Factores relevantes que inciden en la adopción de la Computación
Anuncio
UNIVERSIDAD DEL TURABO ESCUELA DE NEGOCIOS Y EMPRESARISMO FACTORES RELEVANTES QUE INCIDEN EN LA ADOPCIÓN DE LA COMPUTACIÓN EN NUBE EN LAS UNIVERSIDADES DE PUERTO RICO, SEGÚN LOS DIRECTORES DE INFORMÁTICA Y DECANOS ADMINISTRATIVOS por Santiago Lazo Villela DISERTACIÓN Presentada como Requisito para la Obtención del Grado de Doctor en Gerencia en Sistemas de Información Gurabo, Puerto Rico diciembre, 2012 UNIVERSIDAD DEL TURABO CERTIFICACIÓN DE APROBACIÓN DE DISERTACIÓN La disertación de Santiago Lazo Villela fue revisada y aprobada por los miembros del Comité de Disertación. El formulario de Cumplimiento de Requisitos Académicos Doctorales con las firmas de los miembros del comité se encuentra depositado en el Registrador y en el Centro de Estudios Doctorales de la Universidad del Turabo. MIEMBROS DEL COMITÉ DE DISERTACIÓN Dr. Edgar Ferrer Universidad del Turabo Director Comité de Disertación Dra. Eulalia Márquez Universidad del Turabo Miembro del Comité de Disertación Dr. Macedonio Alanís Instituto Tecnológico de Monterrey, México Miembro del Comité de Disertación © Copyright, 2012 Santiago Lazo Villela. Derechos Reservados FACTORES RELEVANTES QUE INCIDEN EN LA ADOPCIÓN DE LA COMPUTACIÓN EN NUBE EN LAS UNIVERSIDADES DE PUERTO RICO, SEGÚN LOS DIRECTORES DE INFORMÁTICA Y DECANOS ADMINISTRATIVOS por Santiago Lazo Villela Dr. Edgar Ferrer Director de Comité de Disertación Resumen Determinar si una tecnología es apropiada o no para las empresas, es un proceso complejo y en ocasiones se toman decisiones equivocadas. Continuamente, las empresas invierten un alto por ciento de su presupuesto en tecnologías innovadoras con el fin de obtener mayor disponibilidad, accesibilidad y seguridad de sus recursos. Una de estas tecnologías emergente e innovadora es la computación en nube, la cual es considerada como una estrategia tecnológica, que incorpora el software como servicio y utiliza el Internet para proveerle acceso a los usuarios a recursos provistos de manera conveniente y por demanda. El propósito de esta investigación es identificar el estatus de la adopción de la computación en nube en las universidades de Puerto Rico y analizar la relevancia de los factores de seguridad y costo al momento de su adopción, según los directores de informática y decanos administrativos. Para la recopilación de los datos se diseñó un iv cuestionario, el cual fue evaluado por un panel de expertos y validado a través del alfa de Cronbach, obteniendo un 85%. La corroboración de hipótesis se realizó a través de la prueba t a un nivel de significancia de 0.05 bilateral. Según los resultados, las posiciones de directores de informática y decanos administrativos en las universidades de Puerto Rico están cubiertas en su mayoría por profesionales del género masculino (71%) con más de 20 años de experiencia laboral (58%). Respecto a la adopción de la computación en nube, las universidades privadas están en la etapa de decisión y las universidades públicas de Puerto Rico están en la etapa de conocimiento. Según el modelo de adopción de la tecnología diseñado por Everett Rogers (1995), las universidades privadas caen en la categoría de mayoría precoz y las universidades públicas caen en la categoría rezagados de la adopción de la tecnología. Ambos grupos, están de acuerdo que la confidencialidad, integridad y la disponibilidad de los datos, son factores igual de importantes al momento de considerar la adopción de la nube. Sin embargo, no están seguros si los costos de adoptar la nube sean igual de importante para ambos grupos. v DEDICATORIA A mis hijos, Solange Dennisse y Daniel Enrique, por su comprensión, paciencia y porque son la inspiración de mi vida. A mis padres, Santiago Lazo (QPD) y Juana Villela, por heredarme excelentes valores, los cuales han sido determinantes para llegar a este punto de mi vida. A ti Olga, por tu comprensión y cooperación en este proceso. A toda mi familia y amistades, por el apoyo desinteresado que siempre me han brindado. A todos ustedes les dedico este proyecto de investigación. vi AGRADECIMIENTO Ante todo, le doy las gracias a Dios todo poderoso porque nunca me ha dejado desamparado y siempre ha estado junto a mí en cada momento de mi vida. Les doy mis más sinceras gracias a los miembros de mi comité de disertación: Dr. Edgar Ferrer, Dra. Eulalia Márquez y Dr. Macedonio Alanís, por sus recomendaciones y colaboración en el transcurso de mi investigación. A todos mis amigos y compañeros por sus sugerencias y aportaciones en este estudio. Un reconocimiento muy especial a todas las instituciones y personas participantes en la investigación; ya que, su colaboración fue determinantes para el éxito de esta investigación. Gracias,,, vii TABLA DE CONTENIDO Página LISTA DE TABLAS............................................................................................... xi LISTA DE FIGURAS ............................................................................................. xiii LISTA DE GRÁFICAS .......................................................................................... xiv LISTA DE APÉNDICES ........................................................................................ xv CAPITULOS I. TRASFONDO Y PRESENTACIÓN DEL PROBLEMA............................... 1 Trasfondo Histórico .................................................................................... 1 Presentación del problema ........................................................................ 5 Propósito y justificación del estudio............................................................ 7 Objetivos de la investigación ...................................................................... 15 Marco conceptual....................................................................................... 16 Etapas de adopción de la innovación ......................................................... 16 Integración de las etapas y categorías de la adopción de la tecnología ..... 17 Modelo de seguridad de CIA Triangle ........................................................ 19 Preguntas de investigación ........................................................................ 20 Hipótesis del estudio .................................................................................. 21 Importancia del estudio .............................................................................. 23 Definición de términos ............................................................................... 24 Delimitación del problema .......................................................................... 27 II. REVISIÓN DE LITERATURA…………………………………………..….…... 29 Antecedentes históricos ............................................................................. 29 Características de la computación en nube................................................ 30 Modelo de servicios de la computación en nube ........................................ 31 Modelos de implementación de la computación en nube ........................... 33 viii Modelos de referencia utilizados como base en la investigación................ 35 Modelo de adopción de la tecnología según Everett Roger ....................... 35 Etapas de adopción de la innovación ......................................................... 36 Categorías de la adopción de tecnología ................................................... 37 Modelos de seguridad de los sistemas de información .............................. 40 CIA Triangle Model .................................................................................... 41 CNSS / NSTISSC Security Model (McCumber Cube) ................................ 42 Tendencias tecnológicas............................................................................ 44 Estudios realizados relacionados con la computación en nube .................. 50 Empresas que han adoptado la computación en nube ............................... 55 Beneficios de la computación en nube ....................................................... 58 Preocupaciones relacionadas con la computación en nube ....................... 60 Recomendaciones relacionadas a la computación en nube ....................... 61 III. PROCEDIMIENTO Y METODOLOGÍA ...................................................... 66 Diseño de la investigación ........................................................................ 66 Hipótesis del estudio .................................................................................. 67 Hipótesis nulas ................................................................................... 67 Hipótesis alternas ............................................................................... 68 Definición de la población .......................................................................... 69 Selección de la muestra ............................................................................. 70 Fuentes de información a considerar ......................................................... 72 Diseño del instrumento de recolección de datos ........................................ 72 Variables de investigación ......................................................................... 73 Validación del instrumento de investigación ............................................... 74 Trabajo de campo ...................................................................................... 77 Descripción de la tabulación y análisis estadísticos de los datos ............... 78 ix Prueba de significación de hipótesis .......................................................... 81 Consideraciones éticas .............................................................................. 82 IV. HALLAZGOS DE LA INVESTIGACIÓN……………………………………… 84 Descripción de la población relacionada con el estudio ............................. 84 Muestra de los participantes en el estudio ................................................. 84 Perfil de los participantes ........................................................................... 84 Análisis estadístico de las hipótesis de investigación ................................. 88 Corroboración de hipótesis ........................................................................ 96 Corroboración de la hipótesis número uno H1 ............................................ 96 Corroboración de la hipótesis número dos H2 ............................................ 98 Corroboración de la hipótesis número tres H3 ............................................ 99 Corroboración de la hipótesis número cuatro H4 ........................................ 100 Corroboración de la hipótesis número cinco H5.......................................... 102 V. CONCLUSIONES Y RECOMENDACIONES………………………………… 104 Conclusiones ............................................................................................. 105 Recomendaciones ..................................................................................... 106 Contribuciones ........................................................................................... 108 REFERENCIAS………………………………………………………………….. 110 x LISTA DE TABLAS Página Tabla 1.1 Estadística del uso del internet 2000 – 2011.................................... 8 Tabla 1.2 Momento de adopción de la tecnología ........................................... 17 Tabla 3.1 Población universidades públicas y privadas en Puerto Rico ........... 69 Tabla 3.2 Determinación de la muestra ........................................................... 71 Tabla 3.3 Estratificación de la muestra ............................................................ 72 Tabla 3.4 Escala Likert utilizada para la hipótesis número uno ........................ 74 Tabla 3.5 Escala Likert utilizada en las hipótesis de la dos a la cinco.............. 74 Tabla 3.6 Tabulación de los datos de validación del instrumento .................... 76 Tabla 3.7 Revisión de los reactivos en el proceso de validación...................... 77 Tabla 3.8 Escala Lickert para la hipótesis número uno ................................... 79 Tabla 3.9 Escala Lickert para las hipótesis de la dos a la cinco ....................... 79 Tabla 4.1 Distribución de los datos demográficos............................................ 85 Tabla 4.2 Distribución de los datos demográficos de las universidades........... 85 Tabla 4.3 Resumen de perfil general de los participantes ............................... 86 Tabla 4.4 Estatus actual de la computación en nube en las universidades de Puerto Rico ................................................................................. 89 Tabla 4.5 Estatus de la computación en nube en las universidades privadas de Puerto Rico................................................................... 90 Tabla 4.6 Estatus de la adopción de la computación en nube en las universidades del estado ................................................................. 91 Tabla 4.7 Modelos de adopción de la computación en nube por las universidades .................................................................................. 92 Tabla 4.8 Análisis estadístico para la hipótesis uno (H1).................................. 93 Tabla 4.9 Análisis estadístico para la hipótesis dos (H2) .................................. 94 Tabla 4.10 Análisis estadístico para la hipótesis tres (H3)................................... 94 xi Tabla 4.11 Análisis estadístico para la hipótesis cuatro (H4) ............................... 95 Tabla 4.12 Análisis estadístico para la hipótesis cinco (H5) ................................ 95 Tabla 4.13 Corroboración de la hipótesis número uno (H1) ................................ 97 Tabla 4.14 Corroboración de la hipótesis número dos (H2) ................................. 98 Tabla 4.15 Corroboración de la hipótesis número tres (H3) ................................ 99 Tabla 4.16 Corroboración de la hipótesis número cuatro (H4)............................. 101 Tabla 4.17 Corroboración de la hipótesis número cinco (H5) .............................. 102 xii LISTA DE FIGURAS Página Figura 1.1 Etapas de la madurez de las tecnologías (Hype Cycle) ................... 10 Figura 1.2 Ciclo de vida de las tecnologías emergentes para el 2011 .............. 11 Figura 1.3 Principales preocupación por las empresas con relación a la adopción de la computación en nube............................................... 12 Figura 1.4 Razones para la adopción de la computación en nube .................... 13 Figura 1.5 Categoría de adopción de la tecnología........................................... 16 Figura 1.6 Modelo integración de las etapas y categorías de la adopción de la tecnología ............................................................................... 18 Figura 1.7 Modelo de seguridad CIA Triangle ................................................... 19 Figura 2.1 Modelos de servicios de la computación en nube ............................ 33 Figura 2.2 Modelo de implementación de la computación en nube ................... 34 Figura 2.3 Resumen de modelos y características de la computación en nube ........................................................................................... 35 Figura 2.4 Modelo de las categorías de adopción de la tecnología ................... 38 Figura 2.5 Modelo de seguridad CIA Triangle ................................................... 41 Figura 2.6 Modelo de seguridad de la información CNSS / NSTISSC ............. 43 Figura 2.7 Etapas de madurez de las tecnologías emergentes(Hype Cycle) .... 48 Figura 2.8 Ciclo de vida de las tecnologías emergentes para el 2011 .............. 49 Figura 3.1 Hipótesis bidireccionales (∝ = 5%) .................................................. 82 Figura 4.1 Modelo Integración de las categorías, etapas y años de la adopción de la tecnología (modelo CEA) ......................................... 93 Figura 5.1 Modelo Integración de las categorías, etapas y años de la adopción de la Tecnología (modelo CEA) ........................................ 109 xiii LISTA DE GRAFICAS Página Gráfica 4.1 Universidades participantes en la investigación (n = 45) .................. 86 Gráfica 4.2 Profesionales participantes en la investigación (n = 45)................... 87 Gráfica 4.3 Preparación académica de los participantes (n = 45)....................... 87 Gráfica 4.4 Estatus de computación en nube en las universidades de Puerto Rico (n=45)........................................................................... 89 Gráfica 4.5 Adopción de la computación en nube en las universidades privadas (n = 26) .............................................................................. 90 Gráfica 4.6 Estatus de la computación en nube en las universidades públicas de Puerto Rico (n = 19) ...................................................... 91 Gráfica 4.7 Modelo de adopción de la computación en nube en las universidades de Puerto Rico (n = 45) ............................................ 92 Gráfica 4.8 Corroboración de la hipótesis número uno (H1) ............................... 97 Gráfica 4.9 Corroboración de la hipótesis número dos (H2)................................ 98 Gráfica 4.10 Corroboración de la hipótesis número tres (H3) .............................. 100 Gráfica 4.11 Corroboración de la hipótesis número cuatro (H4) .......................... 101 Gráfica 4.12 Corroboración de la hipótesis número cinco (H5)............................ 102 xiv LISTA DE APÉNDICES Página Apéndice A Solicitud de colaboración a los miembros del comité de validación del instrumento ........................................................ 118 Apéndice B Formulario para evaluar el instrumento por los especialistas.... 119 Apéndice C Aprobación Junta para la protección de seres humanos en la investigación, (IRB) .......................................................... 120 Apéndice C-1 Actualización de la aprobación oficina IRB ............................... 122 Apéndice D Solicitud de colaboración a las instituciones universitarias ....... 123 Apéndice E Carta de agradecimiento a las instituciones participantes......... 125 Apéndice F Carta informativa a los participantes ......................................... 126 Apéndice G Instrumento de investigación .................................................... 127 xv 1 CAPÍTULO I TRASFONDO Y PRESENTACIÓN DEL PROBLEMA Trasfondo histórico Todas las organizaciones, independientemente de su tamaño o tipo de negocio al que se dediquen, están conscientes de la importancia que tienen los conceptos de distribución, accesibilidad, seguridad e integridad de los datos. Es por tal razón, que las empresas buscan desarrollar o adoptar políticas de seguridad que les garanticen la continuidad de las operaciones en su negocio, logrando alcanzar un buen nivel de seguridad a través de su Intranet o red interna (Veyrat, 2011). En los años sesenta, las empresas y el gobierno utilizaban sistemas centralizados como son las mainframe, las cuales eran grandes, costosas y pesadas (Ponniah, 2002). A finales de los años setenta, surgen en el mercado las microcomputadoras, lo que les permitió a los usuarios y a las empresas tener otra visión de la tecnología de informática. Para la década de los ochenta, se incorpora el modelo de cliente-servidor, lo que proporciono mayor accesos a los sistemas de información por parte de los usuarios. A principios de los noventas, surge a nivel global, el Internet expandiendo el modelo de cliente-servidor. A inicios del año 2000, surge lo que se conoce como las redes social. Para el 2005, toma mucho auge el concepto de Computación en Nube (CN) o Cloud Computing (CC), gracias a las nuevas tecnologías e infraestructuras, en donde los servicios comenzaron a estar en la nube (León, 2010). Sin embargo, el origen de la computación en nube data de los años noventa, cuando empezaron a ser populares los cajeros automáticos, los cuales le permitían al usuario acceder a su dinero y a otros servicios desde cualquier terminal. En un principio, se sostenía que el ingresar tanta información valiosa a la red, se estaba confiando en algo que no podía garantizar la seguridad de los datos y que los mismos podían caer en manos erróneas. 2 En 1990, Bill Gates fundador de Microsoft, ya empezaba a hablar sobre el tema de la computación en nube. Él indicaba que había posibilidad de utilizar una terminal que se conectara al Internet que operara directamente en el web, sin disco duro; ya que, todos los servicios de Software y de almacenamiento estarían en línea (en el web). Además, Bill Gates indicaba que para llegar a esto se necesitarían tres elementos importantes: más computadoras personales, redes de comunicaciones más potentes y fácil acceso a una amplia gama de información (Hamm, 2009). La computación en nube, es un nuevo modelo de servicio que está en proceso de evolución, los servicios se acceden desde cualquier ordenador con accesos al Internet; ya que, el software y los datos se almacenan en los servidores en el web. Por lo tanto, es un servicio que suministra a los clientes aplicaciones comunes de negocios en línea (Behnia, 2010). Según el Instituto Nacional de Estándares y Tecnología (National Institute of Standard and Technology, NIST), computación en nube es un modelo que incorpora el software como servicio y utiliza la plataforma del Internet para habilitar al usuario el acceso a un conjunto de servicios y recursos computacionales (redes, servidores, almacenamiento, aplicaciones y servicios) provistos de manera conveniente y por demanda, los cuales pueden ser liberados rápidamente con un mínimo de esfuerzo administrativo por un proveedor de servicios de nube (Mell & Grance, 2011). En esencia, la computación en nube se puede definir, como una forma de ejecutar aplicaciones y almacenar la información que se procesa en distintos centros de datos y los usuarios pueden acceder a los servicios que están en la nube de una forma rápida y fácil, aprovechando el incremento de las capacidades de la infraestructuras de banda ancha existente (Carrera, 2009). La computación en nube consiste en mover la computación de la computadora personal o centro de datos convencional hacia el Internet (Aguilera, 2010). 3 Los términos Cloud (Nube) y Computing (Computación) nacen de: Cloud o Nube, es el símbolo que se usa generalmente para representar el Internet. Sin embargo, Computing o Computación, reúne los conceptos de informática, lógica de coordinación y almacenamiento (Sectorial, 2010). La computación en nube, se apoya en el Internet, funciona como un servicio disponible al cliente, sin necesidad que el cliente sea un experto en el área, permite el almacenaje y el procesamiento de datos. El Internet es una plataforma que le brinda la oportunidad a las empresas de llegar a diferentes mercados con sus productos, servicios y a la misma vez ser más competitivas. En las últimas décadas el acceso y uso del Internet ha aumentado dramáticamente en todos los sectores a nivel mundial, como ser el hogar, las empresas, el gobiernos y la educación (Behnia, 2008). Antes que la computación en nube estuviera disponible, existían varios precursores de la tecnología en línea como thin clients y grid computing, usados para acceder remotamente a los recursos computacionales (Leavitt, 2009). Estas tecnologías son descritas por Leavitt, de la siguiente manera: 1) Thin client - consiste de un teclado y un monitor conectados a una computadora central. 2) Grid computing - es un sistema en el cual varios servidores similares, por lo general, geográficamente separados, pueden procesar grandes cantidades de datos. En ocasiones se confunde el concepto la computación en nube con el concepto de grid computing; pero son términos diferentes; ya que, la computación en nube proporciona al usuario una aplicación sencilla sin que éste se preocupe en dónde se ejecuta, ni en dónde se almacenan los datos. En cambio, grid computing es una técnica basada en la utilización de múltiples computadoras o procesadores que comparten sus recursos para realizar una tarea muy compleja. En el grid computing, hay que planificar, diseñar, programar e implementar. En un principio, la computación en nube generó 4 furor, polémicas y expectativas en las empresas, como toda nueva tecnología de gestión de la información. Sin embargo, en los últimos años este concepto ha tomado un gran impulso, en parte gracias al acceso rápido del Internet y a la primera evaluación de Amazon EC2, Google Apps, eyeOS, Microsoft Azure y Ubuntu One que han dado cuenta de la adopción y utilización a gran escala. Actualmente, varias organizaciones han comenzado a adoptar la computación en nube como una estrategia tecnológica. En Puerto Rico se han realizado varios congresos relacionados con la seguridad de los sistemas de información y la adopción de la computación en nube. En marzo del 2011, el grupo ISEC Information Security, celebró el congreso internacional de seguridad informática, Infosecurity (ISEC, 2011). El evento tuvo lugar en el Puerto Rico Convention Center. Entre los temas que se discutieron en el congreso fueron: 1) Importancia sobre el control de aplicaciones web, DLP y servicios de email en la nube. 2) Impacto de las amenazas físicas y ambientales en la seguridad de data centers y cuartos de cableado. 3) La invasión de los dispositivos móviles: cómo integrarlos de modo seguro en las empresas. 4) Securing the next generation datacenter. 5) Cloud computing in Puerto Rico 6) Session hijacking in unsecured wifi networks & secures email with Vigenere technique though Java. 7) The ISP evolution 8) The Curren Cyberthreat and trends En junio del 2011, el principal oficial de operaciones de Microsoft, Kevin Turner, visitó la isla de Puerto Rico y se reunió con los socios de la Cámara de Comercio de Puerto Rico. El tema principal fue cómo las empresas pueden beneficiarse y aumentar 5 su productividad en esta nueva era de la computación en la nube (cloud computing). Turner discutió la visión de Microsoft sobre la computación en la nube como un ente transformador de la industria de la tecnología de información y habló sobre las ventajas de este innovador servicio. Microsoft ofrece servicios en la nube al 50 por ciento de las empresas estadounidenses de mayor capital, según la Lista Fortune 500. La meta de la compañía es lograr incrementar en un año esta cifra al 65 por ciento y en dos años al 95 por ciento. Cerca de $4 mil millones, de los $65 mil millones en ingresos generados por la empresa en el año, provienen de las ventas realizadas en la nube (García, 2011). Presentación del problema Según Dynes, Brechbühl y Johnson (2005), determinar si una tecnología es apropiada para una empresa o no, es un proceso complejo y largo. En varias ocasiones, los gerentes, directores de sistemas de información y ejecutivos se quedan tratando de adivinar que tecnología de informática utilizarán en el futuro, que les brinde mayor seguridad, confiabilidad, disponibilidad, rentabilidad o costo-efectivo. Esta incertidumbre pude llevar a los profesionales a toman decisiones en equivocadas, dejando la seguridad de los sistemas de información totalmente vulnerables e incurriendo en inversiones costosas e innecesarias. En el 2005, Dynes, Brechbühl y Johnson (2005), realizaron un estudio para determinar la influencia que tienen los directores de sistemas de información en una empresa al momento de considerar la adopción de una tecnología. El estudio se llevó a cabo en 500 manufacturas y cuatro suplidores directos. Los resultados del estudio indicaron que los directores de sistemas de información son los principales agentes que influyen en las recomendaciones relacionadas a la adopción de la tecnología computacional en una organización (Daynes, Brechbuhl, & Johnson, 2005) . En el 2005, David R. Lease, realizo otra investigación basado en el estudio de Scott, Brechbühl y Johnson. El enfoque del estudio de Lease, era determinar los 6 factores que influyen en los gerentes de sistemas de información y administradores para recomendar o no una tecnología a las empresas. Los factores que Lease tomó en consideración en su estudio fueron la necesidad, la confiabilidad, el costo-efectivo y la seguridad de los sistemas de información en las biométricas. El estudio se llevó a cabo en las biométricas de los estados de Maryland, Virginia y el Distrito de Columbia. Los resultados del estudio demostraron que la decisión de los gerentes para recomendar sistemas tecnológicos en una biométrica, depende de la percepción que ellos tienen con relación a la seguridad, la eficacia, la necesidad, la fiabilidad y la rentabilidad. Los resultados también demostraron; que la seguridad, el costo-efectivo y la confiabilidad son temas que cada día son más importantes en el departamento de sistemas de información (Lease, 2005). Watson (2010), realizo un estudio para evaluar los factores que influyen en la adopción de la computación en nube según los gerentes y directores de sistemas de información de una empresa. El estudio de Lease (2005), fue la base para la investigación. Los factores que se consideraron para el estudio fueron la seguridad, necesidad, viabilidad y costo-efectivo. Los resultados del estudio demostraron que la adopción de la computación en nube, no es independiente de los cuatro factores: costoefectivo, su necesidad, fiabilidad y seguridad (Watson, 2010). Basado en estos estudios, esta investigación se centra en evaluar los factores que influyen en la adopción de la computación en nube en las universidades de Puerto Rico como una estrategia tecnológica, según los directores de informática y decanos administrativos de las universidades. Partiendo de la literatura existente; los factores que se evalúa en esta investigación son: el estatus de la computación en nube en las universidades de Puerto Ricos, la seguridad (confidencialidad, integridad y disponibilidad) y el costo-efectivo de la adopción de la computación en nube. 7 Propósito y justificación del estudio Anualmente las empresas, el gobierno y las universidades invierten gran parte de su presupuesto en el departamento de sistemas de información para la compra, mantenimiento y administración de sus recursos incluyendo los profesionales de informática (Gupta, 2011). Sin embargo, las organizaciones deben aprovechar el avance de la tecnología para ofrecer mejor servicio a sus clientes, reducción de costos y tiempo en la administración o mantenimiento de los sistemas de información, aumentar la disponibilidad y accesibilidad de los recursos, economía de escala, fomenta la innovación y eficiencia en los servicios tecnológicos (Moothoor & Vasvi, 2010). La computación en nube, es una tecnología emergente y es considerada como una estrategia tecnológica por varias organizaciones; por lo que, está siendo adoptada por varias universidades de los Estados Unidos (Jithesh & Vasvi, 2009), América Latina, Asia y la Unión Europea (Durán, 2010). Las empresas continuamente buscan la innovación con el fin de ofrecer mejores productos y servicios a sus clientes, bajar costos, alcanzar un mejor posicionamiento en el mercado y crecer como organización; ya que, se han dado cuenta que para ser más competitivas tienen que dejar de seguir haciendo lo mismo y promover más la innovación (Boss et al. 2007). La computación en nube brinda a las instituciones u organizaciones múltiples beneficios, como ser un sistema centralizado, economía de escala, fomenta la innovación, eficiencia y disponibilidad de los recursos, reducción de costos y administración o mantenimiento de los sistemas de información (Watson, 2010). Todos estos factores son muy atractivos especialmente para las pequeñas o medianas empresas. Sin embargo, estudios realizados por diferentes autores como ser Kessinger (2009), Ruiter & Warnier (2009), Accenture (2010), indican que existen varias preocupaciones en las empresas relacionadas con la adopción de la computación en nube. Entre las preocupaciones más relevantes presentadas por los autores están: la 8 pérdida de control de los datos, accesibilidad, confidencialidad, privacidad, integridad, regulaciones de cada país, dificultades de integración con el sistema existente, pocos proveedores del servicio y alto costo inicial. Pero, el factor de mayor preocupación es la seguridad de los datos. Durante los últimos años, la tecnología ha alcanzado mucha importancia para las empresas, sin importar el tipo de negocio al que se dediquen, especialmente las instituciones académicas. El Internet es uno de los elementos que más ha contribuido en el crecimiento acelerado y adopción de nuevas tecnologías de informática por parte de las organizaciones (Moothoor et al. 2009). En marzo del 2011 The Internet World Stats (MMG, 2011), presentó una distribución del incremento en el uso del Internet por región a nivel mundial desde el 2000 hasta el 2010 (ver Tabla 1.1). La información relacionada con el uso del Internet por región proviene de datos publicados por la firma Nielsen Online (firma de investigación) Tabla 1.1: Estadística del uso del Internet 2000 – 2011 WORLD INTERNET USAGE AND POPULATION STATISTICS March 31, 2011 World Regions Africa Asia Europe Middle East North America Latin America / Carib. Oceania / Australia WORLD TOTAL Population (2011 Est.) Internet Users Dec. 31, 2000 Internet Users Latest Data Growth 2000-2011 Users % of Table 118,609,620 922,329,554 476,213,935 68,553,666 272,066,000 215,939,400 Penetration (% Population) 11.4 % 23.8 % 58.3 % 31.7 % 78.3 % 36.2 % 1,037,524,058 3,879,740,877 816,426,346 216,258,843 347,394,870 597,283,165 4,514,400 114,304,000 105,096,093 3,284,800 108,096,800 18,068,919 2,527.4 % 706.9 % 353.1 % 1,987.0 % 151.7 % 1,037.4 % 5.7 % 44.0 % 22.7 % 3.3 % 13.0 % 10.3 % 35,426,995 7,620,480 21,293,830 60.1 % 179.4 % 1.0 % 6,930,055,154 360,985,492 2,095,006,005 30.2 % 480.4 % 100.0 % NOTES: (1) Internet Usage and World Population Statistics are for March 31, 2011. (2) CLICK on each world region name for detailed regional usage information. (3) Demographic (Population) numbers are based on data from the US Census Bureau . (4) Internet usage information comes from data published by Nielsen Online, by the International Telecommunications Union, by GfK, local Regulators and other reliable sources. (5) For definitions, disclaimers, and navigation help, please refer to the Site Surfing Guide. (6) Information in this site may be cited, giving the due credit to www.internetworldstats.com. Copyright © 2001 - 2011, Miniwatts Marketing Group. All rights reserved worldwide. Fuente: Internet World Stats – www.internetworlstats.com/stats.htm Copyright 2011, Miniwatts Marketing Group. 9 De acuerdo a los datos, la región de Norte América es la que contiene el porcentaje más alto (78.3%) de usuarios en el Internet. El incremento de usuarios en la misma década es de un 151.7%. Regiones como África, el Medio Este y América también han tenido un incremento significativo. Anualmente MIT Technology Review y la firma de investigación Gartner, Inc. seleccionan las diez tecnologías emergentes más importantes. La pregunta que sirve de base para que una tecnología sea considerada emergente es la siguiente: ¿podría ésta tecnología cambiar el mundo? Entre las 10 tecnologías emergentes para el 2011 está la computación en nube o cloud computing (MIT, 2010). En octubre del 2011, Gartner presentó las 10 principales tecnologías y tendencias que consideran serán estratégicas para la mayoría de las organizaciones para el 2012. Entre estas 10 tendencias tecnológicas se encuentra la computación en nube o cloud computing (Gartner, 2011). Gartner, define una estrategia tecnológica, como aquella capaz de impactar significativamente en las operaciones de una empresa. En ambos informes, el de MIT y el de Gartner, aparece la computación en nube como una tecnología emergente o estrategia tecnológica para las organizaciones. En 1995, Gartner diseño una gráfica para identificar las etapas de crecimiento o madurez por las que pasa una tecnología. La gráfica, conocida como The Gartner Hype Cycle se compone de cinco (5) fases o etapas de evolución de una tecnología. 10 Figura 1.1: Etapas de la madurez de las tecnologías (Hype Cycle) Fuente: Gartner (1995) Las etapas de madurez de las tecnologías se describen como sigue: 1) Technology Trigger (Tecnología de Activación) - pocas veces existen productos utilizables y la viabilidad comercial no está probada. 2) Peak of Inflated Expectations (Pico de Expectativas Infladas) - se generan expectativas desmedidas acerca de las posibilidades de la tecnología en cuestión. 3) Trough of Disillusionment (A través de la Desilusión) - se va diluyendo el interés, las implementaciones se retrasan o no llegan y algunos inversores empiezan a caer. 4) Slope of Enlightenment (Pendiente de la Ilustración) - comienzan a aparecer cada vez más aplicaciones reales y exitosas de la tecnología en las empresas. 5) Plateau of Productivity (Meseta de la Productividad) – finalmente, los criterios para determinar la viabilidad comercial comienzan a aclararse. Una vez al año, Gartner realiza un informe denominado Hype Cycle. El informe representa la evolución de lo que denomina visibilidad de una tecnología emergente en función del tiempo. En agosto del 2012, la firma Gartner publicó su análisis sobre la madurez de las tendencias en tecnologías de la información del 2011. En el informe, se puede ver en qué fase de evolución se encuentra la tecnología que le interesa adoptar a 11 una empresa (Fenn, 2012). La Figura 1.2, contiene el Hype Cycle de la madurez de las tecnologías para el 2011. Figura 1.2: Ciclo de vida de las tecnologías emergentes para el 2011 Fuente: Gartner (2012) En el 2008, la computación en nube aparecía en la etapa de Technology Trigger (Tecnología de Activación); sin embargo, en el informe del 2011 y 2012 la computación en nube, aparece en la fase de Peak of Inflated Expectations (Expectativas Exageradas). La computación en nube tiene sus ventajas y desventajas, al igual que sus beneficios y costos. Por tal razón, hay varias instituciones que aún tienen sus dudas o preocupaciones con respecto a su adopción. En el 2010, la compañía mundial de consultoría Accenture realizó un estudio sobre “La Apuesta de las Empresas por la Nube” (Accenture, 2010). Accenture es una compañía global de consultoría de gestión, servicios tecnológicos y outsourcing. Cuenta con más de 176,000 profesionales trabajando en más de 120 países. En el ámbito de la innovación, Accenture se 12 enmarca con la colaboración de la Fundación de la Innovación Bankinter. Entre las preocupaciones más relevantes de las empresas al momento de adoptar la computación en nube sobresalen la seguridad, la privacidad, la confidencialidad, el rendimiento e integración de la computación en nube con el sistema existente (ver Figura 1.3). Por otro lado, entre las posibles razones más importantes que las empresas están tomando en consideración para la adopción de la computación en nube, está la reducción de gastos en el hardware y el software, mayor flexibilidad y escalabilidad en el departamento de sistemas de información, capacidad de mayor recuperación en caso de desastres catastróficos (ver Figura 1.4). Figura 1.3: Principales preocupación por las empresas con relación a la adopción de la computación en nube Fuente: An SME perspective on cloud computing, encuesta de ENISA (The European Network and Information Security Agency). 13 Figura 1.4: Razones para la adopción de la computación en nube Eliminar Barreras Económicas Evitar gastos de H & S y soporte de SI Flexibilidad y escalabilidad en Si Aumentar la capacidad informática y el rendimiento del negocio Diversificación de los sistemas de SI Optimización la infraestructura de SI Capacidades de recuperación tras catástrofes Evaluar la viabilidad y rentabilidad de la información Incorporar recursos redundantes Controlar los beneficios y los costes marginales Otros Fuente: An SME perspective on cloud computing, encuesta de ENISA (The European Network and Information Security Agency). Un 73% de las pym es británicas (Accenture, 2010) tiene previsto subirse a las nubes en los próximos cinco (5) años, los factores son variados (ver Figura 1.4); no obstante, el 68% lo hace principalmente para reducir los costos. En el Reino Unido sólo un 13% utilizaba los servicios de la computación en nube en el 2009. La computación en nube, es la tecnología más próxima y está creciendo rápidamente. Según la firma de investigación, Market Rresearch IDC, se espera que los gastos en el departamento de sistema de información aumenten de alrededor $16 billones en el 2008 a $42 billones en el 2012. IDC también predice que para el 2012, los gastos de la computación en nube representarán el 25 por ciento del presupuesto del departamento de sistemas de información y que para el siguiente año representará un tercio del presupuesto. Según el IDC la computación en nube no solo ayudará a los individuos; sino que, también ayudará a reducir los costos de operación en el 14 departamento de informática en las compañías pequeñas, mediana y grandes (Gupta, 2011). Autores Duran (2010), Bourne (2010), Etro (2010), Watson (2010), Lease (2005), Ness (2005), Babu (2010), NIST (2010) y NSF (2008), han realizado estudios relacionados con el tema de la adopción de la computación en nube. En sus estudios, los autores identifican los principales factores y/o preocupaciones que influyen en las organizaciones al momento de considerar la adopción de la computación en nube. Entre los factores más importantes y relevantes se encuentran: 1) La seguridad de los datos. 2) El poco conocimiento relacionado a la computación en nube por las empresas. 3) La necesidad de adoptar la computación en nube por las empresas. 4) Los posibles problemas legales o regulaciones de cada país. 5) La accesibilidad, privacidad, integridad y confidencialidad de los datos. 6) Los beneficios asociados con la adopción de la computación en las organizaciones. 7) Los costos relacionados con la adopción y mantenimiento de la computación en nube. 8) Rendimiento de la computación en nube 9) Disponibilidad de los datos. 10) La credibilidad que brindan de los proveedores. Luego de identificar y evaluar los factores que intervienen en la adopción de la computación en nube como una estrategia tecnológica emergente por parte de las empresas; se han seleccionado los más relevantes que serán la base de esta investigación. Estos factores son la seguridad (confidencialidad, integridad y disponibilidad) de los datos y el costo de la adopción de la computación en nube. Por lo tanto; el propósito de esta investigación es identificar la influencia que tienen estos 15 factores en los directores de informática y decanos administrativos al momento de considerar la adopción de la computación en nube en las universidades de Puerto Rico. Objetivos de la investigación El objetivo principal de esta investigación es identificar y evaluar el nivel de importancia que tienen los principales factores que influyen en la adopción de la computación en nube, según los directores de informática y decanos administrativos de las universidades de Puerto Rico como una estrategia tecnológica. Los objetivos específicos de esta investigación son evaluar a través de los directores de informática y decanos administrativos de las universidades de Puerto Rico lo siguiente: 1) Identificar el estatus actual en el que se encuentran las universidades de Puerto Rico con relación a la adopción de la computación en nube. 2) Contrastar el nivel de importancia o influencia que tiene la seguridad (confidencialidad, integridad y disponibilidad) al momento de considerar la adopción de la computación en nube. 3) Identificar el nivel de importancia o influencia que tienen los costos de la adopción de la computación en nube. Además, la investigación está diseñada para proveerles a las universidades estrategias que les ayuden en el proceso de la toma de decisiones relacionadas a la adopción de la computación en nube o cualquier otra tecnología. Por otro lado, de acuerdo a los datos obtenidos con relación al estatus actual en el que se encuentran las universidades con respecto a la adopción de la computación en nube, se establecerá una relación entre las universidades privadas y públicas, con el propósito de determinar cuán proactivas son las instituciones con relación a la adopción de la tecnología de sistemas información como una estrategia de ventaja competitiva. Por último, a través 16 del estudio, se pretende establecer la base para futuras investigaciones relacionadas con la adopción de tecnologías emergentes por parte de las instituciones. Marco conceptual Para identificar el estatus actual de la computación en nube, se integraron los modelos de las categorías y etapas de la Adopción de la Tecnología de Everett Rogers en su libro Diffusion of Innovations (1995) y para identificar el nivel de importancia que tiene la seguridad de la información, al momento de considerar la adopción de la computación en nube se utilizó el modelo de seguridad de la información conocido como CIA Triangle (Confidentiality, Integrity and Availability). Ambos modelos, fueron utilizados como base de referencia en la investigación. Figura 1.5: Categoría de adopción de la tecnología P a r t i c i p a n t e s Adaptadores temprano 13.5% Innovadores 2.5% Mayoría precoz 34% Mayoría tardía 34% Rezagados 16% Tiempo Fuente: Basado en el Libro de Difusión de la Innovación de Rogers Everett, 1995 Etapas de adopción de la innovación De acuerdo a Everet Roggers, la adopción de una innovación es un proceso mediante el cual el individuo pasa de tener un primer conocimiento sobre la innovación, hasta su adopción o rechazo. Este proceso se le conoce como el ciclo de vida de la adopción de la tecnología, los pasos son los siguientes: 17 1) Conocimiento – los individuos tienen una idea general de la existencia de la tecnología, pero no se han formado una opinión sobre ella. 2) Persuasión - es donde se realiza una evaluación de la idea de adopción, reuniendo la información necesaria. 3) Decisión - en la etapa en la que se adopta o se descarta la innovación. 4) Implementación – las empresas ponen la innovación en uso. 5) Confirmación - en la que se continúa evaluando la decisión y las consecuencias de la misma. Este proceso implica tener información que le permite a las empresas reducir su nivel de incertidumbre con respecto a la innovación y determinar si les conviene o no adoptarla. Integración de las etapas y categorías de la adopción de la tecnología La integración de las características y etapas de la innovación aparecen en la Tabla 1.2 y la Figura 1.6: Integración del proceso de adopción y las categorías de la adopción de la Computación en Nube Figura 1.6, la cual contiene la relación para determinar o clasificar el momento de adopción de la computación en nube por las universidades. Tabla 1.2: Momento de adopción de la tecnología Etapas de Adopción de la Innovación (Según Everett Rogers) Conocimiento Tiempo que le tomará Adoptar el CN (en años) 5 Categorías de la Adopción de Innovaciones (Según Everett Rogers) Rezagados Persuasión 4 Mayoría Tardía Decisión 3 Mayoría temprana Implementación 2 Primeros Adaptadores Confirmación 1 Innovadores Fuente: Diseño propio basado en los modelos de las Etapas y Categorías de la Adopción de la Tecnología de Everett Rogers 18 Figura 1.6: Modelo integración de las etapas y categorías de la adopción de la tecnología C a t e g o r í a s Innovadores % Participantes Etapas Años 2.5% Adoptantes temprano 13.5% Confirmación Implementación 1 2 Mayoría precoz 34% Mayoría tardía 34% Decisión Persuasión 3 4 Rezagados 16% Conocimiento 5 Fuente: Diseño propio basado en los modelos de las Categorías y Etapas de la Adopción de la Tecnología de Everett Rogers Según Gartner (2010), el tiempo que le toma a una empresa adoptar una tecnología oscila entre uno (1) a cinco (5) años. Por lo tanto, para clasificar las universidades en una de las categorías del modelo de adopción de la innovación de Rogers, en esta investigación se considera un rango de tiempo de uno (1) a cinco (5) años. Donde las instituciones que estén en la etapa de confirmación serán clasificadas como innovadores; por lo que, el tiempo de adoptar la tecnología es debe ser un (1) año. Por otro lado, las organizaciones que están en la etapa del conocimiento serán consideradas rezagadas y el tiempo que les tomará la adopción de una tecnología debe ser de cinco (5) años. Por ejemplo, una institución que está en la etapa de conocimiento (al momento de realizar esta investigación) con relación al computación en nube, significa que le tomará aproximadamente cinco (5) años adoptar la computación en nube, por lo tanto, caería en la categoría de rezagados. 19 Modelo de seguridad de CIA Triangle Según Brodkin (2008), la postura de una organización con relación a la seguridad que perciba de la computación en nube dependerá de la madurez que ha alcanzado tecnológicamente (Brodkin, 2008). El factor de seguridad en esta investigación será abordado siguiendo el modelo de seguridad de CIA Triangle (Whitman & Mattord, 2009). Este modelo, ha sido utilizado desde los mainframe y es considerado un estándar de seguridad de la información. En 1991, Robert McCumber hizo una extensión de este modelo, añadiendo dos dimensiones más, cada una de estas dimensiones contienen tres (3) características. El modelo CIA Triangle (Figura 1.7), es un triángulo con tres componentes o características esenciales e importantes de la seguridad de la información, las cuales son la confidencialidad, integridad y disponibilidad de la información. Cuando la información es leída o copiada por alguien no autorizado se ha perdido la confidencialidad. Cuando la información es modificada por personas no autorizadas resulta en pérdida de integridad de la misma. Por otro lado, la información siempre debe estar accesible y disponible para las personas autorizadas (Whitman & Herbert, 2010). Figura 1.7: Modelo de seguridad CIA Triangle Seguridad de la Infoamción según la norma ISO/IEC 17799 Fuente: Libro Principles of Information Security, By Michael E. Whitman, Herbert J. Mattord 20 Según Cloud Computing Alliance (Alliance, 2009), la seguridad de los sistemas de información de las empresas se divide en capas o áreas. Las áreas de mayor atención para las organizaciones son: seguridad física (pysical security), seguridad de la red (network security) y la seguridad que proveen los proveedores (operational). 1) Seguridad Física (Pysical Security) - incluye las estrategias para proteger a las personas, bienes materiales y el lugar de trabajo de diversas amenazas, incluidos los incendios, el acceso no autorizado, o los desastres naturales. 2) Seguridad de la Red (Network Security) - se ocupa de la protección de los datos de una organización en red los dispositivos, las conexiones y contenidos y la capacidad de utilizar esa red para llevar a cabo las funciones de la organización de comunicación de datos. 3) Seguridad por el Proveedores (Operational) - asegurar la capacidad de la organización para llevar a cabo las actividades operativas, sin interrupción o compromiso. Los factores que influyen en la adopción de la computación en nube, serán evaluados desde el punto de vista de la toma de decisiones de los profesionales (directores de informática y decanos administrativos) que determinan la política de tecnología de la información en la organización. En el Capítulo II, aparece más información relacionada a estos modelos, el modelo de seguridad de la información (CIA Triangle) y el modelo de adopción de la tecnología de Everett Rogers (1995). Preguntas de investigación Para el desarrollo de este estudio, se formularon seis (6) preguntas de investigación que le sirvieron de pilar o guía en la investigación del tema. Las preguntas fueron utilizadas como punto de referencia para evaluar o contrastar entre los directores de informática y decanos administrativos de las universidades de Puerto Rico, el nivel de importancia que tienen los factores de confidencialidad, integridad, disponibilidad y 21 costo al momento de tomar la decisión de adoptar la computación en nube como una estrategia tecnológica. 1) ¿Qué conocimiento tienen los directores de informática y decanos administrativos de las universidades con relación a la computación en nube? 2) ¿Cuál es el estatus actual en cual se encuentran las universidades de Puerto Rico con relación a la adopción de la computación en nube? 3) ¿Cuál es el nivel de importancia que tiene la confidencialidad de los datos al momento de considerar la adopción de la computación en nube? 4) ¿Cuál es el nivel de importancia que tiene la integridad de los datos al momento de considerar la adopción de la computación en nube? 5) ¿Cuál es el nivel de importancia que tiene la disponibilidad de los datos al momento de considerar la adopción de la computación en nube? 6) ¿Cuál es el nivel de importancia que tienen los costos al momento de considerar la adopción de la computación en nube por las universidades? Hipótesis del estudio Basado en las preguntas de investigación, se han formularon cinco (5) hipótesis para medir el nivel de diferenciación de los dos grupos: directores de informática y decanos administrativos en las universidades de Puerto Rico. H1: Las universidades privadas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades públicas de Puerto Rico. H0: Las universidades públicas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades privadas de Puerto Rico. 22 H2: La confidencialidad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. H0: La confidencialidad de los datos es igual de importante para los decanos administrativos que para los directores de informática de las universidades al momento de adoptar la computación en nube. H3: La integridad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. H0: La integridad de los datos es igual de importante para los decanos administrativos que para los directores de informática de las universidades al momento de adoptar la computación en nube. H4: La disponibilidad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. H0: La disponibilidad de los datos es igual de importante para los decanos administrativos que para los directores de informática de las universidades al momento de adoptar la computación en nube. H5: Los costos de la adopción de la computación en nube son más importantes para los decanos de administración que para los directores de informática de las universidades. H0: Los costos de la adopción de la computación en nube son igual de importantes para los directores de informática que para los decanos administrativos de las universidades. 23 Importancia del estudio La computación en nube es una tecnología emergente de propósito general (GPT, por sus siglas en inglés), que podría proveer una contribución fundamental a la eficiencia en los sectores públicos y privado, así como promover la innovación, el crecimiento, la competencia y la creación de nuevos negocios (Durán, 2010). La decisión de adoptar la computación en nube como una alternativa virtual por las instituciones de educación superior, puede ser una de mucha complejidad por diferentes factores, tales como: la seguridad, la integridad, la accesibilidad, los beneficios que provee y la falta de conocimiento de esta tecnología. La nube provee a los estudiantes y a los profesores herramientas de productividad, como son procesadores de textos, hojas de cálculos, presentaciones, herramientas de colaboración, mientras sus documentos se mantienen en la nube (Prendes & Castañeda, 2009). Este estudio les proveerá a las autoridades de las universidades de Puerto Rico los mecanismos y las herramientas que les ayuden en el proceso de toma de decisión con relación a la adopción de la computación en nube dentro del marco del plan estratégico del departamento de sistemas de información. Además, este estudio le proveerá tanto a las empresas que están considerando adoptar la computación en nube, como a los proveedores de esta tecnología, los factores más críticos o relevantes que influyen en una organización al momento de adoptar la computación en nube desde la perspectiva de profesionales (directores de informática y decanos administrativos) que tienen el poder para tomar la decisión de la adopción. Este estudio puede tener alcances y beneficios para la adopción de futuras tecnologías emergentes en las organizaciones. 24 Definición de términos 1) Adopción - mide el resultado de la decisión de los productores(as) de usar o no una tecnología determinada en el proceso de producción. Frecuentemente se usa este concepto para identificar cuáles son los factores que influyen en la decisión del productor o la productora sobre aplicar o no, determinada tecnología (Rogers, 1995). 2) Alojamiento o Hosting - el alojamiento o hosting es el servicio que ofrece al cliente la posibilidad de almacenar sus datos vía Web (Sectorial, 2010). 3) Arquitectura de Sistemas - es el diseño o conjunto de relaciones entre las partes que constituyen un sistema. 4) Cliente-Servidor - el servidor es una computadora central, de gran capacidad, compartida por las otras computadoras de la red. Por otro lado, un cliente o estación de trabajo (workstation), es una computadora de donde el usuario se puede conectar a la red y hacer uso de los recursos de la red. Las estaciones de trabajo son controladas o administradas en la red por el servidor, de ahí el nombre de cliente-servidor (Shelly, Thomas, & Misty, 2009). 5) Confidencialidad – la información debe estar disponible sólo para los usuarios que tengan derecho legal a usarla y que estén autorizados a manejarla. Debe protegerse no sólo los datos, sino también el flujo de información. La amenaza relacionada con esta propiedad consiste en la sustracción de Información para usos ilícitos (Whitman & Herbert, 2010). 6) Computación en Nube (Cloud Computing) - es un modelo para habilitar el acceso a un conjunto de servicios computacionales (redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción mínimos con el proveedor del servicio(Mell & Grance, 2011). 25 7) Centro de Datos (Data Center) - un centro de datos es un repositorio centralizado de datos, ya sea físico o virtual, para el almacenamiento, gestión y difusión de datos e información organizada en torno a un conjunto de conocimientos o en relación con un negocio en particular (Ponniah, 2002). 8) Almacén de Datos (Data Warehouse) - es una colección central de base de datos relacional, diseñado para la consulta y el análisis en lugar de procesamiento de transacciones. Es una colección de datos transformados e integrados y almacenados para proveer información estratégica a la organización (Ponniah, 2002). 9) Dato - es una colección de hechos desorganizados los cuales pueden incluir palabras, números e imágenes que luego de ser procesados se convierten en información (Shelly et al. 2009). 10) Disponibilidad – asegurar que los usuarios autorizados tengan acceso a la información. Esta propiedad asegura que todo el que tenga autorización de acceso a determinada información, va a poder obtenerla en los plazos requeridos para el funcionamiento del negocio (Whitman et al. 2010). 11) Tecnologías Emergentes - innovaciones científicas que pueden crear una nueva industria o transformar una existente. 12) Extranet - es una red privada que utiliza la tecnología del Internet para compartir de forma segura parte de la información de una empresa o sus operaciones con proveedores, vendedores, socios, clientes u otros negocios (Shelly et al. 2009). 13) Grid Computing - esta modalidad de servicio permite a los usuarios acceder a capacidades de computación dependiendo de su uso y necesidades sin requerir un control centralizado y reúne dos características asociadas al Cloud Computing: infraestructura compartida y computación distribuida (Leavitt, 2009). 26 14) Hardware - son todos los componentes y dispositivos físicos y tangibles que forman una computadora como el CPU o la placa base. 15) Información - conjunto de datos procesados, organizados, tienen un significado y son útil para los usuarios en la toma de decisiones (Shelly et al. 2009). 16) Informática - ciencia que estudia el tratamiento automático de la información en computadoras, dispositivos electrónicos y sistemas informáticos (Shelly et al. 2009). 17) Infraestructura Tecnológica - la capacidad de proveer a los clientes los recursos necesarios para procesar, almacenar y transmitir los datos, lo cual incluye la instalación de software en su sistema (Alliance, 2009). 18) Integridad - salvaguardar la exactitud de la información en su procesamiento, así como su modificación autorizada. Esta característica de la seguridad permite asegurar que la información no sea alterada por personal no autorizado. Por lo que, la información que acceden los usuarios autorizados debes ser la última precisa, y completa. La amenaza correspondiente a esta propiedad consiste en la alteración de información bien por error o intencionadamente (Whitman et al. 2010). 19) Internet – es una red de computadoras conectadas entre sí por medio de líneas telefónicas, satélites, fibras ópticas o cualquier medio de telecomunicación (Shelly et al. 2009). 20) Intranet - es una red privada de colaboración que utiliza también la tecnología Internet (Shelly et al. 2009). 21) Mainframes – es un sistema de computadoras grandes y costosas, con gran capacidad de soportar cientos o miles de usuarios a la vez (Ponniah, 2002). 22) Plataforma de Sistemas - es el hardware sobre el cual se puede desarrollar el software ya sea sistemas operativos o aplicaciones. 23) Proveedor - compañía que provee el servicio de computación en la nube a las empresas. 27 24) Seguridad - es la protección de la información y sus elementos fundamentales, incluidos los sistemas y hardware utilizando para almacenar, procesar y transmitir la información (Whitman et al. 2010). 25) Sistemas de Información - es una colección de Hardware, Software, Datos, Personas y Procesos que han sido diseñados para generar información que le ayude a los usuarios en la toma de decisiones en una organización (Kendall & Kendall, 2009). 26) Software – conjunto de programas de computadoras que controlan el hardware y sirve de interface para el usuario (Shelly et al. 2009). 27) Tecnología - es un concepto amplio que abarca un conjunto de técnicas, conocimientos y procesos, que sirven para el diseño y construcción de objetos para satisfacer necesidades humanas (Shelly et al. 2009). 28) Terminal - dispositivo para entrar y recibir datos, contiene una pantalla, teclado y está conectado a una red. Delimitación del problema De acuerdo a una encuesta realizada por la firma Vanson Bourne en abril 2011, encontraron que la decisión de la adopción de la computación en nube en una empresa es asunto de los gerentes de sistemas de información y gerentes de la empresa (BSM, 2011). Por lo tanto, este estudio está dirigido a las personas que tienen mayor poder de decisiones en una institución educativa al momento de considerar la adopción de la computación en nube, estos profesionales son los directores informática y decanos administrativos de las Universidades de Puerto Rico. La investigación está delimitada geográficamente a las universidades públicas y privadas en Puerto Rico. La misma está enfocada desde el punto de vista de los clientes, no de los usurarios, ni de los proveedores del servicio de computación en nube. Por lo tanto, el personal a quien va dirigido este estudio son los directores de 28 informática y decanos administrativos de las universidades en Puerto Rico. Las áreas de investigación son las siguientes: 1) Estatus actual en el que se encuentran las universidades de Puerto Rico con relación a la adopción de la computación en nube. 2) Contrastar o evaluar el nivel de relevancia que tienen los factores de seguridad (confidencialidad, integridad y disponibilidad) y el costo de la adopción de la computación en nube. 29 CAPÍTULO II REVISIÓN DE LITERATURA Antecedentes históricos Según el Instituto Nacional de Estándares y Tecnología (National Institute of Standard and Technology, NIST), computación en nube es un modelo que incorpora el software como servicio y utiliza la plataforma del Internet para habilitar al usuario el acceso a un conjunto de servicios y recursos computacionales (redes, servidores, almacenamiento, aplicaciones y servicios) provistos de manera conveniente y por demanda, los cuales pueden ser liberados rápidamente con un mínimo de esfuerzo administrativo por un proveedor de estos servicios de nube (Mell et al. 2011). Para Gartner (2010), La computación en nube es un paradigma en el cual la información está permanentemente almacenada en servidores en la Internet, de donde los clientes pueden acceder a la misma a través laptops, notebook, desktop o cualquier otro dispositivo electrónico con acceso al Internet. Por otro lado, Kia Behnia (2010), define en su estudio de Cloud Computing, una perspectiva, la computación en nube en un nuevo modelo de servicio que está en proceso de evolución y suministra aplicaciones comunes de negocios en línea, accesibles desde un navegador web, mientras el software y los datos se almacenan en los servidores. David Correa (2009), indica que la computación es una forma de ejecutar aplicaciones y almacenar la información que se procesa en distintos centros de datos y los usuarios pueden acceder a los servicios que están en la nube de una forma rápida y fácil, aprovechando el incremento de las capacidades de la infraestructuras de banda ancha existente (Carrera, 2009). La computación en nube es un término que describe la evolución del desarrollo de muchas tecnologías existentes y que enfoca la tecnología computacional en algo 30 diferente. Mejora la colaboración, rapidez, escalabilidad y disponibilidad de los datos y ofrece una potencialidad de reducción de los costos optimizando la eficiencia y efectividad (Alliance, 2009). Computación en nube se diferencia de los sistemas tradicionales, en que las empresas o instituciones no tienen la necesidad de conocer la infraestructura detrás de la computación en nube, tampoco tienen que tener personal experto para administrar la red. Las aplicaciones y servicios pueden fácilmente crecer (escalar), funcionar rápido y casi nunca fallan. Por lo general, este tipo de servicio se paga según alguna métrica de consumo, no por el equipo usado en sí, sino por el consumo de electricidad o por uso de CPU/hora como en el caso de Amazon Elastic Compute Cloud (Amazon EC2). El EC2 es un sistema virtual de hosting sobre la nube de Amazon bajo demanda, lo que significa que utiliza un sistema de replicación de servidores basado en imágenes que permite replicar un servidor muy fácilmente para escalar aplicaciones. La computación en nube incorpora el software como servicio, de modo que los usuarios puedan acceder a los servicios disponibles y utilizar el software sin que esté instalado en su máquina (Lundstrom, 2010). Según el National Institute of Standards and Technology (NIST), el modelo de computación en nube, está compuesto por cinco (5) características esenciales, tres (3) modelo de servicios y cuatro (4) modelo de implementación (Mell & Grance, 2011). Características de la computación en nube Las principales características de la computación en nube, según el NIST son las siguientes: 1) Auto-servicio por Demanda (On-Demand Self-Service) - los servicios pueden ser solicitados por el usuario o cliente a través del Internet directamente. El usuario paga únicamente por el tiempo de uso del servicio. 31 2) Accesibilidad (Broad Network Access) - los servicios están desplegados en la nube y son accesibles desde cualquier medio con acceso a la red (Internet, Intranet o Extranet). Las aplicaciones en la nube están en la red y disponibles para los usuarios, que podrán acceder a ellas a través de su computadora personal o incluso desde los teléfonos móviles. 3) Fondo Común de Recursos (Resource Pooling) - los servicios se encuentran en la nube para ser usados por múltiples usuarios bajo un modelo multi-arrendatario en diferentes lugares del mundo. Esto genera una independencia de la ubicación de los recursos aprovechando la naturaleza del Internet (Internet, Intranet o Extranet). 4) Elasticidad (Rapid Elasticity) - la cantidad de los servicios ofrecidos en la nube puede aumentar o disminuir rápidamente dependiendo de las necesidades cambiantes de los usuarios. 5) Servicio Medido (Measured Service) - cada recurso que consume el usuario y que es facturable debe ser medido, no sólo para fines de facturación sino también de control. Este servicio puede ser vendido al mismo usuario o cliente dentro de su contexto y/o ambiente. Modelo de servicios de la computación en nube El modelo de servicio de la computación en nube, se divide en tres modalidades o capas (Mell & Grance, 2011). Software como servicio (Software as a Service, SaaS) – es un modelo de distribución de software que consiste en un suministro de software bajo demanda en el que la aplicación está alojada en un servidor web y los usuarios acceden directamente previa adquisición de la correspondiente licencia de uso. Una empresa ofrece el mantenimiento, apoyo operacional a los clientes durante el tiempo que dure el contrato de servicio. El usuario usa la aplicación como si estuviera instalada en la computadora, pero se accede vía el navegador; sin embargo, el usuario no tiene control del software. 32 Este modelo permite disponer de las aplicaciones más avanzadas sin tener que realizar una cuantiosa inversión inicial. Salesforse, Basecamp, Google Apps y Proofpoint son ejemplos de empresas que ofrecen el servicio de SaaS (Chakaravarti, 2010). Infraestructura como Servicio (Infrastructure as a Service, IaaS) - consiste en la externalización de las máquinas de procesamiento de datos por medio de la virtualización, eliminando la necesidad de mantener los centros dentro de la empresa. Este servicio se basa en la distribución virtual de la infraestructura de computación; a través del mismo, se puede adquirir la plataforma necesaria para instalar los servidores. Una diferencia fundamental con el alojamiento (hosting) virtual es que los servicios se proveen de manera integral a través del web. El usuario puede usar recursos específicos por medio de los cuales implementa y utiliza aplicaciones y sistemas operativos. También puede controlar el almacenamiento, pero no el resto de la infraestructura de la nube. Amazon Web Services EC2, Rockspace y GoGrid son ejemplo de empresas que ofrecen este servicio Mell et al. (2011). Plataforma como Servicio (Plataform as a Service, PaaS) - este servicio engloba una plataforma completa de software que permite el despliegue (desarrollo y suministro) de aplicaciones web sobre una infraestructura. El usuario puede usar recursos específicos por medio de los cuales implementa y utiliza aplicaciones y sistemas operativos. Por otro lado, puede controlar el almacenamiento, pero no el resto de la infraestructura de la nube. Otra característica importante es que no hay descarga de software que instalar en los equipos de los desarrolladores. Googles App Engine, Windows Azure, Bungee son ejemplos de empresas que proveen este servicio (Mell & Grance, 2011). En la Figura 2.1, se pude apreciar gráficamente cada una de las tres (3) capas o modalidades del modelo de servicio de la computación en nube. 33 Figura 2.1: Modelos de servicios de la computación en nube Fuente: Cloud Security Alliance - Security Guidance for Critical Areas of Focus in Cloud Computing V2.1, 2009 Es importante mencionar que todos estos servicios se facturan en función de los recursos consumidos que normalmente son el reflejo del nivel de actividad del sistema. Modelos de implementación de la computación en nube Según el NIST, independientemente del modelo de servicio utilizado (SaaS, IaaS o PaaS), hay cuatro modelos de implementación para los servicios de la computación en nube Mell et al. (2011), con variaciones según las necesidades específicas: Nube Pública (Public Cloud) - la infraestructura de la nube es puesta a disposición del público en general o de la industria y es propiedad de una organización de venta de servicios de la nube. Es un servicio de venta al público en general con una infraestructura a gran escala para su apoyo. 34 Nube Privada (Private Cloud) - la infraestructura de la nube es operada solamente por una organización. Es un servicio de propiedad o alquilada por la empresa. Nube de Comunidad (Community Cloud) - la infraestructura de la nube es compartida por varias organizaciones y le brinda apoyo a una comunidad específica que ha compartido las preocupaciones (por ejemplo, la misión, los requisitos de seguridad, la política o consideraciones de cumplimiento). Nube Híbrida (Hybrid Cloud) - es una combinación de las nubes públicas y privadas. Por lo general, estas nubes son creadas por empresas, aunque las responsabilidades de gestión se dividen entre la empresa y el proveedor de la nube pública. La nube híbrida aprovecha al máximo los servicios que se encuentran tanto en el espacio público como en el privado. Según el NIST, para el 2010 en Estados Unidos, un 58% de las computaciones en la nube las ocupaba las redes privadas, un 26% las redes hibridas y un 16 por ciento las redes públicas. Figura 2.2: Modelo de implementación de la computación en nube Fuente: Cloud Security Alliance - Security Guidance for Critical Areas of Focus in Cloud Computing , 2010 35 Figura 2.3: Resumen de modelos y características de la computación en nube Fuente: Cloud Security Alliance - Security Guidance for Critical Areas of Focus in Cloud Computing , 2010 Modelos de referencia utilizados como base en la investigación Para esta investigación se utilizaron dos modelos de referencia los cuales son el modelo de Adopción de la Tecnología y el modelo de Seguridad de la Información. Modelo de adopción de la tecnología según Everett Roger El concepto de la adopción tecnológica, expresa la aceptación del desarrollo de las tecnologías de la información y de la comunicación a la vida cotidiana. La novedad de una innovación, por otra parte, no sólo implica nuevo conocimiento. Alguien puede saber que existe una innovación, pero no haber desarrollado una actitud favorable hacia la misma, haberla adoptado o rechazado. La “novedad” de una innovación puede ser expresada en términos de conocimiento, persuasión o de una decisión de adoptar. Según Everett Rogers, en su libro Diffusion of Innovations (Rogers, 1995) escrito en 1962 (va por la cuarta edición), la innovación es una idea, práctica u objeto que es percibido como nuevo por un individuo o unidad de adopción. Ese acto de percepción 36 implica que la innovación puede o no ser objetivamente nueva, siempre que sea percibida como nueva para quien la adopta (Rogers, 2003). Atributos de las innovaciones - según Roggers, los siguientes atributos de las innovaciones podrían influir en la tasa de adopción: 1) Ventajas relativas - sí en realidad lo que se está proponiendo es mejor que lo que se está reemplazando. Si vale la pena el cambio e implica riesgos razonables (siendo uno de los riesgos principales el costo). 2) Posibilidad de observación - si se pueden ver los resultados y consecuencias de la aplicación de la innovación. Hasta qué punto la innovación proporciona resultados tangibles o visibles. 3) Compatibilidad - si la innovación es compatible con los valores, cultura, experiencias previas y necesidades de los usuarios potenciales. Cuán compatible es la innovación con los valores, hábitos, experiencia y necesidades de las personas que posiblemente la adoptarían. 4) Complejidad - si son innovaciones fáciles de aplicar, comprender, mantener y si es fácil de entender su aplicabilidad. Cuán difícil parece entender o utilizar la innovación. 5) Posibilidad de ensayo - hasta qué punto la innovación puede probarse o experimentarse antes de adquirirse. Mientras mayor sea el número de estos elementos presente en una innovación cualquiera, mayor será la posibilidad de que ésta sea adoptada. Etapas de adopción de la innovación De acuerdo a Everet Roggers, la adopción de una innovación es un proceso mediante el cual el individuo (o una unidad de adopción) pasa de tener un primer conocimiento sobre la innovación, hasta su adopción o rechazo. Este proceso se le 37 conoce como el ciclo de vida de la adopción de la tecnología, los pasos son los siguientes: 1) Conocimiento – los individuos tienen una idea general de la existencia de la tecnología, pero no se han formado una opinión sobre ella. 2) Persuasión - es donde se realiza una evaluación de la idea de adopción, reuniendo la información necesaria. 3) Decisión - en la etapa en la que se adopta o se descarta la innovación. 4) Implementación – las empresas ponen la innovación en uso. 5) Confirmación - en la que se continúa evaluando la decisión y las consecuencias de la misma. Este proceso implica tener información que le permite a las empresas reducir su nivel de incertidumbre con respecto a la innovación y determinar si les conviene o no adoptarla. Categorías de la adopción de tecnología Según el Modelo de Everett Rogers, el proceso de adopción depende del momento relativo que les toma a las instituciones adoptar la innovación. Algunas instituciones requerirán mayor tiempo para tomar la decisión de adoptar, mientras que otros se moverán rápidamente del conocimiento sobre la innovación a su adopción. Todo dependerá de la complejidad de la estructura que adopta la innovación. Estos momentos han sido categorizados e integrados en modelos. Uno de esos modelos es el sociológico, desarrollado originalmente por Joe M. Bohlen y George M. Beal en 1957 en la universidad del estado de Iowa. Su propósito era seguir los patrones de la compra del maíz híbrido a los granjeros. Aproximadamente seis años más tarde Everett Rogers ensanchó el uso de este modelo en su libro, difusión de innovaciones. El modelo describe la adopción o la aceptación de un producto nuevo o de una innovación, según las características demográficas y psicológicas de los grupos 38 definidos. EL proceso de adopción se ilustra en la Figura 2.6 como curva clásica de la distribución normal o “de la campana” (Beal & Bohlen, 1957). Figura 2.4: Modelo de las categorías de adopción de la tecnología P a r t i c i p a n t e s Adaptadores temprano 13.5% Innovadores 2.5% Mayoría precoz 34% Mayoría tardía 34% Rezagados 16% Tiempo Fuente: Basado en el libro de Difusión de la Innovación de Rogers Everett, 1995 Para Rogers es posible identificar cinco grupos o categorías que resultan de la adopción de una innovación, según sea el momento relativo de la adopción. Cada categoría tiene una tasa de aceptación dependiendo del tiempo o el momento de adopción de la tecnología. 1) Los innovadores o generadores (2.5%) - son los primeros individuos o empresas en adoptar una innovación, se les caracteriza como aventureros, siempre ansiosos de experimentar nuevas tecnologías. Este grupo representa el 2.5% de las empresas en adoptar la tecnología según el modelo. 2) Los primeros adaptadores (13,5%) - calificados como respetables, líderes en el negocio. Personifican el concepto de usar nuevas ideas con éxito y discreción. Adoptan la tecnología porque reconocen sus beneficios y no por la necesidad de tener referencias confiables. Son reconocidos como líderes capaces de influenciar la 39 conducta de otros en el negocio. Este grupo representa el 13.5% de las empresas en adoptar la tecnología según el modelo. 3) La mayoría temprana (34%) - son los deliberantes, ya que deliberan antes de acoger totalmente una nueva idea. "Ni el último en abandonar lo viejo ni el primero en ensayar lo nuevo". Requieren tener referencias de experiencias exitosas antes de adoptar la innovación. Representa el 34% de las empresas en adoptar la tecnología según el modelo. 4) La mayoría tardía (34%) - son los escépticos, asumen un aire de desconfianza y cautela ante las innovaciones. Se sienten incómodos con la tecnología y les resulta indispensable la presión de sus congéneres para motivar la adopción. Este grupo representa el 34% de las empresas en adoptar la tecnología según el modelo. 5) Los rezagados (16%) - son los últimos en adoptar la innovación o simplemente la rechazan. Aquí se incluyen, los individuos que en su mayoría nunca llegan a adoptar. Son los tradicionales, su única referencia es el pasado y toman sus resoluciones con el criterio de lo que ha realizado la generación anterior. Este grupo representa el 16% de las empresas en adoptar la tecnología según el modelo. Al representar gráficamente la adopción de la computación en nube por las empresas, la gráfica podría ser una curva en forma de S, esto lo que significa es, que la adopción es lenta en la etapa inicial y se incrementa al mismo tiempo que el número de adoptantes también lo hace. La curva puede ser vertical u horizontal dependiendo del tiempo que tarde la adopción de la innovación. Un ejemplo, la electricidad tardó décadas en ser utilizada debido a que requería el desarrollo de una infraestructura. Por el contrario, los teléfonos celulares, las videograbadoras o el microondas, desarrollaron una tasa de adopción relativamente rápida. Es normal que al inicio de una innovación las empresas se sientan con temores a lo desconocido. Como toda tecnología, la adopción de la computación en nube tiene sus beneficios y preocupaciones para las 40 empresas. La tasa de adopción de la innovación se mide generalmente por el tiempo requerido por cierto porcentaje de miembros de un sistema para adoptar una innovación (tiempo/número de participantes). En cierto modo, esta tasa mide cuántos usuarios adoptan una innovación en un período determinado de tiempo. Se considera que la innovación se mueve lentamente a través de un grupo social en sus fases iniciales. Luego, a medida que el número de individuos (los adoptantes) experimentan la innovación, se incrementa la difusión de la nueva idea y la tasa de adopción crece de una manera más rápida (Rogers, 1995). De acuerdo a un estudio realizado por Avanade Global Cloud Computing Survey.en el 2009, para finales del 2009 las empresas que habían considerado adoptar la computación en nube se encontraban en la faces de primeros adaptadores (FTF, 2010). Modelos de seguridad de los sistemas de información Para comprender el concepto de seguridad de los sistemas de información, es necesario comprender o conocer el concepto en sí de seguridad. Por lo tanto, seguridad es la cualidad o estado de estar seguro y protegido de cualquier peligro, riesgo o daño que nos pueda causar el adversario. Por otro lado, la seguridad de los Sistemas de Información, se refiere al proceso y metodología en el cual se diseñan e implementan sistemas para proteger la información y evitar el acceso a los datos y al equipo electrónico de intrusos mal intencionados (Whitman & Mattord, 2009). La información es un recurso muy valioso para todas empresas, por lo que los Sistemas de Información juegan un papel muy importante con respecto a la seguridad de los datos de las empresas. El concepto de seguridad de los datos no solamente es asunto del departamento de Sistemas de Información, sino que, también es responsabilidad de cada miembro de la empresa, especialmente los gerentes. Las empresas están cambiando de un entorno, en donde solamente los usuarios miembros de esa empresa acceden a un sistema central privado a un sistema de 41 puertas abiertas a los colaboradores, como son los proveedores, accionistas y clientes (Alamill, 2008). Para muchas empresas la seguridad de los datos a través de la computación en nube es preocupante y amenazadora, ya que, pone en riesgo la información de la empresa. Sin embargo, es importante conocer que existen modelos de seguridad que permiten mantener la seguridad de los datos de una forma sistematizada y segura. Con el objetivo de brindar seguridad a la información a través de los sistemas de información, se han desarrollado modelos de seguridad. CIA Triangle Model El modelo Triángulo CIA, se compone de tres componentes para evaluar la seguridad de la información. Este modelo ha sido utilizado desde las mainframe y se le ha considerado un estándar de seguridad en la industria de la informática. Los tres (3) componentes o características son: confidencialidad (confidentiality), Integridad (integrity) y disponibilidad (availability) de los datos. Estas características de la seguridad son tan importantes hoy día como lo eran antes (Whitman & Mattord, 2009). Figura 2.5: Modelo de seguridad CIA Triangle Fuente: Principles of Information Security, By Michael E. Whitman, Herbert J. Mattord 42 Este modelo es la base para evaluar el factor de seguridad en las universidades de Puerto Rico al momento de considerar la adopción de la computación en nube. Las características se describen a continuación. 1) Confidencialidad (Confidentiality) - la información debe estar accesible sólo por aquellas personas que tienen acceso autorizado. Este componente está estrechamente relacionado con la privacidad. Los datos sólo están disponibles para las partes interesadas y que tengan autorización de acceso a los mismos. 2) Integridad (Integrity) - es la certeza de que los datos no serán modificados o destruidos por personas no autorizadas. Hay dos puntos durante el proceso de transmisión, que la integridad podría ser comprometida: durante la carga o transmisión de datos y durante el almacenamiento del documento en la base de datos. 3) Disponibilidad (Availability) – solamente los usuarios autorizados debe tener acceso a la información cuando sea necesario. La información debe estar disponible cuando se necesita; por lo tanto, los Sistemas de Información debe tener controles de seguridad, deben funcionar adecuadamente y deben de existir canales de comunicación. La disponibilidad no implica que la información este accesible a cualquier usuario, lo que significa es que esté disponible para los usuarios autorizados. CNSS / NSTISSC Security Model (McCumber Cube) Este modelo fue diseñado en 1991 por John R McCumber, por lo que se le conoce como el Cubo de McCumber. También se le conoce como CNSS Security Model o NSTISSC Security Model; ya que, está incluido en los estándares 4011del Committe on National Security System (CNSS) anteriormente National Security Telecommunications and Information Systems Security Committee (NSTISSC). Este 43 modelo es una extensión del modelo CIA Triangle y cambia de triangulo a cubo (ver Figura 2.5). En junio 1992, el modelo fue expuesto por John R. McCumber en el “Datapro on Information Security IS09-800-201 Concepts & Issues”. El modelo fue presentado como un cubo con tres dimensiones que se convierten en 27 celdas como marco de actuación (Maconachy, Schou, Ragsdale, & Welch, 2001). Las tres dimensiones con sus respectivos componentes o características son las siguientes: 1) Características de la Información - confidencialidad, integridad y disponibilidad (contenidas en el modelo CIA Triangle). 2) Estados de la información - Almacenamiento (Storage), procesamiento (Processing) y transmisión (Transmission). 3) Medidas de seguridad - tecnología, normas y formación. Figura 2.6: Modelo de seguridad de la información CNSS / NSTISSC Transmisión Almacenamient Proceso Fuente: John McCumber, 1992 44 Este modelo representa una parte integral de la seguridad de la información y se ha convertido en un estándar aceptado para la seguridad de los sistemas de información. Según John R McCumber, el modelo puede ser utilizado en cualquier organización independiente de la arquitectura o tecnología de gestión de la información; ya que, su aplicación es universal y no está restringida a un sólo tipo de organización (Whitman & Herbert, 2010). A partir de este modelo, se puede definir la seguridad de la información como todas aquellas medidas tecnológicas de normas, procedimientos y de formación que aseguren la confidencialidad, integridad y disponibilidad de la información en sus estados de proceso, almacenamiento y transmisión (Villena, 2006). En esta investigación, el factor de seguridad es evaluado tomando como referencia o base el modelo CIA Triangle, lo que equivale a la dimensión de características de la Información (confidencialidad, integridad y disponibilidad de los datos) del modelo de Robert McCumber. Tendencias tecnológicas Los editores de MIT Technology Review, anualmente seleccionan las diez tecnologías emergentes más importantes. La pregunta que sirve de base para que una tecnología sea considerada emergente es la siguiente: ¿podría esta tecnología cambiar el mundo? Technology Review y es una compañía independiente de medios de comunicación del Massachusetts Institute of Technology. El Technology Review promueve el conocimiento de las tecnologías emergentes así como analiza sus implicaciones comerciales, políticas y sociales. La perspectiva sobre la innovación es asistir a líderes del mundo de la tecnología y de los negocios, emprendedores, investigadores, inversores y financieros, para llevar adelante la economía global. 45 De acuerdo a la revista MIT Technology Review, entre las 10 tecnologías emergentes para el 2010 está la computación en nube o “Cloud Computing”, las otras nueve (9) tecnologías emergentes son (MIT, 2010): 1) Búsqueda en Tiempo Real (RealTtime Search) - las redes sociales están cambiando la manera en que se encuentra la información. 2) Dispositivos Móviles 3-D (Mobil 3-D)- teléfonos inteligentes con pantallas en 3D. 3) Ingeniería de Células Madre (Engineered Stem Cells) - reproducción y combate a enfermedades. 4) Combustible Solar (Solar Fuel) - la fuente perfecta de combustible renovable. 5) Trampas Fotovoltaicas de Luz (Light-Trapping Photovoltaics) - nano partículas que mejoran el uso de la luz solar. 6) Televisión Social (Social TV)- confiando en las relaciones humanas para reconstruir las audiencias en la televisión. 7) Concreto Verde (Green Concrete) - introducir dióxido de carbono en el cemento. 8) Implantes Electrónicos (Implantable Electronics) - dispositivos que se disuelven para mejores implantes médicos. 9) Anticuerpos de Acción Dual (Dual-Action Antibodies) - combatir el cáncer de manera más eficiente. En octubre de 2011, los analistas de Gartner, Inc. presentaron en el Sumposium/ITxpo que se llevó a cabo en Stamford, las 10 principales tecnologías y tendencias que consideran serán estratégicas para la mayoría de las organizaciones en 2011. Gartner, define una estrategia tecnológica, como aquella capaz de impactar significativamente en las operaciones de una empresa. Estas estrategias tecnológicas, influyen en los planes a largo plazo de las organizaciones, programas e iniciativas (Gartner, 2011). Las 10 estrategias y tendencias tecnológicas para 2011, según Gartner son: 46 1) Cloud Computing (Computación en Nube) - es un estilo de informática, caracterizado por un modelo en el cual los proveedores, ofrecen una variedad de servicios en el área de Sistemas de Información (SI), orientado a los consumidores. La computación en nube se basa en servicios que pueden ser adquiridos en distintas formas por el cliente. 2) Mobile Applications and Media Tablets (Aplicaciones móviles y Tablet) - Gartner estima que para finales de 2010, 1.2 millones de las personas portarán teléfonos capaces de ofrecer un ambiente ideal para la convergencia de movilidad y web. 3) Social Communications and Collaboration (Comunicación Social y colaboración) – son los medios sociales que se pueden dividir en las redes sociales el análisis de las redes sociales (ARS). Gartner predice, que para el año 2016, las tecnologías sociales se integrarán con la mayoría de las aplicaciones de negocio. 4) Video (Vídeo) – es como un tipo de soporte estándar que deben utilizar las empresas como medios de comunicación. Gartner cree que el video se convertirá en los próximos tres años en un tipo de contenido común y un modelo de interacción para la mayoría de los usuarios. 5) Next Generation Analytics (Análisis de la Próxima Generación) – es la capacidad para realizar simulaciones o modelos para predecir los resultados futuros y hacer predicciones en tiempo real para apoyar cada acción de negocios individuales. 6) Social Analytics (Análisis Social) – es el proceso de medición, análisis e interpretación de los resultados de las interacciones y asociaciones entre las personas, temas e ideas. El análisis social es un término general que incluye una serie de técnicas de análisis especializados como filtrados, análisis de redes sociales, análisis de opinión y medios de comunicación social. 7) Context-Aware Computing (Informática Sensible al Contexto) - usan la información del usuario final o el medio ambiente, las conexiones de las actividades y 47 preferencias para mejorar la calidad de la interacción con el usuario final. Gartner predice que para el año 2013, más de la mitad de las compañías del Fortune 500 se habrán sumado a iniciativas de computación sensibles al contexto. 8) Storage Class Memory (Clase de Almacenamiento de Memoria) - Gartner considera que se ampliará el uso de la memoria flash en los dispositivos de consumo, equipos de entretenimiento y otros sistemas de SI integrados. 9) Obiquitous Computing (Computación Ubicua) - a medida que las computadoras proliferan como objetos de uso cotidiano se dan la capacidad de comunicarse con las etiquetas RFID (Radio Frequency Identification) y sus sucesores. 10) Fabric-Based Infrastructure and Computers (Infraestructura de Tela Base y Equipos) - un equipo de tela es una forma modular de la informática, lo que puede ser un sistema agregado de módulos separados del bloque de edificios conectados a través de una tela o de plano posterior encendido. En ambos informes, el de MIT y el de Gartner, aparece la computación en nube como una tecnología emergente o tendencia tecnológica para las organizaciones. En el 1995, la consultora estadounidense Gartner, creó una gráfica para medir las etapas de crecimiento o madurez de las nuevas tecnologías. La gráfica es conocida como The Gartner Hype Cycle se compone de cinco (5) fases o etapas de evolución de una tecnología. La figuras de Figura 2.7, contiene las distintas fases, en términos de madurez y visibilidad por las cuales pasa una tecnología. 48 Figura 2.7: Etapas de madurez de las tecnologías emergentes (Hype Cycle) Fuente: Gartner (1995) Para Gartner cada una de estas etapas es crucial en el desarrollo de cualquier tecnología. 1) Technology Trigger (Tecnología de Activación) - es el inicio, el lanzamiento de la nueva tecnología y sus primeras expectativas y repercusiones mediáticas. En esta fase pocas veces existen productos utilizables y la viabilidad comercial no está probada. 2) Peak of Inflated Expectations (Pico de Expectativas Infladas) - la fase en la que se generan expectativas desmedidas acerca de las posibilidades de la tecnología en cuestión. Los casos de éxito (y algunos de fracaso) se suceden y publicitan y todos quieren adoptar esa tecnología. Las expectativas se inflan muy por encima de la realidad. 3) Through of Disillusionment (A través de la Desilusión) - se va diluyendo el interés, las implementaciones se retrasan o no llegan y algunos inversores empiezan a caer. Las expectativas iniciales creadas no se cumplen y algunos abandonan la tecnología. 4) Slope of Enlightenment (Pendiente de la Ilustración) - comienzan a aparecer cada vez más aplicaciones reales y exitosas de la tecnología en las empresas. Se 49 mejorar las tecnologías con los productos / servicios. Los conservadores esperan, pero muchas compañías retoman con interés sus pruebas. 5) Plateau of Productivity (Meseta de la Productividad) – finalmente, los criterios para determinar la viabilidad comercial comienzan a aclararse. La adopción multitudinaria de la tecnología comienza a ser una realidad y la tecnología comienza a ser rentable. Una vez al año, la firma consultora estadounidense Gartner realiza un informe denominado Hype Cycle. El informe representa la evolución de lo que denomina visibilidad de una tecnología emergente en función del tiempo. En agosto de 2011, la firma de analista de Gartner publicó su análisis sobre la madurez de las tendencias en tecnologías de la información del 2011 (Fenn, 2012). Según el informe del 2011, se puede ver en la fase de evolución en la que se encuentra la tecnología que le interesa adoptar a una empresa. La siguiente Figura 2.8, contiene el Hype Cycle de la madurez de las tecnologías para el 2010. Figura 2.8: Ciclo de vida de las tecnologías emergentes para el 2011 Fuente: Gartner (agosto, 2011) 50 En el informe del 2008, la computación en nube (cloud computing) aparecía en la etapa de Technology Trigger; sin embargo, en el informe del 2011 y 2012, presentado por Gartner la computación en nube aparece en la fase de Peak of Inflated Expectations (Expectativas Exageradas). Gartner cataloga a la Web2.0, la computación en nube, el Internet TV o los mundos virtuales como tecnologías transformacionales; lo que significa, que tendrán un gran impacto en la industria de tecnológica. Según Gartner, para el 2011 la adopción temprana de la tecnología va reducir los gastos de capital y la compra en un 40%. Además, Gartner y Daryl Plummer concluyen que la percepción de la infraestructura como algo que debe ser comprado, alojados y gestionados ha cambiado. Las empresas están considerando seriamente las alternativas que tratan la infraestructura como un servicio más que un activo y que no importa dónde se encuentran las infraestructuras o quién la maneja. Varios analistas de sistemas están de acuerdo con Gartner, con relación a que dentro de dos a cinco años la computación en nube va a alcanzar un nivel alto de adopción por las empresas, a través de la virtualización de diferentes servicios tales como: (1) Plataforma como Servicio, (2) Software como Servicio e (3) Infraestructura como Servicio (Katz, Goldstein, & Yanosky, 2009). Estudios realizados relacionados con la computación en nube En los últimos años se ha escrito y se continúa escribiendo sobre el tema de computación en la nube, específicamente las ventajas y desventajas que tienen las empresas con su adopción. Además, varias empresas, organizaciones e instituciones académicas de diferentes países de Europa, Asia y América, ya han adoptado o están considerando adoptar la computación en nube como una tecnología de informática. Según el artículo Cloudy with a chance of rain, Públicado en The Economist, el 5 de marzo de 2010 (Durán, 2010), basado en un estudio de CIO Magazine, a las empresas y los gobiernos no sólo les importa la ubicación de los datos en la nube, lo 51 que les importa es la seguridad de la información sensible. Por otro lado, el 60% de los empresarios encuestados están interesados seriamente en la computación en nube, un 29% no tiene interés y un ocho por ciento (8%) lo ha implementado. Entre septiembre y diciembre de 2009, la firma Vanson Bourne (Bourne, 2010) realizó un estudio en los países europeos para identificar la percepción de la computación en nube. El estudio se llevó a cabo, por petición de la empresa fabricante de software CA Technologies. Entre los cuestionamientos estaban: 1) El nivel o madurez de adopción de las tecnologías por parte de las empresas. 2) Percepción de los beneficios, riesgos y barreras por parte de las empresas con relación a la adopción de la computación en nube. 3) Las empresas, ¿están contemplando la computación en nube como un outsourcing? El estudio fue dirigido a los directores y gerentes de Sistemas de Información en 550 compañías de 14 países. A la encuesta respondieron 550 participantes. De países como Francia, Alemania, Reino Unido e Italia respondieron 50 y 35 de cada uno de los siguientes países: Finlandia, Suecia, Dinamarca, Bélgica, Noruega, los Países Bajos, Suiza, Austria, España y Portugal. El 65% de las organizaciones encuestadas tenían más de 3000 empleados, el 35% restante tenía 1000 a 3000 empleados. Según los resultados, la computación en nube está ganando fuerza en Europa, pero existe escepticismo a nivel general. Un 47% están adoptando o planificando adoptar la computación en nube. El 63% de las empresas con empleados entre 1000 y 3000 no tienen ningún interés en la nube; sin embargo, un 43% de las empresas con más de 3000 empleados mostraron interés en la misma. En España solo un nueve por ciento (9%) de los directores piensa que computación en nube es una tendencia que se consolidará, un 86% está indeciso al respecto; pero aun así, un 46% está pensando en adoptarla o ya ha sido adoptada. Los españoles colocan la gestión como un inconveniente (58%), mientras que un 29% 52 observa las dudas en seguridad como el inconveniente más importante en su adopción (Bourne, 2010). Existe el consenso de que la computación en nube es una de las tendencias de gestión de la información con mayor futuro, pero aún tiene inconvenientes a resolver en su fase de adopción, como en toda nueva tecnología. No obstante, en la Unión Europea no se habla mucho sobre los posibles impactos económicos de esta tecnología. En un tercer estudio sobre el Impacto Económico de la Difusión del Cloud Computing en Europa, Publicado por el Foro Económico Mundial (Durán, 2010), se concluye que la computación en nube dará una contribución positiva y significativa al crecimiento económico ayudando a crear un millón de nuevos empleos y miles de nuevas PYMES en la Unión Europea, siendo este último el principal mecanismo conductor de todos los impactos positivos en los próximos cinco años (medio plazo). Este estudio considera dos escenarios tomando en cuenta la velocidad de la adopción y su impacto en la estructura de los costos fijos. En el caso de una lenta adopción, la reducción en los costos fijos será de un uno por ciento (1%) y en el caso de una rápida adopción será de un cinco por ciento (5%). La contribución de la computación en nube al crecimiento del PIB depende, desde luego, de los países y los sectores. No obstante, este informe presenta un estimado de crecimiento situado en un rango de 0.05% en el corto plazo (dos años) y con lenta adopción y 0.3% en el medio plazo (cinco años) bajo rápida adopción. Este crecimiento, se verá reflejado en la capacidad de generación de empleo (Etro, 2010). En febrero de 2010, se realizó otro estudio sobre los factores que influyen en la adopción de la computación en nube para la toma de decisión (Factors Influencing the Adoption of Cloud Computing by Decision Making Managers) (Watson, 2010). El propósito del estudio era evaluar los factores que influyen en una organización al momento de adoptar la computación en nube como parte del plan estratégico del 53 departamento de Sistemas de Información. El enfoque de esta investigación fue desde el punto de vista de las personas que toman las decisiones en una empresa. Los factores o variables independientes considerados en este estudio fueron la seguridad, necesidad, viabilidad y costo-efectivo. Por otro lado, la variable dependiente del estudio fue el interés en la adopción de la gestión de nube por las organizaciones. El estudio presenta cuatro preguntas y cuatro hipótesis, las mismas está enfocada a identificar sí el CIO/IT o cualquier otro gerencial recomendarían la computación en nube independiente de su percepción con relación a los cuatro factores. Para la recopilación de evidencia se utilizó un cuestionario diseñado por David R. Lease en el 2005 (Lease, 2005), en su investigación sobre los Factors Influencing the Adoption of Biometric Security Technologies by Decision Making Information Technology and Security Managers, el instrumento fue distribuido por e-mail y electrónicamente a través de SurveyMonkey en las principales organizaciones de New York. A la invitación respondieron 43 participantes. La estadística descriptiva se realizó utilizando la escala Likert y el análisis de varianza de los datos se llevó a cabo a través de la ANOVA. De acuerdo a los resultados, se encontró una relación altamente positiva entre los factores. Las cuatro hipótesis nulas no se pudieron rechazar, por lo que la adopción de la computación en nube no es independiente de los cuatro factores: percepción del costoefectivo, su necesidad, fiabilidad y seguridad (Watson, 2010). En octubre del 2010, otro estudio fue realizado para comparar la relación que existe entre la adopción de la computación en nube, las estrategias de alineamiento y los Sistemas de Información, (Assessing the Relationships Among Cloud Adoption, Strategic Alignment and Information Technology). El estudio fue realizado por Shankar Babu Chebrolu como parte del grado doctoral de Capella University (Shankar, 2010). La adopción de la computación en nube y la estrategia de alineación fueron analizadas como dos constructos que afectan la efectividad de IT. Este estudio es una 54 modificación o continuación de la investigación realizado por Lawrence Ness (Ness, 2005) mentor de la tesis de Shankar Babu. Sin embargo en este estudio se remplaza la flexibilidad de IT por la adopción de la computación en nube, independientemente del tipo y tamaño de la empresa. El estudio consta de cuatro (4) preguntas de investigación y cuatro (4) hipótesis, relacionadas con la adopción de la computación en nube. De acuerdo al estudio, los beneficios obtenidos por las empresas que adoptan la computación en nube son la agilidad, el tiempo en el mercado, reducción de costos y un enfoque renovado como estrategia de asociaciones con consorcios con otras empresas. La muestra de esta investigación fue una base de datos utilizada por Ness en su estudio la cual estaba compuesta por gerentes de IT. La Base de Datos (DBF) fue comprada a ACR representing, la misma contenía 3080 nombres. La DBF estaba distribuida entre 2872 firmas en los Estados Unidos, donde las empresas tenían 80 o más empleados. La recolección de datos fue realizada utilizando el mismo instrumento utilizado por Ness en su investigación, el mismo fue distribuido a través del portal de SurveyMonkey. Los resultados arrojaron evidencia estadística que la adopción de la computación en nube tiene una fuerte correlación positiva sobre la eficacia de TI y las estratégica de las compañías. Este estudio tiene mucha relación con el anterior realizado por Ross en la misma universidad (Babu, 2010). De acuerdo a la revisión de literatura llevada a cabo en la presente investigación, no se ha encontrado ningún estudio relacionado con adopción la computación en nube en Puerto Rico, específicamente en relación a su adopción por las empresas o universidades. En Puerto Rico aún no se ha realizado ningún estudio relacionado con la computación en nube. 55 Empresas que han adoptado la computación en nube Según World Economic Forum junto con (WEF & Accenture, 2005), los efectos positivos de la computación en nube dependen de la velocidad de la adopción de la nueva tecnología por las instituciones. Sin embargo, existe un número de factores que podrían influir en este impacto; tales como, la baja comprensión de la tecnología para las empresas o conocimiento, el riesgo sistémico, los asuntos relativos a la privacidad e interoperabilidad, la fiabilidad, complejidad jurisdiccional, la seguridad nacional, pérdida de control y un estado general de inercia o tendencia al status quo. Entre las empresas que ha adoptado la computación en nube con éxito, está el de New York Times. The New York Times necesitaba convertir 11 millones de artículos e imágenes desde su archivo (de 1851 a 1980) al formato PDF. Su departamento interno de IT dijo que les tomaría siete semanas. Mientras tanto, un desarrollador utilizando 100 instancias de Amazon EC2 con una interface de servicios Web simple para operar Hadoop (una implementación de código abierto similar al MapReduce) completó el trabajo en 24 horas por menos de $300 (Jaeger, 2009). Otro caso relacionado con la adopción de la computación en nube es el de Bungee Labs (Sectorial, 2010); empresa estadounidense, fundada en el año 2002 por David C. Mitchell, creadora del ambiente Bungee Connect, una aplicación web PaaS que permite la construcción y desarrollo de aplicaciones web interactivas. Bungee Connect elimina la complejidad, el tiempo y el costo al mover aplicaciones a la Nube o conectar servicios de la Nube existentes para formar nuevas aplicaciones. Para Bungee Labs, la computación en nube está cambiando la manera como los departamentos de sistemas de información añaden nuevas funcionalidades y valor al negocio, incluso bajo las presiones financieras que encaran las directivas para reducir costos. Proporciona además; una alternativa más rápida, costo eficiente y menos riesgo para el desarrollo de las aplicaciones basado en premisas. 56 Además, la nube permite el desarrollo de aplicaciones y proporciona un valor agregado a las empresas a través de los siguientes cinco puntos: 1) Simplificación de la integración 2) Despliegue instantáneo 3) Mejores experiencias para el usuario 4) Menores requerimientos técnicos 5) Retornos más rápidos Las empresas están conscientes que necesitan buscar nuevas ideas y abrir nuevas fuente de valor para reducir costos y a la misma vez crecer; por lo que, la innovación es una de sus principales prioridades. Las empresas saben que tienen que hacer cosas nuevas y que produzcan mejores resultados. En abril de 2008, la National Science Foundation (NSF) en colaboración con Hewllet Packard, Intel y Yahoo, le concedieron a la universidad de Illinois fondos para establecer un centro de computación en la nube para las aplicaciones de datos para uso de las investigaciones (NSF, 2008). En abril 23 del 2009, NSF y el gobierno de USA anunciaron la ayuda de cinco millones de dólares ($5 millones) a 14 universidades de los Estados Unidos. El propósito de esta ayuda era para que las instituciones participarán en el Cluster Exploratory Program (CLuC) iniciativa de IBM/Google Cloud Computing University Initiative (Chakravarti, 2010). En septiembre del 2009, el gobierno de los Estados Unidos anunció su primer proyecto, Apps.gov, para bajar los costos operacionales del gobierno mientras se impulsa la innovación. Sin embargo, hay varios asuntos relacionadas con la seguridad, privacidad, gestión de la información y la adquisición para ampliar los servicios de computación en nube por resolver. 57 En enero 13 del 2010, HP y Microsoft anunciaron un acuerdo para invertir $250 millones en los próximos tres años para promover la tecnología de virtualización específicamente la computación en nube. Las dos empresas colaborarán en un plan de trabajo de ingeniería para la conversión de las plataformas de aplicaciones, soluciones de virtualización e integrar oferta de gestión para avanzar en la gestión de computación en nube (Summa, 2018). Otras universidades que han adoptado la computación en nube como una iniciativa son las universidades de Carnegie Mellon University in Qatar, Qatar University y Texas A & M University at Qatar (IBM, 2009). La India es mundialmente conocida por su fortaleza en la innovación especialmente en servicios de sistemas de información y está viendo los servicios de computación en nube como una alternativa (Chakravarti, 2010). La Universidad de los Andes se encuentra actualmente desarrollando el proyecto “Opportunistic Cloud Computing Infrastructure as a Service Model” (Sectorial, 2010). En junio del 2010, la firma Vanson Bourne (NEWSWIRE, 2001) realizó un estudio para determinar el rendimiento de la computación en nube en las empresas. El estudio fue una petición de la compañía de tecnología Compuware Corporation (Nasdaq:CPWR). En el estudio se incluyeron 677 empresas de Norte América y Europa. De Europa participaron 300 empresas, del Reino Unido 100, de Alemania 100 de Alemania, de Francia 100 y de Estados Unidos y Canadá participaron 377 empresas en el estudio. El personal encuestado fueron directores de sistemas de Información de empresas grandes. La encuesta reveló que la mayoría de las empresas en ambas regiones están preocupadas por el pobre rendimiento de la computación en nube. El estudio indica que las organizaciones de Norte América están perdiendo en promedio alrededor de un millón de dólares anuales en sus ingresos directos por el pobre rendimiento. Según el estudio, las empresas está atrasando la implementación por el 58 bajo rendimiento de la computación en nube. El 58 % de las empresas norteamericanas se resisten a la adopción versus el 57% de las organizaciones europeas. Un 94% de las organizaciones de Norte América y un 84% de las organizaciones de Europa consideran que la adopción debe ser basada en las experiencias de los usuarios finales (end-users) no en los proveedores. La computación en nube brinda beneficios; pero también existen preocupación en las empresas al momento de considerar la adopción de este servicio (Kessinger, 2009). Beneficios de la computación en nube Comparado con el sistema tradicional cliente-servidor, la computación en nube, tiene sus ventajas y desventajas (Fernadez, 2009). Algunos de los beneficios relacionados a este sistema son los siguientes: 1) Se le puede considerar de economías de escala, ya que a medida que aumenta el número de usuarios sus costos baja por la utilización de los grandes centros de datos (data centers). 2) Las empresas que actúan como usuarios no tienen que ocuparse de la gestión directa de la informática. 3) Accesibilidad inmediata - los servicios y datos son accesibles sin haber adquirido previamente el hardware y software necesario. Las aplicaciones están disponibles desde cualquier punto siempre y cuando se tenga acceso al Internet. En adición, se logra la integración con clientes y proveedores. 4) Se evita la inversión inicial ya que se paga por el uso de los recursos. 5) Una red de grandes data centers debe ser capaz de ofrecer una garantía ante desastres. 6) Auto reparable - en caso de fallo, el último respaldo (backup) de la aplicación pasa a ser automáticamente la copia primaria y se genera uno nuevo. 59 7) Virtualización - las aplicaciones son independientes del hardware en el que se ejecuten, incluso varias aplicaciones se pueden ejecutar en una misma máquina o una aplicación puede usar varias máquinas a la vez. 8) Multipropósito - el sistema está creado de tal forma que permite a diferentes clientes compartir la infraestructura sin preocuparse de ello y sin comprometer su seguridad y privacidad 9) Escalable - Todo el sistema / arquitectura es predecible y eficiente. Si un servidor maneja 1000 transacciones, 2 servidores manejaran 2000 transacciones. Además hoy podemos estar utilizando solo un 10% del total de la aplicación y mañana podemos acceder al 80% de la misma con total normalidad y rapidez, con tan solo comunicarlo a nuestro proveedor y modificar nuestra tarifa de suscripción (Alcoce, 2010). 10) Según Microsoft la computación en nube, ofrece una oportunidad de reducir el tiempo y costo en el desarrollo de aplicaciones accesibles para un grupo masivo de usuarios en el futuro (Pian, 2009). 11) De acuerdo a la Fundación de la Innovación Bankinter (Accenture, 2010), otros beneficios que pueden obtener las empresas, especialmente los PAYMES, al adoptar la computación en nube son las siguientes: a) La nube elimina las grandes inversiones iniciales y las empresas pagan por el uso de los recursos. Además, los sistemas en la nube, son más sencillos que los tradicionales, puesto que delegan en el proveedor todas las tareas de mantenimiento. b) Los servicios en la nube pueden estar listos en cuestión de horas y el riesgo en el que se incurre es limitado. c) Con el sistema paga por ver (pay-per-use), las pymes acceden a economías de escala hasta ahora disponibles sólo para las grandes empresas. 60 d) Los proveedores ofrecen sistemas de seguridad mucho más sofisticados que los que las pymes pueden permitirse. Todos estos factores son muy atractivos especialmente para aquellas empresas pequeñas o medianas; pero no así, para las empresas grandes. Las empresas grandes, tienen necesidades más específicas, difíciles de satisfacer por un proveedor que presta servicios a múltiples clientes; además, las empresas grandes cuentan con mayores capacidades y recursos tecnológicos. Son varios los beneficios que provee la computación en nube para las empresas; sin embargo, también se generan nuevos riesgos y preocupaciones por parte de las empresas o clientes de este servicio. Preocupaciones relacionadas con la computación en nube Las dudas o preocupaciones que surgen a nivel global con relación la adopción de la computación en nube están enfocadas con la seguridad, integridad, accesibilidad, privacidad, costos de la adopción, localización de los datos y la poca comprensión o conocimiento por buena parte de los gobiernos, el sector empresarial y el área académica en cuanto a sus usos y beneficios de adoptar la computación en nube como estrategia tecnológica (Mirzaei, 2008). En la guía de Beneficios y Riesgos de ISACA, se mencionan básicamente los mismos factores de preocupación antes mencionados por Mirzaei (Kessinger, 2009). 1) Seguridad – una de las principales preocupaciones de las empresas es la seguridad de sus datos. La posibilidad que los datos se queden atrapados con un proveedor de nube con problemas técnicos, financieros o que coloque altas barreras de salida. 2) Accesibilidad, confidencialidad y adaptabilidad de la información - en algunas ocasiones, las regulaciones de cada país no permiten que una empresa o entidad de gobierno tenga almacenados sus datos fuera de las fronteras. Los costos de las telecomunicaciones aún hoy día hace inaccesible este modelo para transferencias de grandes cantidades de datos; lo que causa, el famoso cuello de botella en la 61 transferencia de datos. Aún existe dudas con relación al acceso a los datos ya que se considera que la accesibilidad y desempeño es impredecible y lenta. 3) Hay que probar las aplicaciones en este nuevo medio ambiente de sistemas distribuidos de gran escala, posiblemente hay que rediseñar o diseñar nuevas aplicaciones. 4) Con relación al licenciamiento de software, poco a poco está cambiando la manera de pensar de las compañías de software, pero no por que quieran sino, porque ahí están las compañías de software libre representando una amenaza para ellos. 5) Percepción acerca de la conformidad con la regulación - bajo el modelo de la computación en nube, los datos de los usuarios pueden estar en cualquier parte del mundo. Esto compromete al usuario a conocer y cumplir con las normas y leyes existentes sobre temas como el almacenamiento y la difusión de los datos, impuestos en transacciones comerciales, entre otros; reguladas en cada nación (Sectorial, 2010). 6) Pérdida del control – los clientes tienen temores por la pérdida de control de la información; ya que, no tienen acceso a los servidores o no pueden estar seguros que el proveedor de la nube tenga un plan de contingencia en caso de una catástrofe. Existen en las empresas, la preocupación que un tercero maneje los datos más sensitivos. Los expertos del Future Trends Forum indican que hay ciertos factores como la privacidad y la seguridad de los datos que son críticos y que preocupan a las empresas al momento de considerar la adopción (Accenture, 2010). Recomendaciones relacionadas a la computación en nube La mayor preocupación de las empresas (clientes) está relacionada con la seguridad de los datos, sin lugar a dudas son válidas. Novell y Cloud Security Alliance (CSA), anunciaron en marzo de 2010 (Morán, 2010) una iniciativa neutral de 62 proveedores para ofrecer la primera certificación de la industria en Cloud Security, además de un programa de educación y de interconexión para proveedores de computación en nube, conocida como “Trusted Cloud Initiative”. Este proyecto ayudará a los proveedores de la computación en nube a desarrollar servicios de identidad, control de acceso y cumplimiento (compliance) de manera segura. Además, en adición, mantendrá la interoperabilidad con los estándares de la industria; así como, también mejores prácticas. Ahora las organizaciones que estén considerando adoptar tecnologías basadas en nube tendrán acceso a estándares confiables para aliviar sus preocupaciones acerca de la seguridad, las regulaciones de los gobiernos, control de sus datos y los activos del departamento de Sistemas de Información. Cloud Security Alliance es una organización sin fines de lucro formada con el fin de promover el uso de mejores prácticas para proveer la seguridad en la computación en nube, y educar sobre su uso, contribuyendo a la seguridad en otras formas de computación (CSA, 2009). Cloud Security Alliance está conformada por expertos de una gran variedad de disciplinas, unidos en los mismos objetivos: 1) Promover un nivel de entendimiento común entre consumidores y proveedores de computación en nube en relación a los requerimientos necesarios de seguridad. 2) Promover investigaciones independientes en cuanto a mejores prácticas para la seguridad de la computación en nube. 3) Lanzar campañas y programas educativos sobre el uso apropiado de computación en nube y soluciones de seguridad. 4) Crear listas de problemas consensuadas y guías para temas relacionados a la seguridad de la computación en nube. Por otro lado, Novell, Inc. (Nasdaq: NOVL), es una empresa global líder en sistemas operativos para plataformas Linux y en software de administración integrada, 63 que permiten reducir los costos, la complejidad y los riesgos empresariales (Novell, 2011). Según Alan Boehme (2009), SVP IT Strategy and Enterprise Architecture, miembro actual del directorio de CSA, se está construyendo una guía de referencia relacionada con la seguridad y una serie de certificaciones, para estandarizar un campo común para las empresas y los proveedores de nube computacional y se espera que contribuya a acelerar la adopción de este servicio. Por otro lado, Dipto Chakravarty, miembro de CSA y Vicepresidente de Ingeniería de Identity and Security de Novell (Morán, 2010), indicó que creen fuertemente que la educación y los alineamientos en seguridad aprobados por la industria propagarán la adopción de computación en nube, eliminando las preocupaciones sobre seguridad que inhiben a muchas organizaciones. Además, para la tranquilidad de los proveedores y consumidores, existe una guía que contiene los estándares de seguridad relacionados con la computación en nube, (Security Guidance For Critical Areas of Focus in Cloud Computing V2.1” (Alliance, 2009). Algunas de las recomendaciones de seguridad que se presentan en esta guía tanto para los proveedores y los consumidores son las siguientes: 1) Utilizar la técnica de cifrado, ya sea para correos electrónicos, la red de transporte, bases de datos, documentos y/o archivos. 2) Adoptar herramientas de descubrimiento de contenido (a menudo DLP Data Loss Prevention) que ayuden a la identificar y a verificar datos que requiere controles. 3) Monitorear las actividades y la ejecución de los usuarios, a través de los archivos de registro y/o agente basado en las herramientas. 4) Identificar los controles de acceso disponibles en el sistema de archivo, DBMS y el documento de sistema de gestión. 5) Cifrar los diferentes medios de almacenamiento o respaldo. 64 6) Destruir todo material clave relacionado con los datos cifrados y realizar técnicas de limpieza de discos. Para Gartner, existen siete (7) temas relacionados con la seguridad que los clientes deben plantearle a sus proveedores antes de seleccionar la computación en nube (Brodkin, 2008). 1) Privilegiado acceso del usuario (Privileged User Access) - los datos sensitivos de la empresa (clientes) son procesados fuera de la empresa, lo que trae consigo un nivel de riesgo. Los datos pasan por diferentes niveles de controles tanto físicos como lógicos y de persona; por lo que, es importante indagar con el proveedor que suministre información específica sobre la contratación y supervisión del personal que tendrá acceso a los datos de la empresa. 2) Cumplimiento de Regulaciones (Regulatory Compliance) - los clientes son en última instancia, responsables de la seguridad y la integridad de sus propios datos, incluso cuando está en manos de un proveedor de servicios. Los proveedores de servicios están sujetos a auditorías externas y a las certificaciones de seguridad. Si un proveedor de computación en nube; se niega a someterse a este control, son señales para que los clientes utilicen este proveedor para funciones más triviales. 3) Ubicación de los datos (Data Location) - cuando se utiliza la nube, es probable que no se sabe exactamente dónde se encuentran almacenados los datos. Los clientes ni siquiera sabe n en qué país se almacenarán los datos; por lo que, deben solicitar al proveedor que se comprometa a almacenar y procesar los datos en determinadas jurisdicciones. 4) Segregación de los datos (Data Segregation) - los datos en la nube están típicamente en un entorno compartido junto con los datos de otros clientes. La encriptación es eficaz, pero no es una garantía total. El proveedor de la nube debe 65 proporcionar evidencia de que los sistemas de cifrado se han diseñado y probado por especialistas experimentados. 5) Recuperación (Recovery) - aun cuando el cliente no sabe dónde están almacenados sus datos, el proveedor de la nube debe indicarle lo que ocurrirá con sus datos y el servicio en caso de un desastre. Todo cliente debe preguntarle a su proveedor si tiene la capacidad de hacer una restauración completa y cuánto tiempo tomará. 6) Apoyo a la investigación (Investigative support) - la investigación de las actividades o procesos inapropiados o ilegal puede ser difícil en un sistema en nube, ya que los datos de varios clientes pueden estar almacenados en un mismo centros de datos. Sí no puede establecer un compromiso contractual para apoyar a las formas específicas de investigación, junto con la evidencia que el vendedor ya ha apoyado con éxito estas actividades, entonces su única suposición segura es que las solicitudes de investigación y descubrimiento será imposible. 7) La viabilidad a largo plazo (Long-Term Viability) – su proveedor de computación en nube nunca debe irse a la quiebra o ser adquirido por otra empresa. Los clientes del servicio de computación en nube, deben solicitarle a su proveedor potencial cómo recuperar los datos y cuál será el formato de los mismos. Según Gartner, las empresas deben considerar seriamente estas recomendaciones al momento de considerar la contratación de un proveedor de computación en nube. El proceso de la adopción y aceptación de las nuevas tecnologías, es uno largo y complejo, tanto para los usuarios como para las empresas. Este proceso consta de una serie de etapas hasta llegar a la decisión. 66 CAPÍTULO III PROCEDIMIENTOS Y METODOLOGÍA Diseño de la investigación Este estudio está enfocado a identificar y evaluar el impacto que tienen los factores más relevantes que influyen o inciden en los directores de informática y decanos administrativos de las universidades de Puerto Rico al momento de considerar la adopción de computación en nube. Además, a través de este estudio se identifica el estatus actual de la adopción de la computación en nube en las universidades privadas y públicas de Puerto Rico. El enfoque de este estudio es comparativo; ya que, busca medir el nivel de importancia de diferentes variables de acuerdo a la perspectiva de los directores de informática y decanos administrativos. El factor de seguridad, es evaluando desde el punto de vistas de la confiabilidad, integridad y disponibilidad basado en el modelo CIA Triangle. Estos factores han sido identificados a partir de la revisión de literatura como elementos determinantes para las organizaciones al momento de considerar la adopción de la computación en nube. Por otro lado, para determinar el estatus actual de la computación en nube en las universidades de Puerto Rico, se utiliza, el modelo de categorías de la innovación de Everette Rogers. Este capítulo incluye el procedimiento para la recopilación de los datos, descripción de la población y la muestra, las variables del estudio, la descripción y la validación del instrumento de recolección de datos, el procedimiento general de la investigación, la metodología del análisis de los datos y la corroboración de prueba de significación de hipótesis. El estudio contiene cinco (5) hipótesis y seis (6) preguntas de investigación. Las preguntas de investigación son utilizadas como referencia y herramientas de 67 recopilación de datos, con el fin de validar las hipótesis planteadas en el capítulo uno (1). Los planteamientos establecidos en las hipótesis son: 1) En Puerto Rico, las universidades privadas están más dispuestas a adoptar la computación en nube más temprano que las universidades del estado. 2) Existen diferencias significativas entre los directores de informática y decanos administrativos de las universidades de Puerto Rico, con relación al nivel de importancia que tiene la seguridad de los datos (confidencialidad, integridad y disponibilidad) al momento de considerar la adopción de la computación en nube. 3) Existen diferencias significativas entre los directores de informática y decanos administrativos de las universidades de Puerto Rico, con relación al nivel de importancia que tienen los costos al momento de considerar la adopción de la computación en nube. Hipótesis del estudio Hipótesis nulas 1) Las universidades públicas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades privadas de Puerto Rico. 2) La confidencialidad de los datos es igual de importante para los decanos administrativos de las universidades que para los directores de informática al momento de adoptar la computación en nube 3) La integridad de los datos es igual de importante para los decanos administrativos que para los directores de informática al momento de adoptar la computación en nube en las universidades. 4) La disponibilidad de los datos es igual de importante para los directores administrativos que para los directores de informática al momento de adoptar la computación en nube en las universidades. 68 5) Los costos de la adopción de la computación en nube son iguales de importantes para los directores de informática que para los decanos administrativos al considerar la adopción de la computación en nube en las universidades de Puerto Rico. Hipótesis alternas 1) Las universidades privadas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades públicas. 2) La confidencialidad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. 3) La integridad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. 4) La disponibilidad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. 5) Los costos de la adopción de la computación en nube son más importante para los decanos administrativos que para los directores de informática al momento de adoptar la computación en nube. Por otro lado, las preguntas formuladas en el estudio son las siguientes: 1) ¿Qué conocimiento tienen los directores de informática y decanos administrativos de las universidades con relación a los beneficios que provee la adopción de la computación en nube? 2) ¿Cuál es el estatus actual en cual se encuentran las universidades en Puerto Rico con relación a la adopción de la computación en nube? 3) ¿Cuál es el nivel de importancia que tiene la confidencialidad al momento de considerar la adopción de la computación en nube? 69 4) ¿Cuál es el nivel de importancia que tiene la integridad de la información al momento de considerar la adopción de la computación en nube? 5) ¿Cuál es el nivel de importancia que tiene la disponibilidad de la información al momento de considerar la adopción de la computación en nube? 6) ¿Cuál es el nivel de importancia que tienen los costos al momento de considerar la adopción de la computación en nube por las universidades? El tipo de estudio es comparativo; ya que, se evalúa la diferencia entre dos grupos. El diseño de la investigación tiene enfoque no experimental y transversal. La metodología de la investigación es cuantitativa; debida que, los datos recolectados y analizados provienen de variables cuantitativos. Definición de la población La población seleccionada para realizar la investigación está compuesta por las universidades privadas y públicas en Puerto Rico. El personal a quien va dirigida la investigación son los directores de informática y decanos administrativos de las universidades. De acuerdo al Ranking Web de Universidades del Mundo de enero 2010, se identificaron 23 universidades en Puerto Rico. La Tabla 3.1, contiene un listado de la población (universidades). Tabla 3.1: Población universidades públicas y privadas en Puerto Rico Tipo Institución Num. Universidades 1 American University of Puerto Rico Privada Bayamón www.aupr.edu 2 Antillean Adventist University Privada Mayagüez www.uaa.edu 3 Caribbean University Privada Bayamón www.caribbean.edu 4 Carlos Albizu University San Juan Privada San Juan sju.albizu.edu 5 Polytechnic University of Puerto Rico San Juan Pontificia Universidad Católica de Puerto Rico Universidad Central de Bayamón Privada San Juan www.pupr.edu Privada Ponce www.pucpr.edu Privada Bayamón www.ucb.edu.pr 6 7 Pueblo Dominio Institucional 70 8 Universidad Central del Caribe Privada Bayamón www.uccaribe.edu 9 Universidad del Sagrado Corazón Privada San Juan www.sagrado.edu 10 Privada San Juan www.inter.edu 11 Universidad Interamericana de Puerto Rico Universidad Metropolitana Privada Cupey www.suagm.edu/umet 12 Universidad del Este Privada Carolina www.suagm.edu/une 13 Universidad del Turabo Privada Caguas www.suagm.edu/turabo 14 Universidad de Puerto Rico en Aguadilla Universidad de Puerto Rico en Arecibo Universidad de Puerto Rico en Bayamón Universidad de Puerto Rico en Carolina Universidad de Puerto Rico en Cayey Universidad de Puerto Rico en Humacao Universidad de Puerto Rico en Ponce Universidad de Puerto Rico Mayagüez Universidad de Puerto Rico Río Piedras Universidad de Puerto Rico Utuado Pública Aguadilla www.uprag.edu Pública Arecibo www.upra.edu Pública Bayamón www.uprb.edu Pública Carolina www.uprc.edu Pública Cayey www.uprcy.com Pública Humacao www.uprh.edu Pública Ponce www.uprp.edu Pública Mayagüez www.uprm.edu Pública Rio Piedras Utuado www.uprrp.edu 15 16 17 18 19 20 21 22 23 Pública www.uprutuado.edu Fuente: Ranking Web de Universidades del Mundo, enero 2010 http://www.webometrics.info/university_by_country_es.asp?country=pr Selección de la muestra La muestra seleccionada para el estudio es representativa de la población, la misma es probabilística-estratificada; ya que, es seleccionada a través de un método aleatorio simple. La muestra fue seleccionada a través del siguiente procedimiento: N = tamaño de la población 23 universidades privadas y públicas. n = tamaño de la muestra se = error estándar 0.017 V2 = varianza de la población (cuadrado del error estándar) S2 = varianza de la muestra expresada como la probabilidad de ocurrencia. p = proporción a estimar (0.90) 71 Tabla 3.2: Determinación de la muestra Total Población (N) Error Estándar (se) Varianza de la 2 muestra (S ) Varianza de la Población 2 2 V = se Muestra de la Población (n) ′ = S2= p (1 – p) n′ = . 09 = 311 . 000289 2 23 Universidades Públicas y Privadas S = 0.90 (1 – 0.90) 2 V = .017 2 n= 2 .017 S = 0.09 2 V = .000289 n′ 311 = ′ 311 1+n 1+ 23 N = 21.42 n = 21 universidades Según los resultados obtenidos, de una población total de 23 universidades, la muestra es de 21 universidades, lo que representa un 91% de la población total. Los participantes o reactores son los directores de informática y decanos administrativos de las instituciones universitarias, tanto privados como públicos. De cada universidad se seleccionaron dos participantes, el director de informática y el decano de administración; ya que, son los profesionales que influyen en la toma de decisión al momento de adquirir nuevas tecnologías emergentes. Por lo tanto, la muestra es de 42 participantes (21 universidades, a razón de 2 participantes por universidad). La distribución de la población se calculó utilizando el factor de estratificación, que se obtiene dividiendo la muestra entre la población. Factor = n/N Factor= 21/23= 91%. La Tabla 3.3, contiene la estratificación de la población, la cual ha sido divida en dos (2) sub-poblaciones o estratos. 72 Tabla 3.3: Estratificación de la muestra Tipo Institución Población (N) Muestra (n) Aplicando el Factor n / N (.91) Privada 13 Pública Total Muestra Participantes 12 Directores de Informática 12 Decanos Administrativos 12 10 9 9 9 23 21 21 21 Luego de calcular el factor de estratificación, la distribución de la muestra es la siguiente: 1) El total de la población de las universidades privadas es de 13, aplicando el factor de estratificación, el cual es un 91%, la muestra es de 12 universidades, equivalente a 24 participantes. 2) Por otro lado, el total de las universidades públicas es de 10, aplicando el factor de estratificación, el cual es un 91%, la muestra es de nueve (9) universidades, equivalente a 18 participantes. Fuentes de información a considerar Las fuentes de información utilizadas en esta investigación fueron las siguientes: 1) Se utilizó como fuentes secundarias los textos relacionados con el tema, revistas, periódicos, el Internet, artículos y estudios publicados. 2) Mediante el cuestionario que se suministró a los participantes de la investigación, se obtuvo información primaria conducente a la corroboración de las hipótesis y las preguntas de investigación. Diseño del instrumento de recolección de datos Para la recopilación de los datos necesarios para el estudio, el investigador diseño un instrumento que consiste de dos (2) partes: 73 1) La primera parte del cuestionario, incluye preguntas socio-demográficas, con la intención de obtener información general del participante y de la institución. Los reactivos de esta parte están enfocados a recolectar datos de los participantes relacionados con: el género, la edad, la preparación académica, la posición que ocupa dentro de la institución, la experiencia laboral en la industria, el área donde trabaja, cantidad de empleados en la institución y el tipo de organización (pública / privada). 2) La segunda parte del cuestionario, contiene 28 preguntas relacionadas con las variables de investigación: información concerniente a la computación en nube, la confidencialidad, la integridad, la disponibilidad y los costos de la adopción de la computación en nube. Estas preguntas, son la base para la corroboración de las hipótesis del estudio. Las preguntas están diseñadas de una manera que faciliten la tabulación y la clasificación de los datos que se obtengan. Variables de investigación Dependiente - la variable dependiente de este estudio es la adopción de la computación en nube por las universidades de Puerto Rico. Esta variable depende de otros elementos o factores que son las variables independientes. Independientes - las variables independientes de este estudio son: el momento de adopción de la computación en nube por las universidades, la seguridad (será evaluada y analizadas desde tres dimensiones: la confiabilidad, la integridad y la disponibilidad) y los costos de la adopción de la computación en nube. El cuestionario fue construido de manera tal que cada factor analizado este provisto de suficientes alternativas con el fin de recopilar la información necesaria que sirva de apoyo para la documentación de las hipótesis planteadas en el estudio. La escala utilizada para el diseño del instrumento es la escala Likert. Las Tablas 3.4 y 3.5, 74 contienen la escala que se utilizó para la corroboración de las hipótesis de investigación correspondientes a la segunda parte del cuestionario. Tabla 3.4: Escala Likert utilizada para la hipótesis número uno Descripción de la Escala Valor de la Escala Conocimiento 5 Persuasión 4 Decisión 3 Implementación 2 Confirmación 1 Tabla 3.5: Escala Likert utilizada en las hipótesis de la dos a la cinco Descripción de la Escala Valor de la Escala Totalmente de acuerdo 5 De acuerdo 4 Indeciso 3 En desacuerdo 2 Totalmente en desacuerdo 1 Validación del instrumento de investigación La validación del instrumento consiste en un índice de consistencia interna de mediciones que toma valores entre 0 y 1 y que sirve para comprobar si el instrumento de recopilación de información, es fiable, estables y consistentes. Con el propósito de lograr la validez y confiabilidad del instrumento, se utilizó el método de panel de expertos para validar el instrumento. Por lo que, el instrumento fue distribuido a un panel de cinco expertos, constituidos por dos (2) especialistas en sistemas de información, un profesional en metodología, un profesional de administración de empresas y un especialista en tecnología educativa. Todos los miembros del panel tienen un grado académicos de doctores en su área. Para la recopilación de datos se utilizó un formulario diseñada por el investigador (Apéndice B). La plantilla contiene los 75 criterios para la evaluación del instrumento, el mismo fue analizado en cuanto a la validez de contenido, de constructo y confiabilidad. La información obtenida de la validación del instrumento fue utilizada para modificar y producir el cuestionario final utilizado en esta investigación. El análisis realizado por los miembros del comité de expertos, consistió en evaluar los reactivos del cuestionario diseñado por el investigador, tomando en consideración los siguientes factores: el contenido, la claridad de las premisas, el propósito, la redacción y el estilo. Para determinar la validez o confiabilidad del instrumento se utilizó el coeficiente alfa ( α ) de Cronbach. Este coeficiente fue desarrollado por J. L. Cronbach, el mismo requiere una sola administración del instrumento de medición y produce valores que oscilan entre cero (0) y uno (1). El coeficiente alfa, mide la homogeneidad de las preguntas promediando todas las correlaciones entre todos los ítems. Entre más cerca de 1 está α, más alto es el grado de confiabilidad, considerando una fiabilidad respetable a partir de 0.70. Los ítems cuyos coeficientes de correlación arrojen valores menores a 0.35 deben ser desechados o reformulados (Cohen & Manion, 1990). Una de las ventajas de coeficiente alfa de Cronbach es que no es necesario dividir en dos mitades a los ítems del instrumento de medición, simplemente se aplica la medición y se calcula el coeficiente. La fórmula es la siguiente: = 1 − ∑ Dónde: K: El número de ítems Si2 : Sumatoria de varianzas de los ítems ST2 : Varianza de la suma de los ítems α : Coeficiente de alfa de Cronbach 76 Tabla 3.6: Tabulación de los datos de validación del instrumento Miembro s del Comité Criterios a Evaluar Contenido Clarida d Propósit o Presentación Redacció n Evaluación General 1 5 5 4 5 5 5 29 2 4 4 5 5 5 5 28 3 4 4 4 4 5 4 25 4 4 5 4 4 4 5 26 5 4 4 3 3 3 4 21 Varianza por Ítems 0.2 0.3 0.5 0.7 0.8 0.3 ST = 9.7 2 2.8 2 9.7 85% Sumatoria de Varianzas de los Ítems ( Si ) Varianza de la suma de los Ítems Coeficiente de Alfa de Cronbach ( (ST ) α) Suma de Ítems 2 El alfa obtenida, luego de tabular los datos recopilados de los especialistas, es de un 85%, lo cual es un índice aceptable según Cronbach. Con el análisis realizado por el comité de expertos se obtuvo la validez de contenido y lógica del instrumento de investigación en forma general. La parte I del instrumento cosiste de 10 reactivos, cuyo objetivo es recopilar información sociodemográficas de los participantes y la organización. En esta parte, todos los de miembros del comité indicaron que los reactivos no necesitaban modificaciones. La parte II del instrumento contiene 28 reactivos, el objetivo de esta parte es recopilar información utilizados para recopilar información acerca de las variables de investigación. Las recomendaciones que surgieron en el proceso de validación aparecen en la siguiente tabla: 77 Tabla 3.7: Revisión de los reactivos en el proceso de validación Núm. Ítem Criterio de Evaluación Reactivo confuso 4 Confidencialidad La posibilidad de que una persona Modificación al reactivo La posibilidad que una 4 3 Disponibilidad La tecnología de la computación en nube les brinda a los clientes alta disponibilidad. Costo - Beneficio La computación en nube representa una economía mayor para nuestra empresa, comparado con un sistema tradicional. . persona La tecnología de la computación en nube les brinda a los clientes alta disponibilidad de los recursos de Sistemas de Información. La computación en nube representa una economía más alta, en comparación con el sistema tradicional de servidores. El insumo provisto por este panel llevó a la revisión del instrumento original. Luego de revisar el cuestionario a la luz de la evaluación realizada por el comité de expertos, se procedió a realizar las recomendaciones ofrecidas por el comité. Trabajo de campo La recopilación de la información se llevó a cabo utilizando la muestra antes identificada. El procedimiento consistió de la siguiente forma: 1) Enviar carta a los miembros del panel solicitando su colaboración (Apéndice A). 2) Enviar la documentación a los miembros del panel para evaluar el instrumento de recopilación de datos (Apéndice B). 3) Tomar las certificaciones Pasar por el proceso de certificación correspondientes (HIPA, IRB and RCR). 4) Obtener la certificación de la oficina de IRB de la universidad del Turaba en Puerto Rico (Apéndice C y C-1). 5) Enviar carta a las universidades, solicitando autorización para realizar el estudio en su institución (Apéndice D). 78 6) Enviar carta de agradecimiento a las universidades participantes (Apéndice E). 7) Preparar la hoja informativa que acompaña el cuestionario, solicitando participación de los encuestados (Apéndice F). 8) Distribución de los cuestionarios a los participantes a través del web y de ser necesario, el instrumento fue enviado por correo regular o personalmente a los participantes (Apéndice G). 9) Comunicación por teléfono o por email con los participantes según fuera requerida, con el propósito de obtener una alta participación de los reactores y aclarar cualquier duda. 10) Luego de terminar el proceso de recolección de los datos, se procedió a la etapa de tabulación y análisis estadístico de los dato. Descripción de la tabulación y análisis estadísticos de los datos Los datos obtenidos se resumen en tablas de distribución de frecuencias correlativas y porcientos o porcentajes, las cuales son utilizadas para hacer la descripción general de la muestra de los participantes. En adición, se utilizan gráficas, con el propósito de obtener mejor representación de los datos obtenidos. La tabulación de los datos de las variables demográficas están representados en frecuencias observadas (f) y con valores relativos de por cientos. Porciento = ∑% ∗ 100 & Donde, f = representa el número de participantes en cada una de las categorías Σf = sumatoria del número de participantes n = número total de participantes 79 Para obtener una representación clara sobre la percepción que tienen los participantes referentes a las variables de investigación, se diseñaron las siguientes categorías de valores escalares. Tabla 3.8: Escala Lickert para la hipótesis número uno Descripción de la Escala Conocimiento Valor de la Escala 4.50 ≤ Me ≤ 5.00 Persuasión 3.50 ≤ Me ≤ 4.49 Decisión 2.50 ≤ Me ≤ 3.49 Implementación 1.50 ≤ Me ≤ 2.49 Confirmación 1.00 ≤ Me ≤ 1.49 Tabla 3.9: Escala Lickert para las hipótesis de la dos a la cinco Descripción de la Escala Valor de la Escala Totalmente de Acuerdo 4.50 ≤ Me ≤ 5.00 De Acuerdo 3.50 ≤ Me ≤ 4.49 Indeciso En Desacuerdo 2.50 ≤ Me 1.50 ≤ Me ≤ 3.49 ≤ 2.49 Totalmente en Desacuerdo 1.00 ≤ Me ≤ 1.49 Las alternativas de esta escala son las mismas que aparecen en el cuestionario distribuido a los participantes. Luego de tabular los datos correspondientes, se comparó el valor de la mediana (Me) de cada grupo con las categorías de valores escalares establecidas. Para el análisis estadístico de los datos, se utilizaron las principales medidas de tendencia central: mediana, media, desviación estándar y varianza. Las medidas de tendencia central se calcularon según el número de la puntuación obtenida de acuerdo a los valores escalares asignados por los participantes a los ítems. Las media de 80 tendencia central utilizadas para cada grupo focal en cada una de las hipótesis son las siguientes: 1. Puntuación acumulada (X) del participante - sumatoria de las puntuaciones escalares asignadas a los ítems por el participante de acuerdo con la escala Likert utilizada. 2. La mediana (Me) del grupo focal – valor que separa la distribución de los datos en mitades. Esta medida es utilizada en el estudio para identificar el punto medio de los datos según la escala Likert. *) del grupo focal – media de las puntuaciones acumulada dividido 3. Media aritmética (X entre el número de participantes por cada hipótesis. 4. Varianza (S2) - expresa la variabilidad de las puntuaciones de los sujetos en la variable bajo estudio. Su representación en la muestra es S2 y en la población + ,. La varianza (S2) se calculará a través de la siguiente ecuación: - , = *) ∑(/ / 1 . Dónde: S2 = variancia de los participantes X = promedio de los ítems. = media aritmética de los participantes = tamaño de la muestra * X n 5. Desviación estándar (S) - representa el alejamiento de una serie de números de su valor medio. La desviación estándar es una medida de distancia promedio de los valores observados a su media. La desviación estándar es la raíz cuadrada de la varianza. La fórmula es la siguiente: -2 = √- , Los resultados de las medidas porcentuales son utilizados para el análisis descriptivo de la muestra y los resultados de las medidas de tendencia central son utilizados para la corroboración de hipótesis. 81 Prueba de significación de hipótesis Para la corroboración de hipótesis se utilizó la prueba t a un nivel de significancia de 0.05 (α = 5%) bilateral, donde las regiones de rechazo se dividen en dos colas en la curva de distribución normal, de 0.025 cada una de las colas y el estadístico de la prueba t sigue una distribución que tiene n – 2 grados de libertad. Luego de tabular los resultados de los cuestionarios y calcular las medidas de tendencia central necesarias, se calculó el valor de la prueba t para la corroboración de las hipótesis, a través de la siguiente formula: t = * 4 / * ) (/ 564 86 74 7 Dónde: * X y* X, S1 y S2 n1 y n2 = medias aritméticas de los grupos focales (grupo 1 y 2) = desviación estándar de los grupos focales (grupo 1 y 2) = número de participantes para cada grupos focal Para el rechazo de una hipótesis nula (H0) se comparó el valor calculados de t con el valor crítico obtenido de la tabla de distribución de t a un nivel de significación de un ∝ = 5% bilateral. 82 Figura 3.1: Hipótesis bidireccionales (∝ ∝ = 5%) GL = n-2 Región de no rechazo Región de rechazo 0 Región de rechazo ∝ = 5% Las regiones de rechazo de las hipótesis están representadas por él 90.025 y las región de no rechazo está representadas por el 0.95. Por lo que, si el valor calculado de t es mayor que el valor crítico para t, entonces se rechaza la hipótesis nula y se acepta la hipótesis alterna. Por otro lado, si el valor de t esta entre los valores críticos de la tabla de t que son 90.025, entonces no se rechaza la hipótesis nula. En los casos donde no es posible rechazar la hipótesis nula (H0), se concluye que los datos obtenidos en la investigación no fueron lo suficientemente significativos para aceptar la hipótesis alterna. Consideraciones éticas Para realizar este estudio, se cumplió con las regulaciones establecida por la Junta de Revisión Institucional (Institutional Review Board, IRB), Conducta Responsable de Investigación (Responsible Conduct Research, RCR) y Ley de Portabilidad y Contabilidad de Seguros de Salud (Health Insurance Portability and Accountability Act, HIPAA) de la universidad del Turabo de Puerto Rico. El riesgo es mínimo para la seguridad física o emocional de las personas que participaron del mismo. Sin embargo, el participante se beneficiará a través de los hallazgos; ya que, le ayudarán en la toma 83 de decisiones al momento de considerar la adopción de la computación en nube o cualquier otra tecnología. Todos los gastos de este estudio fueron asumidos por el investigador, por lo que no se les solicito aportación económica a los participantes. Este estudio no incluyo pago por concepto de la participación. Toda la información obtenida en esta investigación es totalmente confidencial y se utilizó específicamente para fines de la investigación. En el estudio no se recopilo información personal identificable de los participantes. Para mayor seguridad, luego de la tabulación y análisis de los datos, toda la información relacionada con el estudio será manejada únicamente por el investigador, quien protegerá la misma en un lugar seguro durante los próximos cinco años luego de concluir la investigación. Después de los cinco años, la información será destruida por el investigador. 84 CAPÍTULO IV HALLAZGOS DE LA INVESTIGACIÓN Para la representación de los resultados obtenidos a través del cuestionario, se utilizaron tablas y graficas que ayudaron en la tabulación de los datos. De igual forma, para representar el análisis estadístico de la prueba t se hizo uso de tablas y la curva de distribución normal. Adición, se incluyó el resumen de los hallazgos a la luz de las interpretaciones de los resultados obtenidos en la investigación. Descripción de la población relacionada con el estudio La población seleccionada para realizar la investigación estuvo compuesta por los directores de informática y decanos administrativos de las universidades públicas y privadas de Puerto Rico. El total de universidades privadas identificas fue de 13 y 10 universidades públicas. Muestra de los participantes en el estudio En este estudio se logró la participación de las 13 universidades privadas equivalente al 100% y nueve (9) universidades públicas lo que representa el 90%. El cuestionario fue distribuido a través del Internet, utilizando la herramienta de Google Doc. Los cuestionarios fueron enviados al director de informática y decano administrativo de cada institución. El total de cuestionarios contestados correctamente fue de 45, distribuidos entre 26 de sistemas de información y 19 decanos administrativos de ambas instituciones. Perfil de los participantes La muestra de esta investigación fue seleccionada en forma estratificadaaleatoria y divida en (2) dos grupos focales: directores de sistemas de información (26) y decanos administrativos (19) de las universidades privadas y públicas. Las tablas 4.1– 4.3 y las gráficas 4.1 – 4.3, contiene la distribución y el resumen de los datos demográficos obtenidos en cada uno de los ítems relacionados con los participantes. 85 Tabla 4.1: Distribución de los datos demográficos Género Femenino Masculino Total Edad 21 - 35 36 - 50 51 o más Total Preparación Académica Grado Asociado Bachillerato Maestría Doctorado Total Experiencia Laboral Menos de 5 5 - 10 10 - 119 20 o más Total Años en esa posición Menos de 5 5 - 10 10 - 119 20 o más Total Frecuencia (f) 13 32 45 Frecuencia (f) 4 27 14 45 Frecuencia (f) 0 23 15 7 45 Frecuencia (f) 0 3 16 26 45 Frecuencia (f) 16 15 10 4 45 Porcentaje 29 71 100 Porcentaje 17 61 22 100 Porcentaje 51 33 16 100 Porcentaje 7 36 58 100 Porcentaje 36 33 22 9 100 Fuente: Instrumento de investigación (Parte I, Preguntas 1 – 5) Tabla 4.2: Distribución de los datos demográficos de las universidades Tipo de Institución Privada Pública Total Número de empleados en su compañía Menos de 500 500 - 999 1000 - 4,999 5,000 - 9,999 10,000 o más Total Frecuencia (f) Porcentaje 26 19 45 Frecuencia (f) 26 16 2 1 0 45 58 42 100 Porcentaje 58 36 4 2 100 Área de trabajo del participante Frecuencia (f) Directores de Informática (IT) 26 Decano Administrativo 19 Total 45 Fuente: Instrumento de investigación (Parte I, Preguntas 6 – 9) Porcentaje 58 42 100 86 Tabla 4.3: Resumen de perfil general de los participantes Descripción de los Participantes Total Privada Decano Administrativo Bachillerato Maestría Doctorado Profesional de Informática (IT) Bachillerato Maestría Pública Decano Administrativo Bachillerato Maestría Profesional de Informática (IT) Bachillerato Maestría Doctorado Total 26 10 4 3 3 16 14 2 19 9 1 8 10 4 4 2 45 Gráfica 4.1: Universidades participantes en la investigación (n = 45) Cantidad 30 20 10 0 Privada (n = 26) Pública (n = 19) Típo de Institución 87 Gráfica 4.2: Profesionales participantes en la investigación (n = 45) Cantidad 30 20 10 0 Directores de Informática Decano Adminsitrativo (n = 26) (n = 19) Típo de Profesional Gráfica 4.3: Preparación académica de los participantes (n = 45) 23 25 Cantidad 20 15 15 7 10 5 0 0 Grado Asociado Bachillerato Maestría Doctorado Grados Académicos De acuerdo con la tabulación de los datos, la distribución de la muestra total (45 participantes), reflejo lo siguiente: 1) En su mayoría pertenecen al género masculino (71%). 2) La edad predominante de los participantes estuvo entre los 36 a 50 años (61%). 3) La mayor parte de los participantes tienen 20 o más años de experiencia laboral, lo que representó un 58%. 4) Con relación a los años que llevan laborando en la empresa, la mayoría tiene entre 88 5 a 10 años, lo que representa un 57%. 5) Con respecto a la preparación académica de los participantes, un 51% tiene bachillerato, un 33% tiene de maestría y un 16% tiene doctorado. 6) Las universidades privadas que participaron en la investigación, representan un 58%, versus un 42% de las universidades públicas. 7) Un 58% de los participantes trabajan como directores de informática; en cambio, un 42% se desempeña como decanos administrativos. 8) Relacionado con el número de empleados que tiene la institución, un 58% de las universidades participantes tienen menos de 500 empleados, un 16% tiene de 500 a 999 empleados, un 4% tiene de 1000 – 4,999 empleados y solamente un 2% de las instituciones participantes, tienen más de 10,000 empleados. Análisis estadístico de las hipótesis de investigación Los datos recolectados a través del instrumento, fueron tabulados en tablas separadas para cada uno de los grupos de investigación (directores de informática y decanos administrativos). La tabulación se realizó para cada uno de los ítems correspondiente a cada hipótesis. Se calculó la sumatorias, media, mediana, desviación estándar y varianza por ítem y por grupo. Las tablas 4.4 – 4.8, contienen el resumen de la tabulación de los datos relacionados con la hipótesis número uno (H1). Esta hipótesis está dirigida a identificar el estatus actual en el cual se encuentra la adopción de la computación en nube en las universidades públicas y privadas de Puerto Rico. 89 Tabla 4.4: Estatus actual de la computación en nube en las universidades de Puerto Rico Etapas Frecuencia (f) Porcentaje Conocimiento 16 36 Persuasión 11 24 Decisión 5 11 Implementación 9 20 Confirmación 4 9 Total 45 100 Gráfica 4.4: Estatus de computación en nube en las universidades de Puerto Rico (n= 45) 16 14 12 Cantidad 10 8 6 4 2 0 Conocimiento Persuación Decisión Implementación Confirmación Etapas de Adopción Según los datos obtenidos a través del instrumento, la mayoría de las universidades de Puerto Rico se encuentra en la etapa del conocimiento, con respecto a la adopción de la computación en nube, lo que representa un 36%. Por otro lado, solo un nueve por ciento (9%) de las universidades se encuentran en la etapa de confirmación. 90 Tabla 4.5: Estatus de la computación en nube en las universidades privadas de Puerto Rico Etapas Conocimiento Persuasión Decisión Implementación Confirmación Total Frecuencia (f) 3 9 1 9 4 26 Porcentaje 12 35 4 35 15 100 Gráfica 4.5: Adopción de la computación en nube en las universidades privadas (n = 26) 9 8 7 Cantidad 6 5 4 3 2 1 0 Etapas de Adopción De acuerdo a los resultados, un 35% de las universidades privadas en Puerto Rico, se encuentran en la etapa de persuasión y otro 35% está en la etapa de la implementación con relación a la adopción de la computación en nube. Sin embargo un cuatro por ciento (4%) se encuentra en la etapa de decisión. 91 Tabla 4.6: Estatus de la adopción de la computación en nube en las universidades del estado Etapas Conocimiento Persuasión Decisión Implementación Confirmación Total Frecuencia (f) 13 2 4 0 0 19 Porcentaje 68 11 21 0 0 100 Gráfica 4.6: Estatus de la computación en nube en las universidades públicas de Puerto Rico (n = 19) 14 12 Cantidad 10 8 6 4 2 0 Conocimiento Persuación Decisión Implementación Confirmación Etapas de Adopción Por otro lado, en las universidades públicas de Puerto Rico, un 68% de las universidades se encuentran en la etapa del conocimiento con respecto a la adopción de la nube y ninguna universidad se encuentra en la implementación o en la confirmación. 92 Tabla 4.7: Modelos de adopción de la computación en nube por las universidades Frecuencia (f) Porcentaje Privada Modelos 20 44 Pública 5 11 Mixta 11 24 Ninguna 9 20 Total 45 100 Gráfica 4.7: Modelo de adopción de la computación en nube en las universidades de Puerto Rico (n = 45) 20 Cantidad 15 10 5 0 Privada Pública Mixta Ninguna Modelos de Computación en Nube De acuerdo a los datos, el modelo de adopción de la computación en nube que más les interés a las universidades en Puerto Rico es el modelo privado con un 45% y el que menos les interesa es el modelo público. La tablas 4.8, presenta un resumen de los resultados utilizados como fuente de datos para la hipótesis número uno. La misma contiene las medidas de tendencia central de los participantes. La clasificación sobre el estatus en el que se encuentran las universidades privadas y públicas, con respecto a la adopción de la computación en nube, se llevó a cabo de acuerdo a la escala contenida en la tabla 3.8 del capítulo tres. 93 Tabla 4.8: Análisis estadístico para la hipótesis uno (H1) Categoría Según Escala Likert Tipo de Institución n Total (X) Mediana (Me) Universidades Privadas 26 76 2.50 Decisión Universidades Publicas 19 86 5.00 Conocimiento Figura 4.1: Modelo Integración de las categorías, etapas y años de la adopción de la tecnología (modelo CEA) C a t e g o r í a s % Participantes Etapas Años Innovadores Adoptantes temprano Mayoría precoz Mayoría tardía Universi dades Privadas 2.5% Confirmación 1 13.5% Implementación 2 34% Decisión 3 Rezagados Universidades Públicas 34% Persuasión 4 16% Conocimiento 5 Según la escala Likert y de acuerdo con el modelo de la integración de las categorías y etapas de la adopción de la tecnología, el estatus actual en el que se encuentran las universidades privadas con respecto a la adopción de la computación en nube se encuentran en la etapa de decisión; en cambio, las universidades públicas se encuentran en la etapa de conocimiento. Por lo que, de acuerdo a las categorías de la adopción, las universidades privadas de Puerto Rico caen en la categoría de mayoría 94 precoz y las universidades públicas caen en la categoría de rezagados. Las tablas 4.9 – 4.12, contienen el resumen de la tabulación de las medidas de tendencias central de los participantes, correspondiente a las hipótesis dos, tres, cuatro y cinco de la investigación. Estas hipótesis están enfocadas a identificar y analizar el nivel de importancia que tiene las seguridades de los datos y los costos de adoptar la computación en nube por las universidades de Puerto Rico. La clasificación con respecto al nivel de importancia de los factores de confidencialidad, integridad, disponibilidad y costos, se llevó a cabo de acuerdo a la escala contenida en la tabla 3.9 del capítulo tres (3). Hipótesis numero dos (H2): La confidencialidad de los datos es más importante para los directores de informática que para los decanos administrativos. Tabla 4.9: Análisis estadístico para la hipótesis dos (H2) Participantes Total (X) Mediana (Me) Según Escala Likert 19 350 4.00 De acuerdo 26 458 4.00 De acuerdo n Decanos Administrativos Directores de Informática Según la escala Likert, ambos grupos participantes, están de acuerdo que la confidencialidad de los datos es un factor importante a considerar al momento de adoptar la computación en nube en las universidades de Puerto Rico. Hipótesis número tres (H3): La integridad de los datos es más importante para los directores de informática que para los decanos administrativos Tabla 4.10: Análisis estadístico para la hipótesis tres (H3) Participantes n Total Mediana (Me) Según Escala Likert Decanos Administrativos 19 377 4.00 De acuerdo Directores de Informática 26 500 4.00 De acuerdo 95 Según la escala Likert, ambos grupos participantes, están de acuerdo que la integridad de los datos es un factor importante a considerar al momento de adoptar la computación en nube en las universidades de Puerto Rico. Hipótesis número cuatro (H4): La disponibilidad de los datos es más importante para los directores de informática que para los decanos administrativos. Tabla 4.11: Análisis estadístico para la hipótesis cuatro (H4) Participantes n Total Mediana (Me) Según Escala Likert Decanos Administrativos 19 547 4.00 De acuerdo Directores de Informática 26 744 4.00 De acuerdo Según la escala Likert, ambos grupos participantes, están de acuerdo que la disponibilidad de los datos es un factor importante al momento de adoptar la computación en nube en las universidades de Puerto Rico. Hipótesis número cinco (H5): Los costos iniciales de adopción de la adopción de la computación en nube son más importante para los decanos administrativos que para los directores de informática Tabla 4.12: Análisis estadístico para la hipótesis cinco (H5) Participantes n Sumatoria por Participantes Mediana (Me) Según Escala Likert Decanos Administrativos 19 465 3.00 Indeciso Directores de Informática 26 490 3.00 Indeciso Según la escala Likert, ambos grupos, están indecisos con respecto a que los costos de adoptar la computación en nube es igual de importante para los directores de informática que para los decanos Administrativos. 96 Corroboración de hipótesis La corroboración de hipótesis se llevó a cabo a través de un proceso que consistió en la distribución del instrumento de recopilación de datos a los participantes del estudio, tabulación y análisis de los datos a través de las medidas de tendencia central. Se aplicó la prueba t para examinar si existe diferencia significativa entre los dos grupos, directores de informática y decanos administrativos, con respecto a las variables de investigación. Para el rechazo de una hipótesis nula (H0) se compararon los valores calculados de t con los valores críticos correspondientes a un nivel de significación de α = 5%. Si el valor obtenido de t es menor que el valor critico de t, se acepta la hipótesis alterna; por lo tanto, no se rechaza la hipótesis nula. En los casos donde no sea posible rechazar la hipótesis nula (H0), se concluye que los datos obtenidos en la investigación no fueron lo suficientemente significativos para aceptar la hipótesis alterna. Las tablas 4.13 – 4.18, contiene el resumen de las principales medidas de tendencia central calculadas para cada grupo de investigación, los grados de libertad (43), el valor crítico de t a un nivel de significación de 0.05 bilateral, el valor de t y la decisión tomada de acuerdo a la comparación del valor de t con respecto al valor crítico de t. Corroboración de la hipótesis número uno H1 H1: Las universidades privadas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades públicas de Puerto Rico. H0: Las universidades públicas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades privadas de Puerto Rico. 97 Tabla 4.13: Corroboración de la hipótesis número uno (H1) Tipo de Institución n Media * ; Variancia 2 (S ) Desviación Estándar (S) Privadas 26 2.92 1.83 1.35 Publicas 19 4.53 0.60 0.77 Grados de Libertad Valor Critico de t a un 5% 43 2.02 Valor de t Decisión tomada con respecto a H0 5.26 Se rechaza la Hipótesis H0 Gráfica 4.8: Corroboración de la hipótesis número uno (H1) GL = 43 t =5.26 Región de no rechazo 0 Región de rechazo Valor crítico = -2.02 0 Región de rechazo Valor crítico = +2.02 La región de rechazo es cuando t es menor o igual a -2.02 o el valor de t es mayor a 2.02. El valor de t es 5.26, (5.26 > 2.02), por lo que se concluye que el valor de t cae en la región de rechazo de hipótesis. Decisión tomada con respecto a la hipótesis número uno (H1) Según los resultados obtenidos no se pudo comprobar que las universidades públicas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades privadas de Puerto Rico. Lo que es equivalente indicar que, no hay evidencia estadística para aceptar la hipótesis nula, o para rechazar la hipótesis alterna. 98 Corroboración de la hipótesis número dos H2 H2: La confidencialidad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades, al momento de adoptar la computación en nube. H0: La confidencialidad de los datos es igual de importante para los decanos administrativos que para los directores de informática de las universidades al momento de adoptar la computación en nube. Tabla 4.14: Corroboración de la hipótesis número dos (H2) Participantes Decanos Administrativos Directores de Sistemas de Información n Media *) (; Variancia 2 (S ) Desviación Estándar (S) 19 18.42 4.77 2.24 26 17.62 6.77 2.64 Grados de Libertad 43 Valor Critico de t a un 5% 2.02 Valor de t Decisión tomada con respecto a H0 1.72 No se rechaza la Hipótesis H0 Gráfica 4.9: Corroboración de la hipótesis número dos (H2) GL = 43 Región de no rechazo Región de rechazo Valor crítico = -2.02 0 t = 1.72 Región de rechazo Valor crítico = +2.02 99 La región de no rechazo se encuentra entre los dos puntos -2.02 y 2.02, siendo t = 1.72, (-2.02 < 1.72 < 2.02), por lo que se concluye que el valor de t cae en la región de no rechazo de hipótesis. Decisión tomada con respecto a la hipótesis número dos (H2) Por lo que, se concluye que los datos obtenidos en la investigación no fueron lo suficientemente significativos para aceptar la hipótesis alterna. En conclusión, de acuerdo con los resultados, se logró comprobar que el factor de confidencialidad, es igual de importante para los decanos administrativos que para los directores de informática de las universidades en Puerto Rico, al momento de considerar la adopción de la computación en nube. Por lo que, no se rechaza la hipótesis nula Corroboración de la Hipótesis número tres H3 H3: La integridad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. H0: La integridad de los datos es igual de importante para los decanos administrativos que para los directores de informática de las universidades al momento de adoptar la computación en nube. Tabla 4.15: Corroboración de la hipótesis número tres (H3) Participantes n Media *) (; Variancia 2 (S ) Desviación Estándar (S) Decanos Administrativos 19 19.84 6.25 2.5 Directores de Sistemas de Información Grados de Libertad 43 26 19.23 6.18 2.49 Valor Critico de t a un 5% 2.02 Valor de t Decisión tomada con respecto a H0 1.28 No se rechaza la Hipótesis H0 100 Gráfica 4.10: Corroboración de la hipótesis número tres (H3) GL = 43 Región de no rechazo Región de rechazo Valor crítico = -2.02 0 t = 1.28 Región de rechazo Valor crítico = +2.02 La región de no rechazo se encuentra entre los dos puntos -2.02 y 2.02, siendo t = 1.28, (-2.02 < 1.28 < 2.02), por lo que se concluye que el valor de t cae en la región de no rechazo. Decisión tomada con respecto a la Hipótesis número tres (H3) Por lo que, se concluye que los datos obtenidos en la investigación no fueron lo suficientemente significativos para aceptar la hipótesis alterna. Lo que significa que, de acuerdo con los resultados, se logró comprobar que el factor de integridad, es igual de importante para los decanos administrativos que para los directores de informática de las universidades en Puerto Rico, al momento de considerar la adopción de la computación en nube. Por lo que, no se rechaza la hipótesis nula. Corroboración de la hipótesis número cuatro H4 H4: La disponibilidad de los datos es más importante para los directores de informática que para los decanos administrativos de las universidades al momento de adoptar la computación en nube. 101 H0: La disponibilidad de los datos es igual de importante para los decanos administrativos que para los directores de informática de las universidades al momento de adoptar la computación en nube. Tabla 4.16: Corroboración de la hipótesis número cuatro (H4) Participantes n Media *) (; Variancia 2 (S ) Desviación Estándar (S) Decanos Administrativos 19 28.79 11.84 3.44 Directores de Sistemas de Información Grados de Libertad 43 26 28.62 17.21 Valor Critico de t a un 5% 2.02 Valor de t Decisión tomada con respecto a H0 0.30 No se rechaza la Hipótesis H0 4.15 Gráfica 4.11: Corroboración de la hipótesis número cuatro (H4) GL = 43 Región de no rechazo Región de rechazo Valor crítico = -2.02 0 t = 0.30 Región de rechazo Valor crítico = +2.02 La región de no rechazo se encuentra entre los dos puntos -2.02 y 2.02, siendo t = 0.30, (-2.02 < 0.30 < 2.02), por lo que se concluye que el valor de t cae en la región de no rechazo. Decisión tomada con respecto a la hipótesis número cuatro (H4) Por lo que, se concluye que los datos obtenidos en la investigación no fueron lo 102 suficientemente significativos para aceptar la hipótesis alterna. Lo que significa que, de acuerdo con los resultados, se logró comprobar que el factor de disponibilidad, es igual de importante para los decanos administrativos que para los directores de informática de las universidades en Puerto Rico, al momento de considerar la adopción de la computación en nube. Por lo que, no se rechaza la hipótesis nula. Corroboración de la hipótesis número cinco H5 H5: Los costos de la adopción de la computación en nube son más importantes para los decanos administrativos que para los decanos administrativos de las universidades. H0: Los costos de la adopción de la computación en nube son igual de importante para los directores de informática que para los directores de informática las universidades. Tabla 4.17: Corroboración de la hipótesis número cinco (H5) Participantes n Media *) (; Variancia 2 (S ) Desviación Estándar (S) Decanos Administrativos 19 24.47 4.15 2.04 Directores de Sistemas de Información Grados de Libertad 43 26 22.69 16.94 Valor Critico de t a un 5% 2.02 Valor de t Decisión tomada con respecto a H0 3.46 No se rechaza la Hipótesis H0 4.12 Gráfica 4.12: Corroboración de la hipótesis número cinco (H5) GL = 43 t = 3.46 Región de no rechazo Región de rechazo Valor crítico = -2.02 0 Región de rechazo Valor crítico = +2.02 103 La región de rechazo es cuando t es mayor o igual a -2.02 o el valor de t es mayor a 2.02. El valor de t es 3.46, (3.46 > 2.02), por lo que, el valor de t cae en la región de rechazo de hipótesis. Decisión tomada con respecto a la hipótesis número cinco (H5) Según los resultados, no se logró comprobar que el factor costo, sea igual de importante para los decanos Administrativos que para los directores de Informática de las universidades en Puerto Rico, al momento de considerar la adopción de la computación en nube. Por lo que, se rechaza la hipótesis nula. 104 CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES El propósito de esta investigación es identificar y analizar factores relevantes que inciden en la adopción de la computación en nube en las universidades públicas y privadas en Puerto Rico, según los directores de Informática y decanos Administrativos. El estudio tiene cinco (5) hipótesis y seis (6) preguntas de investigación, dirigida a identificar y comparar entre las universidades privadas y públicas en Puerto Rico, el estatus en el cual se encuentran con relación a la adopción de la computación en nube. El otro enfoque, de esta investigación fue analizar y contrastar en los directores de Informática y decanos Administrativos, el nivel de relevancia que tienen los factores de seguridad y costo al momento de considerar la adopción de la computación en nueve en su institución. El factor de seguridad fue evaluado desde las dimensiones de confidencialidad, integridad y disponibilidad de los datos. La población identificada fueron los directores de informática y decanos administrativos de las universidades públicas y privadas en Puerto Rico. Se identificó un total de 23 universidades, de las cuales 13 son universidades privadas y 10 universidades del estado. Aplicando un error estándar de 0.07 y una proporción a estimar de 0.09, la muestra determinada fue de 21 universidades, por lo que, el factor de estratificación fue un 91%. Al aplicar el factor a cada una de las instituciones, se obtiene que la muestra de las universidades privadas es de 12 y las universidades publicas nueve (9). Luego de un proceso largo y de continua comunicación con el personal autorizados de las universidades, se logró con éxito lo propuesto; ya que, se obtuvo la autorización por escrito del 100 por ciento de las universidades privadas y 90 por ciento de las universidades públicas para un total de 22 universidades lo que representa el 96 por ciento de la población. El total de reactores fue de 45, donde 26 eran directores de 105 informática y 19 decanos administrativos (ver capítulo 4). La prueba t fue utilizada para la corroboración de hipótesis en ambos grupos a un nivel de significación de un cinco por ciento (5%) bilateral. Conclusiones A la luz de los hallazgos analizados y resumidos en el Capítulo 4, se llegó a las siguientes conclusiones que permiten contestar las preguntas de investigación y corroboración de las hipótesis planteadas en esta investigación. Para este estudio se formularon seis preguntas de investigación, que sirvieron de guía en la investigación y al final se concluye lo siguiente: 1) Las posiciones de directores de Informática y decanos Administrativos en las universidades de Puerto Rico están cubiertas en su mayoría por profesionales del género masculino, con preparación de bachillerato y con más de 20 años de experiencia laboral (ver tabla 4.1). 2) La mayoría de las universidades en Puerto Rico, se encuentra en la etapa inicial o conocimiento con relación a la adopción de la computación en nube y el modelo de computación en nube que más les interesa adoptar es el privado. Sin embargo, al contrastar las universidades privadas y públicas, el estatus actual en el que se encuentran las universidades privadas con respecto a la adopción de la computación en nube es la etapa de Decisión; en cambio, las universidades públicas se encuentran en la etapa de Persuasión. Por lo que, de acuerdo al modelo de la adopción de la innovación, desarrollado por Everett Rogers en su libro Diffusion of Innovation (1995), las universidades privadas de Puerto Rico caen en la categoría de mayoría precoz y las universidades públicas caen en la categoría rezagados de la adopción de la tecnología. 3) Tanto los directores de Informática, como los decanos administrativos, están de acuerdo que la confidencialidad, integridad y la disponibilidad de los datos, son 106 factores igual de importantes para ambos grupos al momento de considerar la adopción de la computación en nube en las universidades de Puerto Rico. Sin embargo, no están seguros si los costos de adoptar la computación en nube sea igual de importante para ambos grupos, directores de Informática y decanos Administrativos. De acuerdo a los hallazgos, no se logró comprobar que las universidades públicas de Puerto Rico están dispuestas a adoptar la computación en nube más temprano que las universidades privadas en Puerto Rico. Se logró comprobar que los factores de confidencialidad, integridad, disponibilidad son igual de importante para los decanos Administrativos que para los directores de Informática en las universidades al momento de adoptar la computación en nube. Por último, no se logró comprobar que el factor costo, sea igual de importante para los decanos administrativos que para los directores de informática de las universidades en Puerto Rico, al momento de considerar la adopción de la computación en nube. En este estudio se logró identificar que, la seguridad y los costos son factores muy importantes tanto para los directores de informática, como para los decanos administrativos de las universidades en Puerto Rico al momento de considerar la adopción de la computación en nube. Recomendaciones La computación en nube, al igual que otras tecnologías emergentes está en proceso de evolución y su adopción por varias organizaciones está creciendo rápidamente y se vislumbra que marcará una etapa en el mundo de la tecnología. Es por eso que, las instituciones deben considerarla como una estrategia de ventaja competitiva. La tendencia de las tecnologías es mover la computadora personal hacia 107 el Internet, permitiéndoles a los usuarios debidamente autorizados, el acceso desde cualquier punto a los recursos. La computación en nube, le brinda a las instituciones u organizaciones múltiples beneficios, como ser un sistema centralizado, economía de escala, fomenta la innovación, eficiencia y disponibilidad de los recursos, reducción de costos y administración o mantenimiento de los sistemas de información. Sin embargo, es muy importante que las organizaciones que consideran adoptar esta tecnología se eduquen y tomen conciencia de los pros y contra que conlleva la migración o adopción de nuevos sistemas. Actualmente, existen varios proveedores de este servicio en el mercado, que están en toda la disposición de orientar a sus clientes con respecto a la seguridad y costos relacionados con la adopción de esta tecnología. Es normal que las instituciones sientan preocupación relacionadas a la adopción de la computación en nube, como todo cambio; sin embargo, deben darse la oportunidad de conocer e intentar al inicio la computación en nube privada, adoptando el modelo de servicio conocido como “Software as Service, SaaS”, en donde no se pierde el control total y lo que se está compartiendo con los usuarios son las aplicaciones. Luego, las organizaciones, pueden ir adoptando otros modelos escalonadamente como ser el modelo de Plataforma como Servicio (Plataform as a Service, PaaS) o el modelo de servicios de Infraestructura como Servicio (Infrastructure as a Service, IaaS), con el propósito de conocer mejor las tecnología. Es extremadamente importante que la comunicación y coordinación fluya efectivamente, entre las personas que toman la decisión de adquirir nuevas tecnologías en la organización como son los directores de sistemas de Información o informática y los decanos o directores Administrativos. Aplicando las estrategia conocida como “Joint Application Design, JAD”, la cual involucra a los usuarios en el desarrollo y/o adopción de nuevas herramientas tecnologías. 108 Contribuciones Este estudio es una herramienta que les debe servir como una estrategia tecnológica a las empresas u organizaciones al momento de considerar adoptar una tecnología. A los profesionales que tienen la responsabilidad de tomar decisiones cruciales para sus instituciones relacionadas con la tecnología, este estudio les debe ayudar a comprender que debe existir una integración entre los departamentos con el fin de seleccionar la mejor alternativa al momento de adoptar una tecnología emergente. Además, este estudio le proveerá tanto a las empresas que están considerando adoptar la computación en nube, como a los proveedores de esta tecnología, los factores más críticos o relevantes que influyen en una organización al momento de adoptar la computación en nube desde la perspectiva de profesionales (directores de informática y decanos administrativos) que tienen el poder para tomar la decisión de la adopción. Este estudio puede tener alcances y beneficios para la adopción de futuras tecnologías emergentes en las instituciones. A través de este estudio, se les está proveyendo a las compañías un modelo, que les permita identificar la etapa y categoría en la cual se encuentra su institución y la competencia, con respecto a la adopción de una tecnología. 109 Figura 5.1: Modelo Integración de las categorías, etapas y años de la adopción de la Tecnología (Modelo CEA) C a t e g o r í a s Innovadores % Participantes Etapas 2.5% Adoptantes temprano 13.5% Confirmación Implementación Años 1 2 Mayoría precoz 34% Mayoría tardía 34% Decisión Persuasión 3 Rezagados 16% Conocimiento 4 5 Diseño propio, utilizando como base los modelos de la adopción de innovación de Everett Roger Para concluir, este estudio debe de servir de base para futuras investigaciones relacionadas con las adopción de tecnologías emergentes, como ser: Context Delivery Architecture, Extreme Transaction Processing, Computer Brain Interface, e-Book Reader o expandir este mismo tema de la computación en nube a otras organizaciones. 110 REFERENCIAS Accenture. (2010). Cloud Computing: La tercera ola de la tecnología. Fundación de la Innovación Bankinter. Accenture. (2010). La Apuesta de las Empresas por la Nube. Madrid: Fundación de la Innovación Bankinter. Aguilera, G. (2010). El computo en la Nube. EBSCO Host , 560. Alamill, I. (2008). Libro Blanco: Una Iiniciativa para la Segurida. Barcelona, España. Alcoce, A. (2010). Características de la aplicación de Cloud Computing. SocieTIC, Sociedad y Tecnología. Alliance, C. C. (2009). Security Guidance form Critical Areas of Focus in Cloud Computing V2.1. Cloud Security Alliance. Babu, S. (2010). Assessing the Relationships Among Cloud Adoption Strategic Alignment and Information Technology Strategic Alignmentand Information Technology. New Orlean: Proquest. Beal, G. M., & Bohlen, J. M. (1957). The Diffusion Process. 111 - 121. Behnia, K. (2010). Cloud Computing en Perspectiva. BMC Software. Behnia, K. (2008). Cloud Computing una Perspectiva. USA: BM Software. Boss, G., Malladi, P., Quan, D., & Legre, L. (2007). Cloud Computing. IBM Corporation. Bourne, C.-V. (2010, Marzo). Unleashing the Power of Virtualization: Cloud Computing and the perceptions of European. Retrieved enero 07, 2011, from http://www.ca.com/Files/SupportingPieces/ca_virtualisatn_survey_report_228900 .pdf Brodkin, J. (2008). Gartner: Seven cloud-computing security risk. InfoWorld. BSM. (2011). Managing Cloud is Chief Concern. Business Service Management. Carrera, D. (2009). Cloud Computing, Trabajar en una Nube. Barcelona: UPC Barcelona. 111 Chakaravarti, A. (2010). Cloud Computing - Challenger & Opportunities. Chakravarti, A. (2010). Cloud Computing Challengres & Opportunities. Cohen, L., & Manion, L. (1990). Métodos de Investigación Educativa. España: La Muralla. Cooper, R., & Schindler, P. (2007). Business Research Methods, 9th Edition. New York: McGraw Hill. CSA. (2009). Retrieved April 2, 2010, from Cloud Security Alliance: https://cloudsecurityalliance.org/About.html Davis, F. D. (1989). Perceived usefulness, perceived ease of use, and user acceptance of information technology. MIS Quarterly. Daynes, S., Brechbuhl, H., & Johnson, E. (2005). Information Security in the Extended Enterprise: Some Initial Results From a Field Study of an Industrial Firm. Tuck School of Business at Dartmouth College. Durán, M. (2010). Cloud Computing en la Unión Europea: ¿Se apuesta por su implantación y sus efectos positivos en el empleo? Madrid: N-Economía CEPREDE. Etro, F. (2010). The Economic Consequences of the Diffusion of Cloud Computing. ISEAD The Business School for the Word , 107-109. Fenn, J. (2010). 2010 Emerging Technologies Hype Cycle is Here. Orlando, Florida: Gartner. Fernadez, J. A. (2009, marzo 17). Cloud computing: ¡un futuro brillante! Nota Enter ie , 1-7. FTF, F. (2010). Cloud Comuting: La tercera ola de las Tecnologías de la Información. España: Fundación de la Innovación Bankinter. García, L. S. (2011, junio). Microsoft busca desarrollar la computación en la nube en Puerto Rico. Retrieved octubre 22, 2011, from Universia: 112 http://noticias.universia.pr/ciencia-nn-tt/noticia/2011/06/13/835651/microsoftbusca-desarrollar-computacion-nube-puerto-rico.html Gartner. (2011). Gartner Identifies the Top 10 Strategic Technologies for 2011. Orlando, Florida: Symposium/ITxpo. Grant, A., Strover, S., & Williams, F. (1996). In Media Effects: Advances in Theory and Research. In Social Aspects of New Media Technologies (pp. 436-482). NJ: Hillsdale. Gupta, P. K. (2011). Cloud computing; another buzz word or is it actually useful? Massachusetts: University of Massachusetts Lowell. Hamm, S. (2009). How Cloud Computing Will Change Business. Bloomberg BusinessWeek. IBM. (2009, January 26). IBM Advances Research Through Cloud Computing . Retrieved February 26 , 2011, from HPC Wire: http://www.hpcwire.com/offthewire/IBM-Advances-Research-Through-CloudComputing-38332899.html ISEC. (2011, abril). Retrieved octubre 20, 2011, from Infosecurity: http://www.infosecurityvip.com/newsletter/vista_abr11.html#Conferencias Jaeger, P. t. (2009). Where is the Cloud? Geography, economics, enviroment, and jurisdiction in cloud computing. Peer-Reviewed Journal on the Internet , Volume 14, Number 5. Jithesh , M., & Vasvi, B. (2009). A Cloud Computing Solution for Universities: Virtual Computing Lab. North Carolina: IBM. Katz, R., Goldstein, P., & Yanosky, R. (2009). Cloud Computing in Higher Education. Kendall, K., & Kendall, J. (2009). Systems Analysis and Design, 8th Edition. New York: Prentice Hall. 113 Kessinger, K. (2009). Cloud Computing Benefits and Risks Detailed in New ISACA Guidance. ISACA . Lease, D. (2005). Factors influencing the adoption of biometric security technologies by decision making information technology and security managers. Capella University: ProQuest Information. Leavitt, N. (2009). Is Cloud Computing Really Ready for Prime Time? Computer vol. 41, no. 1 , 15 - 20. León, J. d. (2010). Cloud Computing: La tecnología como servicio. España: Observatorio Regional de Sociedad de la Información. Levine, D., Stephan, D., & Krehbiel, T. (2007). Statistics for Managers. New Jersy: Pearson. Lundstrom, L. (2010). IMPLICATIONS OF CLOUD COMPUTING ON DATA LEAKAGE IN INFORMATION SECURITY. Duluth, Minnesota, USA. Maconachy, V., Schou, C., Ragsdale, D., & Welch, D. (2001). A Model for Information Assurance:An Integrated Approach. New York: IEEE. McCumber, J. (2008). Assessing and Managing Security Risk in IT System Technology Independent Approach. Software Assurance Forum. Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. Gaithersburg: National Institute of Standad and Technology. Mirzaei, N. (2008). Cloud Computing. Indiana. MIT. (2010). 10 Emerging Technologies 2010. MIT. MMG, M. M. (2011). Retrieved abril 19, 2011, from Internet Wold Stats: http://www.internetworldstats.com/stats.htm Moothoor, J., & Bhatt, V. (2009). A Cloud Computing Solution for Universities: Virtual Computing Lab. North Carolina: IBM. 114 Moothoor, J., & Vasvi, B. (2010). Una solución de computación en nube en las universidades: Case study of North Carolina State University's Virtual. North Carolina: IBM DevelopWorks. Morán, A. M. (2010). Cloud Security Alliance y Novell ofrecen el primer programa independiente de certificaciones en seguridad para contribuir a la adopción del modelo de Cloud Computing. Caracas: Microteknologias. Ness, L. (2005). Assessing the relationships among information technology lexibility, strategic alignment, and information technology effectiveness. Northcentral University: ProQuest No. AAT 3178531. NEWSWIRE, G. (2001). Survey Shows Poor Performance of Cloud Applications Delays Cloud Adoption. DETROIT: GLOBE NEWSWIRE. Novell. (2011). Retrieved April 2, 2011, from Novell: http://www.novell.com/company/ NSF. (2008, July 30). NSF Announces Partnership with Industry, Academia to Further Explore Data-Intensive Computing. Retrieved Fenrary 26, 2011, from National Science Foundation: http://www.nsf.gov/news/news_summ.jsp?cntn_id=111984 Pian, C. S. (2009). Microsoft cloud computing gets down to earth. Seattel: Seattle Times technolog. Ponniah, P. (2002). Data Warehousing Fundamental: A comprehensive guide for IT Professional. New York: John Whiley & Sons, Inc. Prendes , M., & Castañeda, L. (2009). UNIVERSIDADES LATINOAMERICANAS ANTE ELRETO DE LAS TIC: DEMANDAS DE ALFABETIZACIÓN TECNOLÓGICA PARA LA DOCENCIA. Universidad de Murcia: Grupo de Investigación de Tecnología Educativa. Rogers, E. (1995). Diffusion of Innovations. In An integrated approach to communication theory and research. NY: LEA, Inc. Rogers, E. (2003). Diffusion of Innovations. NY: Free Press. 115 Ruiter, J., & Warnier, M. (2009). Privacy Regulations for Cloud Computing: Compliance and Implementation in Theory and Practice. University Amsterdam. Sectorial, M. (2010). CLOUD COMPUTING - UNA PERSPECTIVA PARA COLOMBIA. Bogota, Colombia: Mesa Sectorial. Shankar, B. (2010). Assessing the Relationships Among Cloud Adoption, Strategic Alignment and Information Technology. Miami: ProQuest. Shelly, G., Cashman, T., & Rosenblatt, H. (2009). System Analysis and Design, 9th Editio. New York: Thomson. Shelly, G., Cashman, T., & Rosenblatt, H. (2009). System Analysis and Design, 9th Edition. New York: Thomson. Shelly, G., Thomas, C., & Misty, V. (2009). Discovering Computer 2009: Concepts for a connected Word. New York: Thomson. Summa. (2018, January 18). HP y Microsoft firman alianza por US$250 millones. Retrieved January 20, 2011, from Revista Summa, PortalTIC: http://www.revistasumma.com/tecnologia/1199-hp-y-microsoft-firman-alianzapor-us$250-millones.html Veyrat, A. (2011). Medidas de seguridad en la protección de datos. Retrieved abril 19, 2011, from Microsoft: http://www.microsoft.com/business/smb/eses/guia_lopd/medidas_seguridad.mspx Villena, M. A. (2006). SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION PARA UNA FINANCIERA. Lima Peru. Walpole, R., Myers, R., & Myers, S. (2007). Probability & Statistics. New York: Pearson. Watson, V. (2010). FACTORS INFLUENCING THE ADOPTION OF CLOUD COMPUTING BY DECISION MAKING MANAGERS. ProQuest, UMI 3391308 . WEF, & Accenture. (2005). EXPLORING THE FUTURE OF. Switzerland: World Economic Forum. 116 Whitman, M., & Herbert, M. (2010). Introduction to Information Security, Fourth Edition. Boston: Course Technology. Whitman, M., & Mattord, H. (2009). Principles of Information Security. Massachusetts: Thomson Coure Technology. 117 APÉNDICES 118 Apéndice A: Solicitud de colaboración a los miembros del comité de validación del instrumento Universidad del Turabo Escuela de Negocios y Empresarismo Programa Doctoral Gurabo, Puerto Rico 15 de mayo de 2012 Nombre del Participante Dirección EVALUACIÓN DEL INSTRUMENTO POR EXPERTOS Saludos cordiales, Actualmente estoy en el proceso de la disertación para completar mis estudios doctorales en la Universidad del Turabo en el área de Sistemas de Información. El estudio está enfocado a identificar y analizar Los factores relevantes que inciden en la adopción de la Computación en Nube, según los directores de Sistemas de Información (SI) y Administradores en las Universidades de Puerto Rico. El propósito de esta investigación es identificar y analizar la influencia que tienen estos factores en los directores y administradores al momento de considerar la adopción de la computación en nube en las universidades de Puerto Rico. Como parte de este proceso es necesario validad el instrumento que se utilizará en la recolección de datos. Por tal motivo, le solicito su colaboración evaluando y contestando cada uno de los formularios que se incluyen adjunto. Los factores a considerar en este estudio son la Seguridad y el Costo-Beneficio de la adopción de la Computación en Nube. El factor de seguridad será evaluado de acuerdo al modelo de Seguridad CIA. Este modelo consiste en evaluar la seguridad de los Sistemas de Información desde las dimensiones de Confidencialidad, Integridad y Disponibilidad de los datos. Gracias por su cooperación, 119 Apéndice B: Formulario para evaluar el instrumento por los especialistas HOJA PARA EVALUAR EL INSTRUMENTO DE RECOLECCIÓN DE DATOS Tema de la Investigación: Factores que influyen en la Adopción de la Computación en Nube en las universidades en Puerto Rico Instrucciones: El propósito de este proceso es validar el instrumento que se utilizará para la recolección de datos de la investigación. Cada criterio debe ser evaluado para cumplir con el proceso de validez. Utilizando la siguiente escala que se le provee, haga una marca de cotejo (✔) en el espacio correspondiente a cada criterio que mejor corresponda de acuerdo a su experiencia, percepción o conocimientos sobre el particular. Escala: [5] Excelente [4] Bueno [3] Regular [2] Deficiente Criterios para evaluar el instrumento en general Num. 1 Contenido 2 Claridad de las premisas 3 Cumple el propósito establecido 4 Presentación general del instrumento 5 Redacción y estilo 6 Evaluación general 5 4 3 [1] Pobre 2 Información del Evaluador Área de Especialidad Grado Académico ___ ___ ___ ___ ___ ___ ___ Sistemas de Información Ingeniería Administración de Empresas Otros (Indique) ___________________________ BBA ___ MBA PhD ___ DBA Otro: _____________________ Años de experiencia ____ Menos de 5 ____ 11 – 19 laboral ___________________________________ Firma del Evaluador ____ 5 – 10 ____ 20 o más ______________________________ Fecha 1 120 Apéndice C: Aprobación Junta para la Protección de Seres Humanos en la Investigación (IRB) 121 122 Apéndice C-1: Actualización de la aprobación oficina IRB 123 Apéndice D: Solicitud de colaboración a las instituciones universitarias Escuela de Negocios y Empresarismo Universidad del Turabo Gurabo, Puerto Rico Fecha «Title» «First_Name» «Last_Name» «Posicion» «Company_Name» «City», «State» «ZIP_Code» Estimado(a) «Title» «Last_Name»: Mi nombre es Santiago Lazo Villela y soy estudiante del Programa Doctoral en Gerencia de Sistemas de Información de la Universidad del Turabo. Actualmente, estoy desarrollando mi disertación doctoral, la cual se titula: FACTORES RELEVANTES QUE INCIDEN EN LA ADOPCIÓN DE LA COMPUTACIÓN EN NUBE EN LAS UNIVERSIDADES DE PUERTO RICO, SEGÚN LOS DIRECTORES DE INFORMÁTICA Y DECANOS ADMINISTRATIVOS. Los factores a considerar en este estudio son: la Seguridad, el Costo-Beneficio y el Estatus Actual relacionado con la adopción de la Computación en Nube. El factor de seguridad será evaluado utilizando como base un modelo de seguridad conocido como CIA (Confidencialidad, Integridad y Disponibilidad). El propósito de esta investigación es identificar y analizar la influencia que tienen estos factores en los Directores de Informática y Decanos Administrativos, al momento de considerar la adopción de la computación en nube. Por medio de esta investigación se pretende proveerle a las universidades, estrategias que les ayuden en el proceso de la toma de decisiones al momento de considerar la adopción de la computación en nube o cualquier otra nueva 124 tecnología, como parte del plan estratégico de los departamentos de Sistema de Información. Debido a las regulaciones que se deben seguir para llevar adelante las investigaciones, nuestra oficina de cumplimiento requiere que las instituciones participantes avalen su participación en el proceso. Por esta razón, solicito su autorización y colaboración para llevar a cabo el trámite correspondiente y así poder encuestar a los Directores de Informática y Decanos Administrativos de su institución. Esta investigación representa para su institución la oportunidad de aportar a la educación, investigación y al desarrollo académico de estudiantes a nivel doctoral en Puerto Rico. Este estudio no representará ninguna amenaza a la privacidad o seguridad de la información del personal que labora en su universidad. De contar con su cooperación, estoy en la mejor disposición de compartir con su institución los resultados y recomendaciones de esta investigación. En los documentos adjuntos le incluyo copia del instrumento de recolección de datos, el cual puede servir de referencia para conocer más acerca del estudio que estoy desarrollando, también incluyo un sobre pre-dirigido para que me envíe la carta de autorización que le estoy solicitando. Agradezco su atención y colaboración al particular. De necesitar cualquier información adicional, puede comunicarse conmigo al teléfono (787) _______ o al correo electrónico ________________. Respetuosamente, Santiago Lazo Villela, BBA Estudiante Doctoral Vo. Bo.: Dr. Edgar Ferrer Director del Comité de Disertación 125 Apéndice E: Carta de agradecimiento a las instituciones participantes Escuela de Negocios y Empresarismo Universidad del Turabo Gurabo, Puerto Rico Fecha «Title» «First_Name» «Last_Name» «Posicion» «Company_Name» «City», «State» «ZIP_Code» Estimado (a) «Title» «Last_Name»: Reciba un cordial y respetuoso saludo. Deseo expresarle mi más sincero agradecimiento por su cooperación a mi solicitud para administrar un cuestionario a los Directores de Informática y Decanos Administrativos en su institución. Esta investigación representa una oportunidad para aportar a la educación, investigación y al desarrollo académico en Puerto Rico. Su contribución a este proceso, es un indicador que su institución está comprometida con la educación y el apoyo a la investigación. Luego de terminar mi investigación, estoy en la mejor disposición de compartir con su institución los resultados y recomendaciones. Nuevamente, agradezco su atención y colaboración al particular. En adición, y en la manera que sea posible, le agradeceré me informe los nombres y correos electrónicos de los profesionales de Informática y Decanos/Directores Administrativos que participarán en mi investigación. De requerir información adicional, puede comunicarse al _________ o al correo electrónico _____________. Respetuosamente, Santiago Lazo Villela, MIS Santiago Lazo Estudiante Doctoral PO Box 183 Mercedita, P. R. 00715 Vo. Bo.: Dr. Edgar Ferrer Director del Comité de Disertación Coordinador del Programa Doctoral en Gerencia de Sistemas 126 Apéndice F: Carta informativa a los participantes HOJA INFORMATIVA Estimado(a) Participante: Mi nombre es Santiago Lazo Villela y soy estudiante del Programa Doctoral en Gerencia de Sistemas de Información de la Universidad del Turabo. Actualmente, estoy desarrollando mi disertación doctoral, la cual se titula: FACTORES RELEVANTES QUE INCIDEN EN LA ADOPCIÓN DE LA COMPUTACIÓN EN NUBE EN LAS UNIVERSIDADES DE PUERTO RICO, SEGÚN LOS DIRECTORES DE INFORMÁTICA Y DECANOS ADMINISTRATIVOS. Los factores a considerar en este estudio son: la Seguridad, el Costo-Beneficio y el Estatus Actual relacionado con la adopción de la Computación en Nube. El propósito de esta investigación es identificar y analizar la influencia que tienen estos factores en los Directores de Informática y Decanos Administrativos, al momento de considerar la adopción de la computación en nube. A través de este medió, se le invita a participar en este estudio, contestando el cuestionario adjunto. Los riesgos de participar en este estudio son mínimos, el posible riesgo es el cansancio al contestar el instrumento. El tiempo promedio que le tomará contestar el cuestionario es aproximadamente de 15 minutos. Esta investigación no conlleva beneficios directos para los participantes y la participación en el estudio es voluntaria; además, el participante se puede retirar en cualquier momento del estudio sin penalidad. Toda la información obtenida en esta investigación será utilizada para fines de este estudio y será confidencial. Los datos que puedan identificar al participante serán manejados confidencialmente; por lo que, el investigador tomará medidas de seguridad. Este estudio no representa amenaza a la privacidad y confidencialidad de la información del participante. Además, cuenta con la debida autorización del Comité Institucional para la Protección de los Seres Humanos en la Investigación. Los datos serán manejados únicamente por el investigador, Santiago Lazo y el director de tesis, Dr. Edgar Ferrer. Los resultados de esta investigación estarán disponibles para aquellas instituciones que así lo soliciten. Después de terminar la investigación, los datos serán conservados por el investigador por un período de cinco (5) años. Luego de cumplir el período establecido, el material físico será triturado y el material electrónico será borrado de los dispositivos electrónicos. De tener alguna pregunta sobre esta investigación o relacionada con su participación en este estudio, puede comunicarse con: Santiago Lazo Investigador email número de teléfono Agradezco su atención y colaboración al particular. Respetuosamente, 127 Apéndice G: Instrumento de investigación Universidad del Turabo Gurabo, PR Santiago Lazo Villela | Email: ____________ | (787) _____________ Cuestionario Relacionado con la Adopción de la Computación en Nube (Cloud Computing) El propósito del siguiente cuestionario es identificar y analizar los Factores relevantes que inciden en la adopción de la computación en nube en las universidades de Puerto Rico, según los Directores de Informática y Decanos Administrativos, como parte del plan estratégico del departamento de Sistema de Información. Según el Instituto Nacional de Estándares y Tecnología (National Institute of Standard and Technology, NIST), computación en nube es un modelo que incorpora el software como servicio y utiliza la plataforma del Internet para habilitar al usuario el acceso a un conjunto de servicios y aplicaciones provistos de manera conveniente y por demanda por un proveedor de servicios en nube. Parte I - Información General del participante y la institución donde labora. Haga una marca (✔) a la alternativa que mejor corresponda a su caso. 1. Género F M 2. Edad 21 – 35 36 – 44 45 ó más 3. Experiencia Laboral Menos de 5 5 – 10 11 – 19 20 ó más 4. Preparación Académica Grado Asociado Bachillerato Maestría Doctorado 5. Tipo de Institución: Pública Privada 6. Años en la Empresa Menos de 5 5 – 10 11 – 19 20 ó más 7. Años en la esa posición Menos de 5 5 – 10 11 – 19 20 ó más 8. Área de Trabajo Profesional de Informática (IT) Decano / Director Administrativo 9. Número de empleados en su compañía: Menos de 500 500 - 999 1,000 - 4,999 5,000 - 9,999 10,000 ó más 128 Parte II – Factores que influyen en la adopción de la Computación en Nube, según los Directores de Informática y Decanos Administrativos en las universidades en Puerto Rico. El objetivo de esta sección es determinar el estatus actual de la computación en nube en las universidades en Puerto Rico. 1. Actualmente, mi institución se encuentra en la siguiente etapa con relación a la adopción de la computación en nube : Conocimiento - idea general de la existencia de la computación en nube. Persuasión - evaluación de la idea de adopción y/o buscando información relacionada. Decisión – a punto de decidir si adoptamos o no la computación en nube. Implementación – la institución ya adoptó la computación en nube Confirmación - evaluando la decisión y los resultados de la adopción de la computación en nube. 2. El modelo de implementación de la computación en nube que la institución tiene implementado o que está considerando adoptar es: Privada Publica Mixta / Híbrida Ninguno 3. El propósito principal para el cual su institución ha implementado o está considerando implementar de la computación en nube: Las aplicaciones de los estudiantes (clientes) Las aplicaciones de la empresa Los datos de la empresa Desarrollo Investigaciones Ninguno 129 Parte III – Factores que influyen en la adopción del Computación en Nube por los Directores de Sistemas de Información y Administradores de las Universidades en Puerto Rico. Los factores a considerar en este estudio son la Seguridad y el Costo-Beneficio de la adopción de la Computación en Nube. El factor de seguridad será evaluado de acuerdo al modelo de Seguridad CIA. Este modelo consiste en evaluar la seguridad de los Sistemas de Información desde las dimensiones de Confidencialidad, Integridad y Disponibilidad de los datos. 1. Confidencialidad (Confidentiality) - La información solo debe ser accesible por aquellas personas debidamente autorizadas. Este componente está estrechamente relacionado con la privacidad. 2. Integridad (Integrity) - Es la certeza de que los datos no serán modificados o destruidos por personas no autorizadas. 3. Disponibilidad (Availability) – La información debe estar accesible y disponible cuando las personas autorizadas la necesiten. Solamente los usuarios autorizados debe tener acceso a la información. Utilizando la siguiente escala que se le provee, haga una marca de cotejo (✔) en el espacio correspondiente a cada aseveración que mejor corresponda de acuerdo a su experiencia, percepción, opinión o conocimientos sobre el particular. ESCALA: [ 5 ] Totalmente de Acuerdo [ 2 ] En Desacuerdo [ 3 ] Indeciso [ 4 ] De Acuerdo [ 1 ] Totalmente en Desacuerdo RELACIONADOS CON EL FACTOR DE CONFIDENCIALIDAD 1. La confidencialidad de los datos es uno de los factores que le preocupa a su institución al momento de considerar la adopción de la computación en nube. 2. Los proveedores de la computación en nube, están preparados para garantizar la confidencialidad de los datos a sus clientes. 3. La confidencialidad de los datos está protegida con la computación en nube. 4. La posibilidad que una persona no autorizada acceda a los recursos de Sistemas de Información, es un factor que le preocupa al momento de considerar la adopción de la computación en nube. 5. La infraestructura de comunicación (redes) existente es confiable para adoptar el servicio en nube. 6. La computación en nube ofrece mayor confidencialidad que el sistema tradicional de servidores. 5 4 3 2 1 130 Parte III - Continuación ESCALA: [ 5 ] Totalmente de Acuerdo [ 2 ] En Desacuerdo [ 3 ] Indeciso [ 4 ] De Acuerdo [ 1 ] Totalmente en Desacuerdo RELACIONADOS CON EL FACTOR DE INTEGRIDAD 5 4 3 2 1 5 4 3 2 1 1. La integridad de los datos es un factor que le preocupa a su institución al momento de considerar la adopción de la computación en nube. 2. Las compañías proveedoras del servicio de computación en nube están preparadas para garantizar la integridad de los datos a sus clientes. 3. La integridad de los datos está protegida con la computación en nube. 4. La posibilidad que los datos sean alterados por personas no autorizadas, es la razón que más le preocupa al momento de adoptar la computación en nube. 5. La computación en nube brinda mayor integridad de los, datos que los sistemas tradicionales de servidores. RELACIONADOS CON EL FACTOR DE DISPONIBILIDAD 1. La disponibilidad de los datos es un factor que le preocupa al momento de considerar la adopción de la computación en nube. 2. Los proveedores de la computación en nube, están preparados para proveer una continua disponibilidad de los recursos de Sistemas de Información a sus clientes. 3. La disponibilidad de los datos está garantizada con la computación en nube. 4. La tecnología de la computación en nube les brinda a los clientes alta disponibilidad de los recursos de Sistemas de Información. 5. La computación en nube permite accesibilidad a los recursos de Sistemas de Información desde cualquier parte del mundo. 6. La computación en nube permite tener mayor acceso a los clientes, proveyéndoles mejor servicio. 7. La tecnología de la computación en nube ofrece mayor disponibilidad de los recursos de Sistemas de Información que los sistemas de servidores tradicionales. 131 Parte III - Continuación ESCALA: [ 5 ] Totalmente de Acuerdo [ 2 ] En Desacuerdo 1. 2. 3. 4. 5. 6. 7. [ 4 ] De Acuerdo [ 3 ] Indeciso [ 1 ] Totalmente en Desacuerdo RELACIONADOS CON EL FACTOR DE COSTO 5 4 BENEFICIO Los costos iniciales de la implementación de computación en nube son altos; por lo que, nuestra institución no dispone de los recursos económicos para sufragar los mismos. Los costos de mantenimiento de la computación en nube son más económicos, que los costos operacionales de un sistema tradicional de servidores. La computación en nube representa una economía más alta, en comparación con el sistema tradicional de servidores. La computación en nube permite reducir costos tanto en el Hardware, como en el Software. Con la computación en nube nuestra institución reduciría los gastos de nómina en el departamento de Sistemas de Información. La computación en nube permite reducir costos en el desarrollo de aplicaciones. Con la computación en nube nuestra institución obtiene una economía en escala. 3 2 1
