Índice

1. ISO 27k .................................................................................................................................. 3

1.1. Como funciona ISO/IEC 27001. .................................................................................... 3
1.2. Proceso de implementación de la ISO/IEC 27001 – Enfoque de las seis fases o pasos
esenciales del proceso. ............................................................................................................. 4
1.3. Sectores más interesados en la implementación de este sistema ............................. 5
1.4. Cómo implementar la ISO/IEC 27001 .......................................................................... 5
1.5. Metodologías ................................................................................................................ 9
1.5.1. Ciclo de Deming - Ciclo PDCA ............................................................................... 9
1.5.2. Metodología Magerit. ........................................................................................ 13
1.6. Sistema de Gestión de la Seguridad de la Información (SGSI). ................................. 15
1.7. ¿Para qué sirve un SGSI? ............................................................................................ 15
1.8. Fases del SGSI ............................................................................................................. 16
1.8.1. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y
criticidad 16
1.8.2. La implementación de controles ........................................................................ 17
1.8.3. Definición de un plan de tratamiento de los riesgos o esquema de mejora .... 17
1.8.4. El alcance de la gestión....................................................................................... 18
1.8.5. Contexto de organización ................................................................................... 18
1.8.6. Partes interesadas .............................................................................................. 18
1.8.7. Fijación y medición de objetivos ........................................................................ 19
1.8.8. El proceso documental ....................................................................................... 19
1.9. Alcance del SGSI.......................................................................................................... 19
1.10. Implantación de un SGSI ........................................................................................ 20
1.10.1. Documentación Mínima ..................................................................................... 20
1.10.2. Enfoque a Procesos............................................................................................. 20
2. CLOUD COMPUTING ........................................................................................................... 21
2.1. Definición de Cloud Computing ................................................................................. 21
2.2. Características esenciales del Cloud Computing ....................................................... 22
2.3. Tipos de Cloud ............................................................................................................ 23
2.3.1. Nubes públicas .................................................................................................... 23
2.3.2. Nubes privadas ................................................................................................... 23
2.3.3. Nubes hibridas .................................................................................................... 23
2.4. Tipos de servicios ........................................................................................................ 24
2.4.1. Software como Servicio (SaaS) ........................................................................... 24
2.4.2. Plataforma como Servicio (PaaS) ....................................................................... 25
 2.4.3. Infraestructura como servicio (IaaS) .................................................................. 25
2.5. Elementos comunes de la arquitectura de Cloud Computing ................................... 26
2.6. Seguridad en Cloud ..................................................................................................... 26
2.6.1. Problemas de seguridad y privacidad en Cloud Computing ............................. 27
2.7. Amenazas .................................................................................................................... 28
2.8. Riesgos ........................................................................................................................ 28
2.9. Situación actual del Cloud Computing en el mundo ................................................. 31
2.9.1. Situación actual del Cloud Computing en el Perú ............................................. 31
1. ISO 27k
ISO: La ISO es una organización no gubernamental, establecida en 1947 cuya misión es
promover el desarrollo de la estandarización y las actividades relacionadas, con el fin de
facilitar el intercambio de servicios y bienes y promover la cooperación en la esfera de
lo intelectual, científico, tecnológico y económico.

ESTANDAR: Un estándar es una publicación que recoge el trabajo en común de los

comités de fabricantes, usuario, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones, técnicas y mejores prácticas en la
experiencia profesional, con el objetivo de ser utilizada como regulación, guía o
definición para las necesidades demandadas por la sociedad y tecnología.

La ISO/IEC 27001 es una norma internacional emitida por la Organización Internacional

de Normalización (ISO), la que a su vez describe cómo gestionar la seguridad de la
información adecuada en una empresa. ISO/IEC 27001 puede ser a su vez implementada
en cualquier tipo de organización, la misa que a su vez puede ser, con o sin fines de lucro,
privada o pública, pequeña o grande. Está norma a su vez está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para implementar la
gestión de la seguridad de la información en una organización.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los
rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

1.1. Como funciona ISO/IEC 27001.

Cabe mencionar que a su vez el eje central de ISO/IEC 27001 es proteger la

confidencialidad, la integridad y disponibilidad de la información en una determinada
empresa. Para dicha actividad se encarga de investigar y revisar cuáles son los
potenciales problemas que podrían afectar la información (es decir, la evaluación de
riesgos) y luego define lo que es necesario hacer para evitar que estos problemas se
produzcan o se terminen manifestando (es decir, mitigación o tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma ISO/IEC 27001 es basada en la gestión de
riesgos: investigándolos y luego tratarlos sistemáticamente.

En cuanto a las medidas de seguridad (o controles) que se van a implementar estos se

presentan, por lo general, bajo la forma de políticas, procedimientos e implementación
técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las
empresas ya tienen todo el hardware y software pero utilizan de una forma no segura;
por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con
determinar las reglas organizacionales (por ejemplo, redacción de documentos)
necesarias para prevenir violaciones de la seguridad.
 Ilustración 1: Estructura de ISO/IEC 27001.

1.2. Proceso de implementación de la ISO/IEC 27001 – Enfoque de las seis

fases o pasos esenciales del proceso.

Dentro del proceso de implementación de la ISO/IEC 27001, podemos mencionar el

siguiente enfoque para su posible implementación como son los siguientes:

 Definir una Política de seguridad de Información

 Definir el Alcance del Modelo
 Efectuar un Análisis y Evaluación del Riesgo
 Definir Opciones del Tratamiento del Riesgo
 Seleccionar Controles a Implantar
 Preparar un enunciado de Aplicabilidad

Ilustración 2: Fases del proceso de implementación.

1.3. Sectores más interesados en la implementación de este sistema

Básicamente, la seguridad de la información es parte de la gestión global del riesgo en

una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de
la continuidad del negocio y con la tecnología de la información.

Aunque la norma ISO 27001 es perfectamente válida como guía o base para la
implementación de un SGSI en cualquier empresa u organización, con independencia de
su tamaño o sector, resulta especialmente interesante, y casi necesaria, en los siguientes
sectores:

 Salud.
 Sector público.
 Sector financiero.

1.4. Cómo implementar la ISO/IEC 27001

Para poder implementar éste estándar se sigue un enfoque de procesos basado en el

ciclo Deming del célebre Plan-Do-Check-Act(PDCA).

El modelo está basado en un enfoque racional para su desempeño y su

perfeccionamiento en el tiempo. Primero se exige que el modelo siga una serie de
prerrequisitos para que se establezca, a través de la fase denominada “plan”. Luego de
establecido el modelo se implementa y opera, siguiendo las lineamientos de la fase “do”.
Luego que el modelo se ha implantado y está funcionando, se debe monitorear y revisar
durante la fase “Check”. Por último, con lo observado en la fase “Do” se procede a
“actuar” y tomar los correctivos necesarios.

Ilustración 3: Diagrama de fases del PDCA.

El proceso de certificación es la generación de un informe firmado por parte de un
tercero (ajeno a la organización) que define que, de acuerdo con su criterio personal,
dicha organización cumple o no cumple con los requerimientos establecidos en la
normativa.

Una certificación es importante para que una organización pueda mostrar al mercado
que cuenta con un adecuado sistema de gestión de la seguridad de información. Una
empresa certificada no implica que ya no tenga riesgos de seguridad de la información,
sino que tienen un adecuado sistema de gestión de dichos riesgos y proceso de mejora
continua.

Evidentemente, el paso previo a intentar la certificación es la implantación en la

organización del sistema de gestión de seguridad de la información según ISO/ IEC
27001. Este sistema deberá tener un historial de funcionamiento demostrable de al
menos tres meses antes de solicitar el proceso formal de auditoría para su primera
certificación.

ISO/ IEC 27001 exige que el SGSI contemple los siguientes puntos:

 Implicación de la Dirección.
 Alcance del SGSI y política de seguridad.
 Inventario de todos los activos de información.
 Metodología de evaluación del riesgo.
 Identificación de amenazas, vulnerabilidades e impactos.
 Análisis y evaluación de riesgos.
 Selección de controles para el tratamiento de riesgos.
 Aprobación por parte de la dirección del riesgo residual.
 Declaración de aplicabilidad.
 Plan de tratamiento de riesgos.
 Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
 Definición de un método de medida de la eficacia de los controles y puesta en
marcha del mismo.
 Formación y concienciación en lo relativo a seguridad de la información a todo
el personal.
 Monitorización constante y registro de todas las incidencias.
 Realización de auditorías internas.
 Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio
SGSI y de su alcance.
 Mejora continua del SGSI.

Una vez implantado el SGSI en la organización, y con un historial demostrable de al

menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se muestra en
la ilustración y se desarrolla de la siguiente forma:

 Solicitud de la auditoría por parte del interesado a la entidad de certificación y

toma de datos por parte de la misma.
 Respuesta en forma de oferta por parte de la entidad certificadora.
 Compromiso.
 Designación de auditores, determinación de fechas y establecimiento conjunto
del plan de auditoría.
 Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte
información sobre la situación actual y oriente mejor sobre las posibilidades de
superar la auditoría real.
 Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se
trata del análisis de la documentación por parte del Auditor Jefe y la preparación
del informe de la documentación básica del SGSI del cliente, destacando los
posibles incumplimientos de la norma que se verificarán en la Fase 2. Este
informe se envía junto al plan de auditoría al cliente. El periodo máximo entre
la Fase 1 y Fase 2 es de 6 meses.
 Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan
in situ las políticas, la implantación de los controles de seguridad y la eficacia del
sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa
el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios,
así como posibles cambios de última hora. Se realiza una revisión de las
exclusiones según la Declaración de Aplicabilidad (documento SOA), de los
hallazgos de la Fase 1, de la implantación de políticas, procedimientos y
controles y de todos aquellos puntos que el auditor considere de interés.
Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
 Certificación: en el caso de que se descubran durante la auditoría no
conformidades graves, la organización deberá implantar acciones correctivas;
una vez verificada dicha implantación o, directamente, en el caso de no haberse
presentado no conformidades, el auditor podrá emitir un informe favorable y el
SGSI de organización será certificado según ISO/ IEC 27001.
 Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse
una auditoría de mantenimiento; esta auditoría se centra, generalmente, en
partes del sistema, dada su menor duración, y tiene como objetivo comprobar
el uso del SGSI y fomentar y verificar la mejora continua.
 Auditoría de re-certificación: cada tres años, es necesario superar una auditoría
de certificación formal completa como la descrita
 Ilustración 4: Proceso de auditoría de un SGSI.

En el Perú solo hay 5 empresas que están certificadas en esta norma a través de IRCA, las cuales
se muestran en la Tabla siguiente. Adicionalmente, la Oficina de Normalización Previsional ONP
también ha obtenido recientemente la certificación, constituyéndose en la primera institución
del Estatal Peruana en alcanzarla.
1.5. Metodologías

1.5.1. Ciclo de Deming - Ciclo PDCA

La presente metodología posee los 4 pasos iterativos que pueden ser adaptados
fácilmente a los sistemas de gestión siendo muy utilizado por las normas ISO de sistemas
de gestión, incluyendo la de gestión de seguridad de información.

Conocido como círculo, rueda o ciclo de Deming o círculo o ciclo PDCA, por sus siglas en
ingles Plan, Do, Check y Act. Se llama así debido a que nace a raíz de una conferencia
que dio el Dr. W. Edwards Deming en Japón el año 1950.
1.5.1.1. Plan = Establecer con planificación

Definir el alcance del SGSI en términos del negocio, la organización, su localización,

activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. Es
importante que defina los límites del SGSI ya que no tiene por qué abarcar toda la
organización; de hecho, es recomendable empezar por un alcance limitado). Es
importante disponer de un mapa de procesos de negocio, definir claramente los
interfaces con el exterior del alcance, determinar las terceras partes (proveedores,
clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear
mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de
organigramas organizativos, definir claramente los requisitos legales y contractuales
relacionados con seguridad de la información, etc.

Definir el enfoque de evaluación de riesgos mediante una metodología de evaluación

del riesgo apropiada para el SGSI y los requerimientos del negocio. El riesgo nunca es
totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una
estrategia de aceptación de riesgo estableciendo criterios de aceptación del riesgo y
especificar los niveles de riesgo aceptable.

Identificar los riesgos:

 identificar todos aquellos activos de información que tienen algún valor para la
organización que están dentro del alcance del SGSI y a sus responsables
directos, denominados propietarios;
 identificar las amenazas relevantes asociadas a los activos identificados;
 identificar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas;
 identificar el impacto que podría suponer una pérdida de confidencialidad,
integridad y disponibilidad para cada activo

Analizar y evaluar los riesgos:

 Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida

de confidencialidad, integridad o disponibilidad de un activo de información;
  Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad
en relación a las amenazas, vulnerabilidades, impactos en los activos y los
controles que ya estén implementados;
 Estimar los niveles de riesgo;
 Determinar, según los criterios de aceptación de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

 Aplicar controles adecuados (mitigación);

 Aceptar el riesgo (de forma consciente), siempre y cuando se siga cumpliendo
con las políticas y criterios establecidos para la aceptación de los riesgos;
 Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
 Transferir el riesgo total o parcialmente a terceros, p. ej., compañías
aseguradoras o proveedores de outsourcing.
1.5.1.2. Do=Implementar y utilizar el SGSI

 Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,

responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
 Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos
de control identificados, incluyendo la asignación de recursos,
responsabilidades y prioridades.
 Implementar los controles anteriormente seleccionados que lleven a los
objetivos de control.
 Definir un sistema de métricas que permita obtener resultados reproducibles y
comparables para medir la eficacia de los controles o grupos de controles.
 Procurar programas de formación y concienciación en relación a la seguridad de
la información a todo el personal.
 Gestionar las operaciones del SGSI.
 Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la
seguridad de la información.
 Implantar procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad.
 Desarrollo del marco normativo necesario: normas, manuales, procedimientos
e instrucciones.

1.5.1.3. Check= Monitorizar y evaluar

La organización deberá:

 Ejecutar procedimientos de monitorización y revisión para:

 Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política
y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de
las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.
 Medir la efectividad de los controles para verificar que se cumple con los requisitos de
seguridad.
 Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos
residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan
podido producirse en la organización, la tecnología, los objetivos y procesos de negocio,
las amenazas identificadas, la efectividad de los controles implementados y el entorno
exterior -requerimientos legales, obligaciones contractuales, etc.-.
 Realizar periódicamente auditorías internas del SGSI en intervalos planificados para
determinar si los controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos
de seguridad de la organización, están implementados y mantenidos con eficacia y
tienen el rendimiento esperado.
 Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance
definido sigue siendo las adecuadas y posibles mejoras en el proceso del SGSI, a la
política de seguridad o a los objetivos de seguridad de la información.
 Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos
encontrados durante las actividades de monitorización y revisión.
 Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el
rendimiento del SGSI.

1.5.1.4. Act=Mantener y mejorar

Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoría

interna SGSI y la revisión gerencial u otra información relevante, para lograr el
mejoramiento continuo del SGSI

1.5.2. Metodología Magerit.

La parte más importante para el diseño del SGSI, es el análisis y gestión de riesgos de los
activos de información que están involucrados dentro el proceso o procesos que abarca
el alcance del SGSI.

Esta metodología hace referencia al análisis y gestión de riesgos elaborada por el

Consejo Superior de Administración Electrónica, como respuesta a la percepción de que
la Administración, y, en general, toda la sociedad, dependen de forma creciente de las
 tecnologías de la información para el cumplimiento de su misión en las organizaciones
respectivamente.

1.5.2.1. Fundamentos de Magerit

Puntualmente esta metodología se basa fuertemente en analizar el impacto que puede
tener para la empresa la violación de su seguridad, busca la identificación de las
amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden
ser utilizadas por estas amenazas, logrando así tener una identificación clara de las
medidas preventivas y correctivas más apropiadas.

Lo interesante de esta metodología, es que presenta una guía completa y paso a paso
de cómo llevar a cabo el análisis de riesgos.

1.5.2.2. Etapas de Magerit

 La etapa 1, Planificación del análisis y gestión de riesgos, establece las
consideraciones necesarias para arrancar el proyecto de análisis y gestión de
riesgos.
 La etapa 2, Análisis de riesgos, permite identificar y valorar las entidades que
intervienen en el riesgo.
 La etapa 3, Gestión de riesgos, permite identificar las funciones o servicios de
salvaguarda reductores del riesgo detectado.
 La etapa 4, Selección de salvaguardas, permite seleccionar los mecanismos de
salvaguarda que hay que implementar.

1.5.2.3. Ventajas de la Metodología Magerit

La metodología Magerit permite saber cuánto valor está en juego en las organizaciones
y por ende ayuda a protegerlo. Así mismo conocer el riesgo al que están sometidos los
elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con esta
metodología, se persigue una aproximación metódica que no deje lugar a la
improvisación, ni dependa de la arbitrariedad del analista.

Ilustración 5: Marco de trabajo para gestionar los riesgos.

1.6. Sistema de Gestión de la Seguridad de la Información (SGSI).

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la

que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la
seguridad de la información.

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre

el que se construye ISO 27001. La gestión de la seguridad de la información debe
realizarse mediante un proceso sistemático, documentado y conocido por toda la
organización. Este proceso es el que constituye un SGSI, que podría considerarse, por
analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para
la seguridad de la información.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de

disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la
seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de
la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada, repetible, eficiente
y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización.

1.7. ¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organización. La confidencialidad, integridad y disponibilidad de
información sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de la organización y asegurar beneficios económicos.
 El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas
políticas y procedimientos en relación a los objetivos de negocio de la organización, con
objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la
propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información
y los asume, minimiza, transfiere o controla mediante una sistemática definida,
documentada y conocida por todos, que se revisa y mejora constantemente

1.8. Fases del SGSI

La norma ISO 27001 determina cómo gestionar la seguridad de la información a través

de un sistema de gestión de seguridad de la información.

El propósito de un Sistema de Gestión dela Seguridad dela Información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada, sistemática
y estructurada

Las fases son las siguientes:

1. Análisis y evaluación de riesgos.

2. Implementación de controles.
3. Definición de un plan de tratamiento de los riesgos o esquema de mejora.
4. Alcance de la gestión.
5. Contexto de organización.
6. Partes interesadas.
7. Fijación y medición de objetivos.
8. Proceso documental.
9. Auditorías internas y externas.

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en

base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión
de la calidad. El ciclo de estas cuatro fases nunca termina, todas las actividades deben
ser implementadas cíclicamente para mantener la eficacia del SGSI.

A continuación, pasamos a desarrollar cada una de estas fases:

1.8.1. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y

criticidad
Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la
identificación y análisis de las principales amenazas para, a partir de este punto de
partida, poder establecer una evaluación y planificación de dichos riesgos.

Una amenaza se puede definir como cualquier evento que puede afectar los activos de
información y se relaciona, principalmente, con recursos humanos, eventos naturales o
fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos,
infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.

Un correcto proceso de identificación de riesgos implica:

 Identificar todos aquellos activos de información que tienen algún valor para la
organización.
  Asociar las amenazas relevantes con los activos identificados.
 Determinar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas.
 Identificar el impacto que podría suponer una pérdida de confidencialidad,
integridad y disponibilidad para cada activo.

Criticidad del riesgo: Por este motivo, se deben evaluar las consecuencias potenciales
para poder evaluar su criticidad: riesgo aceptable y riesgo residual.

Riesgo aceptable

No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni

tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las
consecuencias a unos niveles que la organización pueda asumir, sin que suponga un
perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de
credibilidad, etc.

Riesgo residual

Se trata del riesgo que permanece y subsiste después de haber implementado los
debidos controles, es decir, una vez que la organización haya desarrollado
completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente,
pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar
el riesgo inherente.

1.8.2. La implementación de controles

Con el objetivo de que cada riesgo identificado previamente quede cubierto y pueda ser
auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta
113 puntos de control (en la versión anterior del 2005 eran 133).

Los 113 controles están divididos por grandes objetivos:

 Políticas de seguridad de la información.

 Controles operacionales.

Cada empresa, según su parecer, puede añadir más puntos de control si lo considera
conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control
Operacional, pero siempre debe estar alineados a lo que pide la norma.

1.8.3. Definición de un plan de tratamiento de los riesgos o esquema de mejora

Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de
mejora, en el que se tengan en cuenta las distintas consecuencias potenciales de esos
riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con
objetividad las diferentes amenazas.

Formas de afrontar el riesgo: Una empresa puede afrontar el riesgo básicamente de

tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

Eliminar el riego: Si el riesgo es muy crítico, hasta el punto de que pueda poner en
peligro la propia continuidad de la organización, ésta debe poner todos los medios para
tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se llegue
realmente a producir.
 Mitigarlo: En la gran mayoría de ocasiones no es posible llegar a la eliminación total del
riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que
no es un riesgo suficientemente crítico. En estos casos la organización puede aceptar el
riego, ser consciente de que la amenaza para la información existe y dedicarse a
monitorearlo con el fin de controlarlo.

Trasladarlo: Esta opción está relacionada con la contratación de algún tipo de seguro
que compense las consecuencias económicas de una pérdida o deterioro de la
información.

1.8.4. El alcance de la gestión

En la planeación para la implementación de un SGSI es muy importante definir el alcance
para la implementación del sistema en una organización.

Por lo general, las primeras áreas que se deben considerar son aquellas que, por sus
funciones y responsabilidades, ayudan en primera instancia a dar cumplimiento a la
misión institucional.

Pongamos un ejemplo concreto, la determinación de alcance y priorización de una

empresa comercial de tamaño mediano de compra y venta de artículos deportivos, que
vende por Internet y de forma presencial en sus diferentes sedes locales y nacionales,
podría ser la siguiente:

 Determinar que en primera instancia se deben cubrir áreas de contabilidad,

inventario y facturación por ser un tema sensible, donde se manejan datos
claves para la empresa.
 En segundo lugar, se deberían considerar la logística y atención al cliente, ya
estas áreas que permiten un trato directo con los mismos pudiendo mejorar su
satisfacción.
 El resto de áreas de la empresa, como el marketing, pueden no incluirse en
primera instancia en el SGSI, para irse introduciendo luego de manera
progresiva.

1.8.5. Contexto de organización

El análisis de contexto de la organización es fundamental para el SGSI, ya que nos
permite determinar los problemas internos y externos de la organización, así como sus
debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar.

1.8.6. Partes interesadas

Para poder realizar un correcto análisis de riesgo es preciso definir un contexto de la
organización y comprender las necesidades y expectativas de todas las partes
interesadas:

 Proveedores de servicios de información y de equipamientos de Tecnologías de

la Información (TICs).
 Clientes, poniendo especial cuidado en la gestión de datos de protección
personal.
 Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los
aspectos legales.
 Participación en foros profesionales.
 La sociedad en general.
1.8.7. Fijación y medición de objetivos
Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben poder ser
medibles, aunque no es necesario que sean cuantificables.

Otro aspecto básico es que estos objetivos deben ser eficientemente comunicados al
conjunto de los empleados de la empresa, puesto que todos los profesionales deben ser
conscientes de que participan en un objetivo común, y que un descuido o una mala
actitud pueden acarrear consecuencias muy negativas.

Por otro lado, cada objetivo definido tiene que estar asociado a unos indicadores que
permitan realizar un seguimiento del cumplimiento de las actividades.

1.8.8. El proceso documental

La norma ISO 27001 da mucha importancia a la documentación, estableciendo de
manera muy estricta cómo se debe gestionar la documentación y exigiendo que la
organización cuente con un procedimiento documentado para gestionar toda la
información. Esta cuestión es fundamental para la obtención de la certificación.

La organización debe gestionar tanto los documentos internos (políticas diversas,

procedimientos, documentación del proyecto, etc.), como lo externos (diferentes tipos
de correspondencia, documentación recibida con equipamiento, etc.). Por este motivo,
la gestión de documentación es una tarea compleja e integral.

1.8.9. Auditorías internas y revisión por la Dirección

Las auditorías internas: Para garantizar el correcto funcionamiento y mantenimiento
de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías
internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un
estado idóneo.
Existen dos grandes tipos de auditorías internas:
 Gestión. Donde se supervisa el liderazgo, el contexto, etc.
 Controles. En este caso se auditan los 113 controles, normalmente se realiza
por personal más experto y puede realizarse en años distintos.

Revisión por la Dirección: Es fundamental realizar revisiones periódicas del SGSI por
parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del
sistema, si se están cumpliendo los objetivos y también si se está produciendo un
Retorno de la Inversión (ROI).

La Alta Dirección de la organización es la máxima responsable de que el área auditada

lleve a cabo las acciones necesarias para eliminar las No Conformidades que se hayan
detectado durante la auditoría interna.

1.9. Alcance del SGSI

Para poder definir el alcance de un SGSI se deben identificar dentro de los procesos con
los que cuenta la empresa aquellos considerados como “core” para el negocio y
delimitar así el SGSI en base a ellos. Una vez identificados, deben definirse los servicios
de TI y activos de información involucrados en el soporte a dichos procesos para luego
realizar el correspondiente análisis de riesgos.

Los procesos críticos son aquellos que proporcionan el mayor valor a la empresa; es
decir, son la parte principal del negocio. Son procesos que de no existir o no funcionar
 con una regularidad controlada, la empresa no podría alcanzar sus metas y sus objetivos.
Por ende, la protección y continuidad de estos procesos es fundamental para cualquier
organización.

1.10. Implantación de un SGSI

1.10.1. Documentación Mínima

 Política y objetivos de seguridad.
 Alcance del SGSI.
 Procedimientos y controles que apoyan el SGSI.
 Descripción de la metodología de evaluación del riesgo.
 Informe resultante de la evaluación del riesgo.
 Plan de tratamiento de riesgos.
 Procedimientos de planificación, manejo y control de los procesos de seguridad
de la información y de medición de la eficacia de los controles.
 Registros.
 Declaración de aplicabilidad (SOA -Statement of Applicability-).
 Procedimiento de gestión de toda la documentación del SGSI.

1.10.2. Enfoque a Procesos

 Las actividades más relevantes son:
 Implicación de la Dirección.
 Alcance del SGSI y política de seguridad.
 Inventario de todos los activos de información.
 Metodología de evaluación del riesgo.
 Identificación de amenazas, vulnerabilidades e impactos.
 Análisis y evaluación de riesgos.
 Selección de controles para el tratamiento de riesgos.
 Aprobación por parte de la dirección del riesgo residual.
 Declaración de aplicabilidad.
 Plan de tratamiento de riesgos.
 Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
 Definición de un método de medida de la eficacia de los controles y puesta en
marcha del mismo.
 Formación y concienciación en lo relativo a seguridad de la información a todo
el personal.
 Monitorización constante y registro de todas las incidencias.
 Realización de auditorías internas.
 Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio
SGSI y de su alcance.
 Mejora continua del SGSI.
2. CLOUD COMPUTING
2.1. Definición de Cloud Computing

El Cloud Computing, o Computación en la Nube, nace de los términos: Cloud y

Computing.

 Cloud, o Nube, es el símbolo que se usa generalmente para representar la

Internet.
 Computing, o Computación, reúne los conceptos de informática, lógica de
coordinación y almacenamiento.
 Es así como el Cloud Computing consiste en mover la computación del simple
computador personal o centro de datos convencional hacia Internet. Son muy
numerosas las definiciones que se han operado del servicio de la computación en la
nube. A continuación, nos referiremos a algunas de las más significativas al respecto.

A continuación, se presenta la definición de Cloud Computing adoptada por la Mesa

Sectorial, la cual fue desarrollada por el Instituto Nacional de Estándares y Tecnología
de los Estados Unidos de América (NIST, 2009):

Cloud Computing es un modelo para habilitar el acceso a un conjunto de servicios

computacionales (Redes, servidores, almacenamiento, aplicaciones y servicios) de
manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y
liberados con un esfuerzo administrativo y una interacción con el proveedor del
servicio mínimos.

2.2. Características esenciales del Cloud Computing

Cuando contratamos un servicio en la nube seleccionamos una serie de recursos

computacionales como servidores, aplicaciones o equipos de comunicaciones, y los
dimensionamos según nuestras necesidades. Así elegimos por ejemplo el número de
procesadores, la memoria, la capacidad de almacenamiento o el número de usuarios. El
precio variará según nuestra selección.

Característica Descripción Ejemplo

Pago por uso El precio del servicio varía Si necesito más capacidad
en función de las de proceso por un pico de
necesidades del cliente de trabajo solicitaré más
manera flexible. recursos y solo tendré que
pagar más por el tiempo de
uso extra.
Acceso desde la red Como los recursos están Es posible acceder al panel
alojados en la red se de gestión de nuestras
pueden acceder a los aplicaciones, y como
mismos desde cualquier usuarios desde distintas
lugar. oficinas o desde el
teléfono móvil.
Recursos compartidos Los recursos están en Las pymes pueden
reservas comunes a no ser disponer de recursos, por
que se contraten servicios tamaño o precio, antes
de nube privada, es decir solo destinados a la gran
se comparte hardware y empresa.
software.
Recursos a la carta o Los clientes pueden Si aumenta nuestra
escalabilidad redimensionar los necesidad de recursos
recursos que contratan de podemos cambiarla desde
manera rápida y eficaz en el panel de control de
casi cualquier momento. Cloud y estará a nuestra
disposición en un plazo
razonable.
Servicio supervisado El control y la optimización No tenemos que prever la
de los recursos se compra de más equipos o
 automatizan por el de nuevas licencia de
proveedor de los servicios software, ni tendremos
en la nube siendo este que contratar técnicos
proceso, transparente para mantenimiento de
para el cliente. equipos.

2.3. Tipos de Cloud

2.3.1. Nubes públicas

En las nubes públicas, los servicios que se ofrecen se encuentran en servidores externos
al usuario, pudiendo tener acceso a las aplicaciones de forma gratuita o de pago.

Ventajas
 Escalabilidad.
 Ahorro de tiempo y costes.
 Mayor eficiencia de los recursos.
Inconvenientes
 La infraestructura es compartida.
 Hay poca transparencia para el
cliente de cloud ya que no se sabe el
resto de recursos que se puede estar
compartiendo.

2.3.2. Nubes privadas

En las nubes privadas, sin embargo, la plataforma se encuentra dentro de las
instalaciones del usuario de la misma y no suele ofrecer servicios a terceros. En general,
una nube privada es una plataforma para la obtención solamente de hardware, es decir,
máquinas, almacenamiento e infraestructura de red (IaaS), pero también se puede tener
una nube privada que permita desplegar aplicaciones (PaaS) e incluso aplicaciones
(SaaS).

Ventajas Inconvenientes
 Cumple con las políticas internas  Elevado coste.
ofreciendo mayor seguridad que las  Dependencia de la infraestructura
publicas contratada.
 Control total de los recursos.

2.3.3. Nubes hibridas

Las nubes híbridas consisten en combinar las aplicaciones locales con las de la nube
pública. Se puede ver también como aplicación privada que se ve aumentada con los
servicios de Cloud Computing y la infraestructura. Esto permite a una empresa mantener
el control de sus principales aplicaciones, al tiempo de aprovechar el Cloud Computing
en los lugares donde tenga sentido.

Ventajas
 Maximiza el valor al utilizar recursos
privados y compartidos.
 Reducción de costes.
Inconvenientes
 Riesgo al combinar dos modelos de
implementación diferente.
 Control de la seguridad entre ambas
nubes.
2.4. Tipos de servicios

Para conocer el funcionamiento del Cloud Computing es fundamental conocer las tres
opciones o tipos de servicio en Cloud: Software como Servicio (SaaS), Plataforma como
Servicio (PaaS) e Infraestructura como Servicio (IaaS); como se muestra en la Figura,
estos modelos de entrega pueden ser vistos en un contexto jerárquico. Para el usuario
final sólo SaaS es visible, mientras que los desarrolladores utilizan PaaS y IaaS para
desplegar sus aplicaciones.

Ilustración 6: Esquema de Cloud Computing.

2.4.1. Software como Servicio (SaaS)

En los servicios de tipo SaaS el proveedor entrega al cliente el software instalado en sus
instalaciones para su uso a través de internet, siempre que lo demande el usuario (bajo
demanda).El correo web, las suites ofimáticas o los paquetes de desarrollo del negocio
a los que se puede acceder online son un buen ejemplo de este tipo de servicios.

Permite el acceso a la aplicación utilizando un navegador web o una app, sin necesidad
de instalar programas adicionales en el ordenador o teléfono móvil. Es adecuado para
usuarios que solamente necesitan utilizar las aplicaciones. Los usuarios aportan sus
datos y pueden personalizar la aplicación dentro de los límites que marca el proveedor.
No existen costes tecnológicos de hardware, software o soporte técnico.

Ventajas Inconvenientes
 Reducción drástica de costes.  Integración con aplicaciones
 Reducción de tiempos debido a que existentes en la organización.
el software ya está instalado.  Incertidumbre en relación al
 Escalabilidad. dueño de las aplicaciones.
 Facilidad de uso.  Gran dependencia del
proveedor.

En cuanto a la seguridad como es el proveedor quien gestiona toda la infraestructura

sobre el recaen la mayoría de las obligaciones de poner las medidas de seguridad para
garantizar la seguridad de los datos de los clientes.
2.4.2. Plataforma como Servicio (PaaS)
En los servicios del tipo PaaS el proveedor entrega una plataforma al cliente con el
hardware, el sistema operativo y el middleware o las API(Interfaces de programación
de aplicaciones) necesarias para que el cliente pueda instalar software y desarrollar un
servicio o una aplicación.

Algunos ejemplos son:

 El servidor web preinstalado y el alojamiento para crear una página web que
mantenemos nosotros, instalando el gestor de contenidos o CMS.
 El servicio contratado para crear o subir BBDD cuando el cliente instala su propio
gestor de base de datos en la plataforma alquilada.
 Los servicios que se contratan para poder instalar una aplicación que sirva
contenidos como por ejemplo videos en streaming.
 Las plataformas para la creación de aplicaciones como cuadros de mando,
sistemas de reporting (BI Business Intelligence) o analítica Big Data.

Ventajas Inconvenientes
 Facilidad para administrar la  Dependencia del proveedor
plataforma.  Dudas sobre la
 Sencillez a la hora de permitir un confidencialidad de los datos
desarrollo propio.
 Facilidad de integración con el resto
de plataforma.

En cuanto a la seguridad en este tipo de servicio está repartida entre el proveedor y el

cliente. El proveedor gestiona la plataforma y debe garantizar su seguridad, pero el
cliente es el responsable de las aplicaciones que instala o desarrolla.

2.4.3. Infraestructura como servicio (IaaS)

En los servicios del tipo IaaS el proveedor entrega al cliente el acceso a la infraestructura
de computación bajo demanda usando principalmente la virtualización. Es adecuado
para organizaciones que necesiten una mayor versatilidad ya que permite ejecutar
prácticamente lo que la organización desee. Presenta un coste elevado ya que la
empresa es la encargada de mantener todo el software que instale.

Algunos ejemplos son los centros virtuales de datos o los sistemas de respaldo. El
proveedor utiliza entornos de virtualización para entregar al usuario el espacio en disco
o la capacidad de proceso o los routers solicitados por el cliente como si fueran un
servicio.

Ventajas Inconvenientes
 Flexibilidad en relación a la  Soporte ofrecido ya que al
infraestructura necesaria por el estar externalizado el
cliente. servicio es más complicado
 Rapidez de instalación. solucionar el problema de
 Facilidad a desplegar las una forma rápida.
instalaciones del cliente.
 En cuanto a la seguridad en este caso también está repartida. El proveedor gestiona la
infraestructura y debe garantizar su seguridad que será principalmente física, pero el
cliente es responsable de los sistemas y aplicaciones que despliega en ella.

2.5. Elementos comunes de la arquitectura de Cloud Computing

Aunque las nubes varían ampliamente en cuanto a detalles de implementación, la

arquitectura de cloud computing suele incluir estos elementos comunes:

 Nivel de virtualización. La virtualización de los servidores y la virtualización del

almacenamiento juegan un papel clave en la arquitectura de cloud computing,
puesto que ofrecen una de las principales ventajas de la nube: la agilidad. Un nivel
de virtualización permite a los proveedores aprovisionar o desaprovisionar
rápidamente servidores en la nube para satisfacer las necesidades de los usuarios
del servicio.

 Almacenamiento escalable horizontalmente. La escalabilidad es otro rasgo

distintivo de la arquitectura de cloud computing y desde el punto de vista del
almacenamiento, se suele derivar de tecnologías que aprovechan grandes grupos
de componentes de hardware de consumo que se pueden ampliar de manera
sencilla y económica según crece la demanda de infraestructura y recursos de
almacenamiento.

 Mecanismos para admitir varios inquilinos. Un servicio de cloud computing debe

permitir la segregación física o virtual de los datos almacenados según el inquilino y
ser capaz de hacer un seguimiento del uso del servicio por inquilino. Es importante
destacar que el uso de varios inquilinos es una característica integral incluso en
nubes privadas: en este contexto, los inquilinos son los diferentes departamentos o
grupos de trabajo dentro de la empresa.

 API web. Otro elemento clave de la arquitectura de cloud computing es un conjunto

de API web (con métodos estándar, como llamadas HTTP RESTful, XML y SOAP) a
través de las cuales se puede llamar a los servicios en la nube. Esto permite que los
servicios estén disponibles a través de un navegador web estándar o de otra
aplicación cliente HTTP.

2.6. Seguridad en Cloud

Utilizar servicios en la nube conlleva un cambio en la forma de entender la seguridad

informática ya que deja de estar completamente bajo nuestro control y pasa a estar
parcial o totalmente delegada en los proveedores.

Una parte importante de cualquier servicio Cloud recae sobre la empresa proveedora
pues será la encargada de garantizar la seguridad física en sus centros de procesos de
datos. Del mismo modo, deberá mantener sus equipos actualizados tanto a nivel de
hardware como software para hacer frente a las amenazas existentes en internet.

Esto no significa que el proveedor del servicio se encargue de todo y que ya no sean
necesarios los administradores del sistema en nuestra organización. Tanto si se utiliza
un servidor en la nube (IaaS) como si se utiliza un entorno de desarrollo (PaaS) la
empresa es responsable de mantener el sistema operativo y las aplicaciones que instala
correctamente configuradas, actualizadas a las últimas versiones y con todos los parches
de seguridad que van apareciendo.

2.6.1. Problemas de seguridad y privacidad en Cloud Computing

Entre los más relevantes se pueden identificar:

Vulnerabilidades en el proveedor de cloud computing. Pueden ser a nivel de plataforma

como inyección SQL o XSS (Cross-Site Scripting). Se han dado en Salesforce.com, Google
Docs. Como posibles contramedidas la herramienta de IBM AppScan que explora
vulnerabilidades en servicios Web como un servicio de seguridad de nube.

Ataques a nivel de VM. Un problema potencial en arquitecturas de multi-arrendamiento

son las posibles vulnerabilidades en el hipervisor o tecnología VM (Virtual Machine)
utilizada por los proveedores de nubes. Han aparecido y seguirán apareciendo
vulnerabilidades en VMware, Xen, Virtual PC y Virtual Server de Microsoft. Algunas
formas de mitigar estas vulnerabilidades son los parches, la monitorización y los
IDS/IPS/firewall.

Phishing/Scams en proveedores de cloud computing. Un ejemplo es el caso del incidente

de phishing de Salesforce. Como contramedidas utilizar herramientas anti-
fraude/ingeniería social.

Ilustración 7: Algunos ataques en Cloud Computing.

2.7. Amenazas

Las amenazas dependen del tipo de servicio contratado y de su forma de contratación y

de despliegue. También será distinta la forma de afrontarlas según el grado de control
sobre el servicio que recae en el proveedor y el cliente acordado en el ANS (Acuerdos de
Nivel de Servicio). Las más importantes son:

 Accesos no autorizados: Si proveedor y cliente no toman conjuntamente las

medidas de seguridad adecuadas, no habrá posibilidad de controlar los accesos
a la información. Los accesos no autorizados pueden provocar robo de datos,
inyección de código malicioso, etc.
 Amenazas internas: Empleados insatisfechos o exempleados pueden provocar
situaciones de riesgo si no se gestionan los permisos y privilegios de acceso.
 Interfaces inseguras: Si las interfaces que proporciona el proveedor para
acceder a la plataforma en la nube no son del todo seguras y presentan fallos
de seguridad, estos pueden ser explotados por terceros para acceder a nuestra
información.
 Problemas derivados de uso de las tecnologías compartidas: Si contratamos
una infraestructura compartida existe la amenaza de que por un fallo de
seguridad usuarios de otras empresas puedan acceder a nuestra información.
 Fuga de información: Como resultado de un ataque de ingeniería social o por
una inyección con malware, un delincuente puede conseguir que algún servicio
envíe información confidencial. También en el caso de que las operaciones de
transferencias de datos no estén cifradas puede producirse una fuga de
información.
 Suplantación de identidad: Si los ciberdelincuentes consiguen por ingeniería
social, fuerza bruta o descuido las credenciales de algún usuario podrá acceder
a la plataforma suplantándole, pudiendo manipular la información, actuar en su
nombre, etc.
 Desconocimiento del entorno: Si el personal encargado de implantar las
políticas no conoce el entorno cloud, las políticas estarán mal configuradas y no
serán eficaces.
 Ataques de hacking: Sucede cuando una persona maliciosa intenta robar o
acceder a la información que maneja alguno de los empleados de la
organización.

2.8. Riesgos

Las amenazas pueden transformarse en incidentes si se dan las circunstancias para ello,
provocando daños en la reputación y pérdidas económicas. Para ser consiente de estas
circunstancias es necesario realizar una evaluación de los riesgos que afectan al servicio
que vamos a contratar para así poder poner las medidas adecuadas para tratarlos.

 Acceso de usuarios con privilegios: Este riesgo (perdida de confidencialidad,

integridad e incluso disponibilidad) aparece cuando un empleado con privilegios
de administrador accede cuando no debería o actúa de forma maliciosa
alterando datos o configuraciones.
 Incumplimiento normativo: Este tipo de riesgo que puede tener consecuencias
administrativas o penales, aparece cuando el proveedor no cumple, o no nos
permite cumplir con las obligaciones legales de la empresa .Por este tipo de
infracciones la empresa se puede enfrentar a sanciones legales.
 Desconocimiento de la localización de los datos: Cuando se contrata un servicio
a un proveedor que aloja nuestros datos en un Centro de Datos del cual
desconocemos su ubicación, ponemos a riesgo la seguridad de los mismos al
desconocer la legislación de otros países.
 Falta de aislamiento de los datos: En los servicios en los que una empresa
comparte la infraestructura en la nube con otras es necesario que el proveedor
gestione que los datos de las distintas empresas n se mesclen y que cada
empresa solo tenga acceso a los suyos.
 Indisponibilidad del servicio en caso de desastre o incidencia: Si el proveedor
sufre un incidente grave o un desastre y no tiene un plan de continuidad por
ejemplo los servicios y los datos replicados en otro centro de datos no podrá
seguir brindando servicio.
 Carencia de soporte investigativo: En caso de que ocurra un incidente, es
necesario revisar los accesos a los datos para saber que ha ocurrido. En este
caso el proveedor debe garantizar el acceso a los logs o registros de actividad.
 Viabilidad a largo plazo: Existe el riesgo de que las condiciones del contrato
sufran alguna modificación debido al cambio de estructura del proveedor, de la
alta dirección, a la entrada de situación de quiebra o a que decida externalizar
parte de sus servicios.
2.9. Situación actual del Cloud Computing en el mundo

De todas las tendencias que constituyen el proceso de transformación digital que se vive
en las empresas a nivel global, la computación en la nube es la que goza de mayor
popularidad, la más adoptada por organizaciones de todos los tamaños y la que genera
mayores expectativas. Big Data, el Internet de la Cosas y otras tendencias paralelas están
todavía en pañales, mientras que la mayoría de organizaciones ya adoptaron o planean
hacerlo el modelo de computación en la nube. Un estudio de IDC y Cisco encontró que
al menos 50% de las empresas utilizan alguna de las modalidades de computación en la
nube: infraestructura, software o plataformas que se pagan como un servicio.

Según Gartner, América Latina está sorprendentemente atrás del resto del mundo en la
adopción de servicios cloud. Apenas 16% de los CIOs de la región indican que ya
adoptaron alguna forma de Cloud Services frente a una media mundial de 23% y más
del 59% no tiene intención de adoptar Cloud en los próximos tres años frente a un
promedio mundial de 31%.

2.9.1. Situación actual del Cloud Computing en el Perú

Según el último estudio elaborado por IDC para Cisco Siete de cada diez organizaciones
en Perú ya ha adoptado algún producto o servicio en la nube (cloud computing), pero la
inmensa mayoría todavía no le saca el máximo provecho a esta tecnología.

“En el Perú, el uso empresarial del cloud computing se encuentra en una etapa
incipiente, principalmente por la escasez de conocimiento. Si una empresa utiliza de
manera eficiente estas aplicaciones aumentaría en 30% su productividad”, aseguró el
Ing. Carlos Andrés López, gerente general de Digital Way, empresa del Grupo Romero
especializada en internet dedicado para empresas.

El Perú ocupa el puesto 106 de 146 países en el uso de Tecnologías de la Información

(TIC), según el estudio de World Economic Forum del 2012. En Latinoamérica, los
mejores ubicados son Chile (39), Uruguay (44), Panamá (57), Costa Rica (58) y Brasil (65).
El Perú solo supera a Venezuela (107), Paraguay (111), Bolivia (127) y Nicaragua (131), e
incluso estamos al lado de países de África y Medio Oriente que exhiben una pobre
performance en TIC.