Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71

http://cienciaytecnologia.uteg.edu.ec

La seguridad informática en la adopción del cloud computing

en la información del sector industrial

Computer security in the adoption of cloud computing in the

information of the industrial sector

Msg. Evelin María Saltos Ramírez

evelinmsr@gmail.com

https://orcid.org/0000-0003-4047-0122

Phd. José Enrique Townsend Valencia

Jose.townsend@htecnologicas.com

https://orcid.org/0000-0001-5319-4425

Recibido: 1/11/2020, Aceptado: 1/11/2020

RESUMEN

Las empresas del sector industrial alimenticio demandan el uso de las tecnologías

WEB para mejorar que sus procesos internos sean más eficientes, pero con bajos

costos en el uso e implementación de sus infraestructuras de hardware y software

encontrando que los servicios de cloud computing proveen las necesidades que

requieren. Estas necesidades se ven cuestionadas por la necesidad de un marco de

seguridad informático estableciendo la problemática de identificar que factores

inciden en la seguridad que se estableció en el estudio de un modelo que permita

medir las diferentes variables. Se realizó el estudio de modelos fundamentados en

la Norma ISO 27000, en el modelo de Jansen y Grance (2011), en el modelo de

Whitman y Mattord (2014) basado en la teoría de John McCumber (1991), en el

modelo ISACA (2012) y en el modelo de referencia de (Liu et al., 2011) del Instituto

Nacional de Normas y Tecnología que definieron las variables de estudio garantía,

gobernanza, servicio, despliegue entre las principales. El estudio fue descriptivo con

un enfoque cuantitativo procediendo a la recolección de los datos con encuestas y

bases de datos El tipo de investigación fue sistemática y empírica con un corte

longitudinal de tendencia en un periodo especifico. Se consideró la técnica estadística

para extraer información mediante el análisis de bases de datos públicos de

diferentes organismos gubernamentales y no gubernamentales. La selección de la

muestra fue a las empresas del sector industrial manufacturero de actividad

económica en elaboración de productos alimenticios. El resultado principal del

estudio es el planteamiento y evaluación de un modelo con componentes de

seguridad informática, la elaboración de una matriz operacional que expone sus

variables, dimensiones e indicadores en los factores de seguridad informática que

deben ser considerados para el éxito o fracaso al momento de adoptar un modelo

cloud computing en las empresas del sector alimenticio.

Palabras clave: cloud computing, seguridad informática, modelo, norma ISO y

adopción.

Universidad Tecnológica Empresarial de Guayaquil, Ecuador.

Universidad Nacional Mayor de San Marcos, Perú.

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734

Saltos, Townsend. La seguridad informática en la adopción del cloud computing en la

información del sector industrial

ABSTRACT

Companies in the food industry demand the use of WEB technologies to improve

their internal processes to be more efficient but with low costs in the use and

implementation of their hardware and software infrastructures finding that cloud

computing services provide the needs that they require. These needs are questioned

by the need for a computer security framework establishing the problem of

identifying factors that affect the security that was established in the study of a

model that allows measuring the different variables. The study of models based on

the ISO 27000 standard on the Jansen and Grance model (2011) on the Whitman

and Mattord model (2014) based on the John MacCumber theory (1991) on the

ISACA model (2012) and in the reference model of (Liu et al., 2011) of the National

Institute of Standards and Technology that defined the variables of study guarantee,

governance, service, deployment among the main ones. The study was descriptive

with a quantitative approach proceeding to the collection of data with surveys and

databases. The type of research was systematic and empirical with a longitudinal cut

of trend in a specific period. The statistical technique was considered to extract

information through the analysis of public databases of different governmental and

non-governmental organizations. The selection of the sample was to the companies

of the manufacturing industrial sector of economic activity in the elaboration of food

products. The main result of the study is the approach and evaluation of a model

with computer security components, the elaboration of an operational matrix that

exposes its variables, dimensions and indicators in the IT security factors that must

be considered for success or failure at the moment to adopt a cloud computing model

in companies in the food sector.

Keywords: cloud computing, computer security, model, ISO standard and adoption.

Introducción

El cloud

computing en su primera definición por el NIST

(2009) es un conjunto de

recursos tecnológicos compartidos como software, aplicaciones, almacenamiento y

servicios que son asignados a demanda de sus costes y sus recursos liberados con

un esfuerzo mínimo en la gestión con el proveedor de servicio (Joyanes, 2013) y que

están operativos y disponibles en forma ininterrumpida siendo sus características

básicas la escalabilidad, aprovisionamiento del servicio, bajos costes y seguridad

como factor clave, lo que permite a las empresas adoptar las nuevas tecnologías a

un coste reducido generando agilidad y mayor productividad.

La seguridad informática en el cloud computing es un modelo de computación que

está creciendo rápidamente en la actualidad existiendo una similitud en el modo que

se administra la seguridad con respecto a la tecnología tradicional. El concepto que

CLOUD: Informática en la nube término que surgió en el año 1996 entre la empresa COMPAQ y un

grupo de líderes para discutir el futuro de la informática (Mosco, 2014).

NIST: National Institute of Standards and Technology.

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734

Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71

http://cienciaytecnologia.uteg.edu.ec

encierra la seguridad de la tecnología cloud computing no modifica el punto de vista

de la gestión de seguridad de información relacionado a la prevención, detección,

resolución de fraudes y delitos informáticos (Alexander, 2007).

Los principios básicos de confidencialidad, integridad y disponibilidad exigen al cloud

computing la garantía de la protección de la información mediante la incorporación

de normas, estándares y buenas prácticas de TI en la gestión de la seguridad de la

información que permita identificar, gestionar, minimizar y asumir los riesgos

potenciales que pueden atentar contra las organizaciones de forma documentada,

sistemática estructurada, eficiente para adaptarse a nuevos cambios.

El problema de la investigación busca encontrar la respuesta a: ¿De qué manera

incide la seguridad informática en la adopción del cloud computing? y para ello se

plantea las siguientes interrogantes que ayudan a dar solución al problema de

investigación: ¿Es necesario que exista control de acceso a servicios y aplicaciones

en el cloud computing?, ¿Es indispensable para una organización la seguridad y

privacidad de la información en todo momento?, ¿Puede existir falla de los servicios

y aplicaciones en el cloud computing?, ¿Es posible ser víctimas de ataques

informáticos debido al almacenamiento de información confidencial en recursos

tecnológicos externos a la organización?.

El estudio tiene como objetivo determinar qué factores influyen en la seguridad

informática al momento de adoptar el modelo cloud computing en las pymes del

sector industrial siendo los objetivos específicos identificar los modelos de seguridad

informáticos y analizar su aplicabilidad en el cloud computing, estableciendo a partir

del modelo seleccionado las características de seguridad que deben considerar las

empresas del sector industrial para su adopción.

Metodología

En concordancia con la problemática identificada se consideró lo definido en Normas

ISO 27000 (2009) que contiene principios básicos de la seguridad para sistemas de

información aplicados a cualquier entorno, rescatando las dimensiones que se refiere

a disponibilidad, integridad y confidencialidad. En cuanto al cumplimiento de

requisitos legales, contractuales y revisiones de seguridad de la información Norma

ISO 27002 (2013) Se seleccionó el modelo de Jansen y Grance (2011) que presenta

a través del NIST 800-144 la definición en el cloud computing como modelo para

permitir acceso desde cualquier lugar, forma cómoda y bajo demanda a recursos

compartidos. Del modelo propuesto por Whitman y Mattord (2014), basado en la

teoría de John McCumber (1991), se selecciona la Tecnología, considerando las

medidas de seguridad a aplicar. Del modelo propuesto por ISACA (2012). Se

consideró las responsabilidades que sirve en la comprensión de los riesgos de una

empresa, monitoreando el rendimiento y recursos disponibles en la resolución de

problemas y finalmente los principios básicos de modelo de referencia de (Liu et al.,

2011) presentado por el Instituto Nacional de Normas y Tecnología, NIST y la guía

de seguridad para áreas críticas enfocadas a la seguridad en el cloud computing,

publicada por el Cloud Security Alliance (2017) en el que a través de la matriz de

controles de referencia ofrece una guía de recomendaciones para la gestión de

riesgos.

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734

Saltos, Townsend. La seguridad informática en la adopción del cloud computing en la

información del sector industrial

Tabla 1. Variables causantes en el estudio

Fuente: Elaboración propia

Garantía: Todo proceso dentro de los servicios del cloud computing se mantienen

protegidos mediante la medición de sus atributos (ISO,27000):

 Disponibilidad: garantizar el alcance de forma oportuna y precisa.

 Integridad: garantizar que la información no sea alterada en su contenido.

 Confidencialidad: asegurar el control de acceso a la información.

Gobernanza: Elemento de mayor nivel debido a que en esta variable se toman las

decisiones de caracteres estratégico que afectan a las políticas de seguridad o marco

de seguridad (Cárdenas, Martínez & Becerra, 2016).

Identidad y control de acceso: Métodos de autenticación para la identificación de

usuarios y mecanismos para el control de accesos, Zhou et al. (2010).

Gestión de riesgos: Mide y valorar los riesgos en la empresa, procedimientos para

el monitoreo continuo del estado de seguridad de la información, Responsabilidades

(Lategan y Von Solms, 2006).

Servicio: Software, plataforma e infraestructura entregadas al consumidor como un

servicio por sus siglas Saas, Iaas y Paas (Lamia & Butrico, 2008)

Despliegue: NIST (2011) divide el modelo de ejecución de un servicio en:

 Nube pública a disposición general o industria en que una organización es

propietaria de la venta de servicios.

 Nube privada tiene un servicio de propiedad o de alquiler por una empresa. Nube

híbrida combina las características de las nubes públicas y privadas, manejando las

responsabilidades de gestión.

 Nube comunitaria es compartida por organizaciones.

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734

Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71

http://cienciaytecnologia.uteg.edu.ec

Cumplimiento: Mide el grado de cumplimiento de estándares, normas o leyes a

través de Requisitos legales y contractuales y Revisiones de la seguridad de la

información (INTECO, 2011).

En la tabla No.2 se describe el modelo general que describe la relación entre la

garantía, gobernanza, identidad de control, gestión de riesgo, servicio, despliegue y

cumplimiento como variables independientes y la seguridad como variable

dependiente.

Tabla 2. Diagrama de variables

Fuente: Elaboración propia

El desarrollo del estudio se caracterizó en dos fases, la primera fase fue la

caracterización del modelo luego de una revisión de la literatura con base en la

búsqueda de sistemas de seguridad con adopción al cloud computing y la segunda

fase conllevó a realizar un análisis de datos referente a las empresas del sector

industrial manufacturero. El proceso de esta investigación partió de un estudio

descriptivo con un enfoque de la investigación de tipo cuantitativo procediendo a la

recolección de los datos con encuestas, bases de datos e información documental

analizando la información con métodos estadísticos presentando sus resultados de

forma cuantitativa. El tipo de investigación fue sistemática y empírica con un corte

longitudinal de tendencia en un periodo especificado.

Esta investigación aplicó el método deductivo ya que inició de una realidad

problemática en la seguridad informática y evaluó las variables y dimensiones de un

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734

Saltos, Townsend. La seguridad informática en la adopción del cloud computing en la

información del sector industrial

modelo teórico que pudo identificar la existencia de factores de éxito o fracaso que

determinan la aplicabilidad de la tecnología del cloud computing.

Selección de la muestra y selección de variables

Se realizó un análisis de datos referente a las empresas del sector industrial

manufacturero de actividad económica de elaboración de productos alimenticios de

la ciudad de Manta, provincia de Manabí con hechos registrados en el 2015, 2016 y

2017 La limitación de esta investigación corresponde a las empresas dedicadas a la

actividad económica CIIU C10 afiliadas a la Cámara de Industrias y Cámara de

comercio en Manta.

Fuentes de información

Fuentes primarias:

 Revisión de informes emitidos por el INEC desde el 2010 al 2016.

 Información de la Cámara de Industrias y Cámara de Comercio Manta.

 Datos Superintendencia de Compañías, Valores y Seguros del Ecuador.

Fuentes secundarias:

 Información estadística y documental de otras fuentes de información.

 Información de artículos científicos y revistas oficiales.

 Página web del Instituto Nacional de Estándares y Tecnología (NIST), informes de

estándares ISO.

 Publicaciones de tesis de investigación científica.

 Revisión literaria sobre el tema.

Técnicas para la recolección de información.

Se consideró tres técnicas para extraer información del estudio: la técnica estadística

el análisis de bases de datos públicos de diferentes organismos gubernamentales y

no gubernamentales involucrados con la información. La técnica documental

recopiló información de las fuentes disponibles, tesis, revistas, páginas web, libros,

informes técnicos, artículos científicos. Y finalmente la técnica de investigación de

campo mediante el instrumento de encuesta en la que se elaboró 17 preguntas.

Escala aplicada para la evaluación de las variables.

Se empleó la escala de Likert para medir y registrar cada uno de los indicadores

recolectados y asociados a las propiedades del fenómeno de investigación. Cada ítem

tiene grados de respuestas que van de lo más favorable a lo menos favorable y

obtener de la muestra y ser objetiva y precisa.

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734

Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71

http://cienciaytecnologia.uteg.edu.ec

Tabla 3. Escala de Likert

Fuente: Elaboración propia

Tratamiento de la información

Para el tratamiento de la información numérica se empleó una herramienta

estadística la cual ayudó a establecer los resultados estadísticos, permitiendo realizar

las comparaciones para comprender el tema de investigación. Se emplearon

técnicas de medidas de tendencia central y de posición, como análisis de tabla de

distribución de frecuencias, descriptivos, análisis de varianza y tabla de contingencia

(tabla cruzada), gráficos de sectores, barras e histograma. Para el caso de las

muestras estadísticas se procesó la base de datos con técnicas de selección de datos

que brinda el software IBM SPSS.

Resultados y discusión

Desde hace unos años los sistemas de información tradicionales han venido

evolucionando e

integrando los procesos de toda la empresa para permitir un mejor

control de la información, con innovación en tecnología. La finalidad de los sistemas

de información es lograr las metas corporativas, la excelencia operacional,

desarrollar nuevos productos y servicios, ayudar en la toma de decisiones y obtener

una ventaja competitiva.

La seguridad de los sistemas de información se evalúa según los elementos por lo

que está compuesta la organización, la tecnología y la administración, que aportan

para la funcionalidad de una empresa en procesos. En la tabla No. 4 se detalla los

diferentes sistemas de información que se utilizan actualmente y sus funcionalidades

utilizadas por las empresas del sector industrial manufacturero C10.

Revista Ciencia & Tecnología

No. 29, 31 de enero de 2021

ISSN impreso: 1390 - 6321

ISSN online: 2661 - 6734