i

INTRODUCCIN

El crecimiento continuo en tamao y complejidad de la infraestructura de TI que

soporta los sistemas de informacin, ha llamado la atencin a la necesidad de
simplificar la administracin y reducir los costos asociados a su mantenimiento,
y ms recientemente, a la necesidad de reducir el impacto ambiental causado
principalmente por el excesivo consumo de energa. Es aqu en donde entra en
juego la tecnologa conocida como Cloud Computing.
El Cloud Computing ha recorrido un largo camino desde que fue marcada por
primera vez como una perspectiva de futuro por parte de algunos
investigadores. La historia inicial de esta tecnologa nos lleva a finales del siglo
veinte, cuando la prestacin de servicios de computacin comenz.
Dicha tecnologa es una evolucin natural de la adopcin generalizada de la
virtualizacin, la arquitectura orientada a servicios y utilidad del cmputo. La
idea bsica es que los usuarios finales ya no necesitan tener conocimientos o
control sobre la infraestructura de tecnologa en la nube que los apoya.
En este documento se abordarn diversos aspectos de esta tecnologa,
incluidos los riesgos asociados a su utilizacin.

DEFINICIN DE CLOUD COMPUTING

Acorde al NIST (National Institute of Standards and Technology), el Cloud

Computing es un modelo tecnolgico que permite el acceso ubicuo, adaptado y
bajo demanda en red a un conjunto compartido de recursos de computacin
configurables compartidos (por ejemplo: redes, servidores, equipos de
almacenamiento, aplicaciones y servicios), que pueden ser rpidamente
aprovisionados y liberados con un esfuerzo de gestin reducido o interaccin
mnima con el proveedor del servicio.
Otra definicin complementaria es la aportada por el RAD Lab de la
Universidad de Berkeley, donde se explica que el Cloud Computing se refiere
tanto a las aplicaciones entregadas como servicio a travs de Internet, como el
hardware y el software de los centros de datos que proporcionan estos
servicios. Dichos servicios han sido conocidos durante mucho tiempo como
Software as a Service (SaaS), mientras que el hardware y software del centro
de datos es a lo que se llama nube.
CARACTERSTICAS
El Cloud Computing se compone de cinco caractersticas claves, que lo
diferencian de los sistemas tradicionales de explotacin de las TIC. Entre estas
caractersticas se encuentran las siguientes:

Autoservicio
(capacidad

bajo

de

demanda:

almacenamiento,

se

puede

requerir

procesamiento,

ms servicio

etc.)

de

forma

automtica sin intervencin humana.

Accesible a travs de la Web: los servicios se prestan a travs de

protocolos estndares Web.

Comparticin de recursos: la infraestructura de computacin del

proveedor combina para dar servicio a mltiples usuarios a la vez.

Rapidez de escalado: la disponibilidad de los recursos TIC se puede
aumentar o disminuir de forma automtica en funcin de las

necesidades.
Medicin y monitorizacin: la utilizacin de los recursos TIC se
pueden monitorizar, medir y asignar a cada usuario o unidad de negocio.

TIPOS DE ARQUITECTURA
El modelo de Cloud Computing ofrece tres tipos generales de arquitecturas,
haciendo una separacin entre Software, Hardware y Plataforma:

Software como Servicio (SaaS): consiste en el suministro de

aplicaciones como el e-mail, CRM, gestin de nminas que se ofrece en
una red y no precisa que los usuarios lo instalen en sus ordenadores.
Por tanto, se utiliza una arquitectura web accesible desde cualquier
dispositivo y el usuario no tiene ningn control sobre la infraestructura

subyacente.
Infraestructura como Servicio (IaaS): se refiere a la disponibilidad de
capacidad de almacenamiento, procesamiento y de red que se factura
segn el consumo. De esta manera, este servicio ofrece una provisin
escalable de recursos de computacin (procesamiento, almacenamiento,
comunicaciones) segn un modelo elstico, es decir, con aumento o

disminucin de recursos de forma flexible.

Plataforma como Servicio (PaaS): consiste en ofrecer a los clientes un
entorno de desarrollo con servicios y herramientas para que estos
puedan crear sus propias aplicaciones. Dicho de otra forma, ofrecen una
arquitectura sobre la que los desarrolladores puedan desplegar sus
aplicaciones con lenguajes de programacin y herramientas soportadas
por el proveedor.

TIPOS DE CLOUD
Segn en NIST, el Cloud Computing ofrece cuatro opciones de despliegue de
infraestructura:

Cloud pblico: compartida por los consumidores privados y empresas.

El proveedor comercializa ciertos servicios sobre la misma.

Cloud privado: est a disposicin de una sola empresa, gestionada por
ella o por el proveedor en las instalaciones de la empresa (on premise) o

en las del proveedor (off premise).

Cloud comunitario: compartida por varias organizaciones que trabajan
en un objetivo comn. Puede ser on premise u off premise.

Cloud hbrido: combinacin de dos o ms de las opciones anteriores a

travs de tecnologas propietarias o estndar que permiten la
portabilidad de datos.

RIESGOS DEL CLOUD COMPUTING

El uso de servicios de Cloud Computing ofrece un gran nmero de ventajas,
pero presenta tambin unos riesgos especficos que deben afrontarse con una
adecuada eleccin del proveedor. Para ello debe analizarse que las
condiciones de prestacin tengan en cuenta los elementos que permitan que el
tratamiento de datos se realice sin merma de las garantas que le son
aplicables.
Entre los riesgos asociados al Cloud Computing se encuentran:

Prdida de control: un riesgo significativo que presenta la computacin

en la nube es la prdida general de control sobre los datos transferidos a
la nube y de disponibilidad de la red externalizada a la nube. Por
ejemplo, en una configuracin TI ms tradicional, las organizaciones
tienen la capacidad de evaluar y ajustar sus sistemas de modo que
cumplan con las normas y reglamentos vigentes. Pero se podra
considerar que una organizacin est en incumplimiento si sus datos
son transferidos hacia una jurisdiccin que viola las normas. Y debido a
que muchos proveedores de Cloud Computing utilizan almacenes de
datos ubicados en mltiples jurisdicciones, el cumplimiento representa
un riesgo creciente. Adems, el panorama reglamentario siempre
cambiante aumenta el riesgo de violacin. Recientes eventos ocurridos
en la Agencia Nacional de Seguridad (NSA) y la inquietud en el
extranjero respecto del almacenamiento de informacin de residentes
fuera de los EE.UU. por empresas norteamericanas de tecnologa, ha
contribuido a aumentar el potencial riesgo.
Otras inquietudes relacionadas con la prdida de control dentro de la
nube podran incluir:
En ambiente de nube, el cliente no puede elegir a sus vecinos

un factor que podra afectar tanto el riesgo como la productividad.

Debido a que las interrupciones de los proveedores de Cloud
Computing

estn

ocurriendo

con

mayor

frecuencia,

una

organizacin que dependa de un proveedor para acceder a los

datos ms importantes que operan su red podra perder
considerable control en caso que su proveedor sufra un apagn o

un ataque.
Numerosos proveedores de Cloud Computing carecen de
tecnologa para operar su ambiente de nube, debido a lo cual
ellos externalizan su infraestructura a otro proveedor. Esta
disposicin

proveedor-del-proveedor

puede

dificultar

el

cumplimiento de las exigencias reglamentarias, la informacin de

incidentes de datos, la responsabilidad contractual, entre otros.

Seguridad de los datos: muchas organizaciones desconocen que la
responsabilidad de asegurar sus datos antes de enviarlos a la nube
depende de s mismas, puesto que los proveedores normalmente no
garantizan la seguridad de los datos almacenados en su nube. Es
importante destacar el hecho de que la mayora de los estatutos y
reglamentos

responsabilizan

al

propietario

de

la

informacin

(normalmente la organizacin que tiene una relacin directa con una

informacin personal individual) por cualquier violacin o manejo
inapropiado de los datos, por lo que se debe tener mucho cuidado a la

hora de confiar estos datos a un proveedor de Cloud Computing.

Riesgos contractuales: Uno de los riesgos ms significativos del Cloud
Computing, pero que frecuentemente no es tomado en cuenta, son los
contratos sesgados ofrecidos por algunos proveedores. Los gestores de
riesgos trabajan tradicionalmente con sus departamentos legales para
negociar que los trminos de los contratos con proveedores de servicios
sean menos amigables para el distribuidor a fin de mitigar las prdidas
ocasionadas por dichos proveedores de servicios, al responsabilizarlos
financieramente. Sin embargo, los proveedores de Cloud Computing no
estn

dispuestos

ofrecer

indemnizaciones,

limitaciones

de

responsabilidad y otras condiciones habituales, especialmente en

relacin con la privacidad y la seguridad de informacin. Dichos
proveedores esgrimen una serie de razones, pero las ms comunes son
que estos deberes y obligaciones adicionales amenazan el modelo de
bajo costo del Cloud Computing, y puesto que los mismos no saben lo

que almacenan sus suscriptores, no pueden ser considerados

responsables de segregar y asegurar esta informacin.
Cualquiera que sea el motivo, muchos proveedores no slo no estn
dispuestos a hacerse cargo contractualmente de los riesgos financieros,

sino que transfieren dichos riesgos a sus suscriptores.

Alto grado de distribucin: Las aplicaciones en la nube residen en
bibliotecas virtuales establecidas en extensos centros de datos remotos
y granjas de servidores que proveen servicios comerciales y
administracin de datos para varios clientes corporativos. Para ahorrar
dinero y mantener los costos bajos, los proveedores de Cloud
Computing distribuyen con frecuencia el trabajo a los centros de datos
alrededor del mundo, en donde el trabajo se pueda realizar con la mayor
eficiencia posible. Cuando los clientes acceden a la nube, tal vez no
conocen con precisin en dnde estn alojados sus datos.
La naturaleza dispersa del Cloud Computing dificulta el rastreo de la
actividad no autorizada. Casi todos los proveedores utilizan cifrado,
como la Capa de Sockets Seguros (SSL), para proteger los datos que
manejan mientras los transmiten de un lado a otro. No obstante, si los
datos se almacenan en dispositivos que tambin almacenan los datos de
otras compaas, es importante asegurar que estos datos almacenados

estn cifrados.
Vinculacin: la oferta actual en cuanto a herramientas, procedimientos
o formatos de datos estandarizados o interfaces de servicio que puedan
garantizar la portabilidad del servicio, de las aplicaciones y de los datos
resulta escasa. Por este motivo, la migracin del cliente de un proveedor
a otro o la migracin de datos y servicios de vuelta a un entorno de
tecnologas de la informacin interno puede ser compleja. Ello introduce
la dependencia de un proveedor en concreto para la prestacin del
servicio, especialmente si no est activada la portabilidad de los datos

como aspecto ms fundamental.

Eliminacin de datos insegura o incompleta: cuando se realiza una
solicitud para eliminar un recurso en la nube, al igual que sucede con la
mayora de sistemas operativos, en ocasiones el proceso no elimina
definitivamente los datos. Algunas veces, la eliminacin adecuada o
puntual de los datos tambin resulta imposible (o no deseable, desde la

perspectiva del cliente), ya sea porque existen copias adicionales de

datos almacenadas pero no disponibles, o porque el disco que va a ser
destruido tambin incluye datos de otros clientes. La multiprestacin y la
reutilizacin de recursos de hardware representan un riesgo mayor para
el cliente que la opcin del hardware dedicado.

RECOMENDACIONES PARA MINIMIZAR LOS RIESGOS DEL CLOUD

COMPUTING
La

compaa

estadounidense

de

soluciones

de

gestin

de

riesgos,

gobernabilidad y cumplimiento de normativas MetricStream, ofrece las

siguientes recomendaciones para minimizar los riesgos en la utilizacin del
Cloud Computing:

Los responsables del departamento de TI han de ser conscientes de que

los proveedores de servicios Cloud son una

extensin

de

su

departamento de TI interno, y los mismos riesgos que se corren dentro

de la organizacin lo sufren los proveedores fuera. La diferencia clave es
que para los departamentos de TI internos es ms fcil validar, aplicar y

administrar los controles necesarios para gestionar dichos riesgos.

Elegir un proveedor que pueda demostrar la validacin de los controles
que utiliza en cuanto a datos, accesibilidad, seguridad del centro de

datos y encriptacin de la informacin.

Optar por una nube privada, o por una nube privada virtual, donde los
sistemas son virtualmente separados entre s, a travs de un entorno

encriptado dentro de una nube pblica.

Analizar qu aplicaciones de las ya existentes son ms apropiadas para

la nube.
Solicitar al proveedor que disponga de un plan de recuperacin de
desastres. Una estrategia reversible interna ayudar adems a pasar

10

rpidamente a un modelo de servicio de TI alternativo.

Efectuar regularmente backups de activos cloud crticos y proteger los
datos con encriptacin fuerte.
Exigir al proveedor el envo de alertas de eventos de seguridad
especialmente sobre activos de misin crtica.

Realizar auditoras independientes de los proveedores de servicios para

conseguir una mayor transparencia y comprobar el cumplimiento de las
certificaciones clave de la industria como ISO 27001 y 27002, ISO 31000

y Payment Card Industry Data Security Standard (PCI DSS).

Aadir medidas de seguridad adicionales como acceso de firma nica
(Single Sign-On) a mltiples aplicaciones en la nube y emplear adems
marcos de seguridad como ITIL o ITSM.

11

CONCLUSIONES

El Cloud Computing representa un cambio importante en cmo pueden

las empresas y organismos pblicos procesar la informacin y gestionar
las reas TIC.

Con los modelos de soluciones de Cloud Computing se elimina la

necesidad de grandes inversiones y costos fijos, transformando a los
proveedores en empresas de servicios que ofrecen de forma flexible e
instantnea la capacidad de computacin bajo demanda.

A menudo es posible, y en algunos casos recomendable, que el cliente

transfiera el riesgo al proveedor; sin embargo, no todos los riesgos
pueden ser transferidos. Si un riesgo provoca el fracaso de una
organizacin,

perjuicios

graves

al

renombre

de

la

misma

consecuencias legales, es muy difcil, y en ocasiones, imposible, que un

tercero compense estos daos. En ltima instancia, se puede
subcontratar la responsabilidad, pero no es posible subcontratar la
obligacin de rendir cuentas.

12

BIBLIOGRAFA

De Pablos, Carmen, Lpez, Jos J., Martn-Romo, Santiago, Medina,

Sonia (2011). Organizacin y Transformacin de los Sistemas de

Informacin en la Empresa. Madrid: ESIC Editorial.

Cierco, David (2011). Cloud Computing: Retos y Oportunidades. Madrid:

Fundacin IDEAS.
Laudon, Kenneth C. y Laudon, Jane P. (2012). Sistemas de Informacin
Gerencial. Mexico: Pearson Educacin.