para el servicio al cliente.
Indicadores de rendimiento sincerados para la organizacin.
El precio de la no conformidad con las expectativas -penalidades por
incumplimiento.
Trminos conceptuales
Segn foro-helpdesk.com, el xito de la implementacin de un ANS depende en
gran medida de la correcta eleccin de los indicadores y los objetivos a alcanzar para
cada uno de ellos. Un indicador representa algunas de las variables que componen un
proceso o servicio brindado. Los objetivos estarn relacionados con la eficiencia,
eficacia o disponibilidad de dicho servicio. Sin embargo, slo aquellas variables de
servicio que estn directamente ligadas con la percepcin de calidad por parte del
usuario y que respondan a los intereses del negocio son importantes.
Tngase presente que los elementos constitutivos deben ser: medibles y
especficos; a mayor detalle, menor ocurrencia de malos entendidos y expectativas no
satisfechas.
-
52
Adicionalmente, un acuerdo de nivel de servicio est definido de diversas
formas, aqu presentaremos algunas:
Es un protocolo plasmado normalmente en un documento de carcter
legal por el que una compaa que presta un servicio a otra se
compromete a prestarlo sobre la base de unas determinadas condiciones y
con unas prestaciones pre-establecidas.
Tratar de mantener y de garantizar la calidad del servicio brindado a un
cliente.
Ayuda a prometer lo que es posible de entregar y a entregar lo prometido.
Es el mantenimiento de la disponibilidad de un determinado servicio
basado en un compromiso que puede ser medido y demostrado, del nivel
de cumplimiento en su ejecucin.
En un ANS se pueden establecer tantos indicadores como se estime
necesario y de su evaluacin se obtienen por ejemplo penalizaciones a la
empresa suministradora, identificacin de puntos dbiles del proceso e
indicaciones para procesos de mejora continua en determinadas
actividades.
Es un documento de referencia para la relacin con el cliente en todo lo
que respecta a la provisin de los servicios acordados.
-
53
Consiste en un contrato en el que se estipulan los niveles de un servicio
en funcin de una serie de parmetros objetivos, establecidos de mutuo
acuerdo entre ambas partes, as, refleja contractualmente el nivel
operativo de funcionamiento, penalizaciones por cada de servicio,
limitacin de responsabilidad por no servicio, otros.
Es un documento que fija las expectativas entre el consumidor y el
proveedor.
Es un convenio formal celebrado entre dos o ms entidades, que se logra
despus de un perodo de negociacin con el fin de establecer las
caractersticas de un servicio; as como las responsabilidades y las
prioridades de todas las partes.
Es una mtrica de servicio, acuerdos contractuales entre el proveedor y el
cliente que especifican en trminos medibles la cantidad y calidad y
oportunidad de servicios a prestar.
En la Figura 7 se muestra un proceso de consecucin de expectativas para un
ANS entre proveedor y cliente.
-
54
Adaptado de foro-helpdesk.com
Figura 7. Proceso de consecucin de expectativas entre proveedor y cliente.
En la Figura 8 se muestra el mbito de solucin de un ANS.
Se aprecia que los costos son producto de una combinacin de diferentes
factores que, de forma individual, pueden ser considerados ms o menos importantes,
de acuerdo con la orientacin del servicio que se desea brindar o por el valor que se le
pueda otorgar, dependiendo esto de la coyuntura y conocimiento intrnseco de quien
realiza la evaluacin o pertinencia. Por ejemplo, un vendedor podra desestimar la
necesidad y no considerar en el precio del servicio el costo que el desarrollador del
servicio podra establecer.
El usuario es
quien
determina el
nivelnivel de de
calidadcalidad en la
prestacin del
servicio que
proporciona
cada
proveedor, de
acuerdo con
sus
necesidadesnecesidades
y y
expectativasexpectativas
-
55
Fuente: elaboracin propia
Figura 8. mbito de solucin de un Acuerdo de Nivel de Servicio ANS
A continuacin se detallarn algunas consideraciones para la elaboracin de un
ANS:
El ANS seguramente cambiar con el tiempo.
Cada uno de los involucrados debe estar representado en la creacin y en
el proceso de negociacin del ANS.
Debe permitir tomar accin cuando los resultados caen por debajo de los
objetivos definidos.
Necesidades de los usuarios: Levantamiento de
informacin.
Consultora.
Recursos asignados: Cantidad.
Experiencia.
Calidad.
Tiempo asignado: Planeamiento.
Diseo / anlisis.
Coordinaciones.
Investigacin.
Implementacin.
Alcances. Qu s se har.
Exclusiones: Qu no se har.
Costo
s A s p e c t o s f u e r a d e l a lc a n c e t c n ic o
A s p e c t o s d e p o s ib le
r e s o lu c i n d i r e c t a
A s p e c t o s
q u e
r e q u ie r e n
m a y o r
e x p e r ie n c ia
Lm it e
t c n ic o
Lm it e fu n c io n a l
Esc a la m ie n t o
Es
ca
lam
ien
to
Responsabilidades y lmites compartidos
Indicadores de rendimiento para el servicio al cliente
Indicadores de rendimiento para la organizacin
El precio de la no conformidad
-
56
Los elementos constitutivos deben ser:
o Medibles.
o Especficos.
A mayor detalle menor ocurrencia de:
o Malos entendidos.
o Expectativas no satisfechas.
Los indicadores:
o Deben manejar objetivos alcanzables.
o La evaluacin e interpretacin debe ser objetiva.
Los datos que componen las mtricas deben ser:
o Obtenibles y no ser modificables.
o Conocidos por el personal apropiado nicamente.
o Entendibles y con objetivos claramente definidos.
o ntegros es decir, deben ser:
Significativos (reflejan lo que se intenta medir).
Precisos (numricamente correctos).
Seguros (sin posibilidad de manipulacin o engao).
Representativos (que dan cuenta del volumen de
transacciones).
-
57
A continuacin se describirn algunas mejores prcticas para la elaboracin de
un ANS que los autores han compilado y otras, producto de su propia experiencia:
Un ANS no debe considerarse como un opcional a un servicio, es parte
fundamental del mismo.
El ANS debe ser el resultado de la identificacin de las necesidades y la
negociacin entre las partes. La identificacin de necesidades y la
negociacin permiten encontrar los indicadores adecuados y los niveles
de servicios posibles y comprometidos.
El servicio debe estar alineado con los intereses de la organizacin. La
direccin misma debe participar aportando la visin del negocio.
El ciclo de vida de un ANS debe incluir un programa de revisiones
peridicas, donde se analicen los objetivos alcanzados vs. los propuestos.
Un ANS adecuado reglamenta el servicio indicando derechos y
obligaciones para ambas partes.
Las penalidades sirven como elemento de presin al prestador, pero en
ningn caso reemplazan al servicio no prestado o prestado
ineficientemente.
Establezca un circuito de comunicacin eficiente entre todas las partes,
esto acercar las visiones del prestador y de los usuarios.
-
58
Establezca indicadores de fcil medicin e interpretacin.
Incluya a todos los sectores en la mesa de negociacin (gerentes a cargo
del negocio y gerentes a cargo de la tecnologa).
Documente las necesidades relevadas, los cambios y genere actas de las
reuniones de negociacin.
Incluya el resultado de encuestas de satisfaccin como un indicador ms
del servicio.
Establezca un sistema de monitoreo donde pueda detectar desvos y que
permita corregirlos en lnea.
Comunique el alcance del servicio a los usuarios. Ellos pueden estar
esperando un servicio diferente al acordado.
Recuerde mantener los acuerdos simples, medibles y realistas.
2.10. Auditora, enfoque moderno
La auditora es una funcin de direccin, un proceso sistmico, crtico,
cuantitativo y detallista, basado en la evidencia, y realizado por un tercero,
competente, distinto y sin relacin con quien prepar o se relaciona con la
informacin motivo de la auditora, y que tampoco tiene relacin directa con la
informacin que se audita.
-
59
Este proceso es necesario para determinar la autenticidad, integridad y calidad
de la informacin que se produce, con el propsito de determinar e informar sobre el
grado de correspondencia existente entre la informacin cuantificable y los criterios
establecidos.
Una auditora constituye una herramienta de control y supervisin que
contribuye a la creacin de una cultura de la disciplina de la organizacin, al ocuparse
fundamentalmente del conjunto de medidas, polticas y procedimientos establecidos
en las empresas para proteger el activo, minimizar las posibilidades de fraude,
incrementar la eficiencia operativa y optimizar la calidad de la informacin en
general (Morell Gonzlez, 2013), -un enfoque tradicional que se vea como algo
negativo por la fiscalizacin inherente.
Segn Morell, tras el proceso anterior, el enfoque moderno es proporcionar
determinada informacin a la direccin para que pueda evaluar si sus objetivos y
metas se estn cumpliendo conforme a los esperado o si son efectivos los controles
establecidos para incrementar la eficacia de la empresa partiendo de la evaluacin
sistemtica del proceso de control interno de la empresa -por ejemplo, al descubrir
fallas en las estructuras o vulnerabilidades existentes y presentarlas de modo
conveniente para que la empresa pueda tomar las acciones correctivas necesarias.
-
60
Adems, contina Morell, a uda a la organizacin a cumplir sus objetivos
aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad
de los procesos de gestin de riesgos, control y direccin (Hevia, 1999).
El objetivo es detectar las desviaciones en cuanto al plan establecido y detectar
los problemas concretos con la finalidad de encontrar la manera de rectificar las
actuaciones y solucionar las contingencias.
La imagen que la auditora tiene hoy es la de una actividad consultiva y docente
que aade valor a la empresa.
2.11. Computacin en nube
Segn NIST, es un modelo que permite, convenientemente y bajo demanda, el
acceso por red a un conjunto compartido de recursos informticos configurables (por
ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser
rpidamente aprovisionados y desplegados con mnimo esfuerzo de administracin o
de interaccin con el proveedor de servicios. Este modelo de nube promueve la
disponibilidad y se compone de:
Cinco caractersticas esenciales (autoservicio por demanda, acceso de
banda ancha, pool de recursos, rpida elasticidad, servicio medido);
-
61
Tres modelos de servicio (Software como Servicio [SaaS], Plataforma
como Servicio [PaaS], Infraestructura como Servicio [IaaS]); y
Cuatro modelos de despliegue (nube privada, comunitaria, pblica,
hbrida).
2.12. Caractersticas de la computacin en nube
Entre las caractersticas asociadas a la computacin en nube se encuentran las
siguientes (ONTSI, 2012):
2.12.1. Pago por uso
Una de las caractersticas principales de las soluciones en nube es el modelo de
facturacin basado en el consumo; es decir, el pago que debe abonar el cliente vara
en funcin del uso que se realiza del servicio en nube contratado.
2.12.2. Abstraccin
Caracterstica o capacidad de aislar los recursos informticos contratados al
proveedor de servicios nube de los equipos informticos del cliente. Esto se consigue
gracias a la virtualizacin, con lo que la organizacin usuaria no requiere de personal
-
62
dedicado al mantenimiento de la infraestructura, actualizacin de sistemas, pruebas y
dems tareas asociadas que quedan del lado del servicio contratado.
2.12.3. Agilidad en la escalabilidad
Caracterstica o capacidad consistente en aumentar o disminuir las
funcionalidades ofrecidas al cliente, en funcin de sus necesidades puntuales sin
necesidad de nuevos contratos ni penalizaciones. De la misma manera, el costo del
servicio asociado se modifica tambin en funcin de las necesidades puntuales de uso
de la solucin. Esta caracterstica, relacionada con el pago por uso, evita los riesgos
inherentes de un posible mal dimensionamiento inicial en el consumo o en la
necesidad de recursos.
2.12.4. Multiusuario
Capacidad que otorga la nube, que permite a varios usuarios compartir los
medios y recursos informticos, permitiendo la optimizacin de su uso.
2.12.5. Autoservicio bajo demanda
Esta caracterstica permite al usuario acceder de manera flexible a las
capacidades de computacin en nube de forma automtica a medida que las vaya
-
63
requiriendo, sin necesidad de una interaccin humana con su proveedor o
proveedores de servicios cloud.
2.12.6. Acceso sin restricciones
Caracterstica consistente en la posibilidad ofrecida a los usuarios de acceder a
los servicios contratados dela computacin en nube en cualquier lugar, en cualquier
momento y con cualquier dispositivo que disponga de conexin a redes de servicio
IP. El acceso a los servicios de computacin en nube se realiza a travs de la red, lo
que facilita que distintos dispositivos, tales como telfonos mviles, dispositivos
PDA o computadoras porttiles, puedan acceder a un mismo servicio ofrecido en la
red mediante mecanismos de acceso comunes.
2.12.7. Virtualizacin
La virtualizacin es la creacin a travs de software de una versin virtual de
algn recurso tecnolgico, como puede ser una plataforma de hardware, un sistema
operativo, un dispositivo de almacenamiento u otros recursos de red (Diskeeper
Corporation, 2006).
La tecnologa de virtualizacin tiene aplicaciones importantes para el modelo
de cloud computing como son:
-
64
Virtualizacin de Servidores
La virtualizacin de servidor describe la creacin de una o varias instancias de
un sistema operativo husped bien sobre un sistema operativo host o
anfitrin (arquitectura alojada) o directamente sobre una capa de software
especializado denominado hipervisor (arquitectura de hipervisor).
En ambas arquitecturas, la virtualizacin del sistema host de otros sistemas
operativos se consigue mediante software propio del fabricante (por ejemplo,
Vmware ESX, Xen, RHEV, Hyper-V, etc.), que reside entre el hardware fsico
(CPU, memoria, etc.) y los sistemas operativos "huspedes".
Cada sistema operativo husped o host ejecuta sus propias aplicaciones de
manera Independiente como si se tratara del nico sistema que opera en el
hardware.
En la Figura 9 siguiente se aprecian estos esquemas, donde se representa a un
equipo fsico cuyos recursos son entregados segn necesidad mediante un
software virtualizador a diferentes mquinas virtuales.
-
65
Fuente: http://infoaprende.web44.net/infoaprende/virtualizacion/.
Fuente: http://www.compuexpress.com.mx/2011/?p=1412.
Figura 9. Esquema de virtualizacin de servidores
-
66
Virtualizacin de almacenamiento
La virtualizacin del almacenamiento implica la creacin de un contenedor
lgico de datos, generalmente de gran tamao, que mediante software aparenta
estar fsicamente situado completamente en un nico servidor. En realidad, los
datos pueden estar situados en cientos de discos fsicos repartidos por decenas
de servidores. Este es el concepto que implementan las SAN (Storage Area
Networks: redes de rea de almacenamiento).
En la Figura 10 se muestra este esquema.
Fuente: elaboracin propia.
Figura 10. Esquema de virtualizacin de almacenamiento.
-
67
2.13. Clasificacin de los modelos en nube
2.13.1. Modelos de servicio en nube
Existen tres modelos de servicio y sus combinaciones derivadas describen la
prestacin de los servicios en nube y son los siguientes (Cloud Security Alliance -
CSA, 2011):
a. Software como servicio - Cloud Software as a Service (SaaS).
En el Software de nube como servicio, la capacidad proporcionada al
consumidor consiste en utilizar las aplicaciones del proveedor que se ejecutan
en una infraestructura de nube.
Mediante esta modalidad de servicio puede accederse a las aplicaciones desde
diversos dispositivos de cliente, a travs de una interfaz de cliente ligero como
un navegador de Internet. Por ejemplo, correo web, Salesforce.com.
Es un modelo de distribucin de software en donde la compaa de tecnologas
de informacin y comunicacin provee el servicio de mantenimiento, operacin
diaria, y soporte del software usado por el cliente.
-
68
Es tener la informacin, el procesamiento, los insumos y los resultados de la
lgica de negocio del software hospedado en la compaa de que provee la
plataforma de tecnologas de la informacin. (wikipedia.org).
Algunas metas de este modelo son las siguientes:
Incrementar la usabilidad (recordemos a Apple que con el iPhone y el
iPod, aunque no fueron los primeros, cambiaron la forma de usar ciertos
aparatos) y aspectos funcionales del software aplicativo.
Construir estructuras de costo y ganancias recurrentes que sean ms
predecibles.
Reducir el continuo tiempo invertido en soporte, en implementacin y
entrenamiento; minimizar el riesgo en general del negocio con mayor
accesibilidad a los datos y seguridad. (saas.com).
El consumidor no gestiona ni controla la infraestructura subyacente de nube, la
que incluye la red, servidores, sistemas operativos, almacenamiento o incluso
capacidades de aplicaciones individuales, con la posible excepcin de unos
parmetros de configuracin de la aplicacin especficos del usuario limitados.
b. Plataforma como servicio - Cloud Platform as a Service (PaaS).
-
69
En la Plataforma de nube como servicio, la capacidad proporcionada al
consumidor es desplegar en la infraestructura de nube aplicaciones adquiridas o
creadas por el consumidor, que fueran creadas utilizando lenguajes y
herramientas de programacin soportadas por el proveedor.
La capa presenta todo lo necesario para que los desarrolladores puedan realizar
su trabajo de construccin y puesta en marcha de aplicaciones y servicios web
completamente disponibles en la Internet. Por ejemplo, el empleo de interfaces
programticas de aplicacin -API, Google App Engine.
El consumidor no gestiona ni controla la infraestructura de nube subyacente que
incluye la red, servidores, sistemas operativos o almacenamiento, pero tiene
control sobre las aplicaciones desplegadas y la posibilidad de controlar las
configuraciones de entorno del hosting de aplicaciones.
c. Infraestructura como servicio - Cloud Infrastructure as a Service (IaaS).
En la infraestructura de nube como servicio los usuarios utilizan recursos de
cmputo, almacenami