Sie sind auf Seite 1von 11

Tema 5.

Implantación y migración a servicios cloud


Obs: Distíngase siempre el término implementación de implantación, puesto que una
implantación se realiza de forma impuesta u obligatoria al usuario sin importar su
opinión; en cambio en la implementación se involucra al usuario en el desarrollo de lo
que se está realizando.

5.1.1. Fijación de Objetivos e Identificación de Riesgos (I).


A la hora de abordar el proceso de implantación y migración a servicios cloud, debemos
establecer qué objetivos nos planteamos alcanzar, tanto desde el punto de vista de
mejora en la gestión empresarial como en la funcionalidad de los servicios a implantar.

Los de mejora en la gestión empresarial serán función de la estrategia de cada empresa


y de sus planteamientos ante las posibilidades ofertadas por los servicios cloud.
Respecto a objetivos sobre la funcionalidad esperada, ésta quedará reflejada
principalmente en los acuerdos de nivel de servicio, las SLA.

Nos centraremos de manera especial en la identificación de riesgos inherentes al


proceso de implantación y migración a servicios cloud. En primer lugar, recordemos que
para estimar un nivel de riesgo, nos basamos en identificar la probabilidad de un
escenario de incidentes, evaluando el impacto negativo estimado para ese escenario.

La probabilidad de que se produzca un escenario de incidentes se obtiene mediante una


amenaza que explota la vulnerabilidad con una probabilidad concreta.

Bien, pues la probabilidad de cada escenario de incidentes y el impacto sobre el negocio


depende en gran medida del modelo de nube o arquitectura que se está considerando.

El nivel de riesgo como función del impacto sobre el negocio y la probabilidad del
escenario de incidentes se puede visualizar en forma de matriz.

El riesgo se mide en una escala variable que puede evaluarse con respecto a los
criterios de aceptación del riesgo. Esta escala de riesgo también puede compararse con
una sencilla clasificación general de riesgos: riesgo bajo, medio y alto. Riesgo que cabe
baremarlo según la probabilidad de que ocurra y su importancia e impacto en el negocio.

Los riesgos del uso de la computación en nube deben compararse con los riesgos
derivados de mantener las soluciones tradicionales, como son los habituales modelos
de sobremesa.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
En numerosas ocasiones, el nivel de riesgo variará considerablemente en función del
tipo de arquitectura de nube que se esté considerando.

El cliente en nube puede transferir el riesgo al proveedor en nube, y los riesgos deben
considerarse con respecto a la rentabilidad proporcionada por los servicios.

Sin embargo, no todos los riesgos pueden ser transferidos. Si un riesgo provoca el
fracaso de un negocio, perjuicios graves al renombre del mismo o consecuencias
legales, es muy difícil, y en ocasiones, imposible, que un tercero compense estos daños.

Vamos ahora a la identificación de riesgos conceptuales tipo

LA PÉRDIDA DE GOBERNANZA

Al utilizar las infraestructuras en nube, el cliente necesariamente cede el control de una


serie de cuestiones que pueden influir en la seguridad al proveedor en nube.

Al mismo tiempo, puede ocurrir que los acuerdos de nivel de servicio no incluyan la
prestación de dichos servicios por parte del proveedor en nube, dejando así una laguna
en las defensas de seguridad.

LA NO PORTABILIDAD

La oferta actual en cuanto a herramientas, procedimientos o formatos de datos


estandarizados o interfaces de servicio que puedan garantizar la portabilidad del
servicio, de las aplicaciones y de los datos, actualmente resulta escasa.

EL FALLO DE AISLAMIENTO

La multiprestación y los recursos compartidos son características que definen la


computación en nube. Por ello una categoría de riesgo a evaluar es el posible fallo del
debido aislamiento requerido en el acceso a recursos compartidos o entre los distintos
proveedores.

RIESGOS DE NO CUMPLIMIENTO DE REQUISITOS DESEABLES

La inversión en la obtención de la certificación (por ejemplo, requisitos reglamentarios o


normativos del sector) puede verse amenazada por la migración a la nube.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Este sería el caso en el que el proveedor en nube no pueda demostrar su propio
cumplimiento de los requisitos pertinentes o no permita que el cliente en nube realice la
auditoría o tenga acceso a la misma.

En determinados casos, también significa que el uso de una infraestructura pública en


nube implica que no pueden alcanzarse determinados niveles de cumplimiento.

5.1.2. Fijación de Objetivos e Identificación de Riesgos (II).


Continuamos con el análisis de aspectos que nos ayudan a identificar riesgos, y su
gestión, en el proceso de implantación y migración a servicios cloud

COMPROMISO DE CONTROL EN LA INTERFAZ DE GESTIÓN

Las interfaces de gestión de cliente de un proveedor en nube público son accesibles a


través de Internet, y canalizan el acceso a conjuntos de recursos más grandes (que los
proveedores tradicionales de alojamiento), por lo que plantean un riesgo mayor,
especialmente cuando son combinados con el acceso remoto y las vulnerabilidades del
navegador de web.

LA PROTECCIÓN DE DATOS

La computación en nube plantea varios riesgos relativos a la protección de datos tanto


para clientes en nube como para proveedores en nube. En algunos casos, puede
resultar difícil para el cliente en nube comprobar de manera eficaz las prácticas de
gestión de datos del proveedor en nube, y en consecuencia, tener la certeza de que los
datos son gestionados de conformidad con la ley. Este problema se ve exacerbado en
los casos de transferencias múltiples de datos.

Por otra parte, algunos proveedores en nube sí proporcionan información sobre sus
prácticas de gestión de datos. Otros también ofrecen resúmenes de certificación sobre
sus actividades de procesamiento y seguridad de datos y los controles de datos a que
se someten.

SUPRESIÓN DE DATOS INSEGURA O INCOMPLETA

Cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede
con la mayoría de sistemas operativos, en ocasiones el proceso no elimina

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
definitivamente los datos. En ocasiones, la supresión adecuada o puntual de los datos
también resulta imposible (o no deseable, desde la perspectiva del cliente), bien porque
existen copias adicionales de datos almacenadas pero no disponibles o porque el disco
que va a ser destruido también incluye datos de otros clientes. La multiprestación y la
reutilización de recursos de hardware representan un riesgo mayor para el cliente que
la opción del hardware dedicado.

MIEMBRO MALICIOSO

Aunque no suelen producirse habitualmente, los daños causados por miembros


maliciosos son, con frecuencia, mucho más perjudiciales. Las arquitecturas en nube
necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos son
los administradores de sistemas de proveedores en nube y los proveedores de servicios
de seguridad gestionada.

Los riesgos enumerados anteriormente no siguen un orden de criticidad concreto, sino


que simplemente constituyen algunos de los riesgos más relevantes de la computación
en nube. Los riesgos del uso de la computación en nube deben ser comparados con los
riesgos derivados de mantener las soluciones tradicionales, como los modelos de
sobremesa.

A menudo es posible, y en algunos casos recomendable, que el cliente en nube


transfiera el riesgo al proveedor en nube; sin embargo, no todos los riesgos pueden ser
transferidos.

Si un riesgo provoca el fracaso de un negocio, perjuicios graves al renombre del mismo


o consecuencias legales, es muy difícil, y en ocasiones, imposible, que un tercero
compense estos daños. En última instancia, puede subcontratar la responsabilidad, pero
no puede subcontratar la obligación de rendir cuentas.

Para la gestión de estos riesgos podemos adoptar herramientas o procedimientos como


los siguientes:

AUDITORÍA Y RECOGIDA DE PRUEBAS

Si estamos en un caso de IaaS, esta permite la clonación de máquinas virtuales bajo


demanda. En caso de supuesto incumplimiento de la seguridad, el cliente puede tomar
una imagen de una máquina virtual activa —o de los componentes virtuales de la
misma— para llevar a cabo un análisis forense fuera de línea, lo cual reduce el tiempo
de espera para la realización el análisis.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
ACTUALIZACIONES Y OPCIONES MÁS PUNTUALES, EFECTIVAS Y EFICACES

Las imágenes por defecto de las máquinas virtuales y los módulos de software utilizados
por los clientes pueden ser reforzados y actualizados previamente con los últimos
parches y configuraciones de seguridad, conforme a procesos ajustados; las API del
servicio en nube de la IaaS también permiten tomar imágenes de la infraestructura
virtual de manera frecuente y comparada con un punto inicial

LA AUDITORÍA Y LOS SLAs OBLIGAN A GESTIONAR MEJOR EL RIESGO

La frecuencia de las auditorías impuestas a los proveedores en nube tiende a exponer


los riesgos que, de otro modo, no habrían sido identificados, con lo que tiene el mismo
efecto positivo.

BENEFICIOS DE LA CONCENTRACIÓN DE RECURSOS

Aunque sin duda la concentración de recursos tiene desventajas para la seguridad,


posee el beneficio evidente de abaratar la perimetrización y el control de acceso físicos
y permite una aplicación más sencilla y económica de una política de seguridad
exhaustiva y un control sobre la gestión de datos, la administración de parches, la
gestión de incidentes y los procesos de mantenimiento.

5.2. La Integración como parte del Proceso de la Migración.


En la actualidad el “cloud computing” está teniendo una amplia difusión en el mercado,
y se espera que esta tendencia continúe.

La integración es una de las principales preocupaciones acerca de la nube, y


desempeñará un papel clave para que los usuarios la adopten. A medida que aparezcan
nuevas aplicaciones en el mercado de tecnología nube, los proveedores de integración
deberán proponer nuevas soluciones, conocidas hasta ahora como Integration as a
Service (Integración como un servicio).

Las organizaciones suelen encargar la gestión de la integración al departamento de TI,


pero debe tenerse muy presente que por ejemplo, el software como un servicio ha
demostrado que puede desempeñar funciones críticas en grandes compañías. La
integración sigue siendo un trabajo que no sólo consiste en copiar y pegar.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Veamos retos clave relacionados con la integración:

Costo y duración de la integración. En cualquier implementación, el presupuesto y


tiempo necesarios para la integración son relevantes, así como las habilidades
requeridas para llevarla a cabo, debido a la diversidad de las aplicaciones a integrar y
la tecnología utilizada como base. Simplificar la integración con el fin de reducir estos
costos representa un verdadero reto.

Integrar el software como un servicio (SaaS) y las aplicaciones tradicionales. La


integración tiene como objetivo conectar diferentes aplicaciones, con el fin de poder
compartir datos. Con la llegada al mercado del “cloud computing” y las aplicaciones
ofrecidas en esquemas SaaS, la integración debe ser una forma de vincular fácilmente
estas aplicaciones.

La gestión y monitorización de las interfaces de integración. Debido al hecho de


que las compañías cada vez están integrando más aplicaciones, y cada aplicación tiene
sus propias especificaciones y tecnología, no resulta fácil gestionar y monitorizar las
diferentes interfaces. Es fundamental contar con una perspectiva amplia de las
diferentes interfaces de integración, lo que constituye un desafío para las compañías.

Para responder a los retos clave en torno a la integración, los proveedores están
desarrollando y comercializando soluciones de Integración de SaaS.

Estas soluciones constituyen una forma fácil de integrar los sistemas, en comparación
con el enfoque tradicional, que utilizaba herramientas de Integración de Aplicaciones
Empresariales (EAI, Enterprise Application Integration) o códigos de programación.

Las soluciones de Integración de software como un servicio actúan como un


coordinador, que gestiona las diferentes interfaces definidas de integración. Los
elementos clave de tales soluciones son los siguientes:

Ofrecen diferentes opciones de implementación. Esto permite la implementación en la


nube pero también detrás del firewall de las compañías.

Tienen un enfoque basado en la configuración: La integración se implementa a


través de una interfaz gráfica de usuario, evitando los códigos de programación en la
medida de lo posible.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Se integran con aplicaciones que se instalan localmente en los servidores del cliente y
también con aplicaciones “sobre pedido".

Ofrecen un punto central para monitorear y gestionar la integración.

Al integrar sistemas a través de las soluciones de Integración como un servicio, se


facilitará la integración y se reducirán costos. Sin embargo, en la mayoría de los casos
la integración seguirá siendo compleja, y esencial para cualquier implementación.

Se espera que el mercado de la Integración como un servicio crezca en los años


próximos, ofreciendo soluciones aún más avanzadas y sofisticadas para integrar las
aplicaciones del “cloud computing”.

El mercado de Integración como un servicio se encuentra en plena expansión, por lo


que podemos esperar un crecimiento significativo en los años porvenir. El valor
agregado y la significativa reducción de costos que estos servicios ofrecen ayudarán a
que la integración pase a otro nivel.

5.3. Formación de Operadores y Usuarios de Nuevos


Servicios
Cuando hablamos de Cloud Computing estamos hablando de un servicio a través de
una red de telecomunicaciones pública, generalmente, Internet, permitiendo la gestión
y suministro de aplicaciones, información y datos.

En el entorno empresarial, su creciente importancia es indiscutible, ya que permite que


las empresas puedan crecer rápidamente sin necesidad de añadir equipamiento
tecnológico, software ni recursos humanos.

En lo que respecta a la formación y capacitación en las empresas, el Cloud Computing


permite que el aprendizaje se integre en los procesos de trabajo con un costo muy bajo,
teniendo un impacto directo en el desempeño del colaborador así como también en su
autonomía para llevar a cabo las distintas tareas que se presenten.

El entorno digital nos permite establecer en las organizaciones formas de aprender


donde la persona se convierte en protagonista decidiendo qué, por qué, dónde, cómo,
a qué coste y con quién aprender…

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Existen plataformas de formación que se adaptan a ese modelo de aprendizaje, donde
es muy importante la interactividad, la comunicación abierta y transparente, la
continuidad y el acceso, la flexibilidad, y la estimulación múltiple.

En el caso del Cloud Computing, la plataforma deberá dar respuesta a la necesidad de


los usuarios, de poder disponer en todo tiempo y lugar de sus archivos y datos, como
así también de las aplicaciones más utilizadas de formación y conocimiento.

El usuario técnico entiende el enfoque no técnico. Pero a menudo me enfrento a nueva


presentación donde la audiencia no es técnica, y es un error muy habitual mezclar al
usuario técnico y no técnico en estos cursos.

Después de mucho tiempo interactuando con distintos agentes del sector se pueden
llegar a una serie de conclusiones genéricas según estén más en uno u otro de los dos
tipos principales de usuarios: el usuario técnico y el usuario “no técnico”.

USUARIO TÉCNICO

Este usuario es el principal consumidor de IaaS y de Paas, aunque también lo son los
consumidores de SaaS y los responsables de TI con capacidad de decisión.

Estos saben lo que había antes del “cloud computing”, si puede o no sustituir alguna de
las piezas que hasta ahora manejan y evidentemente entienden perfectamente la parte
técnica que hay detrás.

Su motivación es más por el hecho de aprovechar la esencia del “cloud computing” que
los costes. Cuidado, no digo que no importen los costes que es la consecuencia directa
de usar “cloud computing”, lo que digo es que intentan aprovechar el “cloud computing”
para solucionar su problema de ajustar los recursos a una demanda posiblemente
impredecible.

Saben lo que es cloud privado y público y podrían decantarse más por el “cloud privado”
que por el “cloud público”. Pesa más la parte técnica y la seguridad que la parte de
inversión, mantenimiento, etc. Suelen ser directores, responsables, coordinadores de IT
y consultoras.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
USUARIO NO TÉCNICO

Este usuario es típicamente consumidor de SaaS. El Iaas y Paas no les interesa,


posiblemente ni lo entiendan y ni lo distingan de lo que es un hosting.

La mayoría no sabe que había y hay soluciones como el “asp” como sustituto del SaaS.
No saben por qué SaaS es “cloud computing”, ni falta que les hace. Ellos desean un
software online en vez de un software en local, que les solucione su necesidad.
Tampoco saben qué es el “cloud” público ni del resto de las formas de despliegue porque
estamos hablando de SaaS.

Para este tipo de usuario el “multitenancy”, elasticidad, escalabilidad, virtualización es


chino. Su motivación principal para la adopción de SaaS son los costes y focalizarse en
su negocio. La instalación y el mantenimiento del software, los” backups”, la máquina
son un engorro.

No preguntan por la seguridad. Este dato es cierto y aunque va cambiando aún todavía
se pregunta poco: ¿Dónde están mis datos? ¿Qué procedimientos de seguridad tiene
el proveedor? En esta categoría se encuentran, en general, los particulares, los
autónomos, las micropymes y las pymes sin departamento de TI.

5.4. Implantación en paralelo a servicios Actuales.


Comparar un cambio empresarial de envergadura con la reparación de un avión en
pleno vuelo es un paralelo bastante acertado en términos de complejidad, riesgo e
interrupciones. Máxime si tenemos en cuenta las oportunidades que aparecen con las
arquitecturas orientadas a servicios (SOA), el software como servicio (SaaS) y en
general con el concepto de “cloud computing”, la comparación puede comenzar a
parecer una subestimación grosera.

Veamos porqué decimos esto, primero consideremos las organizaciones, hoy en día la
mayoría de las organizaciones experimentan el choque de dos objetivos cruciales, que
a menudo se yuxtaponen.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Conforme las organizaciones maduran, normalmente a través de una mezcla de
crecimiento y adquisición orgánicos, los distintos departamentos, divisiones, grupos y
empresas se vuelven más independientes, como silos, y ello deriva en una enorme
duplicación de esfuerzos y alimenta la confusión al tratar de explicar todo a los clientes,
asociados y empleados.

Por otro lado, la mayoría de las organizaciones hoy en día buscan una mayor
transparencia en su organización para presentar un esfuerzo y un mensaje más
unificado para todo bien sea el explicar su misión, su propuesta de valor a los clientes,
o cómo llevan a cabo sus actividades cotidianas.

Aunque cada día irrumpe tecnología nueva, cambios de importancia son raros y muchas
personas reconocen que la oportunidad que presenta “cloud computing” es uno de esos
cambios importantes, así que muchas organizaciones se están apresurando a cumplir
la promesa de “cloud computing” por delante de sus competidores.

Pero como podría esperarse, si una organización se divide en silos y carece de


visibilidad entre sus diversos grupos, la maximización de oportunidades se hace más
complicada.

¿Primero unificar y luego maximizar la oportunidad?

En muchos casos, no hay tiempo para eso. La respuesta correcta en este preciso
momento es tratar de alcanzar ambos objetivos de manera agresiva, pero con los ojos
puestos en una priorización inteligente.

Lamentablemente, hoy en día eso es mucho fácil de decir que de hacer. La mayoría de
las organizaciones carecen de una mirada a sí mismas, una “lente” que les permita
priorizar de manera eficaz y objetiva los pasos a la unificación, lo cual casi termina por
condenar los esfuerzos de maximización de oportunidades desde el principio.

¿Por qué sucede esto?

Existe una enorme división de comunicación que abarca los diversos grupos
organizacionales, incluido el departamento de tecnología de la información. En el
corazón de esta división de comunicación se halla algo denominado “la trampa del
cómo”.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón
Ahora de vuelta a SOA, SaaS y cloud computing. Los problemas y las oportunidades
que rodean a estos tres factores amplifican efectivamente la división conversacional
entre negocio y TI, en parte debido a lo nuevo de la arquitectura y la tecnología.

El negocio va a buscar maneras de ofrecer nuevas capacidades y servicios tanto a los


clientes existentes como a los nuevos que serán excelentes nuevas fuentes de ingreso,
y crearán mayor diferenciación competitiva.

Al mismo tiempo, muchos considerarán migrar tecnologías heredadas a servicios de


nube para ofrecer a los clientes nuevos y antiguos más opciones en áreas como
seguridad, velocidad, acceso y personalización.

Probablemente el negocio proporcione al departamento de TI “requisitos” detallados que


incluyen personalizaciones importantes para software empaquetado o ya personalizado.

Si una organización aún no ha salido de “la trampa del cómo”, la TI normalmente creará
servicios excesivamente personalizados y más costosos de lo necesario, lo cual
erosionará la posible rentabilidad de estos nuevos modelos para, en definitiva, ralentizar
los esfuerzos de las organizaciones por conseguir sus objetivos estratégicos.

Sin embargo, tal como existe la necesidad de ser más claro con una articulación más
objetiva de las necesidades y prioridades de la organización, también hay necesidad de
comprender con claridad cómo estos modelos nuevos (SOA, SaaS y cloud computing)
complementarán las soluciones y arquitecturas de TI heredadas ya existentes (otra vez
reparar el avión en pleno vuelo).

Vincular las oportunidades técnicas presentadas por estos nuevos modelos con las
necesidades de la organización es vital.

CLOUD COMPUTING
Recopilado y editado por: Inst. Guillermo Alarcón

Das könnte Ihnen auch gefallen