El Proyecto Final de Ntic's

1. 1
CLOUD COMPUTING: SOBRE LAS VENTAJAS
Y DESVENTAJAS EN LA SEGURIDAD DE LA
INFORMACIÓN
Quilver Celi, Herrera Denisse, León Luis , Salazar Marjorie , qceli1@utmachala.edu.ec, dherrera5@utmachla.edu.ec,
lleon8@utmachala.edu.ec, msalazar5@utmachala.edu.ec, Universidad Técnica De Machala, Campus Principal
Machala Av. Panamericana Km5 ½ Vía a Pasaje
Resumen— El desarrollo del Internet es constante y sus usos
variados, es por ello que el trabajo que se presentará a
continuación muestra los servicios de computación en la nube
que tiene un alcance mundial, aunque sus utilidades son
desconocidas en ciertos sectores, se buscará esclarecer las
normativas de seguridad que rodean este tema. El método de
trabajo será la revisión informativa de artículos científicos y
otros enlaces de interés en la web, estudio de correlación y
técnica de fichaje, una encuesta realizada a las PYMEs de El
Oro. Los criterios para la búsqueda de la información fueron:
protección de datos, regulación de las obligaciones de
prestadores de servicios en Internet; desde las leyes relacionadas
que afecten la seguridad de la información que puede ser para
corporaciones, gobiernos, personas privadas o naturales. Por lo
tanto se pretende encontrar las principales características que
concierne a la normativa de seguridad de Computación en la
Nube en especial nuestro país, a través de la investigación en
diferentes bibliotecas Virtuales y Base de Datos. Concluyendo
con esclarecer si la seguridad de la información es la razón para
hacer uso de Computación en la Nube o las razones para no
usarla desde perspectiva de las PYMES de El Oro.
Palabras clave: computación en la nube, normativas, legal, ventajas,
desventajas, protección.
Abstract-- The development of the Internet is constant and its
uses varied, which is why the work that will be presented below
shows the cloud computing services that has a worldwide reach,
although its utilities are unknown in certain sectors, it will seek
to clarify the regulations Security surrounding this issue. The
work method will be the informative review of scientific articles
and other links of interest on the web, correlation study and
signing technique, a survey of PYMEs in El Oro. The criteria for
the search for information were: protection of data, regulation of
the obligations of Internet service providers; from related laws
that affect the security of information that may be for
corporations, governments, private or natural persons.
Therefore, it is intended to find the main characteristics that
concern the security regulations of Cloud Computing,especially
our country, through research in different Virtual Libraries and
Database. Concluding with clarifying whether information
security is the reason to make use of Cloud Computing or the
reasons for not using it from the perspective of PYMEs in El
Oro.
Keywords: cloud computing, regulations, legal, advantages,
disadvantages,protection.
I. INTRODUCCIÓN
l concepto de computación en la nube no es nuevo, hace
varios años se escucha hablar de conceptos como los ASP
(proveedores de servicios de aplicación).
Los primeros proveedores de servicios de internet que
empezaron a hablar de computación en la nube o Cloud
Computing fueron: Google, Amazon AWS, Microsoft entre
otros. Estas empresas cuentan con centros de cómputo de gran
tamaño, ofreciendo un sin número de servidores de gran
capacidad. Es así como podemos decir que, Computación en la
Nube consiste en trasladar la información del computador que
utilizamos en la empresa, personal o centro de datos tradicional
hacia Internet. La Computación en la Nube es un concepto que
integra el software como servicio, e Internet como una red de
transferencia de información entre equipos y servidores, que
integran la red para obtener un alto rendimiento del proceso
individual.
Una de las características de computación en la nube es la gran
cantidad de recursos disponibles y la flexibilidad en los servicios
ofrecidos, en la infraestructura del proveedor y compartida con
muchos usuarios. Este concepto es un nuevo paradigma en el
que la información se almacena de manera permanente en
servidores en Internet.
Los servicios que incluye computación en nube son:
❖ Almacenamiento
❖ Procesamiento
❖ Memoria
❖ Ancho de banda de red
❖ Máquinas virtuales. [1]
La computación en la nube es inherentemente una actividad que
trasciende las fronteras territoriales. El modelo puede
consolidarse como un instrumento “acelerador” para que una
empresa logre evolucionar en su competitividad. La migración
al Cloud Computing es un tema de actualidad. El cloud se perfila
como una alternativa ágil y eficiente para que las PYMES
puedan acceder a soluciones y servicios tecnológicos que
permitan optimizar su negocio y lograr una mejora significativa
en sus operaciones y, por ende, lograr una notable mejora
competitiva en el mercado. Sin embargo, cuando una empresa
decide migrar al cloud se enfrenta a varios factores relacionados
a la seguridad de su preciada información: ¿Perdería el control
de mis datos? ¿Estaría sujeto a la seguridad que el proveedorme
pueda brindary perdería la autonomía y el gobierno de seguridad
de mi empresa? ¿Se pierde la gestión de los recursos
tecnológicos? ¿Sigo siendo el dueño de la información? ¿Cómo
se realizaría la identificación y el control de acceso a los
recursos?.[2] Todas estas cuestiones por causa de la neofobia
E

2. 2
son por las que aún las empresas no están seguras de migrar al
cloud computing.
II. METODOLOGÍA
ara este trabajo se hizo una revisión de información en las
bibliotecas virtuales Taylor&Francis, SCOPUS, Scielo; la
base de datos de la Universidad Técnica de Machala
(UTMACH), se leyó 6 de artículos y diversos sitios web, de los
cuáles escogimos información que será pertinente al trabajo. Se
desarrolló un formulario a 343 PYMEs de la Provincia de El
Oro, la muestra necesaria se obtuvo del cálculo de muestra que
sigue la siguiente fórmula:
N: es el tamaño de la población o universo (número total de
posibles encuestados).
k: es una constante que depende del nivel de confianza que
asignemos. El nivel de confianza indica la probabilidad de que
los resultados de nuestra investigación sean ciertos: un 95,5 %
de confianza es lo mismo que decir que nos podemos equivocar
con una probabilidad del 4,5%.
Los valores k más utilizados y sus niveles de confianza son:
La extensión del uso de Internet y la comodidad que
proporciona, tanto para elencuestador como para elencuestado,
hacen que este método sea muy atractivo.
Tabla 1: Los valores k más utilizados y sus niveles de confianza
K 1,15 1,28 1,44 1,65 1,96 2 2,58
Nivel de
confianza
75% 80% 85% 90% 95% 95,5% 99%
e: es el error muestral deseado. El error muestral es la diferencia
que puede haber entre el resultado que obtenemos preguntando
a una muestra de la población y el que obtendremos si
preguntamos al total de ella. Ejemplos:
Ejemplo 1: si los resultados de una encuesta dicen que 100
personas comprarían un producto y tenemos un error muestral
del 5% comprarán entre 95 y 105 personas.
p: es la proporción de individuos que poseen en la población la
característica de estudio.Este dato es generalmente desconocido
y se suele suponerque p=q=0.5 que es la opción más segura.
q: es la proporción de individuos que no poseen esa
característica, es decir, es 1-p.
n: es el tamaño de la muestra (número de encuestas que vamos
a hacer).[3]
Tabla 2: Datos y resultado para la muestra.
N k e p q n
2390 2 5 0.5 0.5 243
III. DESARROLLO
Los proveedores pueden ofrecerservicios a los clientes en todo
el mundo, involucrando a una cadena de intermediarios o
subcontratistas repartidos portodo elmundo. Los datos pueden
almacenarse en los servidores, la ubicación y el control que
desconocen los clientes; Los datos, el software y las
aplicaciones pueden ser accesibles desde cualquier parte del
mundo.[4]
Los enfoques inconsistentes para la protección de datos en un
entorno de Internet sin fronteras afectan a las corporaciones,los
gobiernos,las personas privadas [5] y a las personas naturales.
La seguridad de la información es un concepto que abarca un
conjunto de normas, que, en muchas ocasiones de forma
voluntaria, se adhiere una organización con el fin de mejorar los
procesos y garantizar un mayor nivel de protección,
minimizando y conociendo los riesgos con los que se puede
encontrar.
En este trabajo vamos a repasar de forma general aquellas
normas que debe considerar cualquier organización, y las que
tomaremos relaciones con:
Protección de datos, regulación de las obligaciones de
prestadores de servicios en Internet.[6]
Para el desarrollo de este trabajo se realizó una búsqueda de
información donde se determinó importante que para
correlacionar las ventajas y desventajas de la Computación en la
Nube y la Seguridad de la Información en nuestro país, los
siguientes aspectos:
A. REGLAMENTO GENERAL DE PROTECCIÓN DE
DATOS (RGPD)
El RGPD se aplica en los casos siguientes:
● su empresa o entidad trata datos personales como
parte de las actividades de una de sus sucursales establecidas
en la Unión Europea (UE), independientemente del lugar
donde sean tratados los datos,o
● su empresa está establecida fuera de la UE y ofrece
productos o servicios (de pago o gratuitos) u observa el
comportamiento de las personas en la UE. [7]
Si su empresa es una pequeña o mediana empresa (pyme) que
trata datos personales según lo descrito arriba debe cumplir el
Reglamento. Sin embargo, si el tratamiento de datos personales
no constituye la parte principal de su negocio y su actividad no
entraña riesgos para las personas, no estará sujeto a algunas
obligaciones del RGPD [como el nombramiento de un delegado
de protección de datos (DPD)]. Cabe señalar que las
«actividades principales» deben incluir actividades en las que el
tratamiento de datos forme una parte indisociable de la actividad
del responsable o encargado del tratamiento. [7]
B. MARCO LEGAL: ISGCloud
En este marco de gobierno ISGCloud (Information Security
Gobernance for Cloud Computing Services), este apartado se ha
considerado mencionar de manera general un marco de gobierno
P

3. 3
diseñado específicamente para el gobierno de seguridad en los
entornos Cloud Computing. Este marco muestra un modelo a
seguir para proveedores de servicios cloud y un modelo de
evaluación que puede servir a los clientes para medir la calidad
del servicio contratado, así como determinar el nivel de
seguridad que brindan.
Este marco de referencia se enfoca en procesos modelados
empleando la especificación SPEM 2.0 (Software & Systems
Process Engineering Meta-Model), lo que permite que pueda ser
implementado por cualquier organización, utilizando nuevos
procedimientos internos o modificando existentes. Está
diseñado bajo una perspectiva de dos dimensiones (Gobierno de
seguridad de la información y Seguridad de los servicios Cloud
Computing) con lo que garantiza el cumplimiento de los
aspectos de seguridad necesarios.
ISGCloud está basado en el ámbito de Gobierno de Seguridad
de la Información, por lo que se enmarca en tres procesos y uno
adicional agregado al final para este marco de gobierno, estos
son:
 Evaluar el uso actual y futuro de las TI;
 Dirigir la preparación e implementación de políticas para
asegurar que las TI cumplen con los objetivos del negocio;
 Monitorizar el cumplimiento de las políticas y el rendimiento
de las acciones planificadas
 Comunicar, enfatiza la importancia de la difusión del
conocimiento de seguridad en el marco de gobierno.[8]
Muchos de los proveedores de Cloud Computing ofrecen el
servicio, pero no indican en qué país están alojada la
información, sabiendo esto, Francia está invirtiendo millones de
euros en el diseño de su propia Nube, evitando que empresas o
personas de su país almacenen información en otras nubes de las
cuales no puedan tener jurisdicción. [1]
C. PROPUESTAS DE GOBIERNO
En algunas empresas es destacar criterios como “administrar
Gobierno Cloud, para ello en primera instancia se escogió tres
propuestas: Cloud Governance, Modelo de Evolución al Cloud
y Modelo basado en COSO ERM Framework, destacando en
cada uno de ellos su estructura, información necesaria para
luego realizar un análisis comparativo.” [9]
El numeral 19 del art. 66 de la Constitución vigente desde el
2008 estipula el derecho a la protección de los datos de carácter
personal. Pero aún no está regulado, igual que en otros dos
países de la región: Venezuela y Bolivia, dice Lorena Naranjo,
titular de la Dirección de Registro de Datos Públicos. [10]
El art. 229 del Código Orgánico Integral Penal sanciona con
uno a tres años de prisión a quien revele datos que “violen el
secreto, la intimidad y la privacidad de las personas”. Si es un
servidor público o empleado bancario, la pena es de tres a cinco
años. Incluso, el art. 360 del Código Orgánico Monetario y
Financiero prohíbe la comercialización de las referencias
crediticias. La Superintendencia de Bancos tiene hasta
septiembre para asumir el manejo de estos registros.
Julio José Prado, presidente de la Asociación de Bancos
Privados, dice que las entidades financieras tienen la obligación
de manejar la información de sus clientes con sigilo y que la
filtración viene por vías como internet, redes sociales o cuando
las personas dan su consentimiento. Aunque considera que el
historial crediticio debe seguir en manos privadas para que haya
garantías de que los datos estén actualizados.[10]
D. VENTAJAS DE COMPUTACIÓN EN LA NUBE
❖ Una de las principales ventajas de la implementación de
Computación en la nube en una empresa es, la disminución
de costos ya que nos es necesario adquirirhardware potente
y actualizado, ni realizar compra de licencias.
❖ Solo se paga por lo que se utiliza.
❖ Es escalable.
❖ No se dependen de los recursos de la estación de trabajo.
❖ No necesita instalar ningún tipo de hardware o software
❖ Eficiencia.
❖ Gran capacidad de personalización.
❖ Acceso a la información desde cualquier lugar.
❖ Capacidad de procesamiento y almacenamiento sin instalar
máquinas localmente.
❖ Actualizaciones automáticas que no afectan negativamente
los recursos de TI.
❖ Garantiza al cliente mayor disponibilidad del servicio.
E. INSEGURIDAD DEL CLOUD
Los avances en la capacidad de procesamiento, conexión a
Internet y dispositivos móviles, junto a las importantes
inversiones realizadas por las grandes empresas que dominan el
panorama tecnológico mundial, han propiciado la rápida
evolución e implantación del Cloud Computing hasta tal punto
que muchos usuarios utilizan los servicios en la nube sin darse
cuenta.
F. RIESGOS EN EL ENTORNO DEL CLOUD
Riesgos en entornos Cloud Computing dado que cada PYME
es diferente,sus oportunidades de seguridad también lo son.Así,
podemos distinguir entre:
● Pequeña oportunidad: el cliente podría aprovechar esta
oportunidad,pero los beneficios serían limitados.
● Oportunidad media: El cliente debe explotar esta
oportunidad,porque los beneficios serían significativos.
● Gran oportunidad: el cliente debe explotar esta
oportunidad,ya que habría beneficios cruciales. [10]
En el año 2010, La Cloud Security Alliance, publicó en un
informe sobre las siete amenazas más grandes de la
infraestructura de la Computación en la Nube, entre estas
amenazas encontramos:
❖ Abuso y mal uso de Cloud Computing
Los modelos IaaSy PaaSson los principales afectados con esta
amenaza ya que tiene un modelo de registro de acceso a las
infraestructuras/plataformas, poco restrictivo.
❖ Interfaces y API poco seguros
❖ Localización de los datos
❖ Recuperación
Saber silos datos son replicados en varias infraestructuras con
el objetivo de tener disponibilidad de la información en caso de
que haya una falla general.[1]
IV. RECOPILACIÓN Y ANÁLISIS DE DATOS
Las respuestas de las encuestas realizadas a las PYMEs, nos
ayudará a esclarecer si la seguridad de la información es un

4. 4
factor importante para estandarizar el uso de servicios de
Computación en la Nube en la provincia de El Oro:
★ ¿La empresa cuenta con un sitio web?
Ilustración 1: Generada por Formularios de Google
De los encuestados el 42,5 % cuenta con un sitio web, mientras
el 32,2 % no tiene pero considera la importancia de tenerlo, sin
embargo el 25,3% de los encuestados no le toma mucha
relevancia de poseeruna página web.
★ ¿Cuál de las siguientes aplicaciones informáticas se
utilizan en su empresa? Puede seleccionar una o varias
opciones
Ilustración 2: Generada por Formularios de Google
Dadas las respuestas obtenidas hemos determinado que eluso de
Herramientas ofimáticas con un 96,1 % es el estándar, con solo
un 5,6% Aplicaciones para la Planificación de recursos
empresariales (ERP) y solo un 5 % para Aplicaciones de Gestión
de la relación con el cliente (CRM), siendo las demás
aplicaciones más usadas:sistemas contables.
★ ¿En qué nivel ubica el uso que se da al Cloud
Computing en su empresa? ¿ES POSIBLE QUE LAS
PYMES CONOZCAN DE ESTO?
Ilustración 3: Generada por Formularios de Google
Dado los resultados obtenidos notamos que las diferentes
empresas tienen en su mayoría: un bajo uso de Computación en
la Nube con el 37,8% o nunca lo han usado correspondiendo a
un valor de 31,1%. Podemos darnos cuenta que parece haberun
alto desconocimiento de las aplicaciones de estos servicios
altamente beneficiosos para la gestión de empresas.
★ ¿Su empresa ha sufrido de algún problema en la
seguridad de su información? Puede seleccionar una o varias
opciones
Ilustración 4: Generada por Formularios de Google
Considerando los resultados de las encuestas,hemos establecido
que el 65,4 % representa a que las empresas no han sufrido de
algún problema en la seguridad de la información, en tanto los
resultados intermedios que van desde de los 6,5% hasta el 19,1
% conlleva a un menor índice de problema, por lo cual el factor
de seguridad no es un tema preocupante para las PYMEs.
★ ¿Cuáles son las razones por las que aún no ha
migrado al Cloud Computing? Puede seleccionar una o
varias opciones
Ilustración 5: Generada por Formularios de Google
De las respuestas obtenidas, siendo razón más nombrada, el46,9
% no le pareció necesario migrar, mientras que el 21,3 % dijeron
que fueron por razones técnicas, aunque el 11,8 % postularon
que la razón principal por la que aún no han migrado a la
Computación en la Nube, es porque les parece muy costoso.
III. CONCLUSIONES
Como conclusión del trabajo se busca presentar los beneficios
del uso de la computación en la nube para impulsar a su uso,
presentando el aspecto legal, pero informando sus
vulnerabilidades; para apoyar las elecciones informadas de
futuros usuarios de esta herramienta.
Concluimos que:
- En nuestro país hay intentos de regularización de la
seguridad del Computación en la Nube.
- Nuestro país no es realmente de los principales
proveedores de muchos servicios, por lo que nos vemos
obligados a otras leyes, como de la Unión Europea.
- Podemos concluir que la razón para no usar
Computación en la Nube en las PYMEs tiene que ver más en el
desconocimiento que realmente la seguridad de la información.

5. 5
- Consideramos que la seguridad y el respaldo de la
información es una buena razón para usar aplicaciones de
Computación en la Nube.
- El costo es un punto de porqué muchos no hacen uso
de los servicios de Computación en la Nube.
- Las PYMEs no ven necesario usar el Computación en
la Nube aún después de conocersus utilidades, por la forma en
que desarrollan sus actividades,prefieren hacer uso de las
típicas herramientas ofimáticas.
- Las PYMEs al desconocer las ventajas de estos
servicios no le ven una razón para migrar, pero aun cuando los
conocen, la relación costo beneficio determina que declinen de
buscarestos servicios.
V. REFERENCIAS
[1] E. M. Jiménez Hidalgo and F. de J. Taborda, “Aspectos
legales de computación en la nube,” Universidad de San
Buenaventura - Medellin, 2012.
[2] p. l. c. © Jennifer Célleri / Javier Andrade / Santiago
Rodríguez, Cloud Computing para PYMEs, Machala -
Ecuador: © Editorial UTMACH, 2018, © 2018, p. 82.
[3] Feedback Networks Technologies, S.L, «Feedback
Networks Technologies,» [En línea]. Available:
https://www.feedbacknetworks.com/cas/experiencia/sol-
preguntar-calcular.html. [Último acceso:08 2019].
[4] G. Haibach, “Cloud computing and European Union private
international law,” J. Priv. Int. Law, vol. 11, no. 2, pp. 252–
266, 2015.
[5] H. K. Hall, “Restoring Dignity and Harmony to United
States-European Union Data Protection Regulation,”
Commun. Law Policy, vol. 23, no. 2, pp. 125–157, Apr.
2018.
[6] I. Ontañón Ramos, “Marco Legal en la Seguridad de la
Información,” 2012. [Online]. Available:
https://www.audea.com/marco-legal-en-la-seguridad-de-
la-informacion/. [Accessed:26-Jun-2019].
[7] Comité Europeo de Protección de Datos, “¿A quién se
aplica el Reglamento general de protección de datos
(RGPD)?,” 2018. [Online]. Available:
https://ec.europa.eu/info/law/law-topic/data-
protection/reform/rules-business-and-
organisations/application-regulation/who-does-data-
protection-law-apply_es.
[8] J. C.-P.-J. A.-G.-S. Rodríguez-Yáñez, Cloud Computing
para PYMEs, Machala - Ecuador: © Editorial UTMACH,
2018, 2019, p. 91.
[9] c. © Jennifer Célleri / Javier Andrade / Santiago Rodríguez,
Cloud Computing para PYMEs, Machala - Ecuador: ©
Editorial UTMACH, 2018, © Editorial UTMACH, 2018, p.
106.
[10]Diario El Universo, “Ecuador no tiene ley para proteger datos
personales,” Informes, 2018.
[11]M. E. Gonçalves, “The EU data protection reform and the
challenges of big data: remaining uncertainties and ways
forward,” Inf. Commun. Technol. Law, vol. 26, no. 2, pp.
90–115, 2017.
[12]J. C.-P.-J. A.-G.-S. Rodríguez-Yáñez, Cloud Computing
para PYMEs, Machala - Ecuador: © Editorial UTMACH,
2018, Primera edición en español, 2018, p. 85.
[13]J. Célleri-Pacheco, J. Andrade-Garda, and S. Rodríguez-
Yáñez, Cloud Computing para PYMEs, 1st ed. Machala:
Machala : Universidad Técnica de Machala.
[14]Dirección General de Comunicación (Comisión Europea),
“La Unión Europea: ¿qué es y qué hace?,” 2018.