ISO 27k (Iso 27001)
Índice 1. ISO 27k .....................................................................................................
Views 332 Downloads 1 File size 1MB
Recommend stories
- Author / Uploaded
- dennis
Citation preview
Índice 1.
ISO 27k .................................................................................................................................. 3 1.1.
Como funciona ISO/IEC 27001. .................................................................................... 3
1.2. Proceso de implementación de la ISO/IEC 27001 – Enfoque de las seis fases o pasos esenciales del proceso. ............................................................................................................. 4 1.3.
Sectores más interesados en la implementación de este sistema ............................. 5
1.4.
Cómo implementar la ISO/IEC 27001 .......................................................................... 5
1.5.
Metodologías ................................................................................................................ 9
1.5.1.
Ciclo de Deming - Ciclo PDCA ............................................................................... 9
1.5.2.
Metodología Magerit. ........................................................................................ 13
1.6.
Sistema de Gestión de la Seguridad de la Información (SGSI). ................................. 15
1.7.
¿Para qué sirve un SGSI? ............................................................................................ 15
1.8.
Fases del SGSI ............................................................................................................. 16
1.8.1. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad 16 1.8.2.
La implementación de controles ........................................................................ 17
1.8.3.
Definición de un plan de tratamiento de los riesgos o esquema de mejora .... 17
1.8.4.
El alcance de la gestión....................................................................................... 18
1.8.5.
Contexto de organización ................................................................................... 18
1.8.6.
Partes interesadas .............................................................................................. 18
1.8.7.
Fijación y medición de objetivos ........................................................................ 19
1.8.8.
El proceso documental ....................................................................................... 19
1.9.
Alcance del SGSI.......................................................................................................... 19
1.10.
2.
Implantación de un SGSI ........................................................................................ 20
1.10.1.
Documentación Mínima ..................................................................................... 20
1.10.2.
Enfoque a Procesos............................................................................................. 20
CLOUD COMPUTING ........................................................................................................... 21 2.1.
Definición de Cloud Computing ................................................................................. 21
2.2.
Características esenciales del Cloud Computing ....................................................... 22
2.3.
Tipos de Cloud ............................................................................................................ 23
2.3.1.
Nubes públicas .................................................................................................... 23
2.3.2.
Nubes privadas ................................................................................................... 23
2.3.3.
Nubes hibridas .................................................................................................... 23
2.4.
Tipos de servicios ........................................................................................................ 24
2.4.1.
Software como Servicio (SaaS) ........................................................................... 24
2.4.2.
Plataforma como Servicio (PaaS) ....................................................................... 25
2.4.3.
Infraestructura como servicio (IaaS) .................................................................. 25
2.5.
Elementos comunes de la arquitectura de Cloud Computing ................................... 26
2.6.
Seguridad en Cloud ..................................................................................................... 26
2.6.1.
Problemas de seguridad y privacidad en Cloud Computing ............................. 27
2.7.
Amenazas .................................................................................................................... 28
2.8.
Riesgos ........................................................................................................................ 28
2.9.
Situación actual del Cloud Computing en el mundo ................................................. 31
2.9.1.
Situación actual del Cloud Computing en el Perú ............................................. 31
1. ISO 27k ISO: La ISO es una organización no gubernamental, establecida en 1947 cuya misión es promover el desarrollo de la estandarización y las actividades relacionadas, con el fin de facilitar el intercambio de servicios y bienes y promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico. ESTANDAR: Un estándar es una publicación que recoge el trabajo en común de los comités de fabricantes, usuario, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones, técnicas y mejores prácticas en la experiencia profesional, con el objetivo de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. La ISO/IEC 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO), la que a su vez describe cómo gestionar la seguridad de la información adecuada en una empresa. ISO/IEC 27001 puede ser a su vez implementada en cualquier tipo de organización, la misa que a su vez puede ser, con o sin fines de lucro, privada o pública, pequeña o grande. Está norma a su vez está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
1.1.
Como funciona ISO/IEC 27001.
Cabe mencionar que a su vez el eje central de ISO/IEC 27001 es proteger la confidencialidad, la integridad y disponibilidad de la información en una determinada empresa. Para dicha actividad se encarga de investigar y revisar cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego define lo que es necesario hacer para evitar que estos problemas se produzcan o se terminen manifestando (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO/IEC 27001 es basada en la gestión de riesgos: investigándolos y luego tratarlos sistemáticamente. En cuanto a las medidas de seguridad (o controles) que se van a implementar estos se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.
Ilustración 1: Estructura de ISO/IEC 27001.
1.2.
Proceso de implementación de la ISO/IEC 27001 – Enfoque de las seis
fases o pasos esenciales del proceso. Dentro del proceso de implementación de la ISO/IEC 27001, podemos mencionar el siguiente enfoque para su posible implementación como son los siguientes:
Definir una Política de seguridad de Información Definir el Alcance del Modelo Efectuar un Análisis y Evaluación del Riesgo Definir Opciones del Tratamiento del Riesgo Seleccionar Controles a Implantar Preparar un enunciado de Aplicabilidad
Ilustración 2: Fases del proceso de implementación.
1.3.
Sectores más interesados en la implementación de este sistema
Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información. Aunque la norma ISO 27001 es perfectamente válida como guía o base para la implementación de un SGSI en cualquier empresa u organización, con independencia de su tamaño o sector, resulta especialmente interesante, y casi necesaria, en los siguientes sectores: Salud. Sector público. Sector financiero.
1.4.
Cómo implementar la ISO/IEC 27001
Para poder implementar éste estándar se sigue un enfoque de procesos basado en el ciclo Deming del célebre Plan-Do-Check-Act(PDCA). El modelo está basado en un enfoque racional para su desempeño y su perfeccionamiento en el tiempo. Primero se exige que el modelo siga una serie de prerrequisitos para que se establezca, a través de la fase denominada “plan”. Luego de establecido el modelo se implementa y opera, siguiendo las lineamientos de la fase “do”. Luego que el modelo se ha implantado y está funcionando, se debe monitorear y revisar durante la fase “Check”. Por último, con lo observado en la fase “Do” se procede a “actuar” y tomar los correctivos necesarios.
Ilustración 3: Diagrama de fases del PDCA.
El proceso de certificación es la generación de un informe firmado por parte de un tercero (ajeno a la organización) que define que, de acuerdo con su criterio personal, dicha organización cumple o no cumple con los requerimientos establecidos en la normativa. Una certificación es importante para que una organización pueda mostrar al mercado que cuenta con un adecuado sistema de gestión de la seguridad de información. Una empresa certificada no implica que ya no tenga riesgos de seguridad de la información, sino que tienen un adecuado sistema de gestión de dichos riesgos y proceso de mejora continua. Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO/ IEC 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación. ISO/ IEC 27001 exige que el SGSI contemple los siguientes puntos:
Implicación de la Dirección. Alcance del SGSI y política de seguridad. Inventario de todos los activos de información. Metodología de evaluación del riesgo. Identificación de amenazas, vulnerabilidades e impactos. Análisis y evaluación de riesgos. Selección de controles para el tratamiento de riesgos. Aprobación por parte de la dirección del riesgo residual. Declaración de aplicabilidad. Plan de tratamiento de riesgos. Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo. Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. Formación y concienciación en lo relativo a seguridad de la información a todo el personal. Monitorización constante y registro de todas las incidencias. Realización de auditorías internas. Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI.
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se muestra en la ilustración y se desarrolla de la siguiente forma: Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real. Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses. Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría. Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO/ IEC 27001. Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita
Ilustración 4: Proceso de auditoría de un SGSI.
En el Perú solo hay 5 empresas que están certificadas en esta norma a través de IRCA, las cuales se muestran en la Tabla siguiente. Adicionalmente, la Oficina de Normalización Previsional ONP también ha obtenido recientemente la certificación, constituyéndose en la primera institución del Estatal Peruana en alcanzarla.
1.5.
Metodologías
1.5.1. Ciclo de Deming - Ciclo PDCA La presente metodología posee los 4 pasos iterativos que pueden ser adaptados fácilmente a los sistemas de gestión siendo muy utilizado por las normas ISO de sistemas de gestión, incluyendo la de gestión de seguridad de información. Conocido como círculo, rueda o ciclo de Deming o círculo o ciclo PDCA, por sus siglas en ingles Plan, Do, Check y Act. Se llama así debido a que nace a raíz de una conferencia que dio el Dr. W. Edwards Deming en Japón el año 1950.
1.5.1.1. Plan = Establecer con planificación
Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. Es importante que defina los límites del SGSI ya que no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la información, etc. Definir el enfoque de evaluación de riesgos mediante una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo estableciendo criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Identificar los riesgos: identificar todos aquellos activos de información que tienen algún valor para la organización que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; identificar las amenazas relevantes asociadas a los activos identificados; identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo Analizar y evaluar los riesgos: Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información;
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados; Estimar los niveles de riesgo; Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: Aplicar controles adecuados (mitigación); Aceptar el riesgo (de forma consciente), siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; Transferir el riesgo total o parcialmente a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.
1.5.1.2. Do=Implementar y utilizar el SGSI
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información. Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. 1.5.1.3. Check= Monitorizar y evaluar
La organización deberá: Ejecutar procedimientos de monitorización y revisión para: Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-. Realizar periódicamente auditorías internas del SGSI en intervalos planificados para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo las adecuadas y posibles mejoras en el proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información. Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI. 1.5.1.4. Act=Mantener y mejorar
Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoría interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramiento continuo del SGSI
1.5.2. Metodología Magerit. La parte más importante para el diseño del SGSI, es el análisis y gestión de riesgos de los activos de información que están involucrados dentro el proceso o procesos que abarca el alcance del SGSI. Esta metodología hace referencia al análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de su misión en las organizaciones respectivamente. 1.5.2.1. Fundamentos de Magerit Puntualmente esta metodología se basa fuertemente en analizar el impacto que puede tener para la empresa la violación de su seguridad, busca la identificación de las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas. Lo interesante de esta metodología, es que presenta una guía completa y paso a paso de cómo llevar a cabo el análisis de riesgos. 1.5.2.2. Etapas de Magerit La etapa 1, Planificación del análisis y gestión de riesgos, establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos. La etapa 2, Análisis de riesgos, permite identificar y valorar las entidades que intervienen en el riesgo. La etapa 3, Gestión de riesgos, permite identificar las funciones o servicios de salvaguarda reductores del riesgo detectado. La etapa 4, Selección de salvaguardas, permite seleccionar los mecanismos de salvaguarda que hay que implementar. 1.5.2.3. Ventajas de la Metodología Magerit La metodología Magerit permite saber cuánto valor está en juego en las organizaciones y por ende ayuda a protegerlo. Así mismo conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con esta metodología, se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Ilustración 5: Marco de trabajo para gestionar los riesgos.
1.6.
Sistema de Gestión de la Seguridad de la Información (SGSI).
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información. El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
1.7.
¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente
1.8.
Fases del SGSI
La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. El propósito de un Sistema de Gestión dela Seguridad dela Información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada Las fases son las siguientes: 1. 2. 3. 4. 5. 6. 7. 8. 9.
Análisis y evaluación de riesgos. Implementación de controles. Definición de un plan de tratamiento de los riesgos o esquema de mejora. Alcance de la gestión. Contexto de organización. Partes interesadas. Fijación y medición de objetivos. Proceso documental. Auditorías internas y externas.
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI. A continuación, pasamos a desarrollar cada una de estas fases:
1.8.1. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos. Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico. Un correcto proceso de identificación de riesgos implica: Identificar todos aquellos activos de información que tienen algún valor para la organización.
Asociar las amenazas relevantes con los activos identificados. Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas. Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo. Criticidad del riesgo: Por este motivo, se deben evaluar las consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual. Riesgo aceptable No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc. Riesgo residual Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.
1.8.2. La implementación de controles Con el objetivo de que cada riesgo identificado previamente quede cubierto y pueda ser auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113 puntos de control (en la versión anterior del 2005 eran 133). Los 113 controles están divididos por grandes objetivos: Políticas de seguridad de la información. Controles operacionales. Cada empresa, según su parecer, puede añadir más puntos de control si lo considera conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional, pero siempre debe estar alineados a lo que pide la norma.
1.8.3. Definición de un plan de tratamiento de los riesgos o esquema de mejora Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en el que se tengan en cuenta las distintas consecuencias potenciales de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas. Formas de afrontar el riesgo: Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo. Eliminar el riego: Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se llegue realmente a producir.
Mitigarlo: En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. En estos casos la organización puede aceptar el riego, ser consciente de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de controlarlo. Trasladarlo: Esta opción está relacionada con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de la información.
1.8.4. El alcance de la gestión En la planeación para la implementación de un SGSI es muy importante definir el alcance para la implementación del sistema en una organización. Por lo general, las primeras áreas que se deben considerar son aquellas que, por sus funciones y responsabilidades, ayudan en primera instancia a dar cumplimiento a la misión institucional. Pongamos un ejemplo concreto, la determinación de alcance y priorización de una empresa comercial de tamaño mediano de compra y venta de artículos deportivos, que vende por Internet y de forma presencial en sus diferentes sedes locales y nacionales, podría ser la siguiente: Determinar que en primera instancia se deben cubrir áreas de contabilidad, inventario y facturación por ser un tema sensible, donde se manejan datos claves para la empresa. En segundo lugar, se deberían considerar la logística y atención al cliente, ya estas áreas que permiten un trato directo con los mismos pudiendo mejorar su satisfacción. El resto de áreas de la empresa, como el marketing, pueden no incluirse en primera instancia en el SGSI, para irse introduciendo luego de manera progresiva.
1.8.5. Contexto de organización El análisis de contexto de la organización es fundamental para el SGSI, ya que nos permite determinar los problemas internos y externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar.
1.8.6. Partes interesadas Para poder realizar un correcto análisis de riesgo es preciso definir un contexto de la organización y comprender las necesidades y expectativas de todas las partes interesadas: Proveedores de servicios de información y de equipamientos de Tecnologías de la Información (TICs). Clientes, poniendo especial cuidado en la gestión de datos de protección personal. Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los aspectos legales. Participación en foros profesionales. La sociedad en general.
1.8.7. Fijación y medición de objetivos Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben poder ser medibles, aunque no es necesario que sean cuantificables. Otro aspecto básico es que estos objetivos deben ser eficientemente comunicados al conjunto de los empleados de la empresa, puesto que todos los profesionales deben ser conscientes de que participan en un objetivo común, y que un descuido o una mala actitud pueden acarrear consecuencias muy negativas. Por otro lado, cada objetivo definido tiene que estar asociado a unos indicadores que permitan realizar un seguimiento del cumplimiento de las actividades.
1.8.8. El proceso documental La norma ISO 27001 da mucha importancia a la documentación, estableciendo de manera muy estricta cómo se debe gestionar la documentación y exigiendo que la organización cuente con un procedimiento documentado para gestionar toda la información. Esta cuestión es fundamental para la obtención de la certificación. La organización debe gestionar tanto los documentos internos (políticas diversas, procedimientos, documentación del proyecto, etc.), como lo externos (diferentes tipos de correspondencia, documentación recibida con equipamiento, etc.). Por este motivo, la gestión de documentación es una tarea compleja e integral. 1.8.9. Auditorías internas y revisión por la Dirección Las auditorías internas: Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo. Existen dos grandes tipos de auditorías internas: Gestión. Donde se supervisa el liderazgo, el contexto, etc. Controles. En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos. Revisión por la Dirección: Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del sistema, si se están cumpliendo los objetivos y también si se está produciendo un Retorno de la Inversión (ROI). La Alta Dirección de la organización es la máxima responsable de que el área auditada lleve a cabo las acciones necesarias para eliminar las No Conformidades que se hayan detectado durante la auditoría interna.
1.9.
Alcance del SGSI
Para poder definir el alcance de un SGSI se deben identificar dentro de los procesos con los que cuenta la empresa aquellos considerados como “core” para el negocio y delimitar así el SGSI en base a ellos. Una vez identificados, deben definirse los servicios de TI y activos de información involucrados en el soporte a dichos procesos para luego realizar el correspondiente análisis de riesgos. Los procesos críticos son aquellos que proporcionan el mayor valor a la empresa; es decir, son la parte principal del negocio. Son procesos que de no existir o no funcionar
con una regularidad controlada, la empresa no podría alcanzar sus metas y sus objetivos. Por ende, la protección y continuidad de estos procesos es fundamental para cualquier organización.
1.10.
Implantación de un SGSI
1.10.1. Documentación Mínima
Política y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripción de la metodología de evaluación del riesgo. Informe resultante de la evaluación del riesgo. Plan de tratamiento de riesgos. Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles. Registros. Declaración de aplicabilidad (SOA -Statement of Applicability-). Procedimiento de gestión de toda la documentación del SGSI.
1.10.2. Enfoque a Procesos
Las actividades más relevantes son: Implicación de la Dirección. Alcance del SGSI y política de seguridad. Inventario de todos los activos de información. Metodología de evaluación del riesgo. Identificación de amenazas, vulnerabilidades e impactos. Análisis y evaluación de riesgos. Selección de controles para el tratamiento de riesgos. Aprobación por parte de la dirección del riesgo residual. Declaración de aplicabilidad. Plan de tratamiento de riesgos. Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo. Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. Formación y concienciación en lo relativo a seguridad de la información a todo el personal. Monitorización constante y registro de todas las incidencias. Realización de auditorías internas. Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI.
2. CLOUD COMPUTING 2.1. Definición de Cloud Computing El Cloud Computing, o Computación en la Nube, nace de los términos: Cloud y Computing. Cloud, o Nube, es el símbolo que se usa generalmente para representar la Internet. Computing, o Computación, reúne los conceptos de informática, lógica de coordinación y almacenamiento.
Es así como el Cloud Computing consiste en mover la computación del simple computador personal o centro de datos convencional hacia Internet. Son muy numerosas las definiciones que se han operado del servicio de la computación en la nube. A continuación, nos referiremos a algunas de las más significativas al respecto. A continuación, se presenta la definición de Cloud Computing adoptada por la Mesa Sectorial, la cual fue desarrollada por el Instituto Nacional de Estándares y Tecnología de los Estados Unidos de América (NIST, 2009): Cloud Computing es un modelo para habilitar el acceso a un conjunto de servicios computacionales (Redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción con el proveedor del servicio mínimos.
2.2.
Características esenciales del Cloud Computing
Cuando contratamos un servicio en la nube seleccionamos una serie de recursos computacionales como servidores, aplicaciones o equipos de comunicaciones, y los dimensionamos según nuestras necesidades. Así elegimos por ejemplo el número de procesadores, la memoria, la capacidad de almacenamiento o el número de usuarios. El precio variará según nuestra selección. Característica Pago por uso
Descripción El precio del servicio varía en función de las necesidades del cliente de manera flexible.
Acceso desde la red
Como los recursos están alojados en la red se pueden acceder a los mismos desde cualquier lugar.
Recursos compartidos
Los recursos están en reservas comunes a no ser que se contraten servicios de nube privada, es decir se comparte hardware y software. Los clientes pueden redimensionar los recursos que contratan de manera rápida y eficaz en casi cualquier momento.
Recursos a la carta o escalabilidad
Servicio supervisado
Ejemplo Si necesito más capacidad de proceso por un pico de trabajo solicitaré más recursos y solo tendré que pagar más por el tiempo de uso extra. Es posible acceder al panel de gestión de nuestras aplicaciones, y como usuarios desde distintas oficinas o desde el teléfono móvil. Las pymes pueden disponer de recursos, por tamaño o precio, antes solo destinados a la gran empresa.
Si aumenta nuestra necesidad de recursos podemos cambiarla desde el panel de control de Cloud y estará a nuestra disposición en un plazo razonable. El control y la optimización No tenemos que prever la de los recursos se compra de más equipos o
automatizan por el proveedor de los servicios en la nube siendo este proceso, transparente para el cliente.
2.3.
de nuevas licencia de software, ni tendremos que contratar técnicos para mantenimiento de equipos.
Tipos de Cloud
2.3.1. Nubes públicas En las nubes públicas, los servicios que se ofrecen se encuentran en servidores externos al usuario, pudiendo tener acceso a las aplicaciones de forma gratuita o de pago. Ventajas Escalabilidad. Ahorro de tiempo y costes. Mayor eficiencia de los recursos.
Inconvenientes La infraestructura es compartida. Hay poca transparencia para el cliente de cloud ya que no se sabe el resto de recursos que se puede estar compartiendo.
2.3.2. Nubes privadas En las nubes privadas, sin embargo, la plataforma se encuentra dentro de las instalaciones del usuario de la misma y no suele ofrecer servicios a terceros. En general, una nube privada es una plataforma para la obtención solamente de hardware, es decir, máquinas, almacenamiento e infraestructura de red (IaaS), pero también se puede tener una nube privada que permita desplegar aplicaciones (PaaS) e incluso aplicaciones (SaaS). Ventajas Inconvenientes Cumple con las políticas internas Elevado coste. ofreciendo mayor seguridad que las Dependencia de la infraestructura publicas contratada. Control total de los recursos.
2.3.3. Nubes hibridas Las nubes híbridas consisten en combinar las aplicaciones locales con las de la nube pública. Se puede ver también como aplicación privada que se ve aumentada con los servicios de Cloud Computing y la infraestructura. Esto permite a una empresa mantener el control de sus principales aplicaciones, al tiempo de aprovechar el Cloud Computing en los lugares donde tenga sentido. Ventajas Inconvenientes Maximiza el valor al utilizar recursos Riesgo al combinar dos modelos de privados y compartidos. implementación diferente. Reducción de costes. Control de la seguridad entre ambas nubes.
2.4.
Tipos de servicios
Para conocer el funcionamiento del Cloud Computing es fundamental conocer las tres opciones o tipos de servicio en Cloud: Software como Servicio (SaaS), Plataforma como Servicio (PaaS) e Infraestructura como Servicio (IaaS); como se muestra en la Figura, estos modelos de entrega pueden ser vistos en un contexto jerárquico. Para el usuario final sólo SaaS es visible, mientras que los desarrolladores utilizan PaaS y IaaS para desplegar sus aplicaciones.
Ilustración 6: Esquema de Cloud Computing.
2.4.1. Software como Servicio (SaaS) En los servicios de tipo SaaS el proveedor entrega al cliente el software instalado en sus instalaciones para su uso a través de internet, siempre que lo demande el usuario (bajo demanda).El correo web, las suites ofimáticas o los paquetes de desarrollo del negocio a los que se puede acceder online son un buen ejemplo de este tipo de servicios. Permite el acceso a la aplicación utilizando un navegador web o una app, sin necesidad de instalar programas adicionales en el ordenador o teléfono móvil. Es adecuado para usuarios que solamente necesitan utilizar las aplicaciones. Los usuarios aportan sus datos y pueden personalizar la aplicación dentro de los límites que marca el proveedor. No existen costes tecnológicos de hardware, software o soporte técnico. Ventajas Inconvenientes Reducción drástica de costes. Integración con aplicaciones Reducción de tiempos debido a que existentes en la organización. el software ya está instalado. Incertidumbre en relación al Escalabilidad. dueño de las aplicaciones. Facilidad de uso. Gran dependencia del proveedor. En cuanto a la seguridad como es el proveedor quien gestiona toda la infraestructura sobre el recaen la mayoría de las obligaciones de poner las medidas de seguridad para garantizar la seguridad de los datos de los clientes.
2.4.2. Plataforma como Servicio (PaaS) En los servicios del tipo PaaS el proveedor entrega una plataforma al cliente con el hardware, el sistema operativo y el middleware o las API(Interfaces de programación de aplicaciones) necesarias para que el cliente pueda instalar software y desarrollar un servicio o una aplicación. Algunos ejemplos son: El servidor web preinstalado y el alojamiento para crear una página web que mantenemos nosotros, instalando el gestor de contenidos o CMS. El servicio contratado para crear o subir BBDD cuando el cliente instala su propio gestor de base de datos en la plataforma alquilada. Los servicios que se contratan para poder instalar una aplicación que sirva contenidos como por ejemplo videos en streaming. Las plataformas para la creación de aplicaciones como cuadros de mando, sistemas de reporting (BI Business Intelligence) o analítica Big Data. Ventajas Inconvenientes Facilidad para administrar la Dependencia del proveedor plataforma. Dudas sobre la Sencillez a la hora de permitir un confidencialidad de los datos desarrollo propio. Facilidad de integración con el resto de plataforma.
En cuanto a la seguridad en este tipo de servicio está repartida entre el proveedor y el cliente. El proveedor gestiona la plataforma y debe garantizar su seguridad, pero el cliente es el responsable de las aplicaciones que instala o desarrolla.
2.4.3. Infraestructura como servicio (IaaS) En los servicios del tipo IaaS el proveedor entrega al cliente el acceso a la infraestructura de computación bajo demanda usando principalmente la virtualización. Es adecuado para organizaciones que necesiten una mayor versatilidad ya que permite ejecutar prácticamente lo que la organización desee. Presenta un coste elevado ya que la empresa es la encargada de mantener todo el software que instale. Algunos ejemplos son los centros virtuales de datos o los sistemas de respaldo. El proveedor utiliza entornos de virtualización para entregar al usuario el espacio en disco o la capacidad de proceso o los routers solicitados por el cliente como si fueran un servicio. Ventajas Inconvenientes Flexibilidad en relación a la Soporte ofrecido ya que al infraestructura necesaria por el estar externalizado el cliente. servicio es más complicado Rapidez de instalación. solucionar el problema de Facilidad a desplegar las una forma rápida. instalaciones del cliente.
En cuanto a la seguridad en este caso también está repartida. El proveedor gestiona la infraestructura y debe garantizar su seguridad que será principalmente física, pero el cliente es responsable de los sistemas y aplicaciones que despliega en ella.
2.5.
Elementos comunes de la arquitectura de Cloud Computing
Aunque las nubes varían ampliamente en cuanto a detalles de implementación, la arquitectura de cloud computing suele incluir estos elementos comunes:
Nivel de virtualización. La virtualización de los servidores y la virtualización del almacenamiento juegan un papel clave en la arquitectura de cloud computing, puesto que ofrecen una de las principales ventajas de la nube: la agilidad. Un nivel de virtualización permite a los proveedores aprovisionar o desaprovisionar rápidamente servidores en la nube para satisfacer las necesidades de los usuarios del servicio.
Almacenamiento escalable horizontalmente. La escalabilidad es otro rasgo distintivo de la arquitectura de cloud computing y desde el punto de vista del almacenamiento, se suele derivar de tecnologías que aprovechan grandes grupos de componentes de hardware de consumo que se pueden ampliar de manera sencilla y económica según crece la demanda de infraestructura y recursos de almacenamiento.
Mecanismos para admitir varios inquilinos. Un servicio de cloud computing debe permitir la segregación física o virtual de los datos almacenados según el inquilino y ser capaz de hacer un seguimiento del uso del servicio por inquilino. Es importante destacar que el uso de varios inquilinos es una característica integral incluso en nubes privadas: en este contexto, los inquilinos son los diferentes departamentos o grupos de trabajo dentro de la empresa.
API web. Otro elemento clave de la arquitectura de cloud computing es un conjunto de API web (con métodos estándar, como llamadas HTTP RESTful, XML y SOAP) a través de las cuales se puede llamar a los servicios en la nube. Esto permite que los servicios estén disponibles a través de un navegador web estándar o de otra aplicación cliente HTTP.
2.6.
Seguridad en Cloud
Utilizar servicios en la nube conlleva un cambio en la forma de entender la seguridad informática ya que deja de estar completamente bajo nuestro control y pasa a estar parcial o totalmente delegada en los proveedores. Una parte importante de cualquier servicio Cloud recae sobre la empresa proveedora pues será la encargada de garantizar la seguridad física en sus centros de procesos de datos. Del mismo modo, deberá mantener sus equipos actualizados tanto a nivel de hardware como software para hacer frente a las amenazas existentes en internet. Esto no significa que el proveedor del servicio se encargue de todo y que ya no sean necesarios los administradores del sistema en nuestra organización. Tanto si se utiliza un servidor en la nube (IaaS) como si se utiliza un entorno de desarrollo (PaaS) la empresa es responsable de mantener el sistema operativo y las aplicaciones que instala
correctamente configuradas, actualizadas a las últimas versiones y con todos los parches de seguridad que van apareciendo.
2.6.1. Problemas de seguridad y privacidad en Cloud Computing Entre los más relevantes se pueden identificar: Vulnerabilidades en el proveedor de cloud computing. Pueden ser a nivel de plataforma como inyección SQL o XSS (Cross-Site Scripting). Se han dado en Salesforce.com, Google Docs. Como posibles contramedidas la herramienta de IBM AppScan que explora vulnerabilidades en servicios Web como un servicio de seguridad de nube. Ataques a nivel de VM. Un problema potencial en arquitecturas de multi-arrendamiento son las posibles vulnerabilidades en el hipervisor o tecnología VM (Virtual Machine) utilizada por los proveedores de nubes. Han aparecido y seguirán apareciendo vulnerabilidades en VMware, Xen, Virtual PC y Virtual Server de Microsoft. Algunas formas de mitigar estas vulnerabilidades son los parches, la monitorización y los IDS/IPS/firewall. Phishing/Scams en proveedores de cloud computing. Un ejemplo es el caso del incidente de phishing de Salesforce. Como contramedidas utilizar herramientas antifraude/ingeniería social.
Ilustración 7: Algunos ataques en Cloud Computing.
2.7.
Amenazas
Las amenazas dependen del tipo de servicio contratado y de su forma de contratación y de despliegue. También será distinta la forma de afrontarlas según el grado de control sobre el servicio que recae en el proveedor y el cliente acordado en el ANS (Acuerdos de Nivel de Servicio). Las más importantes son: Accesos no autorizados: Si proveedor y cliente no toman conjuntamente las medidas de seguridad adecuadas, no habrá posibilidad de controlar los accesos a la información. Los accesos no autorizados pueden provocar robo de datos, inyección de código malicioso, etc. Amenazas internas: Empleados insatisfechos o exempleados pueden provocar situaciones de riesgo si no se gestionan los permisos y privilegios de acceso. Interfaces inseguras: Si las interfaces que proporciona el proveedor para acceder a la plataforma en la nube no son del todo seguras y presentan fallos de seguridad, estos pueden ser explotados por terceros para acceder a nuestra información. Problemas derivados de uso de las tecnologías compartidas: Si contratamos una infraestructura compartida existe la amenaza de que por un fallo de seguridad usuarios de otras empresas puedan acceder a nuestra información. Fuga de información: Como resultado de un ataque de ingeniería social o por una inyección con malware, un delincuente puede conseguir que algún servicio envíe información confidencial. También en el caso de que las operaciones de transferencias de datos no estén cifradas puede producirse una fuga de información. Suplantación de identidad: Si los ciberdelincuentes consiguen por ingeniería social, fuerza bruta o descuido las credenciales de algún usuario podrá acceder a la plataforma suplantándole, pudiendo manipular la información, actuar en su nombre, etc. Desconocimiento del entorno: Si el personal encargado de implantar las políticas no conoce el entorno cloud, las políticas estarán mal configuradas y no serán eficaces. Ataques de hacking: Sucede cuando una persona maliciosa intenta robar o acceder a la información que maneja alguno de los empleados de la organización.
2.8.
Riesgos
Las amenazas pueden transformarse en incidentes si se dan las circunstancias para ello, provocando daños en la reputación y pérdidas económicas. Para ser consiente de estas circunstancias es necesario realizar una evaluación de los riesgos que afectan al servicio que vamos a contratar para así poder poner las medidas adecuadas para tratarlos. Acceso de usuarios con privilegios: Este riesgo (perdida de confidencialidad, integridad e incluso disponibilidad) aparece cuando un empleado con privilegios de administrador accede cuando no debería o actúa de forma maliciosa alterando datos o configuraciones.
Incumplimiento normativo: Este tipo de riesgo que puede tener consecuencias administrativas o penales, aparece cuando el proveedor no cumple, o no nos permite cumplir con las obligaciones legales de la empresa .Por este tipo de infracciones la empresa se puede enfrentar a sanciones legales. Desconocimiento de la localización de los datos: Cuando se contrata un servicio a un proveedor que aloja nuestros datos en un Centro de Datos del cual desconocemos su ubicación, ponemos a riesgo la seguridad de los mismos al desconocer la legislación de otros países. Falta de aislamiento de los datos: En los servicios en los que una empresa comparte la infraestructura en la nube con otras es necesario que el proveedor gestione que los datos de las distintas empresas n se mesclen y que cada empresa solo tenga acceso a los suyos. Indisponibilidad del servicio en caso de desastre o incidencia: Si el proveedor sufre un incidente grave o un desastre y no tiene un plan de continuidad por ejemplo los servicios y los datos replicados en otro centro de datos no podrá seguir brindando servicio. Carencia de soporte investigativo: En caso de que ocurra un incidente, es necesario revisar los accesos a los datos para saber que ha ocurrido. En este caso el proveedor debe garantizar el acceso a los logs o registros de actividad. Viabilidad a largo plazo: Existe el riesgo de que las condiciones del contrato sufran alguna modificación debido al cambio de estructura del proveedor, de la alta dirección, a la entrada de situación de quiebra o a que decida externalizar parte de sus servicios.
2.9.
Situación actual del Cloud Computing en el mundo
De todas las tendencias que constituyen el proceso de transformación digital que se vive en las empresas a nivel global, la computación en la nube es la que goza de mayor popularidad, la más adoptada por organizaciones de todos los tamaños y la que genera mayores expectativas. Big Data, el Internet de la Cosas y otras tendencias paralelas están todavía en pañales, mientras que la mayoría de organizaciones ya adoptaron o planean hacerlo el modelo de computación en la nube. Un estudio de IDC y Cisco encontró que al menos 50% de las empresas utilizan alguna de las modalidades de computación en la nube: infraestructura, software o plataformas que se pagan como un servicio. Según Gartner, América Latina está sorprendentemente atrás del resto del mundo en la adopción de servicios cloud. Apenas 16% de los CIOs de la región indican que ya adoptaron alguna forma de Cloud Services frente a una media mundial de 23% y más del 59% no tiene intención de adoptar Cloud en los próximos tres años frente a un promedio mundial de 31%.
2.9.1. Situación actual del Cloud Computing en el Perú Según el último estudio elaborado por IDC para Cisco Siete de cada diez organizaciones en Perú ya ha adoptado algún producto o servicio en la nube (cloud computing), pero la inmensa mayoría todavía no le saca el máximo provecho a esta tecnología. “En el Perú, el uso empresarial del cloud computing se encuentra en una etapa incipiente, principalmente por la escasez de conocimiento. Si una empresa utiliza de manera eficiente estas aplicaciones aumentaría en 30% su productividad”, aseguró el Ing. Carlos Andrés López, gerente general de Digital Way, empresa del Grupo Romero especializada en internet dedicado para empresas. El Perú ocupa el puesto 106 de 146 países en el uso de Tecnologías de la Información (TIC), según el estudio de World Economic Forum del 2012. En Latinoamérica, los mejores ubicados son Chile (39), Uruguay (44), Panamá (57), Costa Rica (58) y Brasil (65). El Perú solo supera a Venezuela (107), Paraguay (111), Bolivia (127) y Nicaragua (131), e incluso estamos al lado de países de África y Medio Oriente que exhiben una pobre performance en TIC.