2º webinar - 3ª ed. exin en castellano: luces y sombras del cloud computing
TRANSCRIPT
3ª edición #EXINWebinarEnCastellano
Certificando a los profesionales de hoy… para las TI del futuro.
Con la colaboración de ...
Ponente
c/ Ribera del Loira, 46 - 28042 Madrid – España
Telf.: +34 915 030 020 / Fax: +34 916 201 777
Web: http://www.iteratum.es/
Tienda online: http://tienda.iteratum.net/
Email: [email protected]
Twitter: @ITeratum
Victoriano Gómez GarridoSocio fundador y CEO de ITeratum, S.L., empresa dedicada a la consultoría, formación y actividad
editorial en temas de ITSM y Gestión de Proyectos.
Más de 30 años de experiencia laboral repartida entre Dirección de Proyectos nacionales e
internacionales y Gestión del Servicio:
Business Area Manager sector Industria en Atos Origin
Steering Committee Member en el proyecto de la Comisión Europea “Mediating and
Monitoring Electronic Commerce”
Responsable de Comercio Electrónico B2B para España y Portugal en Philips
ITIL® Expert, Consultant/Manager ISO/IEC 20000, Certified Integrator in Secure Cloud Services,
Certificado en ISO/IEC 27002, PRINCE2® Practitioner, P3O ® Practitioner, LITA Lean IT Certified
Autor del Workbook oficial de EXIN “Fundamentos de ITSM de EXIN basado en ISO/IEC 20000”
Indice de la presentación
¿Qué es el Cloud Computing?
¿Es segura la Nube?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
Recomendaciones finales
Indice de la presentación
¿Qué es el Cloud Computing?
¿Es segura la Nube?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
Recomendaciones finales
¿Qué es el Cloud Computing?
“Cloud Computing es un modelo para hacer posible el acceso ubicuo, conveniente y bajo demanda a travésde la red a un conjunto compartido de recursos informáticos configurables (p.e., redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios.”
NIST - National Institute of Standards and Technology (2011)
Definición
¿Qué es el Cloud Computing? Características Esenciales
Autoservicio bajo demanda
Conjunto de recursos (multicliente)
Rapidez y elasticidad (flexibilidad, escalabilidad)
Servicio medido (pago por uso)
Amplio acceso a la red ( “cualquier momento,
cualquier lugar, cualquier dispositivo”)
¿Qué es el Cloud Computing?
IaaS
Modelos de Servicio
“INFRASTRUCTURE as a SERVICE (IaaS)”
Permite al consumidor abastecerse de
procesamiento, almacenamiento, redes y otros
recursos de forma que pueda desplegar y
ejecutar software, incluyendo sistemas
operativos y aplicaciones
El consumidor no gestiona ni controla la
infraestructura de la nube pero tiene control
sobre los sistemas operativos, almacena-
miento, aplicaciones desplegadas
Ejemplos de IaaS:
Rackspace Cloud
VMware vCloud
¿Qué es el Cloud Computing?
IaaS
PaaS
“PLATFORM as a SERVICE (PaaS)”
Permite al consumidor utilizar lenguajes y
herramientas de programación soportados por
el proveedor para desarrollar aplicaciones que
se pueden ejecutar en la nube
El consumidor no gestiona ni controla la
infraestructura de la nube pero tiene el control
sobre las aplicaciones desplegadas
Ejemplos de PaaS:
Windows Azure
Amazon Elastic Compute Cloud (Amazon
EC2)
Google App Engine
Modelos de Servicio
¿Qué es el Cloud Computing? Modelos de Servicio
SaaS
IaaS
PaaS
“SOFTWARE as a SERVICE (SaaS)”
Permite utilizar las aplicaciones del proveedor
que se ejecutan en la nube
El consumidor no gestiona ni controla la
infraestructura de la nube
Ejemplos de SaaS:
Gmail
Dropbox
Skype
Microsoft Office 365
Adobe Creative Cloud
¿Qué es el Cloud Computing? Responsabilidad vs. Control
Soft
war
e a
s a
Serv
ice
Pla
tfo
rm a
s a
Serv
ice
Infr
astr
uct
ure
as
a Se
rvic
e
Res
po
nsa
bili
dad
de
l Pro
veed
or
Co
ntro
l de
l cliente
Indice de la presentación
¿Qué es el Cloud Computing?
¿Es segura la Nube?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
Recomendaciones finales
¿Es segura la Nube? Riesgos en la Nube
Fuente y Copyright: Cloud Security Alliance (CSA), documento: ‘Cloud Security Alliance “Top Threats to Cloud Computing” Versión 1.0 (2010)’
Riesgos Medidas de Mitigación
Pérdida / desaparición de datos Autenticación, Auditorías
Vulnerabilidades de la tecnología compartidaProcedimientos y prácticas operativas de
seguridad
Interfaces de aplicación inseguros Diseño de seguridad
Personas maliciosas con información privilegiada Investigación del personal
Abuso y uso malicioso del Cloud Computing Validación de credenciales, monitorización activa
del tráfico
Riesgos desconocidos en perfiles y cuentas Buenos SLA y auditorías
Secuestro de cuentas, servicio y tráfico de
informaciónSólida autenticación, monitorización activa
¿Es segura la Nube? La norma ISO/IEC 27002
La Organización Internacional de Normalización (ISO,
International Organization for Standardization) es el mayor
desarrollador mundial de estándares voluntarios internacionales
La Comisión Electrotécnica Internacional (IEC, International Electrotechnical Commission) es líder mundial en preparación y
publicación de estándares internacionales para temas eléctricos,
electrónicos y tecnologías relacionadas.
ISO e IEC cooperan
desarrollando
estándares
relacionados con las
Tecnologías de la
Información y las
Comunicaciones
La ISO/IEC 27000 es una familia de normas destinadas al establecimiento de técnicas de
seguridad en las Tecnologías de la Información de las organizaciones. Está compuesta por
múltiples documentos:
ISO/IEC 27000 – Visión general y terminología
ISO/IEC 27001 – Requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27002 – Código de Prácticas (anteriormente conocida como ISO/IEC 17799)
…
¿Es segura la Nube? La norma ISO/IEC 27002
Secciones de la Norma
0. Introducción8. Seguridad de los Recursos
Humanos
1. Alcance 9. Seguridad Física y del Entorno
2. Términos y Definiciones10. Gestión de las Operaciones y de
las Comunicaciones
3. Estructura de la norma 11. Control de Accesos
4. Evaluación y Tratamiento de
Riesgos
12. Adquisición, Desarrollo y Manteni-
miento de Sistemas de Información
5. Política de Seguridad13. Gestión de Incidencias de
Seguridad de la Información
6. Organización de la Seguridad de la
Información
14. Gestión de la Continuidad de la
Información
7. Gestión de Activos 15. Conformidad
¿Es segura la Nube? Seguridad de la Información
La Seguridad de la Información
se define como la preservación
de la confidencialidad, integridad
y disponibilidad de la información;
además, también pueden estar
involucradas otras propiedades
como la autenticidad,
responsabilidad, no-repudio y
confiabilidad.
¿Es segura la Nube? Gestión de la Continuidad del Negocio
El propósito de la Gestión de la Continuidad del Negocio es evitar que las actividades del negocio
sean detenidas, proteger los procesos críticos contra las consecuencias de interrupciones de
gran alcance en los sistemas de información y hacer posible una rápida recuperación de las
actividades del negocio.
Múltiples razones hacen necesaria la Gestión de la Continuidad:
Protección de los procesos de negocio
Continuación del servicio
Supervivencia de la compañía
Evitación de pérdidas económicas
Evitación de publicidad negativa
Indice de la presentación
¿Qué es el Cloud Computing?
¿Es segura la Nube?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
Recomendaciones finales
¿Migrar o no migrar? Análisis previo
¿Conocemos nuestra propia organización de TI…?
Servicios proporcionados por TI
Gestión de los Servicios de TI
Procesos y Procedimientos implementados
Estándares y Regulaciones
Distribución de los costes
Composición y Capacitación del personal
¿Migrar o no migrar? Análisis previo
¿Puede la Nube proporcionar los recursos más rápidamente
que cuando están alojados localmente en mi empresa?
¿A qué estamos dispuestos a renunciar?
¿Qué ganamos a cambio?
¿Está mi organización dispuesta a comprometerse?
¿Está mi organización, empleados, personal de TI y otras
partes interesadas dispuestos a realizar el cambio?
¿Migrar o no migrar? Beneficios
Disminución del Time to Market (TTM)
Flexibilidad (arquitectura, prestaciones, escalabilidad)
Abaratamiento del TCO (capex vs. opex)
Computación más “verde”
Generales
Servicios gestionados
Autoservicio
Despliegue de servidores instantáneo
Licenciamiento de software sin impacto en el capex
Simplificación de actualizaciones y garantías
Backups como servicio (siempre fuera de las instalaciones)
Operativos
Necesidad de menos personal de TI (menos salarios)
Disminución en costes de RR.HH. y formaciónRR.HH.
¿Migrar o no migrar? Coste Total de Propiedad (TCO)
Los costes de capital
(servidor, almacenamiento,
infraestructura, etc.)
disminuyen
significativamente...
...pero son
reemplazados
por costes
operativos
(suscripciones,
pago por uso,
contratos de
soporte más
caros, etc.)
Tenemos que comparar lo que pagamos ahora con lo que pagaremos en la Nube en un
escenario a largo plazo.
Indice de la presentación
¿Qué es el Cloud Computing?
¿Es segura la Nube?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
Recomendaciones finales
¿Cómo elijo proveedor? Cuestiones a formular al proveedor de Cloud
¿Cuál es el tiempo de resolución de incidencias y problemas?
¿Como cuánto de buena es la seguridad del centro de datos Cloud?
¿Cómo es el rendimiento del sistema (p.e., velocidades de conexión y
transacción) comparado con su propio centro de datos y red privada?
¿Cómo se realizan las auditorías?
¿Dónde están ubicados los servidores y qué legislación es de
aplicación a los datos?
¿Qué está previsto para cuando un servicio cambia o finaliza (ciclo de
vida del servicio y fin de vida)?
¿Qué está previsto para el caso de que queramos migrar a otro
proveedor (ciclo de vida del contrato y fin de vida)?
¿Cómo elijo proveedor? Factores a evaluar
Capacidad técnica demostrable
Infraestructura de red adecuada
Mecanismos de licenciamiento de software
Medidas de seguridad física y de seguridad técnica
Cumplimiento de estándares y regulaciones así como mecanismos
de auditoría interna
Buena Gestión del Nivel de Servicio
Distintos requerimientos para los distintos modelos de Cloud
Acuerdos de Nivel de Servicio (SLA) claros
Medidas de seguridad organizativa
Informes de rendimiento técnico
Informes sobre excepciones
Revisiones periódicas de la gestión
¿Cómo elijo proveedor? La norma ISO/IEC 20000
El proveedor debería
cumplir con los requeri-
mientos de la norma y su
personal debería estar
familiarizado con los
procesos
La ISO/IEC 20000 es una norma internacional cuyo objetivo es garantizar la
provisión de servicios gestionados de acuerdo a un nivel de calidad aceptable
por los clientes.
¿Cómo elijo proveedor? La norma ISO/IEC 20000
Secciones de la norma
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Requisitos generales del Sistema de Gestión de
Servicios
4.1 Responsabilidad de la Dirección
4.2 Gobierno de procesos operados por Terceras
Partes
4.3 Gestión de la Documentación
4.4 Gestión de los Recursos
4.5 Establecimiento y mejora del SGS
5. Diseño y Transición de servicios nuevos o modificados
6. Procesos de Entrega de Servicios
6.1 Gestión del Nivel de Servicio
6.2 Informes del Servicio
6.3 Gestión de la Continuidad y Disponibilidad
6.4 Presupuestos y contabilidad de servicios
6.5 Gestión de la Capacidad
6.6 Gestión de la Seguridad de la Información
7. Procesos de Relaciones
7.1 Gestión de Relaciones con el Negocio
7.2 Gestión de Suministradores
8. Procesos de Resolución
8.1 Gestión de Incidencias y Peticiones de
Servicio
8.2 Gestión de Problemas
9. Procesos de Control
9.1 Gestión de Configuración
9.2 Gestión de Cambios
9.3 Gestión de Entregas y Despliegues
Indice de la presentación
¿Qué es el Cloud Computing?
¿Es segura la Nube?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
Recomendaciones finales
Recomendaciones finales
Conozca el entorno de TI de su empresa y los servicios que le proporciona antes de plantearse una migración a la Nube.
Analice qué estructura de costes es más conveniente para su empresa(capex vs. opex).
Tómese su tiempo a la hora de analizar las ofertas de los proveedores. No dude en preguntar todo aquello que no esté suficientemente claro.
En lo que respecta a Gestión de la Seguridad, compruebe si su proveedor de servicios Cloud está certificado en ISO/IEC 27001 o, al menos, puede demostrar cumplimiento de la ISO/IEC 27002.
En lo que respecta a Gestión del Servicio, compruebe si su proveedor de servicios Cloud está certificado en ISO/IEC 20000 o, al menos, puede demostrar cumplimiento de las especificaciones de la Parte 2 de dicha norma.
Con la colaboración de ...
Ponente
c/ Ribera del Loira, 46 - 28042 Madrid – España
Telf.: +34 915 030 020 / Fax: +34 916 201 777
Web: http://www.iteratum.es/
Tienda online: http://tienda.iteratum.net/
Email: [email protected]
Twitter: @ITeratum
Victoriano Gómez Garrido
Con la colaboración de ...
Ponente
Carlos Durán Muñoz
Instructor Acreditado por EXIN
Más de 20 años de experiencia laboral en la Gestión del Servicio de T.I. y en la Gestión de
Operaciones:
Director de Operaciones T.I. del Grupo Cortefiel
Director de Tecnologías de la Información ThyssenKrupp Ingeniería y Sistemas
Director de Tecnologías de la Información ThyssenKrupp Servicios Técnicos
ITIL® Expert, Consultant/Manager ISO/IEC 20000, Certified Integrator in Secure Cloud
Services, Certificado en ISO/IEC 27002, PRINCE2 y P3O Practitioner, Certificaciones LEAN IT
Autor de “Gestión del Servicio: Cómo implementarla paso a paso y no morir en el intento. Vol I” (endorsed by EXIN)
MBA por la Escuela Europea de Negocios
Con el cielo despejado…..
• Gestión de la Capacidad = Adaptación de los recursos a la demanda del negocio
• Gestión de la Disponibilidad = Cómo y cuando se necesiten los datos y las aplicaciones
• Gestión de la Movilidad = Donde se necesite el servicio
• Garantía Tecnológica = Acceso a los últimos avances tecnológicos sin CapEx
• Flexibilidad/Elasticidad de Recursos = Gestión de los máximos de producción, y de los mínimos
• Aplicación LEAN I.T. = Muda, Mura, Muri, y aplicación del principio Kaizen
• Reducción de tiempos y espacios en Programas y Proyectos = instalaciones inmediatas
• ROI rápido en Programas y Proyectos = Ahorro de costes en infraestructuras
• Retornos o Abandonos “blandos” = Programas o Proyectos fallidos
• Garantía de Contingencias = Plan propio del proveedor del servicio
• Calidad de Instalaciones de Alojamiento = CPD´s con TIERxx , etc.
• Ley de Protección de Datos, Licencias de Propiedad Intelectual, ISO27000, etc.
Con nubarrones…..
• Pérdida del control y parálisis del negocio
• Seguridad
• Privacidad y falta de confianza
• Inflexibilidad = se desarrollan paquetes conjuntos y no paquetes específicos
• Localización = países y normativas aplicables
• Transferencia del Riesgo
• Hora Cloud * (Beneficios – Coste Cloud) ≤ ó ≥ Hora CPD * (Beneficios – (Coste CPD/Utilidad))
• Técnicas de consolidación y virtualización (reduciendo Muri y Mura)
• Modelos de renting de hardware y servicios asociados
• Estrategia de la Dirección General del negocio
• Acuerdos de Nivel de Servicio (SLA’s)
• Velocidades de conexión a internet
• Necesidades de hardware y rendimiento en los sistemas locales
Cómo no quemarse con el servicio
• Teniendo en cuenta el tipo de aplicaciones antes de la toma de decisiones, y el acoplamiento del proveedor cloud con
las APIs nativas de la aplicación.
• Asegurando las capacidades del proveedor del servicio (rendimientos, caudales, tiempos de puesta en producción,
etc.)
• Apalancando el modelo de seguridad del proveedor con las necesidades del negocio
• Verificando desde el contrato la discontinuidad del servicio y el relevo del mismo
• Confirmando los planes de contingencia y continuidad del negocio del proveedor
• Pilotando profundamente el modelo con respecto a nuestra infraestructura
• Asegurando la experiencia actual y pasada en servicios similares
• Gestionando correctamente la “Ecdisis” (cambio o muda). Información, vídeos, blogs, sites, etc.
Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano
c/ Ribera del Loira, 46 - 28042 Madrid – España
Telf.: +34 915 030 020 / Fax: +34 916 201 777
Web: http://www.iteratum.es/
Tienda online: http://tienda.iteratum.net/
Email: [email protected]
Twitter: @ITeratum
Curso de Fundamentos de Cloud Computing de EXIN
Oferta de formación para los asistentes al webinar
Modalidad Fechas Hora Duración PVP
Presencial 16 al 20 de noviembre de 2015 10:00 a 14:00 18 horas 620 € + IVA
Videoconferencia 23 al 27 de noviembre de 2015 17:00 a 20:00 15+3 horas 390 € + IVA
Información adicional
y contratación:
Presencial: http://tienda.iteratum.net/fpr-cloudf
Videoconferencia: http://tienda.iteratum.net/vts-cloudf
En el momento de la contratación, introduciendo el código EXINWEBCLOUD se obtendrá un
descuento del 15 % sobre el PVP (Nota: el PVP incluye el precio de formación y del examen)