Talleres y trabajos

acadmicos.

lvaro Gomariz Lpez

Trabajo acadmico Gobierno de ti, Cobit e ITIL

Gobierno de TI, Cobit

e ITIL

lvaro Gomariz Lopez

Contenido
Introduccin ........................................................................................................................5
Gobierno de TI .................................................................................................................7
Por qu Gobierno de TI? .................................................................................................7
Implementacin del Gobierno de TI ..................................................................................8
Enfoque del Gobierno de TI ..............................................................................................9
Mapa de implementacin de Gobierno de TI para la organizacin ................................... 11
COBIT ................................................................................................................................ 12
Historia de versiones de COBIT ....................................................................................... 14
COBIT 4.1 ....................................................................................................................... 14
Procesos de COBIT ......................................................................................................... 16
COBIT y sus objetivos de control ..................................................................................... 17
Procesos ........................................................................................................................ 19
Cambios en COBIT 5 ....................................................................................................... 20
Nuevo modelo de madurez ......................................................................................... 21
Estructura de procesos ............................................................................................... 21
Anlisis ...................................................................................................................... 22
Conclusiones ..................................................................................................................... 24
ITIL v 3.0 ............................................................................................................................ 25
Introduccin ...................................................................................................................... 25
BSM e ITIL v3 ................................................................................................................. 25
Integracin entre TI-Negocio .......................................................................................... 26
Gestin del ciclo de vida del servicio ............................................................................... 26
Cambios clave en los procesos ........................................................................................ 28
Servicios como activos ................................................................................................... 30
Utilidad y garanta. ..................................................................................................... 30
Mayor nfasis en la proactividad ........................................................................................... 32

Eliminacin de silos ................................................................................................................ 32

Qu esperar con ITIL v3 .......................................................................................................... 33
Transicin de ITIL v2 a ITIL v3 ..................................................................................................... 33
Beneficios para el negocio...................................................................................................... 35
Conclusin ................................................................................................................................... 35

Introduccin
5

La prctica comn de las empresas en el mundo es no considerar importante a las

reas de tecnologas de la informacin (TI), provocando que stas tengan poco
personal, presupuesto reducido y la identifiquen como el rea de soporte para el
equipo del usuario final nicamente.
Sin embargo, con el paso del tiempo, aadiendo las nuevas tendencias en tecnologa
surgidas en pases desarrollados, han incrementado de manera muy importante el
papel y la influencia de las TI, provocando que stas, formen parte fundamental en la
operacin y desarrollo de las organizaciones.
Este cambio en la percepcin de las TI se debe al surgimiento de marcos de referencia,
que en la actualidad se consideran herramientas clave para poder llevar a cabo este
renacimiento de la figura de las TI.
Todos estos marcos de referencia son independientes al rubro o tamao de la
organizacin. Estos tienen como objetivo proporcionar metodologas para tener los
recursos de TI de manera estructurada y organizada, apoyando a la organizacin para
alcanzar sus objetivos estratgicos.
En la actualidad la mayor parte de la inversin en infraestructura y nuevas aplicaciones
de TI buscan apoyar funciones especficas de la organizacin. Algunas organizaciones
incluyen en sus procesos internos a socios o clientes, mejor conocidos como
stakeholders. Este tipo de tendencias provoca que los CEOs (directores ejecutivos) y
CIOs (directores de TI) se vean comprometidos con la necesidad de reducir lo ms
posible la brecha que existe en las relaciones entre TI y el negocio.
Debido a esto la administracin efectiva de la informacin y de las tecnologas
relacionadas, se han vuelto un factor crtico para la supervivencia y xito de las
organizaciones.
Esta criticidad emerge de:

La creciente dependencia de informacin y de los sistemas que la proporcionan

que se ha generado en las organizaciones.
El incremento de la vulnerabilidad y riesgos, como los son las ciber- amenazas
y la guerra de la informacin.
El importante aumento en el costo de las inversiones actuales y futuras en TI.
El inmenso potencial que tienen las TI para provocar un cambio radical en las
organizaciones y en las prcticas de negocio, esto con el fin de obtener nuevas
oportunidades y reduccin de costos.

Tomando en cuenta todos estos factores, podemos decir que es necesario un cambio
en el rol en las reas de TI para lograr obtener el mximo rendimiento a una inversin
en tecnologa adems de utilizarla como un arma competitiva en el mercado. De esta
6

manera conseguimos que la actitud de TI frente al negocio sufra una metamorfosis y

deje de ser meramente reactiva tornndose proactiva, logrando anticiparse a las
necesidades de la organizacin. (NETWORK-SEC, 2010)

Gobierno de TI
A fin de poder definir al Gobierno de TI, debemos iniciar por definir al Gobierno
Corporativo, el cual se puede describir como, el conjunto de responsabilidades y
prcticas ejecutadas por la junta directiva y la administracin con el fin de proveer
direccin estratgica. (ISACA, 2010)
Pero, de qu manera se provee una correcta direccin estratgica para la
organizacin?

Garantizando que los objetivos sean alcanzados

Estableciendo que los riesgos son administrados apropiadamente y;
Verificando que los recursos de la empresa son usados de manera responsable

Como se puede observar, se toman en cuenta tres aspectos importantes que influyen
en el desempeo, como son los objetivos, los cuales constituyen el fin principal de la
organizacin. Por otro lado la administracin de riesgos, que son todos aquellos
factores que la organizacin debe de tomar en cuenta como posibles amenazas, las
cuales debe de mitigar con anlisis y planes de continuidad; y por ltimo los recursos,
el elemento clave para la operacin de la organizacin, sea financiero, humano o de
infraestructura.
Con la descripcin dada, es claro que con lo que pretende el Gobierno corporativo,
podemos explicar que el Gobierno de TI es una parte integral del Gobierno corporativo
y consta del liderazgo, estructuras organizacionales y procesos que garanticen que las
TI de la empresa sustenten y extiendan las estrategias y objetivos organizacionales. Por
ello, el Gobierno de TI es una responsabilidad compartida de la junta directa y la
administracin ejecutiva de la organizacin. (ISACA, 2010)
La norma ISO/IEC 38500 Corporate Governance of Information Technology, lo define
como "El sistema mediante el cual se dirige y controla el uso actual y futuro de las
tecnologas de la informacin (Villuendas, 2011)

Por qu Gobierno de TI?

En las organizaciones, con el paso del tiempo, la direccin se est dando cuenta del
impacto significativo que la informacin puede tener en el xito de una empresa, lo
que deriva en que la direccin espere un alto entendimiento de la manera en que las TI

son operadas y de la posibilidad que sea aprovechada con xito para tener una ventaja
competitiva.

El marco de Gobierno de TI deber ayudar a la alta direccin a saber si con la

informacin administrada es posible garantizar el logro de objetivos, ser flexible, tener
un buen manejo de riesgos y reconocer apropiadamente sus oportunidades actuando
acorde a ellas. (IT Governance Institute, 2007) .
A su vez, definir la alineacin de las estrategias de TI con la estrategia de la
organizacin, asegurar la disminucin del apetito de riesgo, proporcionar
estructuras organizacionales que faciliten la implementacin de estrategias y metas,
as como que fluyan de forma gradual en la empresa.
Tambin crear relaciones constructivas y comunicacin efectiva entre el negocio y TI,
adems de con los socios externos; y por ltimo medir el desempeo de TI. Con lo
antes mencionado, podemos decir de manera general que el Gobierno de TI es una
disciplina acerca de la toma de decisiones de TI en las que participa intensamente, o
debera participar, la alta direccin de las organizaciones. La Gestin de TI, sin
embargo, se refiere a las decisiones que se adoptan bsicamente por parte de los
profesionales de TI, aunque participe la alta direccin u otros gestores. (Villuendas,
2011)

Implementacin del Gobierno de TI

La implementacin de un marco de Gobierno de TI se lleva acabo tomando en cuenta
las diferentes condiciones y circunstancias existentes en una organizacin, estas
principalmente determinadas por factores como los son:

Lograr una interaccin del gobierno de TI con la tica y cultura de la

organizacin, siendo este el elemento subjetivo, es vital el entender el
ambiente laborar y hbitos en la organizacin, parte trascendental es la
comunicacin que se tenga hacia el personal.

Apegarse a leyes y regulaciones vigentes (sean internas o externas), para el

cumplimiento del marco de gobierno, debido a que es indispensable no dejar
de lado todos aquellos reglamentos internos establecidos en la organizacin, ni
tampoco las leyes regulatorias de la regin, pas o estado donde se radique.

Considerar la misin, visin y valores de la organizacin, para tener un correcto

paralelismo del Gobierno de TI hacia los objetivos actuales y a futuro de la
organizacin, considerando tambin los valores de la misma.

En la estructura organizacional, el Gobierno de TI se apoyara para su operacin

en el organigrama del negocio para poder asignar tambin actividades,
comprendiendo los roles y responsabilidades.
8

Estrategias y tcticas de la organizacin, esto para tener la directriz de la

manera en la cual la organizacin realiza su toma de decisiones y ejecucin de
actividades, el gobierno de TI tendr que reforzarlas para el logro de los
objetivos de la organizacin. (NETWORK-SEC, 2010)

Enfoque del Gobierno de TI

El enfoque que se le ha dado al Gobierno de TI, es principalmente para que sea una
solucin operativa, que trate con los retos presentados por TI, mejore el desempeo y
posibilite la ventaja competitiva como apoyar en prevenir problemas.
Adems, hacer del Gobierno de TI una responsabilidad compartida entre el negocio
(cliente) y el proveedor de servicios de TI, con el pleno compromiso y la gua de la alta
direccin.
Otro punto es el alinear el Gobierno de TI con un amplio Gobierno Corporativo,
incluyendo a la junta y administracin ejecutiva, a fin de proporcionar liderazgo y
estructuras organizacionales necesarias recalcando la buena administracin y control
de los procesos. (BDO Consulting, 2008) En la figura 1, podemos observar las reas de
enfoque del Gobierno de TI.

Alineacin Estratgica: Se enfoca en garantizar la alineacin estratgica entre

los planes de negocio y de TI y en alinear las operaciones de TI con las
operaciones de la empresa. (IT Governance Institute, 2007)

Como ya se estableci, la estrategia de TI debe responder a las estrategias de la

organizacin de donde se concluye que las aplicaciones deben atender las necesidades
funcionales y de informacin de los procesos, los cuales a su vez, soportan el
cumplimiento de los objetivos estratgicos. De esta manera el ciclo se completa:

La Estrategia TI nace de la Estrategia Empresarial y la soporta

Las aplicaciones nacen de la estrategia TI y soportan los procesos
Los procesos soportan la Estrategia Empresarial

Entrega de Valor: Se refiere a ejecutar las propuestas de valor a todo lo largo del ciclo
de entrega, asegurando siempre que TI genere los beneficios prometidos en la
estrategia, haciendo nfasis en optimizar los costos y en brindar el valor intrnseco de
TI. (IT Governance Institute, 2007)
La funcin de TI se debe gestionar para cumplir con los requerimientos de soporte a las
decisiones y a los procesos de la organizacin (estratgicos, misionales y de soporte).
Administracin de Recursos: Se trata de la inversin ptima as como la
administracin adecuada de los recursos crticos de TI: Aplicaciones, informacin,
infraestructura y personas. Los temas claves se refieren a la optimizacin de
conocimiento e infraestructura. (IT Governance Institute, 2007)
La responsabilidad de TI va ms all de administrar los recursos que tiene bajo su
manejo. Estos recursos deben ser usados para entregar de manera ptima los
productos de informacin para lo cual fueron adquiridos.
Administracin de Riesgos. Requiere conciencia de los riesgos por parte de los altos
ejecutivos de la empresa, un claro entendimiento del apetito de riesgo, que tiene la
empresa, comprender los requerimientos de cumplimiento, transparencia de los
riesgos significativos para las empresas y la inclusin de las responsabilidades de
administracin de riesgos dentro de la organizacin. (IT Governance Institute, 2007)
El Gobierno de TI debe velar porque ningn evento impida la entrega de los productos
y la continuidad del servicio de TI. Para esto se debe hacer una adecuada
administracin de los riesgos de la funcin TI y de los procesos soportados por TI, por
parte del funcionario de la organizacin a quien se haya asignado esta responsabilidad.

10

Medicin del desempeo: Rastrea y monitorear la estrategia de

implementacin, la terminacin del proyecto, el uso de los recursos, el
desempeo de los procesos y la entrega del servicio, con el uso de
herramientas como Balance Score Card que traducen la estrategia en accin
para lograr las metas medibles ms all del registro convencional. (IT
Governance Institute, 2007)

El cumplimiento de la estrategia TI se logra mediante la administracin de los recursos

TI a travs de la adecuada gestin de los procesos de Planeacin y Organizacin (PO),
Adquisicin e Implantacin (AI), Entrega y Soporte (DS) y Monitoreo y Evaluacin (ME).
Estos procesos deben ser medidos para establecer el aporte que hacen o dejan de
hacer en el logro de la estrategia de TI, mediante indicadores que evidencien los
resultados de la gestin de dichos procesos.

Mapa de implementacin de Gobierno de TI para la organizacin

En la figura 2, se muestra el mapa recomendado para la implementacin del Gobierno
de TI, este define los diferentes pasos y actividades de cada uno de ellos para lograr el
Gobierno de TI. Las etapas para desarrollar una solucin de Gobierno de TI son:

Identificar las necesidades de la organizacin es un punto primordial, involucra

actividades como fomentar la conciencia y obtener compromiso de todos los
niveles de la organizacin, analizar las metas del negocio y de TI, realizar la
seleccin de procesos y controles, analizar riesgos y definir alcances.

Prever la solucin de problemas, donde se evalan la capacidad y madurez de

los procesos de TI seleccionados, posteriormente para cada uno se definen
niveles de objetivo y madurez apropiados y alcanzables.

Planear la solucin, consiste en identificar las iniciativas de mejoras prioritarias

y factibles, traducindolas en proyectos justificables, alineados con el valor de
negocio original y los factores de riesgo. Una vez evaluados esos proyectos
deben incluirse en una estrategia de mejora y un programa prctico para llevar
a cabo la solucin.

Al implantar la solucin, mientras el plan de mejora se lleva a cabo, gobernado

por proyectos establecidos y metodologas de administracin del cambio, la
obtencin exitosa de los resultados de negocio deseados de asegura mediante:
la retroalimentacin y lecciones aprendidas post-implementacin. El monitoreo
de las mejoras sobre el desempeo de la corporacin y Balance Scorecard de
TI.

El ltimo punto del mapa es el lograr la sustentabilidad. Se construye

integrando el Gobierno de TI con el Gobierno Corporativo de la organizacin, y
11

la responsabilidad de TI a travs de la empresa, con estructuras

organizacionales apropiadas, determinar claramente polticas y controles,
cambio cultural impulsado desde la alta direccin, mejora continua en
procesos, y con monitores e informes ptimos.

COBIT
COBIT son las siglas para definir Control Objectives for Information and related
Technology (Objetivos de Control para la informacin y tecnologa relacionada), el cual
es un marco de referencia creado por ISACA (Information Systems Audit and Control
Association (Asociacin de Control y Auditoria de Sistemas de Informacin) para la
gestin de la TI y el Gobierno de TI. Es un conjunto de herramientas de soporte que
permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos
de control, problemas tcnicos y los riesgos del negocio. (IT Governance Institute,
2007)
Este marco provee buenas prcticas y presenta actividades para el Gobierno de TI en
una estructura manejable y lgica. Las buenas prcticas de COBIT renen el consenso
de expertos, quienes ayudarn a optimizar la inversin en TI y proporcionarn un
mecanismo de medicin que permitir juzgar cuando las actividades van por el camino
equivocado.
La misin de COBIT es el investigar, desarrollar, publicar y promover un conjunto de
objetivos de control generalmente aceptados, autorizados, actualizados por ISACA
para ser utilizadas en el da a da por la gerencia del negocio, los profesionales de IT y
12

de la seguridad. En la figura 3 vemos que define tambin procesos, metas y mtricas

para el control. (IT Governance Institute, 2007).

El principio bsico del marco de referencia de COBIT est representado en el esquema

de la figura 4. Los recursos de TI son manejados procesos para alcanzar las metas de TI
que responden a los requerimientos del negocio.

13

Historia de versiones de COBIT

A la fecha, COBIT tiene cuatro versiones mayores publicadas:
En 1996, la primera edicin de COBIT fue publicada. Esta inclua la coleccin y anlisis
de fuentes internacionales reconocidas y fue realizada por equipos en Europa,
Estados Unidos y Australia.
En 1998, fue publicada la segunda edicin; su cambio principal fue la adicin de las
guas de gestin. Para el ao 2000, la tercera edicin fue publicada y en el 2003, la
versin en lnea ya se encontraba disponible en el sitio de ISACA.
Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado
para soportar el incremento del control gerencial, introducir el manejo del desempeo
y mayor desarrollo del Gobierno de TI.
En diciembre de 2005, la cuarta edicin fue publicada y en Mayo de 2007, se liber la
versin 4.1 que es la que actualmente se maneja.
La versin nmero 5 de COBIT est planeada para ser liberada en el ao 2012, esta
edicin consolidar e integrar los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk
IT. Este nuevo marco de referencia viene integrado principalmente del Modelo de
Negocios para la Seguridad de la Informacin (BMIS, Business Model for Information
Security) y el Marco de Referencia para el Aseguramiento de la Tecnologa de la
Informacin (ITAF, Information Technology Assurance Framework).

COBIT 4.1
El Marco de Referencia de COBIT 4.1, est conformado por 34 Objetivos de Control de
alto nivel, todos diseados para cada uno de los Procesos de TI, los cuales estn
agrupados en cuatro grandes secciones mejor conocidos como dominios, estos se
equiparn a las reas tradicionales de TI de planear, construir, ejecutar y monitorear.

Planificacin y Organizacin, proporciona la direccin para la entrega de

soluciones y la entrega de servicios.

Adquisicin e Implementacin, proporciona las soluciones y las desarrolla para

convertirlas en servicios.

Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios
finales.

14

Soporte y Monitorizacin, monitorea todos los procesos para el asegurar que

se sigue con la direccin establecida.

sta estructura, ejemplificada en la figura 5, cubre todos los aspectos de la informacin

y de la tecnologa que la soporta. (IT Governance Institute, 2007) y define los dominios
como sigue:
Dominio Planear y Organizar (PO) - Este dominio cubre las estrategias y las tcticas, y
tiene que ver con identificar la manera en que TI puede contribuir mejor con los
objetivos del negocio. Es importante mencionar que la realizacin de la visin
estratgica requiere ser planeada, comunicada y administrada desde diferentes
perspectivas; y finalmente, la implementacin de una estructura organizacional y
tecnolgica apropiada. (IT Governance Institute, 2007)
La gerencia espera cubrir la alineacin de la estrategia de TI con el negocio, optimizar
el uso de recursos, el entendimiento de los objetivos de TI por parte de la
organizacin, la administracin de riesgos y calidad en los sistemas de TI para las
necesidades del negocio.
Dominio Adquirir e Implementar (AI) - Con el fin de cumplir una estrategia de TI, las
soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, como tambin
implementadas e integradas en los proceso del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes sern cubiertos para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio. (IT Governance Institute,
2007)

15

La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen
soluciones que satisfagan las necesidades del negocio, que sean entregados en tiempo
y dentro del presupuesto, que los nuevos sistemas una vez implementados trabajen
adecuadamente y que los cambios no afecten las operaciones actuales del negocio.
Dominio Entregar y Dar Soporte (DS) - Involucra la entrega en s de los servicios
requeridos, incluyendo la prestacin del servicio, la administracin de la seguridad y de
la continuidad, el soporte a los usuarios del servicio, la administracin de los datos y de
las instalaciones operativas. (IT Governance Institute, 2007)
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades
del negocio, la optimizacin de costos, asegurar que la fuerza de trabajo utilice los
sistemas de modo productivo y seguro, implantar de forma correcta la
confidencialidad, la integridad y la disponibilidad.
Dominio Monitorear y Evaluar (ME) - La totalidad de los proceso de TI deben de ser
evaluados regularmente en el tiempo, para conocer su calidad y cumplimiento de los
requerimientos de control. Este dominio incluye la administracin del desempeo, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del
gobierno. (IT Governance Institute, 2007)
Con esto se obtendr de manera oportuna la deteccin de problemas por medio de la
medicin del desempeo, se garantiza que los controles internos sean efectivos y
eficientes, la vinculacin del desempeo de TI con las metas del negocio as como la
medicin y reporte de riesgos, adems del control, cumplimiento y desempeo.
Otro concepto clave de COBIT, es la determinacin y la mejora sistemtica de la
madurez del proceso, el cual tiene 6 niveles (0 al 5) para medir el nivel de madurez de
los procesos de TI:
0 Inexistente No existe informacin alguna, ni conocimiento sobre el gobierno de TI
1 Inicial / ad hoc En el proceso existen tareas indefinidas, pero hay confianza en la
iniciativa
2 Repetible pero intuitivo El proceso cuenta con personal de calidad y tareas
definidas
3 Definido Proceso definido e institucionalizado, cuenta con poltica, estndares y
procedimientos establecidos
4 Gestionable y medible El proceso tiene estructuras de control completas y anlisis
del desempeo.

Procesos de COBIT
En la tabla 1 se enlistan los nombres y claves de los 34 procesos que conforman
COBIT y su clasificacin dentro de cada uno de los cuatro dominios
16

COBIT y sus objetivos de control

Para cada uno de los 34 procesos definidos en los cuatro dominios de COBIT, se ha
generado un objetivo de control. Podemos definir control como las polticas,
procedimientos, prcticas y estructuras organizacionales que han sido diseadas para
asegurar razonablemente que los objetivos del negocio se alcanzarn y los eventos no
deseados, sern prevenidos o detectados y corregidos. (IT Governance Institute, 2007)
Estos objetivos de control de TI proporcionan un conjunto completo de requerimientos
de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de
TI.
Estos controles son sentencias de acciones de gerencia que deben de aumentar el
valor o reducir el riesgo en el negocio, generalmente consisten en polticas,
procedimientos, prcticas y estructuras organizacionales, las cuales proporcionan un
aseguramiento razonable de que los objetivos del negocio se vern alcanzados.
17

Pero qu tipo de decisiones necesita tomar la gerencia en relacin a estos objetivos

de control?
Primero, seleccionar aquellos que sean aplicables al negocio, decidir cuales se
implementaran y elegir como implementarlos (con qu frecuencia, extensin,
automatizacin). Adems de aceptar el riesgo de no implementar aquellos que podran
requerirse en la organizacin.

COBIT 5
El enfoque de COBIT 5, mostrado en la figura 6, ser el gobierno y la administracin de
la informacin corporativa. Adicional se muestra un gran inters en incorporar
estndares y mejores prcticas de la industria en el gobierno de TI.

18

Procesos
La orientacin de COBIT 5 es en procesos y existen 36 procesos que estn separados
como reas de Gobierno y Administracin. (ISACA, 2011)
rea: Gobierno Corporativo de TI

Evaluar, Dirigir y Monitorear (EDM) 5 procesos

rea: Administracin de TI Corporativa

Alinear, Planear, Organizar ( PO) 12 procesos

Construccin, Adquisicin e implementacin (BAI) 8 procesos

Entrega, Servicio y Soporte (DSS) 8 procesos

Monitoreo, Evaluacin e Informes (MEI) 3 procesos

19

Los nuevos procesos son los de EDM

EDM1 - Establecer y mantener el marco de referencia del Gobierno
EDM2 - Asegurar la Optimizacin del Valor
EDM3 - Asegurar la optimizacin del riesgo
EDM4 - Asegurar la optimizacin de los recursos
EDM5 - Asegurar la transparencia hacia los stakeholders
Los procesos de disponibilidad y capacidad fueron mezclados:
BAI4 - Administrar la disponibilidad y capacidad
La mesa de servicio ha sido removida como parte del nombre de un proceso, ahora el
proceso que la incluye es:
DSS4 - Administrar las solicitudes de servicio e incidentes
Los volmenes de COBIT 5 son tres

Volumen 1: El Marco de Referencia ~ 60pp principios y modelos del gobierno

corporativo de TI
Volumen 2: Gua de referencia de Procesos ~ 200pp Guia detallada de
referencia de los procesos
Volumen 3: Implementando y mejorar continuamente el Gobierno corporativo
de TI (Cobit 5 Update - it's almost ready, 2011)

Cambios en COBIT 5
COBIT 4.1 haca referencia a ITIL; CMM, ISO 17799, PMBOK, PRINCE2. Uno de los
objetivos de COBIT 5 sigue siendo mejorar la compatibilidad con otras guas de buenas
prcticas y estndares.

20

Nuevo modelo de madurez

Hasta ahora COBIT propona un modelo propio para medir la madurez de los
procesos de la organizacin. La nueva versin de COBIT tomar precisamente el
modelo de madurez definido por ISO en la norma ISO/IEC 15504 ms conocida como
SPICE (Software Process Improvement Capability Determination, Determinacin de la
Capacidad de Mejora del Proceso de Software) (ISACA, 2011). Los niveles definidos en
el modelo SPICE son los siguientes:

Nivel 0: Incompleto
Nivel 1: Realizado
Nivel 2: Gestionado
Nivel 3: Establecido
Nivel 4: Predecible
Nivel 5: Optimizado

Como se observa en la figura 7, siguen existiendo seis niveles, de acuerdo a la

adopcin del modelo de ISO 15504 se les llama ahora niveles de capacidad. Estos son
relacionados con nueve atributos de los procesos. Este cambio asegura el
cumplimiento con el estndar mientras que da un mejor enfoque en cuan bien los
procesos estn siendo ejecutados y si estn logrando su propsito.

Estructura de procesos
La estructura de procesos es similar a la anterior. Tras los cambios, se dispone de un
total de 36 procesos (34 en la versin 4.1). Al dar un primer vistazo comprobamos que
muchos de los procesos ya estn adoptados en la organizacin: Gestin de
21

proveedores, gestin de cambios, gestin de la configuracin, gestin de incidencias,

gestin de problemas. COBIT 5 propone tres procesos para la monitorizacin y
evaluacin.
Seguramente en muchas organizaciones estos tres procesos estn agrupados e
implementados como un nico proceso.
Anlisis
Una de las muchas caractersticas anticipadas de COBIT 5 es el incremento en la
atencin de la integracin del negocio y TI. Esta orientacin mejorar la comunicacin,
clarificar los roles y responsabilidades y reducir los incidentes relacionados con la
informacin y la tecnologa que pudieran daar a la organizacin.
COBIT 5 integra todas las mejores prcticas dispersas en los distintos marcos de
referencia de ISACA COBIT, VAL IT, Risk IT, BMIS (Modelo de negocios para la
seguridad de la informacin) e ITAF (Marco de referencia para el aseguramiento de TI)
en una sola base de conocimiento que permita tener un acercamiento consistente del
valor, riesgo y seguridad en la organizacin. La arquitectura de COBIT 5 junta a los
stakeholders, sus preocupaciones, intereses y necesidades as como la base de
conocimiento de ISACA.
COBIT 5 tiene cinco principios:
1. Como integrador: Un marco de referencia de gobierno y gestin para la informacin
y tecnologa relacionada que inicia por evaluar las necesidades de tecnologa de los
stakeholders.
2. Motivado por el valor a los stakeholders.
3. Enfocado en el negocio y su contexto
4. Basado en habilitadores, definidos en el marco de referencia como aquellos recursos
que permiten el xito de TI.
5. Estructurado en el gobierno y gestin En esencia, COBIT 5 cubre de manera
completa la organizacin y provee una base de integracin de otros marcos de
referencia, estndares y mejores prcticas que algunas organizaciones pueden ya estar
usando. En la tabla 2 vemos las principales diferencias entre versiones:

22

23

Conclusiones
Las organizaciones en la actualidad han comenzado a preocuparse por la necesidad de
hacer que sus reas de TI sobresalgan y puedan contribuir a lograr los objetivos
centrales de la organizacin.
El Gobierno de TI fue diseado para todas aquellas organizaciones que deseen
aprovechar las TI como apoyo para el logro de dichos objetivos.
COBIT es el marco de referencia que ayuda a sustentar el Gobierno de TI,
estableciendo un conjunto de actividades y controles para lograr que los procesos de
TI se integren a las estrategias de la organizacin para el logro de objetivos del
negocio.
Sobre el lanzamiento de COBIT 5, con la informacin que disponemos hasta el
momento slo podemos hacernos una idea general de lo que ser esta versin. No
obstante, los cambios destacados en el borrador al que se tiene acceso no introducen
grandes cambios respecto a COBIT 4.1. Esto nos lleva a pensar que la nueva versin no
ser muy distinta de la actual y que por lo tanto resultar sencillo adaptar los modelos
basados en COBIT 4.1 a COBIT 5.

24

ITIL v 3.0
Introduccin
Las organizaciones que se han ocupado de aplicar las mejores prcticas del modelo
ITIL (IT Infrastructure Library) a sus sistemas se plantean numerosas preguntas en
torno a la nueva versin, conocida como Prcticas de Gestin de Servicios ITIL o ITIL
versin 3 (v3). Cumplir las expectativas de los directivos de TI, siempre enfrentados
al reto de abordar proyectos innovadores que contribuyan al crecimiento de sus
compaas?

BSM e ITIL v3
BSM se basa en el uso de la tecnologa y de los procesos que ayudan a garantizar que
todo aquello que haga la TI se considerar en el contexto del valor que genera para el
negocio.
Las prcticas de ITIL contribuyen a facilitar la gestin de la TI desde esta perspectiva de
negocio. Muchas organizaciones de TI han adoptado ITIL porque sus disciplinas les
permiten realizar mejor su trabajo, incrementar la calidad del servicio y reducir
costes. El modelo ITIL v3 parte de los principios de la versin 2 y genera una evolucin
en el pensamiento de la industria de TI, que le proporciona un nuevo nivel de madurez
en la gestin de servicios. BSM ayuda a la TI a dar el siguiente salto en la bsqueda de
una gestin de servicios ms madura e ITIL v3 incorpora la estrategia BSM como una
mejor prctica.
Las principales publicaciones sobre las prcticas de gestin de servicios de ITIL v3 se
centran en demostrar el valor que representa para el negocio, entre ellas el libro
Service Strategy(Estrategia del Servicio), que trata sobre el posicionamiento de la
gestin de servicios de TI y BSM. Este posicionamiento es importante porque muchas
organizaciones se esfuerzan por integrar las aplicaciones de negocio (internamente y
en los sistemas de sus partners) para automatizar los procesos end-to-end y prestar
servicios de negocio. El reto al que se enfrentan estas organizaciones es encontrar la
forma de establecer objetivos operativos a partir de los servicios de negocio y
gestionar esos servicios en consonancia con los objetivos.
Un ejemplo de este tipo de objetivo es reducir los errores derivados de los
procedimientos manuales mediante la automatizacin y procesar las transacciones con
ms rapidez.
Uno de los propsitos de BSM es ayudar a las organizaciones a resolver este problema.
Una caracterstica clave de BSM es su capacidad de asignar dinmicamente los activos
de TI a los servicios de negocio que facilitan. BSM cambia la visin de la infraestructura
de TI convirtiendo el mapa de la topologa en un modelo que identifica los vnculos

25

entre activos y servicios, y permite a la TI establecer nexos entre los eventos de la

infraestructura y sus repercusiones para el negocio.
Por ejemplo, puede que necesite comprender cmo va a afectar un cambio de un
servidor en los servicios de TI y de negocio relacionados. Los servicios se componen de
procesos en los que se apoya el funcionamiento del negocio.
Establecer correspondencias entre un activo y un servicio se considera fundamental
para garantizar la continuidad del negocio. En el pasado, puede que se necesitase
saber que un cambio en el Servidor A poda afectar al funcionamiento de SAP.
Con BSM, su nivel de comprensin va ms all. Puede saber que el mdulo de SAP para
pedidos online puede resultar afectado y, como consecuencia, perjudicar las ventas
por Internet, lo cual le permite ver el impacto que este problema podra tener en su
facturacin, algo fundamental para el negocio.

Integracin entre TI-Negocio

ITIL v2 se centra fundamentalmente en alinear la TI con el negocio. Esto implica
posicionar la tecnologa para ponerla en sintona con los objetivos globales del negocio
y proporciona un lenguaje comn que facilita la comunicacin entre el rea de TI y los
responsables del negocio. ITIL v3 representa un avance sustancial, ya que se centra en
integrar la TI en el negocio.
Diluye la distincin entre TI y negocio, e incluso sustituye el lenguaje de la TI por el
lenguaje de los negocios.
BSM brinda una base slida para lograr este tipo de integracin.
Las soluciones BSM proporcionan una visin global de la infraestructura de TI que
muestra las relaciones entre los recursos de la infraestructura, los servicios y los
procesos de negocio que sustentan. Por ejemplo, las soluciones BSM pueden
establecer asociaciones entre los servicios de e-business de Oracle y SAP y los
componentes de la infraestructura de TI donde se ejecutan tales servicios.
Esta visin integrada muestra la relacin entre la tecnologa y los servicios y procesos
de negocio, lo que permite a la TI tomar decisiones en funcin de su impacto en el
negocio.

Gestin del ciclo de vida del servicio

ITIL v2 se centra en prcticas que aplican un enfoque modular a los procesos. Cada
proceso tiene su propio mdulo. El problema de este modelo es que no deja a las
personas pensar en las actividades desde la perspectiva del tiempo de vida de un
servicio. Por el contrario, ITIL v3 ayuda a las organizaciones a adoptar un punto de vista
ms estratgico que abarca todo el ciclo de vida del servicio. Este tipo de enfoque
reporta algunas ventajas:
26

Favorece la integracin de la estrategia de negocio con la estrategia de

servicios de TI
Facilita la implantacin y gestin de servicios adaptados a unas necesidades de
egocio dinmicas, voltiles, altamente cambiantes y de alto riesgo

Identifica las oportunidades de mejora y cambio a lo largo de todo el ciclo de

vida del servicio

Corrige las carencias y deficiencias de las anteriores versiones de ITIL ITIL v3

define cinco fases en el ciclo de vida del servicio:

Estrategia, diseo, transicin, operacin y mejora continua del servicio. El modelo

contiene los procesos necesarios para gestionar los servicios en el marco de esta
estructura del ciclo de vida. El objetivo de cada fase es generar valor para el negocio.
En la Tabla 1 se recogen las caractersticas de cada fase del modelo.

Los libros Service Strategy (Estrategia del Servicio) y Service Design (Diseo del
Servicio) de ITIL v3 promueven un modelo flexible de provisin de servicio utilizando
un enfoque de valor de la red. Al desarrollar esta red, es importante examinar con
cuidado las capacidades de los proveedores internos y externos.
Para conseguirlo, ITIL v3 dedica gran parte de sus directrices a explicar los tipos de
proveedores, lo que incluye la forma de analizar los distintos mercados y las fortalezas
de cada proveedor, as como la manera ms efectiva de crear una red de valor y
seleccionar las opciones de suministro que mejor se adapten a los objetivos de negocio
de una empresa.
ITIL v3 introduce tambin el concepto de modelos adaptables dentro del ciclo de vida
completo de la prctica. ste es un componente clave del principio denominado
Transicin del Servicio (Service Transition), en el que se indica la forma de ayudar a
los proveedores de servicios a elegir un modelo ad hoc para cada tipo de transicin de
servicio que implique el paso de la fase de diseo al entorno de produccin. Los
modelos adaptables brindan la posibilidad de responder rpidamente a los constantes
cambios de las necesidades del negocio.

27

En ITIL v3, la fase de mejora continua del servicio ha evolucionado para ejercer
influencia en todo el ciclo de vida del servicio, ya que identifica las necesidades de
mejora en cada fase de la prctica de gestin del servicio. La mejora ha dejado de
verse como la ltima parte del proceso de prestacin del servicio, para considerarse
como un proceso permanente que abarca todas las etapas del ciclo de vida del
servicio.
Al igual que ITIL v3, BSM adopta un enfoque de gestin del servicio basado en la
estructura de su ciclo de vida e implanta las mejores prcticas para aplicar este tipo de
gestin en numerosas reas. Por ejemplo, las soluciones BSM pueden proporcionar
una gestin completa de los cambios que controle el proceso de principio a fin, lo cual
abarca desde la peticin de cambio hasta la planificacin, aprobacin, implantacin,
verificacin y, finalmente, la notificacin de la correcta aplicacin del cambio.

Cambios clave en los procesos

Todos los procesos ITIL de la versin anterior siguen siendo la base sobre la que se
asientan las prcticas de ITIL v3. Cada proceso se ha mejorado para actuar en el
contexto de un ciclo de vida y se han eliminado las carencias existentes.
Tambin se han introducido cambios en la formulacin del ciclo de vida para mejorar
la versatilidad de las prcticas de ITIL.
Por ltimo, se han modificado algunos procesos. He aqu algunos ejemplos:

En el proceso de Gestin de Incidencias se ha eliminado la peticin del servicio

para establecerlo como un proceso aparte denominado Request Fulfillment
(gestin de peticiones). Se ha utilizado este enfoque para poder seguir
usndolo con las tecnologas actuales, pero centrando la gestin de incidencias
exclusivamente en manejar la interrupcin del servicio

La Gestin de Eventos se ha actualizado para mejorar las actividades de gestin

de incidencias. El proceso de gestin de eventos proporciona elementos
formales para manejar de forma proactiva problemas potenciales del servicio
antes de que se conviertan en problemas reales y para reconocer con ms
rapidez aquellos problemas que son incidencias

Los procesos de Gestin del Cambio se han corregido a fin de limitar la

tendencia a modificar los modelos para adaptarlos a los tipos de cambios. Por
tanto, se han simplificado y actualizado para permitir el cambio y, al mismo
tiempo, mantener los elementos de mitigacin del riesgo

La Gestin de las Versiones y la Implantacin ha sufrido considerables cambios

para ampliar su alcance e incluir todas las reas implicadas en la puesta en
produccin, lo que incluye la infraestructura, las aplicaciones, los servicios y las
iniciativas de proyectos La documentacin de ITIL ha variado de la v2 a v3 para
reflejar el nuevo enfoque de gestin del servicio en el contexto de su ciclo de
28

vida. En la Tabla 2 se compara la organizacin de la documentacin en ambas

versiones.

Cada uno de los libros bsicos de ITIL v3 incorpora lo mejor de las versiones ITIL v1 y
v2, as como prcticas probadas de gestin del servicio de TI utilizadas en la actualidad.
Las prcticas centrales de las fases de gestin del ciclo de vida del servicio, definidas en
estos cinco libros, se complementan con otras publicaciones ms detalladas. Tales
publicaciones, centradas en temas especficos, cubren aspectos relativos a prcticas,
sectores y grupos de inters concretos. Son documentos relacionados con las
operaciones y el cumplimiento de la normativa en distintos sectores de la industria.
Los nuevos libros suplementarios suministrarn directrices que conciernen a los
puntos de vista de distintos grupos de inters a fin de ayudar a las organizaciones a dar
mayor impulso a sus proyectos de gestin de servicios. Aunque los mecanismos de
gestin de servicios puedan diferir, las expectativas de resultados siguen siendo las
mismas: generar valor para el negocio.

29

Servicios como activos

ITIL v3 introduce el concepto de servicios como activos. Considera que un servicio es
un activo para su consumidor. Los activos de servicios se componen de dos entidades:
Utilidad y garanta.
La utilidad es el servicio en s, suministrado por una combinacin de personas,
procesos y tecnologa. Como ejemplos podramos citar un servicio de introduccin
de pedidos online de un establecimiento comercial y otro de suscripcin online al plan
de seguro de salud de una compaa.
La garanta es la seguridad de que la utilidad se ejecutar dentro de los niveles
esperados. Por ejemplo, la citada herramienta de introduccin de pedidos online
podra garantizar factores tales como informar sobre la existencia de stock y el plazo
de entrega.
Un servicio puede ser consumido por clientes internos y externos. Por ejemplo, puede
que el servicio de introduccin de pedidos slo lo consuman clientes externos,
mientras que el servicio de suscripcin al plan de seguro mdico de una compaa
puede estar dirigido exclusivamente a clientes internos, como son los empleados.
Frente al modelo ITIL v3, ITIL v2 maneja fundamentalmente activos tangibles tales
como los componentes de la infraestructura tecnolgica. Por ejemplo, la informacin
de garanta de un activo se define en la informacin contractual asociada a ese activo y
la utilidad se ve generalmente como la razn para gestionar el activo. ITIL v3 reagrupa
la informacin sobre activos definida en ITIL v2 bajo las categoras de utilidad y
garanta.
En ITIL v3, utilidad y garanta interaccionan para crear el valor del activo. Como
consecuencia, los activos tienen un impacto directo sobre el valor del negocio (porque
30

ellos mismos generan algo de valor). Ese algo puede ser beneficios, innovacin,
satisfaccin del cliente o cualquier otro aspecto que determine el xito del negocio.
Las soluciones BSM introducen esta ventaja clave de ITIL v3 proporcionando una visin
detallada del impacto que tienen los servicios para el negocio. Esta visin permite a la
TI ponderar el valor de los activos de servicios y fundar sus decisiones de negocio (por
ejemplo, la priorizacin de determinadas acciones) en funcin de la importancia que
tiene para la compaa el servicio implicado.
Cuantificacin del ROI y el retorno del valor ITIL v3 define el retorno en trminos que
van ms all del aspecto monetario. Incluye indicadores tan importantes como el
aumento de la satisfaccin de los clientes o los empleados. ITIL v3 ayuda a las
empresas a cuantificar, medir y optimizar el retorno en funcin de dos parmetros: el
retorno de la inversin (ROI) y el retorno del valor.
El libro Estrategia del Servicio de ITIL v3 proporciona directrices para definir estos
dos parmetros dentro de un determinado contexto de negocio. Esto ayuda a la TI a
comprender qu aspectos cubren el ROI y el retorno del valor. Tambin le ayuda a
determinar qu genera valor y la importancia que tiene el que los responsables del
rea de TI y de negocio se pongan de acuerdo sobre la definicin de valor.
De acuerdo con las especificaciones de ITIL v3, el retorno del valor de un proyecto
propuesto o en marcha puede evaluarse a partir de ocho dimensiones fundamentales:
valores competitivos, financieros, funcionales, de proceso, de relacin, estratgicos,
tcnicos y/o de uso. Los responsables de la TI pueden desarrollar una imagen completa
del valor utilizando estas mtricas de la forma adecuada para comunicar el retorno de
valor del proyecto que dirigen.
El libro Diseo del Servicio de ITIL v3 proporciona directrices para determinar los
mecanismos de medicin del ROI y del retorno del valor, suministrando informacin
detallada sobre:

Qu se debe medir

Cmo se debe medir

Qu mtricas deben utilizarse

Cmo utilizar la medicin para demostrar los logros

BMS tambin incorpora los principios de ITIL v3 en este rea. En concreto, permite a
los departamentos de TI establecer correspondencias entre los componentes de la
infraestructurade TI y los servicios y procesos de negocio que ejecutan.
Como resultado, la TI puede centrar sus esfuerzos en aquellos servicios y procesos que
contribuyen a incrementar el ROI o el retorno del valor y establecer sus prioridades de

31

la forma ms adecuada. Lo que es ms, puede ajustar mejor sus operaciones y

demostrar su contribucin a la generacin de valor para el negocio.
Con BSM, el ROI puede ser sustancial tan slo por lo que representa en ahorro de
costes de TI. Segn Forrester, Si dan todos los pasos necesarios para llegar a un
modelo de gestin de servicios BSM, las compaas pueden ahorrar hasta un tercio de
su presupuesto para operaciones de TI.
Dado que el 76 por ciento del presupuesto de TI se dedica a explotacin, las empresas
que implanten BSM podrn obtener un ahorro potencial del 25 por ciento de su gasto
global en TI.

Mayor nfasis en la proactividad

ITIL v3 ayuda a la TI a determinar qu factores deberan desencadenar una accin. Los
departamentos de TI no deberan esperar a que un proceso completo haya finalizado o
haya transcurrido un determinado periodo de tiempo para determinar si se han
conseguido los objetivos deseados o si es posible mejorar el proceso. Por el contrario,
deberan comprender qu indicadores de un proceso son sntomas de problemas
potenciales y deben provocar una accin.
Cada libro de ITIL v3 presenta eventos o condiciones que indican problemas
potenciales o posibles reas de mejora y generan acciones. Este enfoque favorece una
estrategia dirigida a la gestin proactiva ms que reactiva de los servicios.
Al igual que ITIL v3, BSM fomenta la aplicacin de acciones proactivas en una serie de
reas. Por ejemplo, las soluciones BSM pueden monitorizar la infraestructura de TI,
determinar el impacto de los eventos sobre el negocio y generar automticamente
notas de incidencias para aquellos eventos que presenten un nivel de impacto elevado.
Esto permite al personal de TI actuar de forma proactiva en la gestin de incidencias
antes de que provoquen el corte de servicios vitales para el negocio.

Eliminacin de silos
Otro aspecto importante de ITIL v3 es su creciente esfuerzo por evitar la separacin de
los procesos de TI en silos o compartimentos independientes. Aunque ITIL v2 habla de
integracin de procesos, define los procesos de cada funcin de TI (gestin de
incidencias, gestin de problemas, gestin de cambios, gestin de la configuracin,
gestin de versiones y servicio de atencin al usuario) en captulos distintos. Esta
separacin de procesos por funcin no favorece su integracin. A menudo los procesos
en s estn bien implantados, pero su integracin a lo largo del servicio asociado es
dbil o inexistente.
Por el contrario, ITIL v3 reclasifica los procesos extrayndolos de su rea funcional para
enmarcarlos en las fases de su ciclo de vida, lo que fomenta su integracin en
funciones por servicio.
32

Es ms, ITIL v3 reconoce que la integracin efectiva de los procesos exige que las
personas pertenecientes a diferentes disciplinas de TI adopten un punto de vista ms
global.
Los miembros del departamento de TI no slo deben ser expertos en sus respectivas
reas, sino entender la interaccin de sus reas con las dems. Por ejemplo, el
responsable de la gestin de cambios, no slo debe conocer en profundidad los
mecanismos de las operaciones del cambio, sino comprender las implicaciones que
stos tienen en la estrategia y el diseo.
Como en el caso de ITIL v3, uno de los puntales de BSM es la integracin de procesos y
proporciona soluciones para lograr esa integracin a travs de todas las funciones de
TI.
Por ejemplo, algunas soluciones integran la gestin de cambios con los procesos del
servicio de atencin al usuario. La aplicacin de gestin de cambios notifica
automticamente a la aplicacin del centro de atencin al usuario la existencia de
cambios que provocarn la interrupcin de un servicio, lo que permitir a dicha
aplicacin avisar a los usuarios afectados de forma anticipada. Asimismo, la aplicacin
de gestin de cambios mantiene al service desk informado sobre el estado del cambio
y le notifica automticamente su finalizacin, con lo que se cierra el ciclo.

Qu esperar con ITIL v3

Las compaas que han implantado ITIL v2 estn obteniendo considerables beneficios,
entre ellos, mayor calidad en la prestacin de servicios, menos costes y mejor
adaptacin a la normativa. Tales compaas estn bien posicionadas para
seguir aprovechando los xitos cosechados con ITIL v2 mientras tratan de alcanzar un
nuevo grado de madurez en la gestin del servicio mediante la adopcin de ITIL v3.

Transicin de ITIL v2 a ITIL v3

Una vez aclarados los conceptos fundamentales de ITIL v3 y el modo en que han
evolucionado desde la versin 2, qu recomendaciones hace la OGC (Office of
Government Commerce) con respecto a la forma de hacer la transicin?
La transicin de ITIL v2 a v3 es evolutiva ms que revolucionaria. ITIL v3 implica un
cambio de actitud mental. Garantiza que se tomar en consideracin el ciclo de vida de
un servicio antes de su implantacin, eliminando as la actual mentalidad basada en
silos y favoreciendo una mejor integracin de la TI con los procesos, operaciones y
factores que impulsan el avance del negocio.
El interfaz entre ITIL v2 y ITIL v3 es transparente, lo que significa que las organizaciones
de TI que ya han adoptado ITIL v2 no necesitan reinventar la rueda para implantar
33

ITIL v3. Esto implica que cualquier logro obtenido con la implantacin de ITIL v2 se
mantiene en ITIL v3.
Su estrategia de transicin a los principios de ITIL v3 dependern considerablemente
del nivel de madurez y la inversin realizada en las prcticas de ITIL implantadas en la
actualidad. El equipo de desarrollo de ITIL v3 recomienda adoptar el mismo enfoque
que adoptara con cualquier otra iniciativa de mejora de servicios, un enfoque
incremental.
Todo el mundo en su organizacin de TI debera familiarizarse con las prcticas de ITIL
v3 y luego valorar cmo las mejoras de esta versin pueden alinearse con las mejoras
del servicio existentes. Dado que ITIL v3 mejora algunas prcticas anteriores de ITIL, un
punto de partida adecuado es revisar esas mejoras y considerar lo que se puede
obtener de ellas a lo largo del tiempo.
Si su organizacin an no ha empezado a implantar ITIL, puede preguntarse si es
aconsejable empezar con ITIL v2 y luego pasar a la versin 3. Tenga presente que
siempre tiene valor mejorar la gestin del servicio en cualquier momento.
En cualquier caso, primero debera revisar las nuevas directrices de ITIL v3. Para el
verano del 2007, est prevista la publicacin del nuevo esquema de cualificacin y
formacin para ITIL.
Aproveche los recursos de formacin para empezar a conocer el alcance y los
conceptos bsicos de las prcticas de gestin del servicio propuestas por ITIL.
Si se encuentra en la fase de examinar las actuales prcticas de ITIL, puede continuar
por este camino y tratar de escoger los elementos apropiados de ITIL v3 cuando
planifique su estrategia de implantacin. ITIL v3 abarca los elementos de las prcticas
de la versin anterior. Por tanto, si nunca ha implantado el modelo ITIL, puede dar el
salto a ITIL v3 directamente. O bien, si ya ha puesto en marcha su implantacin de ITIL,
puede incorporar ITIL v3 en sus planes de mejora.
Si ya ha invertido en formacin, no debe preocuparse. Las certificaciones siguen siendo
vlidas y puede optar por realizar nuevos cursos para complementar su formacin en
la materia y adaptarla al esquema de ITIL v3.
Un ejemplo
ITIL v3 propugna la innovacin en el negocio. Al automatizar los vnculos entre la
estrategia de negocio y la cartera de servicios (que contiene servicios en produccin y
posibles servicios futuros), puede facilitar la identificacin de oportunidades para
innovar. Con esta frmula, puede mejorar considerablemente la velocidad a la que
detecta y posibilita las oportunidades de innovacin.
Por ejemplo, un miembro del departamento de TI que utilice una solucin BSM para
ver todos los procesos de negocio puede detectar la existencia de un proceso
disgregado en un silo que podra integrarse mejor utilizando un nuevo servicio de la
34

cartera de servicios. Entonces, es posible que ese empleado se d cuenta de que la

integracin de ese proceso tiene el potencial de revolucionar el negocio porque
reducira el tiempo de generacin de valor y los costes, y mejorara la eficiencia y
efectividad del negocio. El empleado, en colaboracin con el rea de negocio, puede
integrar el proceso dentro de los nuevos componentes de servicio requeridos para
soportar el negocio. Por tanto, puede desarrollar e implantar el proceso integrado en
el nuevo servicio utilizando el modelo del ciclo de vida de los servicios de ITIL v3 junto
con la solucin BSM. Con esta combinacin, la organizacin de TI puede generar
beneficios para el negocio con el menor riesgo posible.

Beneficios para el negocio

Una de las principales ventajas de ITIL v3 es que permite a las organizaciones
aprovechar por completo su inversin en TI. Esto brinda la posibilidad de extraer todo
el potencial de la TI y la experiencia de los profesionales para hacer el negocio ms
innovador y valioso.
La TI se beneficia de esta poderosa combinacin porque sus profesionales
desempean un papel ms enriquecedor y satisfactorio. A esto se suma que su
visibilidad y la percepcin de su valor para la compaa crecen, ya que los directivos
empiezan a ver la TI como un factor de creacin de valor para el negocio.
Los responsables del negocio tambin se benefician de una relacin mucho ms
estrecha con la TI y una mejor comprensin de la capacidad de este departamento
para aprovechar la tecnologa en proyectos de innovacin. A travs de la colaboracin
con la TI, los responsables del negocio pueden implantar nuevos procesos que
incrementen su competitividad y, gracias a la innovacin tecnolgica, pueden abrir
nuevas reas de negocio previamente inalcanzables.

Conclusin
BSM integra todos los principios de ITIL v2 e incluso incorpora algunos de los nuevos
elementos de ITIL v3. La combinacin de BSM e ITIL v3 ayuda a la TI a alcanzar nuevos
niveles de madurez en la gestin del servicio de TI a travs de la integracin de la TI
con el negocio y la transicin a la gestin del ciclo de vida del servicio.
Dado que ITIL v3 es una evolucin de ITIL v2, las organizaciones que ya han iniciado su
implantacin pueden pasar fcilmente a la versin 3 sin perder ninguno de los
beneficios conseguidos a raz de los esfuerzos realizados. Asimismo, pueden percibir
los beneficios adicionales que aporta ITIL v3 gracias a la integracin de TI con el
negocio y su nuevo posicionamiento como partner de negocio. De esta forma, las
organizaciones pueden explotar todo el potencial de sus recursos de TI para mejorar su
ventaja competitiva.

35

Referencias
BDO Consulting. (2008). Gobierno de Tecnologa de Informacin (TI). Panam: BDO
Consulting.
Cobit 5 Update - it's almost ready. (19 de Abril de 2011). Recuperado el 2 de
Noviembre de 2011, de ITSM portal: http://www.itsmportal.com/columns/cobit-5update- %E2%80%93-it%E2%80%99s-almost-ready Institute, I. G. (2007). Cobit
Quickstart 2nd edition. USA: ITGI.
ISACA. (2011). Cobit 5 The Framework (Exposure draft). IL,USA: CRISC.
ISACA. (2009). Transforming Enterprise IT. USA: ISACA.
IT Governance Institute. (2008). Alineando Cobit 4.1, ITIL v3, ISO/IEC 27002 en
beneficio de la empresa. USA: ITGI.
IT Governance Institute. (2007). Cobit 4.1. USA: ITGI.
IT Governance Institute. (2005). Keys to IT Governance. USA: ITGI.
MIRBAHA, M. (2008). IT Governance in financial, comparing two sectors using Cobit
4.1. Estocolmo: KTH.
NETWORK-SEC. (2010). Implantacin de Gobierno de TI. Valencia: NETWORK-SEC.
TOOMEY, M. (2009). Impulsando el liderazgo de TI atravs del buen gobierno
corporativo con las TI. Australia: Atos consulting.
Villuendas, A. (19 de 09 de 2011). Defincin de Gobierno de TI. Recuperado el 02 de 10
de 2011, de www.tgti.org: http://www.tgti.es/?q=node/57
Formacin Oficial ITIL, ITIL FUNDAMENTOS Tecnofor
ITIL, visite www.bmc.com/itil y http://www.ogc.gov.uk/guidance_itil.asp.
Web oficial de la OGC (Office of Government Commerce) britnica (www.bestmanagement-practice.com)

36

37

Trabajo acadmico Web 2.0 y Ajax

Web 2.0 y Ajax

38

lvaro Gomariz Lpez 64260

39

Contenido
WEB 2.0 ....................................................................................................................................... 41
Proponiendo una definicin ........................................................................................................ 41
La Web: de recurso a entorno hipermeditico ....................................................................... 43
La folksonoma y la Web semntica..................................................................................... 44
Los RSS y las tecnologas push................................................................................................. 44
Inteligencia colectiva ............................................................................................................... 45
a. La produccin y el modelo bazar ................................................................................. 46
b. Recursos en comn y el equilibrio de Nash .................................................................... 46
c. El control del grupo ......................................................................................................... 47
Conclusiones ........................................................................................................................... 49
AJAX ............................................................................................................................................. 51
Definiendo Ajax ....................................................................................................................... 52
Como es diferente AJAX .......................................................................................................... 54
Quien est usando Ajax ........................................................................................................... 55
Problemas e inconvenientes. .................................................................................................. 55
Referencias .................................................................................................................................. 57

40

WEB 2.0
El trmino Web 2.0 hace referencia a la evolucin que ha experimentado el servicio
web. En constante progresin, ha pasado de unas primeras pginas estticas en HTML
(Web 1.0), a un segundo nivel ms elaborado (Web 1.5), caracterizado por la creacin
al vuelo de documentos dinmicos. Pero los cambios que se intuyen ahora son ms
profundos y complejos. Este nuevo estadio de la Web es el que se conoce como Web
2.0.
La nomenclatura 2.0 no es casual y sugiere un cambio significativo en relacin al
modelo de pginas web disponibles hasta ahora. Esta denominacin sigue el smil de
los programas informticos: las versiones de un mismo producto se identifican con dos
o ms nmeros, separados por puntos. Las variaciones realizadas en el programa se
indican incrementando la numeracin con la lgica de que cuanto ms a la derecha
est el nmero que vara, de menor importancia resulta la mejora o la correccin
realizada. Pero si es el primer dgito el que cambia, se est indicando que se han
producido modificaciones sustanciales.
La manera de denominar el servicio web tambin sugiere que nos encontramos
ante un producto que estar sometido a una constante revisin. Resulta significativo
que los creadores de un servicio 2.0, durante su lanzamiento (que suele alargarse,
cuando menos, unos cuantos meses), nunca muestran en sus pginas el socorrido
mensaje de "en construccin", sino que identifican su situacin como en fase Beta",
tal como se hace con los programas informticos. Lo cual apunta a que una Web 2.0 no
se construye, sino que se prueba. Y se modifica continuamente para dotarla de nuevas
prestaciones.
Este nuevo modelo nos ha dejado palabras y siglas para definir productos o situaciones
comunicativas de reciente aparicin, algunas de ellas todava sin equivalente en
nuestro idioma (blogs o bitcoras, vblogs o videoblogs,folkMind, folksonoma, mashup,
agregador, permalink, RSS, feed, Redes sociales, tag clouds, trackBack, wiki, AJAX).
No es propsito de este artculo explorar las posibilidades de cada una de estas
aplicaciones. Pretendemos acercarnos a la Web 2.0 como concepto general para
definirlo, con el fin de aislar los rasgos caractersticos, identificar los actores que
intervienen y ayudar a comprender el cambio de paradigma que plantea. El objetivo es
descubrir qu es la Web 2.0.

Proponiendo una definicin

Aunque parezca increble, encontrar una respuesta concreta o una definicin estricta
en la bibliografa actual (incluida la electrnica) es difcil. Ms an si tenemos en
cuenta que es un trmino que desde su aparicin, a mediados de 2004, se ha
extendido rpidamente entre la comunidad de Internet (a inicios de julio de 2007,
Google indexa aproximadamente 332 millones de entradas bajo esa expresin). Los
padres del trmino otorgan al concepto valores y matices abstractos, y plantean la
Web 2.0 como un koan ( 1) slo asequible a los iniciados que, tras invertir largas
41

horas de reflexin y experiencia, se vern recompensados con la iluminacin y el

conocimiento. As, por ejemplo, Davis (2005) afirma que la Web 2.0 no es una
tecnologa, sino una actitud y OReilly (2005b) expresa que el concepto no tiene
lmites definidos, sino [que es] ms bien un ncleo gravitatorio.
La dificultad de estos autores para definir el concepto de forma clara radica en su
pretensin de abordar todas las variables que rodean al fenmeno de forma
simultnea, mezclando entorno, tecnologa, aplicaciones, usos... Dado que para poder
acercarnos al objeto con propiedad necesitamos disponer de una definicin que no
lleve a confusin, podemos considerar como Web 2.0 todas aquellas utilidades y
servicios de Internet que se sustentan en una base de datos, la cual puede ser
modificada por los usuarios del servicio, ya sea en su contenido (aadiendo,
cambiando o borrando informacin o asociando metadatos a la informacin existente),
bien en la forma de presentarlos o en contenido y forma simultneamente.
Dicho de otra forma, una aplicacin on line podr considerarse como Web 2.0 cuando
permita procesos de interactividad de contenidos contributiva ( 2)(cuando el usuario
pueda aadir y compartir informacin con otros usuarios, como en Flickr
/ www.flickr.com), procesos de interaccin de contenidos combinatoria (cuando
posibilite la interrelacin de contenidos de diferentes bases de datos como en los
denominados purs o Mashups o, por poner un ejemplo concreto, en Whats Up?
/ www.jeroenwijering.com/whatsup o procesos de interaccin de interficie como en
Netvibes (www.netvibes.com) o iGoogle (www.google.com/ig), ya sean de
preferencias estticas o de funciones (cuando el usuario puede ubicar los contenidos
en diferentes lugares de la pantalla o decidir qu contenidos aparecen) o generativa
(cuando el sistema, a partir del anlisis del modo de operar del usuario con la
interficie, decida por el usuario cmo o qu datos presentar).
Cabe sealar que esta definicin, de forma intencionada, no excluye aquellas
aplicaciones on line que estn soportadas en entornos diferentes al servicio web. Se
dar, pues, la paradoja de que algunas aplicaciones denominadas Web 2.0 no sean
propiamente web, esto es, accesibles a travs de un navegador, y se requiera de
programas o dispositivos especficos para recibir sus contenidos o servicios (como
ocurre en las redes peer to peer ( 3)).
El hecho de permitir al interactor la manipulacin directa de la fuente de datos que
sustenta un servicio on line no tiene, al menos tcnicamente, nada de novedoso: los
foros (un elemento de comunicacin electrnica muy conocido entre los internautas)
podran considerarse como un ejemplo (tal vez, el primero) de la Web 2.0. Igualmente,
las aplicaciones de telebanca, al permitir acciones como el traspaso de efectivo de una
cuenta a otra, en realidad, estn dejando que el usuario modifique los contenidos de la
base de datos bancaria. Pero es que la Web 2.0 no es nueva: herramientas tan
representativas de la corriente Web 2.0 como los weblogs se remontan a 1993 (Riley,
2005). Y el wiki, por ejemplo, data de 1995 ( 4).
As, la novedad de las aplicaciones Web 2.0 viene determinada por los nuevos usos y
situaciones comunicativas que se derivan de la asociacin de nuevos datos a los datos
42

existentes en una base de datos (metadatos) y a la explotacin de esos metadatos y de

que, adems, la asociacin pueda realizarse de forma sencilla, ubicua y mancomunada.
Los metadatos, esto es, los datos que hablan de otros datos, sirven paraidentificar,
describir, localizar, recuperar, organizar y preservar la informacin a la que estn
vinculados. A partir de estas mltiples funciones se estn desarrollando aplicaciones
web de muy diversa ndole. Sin nimo de ser exhaustivo, encontramos servicios que
cumplen con la definicin de 2.0 propuesta anteriormente, asociados a categoras tan
dispares como buscadores, herramientas de publicacin, portales personales, sistemas
de distribucin del conocimiento, espacios virtuales para almacenar y compartir
contenidos, listados de marcadores sociales o utilidades distribuidas de acceso on
line (ver tabla ( 1)).

La Web: de recurso a entorno hipermeditico

Resulta curioso observar cmo la aparicin de las aplicaciones Web 2.0 supone un
avance hacia atrs. Dicho de otra forma, se evoluciona hacia los sistemas
hipertextuales primigenios, como el terico Memex de Vannebar Bush, el NLS de
Douglas Engelbart o el Xanadu de Ted Nelson, los cuales estaban dotados de ciertas
caractersticas que la Web 1.0 o 1.5 no pudo ofrecer jams. Nelson, en su web
(http://xanadu.com/xuTheModel), menciona defectos del WWW tales como el
establecimiento de enlaces en un solo sentido, la existencia de enlaces que apuntan a
recursos inexistentes, la imposibilidad de agregar notas o comentarios, la imposibilidad
de comparar diferentes versiones de un documento o la inexistencia de un control
sobre los derechos de autor y su gestin, entre otros. Estas carencias, en mayor o
menor medida, estn siendo superadas por la Web 2.0.
En esta misma lnea, y teniendo en cuenta que Liestl considera como recurso de
documentos hipermedia aquel que permite al interactor leer, copiar y navegar por
una gran base de datos con enlaces hipertextuales, pero la informacin permanece
fija; no pueden aadirse nuevos documentos y la relacin estructural del material
viene dada y que el mismo autor se refiere a entorno de hipermedios como aquel
donde el interactor que lee no interacciona desde el exterior sino desde dentro,
aadiendo documentos y enlaces, lo que modifica la estructura y los contenidos del
sistema (1997: 135), podemos afirmar que con las aplicaciones Web 2.0, el espacio
web ha conseguido la categora de autntico entorno hipermedia. Y es que las
aplicaciones y servicios Web 2.0 estn dotando al interactor de la capacidad para ver,
seguir y crear enlaces unidireccionales y bidireccionales, de la posibilidad de comparar
diferentes versiones, de trabajar de forma simultnea sobre un mismo documento o
de la posibilidad de publicar contenidos de forma ubicua y desde el propio entorno de
acceso a los documentos.

43

La folksonoma y la Web semntica

Hemos mencionado anteriormente que los metadatos son el rasgo caracterstico de la
Web 2.0. Y ms concretamente, la posibilidad de crearlos y de explotarlos. Pero su
valor no radica en la posibilidad tcnica de su existencia y de su manipulacin sino en
las manifestaciones y fenmenos comunicativos a los que est dando lugar.
As, nos encontramos ante aplicaciones cuya importancia reside en la clasificacin de la
informacin. Las grandes bases de datos multimedia, por ejemplo, deben hacer uso de
los metadatos para gestionar los enormes volmenes de informacin con los que
trabajan y resolver las peticiones que reciben con cierta rapidez. Tal como comenta
Fernndez Quijada (2006), la manera fundamental de abordar esta hiperinflacin es
la indexacin y el tratamiento automatizado de los datos de esta indexacin.
En algunas aplicaciones 2.0 los usuarios se convierten en indexadores de la
informacin. Y lo hacen relacionndola con palabras clave o marcas (tags) que ellos
mismos eligen libremente. Esta libertad del usuario para etiquetar la informacin se ha
bautizado con el nombre de folksonoma y se opone, en cierta forma, a la taxonoma
tradicional, donde las categoras de clasificacin estn previamente establecidas.
Espacios virtuales en los que almacenar y compartir contenidos como Flickr
(www.flickr.com) para imgenes fotogrficas, Goear (www.goear.com) para sonidos y
canciones o YouTube(www.youtube.com) para contenidos videogrficos utilizan la
folksonoma como forma de clasificar y, posteriormente, localizar los contenidos. Lo
mismo ocurre con los marcadores sociales como del.icio.us (http://del.icio.us)
o simpy (www.simpy.com), servidores donde los usuarios almacenan las direcciones
de sus enlaces favoritos, los marcan con tags y, si quieren, los hacen pblicos. Como
adelantbamos, la trascendencia de la folksonoma se basa en los resultados
obtenidos y no en la mera posibilidad tcnica. Si observamos ms all de la ancdota o
de la aplicacin en concreto, veremos que, en realidad, nos encontramos con gran
nmero de personas trabajando, de forma continua, voluntaria y gratuita, en la
clasificacin de material, o lo que es lo mismo, dando significado a contenidos de todo
tipo (sitios web, imgenes fotogrficas, material audiovisual...). Estos usuarios, que
crean y mantienen una base de datos de forma manual voluntaria (Bricklin, 2001 ( 5))
estn contribuyendo, sin saberlo, a fraguar la idea de la Web semntica
(www.semanticweb.org) planteada por Berners-Lee (2001).

Los RSS y las tecnologas push

Las tecnologas de la informacin denominadas pull (del ingls, tirar) son aquellas en
las que el usuario inicia la demanda de informacin y el sistema sirve los contenidos
solicitados. La navegacin tradicional funciona de este modo. Con la integracin de
metadatos a la informacin es muy fcil invertir el proceso y construir
aplicaciones push (del ingls, empujar), esto es, herramientas de comunicacin en
las que el sistema toma la iniciativa y es capaz de enviar contenidos a los usuarios y
que dichos contenidos sean acordes a sus intereses. Con las tecnologas push no es el
usuario quien va a buscar la informacin, sino que es la informacin la que acude al

44

encuentro del receptor. El ejemplo ms claro de tecnologas push de la Web 2.0 lo

encontramos en la explotacin de los documentos RSS asociados a losweblogs.
Un RSS (Rich Site Summary o Really Simple Syndication) ( 6) es un documento que
contiene metadatos relacionados con un sitio web en concreto. Los archivos RSS
(llamados tambin feeds RSS o canales RSS) se estructuran en tems, con el ttulo, el
resumen y el enlace de la informacin que describen y, eventualmente, pueden
contener otros datos (fecha de publicacin del documento, nombre del autor).
Los weblogs son, como los wikis, otra de las herramientas de publicacin rpida del
universo 2.0. Los contenidos de los blogs y de sus parientes cercanos, los audioblogs y
los videoblogs ( 7), son accesibles mediante tecnologas pull, visitndolos con el
programa adecuado. Pero existe otra forma de obtener la informacin que contienen.
Cuando un blogger (persona que mantiene un weblog) escribe una nueva entrada en
su bitcora, de forma automtica, genera o modifica un documento RSS asociado a
ella. As, los seguidores de un determinado blog, mediante programas denominados
lectores de feeds de RSS, pueden mantenerse informados sobre las actualizaciones y
novedades publicadas en sus blogs favoritos, sin necesidad de visitarlos uno a uno,
establecindose una comunicacin de tipo push. Hasta hace poco, los lectores
de feeds de RSS eran herramientas que deban ser instaladas en el ordenador del
usuario para funcionar (iTunes /www.apple.com/itunes). La Web 2.0 ha creado
lectores de feeds on line como bloglines (www.bloglines.com) o Google Reader
(www.google.com/reader). Actualmente ciertos programas navegadores como
Firefox (www.mozilla.com/firefox) o Microsoft Internet Explorer 7
(www.microsoft.com/windows/IE/ie7/default.mspx) ya los incorporan como opciones
de sus mens. De este modo, se est produciendo un acercamiento de las
tecnologas push hacia los usuarios.

Inteligencia colectiva
Una de las grandezas que se atribuyen a Internet es que cualquier usuario, individual o
colectivo, puede convertirse en emisor, creando y publicando su propio sitio web. Con
las herramientas de publicacin 2.0 es extremadamente fcil colocar contenidos en la
Red. Pero la Web 2.0 no slo ofrece herramientas para trabajar en entornos
contributivos sino que, adems, otorga a la comunidad la posibilidad de ejercer su
inteligencia colectiva (entendida como la capacidad del grupo para resolver
problemas que cada individuo del colectivo, de forma personal, no sera capaz de
resolver ni, incluso, de entender). La inteligencia colectiva provocar, por ejemplo, que
cierta referencia aparezca mejor o peor situada en Google o ser capaz de construir un
producto tan monumental como la Wikipedia(www.wikipedia.org).
Las actividades de la inteligencia colectiva en Internet pueden dividirse en tres
grandes grupos: la produccin de contenidos, la optimizacin de recursos y el control
ejercido sobre contenidos e individuos.

45

a. La produccin y el modelo bazar

La inteligencia colectiva, entendida meramente como el trabajo individual de millones
de usuarios, produce nada ms (y nada menos) que el fruto de la suma de sus partes.
As, nos encontramos ante aplicaciones como los marcadores sociales (del.icio.us) o los
almacenes virtuales (flickr) que actan a modo de repositorios, cuyo valor se
corresponde de forma directa y unvoca con la cantidad de referencias disponibles ( 8).
Adems, como se ver, la produccin de la inteligencia colectiva se ejerce sin la figura
de una autoridad supervisora central que coordine el trabajo. Esta forma de trabajo
fue bautizada por Raymond (2000) como el modelo bazar (opuesto al modelo
catedral, jerarquizado y supervisado por un poder central). El modelo Bazar (o la
cooperacin sin mando) es el sistema empleado en el diseo de programas de cdigo
abierto. El modelo se caracteriza por una constante publicacin de resultados, una
mxima distribucin de responsabilidades y tareas y ser abierto hasta la
promiscuidad para estimular al mximo la cooperacin (Vidal: 2000).

b. Recursos en comn y el equilibrio de Nash

Al observar cmo la inteligencia compartida ejerce funciones para optimizar recursos,
nos encontramos ante entornos como el de las redes P2P como las de eDonkey2000,
accesible mediante un programa cliente como emule (www.emuleproject.net), o
BitTorrent, accesible mediante un programa cliente como uTorrent
(www.utorrent.com). Estas redes tambin pueden medir su eficacia de manera
directamente proporcional al nmero de ficheros que comparten. Pero en ellas,
adems de informacin, el colectivo aporta al entorno infraestructura propia,
necesaria para que el sistema funcione. As, cada usuario conectado reserva espacio en
el disco duro de su ordenador como almacn de los contenidos compartidos y destina
algo del ancho de banda de su propia conexin para poder distribuirlos en la red P2P.
Adems de los sistemas P2P, han surgido proyectos de sistemas distribuidos ( 9) en los
que el usuario participa exclusivamente cediendo recursos, sin obtener ningn
beneficio directo a corto plazo. Uno de los ms duraderos ha sido el pionero proyecto
Search for ExtraTerrestrial Intelligence (SETI /http://setiathome.ssl.berkeley.edu),
orientado a analizar las seales recibidas del espacio exterior con el fin de encontrar
patrones de los que se pueda inferir la existencia de vida extraterrestre inteligente.
Otro proyecto destacado de procesamiento distribuido ha sido Compute Against
Cancer (www.computeagainstcancer.org), orientado a la lucha contra el cncer.
En estos proyectos es fcil entender una colaboracin desinteresada, completamente
altruista, debido a la noble finalidad de los objetivos y a que los recursos se ofrecen
mientras el propietario no los necesita. En cambio, no es tan fcil comprender por qu
funcionan entornos como el P2P, donde la estrategia de beneficios mximos consiste
en acceder a recursos y materiales ajenos sin compartir recursos y materiales propios.
La respuesta no es sencilla. Pero si se contempla la relacin usuario / sistema P2P
desde la teora de los juegos, encontraremos argumentos que nos ayudarn a
contestar esa pregunta. Desde ese punto de vista, se puede entender que el uso de un
46

sistema P2P cumple con las caractersticas de un juego de aditividad no nula, con
repeticin (10), entorno ampliamente estudiado por esta especialidad de las
matemticas.
Para minimizar el abuso por parte de un usuario-jugador, algunos sistemas premian a
los participantes que comparten ms material. De esta manera la tendencia de los
usuarios es la de optar por la estrategia de colaborar compartiendo recursos, sin tener
la tentacin de dejar de hacerlo (para no ser penalizados por el sistema). O lo que es lo
mismo, pero dicho en trminos de la teora de los juegos, el sistema tiende a un punto
de equilibrio de Nash(11), cosa que lo hace estable, slido, permanente. Adems, las
redes P2P se basan en la cooperacin egosta, estrategia que se ha demostrado como
la ms eficaz en todo tipo de escenarios (econmicos, biolgicos, culturales...).

c. El control del grupo

Adelantbamos anteriormente que en el trabajo de la inteligencia colectiva no existe
una autoridad central que organice el proyecto, lo cual no es del todo cierto. Es la
propia inteligencia colectiva la que, adems de producir contenidos y de compartir
recursos, se convierte en entidad ubicua, reguladora de la produccin, supliendo la
existencia de una figura ubicada, jerrquicamente superior, que controle el trabajo del
resto. Ser, pues, la propia comunidad de usuarios, que hasta ahora no haba podido
actuar como un ente homogneo en el entorno web (porque no era entorno, sino
simple recurso), quien califique, valore, recomiende o prime ciertos contenidos por
encima de otros. Y esa valoracin no va a depender de un solo individuo sino del grupo
como tal.
El control de la inteligencia colectiva se ejerce de dos maneras: a) en forma
plebiscitaria, en la que la opcin escogida por mayora es la que se toma como
decisin; y b) en forma de edicin permanente, donde cada individuo, en cualquier
momento, aade, corrige o elimina los contenidos aportados por otros individuos.
La comunidad puede ejercer un control plebiscitario en el momento que es capaz de
otorgar valor, como colectivo, tanto a los usuarios individuales como a los contenidos.
Dicho de otra forma, el comportamiento del conjunto de los usuarios influir de
manera determinante en los datos de la aplicacin, asignando metadatos
calificadores a personas o a informaciones. Esto ocurre, como ya hemos
mencionado, en buscadores como Google, donde la prioridad de aparicin de un
enlace depende del nmero de veces que los usuarios lo incluyen en sus propias
pginas (pageRank) o, en otros buscadores, de la cantidad de visitas que los
interactores hacen a una determinada pgina web.
Otro ejemplo de control plebiscitario lo encontramos en el ejercicio de la
folksonoma, donde las decisiones del individuo formarn parte del todo. La
folksonoma se convertir en una fuerza de regulacin de contenidos, ya que
contribuye a generar una categorizacin emergente, donde cada elemento quedara
clasificado bajo la etiqueta ganadora (Fumero, 2005).

47

Estos sistemas, que podramos denominar de votacin, basados en el

reconocimiento, el prestigio, la confianza o la relevancia que otorga el colectivo a
contenidos o a otros iguales, suelen ser el fundamento para que ciertas aplicaciones
Web 2.0 se sustenten: el servicio de subastas virtuales eBay, por ejemplo, se cimienta
en la opinin manifestada por los usuarios al completar una transaccin. Aunque cada
usuario valora de forma individual cmo se ha desarrollado la operacin en la que ha
participado personalmente (calificando el tiempo de entrega, el embalaje del
producto, el estado del artculo adquirido, la realizacin del pago en el tiempo y por el
importe convenidos), es el porcentaje final, determinado por la cantidad de
transacciones valoradas positivamente, el que configura el ndice de confianza
asignado a un determinado usuario siendo, finalmente, esa inteligencia colectiva la
que otorga o niega la honestidad a cada comprador o proveedor y establece su ndice
de confiabilidad.
El otro tipo de control que hemos mencionado, el control de edicin permanente, es el
que se desarrolla en aplicaciones Wiki, como Citizendium(http://en.citizendium.org) o
la ms conocida Wikipedia (12). En Wikipedia(que es, de momento, el entorno que
otorga mayor grado de libertad a los usuarios), el control se fundamenta,
paradjicamente, en la inexistencia de privilegios o categoras de control: todos los
usuarios tienen la misma jerarqua frente al sistema (13). Cualquier visitante de
la Wikipedia puede introducir nuevos contenidos, corregir errores o eliminar entradas.
As, cuando Eco (2006), con cierto tono apocalptico, se pregunta Quin controla en
la Wikipedia no slo los textos sino tambin sus correcciones? O acta una suerte de
compensacin estadstica, por la cual una noticia falsa antes o despus se localiza? ya
sabe la respuesta: la fuerza de la Wikipediaradica en esa suerte de compensacin
estadstica que Eco intuye como una debilidad y que se ha demostrado como una
excelente forma de control de revisin por pares. Tal como proclama la denominada
Ley de Linus (14), bajo la que se han elaborado los programas de cdigo abierto,
dados suficientes ojos, todos los errores sern evidentes. As, cualquier internauta
(erudito o incompetente, honrado o malintencionado, experto o novel) puede aadir o
modificar una entrada, sin registros ni identificaciones previas. El control sobre la
informacin introducida se ejerce a posteriori por todos los usuarios que accedern a
esos contenidos ya que, si detectan alguna anomala, podrn modificarlos
nuevamente, sin censura.
Tal como afirma Morville (2005), en el caso de la Wikipedia la autoridad deriva de la
arquitectura de la informacin, del diseo visual, del control y de la marca
Wikipedia y de la fe extensa en la honradez intelectual y en el poder de la inteligencia
colectiva.
Aunque a primera vista puede parecer que el sistema tender a desestabilizarse, la
experiencia demuestra que no es as: la Wikipedia en lengua inglesa, nacida en 2001,
contaba, a inicios de febrero de 2006, con ms de 950.000 entradas. Algunas de ellas
corregidas por personas de tanto prestigio como el propio Eco!

48

Conclusiones
La Web 2.0 ha permitido el desarrollo y la puesta en prctica de ideas y conceptos
tericos que Internet no soportaba hasta el momento: podemos hablar del servicio
web como de un entorno hipermedia, nos acercamos a la Web semntica y las
tecnologas push son una realidad accesible.
Adems, la inteligencia colectiva se ha erigido como la autntica protagonista de los
entornos de comunicacin telemticos. Y lo ha hecho en tres mbitos diferentes y con
tres funciones: como creadora de contenidos, como socializadora de recursos y como
entidad controladora de la produccin.
Pero el hecho fundamental que merece la mxima atencin es que nos encontramos
ante nuevas formas de produccin y de edicin de contenidos. Y eso nos obliga a
desarrollar nuevas formas de acceder a ellos y aprender a consumirlos. O, al menos, a
gestionarlos con la cautela que se deriva de las nuevas formas de autora,
caracterizadas por la libertad, el anonimato, la ubicuidad, el trabajo en equipo y la
constante revisin de la produccin.
El inconveniente que se deriva de ese continuo estado de creacin y modificacin es el
mismo que afecta a otros medios de comunicacin electrnicos on line: si atendemos a
la clasificacin que hace Rolero de los documentos segn su conservabilidad (2001,
web) observaremos que la informacin en Internet no es inalterable (como ocurre
con el libro impreso), sino que se considera permanente (no desaparece hasta que
alguien, voluntariamente, la borra o la modifica). A pesar de esto, la Web se est
utilizando como fuente de citas en todo tipo de artculos y publicaciones cientficas,
tanto impresas como electrnicas, teniendo la precaucin de mencionar la fecha de
consulta del documento al que se hace referencia, puesto que el administrador del
sitio web podra modificar los contenidos o, incluso, eliminarlos.
La Wikipedia, a pesar de estar sometida a un mayor nmero de modificaciones y de ser
ingente el nmero de administradores potenciales, tambin puede utilizarse como
herramienta de referencia. Incluso con mayor eficacia que una pgina web, ya que,
aunque a primera vista pudiera parecer lo contrario, el grado de inalterabilidad de sus
contenidos es inferior. La libertad, la cantidad y el anonimato de los sujetos capaces de
modificarla son algunos de los factores que llevan a una baja permanencia de sus
contenidos. Pero la Wikipedia ofrece herramientas para recuperar versiones anteriores
y comprobar, por ejemplo, que cierta cita, en una fecha determinada, era exactamente
la que aparece en un documento. El entorno web 1.0 no proporciona estos
mecanismos de revisin y aun as lo hemos integrado al conjunto de posibles fuentes
de referencia, sin achacarle defectos apocalpticos.
En el caso de la Wikipedia, conociendo cmo se construye, el interactor que accede a
sus artculos puede asumir el riesgo que comporta que los autores y editores de La
enciclopedia libre sean mltiples, annimos y distribuidos y, a cambio, beneficiarse de
las virtudes de la inteligencia colectiva. O es que no debemos ser prudentes antes de
aceptar como verdicos otros contenidos que se publican en Internet? Igual que
49

debemos cuestionarnos los contenidos que aparecen en televisin y no podemos

asumir que todo lo que aparece en forma de libro impreso es la Verdad, as hay que
enfrentarse a la Red: siendo crticos. Crticos con los medios. Con todos los medios. Y
no slo con las nuevas formas de produccin o de distribucin de contenidos on line.

50

AJAX
AJAX parece ser la palabra de moda en el mundo del desarrollo de aplicaciones Web,
AJAX no es una tecnologa, sino la unin de varias tecnologas que juntas pueden lograr
cosas realmente impresionantes.
Hace un tiempo AJAX parece ser la palabra de moda en el mundo del desarrollo de
aplicaciones Web; de hecho muchos lo escuchan nombrar pero pocos saben que es
realmente y, menos an, saben en donde buscar informacin clara sobre que es esta
nueva maravilla de la tecnologa que Jesse James Garret public en un artculo en
Ingls excelente que vale la pena traducir por completo.
Por qu es tan interesante AJAX? Porque en realidad AJAX no es una tecnologa, sino
la unin de varias tecnologas que juntas pueden lograr cosas realmente
impresionantes como GoogleMaps, Gmail el Outlook Web Access ( ref ) o algunas otras
aplicaciones muy conocidas: AJAX, en resmen, es el acrnimo para Asynchronous
JavaScript + XML y el concepto es: Cargar y renderizar una pgina, luego mantenerse
en esa pgina mientras scripts y rutinas van al servidor buscando, en background, los
datos que son usados para actualizar la pgina solo re-renderizando la pgina y
mostrando u ocultando porciones de la misma.
Si algo del actual diseo de interaccin puede ser llamado glamoroso, es crear
Aplicaciones Web. Despus de todo, cundo fue la ltima vez que escuchaste a
alguien hablar de diseo de interaccin de un producto que no est en la Web? (Okay,
dejando de lado el iPod). Todos los nuevos proyectos cool e innovadores estn online.
Dejando de lado esto, los diseadores de interaccin Web no pueden evitar sentirse
envidiosos de nuestros colegas que crean software de escritorio. Las aplicaciones de
escritorio tienen una riqueza y respuesta que pareca fuera del alcance en Internet. La
misma simplicidad que ha permitido la rpida proliferacin de la Web tambin crea
una brecha entre las experiencias que podemos proveer y las experiencias que los
usuarios pueden lograr de las aplicaciones de escritorio.
Esa brecha se est cerrando.
Google Suggest y Google Maps son dos ejemplos de un nuevo acercamiento a las
aplicaciones Web, que nosotros en Adaptative Path hemos denominado AJAX. El
nombre es una abreviacin o acrnimo para Asynchronous JavaScript + XML, y ello
representa un cambio fundamental en que es posible en la Web.
51

Definiendo Ajax
Ajax no es una tecnologa. Es realmente muchas tecnologas, cada una floreciendo por
su propio mrito, unindose en poderosas nuevas formas. AJAX incorpora:
presentacin basada en estndares usando XHTML y CSS;
exhibicin e interaccin dinmicas usando el Document Object Model ;
Intercambio y manipulacin de datos usando XML and XSLT ;
Recuperacin de datos asincrnica usando XMLHttpRequest ;
y JavaScript poniendo todo junto.
El modelo clsico de aplicaciones Web funciona de esta forma: La mayora de las
acciones del usuario en la interfaz disparan un requerimiento HTTP al servidor web. El
servidor efecta un proceso (recopila informacin, procesa nmeros, hablando con
varios sistemas propietarios), y le devuelve una pagina HTLM al cliente. Este es un
modelo adaptado del uso original de la Web como un medio hipertextual, pero como
fans de The Elements of User Experience sabemos, lo que hace a la Web buena para
el hipertexto, no la hace necesariamente buena para las aplicaciones de software.

52

Este acercamiento tiene mucho sentido a nivel tcnico, pero no lo tiene para una gran
experiencia de usuario. Mientras el servidor esta haciendo lo suyo, que esta haciendo
el usuario? Exacto, esperando. Y, en cada paso de la tarea, el usuario espera por mas.
Obviamente, si estuviramos diseando la Web desde cero para aplicaciones, no
querramos hacer esperar a los usuarios. Una vez que la interfaz esta cargada, porque
la interaccin del usuario debera detenerse cada vez que la aplicacin necesita algo
del servidor? De hecho, porque debera el usuario ver la aplicacin yendo al servidor?

53

Como es diferente AJAX

Una aplicacin AJAX elimina la naturaleza arrancar-frenar- arrancar-frenar de la
interaccin en la Web introduciendo un intermediario -un motor AJAX- entre el usuario
y el servidor. Parecera que sumar una capa a la aplicacin la hara menos reactiva,
pero la verdad es lo contrario. En vez de cargar un pagina Web, al inicio de la sesin, el
navegador carga al motor AJAX (escrito en JavaScript y usualmente sacado en un
frame oculto).
Este motor es el responsable por renderizar la interfaz que el usuario ve y por
comunicarse con el servidor en nombre del usuario. El motor AJAX permite que la
interaccin del usuario con la aplicacin suceda asincrnicamente
(independientemente de la comunicacin con el servidor).
As el usuario nunca estar mirando una ventana en blanco del navegador y un icono
de reloj de arena esperando a que el servidor haga algo

54

Cada accin de un usuario que normalmente generara un requerimiento HTTP toma la

forma de un llamado JavaScript al motor AJAX en vez de ese requerimiento. Cualquier
respuesta a una accin del usuario que no requiera una viaje de vuelta al servidor
(como una simple validacin de datos, edicin de datos en memoria, incluso algo de
navegacin) es manejado por su cuenta. Si el motor necesita algo del servidor para
responder (sea enviando datos para procesar, cargar cdigo adicional, o recuperando
nuevos datos) hace esos pedidos asincrnicamente, usualmente usando XML, sin
frenar la interaccin del usuario con la aplicacin.

Quien est usando Ajax

Google est haciendo una significativa inversin en el acercamiento Ajax. Todos los
grandes productos que Google ha introducido en el ultimo ao (Orkut, Gmail, la ltima
versin de Google Groups, Google Suggest, y Google Maps ) son aplicaciones Ajax.
Otros estn siguiendo la tendencia: muchas de las funciones que la gente ama en Flickr
dependen de Ajax, y el motor de bsqueda de Amazon A9.com aplica tecnologas
similares.
Estos proyectos demuestran que Ajax no es solo tcnicamente importante, sino
tambin prcticos para aplicaciones en el mundo real. Esta no es otra tecnologa que
solo trabaja en un laboratorio. Y las aplicaciones Ajax pueden ser de cualquier tamao,
de lo ms simple, funciones simples como Google Suggest a las muy complejas y
sofisticadas como Google Maps.

Problemas e inconvenientes.
Las pginas creadas dinmicamente mediante peticiones sucesivas AJAX, no son
registradas de forma automtica en el historial del navegador, as que haciendo clic en
el botn de "volver" del navegador, el usuario no ser devuelto a un estado anterior de
la pgina, en cambio puede volver a la ltima pgina que visit. Soluciones incluyen el
uso de IFrames invisible para desencadenar cambios en el historial del navegador y el
cambio de la porcin de anclaje de la direccin (despus de un #).
Los motores de bsqueda no analizan JavaScript. La informacin en la pgina dinmica
no se almacena en los registros del buscador.
Hay problemas usando Ajax entre nombres de dominios, a esto se le conoce
como Same Origin Policy o Poltica del Mismo Origen, el cual es una medida de
seguridad, el cual puede ser solucionada con Cross-Origin Resource Sharing (CORS).
Dependiendo de como se desarrolle el sitio web, puedes mejorar o empeorar la carga
en el servidor. Ajax puede ayudar al servidor a evitar la fase de renderizacion de html,
dejndole ese trabajo al cliente, pero tambin puede sobrecargar al servidor si se hace
varias llamadas a Ajax.

55

Es posible que pginas con Ajax no puedan funcionar en telfonos mviles, PDA u
otros aparatos. Ajax no es compatible con todos los software para ciegos u otras
discapacidades.

56

Referencias
.

DAVIS, I.: Talis, Web 2.0 and All That, 4 de julio de 2005;
en:http://internetalchemy.org/2005/07/talis-web-20-and-all-that
ECO, U.: Los riesgos de la Wikipedia, La Nacin, Buenos Aires, 29 de enero de 2006;
enwww.lanacion.com.ar/edicionimpresa/suplementos/enfoques/nota.asp?nota_id=77
5943
GILES, J.: Internet encyclopaedias go head to head, Special Report, Nature, 14 de
diciembre de 2005; en:www.nature.com/news/2005/051212/full/438900a.html
NELSON, T.: The Xanadu Model, Xanadu; en:http://xanadu.com/xuTheModel
MORVILLE, P.: Authority, Semantic Studios, 11 de octubre de 2005; en:
http://semanticstudios.com/publications/semantics/000057.php.
OREILLY, T.: Not 2.0?, 5 de agosto de 2005a;
en:http://radar.oreilly.com/archives/2005/08/not_20.html.
What Is Web 2.0. Design Patterns and Business Models for the Next Generation of
Software, 30 de septiembre de 2005b;
en:www.oreillynet.com/pub/a/oreilly/tim/news/2005/09/30/what-is-web-20.html.
Ajax: A New Approach to Web Applications

57

58

Trabajo acadmico Cloud Computing

Cloud Computing

59

lvaro Gomariz Lpez 64260

60

NDICE
Qu es el Cloud Computing? ............................................................................................................................... 63
Concepto de Cloud Computing.............................................................................................................................. 64
Caractersticas del cloud computing. .................................................................................................................... 65
Clasificacin de soluciones de cloud computing. ................................................................................................. 68
Por familias cloud (modelos de servicio)

68

Infrastructure as a Service (IaaS) ................................................................................................................. 68

Software as a Service (SaaS) ........................................................................................................................ 69
Plataform as a Service (PaaS) ........................................................................................................................ 69
Bussines Process as a Service (BPaaS) .......................................................................................................... 70
Por principales formas de implementacin (formas de integracin y explotacin)

70

Cloud Pblico (Externo) ................................................................................................................................. 70

Cloud Privado (Interno) ................................................................................................................................. 71
Cloud de Comunidad. .................................................................................................................................... 71
Cloud Hbrido ................................................................................................................................................. 72
Por agentes intervinientes en el negocio ............................................................................................................. 72
Ventajas y retos del cloud computing. ................................................................................................................. 74
Ventajas

74

Retos del cloud computing. 76

Disponibilidad de servicio. ............................................................................................................................ 77
Falta de estandarizacin e integracin tecnolgica. .................................................................................... 78
Seguridad y privacidad de los datos. .................................................................................................................... 79
Seguridad

79

Herramientas y estndares. 83
Privacidad de los datos.

90

Mdelos de seleccin. ........................................................................................................................................... 96

Fase 1: Anlisis y evolucin de la situacin actual. ...................................................................................... 97
Fase 2: Valoracin de mercado. .................................................................................................................. 101
61

Fase 3: Recomendaciones ........................................................................................................................... 106

Fase 4: Definicin de la hoja de ruta ........................................................................................................... 109
Descripcin de los tipos de soluciones cloud en el mercado ............................................................................. 110
Referencias y bibliografa. ........................................................................................................................... 118

62

Qu es el Cloud Computing?
En este primer captulo vamos a ver diferentes aspectos del Cloud Computing, su origen as
como su definicin.
En los ltimos aos debido a la internacionalizacin de las grandes empresas junto con la
evolucin del uso de las tecnologas y procesamiento de datos han provocado que las
necesidades a nivel de procesamiento de las empresas y organizaciones hayan aumentando a
un ritmo exponencial en lo que a la capacidad de los ordenadores personales se refiere. Por
esto y con el fin de poder llevar a cabo las actividades de los sistemas ms exigentes, se ha
producido una evolucin de los sistemas de procesamiento de datos, siendo principalmente la
de la ejecucin en varios equipos de dichos procesos.
Este primer paso fue posible en gran parte por los sistemas operativos de tipo Unix y su
posibilidad de configuracin de clusters, o lo que es lo mismo, agrupaciones de ordenadores
con compontes hardware que se comportan como un nico ordenador.
Tras varias dcadas de investigacin y desarrollo en esta tecnologa, la aparicin de Linux como
sistema operativo abierto permiti la implementacin de clusters basados en arquitectura PC,
consiguiendo instalaciones de calculo de alto rendimiento a bajos precios y haciendo de esta la
solucin en la dcada de 1990.
Esta solucin fue acogida en instituciones de investigacin en la primera dcada de 2000, pero
debido a su complejidad, su dificultad ante el uso de diferentes grids y los problemas de
portabilidad entre estas provocaron que no se popularizase fuera del mbito acadmico y de
investigacin.
A su vez, en este periodo de tiempo, tambin se popularizaron tecnologas que permitan
implementar mquinas virtuales, permitiendo desacoplar el hardware del software replicando
el entorno de usuario sin la necesidad de instalar y configurar el software para cada aplicacin,
lo cual presentaba la ventaja en la distribucin y el mantenimiento de complejos sistemas
software as como la integracin bajo un mismo entorno de sistemas diferentes.
Con este mtodo se permita una distribucin sencilla de la carga de trabajo eliminando los
problemas de la arquitectura grid y dando pie a lo que ahora llamamos Cloud Computing.
Modelo emergente como nueva solucin al procesamiento de datos y alojamiento de los
mismos a su vez apropiado para su uso comercial para los grandes procesamientos de datos de
los proveedores de servicios de Internet.

63

Concepto de Cloud Computing

Refirindonos a la definicin dada por el NIST (National Institute of Standards and Technology),
definimos el cloud computing como un modelo tecnolgico que permite el acceso ubicuo,
adaptado y bajo demanda en una red a un conjunto compartido de recursos de computacin
configurables compartidos (por ejemplo: redes, servidores, equipos de almacenamiento,
apliaciones y servicios), que pueden ser rpidamente aprovisionados y liberados y con un
esfuerzo de gestin reducido o interaccin mnima con el proveedor del servicio.
Como definicin complementaria podemos encontrar la prorporcionada por el RAD Lab de la
Universidad de Berkeley la cual explica que el cloud computing se refiere tanto a las
aplicaciones entregadas como servicio a travs de Internet, como el hardware y el software de
los centros de procesamiento de datos que proporcionan dichos servicios. Estos han sido
conocidos durante mucho tiempo como Software as a Service (SaaS), mientras que el
hardware y el software del centro de datos es a lo que se llama nube.
Con todo esto podemos entender que el computing representa una novedad en lo que al
procesamiento de la informacin y gestin de las reas TIC para empresas y organismos
pblicos.

64

Caractersticas del cloud computing.

Entre las caractersticas asociadas al cloud computing se encuentran las siguientes:

65

Pago por uso.

Una caracterstica principal del cloud es el sistema de facturacin en funcin del consumo, lo
que es lo mismo, el pago a realizar vara en funcin del uso que se realiza del servicio cloud
contratado por el cliente.
Abstraccin
Es la propiedad de aislamiento de los recursos informticos contratados al proveedor de
servicios cloud de los equipos informticos del cliente. Esto es posible gracias a la
virtualizacin, con lo que la organizacin cliente no necesitar un personal de mantenimiento
de infraestructuras, actualizaciones, pruebas y otras tareas relacionadas quedando estas a
cargo del servicio contratado.

66

Agilidad en la escalabilidad.
Propiedad basada en el aumento o disminucin las funcionalidades ofertadas al cliente,
atendiendo a sus necesidades puntuales sin modificaciones de contrato o penalizaciones en el
mismo. De igual modo, el coste del servicio se modificar acorde a las necesidades puntuales
de uso de la solucin. Esta caracterstica relacionada con el pago por uso evita los riesgos
inherentes de un posible dimensionamiento errneo inicial en el consumo o en la necesidad de
recursos.
Multiusuario.
Capacidad que permite el cloud que posibilita a varios usuarios compartir los medios y
recursos informticos, permitiendo la optimizacin de su uso.
Autoservicio bajo demanda.
Caracterstica que permite al usuario acceder de una manera flexible a las capacidades de
computacin en la nube de manera automtica a medida que las vaya requiriendo, sin
necesidad de una interaccin humana con su proveedor y proveedores de servicios cloud.
Acceso sin restricciones.
Caracterstica consistente en la posibilidad ofrecidad a los usuarios de acceder a los servicios
contratados de cloud computing en cualquier lugar, momento y con cualquier dispositivo que
disponga de conexin a red de servicio IP. El acceso a los servicios de cloud computing se
realiza a travs de la red, lo que facilita que distintos dispositivos, tales como telfonos
mviles, PDAs, u ordenadores porttiles, puedan acceder a un mismo servicio ofrecido en la
red mediante mecanismos de acceso comunes.

67

Clasificacin de soluciones de cloud computing.

Las soluciones de cloud computing existentes en el mercado actual permiten clasificaciones
segn el aspecto a valorar para dicha clasificacin.
En funcin de la documentacin analizada as como de las referencias de los informes,
principalmente, del NIST (-NIST Cloud Computing Standards Roadmap) y Deloitte (-Cloud
Compunting: Forecasting change. Market Overview and Perspective) se definen tres
caractersticas fundamentales que marcan la clasificacin de las soluciones cloud: familias,
formas de implementacin y agentes intertervinientes.

Por familias cloud (modelos de servicio)

Infrastructure as a Service (IaaS)
Familia de cloud computing consistente en poner a disposicin del cliente el uso de la
infraestructura (capacidad de computacin, espacio de disco y bases de datos entre otros)
como un servicio.
68

Los clientes que optan por este tipo de familia de cloud en vez de adquirir o dotarse
directamente de recursos como pueden ser los servidores, el espacio del centro de datos o los
equipos de red optan por la externalizacin en busca de un ahorro en la inversin en sistemas
TI.
Con esta externalizacin, las facturas asociadas a este tipo de servicios se calculan en funcin
de la cantidad de recursos consumidos por el cliente, sistema basado en el modelo de pago
por uso.
Software as a Service (SaaS)
Familia de cloud computing basada en la entrega de aplicaciones como servicio, siendo un
modelo de despliegue de software mediante el cual el proveedor ofrece licencias de su
aplicacin a los clientes para su uso como un servicio bajo demanda.
Los proveedores de los servicios SaaS pueden tener instalada la aplicacin en sus servidores
web propios (permitiendo a los clientes acceder, por ejemplo, mediante un navegador web), o
descargar el software en los sistemas del contratante del servicio. En esta ltima situacin, se
provocara la desactivacin de la aplicacin una vez finalizado el servicio o el contrato de
licencia de uso.
La solucin de cloud computing de SaaS puede orientarse a otros tipos de clientes segn su
condicin:

Usuarios particulares:
o

Redes sociales.
o

Servicios de ofimtica en cloud.

Red 2.0

Usuarios profesionales:
o

C.R.M.

E.R.P

Plataform as a Service (PaaS)

Familia de cloud consistente en la entrega, como servicio, del conjunto de plataformas
informticas destinadas al desarrollo, testeo, despliegue, hosting y mantenimiento de los
sistemas operativos y aplicaciones propias del cliente.
Las principales caractersticas asociadas al PaaS como solucin de cloud son:
Facilita el despliegue de las aplicaciones del cliente sin el coste la complejidad derivados de la
compra y gestin del hardware y de las capas de software asociadas.
Ofrece a travs de redes de servicio IP todos los requisitos necesarios para crear y entregar
servicios.

69

Bussines Process as a Service (BPaaS)

Familia de cloud computing consistente en la provisin como servicio de procesos de negocio
end-to-end altamente estandarizados a travs de su entrega dinmica, la modalidad de pago
por uso y los modelos de consumo de autoservicio bajo demanda.
Su propiedad principal es que los recursos empleados mediante esta solucin para ejecutar los
procesos de negocio, son compartidos entre los diferentes clientes del proveedor. En muchos
casos, este hecho proporciona un aporte de valor al negocio, sin embargo, la solucin BPaaS se
encuentra en fase incipiente, siendo todava todava un modelo de negocio en el que los
proveedores tan solo operan en la actualidad en puntos concretos.

Por principales formas de implementacin (formas de integracin y explotacin)

Cloud Pblico (Externo)

Forma de implementacin caracterizada por la oferta de servicios de computacin
virtualizados (bases de datos, sistemas operativos, plataformas de desarrollo, aplicaciones,
etc.) por parte de los proveedores para mltiples clientes, accediendo stos a dichos
servicios a travs de Internet o redes privadas virtuales (VPNs).
Como caractersticas inherentes a esta forma de implementacin podemos citar las
que siguen:

Reducido plazo de tiempo para la disponibilidad del servicio

No se requiere llevar a cabo inversin monetaria para su implementacin

Permite la externalizacin a un proveedor de servicios de cloud de todas las funciones

bsicas de la empresa

Posibilita el aprovechamiento de la infraestructura de los proveedores de servicios,

permitiendo adicionalmente una alta escalabilidad y flexibilidad en la modificacin del
dimensionamiento del servicio.

Favorece la utilizacin de conjuntos de software estandar.

Lleva asociadas unas cuotas iniciales de pago ms bajas que el resto de

implementacines. Adicionalmente los costes del cloud pblico son variables,
cumpliendo el principio de pago por uso.

70

La informacin corporativa se encuentra alojada en la nube pblica junto a la del resto

de clientes del proveedor, lo que implica, adems de no poder tener localizada
fisicamente dicha informacin, imponer al proveedor una serie de requisitos de alta
exigencia en temas de seguridad y proteccin de datos.

Cloud Privado (Interno)

Forma de implementacin caracterizada por el suministro por parte del proveedor de entornos
virtualizados que pueden ser implementados, usados y controlados por la misma empresa
controlante del servicio. Esto infica no solo que la solucin cloud puede ser administrada por la
organizacin contratante, por el proveedor o por un tercero, sino que puede existir en las
instalaciones propias del cliente o fuera de las mismas.

Las caractersticas propias de esta forma de implementacin son:

Reducido plazo de tiempo para la puesta en servicio y una alta flexibilidad en la

asignacin de recursos

Al contrario que el cloud pblico, requiere de inversin econmica para la

implementacin de la solucin contratada.

Lleva asociados sistemas y bases de datos locales.

Ofrece la posibilidad de aprovechar el personal existente y las inversiones en sistemas

de informacin realizadas con anterioridad.

Implica ms espeficidad en las soluciones adquiridas, ya que est diseada para

ajustarse a las necesidades propias de la empresa contratante.

Permite disponer de un control total de la infraestructura, de los sistemas y de la

informacin corporativa tratada por estos.

Facilita el control y la supervisin de los requisitos de seguridad y proteccin de la

informacin almacenada.

Cloud de Comunidad.
Se trata de clouds usados por diferentes entidades cuyas funciones y servicios sean comunes,
permitiendo con ello la colaboracin entre grupos de inters.
Ejemplos de este tipo de implementacin son los clouds de comunidades de servicios de la
salud, para facilitar el acceso a aplicaciones e informacin crtica de carcter sanitario, y los
clouds de comunidades gubernamentales, para facilitar el acceso a recursos de
interoperabilidad entre organismos pblicos y Administraciones pblicas.

71

Al analizar un cloud de comunidad, se debe considerar que, en principio, sus fortalezas y

debilidades se sitan entre las del privado y las del pblico. En general, el conjunto de recursos
disponibles con un cloud de comunidad es mayor que en el privado, con las ventajas evidentes
que ello conlleva en trminos de elasticidad. Sin embargo, la cantidad de recursos es menor
que los existentes en una solucin de cloud pblico, limitando la elasticidad respecto a dicho
cloud pblico. Por otra parte, el nmero de usuarios de este tipo de nube es menor que los de
la nube pblica, lo que la dota de mayores prestaciones en cuestiones de seguridad y
privacidad.
Cloud Hbrido
Forma de implementacin cuya infraestructura cloud (en la nube) se caracteriza por aunar dos
o ms formas de clouds (privado, comunitario o pblico), los cules continan siendo
entidadesnicas interconectadas mediante tecnologa estandarizada o propietaria,
tecnologa que permite la portabilidad de datos y aplicaciones (ej. el rebalanceo de cargas
entre nubes). Una entidad que emplee esta forma de implementacin se podra beneficiar de
las ventajas asociadas a cada
tipo de cloud, disponiendo con ello de una serie de caractersticas adicionales, tal y como se
muestra a continuacin:
Ofrece una mayor flexibilidad en la prestacin de servicios de TI, al mismo
tiempo que se mantiene un mayor control sobre los servicios de negocio y de
datos.
Con una solucin de cloud hbrido, al igual que en los casos detallados
anteriormente, se consigue una rpida puesta en servicio.
Implica mayor complejidad en la integracin de la solucin cloud, como
consecuencia de ser una solucin que se compone de dos formas distintas de
implementacin de servicios en la nube.
Permite integrar las mejores caractersticas de las dos formas
de
implementacin cloud, en cuanto al control de los datos y a la gestin de las funciones
bsicas de la entidad.
Posibilita la seleccin por parte del proveedor, de infraestructura escalable y
flexible, permitiendo una alta agilidad en el redimensionamiento de la solucin.
Permite el control interno de los servicios cloud desde la propia entidad.

Por agentes intervinientes en el negocio

Como principales agentes intervinientes en el negocio se pueden definir: el
proveedor, el intermediario, el habilitador, el auditor y el suscriptor, los cuales se
detallan a continuacin.

Proveedor
72

El proveedor presta servicios a travs de la nube a suscriptores o intermediarios, es

decir, el servicio ofertado por la empresa proveedora al cliente, ya sea de forma
directa o a travs de un intermediario.
Intermediario
El intermediario presta servicios de intermediacin entre los usuarios finales y los proveedores
en un mercado dinmico de oferta y demanda como es el cloud computing. Como ejemplo se
pueden mencionar los servicios frontales o las intermediaciones extremo-extremo.
Habilitador
Se trata de un agente proveedor tpicamente enfocado al mercado de proveedores de cloud.
Son empresas que proveen de software y hardware a proveedores de servicios cloud, para que
stos desarrollen y ofrezcan al usuario servicios en la nube.
Auditor
El auditor es el agente encargado de llevar a cabo las evaluaciones independientes de los
servicios en la nube, de las operaciones asociadas a los sistemas de informacin, del
rendimiento y de la seguridad en el uso de la solucin cloud.
Suscriptor
La figura denominada suscriptor se corresponde con el usuario contratante de los servicios
cloud, por lo que se puede identificar a esta figura como el cliente de los proveedores, los
intermediarios y los auditores.

73

Ventajas y retos del cloud computing.

Ventajas

Las soluciones y servicios de cloud computing ofertados por los proveedores e intermediarios
ofrecen una serie de ventajas a las empresas privadas (econmico-financieras, foco en el
negocio, rapidez y flexibilidad, tecnolgicas, seguridad, disponibilidad y movilidad etc.), a la
economa, a las organizaciones pblicas y de investigacin y a los ciudadanos (mayor y mejor
oferta de servicios, gobierno abierto, educacin), respecto de las funcionalidades ofrecidas por
los sistemas tradicionales de TI.
De acuerdo a encuestas11 realizadas por la Agencia Europea de Seguridad de las Redes y de la
Informacin (ENISA) a entidades localizadas en la Unin Europa, Amrica y Asia entre las
cuales se encuentran pymes espaolas, las principales ventajas que se aprecian e influyen a la
hora de adoptar este tipo de soluciones en pequeas y medianas empresas son el ahorro de
costes de capital (68,1%) y la facilidad de aumentar los recursos disponibles (63,9%).

74

En base a la documentacin analizada, y tomando como referencias principales los

documentos de la Fundacin Ideas (Cloud Computing: Retos y Oportunidades), de Deloitte
(Cloud
Computing: Forecasting change. Market Overview and
Perspective), del Observatorio Regional para la Sociedad de la Informacin en Castilla y Len
(Cloud Computing: La Tecnologa como Servicio), y otros documentos, se detallan a
continuacin las distintas ventajas ofrecidas por la tecnologa cloud respecto de los sistemas
tradicionales de TI para los diferentes colectivos que componen la sociedad y la economa
espaola.
Para muchos de estos colectivos y sectores, el cloud puede suponer un canal muy efectivo de
acceso a las nuevas tecnologas para el desarrollo de sus actividades que con modelos
tradicionales estaran vetados por el coste de la inversin. Gracias al acceso a las tecnologas se
favorece la productividad de las empresas, se mejoran los servicios pblicos y la calidad de
vida y se evoluciona hacia modelos avanzados de Sociedad de la Informacin y el
conocimiento.

75

Retos del cloud computing.

Existen elementos aceleradores del desarrollo y adopcin de los servicios de cloud computing y
elementos inhibidores. De acuerdo a la encuesta realizada por ENISA a entidades localizadas
en la Unin Europa, Amrica y Asia, los principales retos que identifican las distintas empresas
y organizaciones pblicas estn relacionados con la seguridad, siendo la confidencialidad de los
datos corporativos, el principal reto identificado por los encuestados, seguido de la privacidad
e integridad de los servicios y/o datos de la entidad. Por detrs de estos aspectos de seguridad
se sita como principal consideracin la disponibilidad de los servicios y datos.

76

Disponibilidad de servicio.
Segn el artculo de la Universidad de Berkeley existe an la duda entre las empresas y
organismos del sector pblico y privado sobre la garanta de cumplimiento de los niveles de
servicio acordados con el proveedor, en los procesos de mayor criticidad para la compaa.
Ser responsabilidad del sector el superar estas dudas y desarrollar, mediante la generalizacin
de acuerdos de nivel de servicio y clusulas de penalizacin, el clima de confianza en el servicio
necesario para garantizar que la migracin a entornos cloud no penalizar la disponibilidad y el
nivel de servicio acordado con los clientes.
Un requisito mnimo para la extensin de los servicios de cloud computing en la provisin de
aplicaciones multimedia o con gran necesidad de transmisin de datos, es la universalizacin
de la banda ancha, en la que juegan un papel fundamental los proveedores de servicios de
telecomunicaciones. En el siguiente grfico se aprecia la evolucin de las distintas tecnologas
de banda ancha fija y mvil (ancho de banda de bajada en este caso). Como seala el informe
Oportunidades y desafos de la banda ancha de Gaptel31, las previsiones futuras de acceso
de banda ancha pasan por las tecnologas de fibra ptica para el segmento de acceso fijo y
3.5G, 4G y WiMAX en el segmento mvil.
El despliegue de estas tecnologas y la disponibilidad de servicios que como el cloud,
aprovechen los mayores anchos de banda, pueden suponer una importante ventaja para la
competitividad de aquellos pases que hayan hecho una clara apuesta por favorecer y acelerar
estos despliegues.

77

Falta de estandarizacin e integracin tecnolgica.

En el contexto del cloud todava se encuentran algunas limitaciones en relacin a la

estandarizacin de las plataformas de los proveedores que dificultan en gran medida los
procesos de migracin de datos y aplicaciones y la integracin con otros subsistemas de
negocio que se requieran mantener en modo tradicional en una compaa. Adicionalmente, un
cliente cloud puede tener distribuidas sus aplicaciones en diversos proveedores y requiere
para su negocio que todas ellas se integren y sincronicen en la implementacin de procesos. La
industria cloud y las Administraciones Pblicas tienen igualmente un importante reto en el
desarrollo de estndares y de un marco de interoperabilidad efectivo (aspectos recogidos de
forma expresa en la Agenda Digital para Europa). Los estndares sobre los que es necesario
avanzar se citan a continuacin:
1. Estndares del cloud para la interoperabilidad: como se ha venido comentando
a lo largo del documento, existe una amplia gama de capacidades y
funcionalidades disponibles en las soluciones ofertadas por los proveedores que
78

actualmente se pueden encontrar en el mercado. Sin embargo, la tecnologa cloud

computing se encuentra an en sus primeras etapas de desarrollo, no estando an
consolidada dentro de los departamentos TI del mundo empresarial. Por ello, la
estandarizacin de procesos asociados al uso de soluciones cloud se encuentra
tambin en periodo de desarrollo, quedando an mucho camino por recorrer en
procesos asociados a la interoperabilidad.
2. A pesar de encontrarse en periodo de desarrollo, muchos estndares de TI
existentes en la actualidad contribuyen a la interoperabilidad entre los servicios en
la nube y las aplicaciones dispuestas en ella para su uso, as como contribuyen en
la interoperabilidad entre distintos servicios en la nube. Entre estos estndares,
dentro de los especficos para la tecnologa cloud podemos encontrar los que se
muestran en la siguiente tabla:

Seguridad y privacidad de los datos.

Seguridad
El Cloud Computing presenta en muchos casos
los mismos problemas de seguridad que tenemos en los sistemas convencionales. Adems
aparecen nuevos riesgos especficos derivados de las nuevas
arquitecturas que se usan para trabajar en la nube.
79

La seguridad es un punto clave ya que los datos ylas aplicaciones

dirn en proveedores externos que controlarn la nube.
La nube es un sistema complejo pero podemos
bstraerlo como un conjunto de primitivas simples
que son replicadas miles de veces en unidades
funcionales comunes, por tanto debemos afrontar
la seguridad realizando esa descomposicin y
teniendo en cuenta los aspectos bsicos de la nube
donde aparecen los riesgos para la seguridad.

de

los

clientes

resi

La aparicin de tecnologas como la virtualizacin

(un sistema operativo provee una capa de abstraccin
que permite ejecutar otros SOs en maquinas virtuales
independientes), las arquitecturas orientadas a
servicio as como el despliegue real de la banda ancha
son aspectos a evaluar para proteger la seguridad de
la nube junto con la aparicin de tendencias como las aplicaciones Web 2.0
La mayora de las aplicaciones en la nube van a
disponer de un interfaz Web por el cual accederemos
a los distintos servicios de las nube, por tanto en este
aspecto vamos a tener los mismo riesgos de seguridad
que un hospedaje tradicional: SQL Injection, cross site
scripting, igual de problemticos que en sistemas
convencionales no externalizados. En cuanto a la
seguridad fsica al igual que existen unas polticas
establecidas para los centros de datos estas se
incorporarn a la nube en el proveedor de la misma.
Centrndonos en los problemas especficos de
seguridad en la nube tendramos que tener en cuenta los siguientes aspectos:

Virtualizacin: siendo una de los reas claves que

permiten

la

nube

ofrecer su
funcionalidad, la misma ser todo lo segura que
pueda serlo la virtualizacin. La clave ser el
monitor de VM (hipervisor) ya que han
aparecido vulnerabilidades en varios (Microsoft
Virtual PC, VMware, Xen). El aislamiento de
cada VM es fundamental as como que el hipervisor fuera rootsecure lo que implica que ningn nivel de privilegio [8] de las VM puede actuar
de interfaz con el sistema computador. Una solucin que ayuda al control
e los distintos sistemas hospedados en la capa
de antivirus que debera estar siempre entre el monitor las distintas VMs.

80

Localizacin de Datos: la confidencialidad de los

datos ser un aspecto fundamental para la
seguridad, ya que al trabajar en la nube es muy
posible que no sepamos fsicamente donde
estn localizados los mismos (incluso pueden
estar replicados para ofrecer redundancia y con
ellos mayor disponibilidad del servicio). Por tanto los mismos (acceso,
seguridad perimetral,) se tratarn en funcin de las leyes
vigentes en el pas donde se alojen.

Procesos confiables: dentro del host que

finalmente lleva a cabo el procesamiento
(normalmente Clusters) se estarn ejecutando
procesos de distintos mbitos. Es una amenaza
de seguridad que alguno de estos procesos(o el
usuario que lo ejecute) sea malicioso. Es por
esto que deberamos establecer un control de
usuarios confiables a travs de la distribucin de certificados digitales para
asegurar la autenticacin de los usuarios. Una vez dentro de
la nube el uso de SSL/TLS permitir garantizar la
confidencialidad de la comunicacin entre las entidades internas.

81

Privacidad: la nube debera ofrecernos y

soportar el desarrollo de PET(Privacy Enhancing Technologies)
de manera que cualquier informacin fuera identificable o identificada
para el cumplimiento de distintas reas
jurisdiccionales(por ejemplo al pasar
informacin relevante de un pas con una ley a
otros pas donde no existe la misma ley, o bien
con informacin fiscal de un pas europeo a un paraso fiscal)
Integridad de datos: dentro de la nube los datos
deben mantener su integridad a salvo de
posibles transacciones no autorizadas. No existe
un estndar concreto para evitar que un
atacante dentro de la nube pudiera violar esta
integridad, por lo que el usuario debera confiar
en el proveedor a travs de SLAs (niveles de
garanta contractual) que asegurasen esta
caracterstica. Comercialmente se han propuesto varias soluciones a travs de
huellas HASH que se registran cada vez que se
incorpora un archivo a la nube, creando una
cadena de custodia que proporcionara la
integridad como un servicio adicional dentro de infraestructura.

Autenticacin: son necesarios mecanismos de

cifrado para el acceso a los recursos(HMACSHA1 en Amazon S3) de la nube as como a las
instancias de los sistemas operativos
virtualizados. Al igual que un sistema
convencional (pero haciendo nfasis en este
punto) porque no tenemos control alguno de la
configuracin ni dems aspectos que se
encuentran en la nube. A nuestros ojos podra
ser como un hosting compartido tradicional
pero detrs existir una maraa de clusters que
proporcionarn las bondades que hemos comentado del Cloud Computing.

82

Confidencialidad de datos: podramos pensar

que la mejor forma de garantizar este aspecto
sera que el proveedor de la infraestructura de la
nube cifrara todos los datos que alojara [8]
aunque no sera una solucin recomendable.
Entraramos en un escenario tpico de qu
algoritmo usar, quin mantiene las claves, y
con los problemas de disponibilidad que puede
provocar cualquier error en el cifrado en el
proveedor. Al igual que no tenemos control en
muchos aspectos de la nube, el proveedor
debera permitir configurar estos mecanismos
para asegurarnos que los datos se almacenan
seguros sin que sean revelados a terceros. Si
fueran cifrados el proveedor debera certificar
de alguna manera su esquema interno y ser uditable.

Certificacin de proveedores: al igual que

existen mecanismos(certificados digitales) para autenticar
a un servidor en Internet, el
proveedor podra asegurar el entorno dentro de
la nube a travs de un certificado anlogo
expedido por una entidad reconocida externa,
que nos asegurara que todas sus polticas de
seguridad en la nube son acordes a lo
establecido. Uno de los objetivos de la CSA es
conseguir este tipo de certificaciones de manera
estndar para garantizar el desempeo [3] De
esta manera y con un acuerdo de cumplimiento
de servicio (SLA) podramos tener muy acotados
los aspectos de seguridad y disponibilidad.
Aunque no podemos pensar que sea sencillo ya
que sistemas Cloud importantes como es la red
social Facebook con ms de 100 Millones de
usuarios y con ms de 15.000 servidores dentro
de la nube, han sufrido robos de datos de
usuarios debido fallos de actualizacin en sus sistemas internos.

Herramientas y estndares.
Los estndares de seguridad en la nube definen
procesos, procedimiento y prcticas para su correcta
implantacin. En muchos casos incluyen las
polticas tpicas de sistemas tradicionales pero
tambin aaden aspectos especficos para el entorno de la nube.
El esquema tradicional de capas ser aplicable no
siendo relevante el tener un nico sistema
centralizado de proteccin, sino la conjuncin de
muchos sistemas que consigan dotar al interior de la
83

nube de seguridad completa.

SAML
Es un lenguaje basado en XML considerado un
estndar de comunicacin para la autenticacin,
autorizacin as como para el intercambio de atributos entre similares en la nube.
SAML estandariza las peticiones y respuestas que
contienen informacin del usuario para la
autenticacin as como informacin de atributos en
XML. Este formato puede ser utilizado para pedir
informacin de seguridad a una autoridad SAML, la
cual tiene la capacidad de hacer relay (transferir y
manejar) con la informacin de seguridad. Podramos
considerar a esta aplicacin o plataforma dentro de
la nube, como un validador de partes que tienen que
comunicarse e intercambiar atributos. SAML usar
http como protocolo de comunicacin a travs de SOAP.

Open Authenticacion (OAuth)

Es un protocolo abierto que provee de un API muy
sencillo de autorizacin, estandariza diversos
mtodos para control de accesos en aplicaciones en la
Web. Permite publicar e interactuar con datos de
acceso protegidos(importacin contactos Gmail). Por
si mismo no proporciona confidencialidad y
depender de otros protocolos como SSL para garantizarla.
OpenID
Es un protocolo
abierto y descentralizado
estndar para autenticar al usuario. Nos permite
acceder a muchos servicios utilizando la misma
identidad digital a travs de un sistema Single-SignOn(SSO) habilitador del control de acceso. Sustituye el
tpico acceso de login y password permitiendo a los
usuarios loguearse slo una vez para acceder a
distintos servicios de la nube. Este protocolo no se
apoya en una autoridad central que autentique la
identidad de los usuarios. Permite la autenticacin a
travs de distintos mtodos como las smartcards,
sistemas biomtricos o la tpica clave. Tendramos
por una parte el proveedor de identidad y por otra el proveedor del servicio donde
accederamos a distintos recursos. Actualmente tanto Google como
Facebook permiten utilizar este protocolo para el
control de accesos en sus respectivas nubes.
SSL/TSL
84

La capa segura a nivel de transporte TLS permite la comunicacin clienteservidor en la red de

forma confidencial con la garanta de identificar a las
partes (autenticacin extremo a extremo), esto se
conoce como autenticacin mutua asegurada. El
primer paso es la negociacin del algoritmo que
soportan ambas partes (negociacin de cifrado), para
posteriormente realizar el intercambio de claves as
como determinar el algoritmo de autenticacin que
van a usar (suelen ser de clave pblica). Por ltimo
tiene lugar la encriptacin de cifrado simtrico y el
cifrado del mensaje que intercambian las partes. La
integridad de estos mensajes se consigue a travs de funciones hash.

Trusted Cloud Computing Platform (TCCP)

En el Instituto Aleman Max Planck estn
llevando a cabo una investigacin para asegurar la
confidencialidad e integridad de los datos a travs de
la nube proponiendo un modelo denominado TCCP
que proporciona la infraestructura como
servicio(IaaS) de manera segura. A continuacin
vamos a mostrar los principales aspectos de esta plataforma propuesta.
Amazon EC2 provee una infraestructura donde los
clientes pueden ejecutar su VM y realizar tus
necesidades computacionales en la red. En esta
propuesta de diseo utilizan un sistema similar pero
abierto y de uso libre para el diseo de la TCCP
denominado Eucalyptus[13]. Este provee al usuario
de una arquitectura similar a la de Amazon EC2(de
hecho en sus ltimas versiones proporciona
compatibilidad con EC2).
El sistema maneja uno o varios clusters, cuyos
nodos ejecutan un monitor de VM(normalmente XEN)
para alojar las VMs de los clientes en coordinacin
con el Cloud Manager(CM). Desde el punto de vista
del usuario Eucalyptus proporciona una interfaz Web
para lanzar, manejar y finalizar las virtualizaciones.
Las imgenes de las VM(VMIs) se cargan desde el CM
y una vez iniciadas el usuario puede acceder a ellas
siendo el CM el encargado de gestionar los serviciosde gestin de usuarios sobre las VM.
Comentbamos anteriormente que uno de los
riesgos ms importantes de la virtualizacin es que el

85

monitor de las VM fuera root-secur,e de manera que no pudiera haber ninguna VM que
actuara directamente con el sistema computacional. Estas
tareas recaen en el administrador del sistema que
tiene suficientes privilegios para poder permitir y
efectuar ataques de este tipo, ya que puede
conectarse en remoto disponiendo de acceso root a
todas las VM. Por tanto necesitamos una solucin
que permita restringir la ejecucin privada de cada
VM, as como evitar los accesos privilegiados
malintencionados del administrador. La propuesta de
este grupo de investigacin resuelve estos problemas
con TCCP.

Por tanto debe ser capaz de:

Limitar la ejecucin de las VMs dentro del
permetro IaaS (nodos confiables).
Garantizar en todo momento que

un

administrador del sistema con privilegios de

root, no puede conectarse en remoto y acceder a la memoria de las VMs.
Por tanto vamos a pasar a un escenario parecido al
anterior pero con componentes que permitan dotar
de estas funcionalidades de seguridad.
Tenemos una serie de nodos confiables y el
Coordinador Confiable (TC) que es soportado por una
entidad externa de confianza (ETE), el coordinador de
la nube (CM) ofrece el conjunto de servicios accesible
por los usuarios.
Necesitamos dos componentes principales: el
monitor de VM confiable (Trusted Virtual Machine
Monitor) y el coordinador confiable (Trusted
Coordinator). Cada nodo correr un TVMM que
alojar las VMs de los usuarios y que previene que los
usuarios privilegiados (administradores del sistema)
puedan modificarlas o inspeccionarlas. Todos los
nodos tienen incorporado un chip TPM(Trusted
Platform Module)[14](que permite la certificacin al
incorporar una clave privada y ciertas operaciones
criptogrficas a nivel Hardware, este mdulo va
firmado con la clave pblica del fabricante para
garantizar su funcionamiento). El TC maneja la lista de
nodos confiables (TN) que pueden ejecutar las VM

86

invitadas. Para que un nodo sea confiable debe estar

dentro del permetro y ejecutar el TVMM, para ello el
TC lleva un registro de los nodos localizados en el
permetro de seguridad del IaaS atestiguando que
estn ejecutando el monitor confiable (TVMM).
Para asegurar las VMs cada monitor confiable
debe cooperar con el coordinador confiable (TC) para
limitar la ejecucin de las VM al nodo confiable, as
como proteger la maquina virtual de la inspeccin o
modificacin de usuarios privilegiados. Se asume que
la entidad externa de confianza ETE que alberga el TC
esta securizada y actualizada respecto a los datos
internos del permetro del IaaS, por tanto el
administrador del permetro no tiene privilegios en el
ETE de manera que solucionamos el problema de
intromisin con privilegios. Esta entidad externa
debera ser independiente y podra dar servicio a
varias nubes IaaS, siendo como un trusted third-party en el caso de la criptografa tradicional.
Vamos a ver el funcionamiento detallado de
este esquema, a la hora de lanzar una de las VM
alojadas en un nodo del permetro:
Antes de lanzar la VM el usuario desconoce el nodo
fsico donde va a ser ejecutada, ni siquiera conoce los
componentes del servicio, pero tiene el TC en el que
puede confiar. En primer lugar el usuario genera una
clave de sesin KVM y enva un mensaje al Cloud
Manager que contiene (peticin inicial de la VMI) y
# (un hash de ), todo ello cifrado con la clave de
sesin(para proteger la confidencialidad e integridad
del estado inicial) adems de enviar la clave de sesin
cifrada con la clave pblica del TC, por tanto esta
entidad ser la nica que pueda autorizar a alguien al
acceso a , es decir slo autorizar a nodos
confiables.
Una vez recibida la peticin de lanzar la VM, el CM
designa un nodo para ejecutarla en el cluster, como el
nodo tiene que acceder a para lanzar la VM, se
manda un mensaje 2 al TC el cual descifra la clave de
sesin KVM desde el lado de los nodos. Este mensaje
es cifrado con la clave pblica de la TC para que
pueda verificar que el nodo es confiable, si la clave
pblica no se encuentra en el registro de nodos
confiables del TC la peticin es denegada. El TC
descifra la clave de sesin y la manda al nodo en el
mensaje 3 que ser el nico que pueda leerla, por
tanto este nodo N est en disposicin ahora de
descifrar alfa y realizar el boot de la VM. Al final el
nodo enva el mensaje 4 al usuario que contiene la
87

identidad del nodo que correr su VM tambin

cifrado con la clave de sesin KVM que ambos
conocen ya.
Por tanto con esta propuesta tenemos un entorno
confidencial de ejecucin para cada VM del IaaS,
adems permite a los usuarios asegurarse de que el
servicio cumple las reglas de seguridad antes de
lanzar sus VMs. Actualmente esta investigacin
avanza hacia la creacin de un prototipo funcional
basado en el diseo presentado.

Non Repudation Protocol

Aunque algunas ideas sobre los protocolos
tradicionales de NR son tiles para garantizar este
aspecto en el almacenamiento en la nube no son
ptimas por lo que vamos a presentar un rea de
investigacin sobre este tipo de protocolos orientados al Cloud Computing.
La seguridad de los datos en la nube es uno de los
retos fundamentales para afrontar el modelo de
negocio establecido de pago por uso. Esta propuesta
presenta un nuevo protocolo de no repudio diseado
especficamente para la nube, servicios como
Microsoft Azure Service Platform[15] o Amazon
SimpleDB que proporcionan almacenamiento en la
nube, puede presentar vulnerabilidades frente a la
integridad y al no repudio que podran ser
solventadas con un diseo similar al que proponen
desde la Universidad de Binghamton(Nueva York) y Auburn(Alabama).
Existen tres aspectos fundamentales cuando
almacenamos datos en la nube: por un lado la
confidencialidad de los mismos (por ejemplo nminas
o historiales mdicos) frente al proveedor, por otro su
integridad (sobre todo cuando son recuperados de la
nube) y por ltimo el no repudio (frente a posibles
descargas errneas para poder probar la inocencia
del proveedor de servicio). Por tanto hay que tener
especial cuidado en los dos procesos bsicos al subir y recuperar la informacin.
La integridad de la transmisin puede ser soportada
por SSL, sin embargo desde el punto de vista de los
usuarios tambin necesitaremos proteger esos datos en el almacenamiento en la nube.

88

Vamos a situarnos en un escenario tpico en las que

dos partes comparten informacin a travs de la
nube. Tenemos a dos trabajadores de la misma
empresa: Alice es la Controller que almacena los
informes financieros de la empresa en la nube (que la
empresa Eve les provee), por otro lado est Bob que
es el CTO de la empresa, que descarga esta
informacin de la nube. En este proceso tenemos
cuatro aspectos de seguridad fundamentales:
1. Confidencialidad: aunque supongamos que
Eve no va a indagar en los datos de la
empresa es una tercera parte no confiable,
Alice y Bob no quieren que esta vea lo datos
que almacenan.
2. Integridad: como Administradores de la nube
Eve puede modificar los datos que almacena
Alice. Cmo puede esta seguro Bob de que
lo ha descargado de Eve es lo que subi Alice?
Cmo se puede garantizar?
3. Repudio: si Bob encuentra algn fallo o que
los datos han sido intervenidos cmo ubicar
la responsabilidad en el fallo? Qu evidencias pueden aducir Alice o Eve?
4. Chantaje (Blackmail) : el problema del
repudio puede abrir vas de chantaje en el
escenario al convertirse un usuario en malicioso. Por ejemplo Alice almacena
informacin en la nube y posteriormente la
descarga, entonces reporta que los datos han
sido manipulados por un fallo en el
proveedor. Alice pide una compensacin por
la prdida de los datos. Eve necesita
evidencias para demostrar que no fue as.
Como vemos la confidencialidad puede lograrse con
esquemas de cifrado pero la integridad y el repudio,
depende de proveer de un sistema de registro y
autenticacin de las sesiones de subida y descarga de
datos.
La propuesta presentada solventa tanto la integridad en las subidabajada de datos as como el
repudio entre usuarios y proveedores de servicio, a
travs de un nuevo protocolo de No Repudio adaptado a la nuevo.
Los roles que muestran la figura anterior forman parte del nuevo protocolo de NR: el
89

clientes(Alice/Bob), tercera parte de confianza(TTP) a

la cual se acudir en ltima instancia. Suponemos que
ningn actor va a actuar en contra de sus propios intereses (no maliciosos).
En cada transmisin de datos el emisor debe aadir
como extra una evidencia para propugnar el norepudio, por tanto del lado de Alice la
denominaremos NRO (de origen) y por el lado de Bob
NRR (de recepcin), para asegurar la confidencialidad,
el emisor firma sus datos con la clave pblica del
receptor. Para evitar ataques de repeticin se aade
un nmero aleatorio y un nmero de secuencia (el
cual se incrementa de uno en uno), adems se incluye
una etiqueta con el ID(en texto plano) del siguiente
mensaje(emisor, receptor o TTP). La evidencia
consistir en el resultado del hash de estos IDs y la
huella de los datos.
Encrypt{Sign(HashofData), Sign(Plaintext)}
Para lograr el no-repudio se requiere que el emisor
firme el hash con su clave privada, despus de que
una transaccin se complete Alice obtendr su NRR
de Bob y este recibir su NRO de Alice, pudiendo
ambos comprobar la consistencia entre la huella del ID(texto plano) y el texto plano inicial.
Por tanto este protocolo aprovecha las ventajas de
la comprobacin de integridad de los datos firmados
en la evidencia, siendo posible no slo facilitar la
deteccin del manipulado de los mismos sino tambin
la no negacin del emisor de un actividad gracias a su firma
digital, mientras que cifrando con la clave
pblica del receptor, la evidencia garantiza la
consistencia de la huella con el texto plano enviado
con las IDs.

Privacidad de los datos.

Los datos residen en sistemas tecnolgicos que se encuentran fuera del alcance del firewall de
la empresa. Por este motivo, existe una gran reticencia al uso de la tecnologa cloud en las
empresas privadas y organizaciones pblicas, en los sistemas de la entidad que contienen
informacin crtica para la misma.
La seguridad y privacidad de la informacin que se traslada a la nube es uno de los aspectos
ms importantes para las compaas. Es evidente que los servicios de cloud computing
prestados por el proveedor, implican un determinado nivel de confianza por parte de los
contratantes del servicio en dichos proveedores, ya que se delega en un operador externo
todas las acciones y la responsabilidad de la informacin de los datos corporativos y su control
y gobierno. Adems, dependiendo de la naturaleza de los procesos y datos externalizados, la
casustica es an ms compleja al condicionarse la contratacin y operacin por el marco de la
Ley Orgnica de Proteccin de Datos.
90

La LOPD y su reglamento de desarrollo33 establecen una serie de medidas de seguridad,

tcnicas y organizativas, a la hora de tratar datos de carcter personal. Se regulan aspectos de
aplicacin como la transferencia internacional de datos, subcontratacin, atencin de
derechos ARCO (derecho de acceso, rectificacin, cancelacin u oposicin sobre los datos de
carcter personal), etc. Resulta especialmente interesante para el sector las disposiciones
relativas al cumplimiento de la Ley en la transferencia internacional de datos.
Adems de la LOPD, existe otras dos normas de gran importancia en el entorno del cloud
computing: LSSI (Ley 34/2002 de 11 de julio de Servicios de la Sociedad de Informacin y de
Comercio Electrnico) y SOX (Ley Sarbanes Oxley de 2002). La primera, de origen espaol,
tiene por objetivo la regulacin del rgimen jurdico de los servicios de la Sociedad de la
Informacin y de la contratacin por va electrnica, en lo referente a: obligaciones de los
prestadores de servicios en la transmisin de contenidos por las redes de telecomunicaciones,
comunicaciones comerciales por va electrnica, informacin previa y posterior a la
celebracin de contratos electrnicos, condiciones relativas a su validez y eficacia, y rgimen
sancionador aplicable a los prestadores de servicios de la Sociedad de la Informacin.
Por su parte, la Ley SOX, nace en Estados Unidos con el objetivo de generar un marco de
transparencia para las actividades y reportes financieros de las compaas que cotizan en
bolsa, lo que le aporta ms confianza y mayor certidumbre a los accionistas y al propio Estado.
Esta norma, incluye la generacin de controles del riesgo que afectan directamente a los
Sistemas de Informacin, y que deben de mantenerse en un escenario de cloud computing.

As, todo contexto contractual entre el suscriptor y el proveedor debe contextualizarse en un

marco de confianza fundamentado en el cumplimiento de estndares y polticas de seguridad
por parte de ambas partes.

91

El proveedor de servicios cloud debe garantizar el cumplimiento de los procesos y tcnicas

exigidas y certificadas por dichos estndares, mientras que el suscriptor debe aplicar una
poltica adecuada de control y gestin del riesgo tecnolgico.
Dentro de esta poltica de control y gestin del riesgo tecnolgico, y previamente a la adopcin
de modelos de computacin en la nube en una organizacin, es necesario realizar un estudio
de la implementacin, donde se tengan en cuenta aspectos de seguridad y continuidad de
negocio.
El cumplimiento normativo ser uno de los factores clave a la hora de llevar a cabo dicho
estudio de implementacin.

Como paso inicial, es necesario identificar la normativa aplicable. Para ello, es imprescindible
analizar factores como los siguientes:

Informacin que se desea llevar a la nube.

92

Sector de la compaa.
Familia de servicio que se desea contratar (SaaS, PaaS, IaaS, BPaaS).
Criticidad del proceso de negocio que soportar la nube.

En funcin de los requisitos establecidos por las diferentes normativas que sean de aplicacin,
se elaborarn los requisitos normativos, con los que se validar si un determinado proveedor
puede considerarse como una alternativa vlida para ofrecer el servicio deseado.
El cliente, como responsable de los datos, tiene la obligacin de exigir que el proveedor de
servicios establezca todas las medidas de seguridad, tcnicas y organizativas, que requiere la
LOPD y su reglamento.
Se mantiene as la responsabilidad del cliente sobre la seguridad de los datos. En este sentido,
la externalizacin, lejos de evitar problemas por delegar la seguridad de los datos en un
tercero, introduce un riesgo de cumplimiento para el responsable de los datos, quedando a
expensas del buen hacer del proveedor.
Adicionalmente a los requisitos normativos y al riesgo de cumplimiento, la propia organizacin
deber analizar qu requisitos de seguridad considera necesario aplicar.
Los requisitos de seguridad deben estar acordes con:

La poltica de seguridad de la compaa.

El nivel de seguridad requerido en funcin del tipo de informacin.

Los requerimientos de la compaa en cuanto a la disponibilidad del servicio.

El proceso de negocio al que vaya a dar soporte el servicio.

Disponibilidad del sistema y tiempos de recuperacin.

Gestin y comunicacin de incidentes de seguridad.

Borrado seguro.

Exportacin de los datos almacenados.

Una vez analizado el nivel de cumplimiento de los requisitos normativos y de seguridad por
parte del proveedor, la compaa debe ser consciente de que el carcter externalizado y las
particularidades del modelo de computacin en la nube supondrn en todo caso una serie de
riesgos de seguridad.
Los riesgos de seguridad debern ser analizados por negocio y asumidos por el mximo
responsable del proceso de negocio al que se vaya a dar soporte. Por ello, se deben requerir
explcitamente por contrato las medidas de seguridad a implementar.
Algunas de estas medidas son:
93

Documento de seguridad.

Copias de respaldo y procedimientos de restauracin de datos.

Control de acceso.

Identificacin y autenticacin.

Gestin de incidencias.

Gestin de soportes de almacenamiento.

Comunicacin cifrada de la informacin.

Registro de accesos a datos de nivel alto.

A continuacin, se muestran algunos ejemplos de riesgos de seguridad que podran ser de

aplicacin ante una eventual contratacin de servicio de cloud computing:

Fuga de informacin provocada por ataques a la plataforma.

Incapacidad de migracin de los datos ante la finalizacin del servicio.

Borrado no seguro de la informacin.

Incidencias/incidentes no comunicadas.

Prdida de disponibilidad de la informacin y/o del servicio.

Prdida de informacin por fallo del proveedor.

Dependencia del proveedor.

Existe una gran preocupacin entre las entidades contratantes acerca de si los proveedores
ofrecen la suficiente agilidad y privacidad, en un posible cambio de proveedor del servicio de la
solucin cloud. Uno de los principales factores en este sentido es la creacin y adopcin de
estndares que faciliten el traspaso de informacin y procesos de un proveedor a otro, como
se ha desarrollado de forma previa en el apartado estandarizacin e integracin tecnolgica.
Amortizacin tecnolgica.
Las empresas y organizaciones pblicas han invertido muchos recursos durante las ltimas
dcadas en implementar procesos de modernizacin tecnolgica e inversin en
infraestructuras y personal para el rea de TI. La utilizacin del cloud puede generar ciertas
dudas para los directores de reas de sistemas que todava cuentan con activos tecnolgicos
no amortizados y que han logrado configurar un equipo de trabajo estable y cualificado para
94

su administracin. Aunque es indudable que cloud puede generar un punto de ruptura en las
estrategias de sistemas ya establecidas, su adopcin debe ser considerada como algo
progresivo, planificado y sostenible, estableciendo procesos de migracin paulatinos y
controlables que permitan garantizar la adecuada amortizacin y sustitucin de los activos
actuales y reorientar al personal de TI hacia lneas de trabajo de valor para el departamento.
Restriccines geogrficas.
Los servicios de cloud pueden ser proporcionados a travs de geografas diferentes. Por ello,
las entidades pblicas y privadas deben ser conscientes de situaciones excepcionales relativas
a la ubicacin fsica, tales como leyes y regulaciones locales, que puedan afectar en temas de
privacidad, seguridad y proteccin de datos de carcter personal y confidencial.
Por ejemplo, las leyes europeas referentes a la privacidad requieren de informacin personal
de ciudadanos de la Unin Europea, informacin almacenada por la propia Unin Europea en
sus sistemas. Para cumplir con este requisito, las organizaciones que vayan a adoptar un
modelo de nube pblica deben optar por aquel en el que puedan determinar explcitamente, y
dentro de las directrices generales impuestas por la Unin Europea, la ubicacin fsica de sus
recursos.
Por el contrario, en algunos pases como Estados Unidos, las leyes no consideran datos
privados la direccin personal o el nmero telefnico, por ejemplo. Es por este motivo por el
que los analistas prevn una adopcin de la nube ms lenta y menos profunda en los pases
europeos. Tambin prevn que el porcentaje en el mercado y en las cifras de negocio ser
pequeo en comparacin con la importancia de Europa como potencia industrializada.

95

Mdelos de seleccin.
Una vez revisados el concepto, las caractersticas y los tipos existentes de cloud computing; as
como tras haber identificado las ventajas y retos del uso de las soluciones cloud para los
distintos pblicos objetivo; se procede ahora a exponer el modelo de seleccin de procesos a
trasladar a la nube.
El modelo de seleccin en s est relacionado con una serie de factores relevantes que debern
ser tenidos en cuenta durante las distintas fases de dicho modelo. En funcin de los resultados
arrojados del anlisis de los parmetros de cada fase para las especificidades propias de la
empresa se lograr obtener una serie de recomendaciones y una hoja de ruta que marquen
cmo implementar las soluciones cloud que aporten valor a la entidad.
Las distintas fases del modelo de seleccin se exponen en el grfico siguiente:

96

Fase 1: Anlisis y evolucin de la situacin actual.

El primer paso para la seleccin de los procesos a trasladar a la nube es analizar los sistemas y
aplicaciones, cuya gestin se desea externalizar mediante la contratacin de una solucin de
cloud computing.
Para identificar si existen servicios basados en la tecnologa cloud en el mercado, que se
ajusten a los procesos especficos desarrollados en la propia empresa se puede utilizar el rbol
de decisin40 siguiente constituido por diez preguntas fundamentales:

1- Modelo de negocio vertical?

Esta pregunta permite comprobar si existen o no interdependencias entre los distintos
procesos del negocio, plataformas, aplicaciones y capas de la infraestructura existentes en la
propia organizacin.
En caso afirmativo el modelo de negocio es vertical. El objetivo de la prxima decisin
consistir en determinar qu pila de capas de solucin41 deben ser subcontratadas, y para
cules de ellas se debe considerar la implementacin de soluciones cloud. (Ir a la pregunta 2).
En caso negativo el modelo de negocio es horizontal. En la prxima decisin a tomar ser
necesario determinar qu cantidad de cada capa afectada deber ser externalizada o
interconectada con otras capas internas, y para cuales de esos casos habr que tener en
cuenta las soluciones cloud ofertadas en el mercado. (Ir a la pregunta 3).
2- Existen procesos de diferenciacin?
Con esta pregunta se puede identificar si los procesos de negocio de la empresa aportan
diferenciacin dentro de su propio sector de actividad. Se determina si los aspectos clave de
97

los procesos de negocio y el rendimiento de ste son crticos para la competitividad y la

rentabilidad de la empresa.
En caso afirmativo existen procesos de diferenciacin que suponen una ventaja competitiva. El
objetivo de la prxima decisin se centrar en impedir a la competencia la adopcin de los
procesos clave que proporcionan la ventaja competitiva a la empresa teniendo en cuenta el
grado de interdependencia entre la aplicacin y los posibles cambios en el proceso del
negocio. (Ir a la pregunta 7).
En caso negativo no existen procesos de diferenciacin por lo que se habrn de mantener las
inversiones al mnimo requerido, mientras se plantea la reestructuracin de los procesos de
negocio en busca de un mayor beneficio para la empresa. (Ir a la pregunta 3).
3- Existen obstculos a la externalizacin?
Este punto resulta de utilidad para identificar si existen barreras o riesgos especficos
asociados a la localizacin geogrfica o a cuestiones de ndole legal que pudieran impedir que
alguna o todas las capas del proceso de habilitacin sean externalizadas.
En caso afirmativo la implementacin de un cloud pblico no podr resultar una solucin
viable hasta que se gestionen y superen los obstculos. Se deber analizar si la opcin de una
solucin cloud de familia PaaS alojada dentro de una nube privada, se ajusta a las
funcionalidades especficas de los procesos de la empresa susceptibles de ser externalizados;
resultando en dicho caso ser una buena alternativa a la tecnologa tradicional de la empresa.
(Ir a la pregunta 6).
En caso negativo no existen barreras que puedan impedir la implementacin de una completa
externalizacin. No obstante se evitar implementar un cloud pblico o cualquier otra forma
de integracin y de explotacin de cloud hasta que no sean afrontados y superados los
impedimentos, barreras o condicionantes existentes. (Ir a la pregunta 4).

4- Existen obstculos a la adopcin de soluciones cloud?

Con esta pregunta se identifica si el servicio prestado por la empresa presenta algn tipo de
barrera u obstculos para la adopcin del cloud, principalmente derivadas de la migracin del
mismo a un entorno en la nube, que puedan ser perjudiciales para los principales ejes de
actuacin del proceso de negocio o para la consecucin de los objetivos de retornos de
inversin (ROI).
En caso afirmativo existen uno o varios obstculos a la adopcin del cloud. En esta situacin
cualquier solucin de tipo cloud resultar inadecuada hasta que los obstculos o
impedimentos referidos sean gestionados correctamente y superados. En el prximo paso, la
empresa, se replantear de nuevo si el cloud beneficia a los principales ejes de actuacin del
negocio evitando en todo caso la implementacin de cualquier forma de integracin y
explotacin del cloud y/o familia sin haber gestionado y superado todos y cada uno de los
obstculos planteados para su adopcin. (Ir a la pregunta 5).
En caso negativo, se consigue confirmar que no existe ningn impedimento desde la propia
organizacin a la adopcin de soluciones cloud. (Ir a la pregunta 5).
98

5- Es el cloud computing compatible con el principal impulsor del negocio?

Con esta pregunta se analiza si las fortalezas de la tecnologa cloud estn en lnea siendo
compatibles con los requerimientos del principal impulsor de negocio de la entidad.
En caso afirmativo los principales puntos fuertes del cloud se alinean plenamente con los
objetivos del negocio. La tecnologa cloud es una buena alternativa para la empresa,
debindose realizar una valoracin del mercado para identificar aquella opcin que mejor se
ajuste a los requerimientos propios.
En caso negativo los principales puntos fuertes del cloud no coinciden con los objetivos del
negocio de la entidad. La tecnologa cloud no es la opcin ms idnea para la empresa,
debindose plantear la entidad otras alternativas como pueden ser la subcontratacin o la
externalizacin, con el uso de tecnologas tradicionales.
6- Va a ser la solucin una plataforma (Paas)?
El objetivo consiste en transformar la pila de capas de solucin (citadas en pregunta 1) y las
capas del proceso de negocio en un estndar, que dote de interoperabilidad a todos los
servicios TI de la empresa.
En caso afirmativo la plataforma TI estar configurada por las siguientes capas de solucin:
middleware, hardware y sistema operativo. Tambin podra incluirse la infraestructura del
centro de datos. El siguiente paso consiste en analizar el escenario ms adecuado a fin de
implementar una solucin cloud de tipo PaaS idnea. (Ir a la pregunta 4).
En caso negativo la plataforma TI estar configurada por las siguientes capas de solucin:
soluciones horizontales de hardware y software , las cuales pueden incluir la opcin de pools
de almacenamiento o granjas de servidores e infraestructura bajo demanda. En este caso la
tecnologa cloud no representa la mejor opcin para la entidad en particular debindose
analizar alternativas como pueden ser la virtualizacin, la adquisicin de equipos para
funciones especficas, o la subcontratacin y externalizacin de tareas.

7- Est la aplicacin aislada de los cambios en los procesos de negocio?

En este punto se analiza si se puede personalizar la arquitectura de procesos de negocio sin
que impacte en la configuracin subyacente de la aplicacin estndarque la soporta y a su
gestin compartida de TI. Si el proceso de negocio est aislado, el servicio de nivel TI puede ser
en cierta manera independiente del proceso de negocio.
En caso afirmativo la aplicacin est aislada de los cambios. El proceso de negocio est
abstrado de la aplicacin operativa hasta tal punto que cualquier persona con conocimientos
del proceso de negocio que no cuente con el suficiente conocimiento de la aplicacin puede
alterar el mismo sin causar un impacto significativo en la gestin o eficiencia de la aplicacin
referida. El prximo paso consistir en plantearse si la tecnologa TI es un factor clave de
diferenciacin para el proceso del negocio. (Ir a la pregunta 8).

99

En caso negativo el proceso de negocio no est abstrado de la aplicacin a nivel operativo por
lo que cualquier cambio en el proceso del negocio implicar cambios en la aplicacin para
poder adaptar esta a los nuevos requerimientos del negocio. Se evitar la adopcin de
soluciones cloud.
8- Est la diferenciacin basada en la tecnologa TI?
Con esta cuestin se determina la importancia de los recursos de TI dentro de los distintos
procesos de negocio.
En caso afirmativo la tecnologa TI es parte integral de la diferenciacin. El siguiente paso
consiste en mejorar el desarrollo e implementacin de la tecnologa TI existente sin revelar el
contenido o estructura que permita a los competidores su replicacin. (Ir a la pregunta 9).
En caso negativo, la externalizacin de cualquier proceso que tenga afeccin al negocio no
resulta recomendable. (Ir a la pregunta 3).
9- Estn el hardware, el sistema operativo y la aplicacin, hechos a medida para la
organizacin?
Si las capas de solucin compuesta por el hardware y el sistema operativo y las capas de la
aplicacin estn realizadas a medida para la empresa el cloud no constituye una solucin
adecuada para la empresa.
En caso afirmativo la siguiente decisin a adoptar por parte de la entidad consistira en
considerar otra opcin.
En caso negativo, caso de que el nivel de hardware y software y/o el de la aplicacin, sean
estndar, habr que identificar la capa estndar de la tecnologa IT de que se trate, buscando
aquella solucin cloud comercial que ms se aproxime al mismo. (Ir a pregunta 10).
10- Estn el hardware y el sistema operativo hechos a medida para la organizacin?
Se persigue identificar que capa de la tecnologa IT est estandarizada y que pueda ser
considerada como una potencial candidata para su empleo en una solucin cloud.
En caso afirmativo, es decir, cuando el hardware o el sistema operativo estn hechos a medida
(no estndar), la siguiente decisin pasa por considerar que tanto el cloud como la mayor parte
de las alternativas y modelos de externalizacin no son adecuados para la implementacin
dentro de la entidad. Para tal fin habr que reevaluar los requerimientos necesarios para la
implementacin de hardware y/sistema operativo hecho a la medida de las necesidades de la
empresa.
En caso negativo, tanto el hardware como el sistema operativo (salvo la aplicacin) presentan
una configuracin tpica. El prximo paso consiste en descartar el uso de soluciones cloud para
la capa de aplicacin. (Ir a la pregunta 3).
La fase de identificacin de procesos susceptibles de ser migrados a la nube corresponde a una
tarea interna de la propia entidad por lo que para realizarla desde la empresa se fijarn los
procesos que se desean externalizar, analizando su operativa para determinar los sistemas y
aplicaciones que los soportan, y elaborando la documentacin pertinente.
100

Est documentacin deber ser revisada y contrastada por los responsables tcnicos del
sistema o aplicacin en cuestin, de cara a disponer de todos los requisitos tcnicos necesarios
para poder realizar las migraciones.
Con estos datos se dispondr de la informacin y documentacin asociada necesaria, para
poder establecer todos los requisitos tcnicos y funcionales a los que se debern ajustar los
proveedores en las ofertas presentadas.

Fase 2: Valoracin de mercado.

Fijados los requisitos tcnicos y funcionales de la futura migracin, ser necesario identificar la
forma de implementacin que ms se ajuste a dichos requerimientos. Para ello, se habrn de
evaluar una serie de factores externos a la empresa y caractersticos del mercado, que podran
afectar a la eleccin de la forma de implementacin idnea para la empresa, as como a la
eleccin del proveedor de servicios en la nube.
Entre estos factores externos a tener en cuenta dentro de esta fase de valoracin de mercado
se encontraran el mbito de la solucin cloud y la previsin de crecimiento del mercado por
tipo de solucin cloud.

Tipologa de la solucin cloud

En primer lugar, con el objetivo de maximizar el conocimiento en la entidad sobre la tecnologa
cloud computing, y sobre los productos y servicios en la nube disponibles para una posible
implementacin en la empresa; la entidad en cuestin podra obtener una visin global de las
distintas soluciones cloud existentes en el mercado, clasificndolas tanto por familia como por
forma de implementacin.
Para obtener esta visin global, la organizacin podra hacer uso por ejemplo, de un grfico
como el mostrado a continuacin, donde se reflejan las posibles soluciones cloud existentes en
el mercado y su nivel de comparticin de recursos, en funcin del componente de la empresa
donde se vaya a implementar: infraestructura, capas intermedias, aplicaciones e informacin o
procesos de la organizacin.
Se entiende que el valor para el negocio aumenta a medida que a la infraestructura se le aade
conocimiento de las aplicaciones, procesos e informacin propia de la organizacin.

101

Dentro de esta clasificacin global de cloud computing, se habr de localizar el mbito de

soluciones comerciales cuyas caractersticas ms se ajustan a los requerimientos del proceso a
migrar a la tecnologa cloud.
Para ello, habrn de detallarse las caractersticas asociadas a cada uno de los tipos de
soluciones cloud, candidatos a contener la solucin final adoptada; analizando detenidamente
las distintas ventajas y aspectos a mejorar asociadas a los mismos.

Procesos cubiertos por las soluciones

Otro punto importante ser la comprobacin de las funciones y procesos que se cubren con las
actuales soluciones de cloud pblico, privado o hbrido existentes en el mercado. A
continuacin se enumeran las cargas de trabajo, sistemas, servicios, entornos y soluciones que
estn listos para ser trasladados a la nube y los que podran no estarlo, en funcin de la
solucin escogida.

Aspectos de la operativa diaria listos para ser trasladados a la nube:

o

Cargas de trabajo de aplicacin virtual sencilla.

Sistemas de prueba y pre-produccin.

Servicios maduros como el correo electrnico, CRM y ERP.

102

Entornos de desarrollo de software.

Procesamiento por lotes con requisitos de seguridad limitada.

Cargas de trabajo aisladas, donde no es un problema la latencia entre

componentes.

Almacenamiento como servicio (Storage as a Service).

Soluciones de copia de seguridad (Backup Service) y de restablecimiento de la

operatividad tras posibles fallos de los sistemas (Restore as a Service).

Aspectos de la operativa diaria que podran no estar listos para ser trasladados a la
nube:
o

Cargas de trabajo que dependen de datos sensibles (informacin de

empleados, de clientes, de otras empresas).

Cargas integradas por mltiples servicios interdependientes (como por

ejemplo el procesamiento de transacciones en lnea de alto rendimiento).

Cargas con requerimientos de una alta capacidad de auditora y disponibilidad

de datos.

Software de terceros que no permitan una estrategia de licenciamiento en

cloud o virtualizada.

Cargas que requieren medida de utilizacin y cargo detallado (como pueden

ser por ejemplo las de planificacin y facturacin departamental).

Cargas que requieran alto grado de personalizacin.

Previsin de crecimiento del mercado de cloud computing

Una vez detalladas las caractersticas relativas a cada posible tipo de solucin cloud a
implementar, el siguiente paso ser el de evaluar su situacin actual y la previsin de
desarrollo futuro para cada uno de los tipos de soluciones cloud candidatos a ser
implementados.
Este factor puede resultar de gran utilidad para las entidades que se planteen la adopcin de
la tecnologa cloud computing, ya que la contratacin de soluciones cuya previsin de
crecimiento sea alta, posibilitar un mayor margen de evolucin a corto plazo de la capacidad
y las funcionalidades asociadas a dicho producto o servicio en la nube.
A continuacin se muestran ejemplos de grficas de evolucin econmica esperada, para las
distintas soluciones de cloud privado, pblico e hbrido.

103

104

Otros parmetros
Finalmente, dentro de la fase de valoracin del mercado resultar necesario caracterizar el
mercado por nivel calidad de la solucin, infraestructuras asociadas a cada solucin,
satisfaccin con el proveedor, etc.

105

Fase 3: Recomendaciones
La siguiente fase del modelo de seleccin corresponde a recomendaciones. En esta etapa se
agrupar la informacin y documentacin propia recopilada durante la primera fase del
modelo con la valoracin del mercado llevada a cabo durante la segunda fase del proyecto.
De esta manera se relacionarn los requisitos propios de los procesos a migrar a la nube con
las funcionalidades existentes en el mercado, evaluando las distintas soluciones segn los
parmetros definidos previamente, y elaborando las recomendaciones que servirn como base
para la definicin de la hoja de ruta de la migracin a la tecnologa cloud computing.
Entre los parmetros de utilidad para la empresa contratante, podemos citar los detallados a
continuacin:
Alineacin de solucin y procesos
Este parmetro relaciona las funcionalidades y servicios ofertados por las distintas soluciones
cloud en el mercado, con los requerimientos propios o necesidades de la empresa u
organizacin pblica contratante valorando la compatibilidad y el alineamiento entre ambos.

Seguridad y privacidad
Este factor, de gran importancia para los suscriptores, relaciona los aspectos que desde la
empresa se quieren tener en cuenta en el tratamiento de los datos corporativos de carcter
privado, con los requisitos de seguridad y privacidad dados por la solucin cloud evaluada.
Para los sistemas y aplicaciones core de la empresa, cuyas funcionalidades estn orientadas
a cubrir las necesidades de negocio, la opcin a elegir por motivos de seguridad y privacidad de
los datos suele ser la de una nube privada, o en su defecto la de una nube hbrida.
Sin embargo para los sistemas y aplicaciones cuya funcionalidad est destinada a la gestin de
procesos menos crticos de la empresa, la opcin preferente es la eleccin de una nube
pblica, ya que la ampliacin de recursos en las mismas resulta ms sencilla.
Ventajas frente a retos
Este indicador particulariza las ventajas y retos asociados a cada tipo de solucin cloud
computing ofertada por los proveedores, en el tipo de procesos y funcionalidades que desde la
entidad se quieran trasladar a la nube; consiguiendo con ello obtener una balanza de ventajas
y desventajas especficas para la empresa en cuestin, de gran utilidad para la eleccin de
aquella solucin cloud que aporte un mayor beneficio a la organizacin.

106

Retorno econmico y productivo

Tambin se tendr en cuenta un factor adicional, el retorno econmico y productivo que ser
de gran importancia para estimar el impacto que tendr la migracin en trminos de eficiencia
y rentabilidad.
Para calcularlo, es necesario identificar una serie de puntos de control de coste claves en la
empresa en cuestin, donde, gracias a la migracin a un modelo basado en cloud computing,
se pueda producir una reduccin de dichos costes.
Una vez identificados estos puntos clave, se fijarn una serie de indicadores para cada uno de
ellos, se recopilarn los datos necesarios y se calcular el coste actual de dichos puntos,
confrontndolo con los costes y beneficios esperados tras la adopcin de la solucin de cloud
computing.
Entre los posibles indicadores a definir, relevantes para la empresa a la hora de evaluar los
costes asociados a los puntos clave identificados se podran encontrar el Retorno de la
Inversin (ROI), los Gastos de Capital (CAPEX) y los Gastos Operacionales (OPEX), entre otros.
La representacin de uno de dichos parmetros se introduce como ejemplo en la siguiente
grfica, en la que se compara la evolucin del retorno de la inversin esperada (ROI) entre una
107

solucin cloud y una solucin on-premise (tradicional), para el caso particular de una entidad y
solucin cloud cualquiera.

Adems del ROI, tambin ser necesaria en todo proceso de seleccin, la confrontacin,
dentro del factor econmico y productivo de los tipos de gastos.
Se debern analizar los gastos de capital (CAPEX, se refieren al costo de desarrollar o
proporcionar partes no consumibles para un producto o sistema como por ejemplo la
infraestructura de un centro de procesamiento de datos) y los gastos operacionales (OPEX, los
costes continuos para mantener un producto, negocio o sistema, como por ejemplo el pago de
licencias), entre la solucin cloud y la solucin on-premise (tradicional).
Respecto a los gastos de capital y operacionales asociados al cloud computing, y al retorno de
la inversin mostrado en la grfica anterior, se pueden sacar las siguientes conclusiones:

Con una solucin cloud, la reduccin de los gastos de capital (CAPEX) se trasfiere a los
gastos operacionales (OPEX), ya que las inversiones de hardware y software no son
necesarias.

La solucin cloud asegura un rpido y mayor retorno esperado (Payback47 y ROI), ya

que la inversin inicial es inferior y el despliegue es ms rpido que en la solucin onpremise.

Tiempo de adopcin de la solucin cloud

Otro aspecto importante a tener en cuenta ser el tiempo necesario para la adopcin de las
diferentes soluciones en el tiempo. Dicho parmetro se muestra en el siguiente grfico:
108

La adopcin del cloud computing en las empresas y organizaciones pblicas es un proceso

evolutivo en el tiempo, yendo desde el conocimiento de las nociones bsicas acerca de este
tipo de soluciones, pasando por la implementacin de las soluciones ms sencillas, como
resulta ser la PaaS; una progresiva implementacin de servicios ms completos, con las
soluciones IaaS y SaaS; hasta la institucionalizacin del cloud computing en la empresa y su
posterior internacionalizacin, objetivo a conseguir por las empresas para un mayor
crecimiento y expansin dentro de su sector de actividad.

Fase 4: Definicin de la hoja de ruta

Tras haber relacionado la situacin actual y expectativas futuras de la empresa respecto a la
tecnologa cloud, con las distintas funcionalidades asociadas a cada solucin existente en el
mercado, se emitieron durante la fase anterior una serie de recomendaciones a seguir, para
llevar a cabo la eleccin de la opcin que mejor se ajuste a la operativa especfica de la
empresa. Con estas recomendaciones, se procede en esta fase a elaborar una hoja de ruta o
plan de accin.
En primer lugar, se enumeran todas las acciones a acometer para llevar a cabo la completa
implementacin de la solucin cloud.
Posteriormente se agrupan estas acciones en una serie de proyectos a realizar, se
interrelacionan entre s, y se detalla cada uno de ellos. En este detalle se describir el objetivo
de cada uno de los proyectos, su prioridad, sus dependencias respecto a otras acciones a
acometer, la necesidad de recursos que va a implicar su realizacin, los procesos y sistemas de
la empresa que se van a ver afectados por el proyecto, las principales actividades a acometer
durante el proyecto, y la mtrica establecida para su control y seguimiento.
Una vez detallados los distintos proyectos, se trazar una hoja de ruta donde se marquen los
plazos temporales de cada uno de dichos proyectos, los posibles desarrollos de proyectos de
forma simultnea, as como los hitos o puntos de control de cumplimiento de la planificacin
estimada.
Como ejemplo ilustrativo, se muestra en el grfico inferior el caso particular de una hoja de
ruta para la implementacin de una solucin cloud en una empresa:

109

Descripcin de los tipos de soluciones cloud en el mercado

El mercado de proveedores de soluciones de cloud computing se puede estructurar por tipo de
familia cloud, tal y como se vio en apartados anteriores. Por ello, se exponen a continuacin
los diferentes tipos de soluciones presentes actualmente en el mercado, para cada familia
cloud:
PaaS
Los tipos de soluciones incluidos dentro del servicio PaaS, junto con una descripcin de cada
uno de ellos, se indican a continuacin en base a datos de Forrester y Gartner.

110

111

112

SaaS
En cuanto a las soluciones ofertadas por los proveedores de soluciones cloud de Software as a
Service, la clasificacin y descripcin de los mismos por tipo de solucin SaaS quedara como se
muestra en la tabla inferior, obtenida a partir de los datos de Gartner.

113

114

115

IaaS
Clasificando ahora las soluciones IaaS ofertadas por los proveedores, segn los distintos tipos
de soluciones cloud de infraestructura como servicio, obtenemos la siguiente tabla:

116

117

Referencias y bibliografa.
NIST(National Institute of Standards and Technology). http://www.nist.gov
NIST Cloud Computing Standards Roadmap, NIST. (http://collaborate.nist.gov/twiki-cloudcomputing/pub/CloudComputing/StandardsRoadmap/NIST_SP_500-291_Jul5A.pdf)
Dr. Javier Aretillo Bertoln, Proteccin del Cloud
Computing en seguridad y privacidad(Mayo 2010) .
Facultad de Ingeniera ESIDE. Director del Grupo de
Investigacin Redes y Sistemas. Revista Espaola de
Electrnica: http://www.redeweb.com/_txt/666/42.pdf
Liam Lynch ,Securing the Present and the future
of Cloud Computing(Noviembre 2009). Cloud Security Alliance(CSA):
http://www.grid.org.il/_Uploads/.../08-eBay-SW- keynote.ppt
Krutz, R.L. & Vines, R.D. ,Cloud Security: A Comprehensive Guide to Secure Cloud Computing.
Wiley.2010
Peter Mell, Tim Grance, Effectively and Securely
Using the Cloud Computing Paradigm(Octubre
2009). NIST, Information Technology Laboratory.
http://crypto.cs.stonybrook.edu/ccsw09/slides/mell.pdf
Tim OReilly, Web 2.0. Compact Definitions(2006):
http://radar.oreilly.com/archives/2006/12/web-20- compact.html
Nuno Santos, Krishna P.Gummadi & Rodrigo Rodrigues, Towards Trusted Cloud Computing
(HotClouds 2009).Max Planck Institute for Software Systems (Alemania): http://www.mpisws.org/~rodrigo/tccp- houtcloud09.pdf
Tim Mather, Subra Kumaraswamy & Shahed Latif, Cloud Security and Privacy: An Enterprise
Perspective on Risks and Compliance (Septiembre 2009). Publicado por OReilly:
http://books.google.es/books?hl=es&lr=&id=BHazecOuDLY
C&oi=fnd&pg=PR11&dq=security+over+the+cloud+investig ation&ots=Fx7eJ0kND5&sig=Ix6-WmJTSUrrWl53_4l01qO1C4#v=onepage&q&f=false
"AWS Security Whitepaper," http://s3.amazonaws.com/
aws_blog/AWS_Security_Whitepaper_2008_09.pdf
Explotacin de Datos Cientficos. Calculando por las nubes, ProEspacio (Asociacin Espaola
de Empresas del Sector Espacial). (http://www.proespacio.org/proespacio/explotacion-dedatos-cientificos-calculando-por-las-nubes#)
Above the Clouds: A Berkeley View of Cloud Computing, University of California at Berkeley.
(http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf)
Cloud Computing: Retos y Oportunidades , Fundacin Ideas.
(http://www.fundacionideas.es/sites/default/files/pdf/DT-Cloud_Computing-Ec.pdf)
Cloud Computing: Retos y Oportunidades., Fundacin Ideas.
(http://www.fundacionideas.es/sites/default/files/pdf/DT-Cloud_Computing-Ec.pdf)
Cloud Computing: La Tecnologa como Servicio., Observatorio Regional de Sociedad de la
Informacin en Castilla y Len (ORSI).
(http://www.orsi.jcyl.es/web/jcyl/ORSI/es/Plantilla100Detalle/1262860952313/126286095231
3/12 84152333822/Redaccion)
118

Federal Cloud Computing Strategy, Vivek Kundra. (http://www.cio.gov/documents/federalcloud-computing-strategy.pdf)

Oportunidades y desafos de la banda ancha, Grupo de Anlisis y Prospectiva del Sector de
las Comunicaciones (Gaptel), 2008.
(http://www.red.es/publicaciones/articles/id/2439/oportunidades-desafios-la-banda-anchamayo-2008.html)
Gua para las empresas: seguridad y privacidad del cloud computing. Inteco, 2011.
(http://www.inteco.es/Seguridad/Observatorio/guias/Guia_Cloud)
Ley orgnica 15/1999 de Proteccin de Datos de carcter personal. Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica
15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.
(http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-1999-23750)

What cloud computing means for business, and how to capitalize on it: A balancing act,
Deloitte. (http://www.deloitte.com/view/en_JO/jo/industries/Technology-mediatelecommunications/96f8176679a2e210VgnVCM3000001c56f00aRCRD.htm)
El cloud computing choca con la legislacin europea, ABC.
(http://www.abc.es/20100920/tecnologia/rww-cloud-computing-201009201843.html)

119

120

Anexos
Taller Informes de Seguridad

TALLER:
INFORMES DE SEGURIDAD

lvaro Gomariz Lpez

121

122

Contenido
Informe de seguridad kaspersky ............................................................................................... 124
Informe Cisco sobre seguridad TI .............................................................................................. 130
Informe de seguridad PANDA 2012 .......................................................................................... 133
Referencias ................................................................................................................................ 136

123

Informe de seguridad kaspersky

Este informe es parte de Kaspersky Security Bulletin y se basa en los datos obtenidos y
procesados por el sistema Kaspersky Security Network. KSN usa una arquitectura "en
la nube en sus productos personales y corporativos y es una de las tecnologas ms
importantes de Kaspersky Lab.
Kaspersky Security Network permite a nuestros expertos, en tiempo real, detectar los
nuevos programas nocivos que todava no tienen antdoto en forma de identikits o que
los mtodos heursticos no pueden detectar. KSN permite desenmascarar las fuentes
de propagacin de programas nocivos en Internet y evitar que los usuarios se conecten
a los sitios infectados.
Al mismo tiempo, KSN permite aumentar la velocidad de reaccin ante las nuevas
amenazas, ya que se puede bloquear el lanzamiento de un nuevo programa nocivo en
los equipos de los usuarios de KSN en una fraccin de segundo desde el momento en
que se le asigne el dictamen de "peligroso", sin necesidad de actualizar las bases
antivirus.
La estadstica de este informe se basa en los datos recopilados por los productos de
Kaspersky Lab en los equipos de los usuarios que dieron su consentimiento al envo de
datos estadsticos.
Amenazas mviles
El desarrollo de las amenazas mviles en 2012 transcurri bajo la divisa Toda la
atencin para Android. Los creadores de virus se concentraron en el robot verde.
Tambin se cumplieron nuestros pronsticos sobre el desarrollo de las amenazas
mviles en 2012, en los que vaticinbamos la creacin de botnets mviles, ataques
contra blancos especficos mediante malware mvil y el espionaje mvil.
Programas nocivos para Android
En 2012 los esfuerzos de los creadores de virus se concentraron sobre todo a la
creacin de programas maliciosos para Android. Esto condujo al crecimiento tanto
cualitativo como cuantitativo del malware mvil para esta plataforma. El 99% del
malware mvil que detectamos cada mes es para la plataforma Android.

TOP 10 de malware para Android

Los objetos ms propagados y detectados en los smartphones se pueden dividir en 3
grupos principales: troyanos SMS, mdulos publicitarios y exploits para obtener
derechos de root en el smartphone.

124

De ellos, los ms propagados eran los troyanos SMS que en su mayora estn dirigidos
a los usuarios de Rusia. Esto no es nada sorprendente, si se tiene en cuenta la antigua
popularidad de estos programas maliciosos entre los creadores rusos de virus. Los SMS
de alto coste siguen siendo el mtodo ms lucrativo entre los delincuentes
informticos mviles.
El segundo grupo de amenazas mviles del TOP 10 son los mdulos publicitarios
Plangton y Hamob. No es casualidad que la primera familia se detecte como troyano.
Plangton suele encontrarse en las aplicaciones gratuitas y en efecto muestra
publicidad, pero tambin puede suplantar la pgina de inicio del navegador. La
cuestin es que la suplantacin ocurre sin avisar al usuario y sin su consentimiento, por
lo que se considera que es un comportamiento malicioso. En lo que atae a Hamob,
bajo el nombre de AdWare.AndroidOS.Hamob se detectan las aplicaciones que se
hacen pasar por programas tiles, pero en realidad slo muestran anuncios
publicitarios al usuario.
Y, para finalizar, el tercer grupo. Aqu estn las diferentes modificaciones de los
exploits para obtener privilegios de root en los smartphones con diferentes versiones
de Android.
Esta popularidad de los exploits est condicionada por el hecho de que diferentes
modificaciones de backdors pertenecientes a diversas familias, cuyo nmero ha
crecido este ltimo ao, usan las mismas modificaciones de exploits para obtener altos
privilegios (de root).
Crecimiento del nmero de incidentes con programas maliciosos en las tiendas
oficiales de aplicaciones, sobre todo en Android Market
A pesar de que Google ha implementado el mdulo Google Bouncer, que efecta el
anlisis automtico de todas la nuevas aplicaciones en Google Play (ex Android
Market), no hay cambios sustanciales en el promedio de incidentes. La atencin
pblica suele sentirse atrada por los casos con gran cantidad de infecciones, por
ejemplo, el incidente causado por el programa malicioso Dougalek, cuyas copias
descargaron decenas de miles de usuarios (sobre todo de Japn). Esto provoc una de
las ms grandes fugas de informacin personal de los usuarios de dispositivos mviles.
Pero tampoco hay que olvidar los cientos de otros incidentes con menor cantidad de
vctimas.
Tambin cabe destacar el primer caso de deteccin de software malicioso para iOS en
App Store. A principios de julio se descubri una aplicacin sospechosa llamada Find
and Call, tanto en App Store como en Android Market. Al descargar e instalar este
programa, el usuario vea una solicitud de registro, que le peda ingresar su direccin
de correo electrnico y nmero de telfono. Despus del registro, los datos ingresados
y la libreta telefnica se enviaban a un servidor remoto.

125

Parte del procedimiento de envo de la libreta telefnica al servidor remoto

Despus de cierto tiempo, a cada uno de los nmeros de telfono robados llegaba
spam SMS que incitaba a seguir un enlace para descargar Find and Call.
Las primeras botnets mviles
El primer sntoma fue el descubrimiento a principios de ao del bot IRC para Android
llamado Foncy, que funcionaba en conjunto con el troyano SMS del mismo nombre.
Era precisamente el bot IRC el que poda tomar el control del smartphone despus de
la infeccin. Y es que adems del troyano SMS en el droper APK haba un root exploit
que se usaba para obtener altos privilegios en el sistema infectado. Y despus de
conectarse con el servidor de administracin el bot poda recibir y ejecutar
instrucciones shell. De hecho, todos los smartphones infectados por el bot IRC Foncy
formaban una verdadera botnet y estaban dispuestos a realizar prcticamente
cualquier cosa que les ordenara su dueo.
Los creadores de virus chinos lograron crear una botnet de entre 10.000 a 30.000
dispositivos activos, pero el total de smartphones infectados alcanzaba varios cientos
de miles. La base de esta botnet era el backdoor RootSmart, que tiene varias funciones
de control remoto de dispositivos con Android. Para propagar RootSmart, los
delincuentes informticos usaron un truco conocido y efectivo: empaquetaron un
programa legtimo y lo pusieron en el sitio de una popular tienda china extraoficial de
aplicaciones para Android. Como resultado, los usuarios que descargaban el programa,
que supuestamente serva para configurar el telfono, reciban junto con l un
backdoor que agregaba sus dispositivos a la botnet.
Las dimensiones de la infeccin causada por RootSmart permitieron a los delincuentes
convertir en dinero contante y sonante la red creada con los telfonos infectados. Para
este fin eligieron el mtodo ms popular entre los delincuentes informticos mviles,
que consiste en enviar mensajes SMS de pago a nmeros cortos. Los delincuentes
usaban los nmeros ms baratos para que las vctimas no se dieran cuenta de sus
prdidas durante el mximo tiempo. El control total que los delincuentes obtenan
sobre los dispositivos mviles les daba la posibilidad de ocultar por largo tiempo la
presencia del programa malicioso y aprovecharlo para robar ms dinero.
Ataques contra blancos especficos mediante malware mvil
En 2012 se usaron algunos nuevos programas maliciosos para sistemas operativos
diferentes a Android en ataques contra blancos especficos.
Un buen ejemplo de estos ataques son los lanzados mediante ZitMo y SpitMo (Zeus- y
SpyEye-in-the-Mobile). Nuevas versiones de ZitMo y SpitMo aparecan con regularidad,
tanto para Android como para otros sistemas operativos. Los escritores de virus siguen
usando los mismos mtodos de camuflaje que hace dos aos. O bien los disfrazan de
126

certificados de seguridad, o bien los hacen pasar como software para proteger
smartphones.

Mtodos tradicionales de camuflaje de ZitMo/SpitMo

A pesar de que los sistemas operativos diferentes a Android no son tan populares, esto
no significa que ya nadie los use. A los escritores de virus, por ejemplo, les da lo mismo
los rumores de la pronta muerte de Blackberry. En 2012 tambin aparecieron nuevas
versiones de ZitMo para esta plataforma, y los delincuentes usaron al mismo tiempo
este programa malicioso para Blackberry y para Android. Por lo menos, los nmeros de
los servidores de administracin de ambas versiones eran los mismos.
Espionaje mediante malware mvil
El ao pasado pronosticamos que el espionaje mvil el robo de datos de los
telfonos mviles y el seguimiento de las personas mediante su telfono mvil y
servicios de geolocalizacin- se convertira en un fenmeno ampliamente difundido,
saliendo de los lmites del uso comn que hacen los rganos del estado y algunas
compaas de detectives de estas tecnologas.
Por desgracia, as fue. La cantidad de programas maliciosos que por su
comportamiento son troyanos-espa o backdoors ha crecido en cientos de veces.
Tambin merece la pena destacar la creciente cantidad de aplicaciones comerciales de
monitorizacin, que a veces son difciles de diferenciar de los programas maliciosos.
El ejemplo ms claro de espionaje con el uso de programas maliciosos mviles es el
incidente del mdulo publicitario FinSpy. Este mdulo fue desarrollado por la
compaa britnica Gamma International, que se especializa en la creacin de software
de monitorizacin para organizaciones estatales. De hecho, este programa tiene
funcionalidades de troyano-espa. La compaa The Citizen Lab logr descubrir
versiones mviles de FinSpy en agosto de 2012. Se descubrieron modificaciones del
troyano para las plataformas Android, iOS, Windows Mobile y Symbian. Sin lugar a
dudas, existen diferencias entre ellos, pero todos pueden hacer un seguimiento de casi
todas las actividades de los usuarios en el equipo infectado, seguir su paradero, hacer
llamadas en secreto y enviar informacin a servidores remotos.
Por el momento no hay respuesta a la interrogante sobre quin pidi a FinSpy atacar a
vctimas en concreto, y es poco probable que lo sepamos en el futuro. Pero incluso sin
esta informacin la aparicin de FinSpy marca el inicio de un nuevo captulo en la
historia del malware mvil: al igual que los ordenadores comunes y corrientes, los
dispositivos mviles se estn convirtiendo en blancos de ataques contra objetivos
especficos y ataques espa.
Programas maliciosos para Mac
En 2012 se derrumbaron todos los mitos sobre la seguridad de los equipos Mac. Este
ao mostr que el malware para Mac constituye una seria amenaza a la seguridad.
127

A principios de ao se descubri Flashfake, una botnet de 700.000 bots formada

exclusivamente por equipos Mac. (El anlisis completo de este troyano-descargador se
public en viruslist.es).
Despus, no hubo ms epidemias de FlashFake, pero los delincuentes usaron el
malware para Mac durante todo el ao para hacer sus ataques. La razn es que los
productos de la compaa Apple son populares entre muchos polticos influyentes y
hombres de negocios, y la informacin que guardan sus ordenadores representa
inters para determinada categora de delincuentes.
En 2012 nuestros expertos antivirus agregaron un 30% ms de firmas para detectar
troyanos para Mac que en 2011. Si comparamos con 2010, la cantidad de firmas
agregadas por ao se ha multiplicado por 6.

Nmero de firmas antivirus para Mac OS X, por ao

El programa malicioso para Mac ms propagado es FlashFake, y sus primeras versiones
se descubrieron ya en 2011. FlashFake fue el lder absoluto, segn la estadstica del
primer semestre de 2012. Pero veamos cuales fueron los programas maliciosos para
Mac OS X ms propagados en el segundo semestre de 2012.
Programas nocivos en Internet (ataques por la Web)
La cantidad de ataques mediante navegadores web en un ao subi de 946.393.693
a 1.595.587.670. De esta manera, nuestros productos protegieron a los usuarios de los
peligros de navegacin en Internet un promedio de 4.371.473 veces al da.
En comparacin con el ao pasado, el ritmo de crecimiento de la cantidad de ataques a
travs de navegadores web casi no ha cambiado. La cantidad de ataques neutralizados
en 2012 supera a la de 2011 en 1,7 veces, mientras que 2011 super a 2010 en 1,6
veces. El principal mtodo de ataque (mediante exploits packs) da a los delincuentes
una garanta casi total de infectar equipos, si estos no cuentan con proteccin y tienen
por lo menos una aplicacin popular vulnerable.
Aplicaciones vulnerables usadas por los delincuentes
Si bautizamos 2011 como el ao de las vulnerabilidades, podemos llamar con
tranquilidad a 2012 el ao de las vulnerabilidades Java: este ao la mitad de los
ataques registrados se realizaron mediante exploits dirigidos a Java.
Hoy en da Java est instalado en ms de 3.000.000.000 dispositivos que usan
diferentes sistemas operativos. Por lo tanto, para algunos errores de Java se pueden
crear exploits que funcionen en mltiples plataformas. En el transcurso del ao hemos
analizado tanto ataques masivos con conjuntos de exploits, como ataques para
blancos especficos en los que usaban exploits Java dirigidos a PC y a Mac.

128

Aplicaciones cuyas vulnerabilidades usaron los exploits web, 2012

En 2012 baj la popularidad de los exploits para Adobe Reader, que este ao causaron
el 28% de todos los incidentes. Como resultado, Adobe Reader ocup el segundo
puesto de la estadstica. Hacemos notar que en las ltimas versiones de Adobe Reader
se prest mucha atencin al problema de las vulnerabilidades. En particular, se
implementaron nuevos mecanismos que protegen la aplicacin contra los exploits.
Estas medidas hacen que sea mucho ms difcil crear exploits efectivos.
En el tercer lugar se ubican los programas que usan vulnerabilidades para diferentes
componentes de Windows e Internet Explorer. Durante el ao se usaron de forma
activa exploits para vulnerabilidades ya detectadas en 2010: MS10-042 en Windows
Help and Support Center y MS04-028, relacionada con el procesamiento incorrecto de
ficheros jpeg.
En el cuarto puesto, con un 2%, estn los exploits para la plataforma mvil Android OS.
Los delincuentes usan estos exploits para obtener privilegios de root, que les dan
posibilidades casi ilimitadas para hacer manipulaciones sobre el sistema.

Distribucin de versiones del SO Windows instalado en los equipos de los usuarios,

2012
En este ao, la cantidad de usuarios de Windows 7 aument del 30% al 50%. A pesar
de que Windows 7 se actualiza a intervalos regulares, los ataques contra los equipos
de los usuarios siguen teniendo lugar: como ya hemos mencionado, las intrusiones en
el sistema no se hacen mediante los componentes de Windows, sino a travs de las
aplicaciones de otros fabricantes.
Amenazas locales
Un factor de primordial importancia es la estadstica de las infecciones locales que
afectan a los equipos de los usuarios. Aqu se reflejan los datos de los objetos que
penetraron en los equipos sin usar la Web, el correo electrnico o los puertos de red.
Nuestras soluciones antivirus detectaron ms de tres mil millones de incidentes virales
en los equipos que integran Kaspersky Security Network.
En estos incidentes se pudo registrar 112.474 diferentes programas nocivos y
potencialmente indeseables.

Conclusin
2012 ha sido el ao en que los delincuentes informticos han empezado a
experimentar un gran inters por nuevas plataformas, sobre todo por Mac OS X y
129

Android OS. La posibilidad de infectar con facilidad una gran cantidad de equipos y
dispositivos de los usuarios siempre ha atrado a los delincuentes y por eso est en
crecimiento la cantidad de ataques contra los usuarios de Mac y Android.
A principios de ao se descubri una enorme botnet de 700.000 ordenadores Mac
creada por el programa Flashfake. Los delincuentes podan instalar mdulos maliciosos
adicionales en los equipos infectados. Se sabe que uno de los mdulos se ocupaba de
suplantar el trfico en el navegador. Pero los ataques masivos no fueron los nicos que
afectaron a Mac. Durante todo el ao hemos venido detectando ataques dirigidos a
blancos especficos mediante backdoors que tenan como blanco a los usuarios de Mac
OS X. Esta tendencia se reflej en nuestras cifras: la cantidad de firmas antivirus para
Mac OS X creci en un 30% en comparacin con2011.
La epidemia del troyano para Mac y la serie de malware para Android hizo que el
asunto de la proteccin de las nuevas plataformas cobrara especial actualidad. La
necesidad de esta proteccin se hizo evidente para la mayora de la poblacin de
Internet en el planeta. Los mitos sobre la invulnerabilidad de Mac ante los virus se
derrumbaron. Los fabricantes empezaron a prestar ms atencin a la defensa de las
plataformas: en la nueva versin de Mac OS X se implementaron varias funciones que
mejoraban la seguridad, mientras que por su parte Google organiz el escaneado de
las aplicaciones agregadas a su tienda. La industria antivirus, que estaba lista ante
estos avatares, desde hace cierto tiempo ofrece soluciones como Kaspersky One,
dirigidas a la proteccin de una serie de dispositivos, desde PC y Mac hasta telfonos
y tabletas.
Por desgracia, a pesar de los xitos en la lucha contra la delincuencia ciberntica, en
2012 el porcentaje de usuarios atacados en Internet ha seguido creciendo y alcanz el
34%. Ningn pas europeo ha entrado en el grupo de pases en el que el porcentaje de
usuarios atacados durante su navegacin en Internet sea menor al 20%.
Si bautizamos 2011 como el ao de las vulnerabilidades, podemos llamar con
tranquilidad a 2012 el ao de las vulnerabilidades Java. Segn nuestra estadstica, la
mitad de los ataques mediante exploits en 2012 corresponde a las vulnerabilidades de
Java. Y es importante el hecho de que los delincuentes usaron vulnerabilidades tanto
durante ataques masivos, como en ataques contra blancos especficos y los exploits
funcionaron tanto contra PC como contra Mac.

Informe Cisco sobre seguridad TI

Las organizaciones deben encontrar y mantener el equilibrio correcto entre polticas
de TI, educacin de los usuarios y herramientas de trabajo, segn el Informe Anual de
Seguridad de Cisco .

130

La creciente influencia de los dispositivos de consumo en el lugar de trabajo, el

crecimiento exponencial de profesionales mviles y la omnipresencia de las redes
sociales estn obligando a las organizaciones a replantearse sus polticas de seguridad.
Por otro lado, el incremento del activismo en la ciber-delincuencia (o nuevo
hacktivismo) sita esta amenaza entre las ms importantes, ya que cualquier
institucin pblica o privada puede ser atacada por grupos de hackers annimos y
globales con el fin de desacreditarla o comprometer su imagen.
As se desprende del Informe Anual de Seguridad 2011 de Cisco, que desvela cmo
empresas y Administraciones Pblicas pueden gestionar estos nuevos retos a la par
que facilitan las herramientas necesarias para innovar y colaborar en cualquier
momento y lugar, mediante cualquier dispositivo.
Como seala Pilar Santamara, directora de Ciberseguridad para la Regin Sur de
Europa de Cisco, a medida que un mayor nmero de empleados se convierten en
profesionales mviles y utilizan mltiples dispositivos y aplicaciones de colaboracin
para desempear su trabajo, aumenta el potencial de prdida de datos y de sufrir un
ataque dirigido.
Bring Your Own Device
Dado el deseo de los trabajadores de contar con mayor movilidad y flexibilidad para
utilizar los dispositivos corporativos en su vida privada y viceversa, como tablets,
porttiles o smartphones, las organizaciones necesitan adoptar una
estrategia Bring Your Own Device, que implica proteger las redes y los datos con
independencia de la forma en que los empleados acceden a los recursos corporativos,
ya sea mediante sus propios dispositivos o los de la empresa.
Para ello se deben implementar soluciones basadas en la identidad que controlen los
dispositivos cuando acceden a la red, relacionen dichos dispositivos con sus usuarios y
roles especficos para administrar sus permisos de acceso de forma automatizada, para
proteger los activos de la empresa. Tambin debe protegerse el dispositivo, mediante
contraseas, encriptacin de datos y opciones de gestin remota que permitan, por
ejemplo, bloquear el equipo o borrar los datos en caso de robo o prdida, explica Pilar
Santamara.
Estas medidas se completan con una correcta formacin de los usuarios y otros
mecanismos que ayudan a evitar las mltiples amenazas de malware y ataques de
phising, como sistemas de prevencin de intrusiones con anlisis en tiempo real y
filtros de reputacin para detectar el contenido y las actividades sospechosas.
El nuevo hacktivismo
Igualmente, las organizaciones deben considerar otra amenaza que puede resultar
incluso ms perjudicial en caso de que les afecte: el nuevo hacktivismo o combinacin
de actividades de hacking y activismo.

131

Se trata de una nueva modalidad que salt a la fama a finales de 2010 cuando los
defensores de WikiLeaks.org lanzaron ataques de denegacin de servicio contra
instituciones como Paypal o MasterCard. Este hacktivismo creciente persigue llamar la
atencin y demostrar el poder de un grupo annimo a escala global, afirma
Santamara.
Para defenderse ante una situacin de este tipo, es necesario proteger las redes y
accesos, disponer de alertas en tiempo real y disear un plan de respuesta previa en el
que participen distintos departamentos, como seguridad, operaciones, asuntos legales
o comunicacin.
El informe destaca asimismo otros aspectos relevantes entre los que estn:
Plataformas mviles y ataques dirigidos
Adems de esta nueva realidad, las organizaciones siguen enfrentndose a una amplia
gama de malware y ataques multi-vector con un claro objetivo de lucro, como las
amenazas avanzadas y persistentes (APTs, Advanced Persistent Threats), los troyanos
especializados en robo de datos y kits ya preparados para explotar las vulnerabilidades
web.
De esta forma, 2011 ha confirmado una tendencia ya anunciada en el anterior Informe
de Seguridad Anual de Cisco: los ataques son ms selectivos y dirigidos hacia grupos
concretos de usuarios para obtener datos financieros o propiedad intelectual, adems
de centrarse cada vez ms en sistemas operativos y plataformas mviles.
Las amenazas a sistemas de control industrial, como redes elctricas, centrales
nucleares e infraestructuras de servicios pblicos; el potencial de acceso a los entornos
multi-usuario de clouds pblicas o botnets (redes de ordenadores zombis), ms
pequeos pero ms numerosos, son otras de las preocupaciones que marcarn la
agenda de los responsables de seguridad en 2012.
Cada espectacular del spam
Segn la divisin Cisco Security Intelligence Operations (SIO), el volumen de spam ha
cado entre agosto de 2010 y noviembre de 2011 desde los ms de 379.000 millones
de mensajes registrados diariamente, hasta cerca de 124.000 millones; unos niveles no
alcanzados desde 2007.
Un descenso que ha provocado que los beneficios procedentes del spam masivo
desciendan ms de un 50 por ciento, desde los 1.100 millones de dlares registrados
en junio de 2010 hasta los 500 millones contabilizados en junio de 2011.
En septiembre pasado, India ha generado el mayor volumen de spam, un 13,9%;
seguido de Vietnam con 8% y Rusia con el 7,8%.

132

ndice de Recursos Controlados por el Enemigo

El ndice Global de Recursos Controlados por el Enemigo o ARMS - Adversary Resource
Market Share fue diseado por Cisco para monitorizar el nmero total de recursos
comprometidos a escala mundial. En diciembre pasado, el nmero de recursos bajo el
control de los ciber-delincuentes se situ en un ratio de 6,5, disminuyendo ligeramente
frente al nivel registrado un ao antes, el 6,8, debido principalmente a la cada de
botnets masivos.
Cuando el primer ndice ARMS fue desvelado con el Informe de Seguridad Anual 2009,
ese mismo ratio era de 7,2. Pero aunque en la actualidad los sistemas sufren menos
infecciones,hay que resaltar que stas se mantienen en un nivel capaz de producir
abusos alarmantes.
En el actual entorno conectado,mvil, colaborativo y sin fronteras, las organizaciones
deben revisar sus polticas, reforzar la educacin de los usuarios y la relacin con los
departamentos de TI, encontrando el equilibrio correcto para impulsar la innovacin a
la par que se garantiza la mayor seguridad, concluye Santamara. Para obtener ms
informacin y acceso al informe, pulse en este enlace.

Informe de seguridad PANDA 2012

Vulnerabilidades
Se trata, sin duda, del mtodo de infeccin predilecto utilizado tanto por
ciberdelincuentes como por agencias de inteligencia de pases para lograr omprometer
sistemas de forma transparente. En 2012 hemos visto como Java, que est instalado
en cientos de millones de dispositivos, ha sido comprometido de forma recurrente y
utilizado de forma activa para infectar a millones de usuarios. En 2 lugar se encuentra
Adobe, ya que dada la popularidad de sus aplicaciones (Acrobat Reader, Flash, etc.) y
sus mltiples agujeros de seguridad, es uno de los objetivos preferidos para infectar de
forma masiva a usuarios, adems de como herramienta para realizar ataques dirigidos.
Si bien podemos pensar que quienes corren un mayor riesgo son los usuarios
domsticos, hay que recordar que la actualizacin de aplicaciones, algo primordial
para protegerse ante este tipo de ataques, es un proceso muy complejo en empresas,
donde hay que coordinar la actualizacin de todos los equipos. Adems, al mismo
tiempo hay que asegurarse de que todas las aplicaciones que se utilizan en la empresa
deben funcionar correctamente. Esto hace que los procesos de actualizacin sean
lentos, lo que abre una ventana de tiempo que es explotada tanto para robar
informacin en general, como para realizar ataques dirigidos en busca de informacin
confidencial. Tendencias Seguridad 2013 Redes sociales La segunda tcnica ms
133

utilizada es la ingeniera social. Engaar al usuario para que sea ste el que colabore
para infectar su equipo y robarle informacin es una tarea sencilla, ya que no existen
aplicaciones de seguridad que protejan al usuario de s mismo. En este contexto, el uso
de redes sociales (Facebook, Twitter, etc.), lugares donde cientos de millones de
usuarios intercambian informacin, en muchas ocasiones de ndole personal, hace que
sea el coto de caza preferido para engaar a los usuarios.
Deberemos prestar atencin especial a Skype, que al sustituir a Messenger puede
convertirse en un objetivo para los ciberdelincuentes. Malware para dispositivos
mviles Android se ha convertido en el sistema operativo dominante en dispositivos
mviles. Google anunci en septiembre de 2012 que haban alcanzado la escalofriante
cifra de 700 millones de activaciones de Android. Si bien principalmente es utilizado en
smartphones y tablets, su versatilidad y el hecho de no tener que pagar licencia para
su uso va a hacer que nuevos tipos de dispositivos se sumen al uso del sistema
operativo de Google. Cada vez veremos ms extendido su uso, desde televisores a
todo tipo de electrodomsticos, lo que abre todo un mundo an desconocido de
posibles ataques que habr que seguir de cerca.
Ciberguerra / Ciberespionaje
A lo largo de 2012 hemos sido testigos de diferentes tipos de ataques contra naciones.
Cabe mencionar Oriente Medio, donde el conflicto tambin est presente en el
ciberespacio. De hecho muchos de estos ataques ya ni siquiera son llevados a cabo por
gobiernos de sus diferentes pases, sino por ciudadanos que consideran que deben
defender a su nacin atacando a los vecinos utilizando todos los medios a su alcance.
Adems los diferentes gobiernos de las principales naciones del mundo estn creando
cibercomandos para prepararse tanto en la defensa como en el ataque, por lo que la
carrera ciberarmamentstica ir a ms Crecimiento de malware El hecho de que el
crecimiento de la cantidad de malware sea exponencial es algo que se ha venido
repitiendo desde hace 2 dcadas. Hablamos de cifras estratosfricas, con decenas de
miles de nuevos ejemplares de malware apareciendo cada da, por lo que este
crecimiento continuado parece que est muy lejos de llegar a su fin.
A pesar de que las fuerzas del orden de los diferentes pases cada vez estn mejor
preparadas para luchar contra este tipo de delincuencia, se encuentran an lastradas
por la carencia de fronteras en Internet. Cada cuerpo de polica de una nacin puede
actuar en su territorio, mientras que un slo ciberdelincuente puede lanzar un ataque
desde un pas A, robar datos a ciudadanos de un pas B, mandar los datos robados a un
servidor ubicado en el pas C y l estar viviendo en el pas D. Esto se puede hacer con
unos pocos clicks, mientras que para que la polica pueda actuar en colaboracin con
fuerzas del orden de otros pases es una tarea que, como poco, puede llevar meses. Es
por ello que los ciberdelincuentes an estn viviendo su particular edad de oro.
134

Malware para Mac

Casos como el de Flashback, ocurrido en 2012, han venido a demostrar que no slo
Mac no es inmune a ataques de malware, sino que se dan tambin infecciones masivas
afectando a cientos de miles de usuarios. Si bien el nmero de malware para Mac
sigue siendo bajo comparado con el malware para PC, esperamos que siga
aumentando. El hecho de tener cada vez un mayor nmero de usuarios sumado a los
agujeros de seguridad y a la falta de concienciacin de los usuarios respecto a la
seguridad (por un exceso de confianza), hace que el atractivo hacia esta plataforma
siga en aumento durante el prximo ao.
Windows 8
Por ltimo, aunque no menos importante, debemos hablar de Windows 8. El ltimo
sistema operativo de Microsoft, como todos sus predecesores, tambin sufrir
ataques. Los ciberdelincuentes no se van a centrar slo en l, pero se asegurarn de
que sus creaciones funcionen igual de bien desde Windows XP a Windows 8, pasando
por Windows 7.
Uno de los atractivos del nuevo sistema operativo de Microsoft es que puede ser
utilizado tanto en PCs como en tablets o smartphones. Es por ello que si se consiguen
desarrollar ejemplares de malware funcionales que permitan robar informacin en
cualquiera que sea el dispositivo utilizado, podramos ver un desarrollo especfico de
malware para Windows 8 que podra llevar los ataques un paso ms all.05|
Conclusin
Tenemos por delante un ao apasionante, con nuevos retos a los que hacer frente en
el campo de la seguridad: Los usuarios de Android tendrn que hacer frente a un
nmero creciente de ataques por parte de ciberdelincuentes que tratarn de robar
informacin de sus vctimas.
El ciberespionaje y la ciberguerra van a ir a ms, un nmero creciente de pases est
organizando sus propios comandos de ciberdefensa. Existe una gran preocupacin
tanto por la parte de la informacin que puede ser comprometida a travs de ataques,
como por el ataque directo a infraestructuras crticas mediante la utilizacin de
malware.
Las empresas tendrn que extremar an ms sus medidas de seguridad para poder
evitar ser vctimas del creciente nmero de ataques realizados por ciberdelincuentes.
En este punto jugar un papel clave la proteccin frente a vulnerabilidades de las
aplicaciones instaladas en el parque informtico de las empresas, siendo Java el mayor
riesgo actualmente debido a sus mltiples agujeros de seguridad.

135

Referencias

Kaspersky: Boletn de seguridad 2012. Estadstica general de 2012

http://www.viruslist.com/sp/analysis?pubid=207271195#1

Informe Cisco sobre seguridad TI.

http://www.techweek.es/seguridad/informes/1010545004801/hacktivismomovilidad-redefinen.1.html

Informe anual PandaLabs http://prensa.pandasecurity.com/wpcontent/uploads/2013/02/Informe-Anual-PandaLabs-2012.pdf

136

Taller SAP HANA

TALLER:
SAP HANA

lvaro Gomariz Lpez

137

SAP HANA es la implementacin de SAP AG de la tecnologa de base de datos en

memoria. Hay cuatro componentes dentro del grupo desoftware:

SAP HANA DB (o HANA DB) se refiere a la tecnologa de base de datos en s.

SAP HANA Studio se refiere al conjunto de herramientas proporciona SAP para
modelar.
SAP HANA Appliance se refiere a HANA DB como socio de hardware presentadas
en el certificado (vase ms adelante) como un dispositivo. Tambin incluye las
herramientas de modelado de HANA Studio, as como herramientas de replicacin
y transformacin de datos para mover datos a HANA DB
SAP HANA Aplicacin en nube se refiere a la infraestructura basada en
la Computacin en la nube para la entrega de aplicaciones (tpicamente las
aplicaciones existentes de SAP reescritas para ejecutarse en HANA).

HANA DB se aprovecha del bajo coste de la memoria principal (RAM), la capacidad del
procesamiento de datos de los procesadores multincleoy el acceso rpido a datos
de unidades de estado slido con respecto a los discos duros tradicionales para ofrecer
un mejor rendimiento de las aplicaciones analticas y transaccionales. Ofrece un
entorno de consulta multi-motor de procesamiento que le permite soportar tanto
datos relacionales (con tanto en fila y columna orientado a representaciones fsicas en
un motor hbrido) as como el tratamiento grfico y de texto para la gestin de datos
no estructurados y semi-dentro del mismo sistema. HANA DB es 100% compatible
con ACID.2
Aunque HANA ha sido llamado de diversas maneras un
acrnimo HAsso's New Architecture (una referencia al fundador de SAP Hasso
Plattner) y de High Performance ANalytic Appliance, HANA es un nombre no es una
sigla.
SAP HANA es la sntesis de los tres productos por separado - TREX, P*Time y MaxDB.
1. TREX (Recuperacin y Extraccin de texto) es un motor de bsqueda y comenz
en 1996 como un proyecto estudiantil en SAP en colaboracin con DFKI. TREX
se convirti en un componente estndar de SAP NetWeaver en 2000. La
memoria de los atributos se aadieron en 2002 y el almacn de datos
columnar se aadi en 2003, como la manera de mejorar el rendimiento.
2. En 2005, SAP adquiri Transact Menlo Park basado en la Memoria, Inc.5 Con la
adquisicin se produjo P*Time, en memoria de peso ligero de procesamiento
de transacciones en lnea (OLTP) tecnologa RDBMS con un almacn basado en
filas de datos.
3. MaxDB (antes SAP DB), una base de datos relacional que viene de Nixdorf a
travs del Software AG (Adabas D) para SAP, se aadi a TREX y P*Time para
proporcionar persistencia y caractersticas de base de datos ms tradicionales
como la copia de seguridad.
138

En 2008, SAP CTO Vishal Sikka escribi sobre HANA "... nuestros equipos de trabajo en
conjunto con el Instituto Hasso Plattner y la Universidad de Stanford demostr cmo
una arquitectura de nueva aplicacin es posible, uno que permite en tiempo real de
anlisis complejos y de agregacin, al da de cada transaccin, nunca de un modo
parecido posible en las aplicaciones financieras". En 2009, una iniciativa de desarrollo
fue lanzada en SAP para integrar las tres tecnologas anteriormente para proporcionar
un conjunto de caractersticas ms completo. El producto resultante se denomin
internamente y externamente como NewDB hasta que el cambio a HANA DB se finaliz
en 2011.
SAP HANA no es el primero de SAP en la memoria del producto. Business Warehouse
Accelerator (BWA, anteriormente denominado BIA) fue diseado para acelerar las
consultas mediante el almacenamiento de BW InfoCubos en la memoria. Esto fue
seguido en 2009 por el explorador Accelerated SAP que combina la herramienta
Explorador de BI con BWA como una herramienta para realizar anlisis ad-hoc. Otros
productos de SAP que utilizan la tecnologa en memoria eran Segmentacin CRM, By
Design (para anlisis) y Enterprise Search (bsqueda de rol basado en datos
estructurados y no estructurados). Todas ellas se basan en el motor TREX.
Tomando un enfoque diferente de Planificacin Avanzada y Optimizacin (APO) utiliza
liveCache para sus anlisis.
Versiones, paquetes de servicio
El co-fundador de SAP (y presidente del Consejo de Supervisin de SAP a partir de
2012) Hasso Plattner abog por un "sin versin" sistema de emisiones. Los paquetes
de apoyo hasta la fecha han sido:

SP0 - lanzado el 20 de noviembre de 2010; primer lanzamiento pblico de HANA

SP1 - lanzado el 20 de junio de 2011; HANA disponibilidad general (GA); se centra
como una operacin de data mart
SP2 lanzado el 27 de junio de 2011; ms funciones de data mart
SP3 tambin conocido como HANA 1.5 lanzado el 7 de noviembre de 2011; se
centra en HANA como la base de datos subyacente en Business Warehouse (BW),
tambin llamado Project Orange
SP4 - Q2 proyectada, 2012; va a resolver una variedad de problemas de estabilidad
y aade nuevas caractersticas para PN, de acuerdo con SAP

Big data
Big data se refiere a los conjuntos de datos que exceden las capacidades de las
herramientas de uso comn. Si bien no existe una definicin formal basada en el
tamao existe, estos conjuntos de datos alcanzan
tpicamente terabytes (TB), petabytes (PB), o incluso exabytes de tamao. SAP HANA
se ha posicionado como solucin a los problemas de big data en el extremo inferior de
esta escala.6 En el lanzamiento HANA comenz con 1 TB de RAM que soporta hasta 5
TB de datos sin comprimir. A finales de 2011 el hardware de 8 TB de RAM se dispuso
que el apoyo de hasta 40 TB de datos sin comprimir. SAP propiedad de Sybase IQ, con
139

su ms maduro MapReduce funcionalidad similar se ha citado como una forma

potencialmente mejor para grandes conjuntos de datos.
Otras bases de datos comercializados por SAP
SAP todava ofrece otros productos de bases de datos:

MaxDB
Sybase IQ
Sybase ASE
SQL Anywhere

Como empresa agnstica de base de datos, SAP tambin revende bases de datos de
proveedores como IBM, Oracle y Microsoft para sentarse bajo su ERP Business Suite.
Competencia
Ofreciendo su propia solucin de base de datos para apoyar su Business Suite ERP SAP
se pone en competencia directa con algunos de sus socios ms grandes
de IBM, Microsoft y Oracle. Entre los productos ms destacados que compiten son:

accesorios

Microsoft Parallel Data warehouse (Microsoft)

Active Enterprise Data Warehouse 5600 (Teradata)

Exadata Database Machine (Oracle)

Exalytics In-Memory Machine (Oracle)

Greenplum Data Computing Appliance (EMC)

Netezza Data Warehouse Appliance (IBM)

Vertica Analytics Platform (HP)

En sistemas de memoria de bases de datos

Kognitio Analytical Platform (Kognitio)

SolidDB (IBM)

Times Ten (Oracle)

Terracotta BigMemory (Software AG)

Manifact (Manifact)

Estrategia de planificacin de la plantilla

SAP Business Objects Strategic Workforce Planning (SWP) fue una de las primeras
aplicaciones de SAP que se re disearon para aprovechar las capacidades de HANA.
SWP en HANA est dirigido a ejecutivos de recursos humanos que quieren simular
modelos de la fuerza de trabajo en tiempo real, teniendo en cuenta el volumen de
negocios, la jubilacin, la contratacin y otras variables.
Smart Meter Analytics
140

En septiembre de 2011 SAP lanz su herramienta Smart Meter Analytics. Se trata de

ayudar a las empresas de servicios pblicos con grandes despliegues de medidores
inteligentes para gestionar y utilizar la gran cantidad de datos generados por el
medidor de este tipo.
Socios de Hardware
A partir de 2012, los siete socios tienen soluciones de hardware certificados para
HANA. En orden alfabtico son:
1.
2.
3.
4.
5.
6.
7.

Cisco
Dell
Fujitsu
Hitachi
HP
IBM
NEC

Comunidad de Desarrolladores
El punto central de la comunidad de desarrolladores en la plataforma SAP HANA es
SAP HANA Centro de desarrollo o "el DevCenter". El DevCenter ofrece informacin
general, los materiales educativos, foros de la comunidad, adems de acceso a la base
de datos SAP HANA con licencias libres:

Evaluacin durante 30 das,

licencia de desarrollador gratuita de las imgenes alojadas en la nube
pblica.

El acceso a algunos materiales y caractersticas pueden requerir inscripcin

gratuita.
En septiembre de 2011 SAP anunci sus intenciones de asociarse
con EMC y VMware para permitir una HANA basada en la infraestructura de
aplicaciones en nube. Esta plataforma como servicio (PaaS) ofrece HANA DB-as-aservice junto con una opcin de pila basada en Java o ABAP base. Las aplicaciones
creadas para cualquiera pila tendr acceso a travs de las API de DB HANA a travs de
una variedad de APIs. El enfoque basado en Java, con nombre en cdigo River Project,
se basa en la NetWeaver 7.3.1 servidor de aplicaciones Java. El enfoque basado en
ABAP est diseado ms para la base de usuarios de SAP - por ejemplo en la suite SAP
Business ByDesign de aplicaciones empresariales como ERP, CRM y gestin de la
cadena de suministro.
Arquitectura
En su forma ms bsica, la arquitectura del sistema de base de datos HANA tiene los
siguientes componentes:

Cuatro servicios de gestin

141

El componente de gestin de conexin y administra las sesiones Sesin /

conexiones para clientes de bases de datos. Los clientes pueden utilizar una
variedad de idiomas para comunicarse con la base de datos HANA.

El componente Administrador de transacciones ACID ayuda con el

cumplimiento mediante la coordinacin de las operaciones, el control y el
seguimiento de aislamiento transaccional de funcionamiento y
transacciones cerradas.

El componente de Administrador de autorizacin se encarga de toda la

seguridad y la acreditacin (ver Seguridad ms adelante).

El componente de Metadata Manager gestiona todos los metadatos, tales

como definiciones de tablas, vistas, ndices y la definicin de las funciones
de secuencias de comandos SQL. Todos los metadatos, incluso de
diferentes tipos, se almacena en un catlogo comn.

Tres componentes Motor de base de datos

Componente del clculo de motor se ejecuta en los modelos de clculo

recibidos de SQL Script (y otros) los compiladores.

El Optimizador de componentes y el Plan Generador analiza y optimiza las

solicitudes de cliente.

Componentes del motor de ejecucin invoca los distintos In-Memory

procesamiento de los motores y rutas resultados intermedios entre los
pasos de ejecucin consecutivos basados en el plan de ejecucin
optimizado.

Tres Motores de almacenamiento en memoria

Motor Relacional

El motor de grficas

Motor de texto

Capa de persistencia
Almacn Columnas y filas
El motor relacional admite filas y columnas orientadas a representaciones fsicas de
tablas relacionales. Un administrador de sistema especifica en tiempo de definicin si
una nueva tabla se va a almacenar en una fila o en un formato orientado a columnas.
Tablas de fila y columna de la base de datos orientada pueden ser perfectamente
combinadas en una instruccin SQL, y posteriormente, las tablas pueden moverse de
una representacin a la otra.
El almacn de fila est optimizado para escritura concurrente y las operaciones de
lectura. Mantiene todas las estructuras de ndices en memoria en lugar de persistir en
142

el disco. Utiliza una tecnologa que est optimizada para la concurrencia y escalabilidad
en sistemas multincleo. Por lo general, los metadatos o datos a los que raramente se
accede se almacenan en un formato de fila-orientada.
Comparado con esto, el almacn de columna est optimizado para el rendimiento de
las operaciones de lectura. Orientadas a columna de datos se guarda en un formato
altamente comprimido con el fin de mejorar la eficiencia de uso de recursos de
memoria y para acelerar la transferencia de datos desde el almacenamiento a la
memoria o de la memoria de la CPU. El almacn de columna ofrece ventajas
significativas en trminos de compresin de datos que permite el acceso a mayores
cantidades de datos en la memoria principal. Tpicamente, los datos de usuario y la
aplicacin se almacena en un formato orientado a columnas beneficindose de la alta
tasa de compresin y del acceso altamente optimizado para las consultas de seleccin
y agregacin.
Biblioteca de funciones de empresas
La Biblioteca de funciones de negocios es una biblioteca reutilizable (similar a
los procedimientos almacenados) para aplicaciones de negocio integradas en el motor
de clculo HANA. Esto elimina la necesidad para el desarrollo de tales clculos a partir
de cero. Algunas de las funciones que se ofrecen son:

Depreciacin anual
Tasa interna de retorno
Valor actual neto
Biblioteca de Anlisis Predictivo
Al igual que en la Biblioteca de funciones de de negocios, la biblioteca de Anlisis
Predictivo es una coleccin de funciones analticas compiladas para anlisis predictivo.
Entre los algoritmos soportados son:

K-means
Anlisis ABC
C4.5
Regresin lineal

Integracin R
R es un lenguaje de programacin diseado para el anlisis estadstico. Una iniciativa
de cdigo abierto (bajo el Proyecto GNU) R est integrado en HANA DB a travs de TCP
/ IP. HANA utiliza SQL-SHM, una memoria compartida basada en el intercambio de
datos para incorporar estructura vertical R de datos. HANA tambin introduce guiones
R equivalentes a las operaciones de bases de datos nativas como unin o
agregacin.20 Los desarrolladores de HANA pueden escribir scripts R en SQL y los tipos
se convierten automticamente en HANA. Guiones R pueden ser invocados con mesas
HANA como la entrada y salida en la SQLScript. Los entornos R necesitan ser
desplegados para utilizar R en SQLScript.

143

Almacenamiento
La capa de Persistencia es responsable de la durabilidad y la atomicidad de las
transacciones. Gestiona los datos y los volmenes de registro en el disco y proporciona
interfaces para la escritura y lectura de datos que son aprovechados por todos los
motores de almacenamiento. Esta capa se basa en la capa de persistencia probada de
MaxDB. La capa de persistencia asegura que la base de datos se restaura al estado
comprometido ms reciente despus de un reinicio y las transacciones que estn
completamente ejecutadas o deshecho por completo. Para lograr esto de manera
eficiente, se utiliza una combinacin de escritura anticipada de registros, paginacin en
la sombra y puntos de retorno.
Registro y transacciones
La capa de persistencia HANA gestiona el registro de todas las transacciones con el fin
de proporcionar copia de seguridad y restaurar las funciones estndar. La misma capa
de persistencia gestiona tanto filas como columnas de almacenamiento. Ofrece puntos
regulares de guardado y el registro de todas las transacciones de base de datos desde
el ltimo punto de guardado.
Concurrencia y bloqueo
HANA DB utiliza el control de concurrencia multiversin (MVCC) principio de control de
concurrencia. Esto permite transacciones de larga duracin de lectura sin bloquear las
transacciones de actualizacin. MVCC, en combinacin con un mecanismo de tiempo
de viaje, permite consultas temporales en el interior del motor relacional.
Recuperacin de datos
Datos no estructurados
Dado que las aplicaciones cada vez requieren ms el enriquecimiento de datos
normalmente estructurados con datos semi-estructurados, no estructurados, o texto,
la base de datos HANA proporciona un motor de bsqueda de texto, adems de su
clsico motor de consultas relacionales.
El motor grfico soporta la representacin y el procesamiento de grficos de datos con
un sistema de tipificacin flexible. Una nueva estructura de almacenamiento dedicado
y un conjunto de operaciones de base optimizado se introducen para permitir
operaciones eficientes grfico a travs del dominio especfico del lenguaje WIPE
consulta y manipulacin. El motor grfico est en condiciones de apoyar de manera
ptima las aplicaciones de planificacin de recursos con un gran nmero de recursos
individuales y complejas interdependencias mash-up. El sistema de tipos flexibles,
adems, apoya la ejecucin eficiente de los procesos de transformacin, como la
limpieza de datos pasos en los escenarios de almacenamiento de datos, para ajustar el
tipo de las entradas de datos individuales, y permite la integracin ad-hoc de los datos
de diferentes fuentes.
El motor de indexacin de Texto proporciona texto y capacidades de bsqueda, como
bsqueda exacta de palabras y frases, bsqueda difusa (que tolera errores de
escritura), y la bsqueda lingstica (que encuentra variaciones de palabras basado en
reglas lingsticas). Adems, los resultados de la bsqueda pueden ser clasificados y
federar capacidades de bsqueda que permiten bsquedas de varias tablas y vistas.
Esta funcionalidad est disponible para las aplicaciones especficas a travs de
144

extensiones de SQL. Para los anlisis de texto, un servidor separado que usa un
preprocesador que aprovecha la biblioteca SAP Text Analysis.
Operaciones, administracin
Copia de seguridad y recuperacin
Inmediatamente despus del lanzamiento, con Service Pack 2, copia de seguridad y la
capacidad de recuperacin se limita a la recuperacin de ltimos datos back-up o
mayor respaldo o recuperacin en el ltimo estado antes del accidente. Las
caractersticas adicionales de seguridad fueron implementadas en el Service Pack 3.
Estos incluan una opcin de registro completo Copia de seguridad automtica o
manual y un Punto de In-Time de opcin de recuperacin. Las nuevas caractersticas
incluyen la administracin de un nuevo catlogo de copia de seguridad que registra
todos los intentos de copia de seguridad.
Modelado
Vistas no materializadas
Una consecuencia de la capacidad de Hana para trabajar con una base de datos
completa en la memoria es que los clculos de KPI computacionalmente intensivas se
puede completar rpidamente cuando se compara con bases de datos basadas en
disco. Pre-agregacin de datos en cubos o almacenamiento de resultados en vistas
materializadas ya no es necesario.
Compositor de informacin
SAP HANA Informacin Composer es una herramienta basada en web que permite a
los usuarios cargar datos en una base de datos HANA y manipular los datos mediante
la creacin de Visitas de la Informacin. En la parte de adquisicin de datos, los datos
se pueden cargar, previsualizar y limpiar. En los objetos de la porcin de manipulacin
de datos se puede seleccionar, combinar y se coloca en Visto informacin que puede
ser utilizada por las herramientas de SAP BusinessObjects.
Seguridad
Los permisos y roles de seguridad son gestionados por el Administrador de
autorizacin en HANA DB. Adems de los privilegios de base de datos estndar, tales
como crear, actualizar o eliminar HANA DB tambin es compatible con los privilegios
analticos que representan los filtros o drill-down limitados en las consultas, as como
los privilegios de acceso de control de acceso a los valores con ciertos atributos. Los
componentes de HANA DB invocan al Administrador de autorizacin cada vez que
necesitan comprobar los privilegios de usuario. La autenticacin se puede hacer ya sea
por la propia base de datos o se delega a un proveedor de autenticacin externo, tal
como un directorio LDAP.
Rendimiento y escalabilidad
SAP ha declarado que los clientes han obtenido ganancias tan altas como 100.000 x en
el rendimiento de consultas mejorado en comparacin con los sistemas basados en la
base de datos de disco. Sin embargo, ha habido una auditora independiente de tales
afirmaciones.

145

Puntos de referencia
En marzo de 2011, WinterCorp (una empresa independiente especializada en pruebas
a gran escala de gestin de datos) fue retenido por SAP para auditar especificaciones
de la prueba y los resultados de pruebas de funcionamiento. La prueba utilizaba
conceptos similares a los de la industria estndar TPC-H de referencia. Los datos de
prueba tenan entre 600 millones y 1,8 mil millones de filas y la prueba corri cinco
tipos de consultas analticas y tres tipos de operacin de consulta de informes. El
rendimiento combinado de las consultas de informes analticos y operativos funcion
entre 3007 consultas / hora y 10.042 consultas por hora, dependiendo del volumen de
datos.
Arquitectura escalada
Para habilitar la escalabilidad en trminos de volmenes de datos y el nmero de
solicitudes de aplicaciones, la base de datos HANA apoya la ampliacin y la escala de
salida. Por ampliacin, todos los algoritmos y estructuras de datos estn diseados
para trabajar en los grandes ncleos mltiples de arquitecturas especialmente
centrados en la conciencia de cach de estructuras de datos y fragmentos de cdigo.
Para escalada, la base de datos HANA est diseada para ejecutarse en un clster de
mquinas individuales que permitan la distribucin de datos y procesamiento de
consultas a travs de mltiples nodos.
Referencias
sap.com. SAP HANA Information Composer
cisco.com. SAP High-Performance Analytic Appliance
dell.com. Dell Strengthens ERP Solutions Portfolio with PowerEdge R910 Server Now
Certified to Run SAP In-Memory Appliance (SAP HANA)
epiuse.com. HANA and the FUTURE of Business Intelligence

146

Taller Social Media

Social Media
lvaro Gomariz Lpez 64260

147

Introduccin.............................................................................................................................. 149
Blogger .................................................................................................................................. 150
WordPress............................................................................................................................. 153
Share ......................................................................................................................................... 155
Flickr ...................................................................................................................................... 155
Deezer ................................................................................................................................... 157
Discuss....................................................................................................................................... 159
PhPBB .................................................................................................................................... 159
Caractersticas ................................................................................................................... 159
Requerimientos Mnimos ................................................................................................. 160
4Chan .................................................................................................................................... 161
Commerce ................................................................................................................................. 162
Groupon ................................................................................................................................ 162
Locatin..................................................................................................................................... 164
FourSquare ............................................................................................................................ 164
Network .................................................................................................................................... 165
Hi5 ......................................................................................................................................... 165
Badoo .................................................................................................................................... 166
Games ....................................................................................................................................... 168
Zynga ..................................................................................................................................... 168
Habbo .................................................................................................................................... 169
Referencias ............................................................................................................................... 170

148

Introduccin
En este taller vamos a analizar algunas de las pginas mencionadas por el estudio de Social
Media realizado por la consultora FredCavazza y que podemos encontrar en su web
fredcavazza.net.

Para realizar este estudio iremos examinando alguna de las pginas que se mencionan en cada
de las diferentes secciones en las que divide el conjunto de pginas que podemos encontrar en
internet.

149

Publish
Vamos a comenzar hablando de las pginas dedicadas a la publicacin, ya sea de artculos
personales o de otras fuentes, imgenes, audio, vdeo, etc. La primera que vamos a comentar
es Blogger.

Blogger

Blogger es un servicio creado por Pyra Labs, y adquirido por Google en el ao 2003, que
permite crear y publicar una bitcora en lnea. Para publicar contenidos, el usuario no tiene
que escribir ningn cdigo o instalar programas de servidor o de scripting.
Los blogs alojados en Blogger generalmente estn alojados en los servidores de Google dentro
del dominio blogspot.com. Hasta el 30 de Abril de 2010, Blogger permiti publicar bitcoras a
travs de FTP.
Funcionalidades:

Editor de entradas WYSIWYG, que pueden ser programadas.

Diseo de plantillas, que permiten personalizar el aspecto del blog sin saber cdigo.

Publicacin en dominios personalizados, cambiando la direccin de publicacin por

defecto en blogspot.com a cualquier dominio de internet.

Adiccin de imgenes y videos a travs del editor de entradas.

Acceso pblico o restringido al blog.

150

Archivo anual, mensual, semanal, o diario de entradas de blog.

Plantillas dinmicas, que permiten visualizar el contenido de un blog a travs de una

interfaz que aprovecha las bondades de jQuery, HTML5 y CSS3.

Comentarios opcionales en entradas y pginas del blog.

Pginas asncronas con contenido esttico.

Publicacin a travs de telfonos celulares mediante mensajes de texto SMS, mensajes

de texto multimedia MMS y aplicaciones oficiales para dispositivos con sistemas
operativos iOS o Android.

Publicacin a travs de correo electrnico.

Sindicacin RSS de entradas del blog, entradas por etiquetas, comentarios del blog,
comentarios por entradas, pginas estticas y comentarios por pginas.

Integracin con aplicaciones de terceros, as como una API de datos para desarrollar
aplicaciones propias.

Integracin:

La barra de Google tiene una funcionalidad llamada Blog This! que permite a los
usuarios de Blogger publicar entradas directamente hacia sus blogs.

Se pueden publicar entradas desde Microsoft Word 2007, que provee una aplicacin
nativa de publicacin en bitcoras en mltiples plataformas, entre ellas, Blogger.

Blogger se puede integrar con Google AdSense y con Amazon Associates para
monetizar el blog y generar ingresos.

Blogger permite la administracin de blogs entre mltiples autores, permitiendo crear

blogs grupales o colaborativos.

Google Docs y lbumes Web de Picasa permiten publicar contenido directamente

hacia Blogger.

Windows Live Writer, una aplicacin independiente para Windows Live Suite, permite
publicar directamente hacia Blogger.

Limites:

Nmero de blogs: Hasta 100 por cada cuenta.

Nmero de publicaciones por blog: Ilimitado.

Tamao de publicaciones individuales: Sin lmite.

151

Tamao de pginas: Las pginas individuales, como la pgina principal o las pginas de
archivos, en las que se suelen mostrar varias entradas del blog, tienen un lmite de
1Mb en tamao.

Nmero de comentarios: Las entradas individuales y las pginas estticas no tienen

lmite de comentarios.

Nmero de imgenes: Hasta 1Gb de almacenamiento compartido con el servicio

lbumes Web de Picasa.

Tamao de las imgenes: Si se publica a travs de Blogger Mvil las imgenes pueden
tener un tamao mximo de 250Kb. Por otros medios de publicacin no hay lmite en
tamao.

Miembros del equipo: Un blog puede tener hasta 100 miembros con roles de
administradores o autores.

152

WordPress

WordPress es un sistema de gestin de contenido enfocado a la creacin de blogs (sitios web

peridicamente actualizados) bajo licencia GPL y cdigo modificable. WordPress se ha
convertido junto a Movable Type en el sistema de gestin de contenidos ms popular de la
blogosfera, y en el ms popular con respecto a cualquier otro sistema de gestin de contenido
de aplicacin general.
WordPress nos ofrece dos variantes de su aplicacin para la creacin de blogs:
Una versin gratuita alojada en los servidores de WordPress en www.wordpress.com.

Una versin profesional, de pago, para alojar en servidores propios o en los de

WordPress en www.wordpress.org.

WordPress, naci del deseo de construir un sistema de publicacin personal, elegante y con
una buena arquitectura, de manera que pone especial atencin a la esttica y a la usabilidad.
En principio, est configurado par usar una bitcora o weblog por sitio o instalacin, pero
tambin es posible, tener varios blog con varios o una nica base de datos.
Las causas del gran crecimiento de WordPress son, entre otras, su licencia, su facilidad de uso
y sus caractersticas como gestor de contenidos. Otro motivo a considerar sobre su xito y
extensin, es el gran nmero de desarrolladores y diseadores, que se encargan de
desarrollarlo.
Caractersticas principales:
Estructura:
WordPress, en principio, es un sistema de publicacin web basado en entradas
ordenadas por fecha, entre otras muchas posibilidades adems de pginas estticas.
La estructura visual del sitio depende de un sistema de plantillas, independiente del
contenido en s.

La filosofa de WordPress apuesta decididamente por la elegancia, la sencillez y las

recomendaciones del Wordl Wide Web Consortium, pero depende siempre de la
plantilla a usar.

La gestin /ejecucin corre a cargo del sistema de administracin, con los plugins y los
widgets que usan las plantillas.

153

Funcionalidades:
Fcil instalacin, actualizacin y personalizacin.

Mltiples autores o usuarios, junto con sus roles o perfiles que establecen distintos
niveles de permisos.

Mltiples blogs o bitcoras.

Capacidad de crear pginas estticas.

Permite ordenar artculos y pginas estticas en categoras, subcategorias y etiquetas.

Cuatro estados para una entrada (post). Publicado, borrador, esperando revisin y
privado, adems de uno adicional: protegido con contrasea.

Publicacin mediante email.

Importacin desde Blogger, Blogware, Dotclear, Greymatter, Livejournal, Movable

Type y Typepad, Textpattern y desde cualquier fuente RSS. Se est trabajando para
poder importar desde pMachine y Nucleus adems de la importacin a travs de
scripts o directamente de base de datos.

Permite comentarios y herramientas de comunicacin entre blogs.

Distribucin de artculos mediante RDF, RSS y Atom.

Gestin y distribucin de enlaces.

Subida y gestin de adjuntos y archivos multimedia.

Admite plugins.

Admite plantillas y widgets.

Bsqueda integrada.

Integracin.

Multiblogging:
Wordpress soporta un blog por instalacin, pero es fcil administrar y configurar
mltiples blogs desde una sola aplicacin.

Plantillas:
Las plantillas de WordPress son plantillas de diseo que sirven para establecer la apariencia y
estructura de tu blog.
Existe una gran comunidad dedicada al diseo de estas plantillas que se suelen listar en el sitio
de WordPress, una vez que han sido comprobadas y aprobadas oficialmente.
Widgets:
WordPres incorpora un sistema de widgets para sus plantillas que ofrece numerosas
posibilidades y flexibilidad para el diseo y estructura de sus blogs.
Plugins:
154

Hay una ingente cantidad de plugins que potencian el uso de WordPress ms all de una
simple bitcora y que lo hace en un sistema flexible y prcticamente de propsito general.

Share
A continuacin vamos a hablar de algunas pginas relacionadas con la comparticin de vdeos,
canciones, audios o imgenes.

Flickr

Flickr es
un sitio
web que
permite
compartir fotografas y videos en lnea.

almacenar,

ordenar,

buscar,

vender y

Actualmente Flickr cuenta con una importante comunidad de usuarios que comparte
las fotografas y videos creados por ellos mismos. Esta comunidad se rige por normas de
comportamiento y condiciones de uso que favorecen la buena gestin de los contenidos.
La popularidad de Flickr se debe fundamentalmente a su capacidad para administrar imgenes
mediante herramientas que permiten al autoretiquetar sus fotografas y explorar y comentar
las imgenes de otros usuarios.
Flickr cuenta con una versin gratuita y con otra de pago, llamada pro. Actualmente, los
suscriptores de cuentas gratuitas pueden subir videos en calidad normal y 100 MB en fotos al
mes, con un mximo de 200 imgenes como tope por cada cuenta gratuita. Luego de
alcanzado ese lmite de 200 imgenes, slo permanecen visibles las ltimas 200 imgenes
155

subidas, es decir, las primeras cargas pasan a estar ocultas, pero no son eliminadas. Esto se
remedia actualizando la cuenta a una Pro. De igual manera, un usuario con cuenta gratuita
slo puede cargar imgenes con una resolucin mxima de 1024 x 768 pxeles. Es decir, si el
usuario carga una imagen de mayor resolucin, el sitio la redimensiona a la resolucin
anteriormente sealada.
Por otro lado, los suscriptores de cuentas Pro disponen de espacio de almacenamiento y ancho
de banda ilimitado, as como la opcin de subir videos en HD y la posibilidad de cargar y
visualizar imgenes en su resolucin original. Hoy, una actualizacin a cuenta Pro bordea los 24
dlares estadounidenses.

Principales caractersticas de la cuentas Pro y gratuitas:

Cuentas Pro:

Cargas ilimitadas de fotos (20 MB por foto)

Cargas ilimitadas de videos (mximo de 90 segundos, 500 MB por video)
La capacidad de mostrar video HD
Cantidad ilimitada de almacenamiento
Cantidad ilimitada de ancho de banda
Archivado de imgenes originales en alta resolucin
La capacidad de reemplazar una foto
La posibilidad de publicar cualquiera de tus fotos o videos en hasta 60 murales de grupos
Exploracin y uso compartido sin anuncios publicitarios
La posibilidad de ver estadsticas de referenciadores y conteo de visitas

Cuentas gratuitas:

La cuenta no es del todo gratuita, te exige un numero de mvil para enviarte el cdigo de
activacin a travs del sistema de micropagos por recepcin de sms.
Lmite de cargas de fotos mensuales de 100 MB (10 MB por foto)
2 cargas de videos por mes (mximo de 90 segundos, 150 MB por video)
Vistas de las galeras limitadas a las 200 imgenes ms recientes
La posibilidad de publicar cualquiera de tus fotos en hasta 10 murales de grupos
Acceso nico a imgenes de tamao menor (aunque los originales se guardan en caso de
que actualices la cuenta luego)

En noviembre de 2008, Flickr albergaba ms de tres mil millones de imgenes. Cada minuto se
agregan a Flickr alrededor de 5000 imgenes.

Funcionalidades.
El sistema de Flickr permite hacer bsquedas de imgenes por etiquetas, por fecha y por
licencias de Creative Commons.
Otras funcionalidades son los canales RSS y Atom, y la API que permite a desarrolladores
independientes crear servicios y aplicaciones vinculados a Flickr. El servicio se basa en las
caractersticas habituales del HTML y el HTTP, permitiendo que sea usable en mltiples
plataformas y navegadores. La interfaz de etiquetacin y edicin de texto utiliza AJAX, que
156

tambin es compatible con la gran mayora de los navegadores. Un componente no esencial de

Flickr, Organizr, se basa en la tecnologa de Adobe Flash, la cual aunque es ampliamente
disponible, no es plenamente abierta. Las fotografas o imgenes y videos tambin pueden
enviarse a travs del correo electrnico.

Deezer

Deezer es un sitio web que ofrece msica de forma gratuita y limitada a 2 horas de escucha
por da para usuarios estndar, e ilimitada para usuarios Premium. Se cre
en Francia durante junio de 2006 por dos jvenes llamados Daniel Marhely y Jonathan
Benassaya. Deezer es el lder en Europa con ms de 10 millones de usuarios y est disponible
en 16 idiomas.
ara disfrutar de los servicios de la pgina se debe descargar el lector multimedia Adobe Flash
Player, y una vez registrado, se puede escuchar distintas radios, crear listas de reproduccin,
carpetas y toda la msica que el usuario desee en modo streaming, es decir, sin descargarla.
Cabe destacar que Deezer se incluye en la web 2.0, ya que el usuario puede comunicarse a
travs de mensajes privados con toda la comunidad, y cuenta con un blog y un foro para
comentar y compartir opiniones musicales u otros asuntos en esta comunidad. Paralelamente,
la comunidad forma una red social a travs del compartimiento de gustos musicales, los
comentarios y la ficha del usuario.
Cada miembro puede escuchar los playlists de otros inscritos en el sitio web, ponerles notas,
copiarlos o hacerse fan, como para los artistas y los lbumes. Se puede en todo momento,
entrar en contacto con los amigos que tengan una cuenta en el sitio web o con los fans de los
mismos artistas.

157

Entre sus aplicaciones ms sociales, encontramos la posibilidad de subir canciones siempre

que no superen los 10MB. Asimismo, estas canciones pasan una serie de filtros y una vez
comprobadas aparecen en las listas de los distintos usuarios.
La navegacin por la pgina Web es muy sencilla con lo que el usuario tiene muy fcil acceso a
todo lo que quiera buscar. En caso de que el usuario busque una cancin y sta no est en los
servidores, siempre se podr apretar la opcin pedir cancin.
Deezer tiene un acuerdo con SACEM, una entidad francesa que gestiona los derechos de
autor para compartir ingresos con las canciones va publicidad o venta de las canciones
mediante Itunes o Amazon.

Caractersticas:

Permite enviar msica, en un clic e instantneamente sobre 4.5 millones de ttulos.

Permite acceder a radios temticas.

Usar radios inteligentes.

Estar informado sobre los artistas, lbumes y singles.

Transportar gustos y listas musicales con amigos va la comunidad Deezer.

Escuchar sin lmite todas las novedades.

Crear universos musicales y ambientes sonoros.

Descubrir nuevos talentos.

Ver vdeos.

Descargar y almacenar archivos MP3.

158

Discuss
A continuacin vamos a hacer referencia a aquellas pginas que nos permiten la creacin de
foros en internet para las posteriores discusiones sobre los temas que se traten.

PhPBB

PhpBB es un sistema de foros gratuito basado en un conjunto de paquetes de cdigo

programados en el popular lenguaje de programacin webPHP y lanzado bajo la Licencia
pblica general de GNU, cuya intencin es la de proporcionar fcilmente, y con amplia
posibilidad de personalizacin, una herramienta para crear comunidades. Su nombre es por la
abreviacin de PHP Bulletin Board, tambin es conocido como Phpbb3 por su ltima versin.
Funciona sobre basesde datos basadas en el lenguaje SQL como MySQL, PostgreSQL, Microsoft
SQL Server, otras como Microsoft Access y, con una modificacin, tambin sobre Oracle,
donde almacena la informacin para poder recuperarla en cada peticin del lenguaje.

Caractersticas

Gratuito y de cdigo abierto.

159

Creacin ilimitada de foros y subforos

Mejoramiento en el rendimiento desde su versin anterior
Uso de cach para todos los archivos del foro
Registro de usuarios y personalizacin de cada campo
Mensajes privados a mltiples usuarios y carpetas de mensajes
Bsqueda de temas y usuarios
Panel de administrador y de moderador por separado
Creacin de encuestas con mltiples opciones
Perfil para cada usuario con sus datos personales
Aplicar Ban por tiempo definido o indefinido
Los usuarios pueden tener amigos o Ignorados, los mensajes de ignorados son ocultados
automticamente
Personalizacin de BBCode
Creacin de grupos de usuarios, moderadores o administradores
Advertencia y reportes por usuarios a moderadores ante posts indebidos
Poder crear nuevos campos para el perfil de usuario
Poder editar, desde el panel de administracin, los archivos del Tema usado
Mltiples archivos adjuntos
Mods y estilos gratuitos desarrollados por la comunidad
Fcil creacin y asignacin de rangos por posts o por grupos
Log de acciones de usuarios, moderadores y administradores
Respaldo y restauracin de la base de datos a travs del panel de administrador

Requerimientos Mnimos
PHP

Versin igual o mayor a la 4.3.3

Base de datos

MySQL 3.23+/4.0+/4.1+/5.0+
MySQLi (MySQL 4.1+/5.0+)
PostgreSQL 7.3+
SQLite
Firebird 1.5+/Interbase 7.1+
Oracle
MSSQL 2000+
MSSQL 2000+ (ODBC)

PhpBB Group, es el nombre del grupo que mantiene este sistema de foros, est formado por la
propia comunidad y sus aportaciones, con la intencin de promover el software libre.
Adems es conocido por sus numerosas vulnerabilidades, que son parchadas a los pocos das
de ser reportadas, quizs muy en parte debido a su gran popularidad, por ello, es muy
recomendable actualizar la versin de phpBB con cada paquete y modificaciones nuevas que
aparecen para evitar tener problemas con la seguridad del foro.

160

Actualmente, existe gran nmero de portales en los que se puede crear un foro en phpBB en
solo unos minutos, ya sea por su estabilidad o por su facilidad de uso, es el sistema de foros
ms conocido en la red.
En el ao 2005 numerosos virus informticos se propagaron de forma masiva por servidores
web aprovechando vulnerabilidades crticas de phpBB2 (versin antigua), en el 2006 todava se
identifican vulnerabilidades nuevas en phpBB.Es por ello la importancia de mantener cada foro
actualizado con los ltimos parches que saca el staff, muchos de ellos inmediatamente
despus de detectado el error.
El 13 de Diciembre de 2007 se libera la versin 3.0 conocida como Olympus y que pone fin a
los 5 aos de desarrollo desde la versin 2.0, a la cual ya le fue anunciado el trmino de su
soporte para el 1 de Febrero del 2009.

4Chan
4chan es un tabln de imgenes de idioma ingls lanzado el 1 de octubre de 2003.
Originalmente sus foros fueron usados para publicar imgenes y discutir sobre manga y anime.
Sus usuarios generalmente publican de forma annima y el sitio ha sido ligado a
las subculturas y activismo en Internet, el ms notable es el Proyecto Chanology.
Los usuarios de 4Chan han sido responsables por la creacin y popularizacin de memes como
los lolcats, rickrolling, "chocolate rain", pedobear y muchos otros. Su foro de temtica
libre, Random, es por mucho su caracterstica ms popular y destacada. Se conoce como /b/ y
las reglas de publicacin son mnimas. Gawker una vez bromeando exclam que leyendo /b/
se te derrite el cerebro.
La comunidad y cultura Anonymous del sitio a menudo ha provocado la atencin de los
medios. Para la planificacin de medios esta iniciativa es una prueba ms de que la
creatividad est en todas partes y de que los nuevos medios son menos accesibles
para agencias de publicidad.Los periodistas observaron como una direccin de Internet era
secuestrada por una broma, de tal forma que aparecieron imgenes de Rick Astley en lugar de
la pgina que era buscada; la coordinacin de ataques contra otros sitios web y usuarios de
Internet; y cubrieron la reaccin a amenazas de violencia que han sido publicadas en el sitio. El
peridico The Guardian una vez describi a la comunidad de 4chan como luntica, juvenil...
brillante, ridcula y alarmante.

161

Commerce
A continuacin vamos a referirnos a aquellas pginas destinadas al comercio y a la publicacin
de ofertas.

Groupon

Groupon es un sitio web de ofertas del da que presenta cupones de descuentos utilizables en
compaas locales y nacionales.
Groupon fue lanzado en noviembre de 2008 en Chicago, Estados Unidos, como primer
mercado. Luego, siguieron las ciudades de Boston, Nueva York y Toronto. Para octubre de
2010, Groupon serva a ms de 150 mercados en Amrica del Norte y 100 mercados en
Europa, Asia y Amrica Latina que, en conjunto, han congregado a 35 millones de usuarios
registrados.

162

La idea de Groupon fue creada por su actual CEO y nativo de Pittsburgh Andrew
Mason. Posteriormente, la idea obtuvo la atencin de su anterior empleador, Eric Lefkofsky,
quien provey $1 milln en capital semilla para desarrollar el concepto. En abril de 2010, la
compaa fue avaluada en$1,35 mil millones. Segn un estudio realizado por la asociacin de
mercadeo de Groupon publicado en la revista Forbes, Groupon est proyectando que la
compaa esta camino a llegar al mil millones de dlares en ventas ms rpido que cualquier
otra empresa antes.
Groupon posee numerosas operaciones internacionales, todas las cuales fueron originalmente
servicios similares de oferta del da; sin embargo, la mayora de ellas han sido posteriormente
rebautizadas con el nombre Groupon despus de su adquisicin; estas han incluido MyCityDeal
con base en Europa (adquirida el 17 de mayo de 2010), ClanDescuento sudamericano (22 de
junio de 2010), Beeconomic.com de Singapur, Qpod.jp de Japn y Darberry.ru de Rusia (ambos
el 17 de agosto de 2010). Recientemente, Groupon ha comprado el sitio web de oferta del da
indio Sosasta.com que fue renombrada en verano del 2011 como Crazeal dado que el dominio
groupon.in estaba ocupado. Las adquisiciones de uBuyiBuy permitieron el lanzamiento de
servicios bajo el nombre Groupon en Hong Kong, Singapur, Filipinas y Taiwn. Groupon
tambin compr GroupsMore.com en Malasia para expandir sus negocios a ese pas. Antes de
estas adquisiciones, Groupon haba comprado la compaa de tecnologa mvil Mob.ly.
Groupon est preparando una oferta pblica de venta de $25 mil millones en 2011. The Point,
Inc., la predecesora de Groupon compr la marca registrada "GROUP-ONS" de su creador en
febrero de 2008 bajo los trminos que permitan que el creador y primer registrador de la
marca continuaran usndola.

163

Locatin
A continuacin vamos a hablar de aquellos sitios web que nos permiten compartir la posicin
en la que nos encontramos.

FourSquare

Foursquare es un servicio basado en localizacin web aplicada a las redes sociales. La

geolocalizacin permite localizar un dispositivo fijo o mvil en una ubicacin geogrfica.
El servicio fue creado en 2009 por Dennis Crowley y Selvadurai Naveen; Crowley haba fundado
anteriormente Dodgeball, un proyecto similar que Google compr en 2005 y clausur en 2009,
reemplazndolo con Google Latitude. En diciembre de 2010 la compaa anunci haber
llegado a los 5 millones de usuarios. El 1 de septiembre de 2010, el Foro Econmico
Mundial anunci la empresa en su Pionero Tecnolgico para el 2011.
La idea principal de la red es marcar (check-ins) lugares especficos donde uno se encuentra e ir
ganando puntos por descubrir nuevos lugares; la recompensa son "badges", una especie de
164

medallas, y los "mayorships", que son ganadas por las personas que ms hacen "check-ins" en
un cierto lugar. A partir de la informacin que los usuarios han ido introduciendo, el servicio ha
ido evolucionando hacia un motor de recomendaciones que sugiere lugares interesantes de
manera inteligente.
La aplicacin, orientada principalmente a telfonos inteligentes, cuenta con versiones
para iOS, Android, Java, Windows Phone, Symbian, Blackberry y PS Vita.

Network
A continuacin vamos a hablar de las pginas que ofrecen un red de trabajo para sus usuarios.

Hi5

hi5 es una red social fundada por Ramu Yalamanchi (actual director general de la empresa hi5
Networks) y que fue lanzada en el 2003. Al finalizar el ao 2007 tena ms de 70 millones de
usuarios registrados,1 la mayora de ellos en Amrica Latina; adems, era uno de los 40 sitios
web ms visitados del mundo.2 Bill Gossman fue nombrado CEO en abril de 2009,3 y Alex St.
John se integr como presidente y CTO en noviembre del mismo ao.4 A principios del 2010,
hi5 adquiri a la empresa de juegos "Big Six".5 La compaa adquiri 20 millones de dlares en
series A de Mohr Davidow Ventures, as como 15 millones de dlares en deudas de riesgo en
2007.
165

A principios de 2010, Hi5 comenz a evolucionar desde una red social hacia un sitio centrado
en juegos sociales y abiertos a los desarrolladores de nuevos juegos. Por lo tanto, presenta una
visin ms enfocada a usuarios particularmente jvenes. Quantcast inform entonces que Hi5
tena 2,7 millones mensuales de visitantes de Estados Unidos y 46,1 millones de visitantes a
nivel mundial, lo que representaba una drstica cada en el nmero de visitantes.
En diciembre de 2011, Hi5 fue vendida a Tagged, uno de sus competidores, por una suma no
revelada. "Me di cuenta de la oportunidad de Hi5 estaba en pasar de contestar a tus amigos a
conectarse con nueva gente en lnea por eso Tagged es el hogar perfecto para Hi5, ya que
contina demostrando ser un competidor importante en la vida social", dijo Alex St. John, ex
presidente y director de tecnologa de Hi5 en un comunicado de despedida.
Por su parte Greg Tseng, uno de los fundadores de Tagged, afirm que el acuerdo fue por el
dominio de Hi5 y la base de usuarios ms no por el personal aunque algunos empleados
continuarn. Dijo adems, que se fusionaran las bases de usuarios de ambas redes sociales
pero que se mantendran los sitios de Tagged y Hi5 por separado, por lo que los usuarios
podrn ingresar indistintamente por ambas pginas web.

Badoo

Badoo es una red social fundada en el ao 2006 por el empresario ruso Andreev Andrey. La
empresa, cuya sede se encuentra en Soho, Londres, es propiedad de una compaa ubicada
en Chipre. En septiembre de 2011, la revista britnica The Economist public un artculo
explicando la gran oportunidad que tiene Badoo de convertirse en "una de las empresas
lderes de Internet en Europa" debido al descubrimiento de una nueva y amplia cuota de
mercado. Badoo es una red social que permite conocer gente nueva a travs de Internet.
En mayo de 2012, la compaa anunci que haba alcanzado los 150 millones de usuarios
registrados en todo el mundo. El portal opera en 180 pases y su mayor actividad se encuentra
en Amrica Latina, Espaa, Italia y Francia. Badoo ocupa la posicin 52 de las pginas web ms
populares en Francia y el lugar 117 a nivel mundial, segn Alexa Internet. En julio de 2011,
Badoo.com ocup el puesto 59 de los sitios web ms visitados del mundo, con 46 millones de
visitas nicas mensuales, por delante de CNN.com (posicin 60). Badoo crece a un ritmo
trepidante: 150.000 nuevas personas se registran en la web cada da.

166

Un estudio realizado en 2009 sobre la proteccin de la privacidad en 45 redes sociales situ a

Badoo en una de las ltimas posiciones.
Andreev Andrey, fundador de Badoo, contina centrado la estrategia de Badoo, as como en el
desarrollo de nuevos productos y nuevos proyectos para que Badoo est continuamente
renovado y al da tanto en la web como en las plataformas mviles, segn explica la compaa
en su pgina web. Adems de ser fundador de Badoo, ha creado otras empresas online de gran
xito: SpyLog, Begun y Mamba.ru
Jessica Powell es la directora de desarrollo de negocio de la compaa. Powell cuenta con ms
de una dcada de experiencia en la industria digital, habiendo desempeado diversos puestos
ejecutivos tanto en Europa, como en los Estados Unidos y Asia. Antes de su incorporacin a
Badoo era Directora de Comunicacin y Asuntos Pblicos en Google, siendo responsable de la
estrategia de comunicacin interna y externa de la compaa en el rea de Asa y el Pacfico.
El director de negocio de la compaa es Andrew Parker. Parker es el encargado de gestionar
todos los aspectos financieros, jurdicos y administrativos de Badoo. Su trayectoria laboral ha
pasado por empresas como PricewaterhouseCoopers, Sony o V2 Music Group.
Entre las nuevas incorporaciones al equipo de Badoo se encuentra Benjaming Ling, exejecutivo
de Google, como director de operaciones de Google. Desde su puesto de Jefe de Operaciones,
Ling ser el encargado de supervisar el desarrollo de producto, ingeniera, desarrollo de
negocio y corporativo, as como las alianzas.

167

Games
A continuacin vamos a hablar los portales web que ofrecen ocio online para nuestro
ordenador o nuestros dispositivos mviles.

Zynga

Zynga es una empresa que desarrolla videojuegos sociales en lnea, basndose en los sistemas
de Web 2.0, ubicada en San Francisco, California, Estados Unidos. La compaa desarrolla
juegos parecidos a los de navegadores de forma autnoma y los presenta como
aplicaciones widget en redes sociales como Facebook o MySpace.
Zynga fue fundado en julio de 2007 por Mark Pincus, Michael Luxton, Eric Schiermeyer, Justin
Waldron, Andrew Trader, y Steve Schoettler. Recibi USD$29 millones en capital de riesgo de
otras firmas, en la que lideraba Kleiner Perkins Caufield & Byers en julio de 2008, tambin fue
168

propuesto al ex Jefe de la Oficina Creativa de Electronic Arts Bing Gordon en el tabln. En ese
tiempo, ellos tambin compraron YoVille, un gran juego social virtual en lnea.Segn su sitio
web, en diciembre de 2009 haba 60 millones de usuarios diarios nicos.
En febrero de 2010, Zynga tena 750 empleados.
El 17 de febrero de 2010, Zynga abre Zynga India en Bangalore, siendo stas las primeras
oficinas de la compaa fuera de Estados Unidos.8
El 18 de marzo 2010, Zynga confirma que abre su segunda oficina internacional en Irlanda.
El 7 de mayo, Michael Arrington de TechCrunch inform que Zynga amenazaba con salir
de Facebook a raz de la monetizacin de las aplicaciones de la red social a travs del uso de
los crditos de Facebook. Despus de negociaciones, varios de los juegos de Zynga alojados en
Facebook pasaron a cortar las notificaciones, incluyendo FarmVille. Zynga planea tomar
distancia de Facebook a travs de la creacin del nuevo sitio "Zynga Live", conocido como
Zlive. A junio de 2010, FarmVille tuvo 18 millones menos jugadores desde Facebook despus
de su pico mximo en marzo de 2010 de 85 millones de jugadores.
El 3 de junio de 2010, Zynga adquiere Challenge Games.

Habbo

Habbo (o Habbo Hotel) es una de las ms grandes redes sociales en Internet, operada
por Sulake Corporation. Habbo, enfocado a jvenes y adolescentes, presenta salas de chat con
formas de habitaciones de un hotel, renderizadas en proyeccin isomtrica. El registro y la
entrada a Habbo es totalmente gratuito, pero el acceso a servicios adicionales requieren la
compra de "Habbo Crditos" con dinero real, que es la moneda dentro del Hotel. Los "Habbo
Crditos" sirven para adquirir elementos extras dentro del hotel, por ejemplo el Habbo Club y
la capacidad de comprar muebles, denominados "furnis".
El servicio fue lanzado en el ao 2000, se ha llegado a expandir a 31 pases y el servicio est
disponible en 20 idiomas. El crecimiento de la red es tan grande que diariamente se unen ms
de 75.000 usuarios nuevos, se registran 9.500.000 visitantes nicos al mes y existen ms de
cien millones de cuentas creadas. Adems, el 90% de los visitantes tiene entre 13 y 18 aos.
En 2008, Habbo contaba con ms de 104 millones de cuentas creadas a nivel mundial, donde el
hotel espaol y latinoamericano proporciona ms de 15 millones de cuentas a la cifra total. La
169

cantidad de usuarios conectados simultneamente ms alta de todos los hoteles se ha

registrado en el de Espaa y Latinoamrica, donde han llegado a jugar aproximadamente
58.000 usuarios al mismo tiempo. Su cuenta en la popular red social Facebook ha tenido hasta
750.000 seguidores.
La historia comenz con una versin poco desarrollada en grfico. Cuando lo ms importante
de la programacin estuvo listo, Sulake apost por un nuevo hotel, esta vez, en Suiza. El 15 de
octubre de 2001 arranc una nueva amplificacin de Habbo Hotel. Se puede afirmar que fue
todo un xito, puesto que al cumplir un ao, nada ms y nada menos que 1.600.000 personas
ya se encontraban registradas. Hasta el ao 2005, Sulake proyectaba otros hoteles en 15
pases diferentes despus de una fuerte inversin de "3i Group" y "Taivas" en
aproximadamente 4 millones de dlares en la empresa.
Dentro de estos 15 pases estaba contenido el hotel espaol, que ms tarde abrira
en septiembre del 2003 como uno de los primeros en aparecer. Aos despus, se unieron
pases como China,Brasil, Canad, Francia, Italia, Alemania, Dinamarca, Holanda, etctera.

Referencias
http://es.wikipedia.org/wiki/Blogger
http://es.wikipedia.org/wiki/Wordpress
http://wordpress.org/about/gpl/
http://es.wikipedia.org/wiki/Flickr
http://blog.flickr.net/es/2008/11/04/3-mil-millones/
http://es.wikipedia.org/wiki/Deezer
http://blog-fr.deezer.com/
http://es.wikipedia.org/wiki/Phpbb
https://www.phpbb.com/community/viewtopic.php?f=14&t=900655
http://es.wikipedia.org/wiki/Groupon
http://www.groupon.com/about
http://es.wikipedia.org/wiki/Foursquare
https://es.foursquare.com/about/
http://es.wikipedia.org/wiki/Hi5
http://venturebeat.com/2009/11/30/hi5-recruits-a-beastly-gaming-veteran-as-its-president/
http://es.wikipedia.org/wiki/Badoo
170

http://www.economist.com/blogs/babbage/2011/09/social-networking
http://es.wikipedia.org/wiki/Zynga
http://company.zynga.com/about
http://es.wikipedia.org/wiki/Habbo
http://www.sulake.com/habbo

171

Taller Innovaciones tecnolgicas

Innovaciones tecnolgicas

lvaro Gomariz Lpez

64260

172

En este taller vamos a referenciar y analizar algunas de las pginas, y parte de sus
contenidos, consideradas referentes en el mundo de la tecnologa.

ELMUNDO.ES
Como ya sabemos se trata del peridico digital de El Mundo. En esta pgina podemos
encontrar, entre otros contenidos, noticias en cuanto a los avances tecnolgicos se
refiere.

Se encuentran noticias que van desde el desarrollo de nuevos equipos, siendo

tendencia ahora el desarrollo de Smartphones y Tablets, informacin acerca de las
operadoras de telefona espaolas,
informacin de actualidad sobre los
gigantes del sector como pueden ser
Google, Amazon, Facebook, as como
noticias del sector de los videojuegos.

173

ELECONOMISTA.ES

Otro de los muchos portales de internet que tratan temas tecnolgicos es el peridico
digital El Economista. Al igual que en el caso anterior, adems de muchos otros
ejemplos de peridicos digitales, cuenta con una seccin de tecnologa en la que
publican noticias en todo lo referente a este mundo. Datos acerca de nuevos
dispositivos, artculos sobre los ltimos acuerdos o proyectos de las empresas
dedicadas al sector, datos de actualidad de portales, empresas, pginas webs,
legislacin, etc.

174

Otra fuente de informacin sobre temas tecnolgicos y cientficos es el portal de la

prestigiosa, y de reconocimiento mundial, revista The Economist.

ECONOMIST.COM

Esta revista digital trata temas acerca de todos los avances tecnolgicos y cientficos de
todos los campos, desde el mundo de la medicina, hasta el de los dispositivos mviles
como smartphones y tablets.

175

Otra de las numerosas fuentes de informacin en lo referente a la tecnologa son los

blogs tecnolgicos. Los blogs permiten a cualquier persona subir informacin a la red,
hay que manejarlos con cuidado ya que la informacin que encontremos no tiene
porque ser todo lo rigurosa que debera.

TICBEAT.COM

En este blog encontraremos artculos referentes a todo lo que tiene que ver con
tecnologas mviles, internet y las grandes empresas del sector.

176

Por ltimo en este anlisis hacemos referencia a la informacin que podemos

encontrar en las pginas web de empresas propias del sector.

CISCO

En todas estas pginas podemos encontrar una seccin dedicada a artculos referentes
a asuntos tecnolgicos y como cada empresa plantea posibles soluciones a los
mltiples problemas que pueden surgir en este campo.

177