Technology Rain Journal ISSN: 2953-464X
Vol. 2 Núm. 2 (Julio - Diciembre 2023), e16
technologyrain.com.ar 1
Artículo de Investigación Original
Estrategias de auditoría de seguridad informática en cloud
Cloud IT Security Audit Strategies
Jonathan Pilamunga
0009-0001-8162-4549
Universidad Nacional de Ingeniería, Lima, Pe
jon.pilamunga@proton.me
Pilamunga, J. (2023). Estrategias
de auditoría de seguridad
informática en cloud. Technology
Rain Journal, 2(2), e16.
https://technologyrain.com.ar/
index.php/trj/article/view/16
Recibido: 25 de mayo 2023
Aceptado: 18 de junio 2023
Publicado: 01 de Julio 2023
Technology Rain Journal
ISSN: 2953-464X
Los contenidos de este artículo
están bajo una licencia de Creative
Commons Attribution 4.0
International (CC BY 4.0 )
Los autores conservan los
derechos morales y patrimoniales
de sus obras.
Resumen. Este artículo presenta una revisión sobre auditoria de
seguridad en Cloud Computing, un sistema informático basado en
Internet y centros de datos remotos que permite gestionar servicios de
información y aplicaciones. El Cloud Computing ofrece a los usuarios
acceso a recursos informáticos configurables, como redes, servidores,
almacenamiento, aplicaciones y servicios, de manera ubicua y bajo
demanda. Se destacan cinco características esenciales del Cloud
Computing, que incluyen el autoservicio bajo demanda, el amplio
acceso a la red, el conjunto de recursos, la rápida elasticidad y el
servicio medido. Además, se analizan tres tipos de nubes: la nube
pública, la nube privada y la nube híbrida, resaltando sus
características, beneficios y aplicaciones. La auditoría informática se
destaca como una herramienta fundamental para evaluar y garantizar
la seguridad y protección de los datos en el Cloud Computing.
Palabras Clave: Cloud Computing, recursos configurables,
nube pública, nube privada, nube híbrida, auditoría informática,
seguridad de datos.
Abstract. This article provides a review of Cloud Computing, an
Internet-based computing system that utilizes remote data centers to
manage information and applications. Cloud Computing offers users
access to configurable computing resources such as networks, servers,
storage, applications, and services, in a ubiquitous and on-demand
manner. Five essential characteristics of Cloud Computing are
outlined, including self-service on-demand, broad network access,
resource pooling, rapid elasticity, and measured service. Additionally,
three types of clouds are discussed: public cloud, private cloud, and
hybrid cloud, highlighting their features, benefits, and applications. IT
auditing is emphasized as a crucial tool for assessing and ensuring the
security and protection of data in Cloud Computing.
Keywords: Cloud Computing, configurable resources, public cloud,
private cloud, hybrid cloud, data security.
Technology Rain Journal ISSN:
technologyrain.com.ar 2
1. INTRODUCCIÓN
El Cloud Computing, también conocido como computación en la nube, ha revolucionado la forma
en que las organizaciones gestionan sus servicios de información y aplicaciones. Según González
Hernández (2016), este sistema informático se basa en Internet y centros de datos remotos,
permitiendo a los usuarios acceder a recursos y aplicaciones de manera remota y según sus
necesidades. Este modelo ofrece flexibilidad y conveniencia al eliminar la necesidad de instalar
programas y servicios en dispositivos locales, ya que se alojan en servidores remotos.
Dentro del Cloud Computing, existen diferentes categorías de servicios, como Infraestructura
como Servicio (IaaS), Plataforma como Servicio (PaaS) y Software como Servicio (SaaS). Estas
categorías brindan recursos informáticos configurables, como redes, servidores, almacenamiento
y aplicaciones, que pueden ser aprovisionados y liberados de manera rápida y sin complicaciones.
En este contexto, surge la nube híbrida, que combina las características de la nube pública y
privada, brindando a las organizaciones flexibilidad y la capacidad de aprovechar servicios de la
nube de manera regulada y no regulada Toa Quinaloa, D. A. (2023).
La nube pública ofrece una amplia disponibilidad de infraestructura, aplicaciones y servicios,
permitiendo a los usuarios asignar recursos según su demanda. Por otro lado, la nube privada
brinda mayor confidencialidad y protección de los activos de la empresa, permitiendo una mayor
personalización y control de la infraestructura de TI. Existe también la opción de la nube híbrida,
que combina características de la nube pública y privada, brindando a las organizaciones
flexibilidad y la capacidad de aprovechar servicios de la nube de manera regulada y no regulada.
En el entorno del Cloud Computing, donde los datos y servicios se encuentran alojados en
servidores remotos, la auditoría informática adquiere una relevancia aún mayor. La protección de
datos personales es una preocupación creciente, y las organizaciones deben asegurarse de que se
implementen los controles adecuados para garantizar la confidencialidad, integridad y
disponibilidad de la información.
La auditoría informática en el contexto del Cloud Computing implica evaluar la gestión de la
información, la seguridad de los datos y los controles implementados en los proveedores de
servicios en la nube. Es fundamental asegurarse de que se cumplan las normativas y regulaciones
aplicables en cuanto a la protección de datos personales.
2. METODOLOGÍA
Este artículo científico utiliza un enfoque descriptivo para ofrecer una visión general y una síntesis
de la literatura disponible sobre auditoría informática. La información se recopila a través de la
revisión de artículos científicos y la exploración de bases de datos en línea, utilizando palabras clave
Technology Rain Journal ISSN:
technologyrain.com.ar 3
relevantes. Se realiza un análisis detallado de los artículos seleccionados para identificar temas
principales y extraer información relevante. El objetivo principal es recopilar y organizar el
conocimiento existente, así como identificar tendencias y lagunas en la investigación.
3. RESULTADOS
1. Cloud Computing: según González Hernández, L. F. (2016). La computación en nube (Cloud
Computing) es un sistema informático basado en Internet y centros de datos remotos utilizados
para gestionar servicios de información y aplicaciones. Los usuarios de este servicio tienen
acceso de forma gratuita o paga, dependiendo del servicio que se necesite usar.
El término "nube" se utiliza como una metáfora de Internet, representando la abstracción de la
infraestructura en los diagramas de red. La computación en la nube es una tendencia
tecnológica que combina características diversas para ofrecer servicios y aplicaciones. En este
modelo, los programas y servicios se alojan en servidores remotos, lo que permite el acceso a
través de Internet sin la necesidad de instalarlos en dispositivos locales. Esta arquitectura
proporciona flexibilidad y conveniencia al permitir a los usuarios acceder a recursos y
aplicaciones de forma remota, según sea necesario.
Además, para Martínez-Santander, C. J.(2018) los servicios de computación en la nube se
organizan en diferentes categorías, como Infraestructura como Servicio (IaaS), Plataforma
como Servicio (PaaS) y Software como Servicio (SaaS). Han surgido nuevos servicios, como
Integridad de Datos como Servicio (DIaaS), Base de Datos como Servicio, Logging como
Servicio, Procedencia como Servicio, Seguridad como Servicio y Big Data como Servicio.
La nube es un conjunto de herramientas informáticas que proporciona al cliente una variedad
de facilidades simultáneamente. Implica la provisión de recursos como hardware, software,
almacenamiento e infraestructuras de Internet. Se trata de un sistema informático en línea que
permite compartir servicios y datos almacenados en computadoras y otros dispositivos.
En el almacenamiento en la nube, los datos pueden estar distribuidos en ubicaciones y
servidores remotos. Esto implica que el usuario no tiene un control directo sobre los datos y no
puede visualizar físicamente los enlaces de datos.
Los autores Pinargote Acosta, B. J. (2021) indican que la computación en la nube es un modelo
que permite un acceso ubicuo y bajo demanda a través de la red. En este modelo, se encuentran
disponibles recursos informáticos configurables, como redes, servidores, almacenamiento,
aplicaciones y servicios. Estos recursos pueden ser aprovisionados y liberados de manera
rápida y con un esfuerzo mínimo, sin necesidad de interactuar directamente con el proveedor
de servicios.
Technology Rain Journal ISSN:
technologyrain.com.ar 4
Los beneficios del Cloud Computing para las empresas son diversos. Permite a las
organizaciones establecer conexiones y asociaciones internacionales sin necesidad de construir
infraestructuras externas como servidores y centros de datos. El entorno es flexible y puede
soportar un gran número de usuarios. Algunos de los factores clave para adoptar este modelo
de computación son la reducción de costos, la utilización eficiente de recursos y la integridad
de datos.
Cloud Computing es un entorno basado en Internet que ofrece una amplia gama de servicios y
recursos informáticos. Sus beneficios incluyen la flexibilidad, la reducción de costos y la
posibilidad de acceder a servicios internacionales sin infraestructuras físicas.
2. Características Esenciales del Cloud Computing
A continuación, se presentan cinco características fundamentales del Cloud Computing que
han sido definidas por los autores Pinargote Acosta, B. J. (2021):
Autoservicio bajo demanda: Los consumidores tienen la capacidad de aprovisionar de
forma autónoma ciertas capacidades informáticas, como tiempo y almacenamiento de
red, de manera automática y sin necesidad de interactuar con el proveedor de servicios.
Amplio acceso a la red: Los servicios y capacidades en la nube están disponibles a
través de la red y se pueden acceder desde una variedad de dispositivos, como tabletas,
teléfonos móviles, estaciones de trabajo y computadoras portátiles.
Conjunto de recursos: Los proveedores de servicios en la nube agrupan y asignan
recursos informáticos para atender a múltiples consumidores. Estos recursos pueden ser
físicos o virtuales y se asignan dinámicamente según la demanda. Aunque el cliente
puede no tener control sobre la ubicación exacta de los recursos, generalmente puede
especificar ciertos aspectos como almacenamiento, memoria y ancho de banda.
pida elasticidad: Las capacidades de los recursos en la nube pueden aprovisionarse
y liberarse de manera elástica, y en algunos casos de forma automática. Los clientes
pueden solicitar y obtener la cantidad deseada de recursos en cualquier momento, según
sus necesidades.
Servicio medido: Los sistemas en la nube controlan y optimizan automáticamente el
uso de recursos, como almacenamiento, ancho de banda, procesamiento y cuentas de
usuario activas. Además, se establecen mecanismos de medición adecuados para cada
tipo de servicio, lo que permite el monitoreo, control e informes transparentes sobre el
uso de recursos.
Technology Rain Journal ISSN:
technologyrain.com.ar 5
Son las características fundamentales del Cloud Computing que permiten a los usuarios obtener
recursos de manera rápida y flexible, acceder a ellos a través de la red y beneficiarse de una
asignación eficiente de recursos, junto con una medición precisa y control del uso de los
mismos.
3. Nube pública: Según Contreras Jiménez, D. M. (2022), las soluciones implementadas en la
nube pública presentan desafíos en términos de infraestructura y seguridad heterogénea. Sin
embargo, se buscan mejoras continuas para garantizar niveles más altos de rendimiento,
menores costos y una mayor disponibilidad de infraestructura, aplicaciones y servicios.
Las características clave de la nube pública son:
Asignación de recursos: Permite asignar recursos según la demanda, lo que proporciona
flexibilidad y escalabilidad a los usuarios.
Acuerdos de uso: Establece los términos y condiciones de uso de los servicios en la
nube, incluyendo aspectos como tiempo de actividad, capacidad de almacenamiento y
rendimiento.
Gestión: Incluye las herramientas y funcionalidades para administrar y controlar los
recursos en la nube pública, como la gestión de usuarios, la monitorización y la
automatización de procesos.
El uso de la nube pública es ampliamente adoptado debido a su facilidad de uso y su
popularidad como plataforma de almacenamiento de información.
Una de las principales ventajas de la nube pública es su facilidad de uso y accesibilidad. Los
usuarios pueden acceder a recursos informáticos y aplicaciones de manera rápida y
conveniente, sin tener que preocuparse por la gestión y mantenimiento de la infraestructura
subyacente. Esto proporciona una mayor agilidad y flexibilidad a las organizaciones,
permitiéndoles escalar rápidamente sus operaciones y adaptarse a las demandas cambiantes.
4. Nube privada: Para Oldenburg, W. J. (2020) Una nube privada es cuando los recursos se
ofrecen a los usuarios y organizaciones de forma exclusiva, es decir, solo para la organización,
a continuación, en la siguiente figura veremos la estructura base que tiene la nube privada.
La infraestructura de la nube se despliega en los servidores internos de la organización o en
centros de datos privados, lo que brinda un mayor nivel de confidencialidad y protección de
los activos de la empresa.Además de la seguridad y privacidad mejoradas, las nubes privadas
también ofrecen otras ventajas, como mayor flexibilidad y personalización en la configuración
de la infraestructura de TI. Las organizaciones pueden adaptar la nube privada a sus
necesidades específicas, ajustando los recursos, aplicaciones y servicios de acuerdo con sus
requerimientos.
Technology Rain Journal ISSN:
technologyrain.com.ar 6
Según Contreras Jiménez, D. M. (2022), En una nube privada, el usuario asume la
responsabilidad de todos los costos asociados para proporcionar el servicio. Esto implica que
el usuario debe gestionar sus propios recursos, como máquinas, redes, almacenamiento, centro
de datos, entre otros. La infraestructura de la nube privada permite disponer de una variedad
de recursos basados en tecnologías de la información según las necesidades y alinea los costos
en tiempo real.
Los servicios de la nube privada son utilizados principalmente por entidades corporativas y
gubernamentales, tanto grandes como pequeñas.
A continuación, se destacan los beneficios que ofrece la nube privada:
Mayor seguridad de la información: La nube privada brinda un mayor nivel de
seguridad, ya que los datos y recursos están controlados internamente y no se comparten
con otros usuarios externos.
Menos desperdicio de recursos: Al tener un control directo sobre los recursos, se
minimiza el desperdicio y se optimiza su utilización, lo que conlleva a una mayor
eficiencia.
Mayor productividad: Al contar con una infraestructura dedicada y personalizada, los
usuarios pueden acceder pidamente a los recursos y aplicaciones necesarios, lo que
impulsa la productividad.
Costos accesibles: Aunque implica una inversión inicial para establecer y mantener la
infraestructura, a largo plazo, una nube privada puede resultar en costos más accesibles
en comparación con otras opciones de infraestructura tecnológica.
Mayor control del software: En una nube privada, los usuarios tienen un mayor control
sobre el software utilizado, lo que les permite adaptarlo y personalizarlo según sus
necesidades específicas.
Mayor eficiencia del sistema: Al tener un control total sobre la infraestructura, se
pueden implementar mejoras y optimizaciones específicas, lo que conduce a una mayor
eficiencia en el rendimiento y la gestión del sistema.
5. Nube Hibrida: Además Toa Quinaloa, D. A. (2023) afirma que este tipo de nube es una
combinación de las dos nubes anteriores (nube pública y nube privada). En este tipo de nube
las empresas operan varios servicios de manera regulada, es decir de manera estándar; o de
manera no regulada. Esta aprovecha en gran nivel los servicios de la nube.
Technology Rain Journal ISSN:
technologyrain.com.ar 7
El Cloud Computing va de la mano con los medios de comunicación de red y la tecnología de
las empresas, es decir, además de ofrecer tipos de Cloud Computing, también implanta capas,
estas se dividen en:
IaaS (Infraestructura como un Servicio)
SaaS (Software como un Servicio)
PaaS (Plataforma como un Servicio).
Una de las principales ventajas de la nube híbrida es su capacidad para ofrecer una mayor
seguridad y control sobre los datos sensibles. Las organizaciones pueden mantener ciertos
datos y aplicaciones críticas en su infraestructura de nube privada, donde tienen un mayor
control y pueden aplicar políticas de seguridad personalizadas. Al mismo tiempo, pueden
aprovechar la nube pública para cargas de trabajo menos sensibles o fluctuantes, aprovechando
la escalabilidad y los recursos adicionales que ofrece.
La nube híbrida también permite a las empresas gestionar de manera más eficiente los costos
de TI. Pueden optimizar el uso de recursos al asignar cargas de trabajo en función de las
demandas y prioridades del negocio. Por ejemplo, las aplicaciones con alta sensibilidad a la
latencia o requisitos de cumplimiento pueden alojarse en la nube privada, mientras que las
aplicaciones menos críticas en términos de seguridad pueden beneficiarse de los recursos
rentables y escalables de la nube pública.
6. La Privacidad en servicios Cloud: Para Oldenburg, W. J. (2020) en un mundo donde los
datos se mueven globalmente, es crucial que todas las organizaciones se preocupen por
proteger la privacidad, ya que, en mayor o menor medida, manejan datos personales de clientes
o empleados que deben ser salvaguardados.
Por lo tanto, es de suma importancia tener conocimiento acerca de la ubicación de los centros
de datos del proveedor de servicios en la nube, ya que en cada país puede existir una legislación
distinta en términos de seguridad y privacidad de los datos.
La privacidad en la nube implica salvaguardar los datos personales y permitir a los usuarios
tener control sobre la recopilación, almacenamiento, procesamiento y compartición de sus
datos en entornos de nube. Los proveedores de servicios en la nube deben cumplir con
regulaciones y políticas de privacidad, como el Reglamento General de Protección de Datos
(GDPR) en la Unión Europea, para garantizar la seguridad de los datos de los usuarios y su uso
de acuerdo con las normativas de privacidad correspondientes.
Para asegurar la protección de los datos almacenados en la nube, es necesario implementar
medidas de seguridad sólidas. Estas pueden incluir técnicas de cifrado de datos, autenticación
Technology Rain Journal ISSN:
technologyrain.com.ar 8
y acceso seguro, control de acceso basado en roles, así como monitoreo y registro de
actividades. Estas medidas contribuyen a mitigar los riesgos de acceso no autorizado,
divulgación de información confidencial y violaciones de privacidad. Al implementar estas
salvaguardias, los usuarios pueden tener mayor tranquilidad al confiar sus datos en entornos de
nube.
7. IaaS: Para Zeebaree et al. (2019). La capacidad del cliente para proporcionar servicios
informáticos primarios, como computación, almacenamiento, redes y otros, a través de los
cuales el consumidor puede instalar y administrar máquinas virtuales, incluyendo sistemas
operativos y aplicaciones.
En el modelo de IaaS, los proveedores de servicios en la nube ofrecen una gama de recursos
informáticos, incluyendo capacidad de procesamiento, almacenamiento y redes, a tras de una
plataforma virtualizado. Los clientes pueden aprovisionar estos recursos según su demanda y
tienen el control sobre los sistemas operativos, el almacenamiento y las aplicaciones que se
ejecutan en sus máquinas virtuales.
Es importante destacar que, si bien los usuarios tienen la capacidad de gestionar y configurar
sus propias máquinas virtuales y entornos de software, no son responsables de administrar la
infraestructura física, como los servidores o los centros de datos. Esta responsabilidad recae en
el proveedor de servicios en la nube.
El enfoque de IaaS proporciona a las organizaciones una mayor agilidad y escalabilidad, ya
que les permite aprovisionar y liberar recursos según su demanda en tiempo real. Esto implica
que los clientes solo pagan por los recursos que utilizan, lo que puede resultar en una
optimización de costos y una mayor eficiencia operativa.
8. SaaS: Mathlouthi et al. (2019) sugirieron un modelo de Software como Servicio (SaaS) basado
en el paradigma de Sistema de Sistemas (SoS), el cual respalda una integración eficiente de la
calidad de servicios (QoS) de SaaS. Este modelo se utilizó para proporcionar un enfoque que
mejora la recopilación de aplicaciones SaaS integradas. Esta optimización no solo se basa en
atributos "clásicos" de QoS (tiempo de respuesta y precio), sino también en el parámetro de
"grado de pertenencia" motivado por la consideración de la integración de SaaS como un SoS.
Los hallazgos del experimento revelan que la propiedad de pertenencia tiene un efecto positivo
en el rendimiento general de QoS.
Por otro lado, Lokawati y Widyani (2019) propusieron un sistema de gestión de Servicio como
Sistema (SaaS) multiinquilino que abarca la utilización de recursos, el uso del servicio, los
acuerdos de nivel de servicio (SLA), la facturación y el monitoreo del rendimiento. El diseño