Beruflich Dokumente
Kultur Dokumente
El nivel de riesgo como función del impacto sobre el negocio y la probabilidad del
escenario de incidentes se puede visualizar en forma de matriz.
El riesgo se mide en una escala variable que puede evaluarse con respecto a los
criterios de aceptación del riesgo. Esta escala de riesgo también puede compararse con
una sencilla clasificación general de riesgos: riesgo bajo, medio y alto. Riesgo que cabe
baremarlo según la probabilidad de que ocurra y su importancia e impacto en el negocio.
Los riesgos del uso de la computación en nube deben compararse con los riesgos
derivados de mantener las soluciones tradicionales, como son los habituales modelos
de sobremesa.
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
En numerosas ocasiones, el nivel de riesgo variará considerablemente en función del
tipo de arquitectura de nube que se esté considerando.
El cliente en nube puede transferir el riesgo al proveedor en nube, y los riesgos deben
considerarse con respecto a la rentabilidad proporcionada por los servicios.
Sin embargo, no todos los riesgos pueden ser transferidos. Si un riesgo provoca el
fracaso de un negocio, perjuicios graves al renombre del mismo o consecuencias
legales, es muy difícil, y en ocasiones, imposible, que un tercero compense estos daños.
LA PÉRDIDA DE GOBERNANZA
Al mismo tiempo, puede ocurrir que los acuerdos de nivel de servicio no incluyan la
prestación de dichos servicios por parte del proveedor en nube, dejando así una laguna
en las defensas de seguridad.
LA NO PORTABILIDAD
EL FALLO DE AISLAMIENTO
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Este sería el caso en el que el proveedor en nube no pueda demostrar su propio
cumplimiento de los requisitos pertinentes o no permita que el cliente en nube realice la
auditoría o tenga acceso a la misma.
LA PROTECCIÓN DE DATOS
Por otra parte, algunos proveedores en nube sí proporcionan información sobre sus
prácticas de gestión de datos. Otros también ofrecen resúmenes de certificación sobre
sus actividades de procesamiento y seguridad de datos y los controles de datos a que
se someten.
Cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede
con la mayoría de sistemas operativos, en ocasiones el proceso no elimina
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
definitivamente los datos. En ocasiones, la supresión adecuada o puntual de los datos
también resulta imposible (o no deseable, desde la perspectiva del cliente), bien porque
existen copias adicionales de datos almacenadas pero no disponibles o porque el disco
que va a ser destruido también incluye datos de otros clientes. La multiprestación y la
reutilización de recursos de hardware representan un riesgo mayor para el cliente que
la opción del hardware dedicado.
MIEMBRO MALICIOSO
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
ACTUALIZACIONES Y OPCIONES MÁS PUNTUALES, EFECTIVAS Y EFICACES
Las imágenes por defecto de las máquinas virtuales y los módulos de software utilizados
por los clientes pueden ser reforzados y actualizados previamente con los últimos
parches y configuraciones de seguridad, conforme a procesos ajustados; las API del
servicio en nube de la IaaS también permiten tomar imágenes de la infraestructura
virtual de manera frecuente y comparada con un punto inicial
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Veamos retos clave relacionados con la integración:
Para responder a los retos clave en torno a la integración, los proveedores están
desarrollando y comercializando soluciones de Integración de SaaS.
Estas soluciones constituyen una forma fácil de integrar los sistemas, en comparación
con el enfoque tradicional, que utilizaba herramientas de Integración de Aplicaciones
Empresariales (EAI, Enterprise Application Integration) o códigos de programación.
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Se integran con aplicaciones que se instalan localmente en los servidores del cliente y
también con aplicaciones “sobre pedido".
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Existen plataformas de formación que se adaptan a ese modelo de aprendizaje, donde
es muy importante la interactividad, la comunicación abierta y transparente, la
continuidad y el acceso, la flexibilidad, y la estimulación múltiple.
Después de mucho tiempo interactuando con distintos agentes del sector se pueden
llegar a una serie de conclusiones genéricas según estén más en uno u otro de los dos
tipos principales de usuarios: el usuario técnico y el usuario “no técnico”.
USUARIO TÉCNICO
Este usuario es el principal consumidor de IaaS y de Paas, aunque también lo son los
consumidores de SaaS y los responsables de TI con capacidad de decisión.
Estos saben lo que había antes del “cloud computing”, si puede o no sustituir alguna de
las piezas que hasta ahora manejan y evidentemente entienden perfectamente la parte
técnica que hay detrás.
Su motivación es más por el hecho de aprovechar la esencia del “cloud computing” que
los costes. Cuidado, no digo que no importen los costes que es la consecuencia directa
de usar “cloud computing”, lo que digo es que intentan aprovechar el “cloud computing”
para solucionar su problema de ajustar los recursos a una demanda posiblemente
impredecible.
Saben lo que es cloud privado y público y podrían decantarse más por el “cloud privado”
que por el “cloud público”. Pesa más la parte técnica y la seguridad que la parte de
inversión, mantenimiento, etc. Suelen ser directores, responsables, coordinadores de IT
y consultoras.
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
USUARIO NO TÉCNICO
La mayoría no sabe que había y hay soluciones como el “asp” como sustituto del SaaS.
No saben por qué SaaS es “cloud computing”, ni falta que les hace. Ellos desean un
software online en vez de un software en local, que les solucione su necesidad.
Tampoco saben qué es el “cloud” público ni del resto de las formas de despliegue porque
estamos hablando de SaaS.
No preguntan por la seguridad. Este dato es cierto y aunque va cambiando aún todavía
se pregunta poco: ¿Dónde están mis datos? ¿Qué procedimientos de seguridad tiene
el proveedor? En esta categoría se encuentran, en general, los particulares, los
autónomos, las micropymes y las pymes sin departamento de TI.
Veamos porqué decimos esto, primero consideremos las organizaciones, hoy en día la
mayoría de las organizaciones experimentan el choque de dos objetivos cruciales, que
a menudo se yuxtaponen.
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Conforme las organizaciones maduran, normalmente a través de una mezcla de
crecimiento y adquisición orgánicos, los distintos departamentos, divisiones, grupos y
empresas se vuelven más independientes, como silos, y ello deriva en una enorme
duplicación de esfuerzos y alimenta la confusión al tratar de explicar todo a los clientes,
asociados y empleados.
Por otro lado, la mayoría de las organizaciones hoy en día buscan una mayor
transparencia en su organización para presentar un esfuerzo y un mensaje más
unificado para todo bien sea el explicar su misión, su propuesta de valor a los clientes,
o cómo llevan a cabo sus actividades cotidianas.
Aunque cada día irrumpe tecnología nueva, cambios de importancia son raros y muchas
personas reconocen que la oportunidad que presenta “cloud computing” es uno de esos
cambios importantes, así que muchas organizaciones se están apresurando a cumplir
la promesa de “cloud computing” por delante de sus competidores.
En muchos casos, no hay tiempo para eso. La respuesta correcta en este preciso
momento es tratar de alcanzar ambos objetivos de manera agresiva, pero con los ojos
puestos en una priorización inteligente.
Lamentablemente, hoy en día eso es mucho fácil de decir que de hacer. La mayoría de
las organizaciones carecen de una mirada a sí mismas, una “lente” que les permita
priorizar de manera eficaz y objetiva los pasos a la unificación, lo cual casi termina por
condenar los esfuerzos de maximización de oportunidades desde el principio.
Existe una enorme división de comunicación que abarca los diversos grupos
organizacionales, incluido el departamento de tecnología de la información. En el
corazón de esta división de comunicación se halla algo denominado “la trampa del
cómo”.
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Ahora de vuelta a SOA, SaaS y cloud computing. Los problemas y las oportunidades
que rodean a estos tres factores amplifican efectivamente la división conversacional
entre negocio y TI, en parte debido a lo nuevo de la arquitectura y la tecnología.
Si una organización aún no ha salido de “la trampa del cómo”, la TI normalmente creará
servicios excesivamente personalizados y más costosos de lo necesario, lo cual
erosionará la posible rentabilidad de estos nuevos modelos para, en definitiva, ralentizar
los esfuerzos de las organizaciones por conseguir sus objetivos estratégicos.
Sin embargo, tal como existe la necesidad de ser más claro con una articulación más
objetiva de las necesidades y prioridades de la organización, también hay necesidad de
comprender con claridad cómo estos modelos nuevos (SOA, SaaS y cloud computing)
complementarán las soluciones y arquitecturas de TI heredadas ya existentes (otra vez
reparar el avión en pleno vuelo).
Vincular las oportunidades técnicas presentadas por estos nuevos modelos con las
necesidades de la organización es vital.
CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón