Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71
http://cienciaytecnologia.uteg.edu.ec
La seguridad informática en la adopción del cloud computing
en la información del sector industrial
Computer security in the adoption of cloud computing in the
information of the industrial sector
Msg. Evelin María Saltos Ramírez
1
evelinmsr@gmail.com
https://orcid.org/0000-0003-4047-0122
Phd. José Enrique Townsend Valencia
2
Jose.townsend@htecnologicas.com
https://orcid.org/0000-0001-5319-4425
Recibido: 1/11/2020, Aceptado: 1/11/2020
RESUMEN
Las empresas del sector industrial alimenticio demandan el uso de las tecnologías
WEB para mejorar que sus procesos internos sean más eficientes, pero con bajos
costos en el uso e implementación de sus infraestructuras de hardware y software
encontrando que los servicios de cloud computing proveen las necesidades que
requieren. Estas necesidades se ven cuestionadas por la necesidad de un marco de
seguridad informático estableciendo la problemática de identificar que factores
inciden en la seguridad que se estableció en el estudio de un modelo que permita
medir las diferentes variables. Se realizó el estudio de modelos fundamentados en
la Norma ISO 27000, en el modelo de Jansen y Grance (2011), en el modelo de
Whitman y Mattord (2014) basado en la teoría de John McCumber (1991), en el
modelo ISACA (2012) y en el modelo de referencia de (Liu et al., 2011) del Instituto
Nacional de Normas y Tecnología que definieron las variables de estudio garantía,
gobernanza, servicio, despliegue entre las principales. El estudio fue descriptivo con
un enfoque cuantitativo procediendo a la recolección de los datos con encuestas y
bases de datos El tipo de investigación fue sistemática y empírica con un corte
longitudinal de tendencia en un periodo especifico. Se consideró la técnica estadística
para extraer información mediante el análisis de bases de datos públicos de
diferentes organismos gubernamentales y no gubernamentales. La selección de la
muestra fue a las empresas del sector industrial manufacturero de actividad
económica en elaboración de productos alimenticios. El resultado principal del
estudio es el planteamiento y evaluación de un modelo con componentes de
seguridad informática, la elaboración de una matriz operacional que expone sus
variables, dimensiones e indicadores en los factores de seguridad informática que
deben ser considerados para el éxito o fracaso al momento de adoptar un modelo
cloud computing en las empresas del sector alimenticio.
Palabras clave: cloud computing, seguridad informática, modelo, norma ISO y
adopción.
1
Universidad Tecnológica Empresarial de Guayaquil, Ecuador.
2
Universidad Nacional Mayor de San Marcos, Perú.
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734
Saltos, Townsend. La seguridad informática en la adopción del cloud computing en la
información del sector industrial
ABSTRACT
Companies in the food industry demand the use of WEB technologies to improve
their internal processes to be more efficient but with low costs in the use and
implementation of their hardware and software infrastructures finding that cloud
computing services provide the needs that they require. These needs are questioned
by the need for a computer security framework establishing the problem of
identifying factors that affect the security that was established in the study of a
model that allows measuring the different variables. The study of models based on
the ISO 27000 standard on the Jansen and Grance model (2011) on the Whitman
and Mattord model (2014) based on the John MacCumber theory (1991) on the
ISACA model (2012) and in the reference model of (Liu et al., 2011) of the National
Institute of Standards and Technology that defined the variables of study guarantee,
governance, service, deployment among the main ones. The study was descriptive
with a quantitative approach proceeding to the collection of data with surveys and
databases. The type of research was systematic and empirical with a longitudinal cut
of trend in a specific period. The statistical technique was considered to extract
information through the analysis of public databases of different governmental and
non-governmental organizations. The selection of the sample was to the companies
of the manufacturing industrial sector of economic activity in the elaboration of food
products. The main result of the study is the approach and evaluation of a model
with computer security components, the elaboration of an operational matrix that
exposes its variables, dimensions and indicators in the IT security factors that must
be considered for success or failure at the moment to adopt a cloud computing model
in companies in the food sector.
Keywords: cloud computing, computer security, model, ISO standard and adoption.
Introducción
El cloud
3
computing en su primera definición por el NIST
4
(2009) es un conjunto de
recursos tecnológicos compartidos como software, aplicaciones, almacenamiento y
servicios que son asignados a demanda de sus costes y sus recursos liberados con
un esfuerzo mínimo en la gestión con el proveedor de servicio (Joyanes, 2013) y que
están operativos y disponibles en forma ininterrumpida siendo sus características
básicas la escalabilidad, aprovisionamiento del servicio, bajos costes y seguridad
como factor clave, lo que permite a las empresas adoptar las nuevas tecnologías a
un coste reducido generando agilidad y mayor productividad.
La seguridad informática en el cloud computing es un modelo de computación que
está creciendo rápidamente en la actualidad existiendo una similitud en el modo que
se administra la seguridad con respecto a la tecnología tradicional. El concepto que
58
3
CLOUD: Informática en la nube término que surgió en el año 1996 entre la empresa COMPAQ y un
grupo de líderes para discutir el futuro de la informática (Mosco, 2014).
4
NIST: National Institute of Standards and Technology.
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734
Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71
http://cienciaytecnologia.uteg.edu.ec
encierra la seguridad de la tecnología cloud computing no modifica el punto de vista
de la gestión de seguridad de información relacionado a la prevención, detección,
resolución de fraudes y delitos informáticos (Alexander, 2007).
Los principios básicos de confidencialidad, integridad y disponibilidad exigen al cloud
computing la garantía de la protección de la información mediante la incorporación
de normas, estándares y buenas prácticas de TI en la gestión de la seguridad de la
información que permita identificar, gestionar, minimizar y asumir los riesgos
potenciales que pueden atentar contra las organizaciones de forma documentada,
sistemática estructurada, eficiente para adaptarse a nuevos cambios.
El problema de la investigación busca encontrar la respuesta a: ¿De qué manera
incide la seguridad informática en la adopción del cloud computing? y para ello se
plantea las siguientes interrogantes que ayudan a dar solución al problema de
investigación: ¿Es necesario que exista control de acceso a servicios y aplicaciones
en el cloud computing?, ¿Es indispensable para una organización la seguridad y
privacidad de la información en todo momento?, ¿Puede existir falla de los servicios
y aplicaciones en el cloud computing?, ¿Es posible ser víctimas de ataques
informáticos debido al almacenamiento de información confidencial en recursos
tecnológicos externos a la organización?.
El estudio tiene como objetivo determinar qué factores influyen en la seguridad
informática al momento de adoptar el modelo cloud computing en las pymes del
sector industrial siendo los objetivos específicos identificar los modelos de seguridad
informáticos y analizar su aplicabilidad en el cloud computing, estableciendo a partir
del modelo seleccionado las características de seguridad que deben considerar las
empresas del sector industrial para su adopción.
Metodología
En concordancia con la problemática identificada se consideró lo definido en Normas
ISO 27000 (2009) que contiene principios básicos de la seguridad para sistemas de
información aplicados a cualquier entorno, rescatando las dimensiones que se refiere
a disponibilidad, integridad y confidencialidad. En cuanto al cumplimiento de
requisitos legales, contractuales y revisiones de seguridad de la información Norma
ISO 27002 (2013) Se seleccionó el modelo de Jansen y Grance (2011) que presenta
a través del NIST 800-144 la definición en el cloud computing como modelo para
permitir acceso desde cualquier lugar, forma cómoda y bajo demanda a recursos
compartidos. Del modelo propuesto por Whitman y Mattord (2014), basado en la
teoría de John McCumber (1991), se selecciona la Tecnología, considerando las
medidas de seguridad a aplicar. Del modelo propuesto por ISACA (2012). Se
consideró las responsabilidades que sirve en la comprensión de los riesgos de una
empresa, monitoreando el rendimiento y recursos disponibles en la resolución de
problemas y finalmente los principios básicos de modelo de referencia de (Liu et al.,
2011) presentado por el Instituto Nacional de Normas y Tecnología, NIST y la guía
de seguridad para áreas críticas enfocadas a la seguridad en el cloud computing,
publicada por el Cloud Security Alliance (2017) en el que a través de la matriz de
controles de referencia ofrece una guía de recomendaciones para la gestión de
riesgos.
59
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734
Saltos, Townsend. La seguridad informática en la adopción del cloud computing en la
información del sector industrial
Tabla 1. Variables causantes en el estudio
Fuente: Elaboración propia
Garantía: Todo proceso dentro de los servicios del cloud computing se mantienen
protegidos mediante la medición de sus atributos (ISO,27000):
Disponibilidad: garantizar el alcance de forma oportuna y precisa.
Integridad: garantizar que la información no sea alterada en su contenido.
Confidencialidad: asegurar el control de acceso a la información.
.
Gobernanza: Elemento de mayor nivel debido a que en esta variable se toman las
decisiones de caracteres estratégico que afectan a las políticas de seguridad o marco
de seguridad (Cárdenas, Martínez & Becerra, 2016).
Identidad y control de acceso: Métodos de autenticación para la identificación de
usuarios y mecanismos para el control de accesos, Zhou et al. (2010).
Gestión de riesgos: Mide y valorar los riesgos en la empresa, procedimientos para
el monitoreo continuo del estado de seguridad de la información, Responsabilidades
(Lategan y Von Solms, 2006).
Servicio: Software, plataforma e infraestructura entregadas al consumidor como un
servicio por sus siglas Saas, Iaas y Paas (Lamia & Butrico, 2008)
Despliegue: NIST (2011) divide el modelo de ejecución de un servicio en:
Nube pública a disposición general o industria en que una organización es
propietaria de la venta de servicios.
Nube privada tiene un servicio de propiedad o de alquiler por una empresa. Nube
híbrida combina las características de las nubes públicas y privadas, manejando las
responsabilidades de gestión.
Nube comunitaria es compartida por organizaciones.
60
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734
Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71
http://cienciaytecnologia.uteg.edu.ec
Cumplimiento: Mide el grado de cumplimiento de estándares, normas o leyes a
través de Requisitos legales y contractuales y Revisiones de la seguridad de la
información (INTECO, 2011).
En la tabla No.2 se describe el modelo general que describe la relación entre la
garantía, gobernanza, identidad de control, gestión de riesgo, servicio, despliegue y
cumplimiento como variables independientes y la seguridad como variable
dependiente.
Tabla 2. Diagrama de variables
Fuente: Elaboración propia
El desarrollo del estudio se caracterizó en dos fases, la primera fase fue la
caracterización del modelo luego de una revisión de la literatura con base en la
búsqueda de sistemas de seguridad con adopción al cloud computing y la segunda
fase conllevó a realizar un análisis de datos referente a las empresas del sector
industrial manufacturero. El proceso de esta investigación partió de un estudio
descriptivo con un enfoque de la investigación de tipo cuantitativo procediendo a la
recolección de los datos con encuestas, bases de datos e información documental
analizando la información con métodos estadísticos presentando sus resultados de
forma cuantitativa. El tipo de investigación fue sistemática y empírica con un corte
longitudinal de tendencia en un periodo especificado.
Esta investigación aplicó el método deductivo ya que inició de una realidad
problemática en la seguridad informática y evaluó las variables y dimensiones de un
61
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734
Saltos, Townsend. La seguridad informática en la adopción del cloud computing en la
información del sector industrial
modelo teórico que pudo identificar la existencia de factores de éxito o fracaso que
determinan la aplicabilidad de la tecnología del cloud computing.
Selección de la muestra y selección de variables
Se realizó un análisis de datos referente a las empresas del sector industrial
manufacturero de actividad económica de elaboración de productos alimenticios de
la ciudad de Manta, provincia de Manabí con hechos registrados en el 2015, 2016 y
2017 La limitación de esta investigación corresponde a las empresas dedicadas a la
actividad económica CIIU C10 afiliadas a la Cámara de Industrias y Cámara de
comercio en Manta.
Fuentes de información
Fuentes primarias:
Revisión de informes emitidos por el INEC desde el 2010 al 2016.
Información de la Cámara de Industrias y Cámara de Comercio Manta.
Datos Superintendencia de Compañías, Valores y Seguros del Ecuador.
Fuentes secundarias:
Información estadística y documental de otras fuentes de información.
Información de artículos científicos y revistas oficiales.
Página web del Instituto Nacional de Estándares y Tecnología (NIST), informes de
estándares ISO.
Publicaciones de tesis de investigación científica.
Revisión literaria sobre el tema.
Técnicas para la recolección de información.
Se consideró tres técnicas para extraer información del estudio: la técnica estadística
el análisis de bases de datos públicos de diferentes organismos gubernamentales y
no gubernamentales involucrados con la información. La técnica documental
recopiló información de las fuentes disponibles, tesis, revistas, páginas web, libros,
informes técnicos, artículos científicos. Y finalmente la técnica de investigación de
campo mediante el instrumento de encuesta en la que se elaboró 17 preguntas.
Escala aplicada para la evaluación de las variables.
Se empleó la escala de Likert para medir y registrar cada uno de los indicadores
recolectados y asociados a las propiedades del fenómeno de investigación. Cada ítem
tiene grados de respuestas que van de lo más favorable a lo menos favorable y
obtener de la muestra y ser objetiva y precisa.
62
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734
Revista científica Ciencia y Tecnología Vol 21 No 29 págs. 57-71
http://cienciaytecnologia.uteg.edu.ec
Tabla 3. Escala de Likert
Fuente: Elaboración propia
Tratamiento de la información
Para el tratamiento de la información numérica se empleó una herramienta
estadística la cual ayudó a establecer los resultados estadísticos, permitiendo realizar
las comparaciones para comprender el tema de investigación. Se emplearon
técnicas de medidas de tendencia central y de posición, como análisis de tabla de
distribución de frecuencias, descriptivos, análisis de varianza y tabla de contingencia
(tabla cruzada), gráficos de sectores, barras e histograma. Para el caso de las
muestras estadísticas se procesó la base de datos con técnicas de selección de datos
que brinda el software IBM SPSS.
Resultados y discusión
Desde hace unos años los sistemas de información tradicionales han venido
evolucionando e
integrando los procesos de toda la empresa para permitir un mejor
control de la información, con innovación en tecnología. La finalidad de los sistemas
de información es lograr las metas corporativas, la excelencia operacional,
desarrollar nuevos productos y servicios, ayudar en la toma de decisiones y obtener
una ventaja competitiva.
La seguridad de los sistemas de información se evalúa según los elementos por lo
que está compuesta la organización, la tecnología y la administración, que aportan
para la funcionalidad de una empresa en procesos. En la tabla No. 4 se detalla los
diferentes sistemas de información que se utilizan actualmente y sus funcionalidades
utilizadas por las empresas del sector industrial manufacturero C10.
63
&
Revista Ciencia & Tecnología
No. 29, 31 de enero de 2021
ISSN impreso: 1390 - 6321
ISSN online: 2661 - 6734