guía para la adopción de servicios de tecnologías de
TRANSCRIPT
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SL'PERIORES DE MONTERRJ:<~Y
CAMPUS ESTADO DE MÉXICO
TECde Monterrey® DEL SISTEMA TECNOLÓGICO DE MONTERREY
GUÍA PARA LA ADOPCIÓN DE SERVICIOS DE TECNOLOGÍAS DE INFORMACIÓN EN UN MODELO DE
SERVICIOS DE CÓMPUTO EN LA NUBE
TESIS QUE PARA OPTAR EL GRADO DE MAESTRO EN CIENCIAS COMPUTACIONALES
PRESENTA
Asesor:
Jurado:
JULIO CÉSAR CRUZ ALARCÓN
Dr. ROBERTO GÓMEZ CÁRDENAS
Dr. JOSÉ DE JESÚS VÁZQU EZ GÓMEZ Dr. EDUARDO GARCÍA GARCÍA Dr. ROBERTO GÓMEZ CÁRDENAS
Atizapán de Zaragoza, Edo. México, 5 de Noviembre 2012.
Presidente Secretario Vocal
2
CONTENIDO
RESUMEN ..................................................................................................................................... 6
LISTA DE FIGURAS ..................................................................................................................... 8
LISTA DE TABLAS ....................................................................................................................... 9
1. CÓMPUTO EN LA NllBE ....................................................................................................... 11
1.1 Fundamentos de Cómputo en la nube .......................................................................... 11
1.1.1 ¿Qué es el cómputo en la nube? ................................................................................ 11
1 .1.2. Orígenes del Cómputo en la nube ............................................................................ 13
1.1.1 Qué no es cómputo en la nube .................................................................................. 15
1.2 Modelos de prestación de servicios en la Nube .......................................................... 16
1.2.1 Software como un Servicio ....................................................................................... 19
1.2.2 Plataforma como servicio ......................................................................................... 20
1.2.3 Infraestructura como servicio ................................................................................... 21
1.3 Modelos de implementación de nube ......................................................................... 22
1.3.1 Nubes Públicas .......................................................................................................... 23
1 .3.2 Nubes c:omunitarias .................................................................................................. 24
1.3.3 Nubes Privadas ......................................................................................................... 26
1.3.4 Nubes l-Iíbridas ......................................................................................................... 27
1.3.5 Modelos de implementación alternativos ................................................................. 28
1.4 Recapitulación ............................................................................................................ 29
2. DEFINICIÓN DE ESTRATEGIA PARA IMPLEMENTAR SERVICIOS DE TI EN LA
NUBE ............................................................................................................................................ 31
2.1 Situación actual de la Organización ............................................................................ 3 1
2.2 Enfoques para definir la estrategia ............................................................................... 32
2.3 Evaluando la situación actual ...................................................................................... 33
,., .)
2.3.1 Ambiente del Centro de Datos en términos de una Arquitectura Orientada a
Servicios ................................................................ ................................................................ 33
2.3.2 Requerimientos de negocio que tiene la Organización en materia de regulación .... 34
2.3.3 Rentabilidad de un proyecto de nube ....................................................................... 35
2.3.4 Selección del modelo de nube para la organización ................................................. 3 7
2 '"' 5 N. 1 d . . ºd 1 . . ' '"'8 .J. 1ve es e serv1c10 requen os por a orgamzac10n .................................................. .)
2.3.6 ¿Cuál es el nivel de seguridad que ofrece el proveedor de nube a los datos de la
organización? .......................................................................................................................... 39
2.4. Desarrollando un plan de trabajo ............................................................................... 40
2.4. l Temas culturales a considerar en el plan de trabajo ................................................. 41
2.4.2 Búsqueda de patrocinadores para asegurar la aceptación y ejecución del plan de
trabajo .................................................................................................................................... 42
2.5 Guía de orientación para la adopción de un modelo de nube ...................................... 43
2.6 Recapitulación ............................................................................................................. 46
3. DISEÑO DE UN INSTRUMENTO DE MEDICIÓN DEL GRADO DE MADUREZ
SERVICIOS DE TI. ...................................................................................................................... 48
3 .1 Marco Teórico ............................................................................................................. 49
3 .1.1 Objetivos de Investigación ....................................................................................... 49
3 .1.2 Preguntas de Investigación ....................................................................................... 49
3.1.3 Justificación de la Investigación ............................................................................... 50
3.1.4 Viabilidad ................................................................................................................. 50
3 .1.5 Evaluación de las deficiencias en el conocimiento del problema ............................. 51
3 .1.6 Definición inicial del ambiente o contexto ............................................................... 52
3.2 Metodología para la Evaluación del grado de madurez ............................................... 52
3.2.1 Reactivos para evaluar madurez de componentes .................................................... 53
3.2.2 Obtención del grado de madurez ............................................................................. 60
3.2.2.1 Valoración inicial del grado de madurez de un componente ................................. 60
4
3 .2.2.2 Valoración Final del grado de Madurez de un componente .................................. 61
3.2.3 Clasificación del grado de madurez .......................................................................... 63
3.3 Recapitulación ............................................................................................................ 74
4. CASO DE ESTUI)IO ................................................................................................................ 76
4.1 Situación inicial ........................................................................................................... 76
4.2 Requerimientos del negocio ........................................................................................ 78
4.3 Evaluando el nivel de madurez de los servicios de TI de la empresa .......................... 79
4.3.1 Ejemplo de evaluación Caso A (Proveedor) ............................................................. 79
4.3.2 Ejemplo de evaluación caso B (Cliente) ................... ................................................ 85
4.4 Recapitulación ............................................................................................................. 89
CONCLUSIONES ......................................................................................................................... 90
REFERENCIAS ............................................................................................................................ 91
BIBLIOGRAFÍA ........................................................................................................................... 92
ANEXO A. PLANEACION DE LA CAPACIDAD DE LOS SERVICIOS DEL CENTRO DE
DATOS .......................................................................................................................................... 93
A.1 Servicios de Tecnologías de Información ................................................................... 94
A.2 Servicios Auxiliares .................................................................................................... 99
ANEXO B. CUMPLIMIENTOS REGULATORIOS REQUERIDOS POR LA
ORGANIZACIÓN ...................................................................................................................... 101
B.1 Leyes y F,egulaciones ................................................................................................ 1 O 1
B.2 Ejemplo de Guías para cumplimiento de SOX empleando los estándares de ITIL y
COBIT ...................................................................................................................... 104
ANEXO C. MODELO ECONÓMICO PARA UNA APLICACIÓN ......................................... 108
ANEXO D. SERVICIOS PÚBLICOS DE NUBE ...................................................................... 110
ANEXO E. FORMATO DE ACUERDO DE NIVEL DE SERVICIO ...................................... 111
ANEXO F. CONSIDERACIONES DE SEGURIDAD EN LA NUBE ...................................... 114
ANEXO G. PLAN DE TRABAJO IMPLEMENTACIÓN DE NUBE ...................................... 116
5
ANEXO H. CÁLCULO DEL PORCENTAJE DE REPRESENTA TIVIDAD EN LA
E.VALUACIÓN ........................................................................................................................... 118
6
RESUMEN
Hoy en día, el cómputo en la nube es un tema de moda en los proveedores de servicios de
tecnologías de infonnación (TI). Un amplio consenso en la industria, ubica al cómputo en la
nube en el más alto nivel de los servicios que puede ofrecer un tercero.
El cómputo en la nube es un modelo que permite el acceso sobre demanda a un conjunto de
recursos de cómputo (redes, servidores. almacenamiento y aplicaciones) configurables, que
pueden ser aprovisionados rápidamente y liberados con un mínimo esfuerzo de gestión o
interacción del proveedor de servicio.
El modelo de entrega de servicios a través de la nube, se percibe generalmente como atractivo,
debido a que el costo es menor que el servicio del centro de dato:; tradicional, principalmente por
las altas erogaciones asociadas a la infraestructura y administración. Sin embargo, pese a las
bondades que ofrecen los servicios a través de la nube, exislen dudas en los tomadores de
decisiones de tecnologías de información para la implementación de estos servicios ya sea de
forma pública o privada. Generalmente, las incertidumbres van asociadas por el desconocimiento
de cómo implementar los servicios en nube y por requerimientos de seguridad, disponibilidad,
políticas, leyes y acuerdos de servicio.
Con la intención de apoyar a los directivos de tecnologías de información en cuanto a la
conveniencia de recurrir a los servicios de la nube, en este trabajo de investigación se propone
una guía para la adopción de un servicio de nube, la cual se explorará a través de un
instrumento de evaluación de madurez de los servicios de TL Dicho instrumento permitirá
conocer la madurez actual de un proveedor servicio que aspira a cfrecer servicios de nube privada
e indicará si se está preparado o necesita incrementar su madurez en algunos de los componentes
del modelo. De igual forma, para el cliente que desea consumcr servicios de nube pública, la
herramienta ofrece recomendaciones que deben considerarse para una transición exitosa al
modelo de nube.
Dentro del alcance de este trabajo, la evaluación de un servicio ce TI a proporcionar o consumir
en la nube, considera una serie de elementos que componen un servicio de tecnologías de
info1mación (centro de datos, aplicaciones, cumplimiento de regulaciones, seguridad y acuerdos
7
de servicio). Cada componente se evalúa de forma individual, no obstante que la evaluación de
cada elemento pudiera llegar ser exhaustiva y con mucha profundidad, el objetivo del trabajo es
dar una perspectiva global del estado en que se encuentran lo:; componentes de un servicio a
consumir o aprovisionar y emitir recomendaciones para increme1tar la madurez del mismo.
El presente trabajo se encuentra organizado de la siguiente forma:
• En el primer capítulo se introducen los fundamentos y orígenes del cómputo en la nube,
los modelos ele prestación de servicio e implementación.
• En el segundo capítulo se plantean las interrogantes que nos ayudarán a construir la
herramienta de evaluación del modelo: situación actual de la organización, requerimientos
del negocio en materia de regulación, seguridad, acuerdos de servicio.
• En el tercer capítulo se diseña y construye la herramienta de evaluación, mediante el
planteamiento del trabajo de investigación desde una óptica cualitativa.
• En el capítulo cuatro se muestra un caso práctico de la aplicación de la herramienta.
8
LISTA DE FIGURAS
Figura 1-1 Orígenes del Cómputo en la nube ................................................................................ 14
Figura 1-2 Diferencias del marco SPI vs modelo tradicional de TI .............................................. 18
Figura 2-1 Modelo para adopción de servicios de Nube ............................................................... 45
Figura 3-1 Metodología para la evaluación del grado de madurez .............................................. 53
Figura 4-I Porcentaje de representatividad del proveedor ............................................................ 80
Figura 4-2 Cuestionario para determinar nivel de madurez proveedor ......................................... 80
Figura 4-3 Grado de madurez del cliente hacia nube privada ....................................................... 84
Figura 4-4 Recomendaciones para implementación de nube privada ........................................... 85
Figura 4-5 Porcentaje de representatividad del cliente .................................................................. 86
Figura 4-6 Grado de madurez del cliente hacia nube pública .............. .. ....................................... 87
Figura 4-7 Recomendaciones para implementación en nube pública ........................................... 88
Figura F-1 Medidas de seguridad en un modelo de servicios de cómputo en la nube ................ 114
9
LISTA DE TABLAS
Tabla 3-1 Banco de reactivos para identificar grado de madurez en Centro de Datos .................. 55
Tabla 3-2 Banco de reactivos para identificar grado de madurez en Aplicaciones ....................... 56
Tabla 3-3 Identificando grado de Madurez referente al cumplimiento de regulaciones ............... 57
Tabla 3-4 Identificando grado de Madurez referente a Acuerdos de Servicio .............................. 58
Tabla 3-5 Identificando grado de Madurez en cuanto a niveles de Seguridad .............................. 59
Tabla 3-6 Valoración inicial del grado de madurez de un componente ........................................ 60
Tabla 3-7 Valoración final del grado de madurez de un compone:1te ........................................... 62
Tabla 3-8a Clasificación del proveedor de acuerdo a su grado de madurez ................................ 64
Tabla 3-8b Clasificación del cliente de acuerdo a su grado de madurez ...................................... 64
Tabla 3-9a Tabla de Recomendaciones al Proveedor.. .................................................................. 66
Tabla 3-9b Tabla de Recomendaciones al Cliente ........................................................................ 70
Tabla 4-1 Ejemplo de respuestas al cuestionario de evaluación de madurez ................................ 82
Tabla T A-1 Hoja de Evaluación de Procesamiento ....................................................................... 94
Tabla TA-2 Hoja de Evaluación de Almacenamiento ................................................................... 95
Tabla TA-3a Hoja de Evaluación de Comunicaciones 1 ............................................................... 96
Tabla TA-3b Hoja de Evaluación de Comunicaciones 2 .............................................................. 96
Tabla TA-4 Resultados de Evaluación de Procesamiento ............................................................. 98
Tabla TB-1 Marco COBIT: Entrega y Soporte ........................................................................... 105
Tabla TC-1 Costo Total de Propiedad de una Aplicación ........................................................... 108
Tabla TD-1. Servicios públicos de nube ..................................................................................... 11 O
10
CAPITULO Jl
, COMPlfTO EN I"'A NUBE
11
l. CÓMPUTO EN LA NUBE
1.1 FUNDAMENTOS DE CÓMPUTO EN LA NUBE
1.1.1 ¿QUÉ ES EL CÓMPUTO EN LA NUBE?
El cómputo en la nube fue definido por Peter Mell y Tim Granee del Instituto Nacional de
Estándares y Tecnología (NIST 1 por sus siglas en inglés) en su publicación especial 800-145 "La
definición de NIST del Cómputo en la Nube" [ 1 ], como un modelo para disponer, mediante un
acceso a la red, a un conjunto compartido de recursos :ie cómputo (redes, servidores,
almacenamiento, aplicaciones, servicios) bajo demanda, configurables y confiables que puedan
ser provisionados y liberados rápidamente con un mínimo esfuerzo de gestión del consumidor o
interacción con el proveedor de servicio.
El cómputo en la nube está definido por cinco características esenciales:
a) Auto-Servicio Bajo Demanda: Los usuarios de cómputo en la nube disponen de recursos
en la medida de sus necesidades, sin que el usuario tenga que interactuar con un operador
del proveedor de servicio. En un esquema bajo demanda, un consumidor puede programar
el uso de servicios de nube como capacidad de cómputo y almacenamiento cuando sea
necesario, así como la gestión y operación de los servicios. El auto-servicio debe poseer
1 NIST. National lnstitute ofStandards Technology. US Department OfCommerce.
12
una Interface con el usuario amigable y proveer medios efectivos para administrar los
servicios requeridos.
b) Amplio Acceso a la red: Para que el cómputo en la nube sea una alternativa efectiva para
los centros de datos de las organizaciones, los enlaces de comunicación de banda ancha
deben estar disponibles para conectarse a los servicios que ofrece la nube. Una de las
principales justificaciones económicas para el cómputo en la nube, es el bajo costo de las
comunicaciones de redes de banda ancha.
c) Recursos Disponibles Independientes de la Ubicación: La nube debe poseer recursos
disponibles amplios y flexibles para adecuarse a las nece~idades del cliente, debe proveer
beneficios de economías de escala y adecuarse a los requerimientos de niveles de servicio
del cliente. Las Aplicaciones requieren recursos para su ejecución y deben estar
asignados eficientemente para un rendimiento óptimo. Los recursos pueden estar
físicamente localizados en ubicaciones geográficas dispersas y asignados como
componentes virtuales de cómputo cuando sea necesario; como se declaró por NIST [ 1]
"Hay un sentido de independencia de la ubicación en donde el cliente generalmente no
tiene el conocimiento y control de la ubicación exacta de los recursos provistos"
d) Elasticidad rápida: Se refiere a la capacidad de la nube para expandir o reducir recursos
asignados de forma rápida y eficaz para adecuarse a los requerimientos de las
características de auto-servicio del cómputo en la nube. La adecuación de los recursos
podría hacerse de forma automática mostrándole al usuario la reserva de recursos que
pueden ser contratados y consumidos cuando sea necesario.
e) Servicio Medido: Debido a las características orientada:; al servicio del cómputo en la
nube, los recursos que utiliza un cliente pueden ser asignados y monitoreados de fonna
dinámica y automática, el cliente paga en función del us~ de los recursos de nube que le
fueron asignados para la sesión particular.
Dentro del cómputo en la nube se tienen identificados principalm;::nte tres modelos de servicio:
13
• Software como Servicio (SaaS por sus siglas en inglés Software as a Service ). Ofrece
aplicaciones del proveedor sobre una red.
• Plataforma como Servicio (PaaS por sus siglas en inglés Platform as a Service). Monta
aplicaciones creadas por el cliente en la nube.
• Infraestructura como servicio (laaS por sus siglas en inglés Infraestructure as a Service).
Renta de capacidad de procesamiento, almacenamiento, de red y otros recursos básicos
de cómputo.
Por otro lado los modelos de implementación, se resumen de la siguiente manera:
• Nube Privada. Utiliza infraestructura propia o rentada para consumo exclusivo de la
empresa.
• Nube Comunitaria. Infraestructura compartida para un grupo de empresas
• Nube Pública. Infraestructura rentada al público, a mega--escala
• Nube híbrida. Compuesta de dos o más modelos de nube
Los principales modelos de servicio e implementación serán vistos con un mayor detalle en las
secciones 1.2 y 1.3.
1.1.2. ORÍGENES DEL CÓMPUTO EN LA NUBE
La computación en la nube se desarrolló a partir de tecnologías y enfoques de negocios que han
surgido a lo largo de varios años. La Figura 1-1 Orígenes del Cómputo en la nube muestra los
principales elementos de construcción que van desde la tecnología de interne! a los proveedores
de servicios de nube.
Arpanet
Oficina de Servicios
Figura 1-1 Orígenes del Cómputo en la nube
Arqui,:ectura
Internet - www l º;;~.~:~o: a
----+ Serv1c1os Web We, 2 O
! Cóm;~~~;;-~ 1
Capacidad d-e--______ .., demanda ,--~-- cómputo en
__ pa-'-~-
Autonomía Informática
,----~ Plataforma de I
Virtualización I
Software de I fuente abierta
Servicios de nube
,_____~ SalesForce.com
Amazon Web Services
Google Apps
,______._ Microsoft Azure
Vmware
Algunos de los elementos importantes en el origen del cómputo en la nube son:
14
Cómputo sobre demanda (Utility Computing): Los recursos se entregan a un cliente
quien paga por ellos cuando los necesite.
Capacidad de cómputo en paralelo (Grid Computing): En Grid Computing, los servidores,
almacenamiento y redes se combinan para formar poderosos nodos de recursos de
cómputo que pueden ser provisionados dinámicamente cuando sea necesario.
Autonomía Informática: Funcionamiento de un sistema informático sin control externo, el
término se basa en el sistema nervioso autónomo del cuerpo humano, quien controla la
respiración, el funcionamiento del corazón y demás sin la participación conciente en el
individuo. Por analogía, el objetivo del sistema informático autónomo es realizar
funciones críticas y complejas sin ninguna intervención mayor por parte de un usuario.
15
Platafonna de Virtualización: La partición lógica de recursos de computación físicos en
múltiples ambientes de ejecución, incluyendo servidores, aplicaciones y sistemas
operativos. La virtualización está basada en el concepto ele una máquina virtual corriendo
en una platafonna de computación física. La virtualización es controlada mediante un
monitor de máquinas virtuales (VMM), conocido como hypervisor. Un hypervisor de
código libre que es ampliamente usado para cómputo en la nube es el Xen.
Software como un Servicio (SaaS): Modelo de distribución de software, en el cual las
aplicaciones son provistas a los clientes. Las aplicaciones pueden correr en los sistemas
de cómputo de los usuarios o en los servidores Web de los proveedores. SaaS ofrece
gestión eficiente de parches y promueve la colaboración.
Arquitectura Orientada al Servicio (SOA): Un conjunto de servicios que se comunican
entre sí, cuyas Interfaces son conocidas y descritas, rns funciones tienen una cierta
relación y su uso puede ser incorporado por varias organizaciones. Las Interfaces del
servicio SOA están especificadas en XML ( eXtensible Markup Language) y los servicios
están expresados en WSDL (Web Services Description Language). Las aplicaciones
pueden acceder a los servicios en un registro del directorto UDDI (Universal Description
Definition and lntegration).
1.1.1 QUÉ NO ES CÓMPUTO EN LA NUBE
Aún y cuando el cómputo en la nube puede incorporar algunos de los paradigmas de cómputo
listados en la sección anterior, no significa que sea sinónimo de ellos. Por ejemplo, el cómputo
en la nube no es lo mismo que Utility Computing. Cómputo en la nube no siempre emplea el
precio de los servicios medidos y puede usar plataformas virtualizadas distribuidas, en vez de
recursos de cómputo centralizados.
En comparación con Grid Computing, ésta emplea máquinas virtuales distribuidas, pero a
diferencia del cómputo en la nube, las máquinas están enfocadas en una sola tarea.
16
Algunas veces el modelo Cliente/Servidor es visto como cómputo en la nube, con la nube
apareciendo en el rol del servidor, sin embargo, en este modelo el servidor es una máquina
específica en una ubicación determinada. En la nube, los cálculos se pueden ejecutar en
computadoras en cualquier lugar, dividirse entre computadoras y usar plataformas virtualizadas.
esos recursos son desconocidos para el usuario. Lo que el usuafi.::i sabe, es que está accediendo a
recursos y usando procesamiento y almacenamiento para obtener resultados, sin tenerse que
preocupar de la administración.
El cómputo en la nube no es Software como Servicio, el cual es un software que una
Organización puede pagar y administrar, éste corre en el hardware del usuario o en máquinas de
alguien más.
No es virtualización, empero, la virtualización es un elemento que se utiliza para implementar la
nube.
Cómputo en la nube no es lo mismo que la Arquitectura Orientada a Servicio la cual soporta el
intercambio de datos entre diferentes aplicaciones dedicadas en un proceso de negocio.
No obstante que estos términos no son sinónimos de la nube, dependiendo de las
implementaciones, puede que sean un componente de la misma.
1.2 MODELOS DE PRESTACIÓN DE SERVICIOS EN LA NUBE
La Arquitectura del cómputo en la nube aún esta evolucionando y continuará haciéndolo por un
largo tiempo. El objetivo de esta sección es describir los conceptos de nube que parecieran ser
capaces de soportar la prueba del tiempo.
La estructura SPI
Desde hace algún tiempo, la clasificación para el cómputo en la nube se ha basado en el modelo
SPI (Software-Plataforma-Infraestructura), éste acrónimo represe:1ta los tres principales servicios
provistos a través de la nube: Software como un Servicio, Plataforma como un Servicio e
Infraestructura como un Servicio
17
Evolución de SPI
Para entender la evolución del SPI, utilizaremos un contexto con el desarrollo de los proveedores
de servicio de intemet (ISPs2). Una fom1a común de observar el desarrollo de los ISPs es a través
de versiones generacionales como se resume en la siguiente lista:
1.0 Cuando los ISPs e comenzaron a ofrecer servicios de internet, los servicios de módem dial-up
para casas y organizaciones proliferaron, haciendo de la intemet un producto comercial.
2.0 Durante un periodo de fusión y consolidación, los ISPs comenzaron a ofrecer otros servicios
como correo electrónico y almacenamiento de datos fuera de sitio.
3.0 El incremento por la demanda de infraestructura para hospedar aplicaciones y datos de sus
clientes llevó a la creación de centros de datos, donde múlti¡:;les clientes pudieron centralizar
sus servidores, almacenamiento y sistemas de comunicación en las instalaciones del ISPs.
4.0 La comercialización de las "collocation facilities" (servicios de hospedaje en centros de
datos) llevó al desarrollo de los proveedores de servicios de aplicaciones (ASPs), para
proporcionar aplicaciones de software a la medida de una organización. Los proveedores
administraban la aplicación y la infraestructura.
5.0 El modelo ASP eventualmente se convirtió en el cómputo en la nube, que reunió a los
modelos de entrega como el marco SPI con los servicios SaaS, PaaS e IaaS y varios modelos
de implementación de nube como privada, comunidad, pública e híbrida.
La Figura 1-2 D(ferencias del marco SPI vs modelo tradicional de TI muestra la evolución del
centro de datos a través de la virtualización básica en un marco completo SPI, incrementando la
flexibilidad y bajando los costos.
" ISP. Internet Service Provider
Flexibilidad Mayor valor
Costo mas bajo
Figura 1-2 Diferencias del marco SPI vs modelo tradicional de TI
[;;-¡ ----- «'11 ( VIRTUALIZACION "--\ ! Servidores '
., Aplicaciones ! \,, Escritorio /'
~ '------·-··---_./
l ! I
LEGACY I Centro de Datos
1 . ::::~~::: ••• .__ 1
Físico/ Legacy Virtualización 1.0 Virtualización 2.0
18
Por lo general, las orgarnzac1ones que emplean el modelo SPI no son propietarias de la
infraestructura que aloja la aplicación y software, en lugar de ello usan la licencia de la aplicación
desde el proveedor de la nube, mediante el empleo de una suscr:.pción o un modelo orientado al
consumo, lo que permite a las compañías pagar por solo los recursos que ellos necesitan y
utilizan.
El proveedor de servicios de nube que entrega uno o todos los ;!lementos del marco SPI a una
organización comparten la infraestructura entre múltiples clientes. Esto ayuda a mejorar la tasa de
utilización mediante la eliminación de una gran cantidad de tiempo desocupado en los servidores.
También el uso compartido de ancho de banda de muy alta velocidad distribuye los costos,
facilita la administración de la carga máxima, frecuentemente mejora los tiempos de respuesta y
aumenta el ritmo de desarrollo de aplicaciones.
Otro beneficio de adoptar el marco SPI para la Organizació:1 es reducir costos de inicio,
eliminando los requerimientos de los recursos que se necesitarían en un modelo de TI tradicional
(centros de datos, hardware, software, etc.)
19
1.2.1 SOFTWARE COMO UN SERVICIO
NIST [ 1] define Sofrware como servicio (SaaS) como la capacidad provista al consumidor para
usar las aplicaciones del proveedor corriendo en una infraestructura de nube. Las aplicaciones
son accesibles desde varios dispositivos de cliente a través de un cliente delgado como un
navegador web (por ejemplo correo electrónico basado en web). El consumidor no administra o
controla la infraestructura de nube subyacente incluyendo servidores de red, sistemas operativos,
almacenamiento o incluso las capacidades de la aplicación individual con la excepción de
limitadas opciones de configuración de la aplicación para el usuario.
Hay diferencias importantes entre el modelo de entrega de Software como Servicio (SaaS) y el
Proveedor de Servicios de Aplicaciones (ASP) puro. A diferencia del método tradicional de pagar
e instalar software, el consumidor SaaS renta el uso del software utilizando un modelo de gastos
operativos (Pago por uso o Acuerdo de subscripción). Este modelo de pago por uso de licencia es
también conocido como licenciamiento sobre demanda, como algunas aplicaciones que son
entregadas a través del modelo SaaS son facturadas en uso medido y en base a un período de
tiempo. en vez de pagar el costo común del licenciamiento tradicional, en el cual el cliente tenía
muchas áreas de preocupación como:
• Compatibilidad con hardware, otro software y sistemas operativos
• Incidentes de licencia y cumplimiento ( copias no autorizadas del software flotando
alrededor de la organización)
• Mantenimiento, soporte y proceso de revisión de parches
El modelo de servicio SaaS provee varios beneficios a través de la estructura organizacional,
algunos de estos son:
• Permite a la organización contratar el alojamiento de aplicaciones a un vendedor
independiente de software u otro proveedor de servicio de software. Esto siempre
reduce el costo de licenciamiento, administración e hardware y otros recursos
requeridos para internamente alojar la aplicación
• SaaS también beneficia al proveedor de la aplicación incrementando el control sobre
el uso de su software limitando a la distribución de copias no licenciadas y
20
permitiendo al vendedor de software mayor control de actualizaciones y
administración de parches.
• Usuarios finales o de oficinas remotas pueden acceder a la aplicación más fácilmente
a través de un navegador. De esa forma, la implementación o actualización de
aplicaciones se simplifica.
1.2.2 PLATAFORMA COMO SERVICIO
NIST [ 1] define Platafonna como servicio (PaaS) como la capacidad provista al consumidor de
desplegar en la infraestructura de nube, aplicaciones adquiridas o creadas por el consumidor
usando lenguajes de programación y herramientas soportadas por el proveedor. El consumidor no
administra o controla la infraestructura de nube subyacente, incluyendo redes, servidores,
sistemas operativos o almacenamiento pero tiene control sobre las aplicaciones desplegadas y
posiblemente de configuraciones del ambiente de hospedaje de la aplicación.
El vendedor de PaaS proporciona varios servicios para desarrolladores de aplicaciones:
• Un ambiente de desarrollo virtual
• Estándares de aplicaciones, usualmente basadas en los requerimientos de los
desarrolladores
• Conjunto de herramientas configuradas para el ambiente de desarrollo virtual
• Un canal de distribución listo para publicar aplicaciones de desarrolladores
El modelo PaaS representa un bajo costo de entrada para los diseñadores de aplicaciones y
distribuidores, mediante el soporte del ciclo de vida completo del desarrollo del software
(SDLC3) de la aplicación web, eliminando de esta forma la necesidad por adquirir recursos de
hardware y software. Una solución PaaS puede comprender una solución completa para el
desarrollo de la aplicación extremo a extremo, desarrollo, pruebas e implementación o puede ser
más pequeña, una oferta más especializada enfocada a un área particular como administración de
contenido. BIBLIOTECt
'SDLC. Software Development Lyfe Cicle
21
Para que una plataforma de desarrollo de software sea con!;iderada una solución de PaaS
verdadera, se debe considerar:
• Un monitoreo de la línea base del uso de la aplicación para llevar a cabo la mejora de
la platafonna de proceso
• La solución debe proveer integración perfecta con otros recursos de nube como bases
de datos basadas en web y otros componentes de infraestructura y servicios basados
en web
• Multitenancia (Una única instancia de software de aplicación sirve a múltiples
clientes) dinámica, debe ser alcanzable y pennitir colaboración vía la nube entre
desarrolladores, clientes y usuarios en todo el SDLC.
• Seguridad, privacidad y confiabilidad deben estar implícitas en los servicios
• La plataforma de desarrollo debe ser basada en web
La lista de proveedores de PaaS no es tan extensa como SaaS, debido en gran parte a que la oferta
de PaaS tiene un mercado más pequeño, son desarrolladores más que usuarios finales, no
obstante algunos vendedores de SaaS han comenzado a crear filial es de ofertas de PaaS como una
extensión lógica de su oferta de SaaS.
Servicios Web de Amazon (A WS por sus siglas en inglés Amazon Web Services) ha instituido
servicios PaaS para desarrolladores, otros ejemplos de PaaS serían Google App Engine y
Microsoft Azure.
1.2.3 INFRAESTRUCTURA COMO SERVICIO
NIST [l] define Infraestructura como servicio (IaaS) como la capacidad provista al consumidor
para procesamiento, almacenamiento, redes y otros recursos básicos de cómputo donde el cliente
es capaz de desplegar y correr software, el cual puede incluir sistemas operativos y aplicaciones.
El consumidor no administra o controla la infraestructura de nube subyacente pero tiene control
sobre sistemas operativos, almacenamiento, aplicaciones desplegadas y posiblemente control
limitado de componentes de red seleccionados (por ejemplo firewalls).
22
El desembolso en la organización para infraestructura de sistemas de cómputo tradicionalmeme
ha sido una parte muy importante del gasto ya sea por la renta o adquisición de hardware y
software dedicado además de consultoría interna o externa, emplear el modelo IaaS
frecuentemente en conjunción con los modelos SaaS y PaaS provee un nivel de escalabilidad que
puede responder rápidamente a la demanda en una forma que la TI tradicional no puede.
A diferencia de PaaS, el espectro de vendedores de IaaS es muy amplio, mientras que algunos
ofrecen una replicación de la infraestructura estilo centro de datos (por ejemplo IBM, Oracle.
Sun, etc.) otros ofrecen servicios centrados en el usuario final como almacenamiento de datos
(Amazon Simple Storage Service S3, Dropbox, etc.).
Una empresa que se ha consolidado en el segmento de IaaS es Amazon, quien ofrece un gran
menú de servicios, algunos ejemplos de estos servicios son:
• Amazon Elastic Compute Cloud (Amazon EC2). Ambiente de cómputo virtual
proveyendo capacidad de cómputo de tamaño variable en la nube
• Amazon Simple DB. Un servicio web que ofrece las flnciones principales de bases de
datos de indexación y consulta en la nube
• Amazon Simple Storage Service (Amazon S3). Una Interface de servicios web que
provee acceso a infraestructura de almacenamiento de datos escalable y de bajo costo.
• Amazon CloudFront. Provee servicio web para entrega de contenido
1.3 Modelos de implementación de nube
Cada uno de los tres modelos descritos anteriormente tienen múltiples modelos de
implementación. Los modelos de implementación y entrega de servicio no están relacionados,
por lo que cualquiera de ellos puede existir en cualquiera de los escenarios de implementación,
sin embargo, un modelo de entrega/implementación puede ser más común que otros (por
ejemplo SaaS/Public).
NIST [ 1] define cuatro modelos de implementación de nube:
23
a) Nube Privada. La infraestructura de nube es operada ~:olamente por una organización.
Esta puede ser administrada por la organización o por un tercero y puede existir en sitio o
fuera de las instalaciones.
b) Nube Comunitaria. La infraestructura de nube es compartida por varias organizaciones y
soporta una comunidad específica que tienen intereses comunes (por ejemplo, misión,
requerimientos de seguridad, políticas y consideraciones de cumplimiento). Puede ser
administrada por la organización o un tercero y puede existir en sitio o fuera de las
instalaciones.
c) Nube Pública. La infraestructura de nube está disponible al público en general o a un
grupo de la industria y es propiedad de una organización que provee servicios de nube.
d) Nube híbrida. Es una composición de dos o más nubes (privada, comunitaria o pública)
que continúan siendo entidades únicas pero están unidas por estándares o tecnología
propietaria que habilita la portabilidad de aplicaciones y datos.
Una organización puede implementar un modelo o varios dependiendo de cual provea la mejor
solución. Por ejemplo una aplicación crítica que tiene cumplimi,::!nto u otras especificaciones de
seguridad puede requerir un modelo de nube privado o híbrido, por el contrario, una aplicación
general que se necesita para un proyecto temporal es adecuada para una nube pública.
1.3.l NUBES PÚBLICAS
Una nube pública es un esquema de implementación de cómputo en la nube que esta
generalmente abierto para el uso público en general (usuarios individuales o corporaciones). La
infraestructura en nube utilizada es propiedad de una organización proveedora de servicios de
nubes; algunos ejemplos de estas implementaciones incluyen Amazon Web Services, Google
App Engine, Salesforce.com y Microsoft Windows Azurc.
Típicamente esta nube es operada y administrada en un cen-:ro de datos que permite dar
alojamiento a múltiples clientes y usa aprovisionamiento dinámico, la implementación de una
plataforma de servicios escalables y licenciamiento pago según el uso (pay-as-you-go) es también
24
un elemento atractivo de la computación en la nube pública, así como las ventajas de
infraestructura de hardware compartida, infraestructura de software, innovación y desarrollo,
mantenimiento y actualizaciones.
Una nube pública (también conocida como nube externa), puede aportar beneficios económicos
inmediatos a una organización, ya que con su implementación en la empresa eliminaría la carga
de mantenimiento que representan las infraestructuras de TI hoy en día.
Dependiendo de las necesidades especificas de una organización, como requerimientos de
configuración propios, seguridad y acuerdos de niveles de servicio (SLAs por sus siglas en
inglés, Service Leve! Agreement), una compañía deberá considerar si mueve aplicaciones críticas
a un proveedor de nube pública.
De las cuatro configuraciones de implementación de nube, la configuración de nube pública
implica que la mayoría de las tareas de gestión del cliente son responsabilidad del proveedor de
servicio de nube, además de las tareas operacionales diarias, esta administración de un tercero
incluye tareas de seguridad, tales como el registro, seguimiento e :mplementación de controles.
1.3.2 NUBES COMUNITARIAS
Un modelo de implementación de nube que está siendo rápidamente implementada es la
comunitaria, conceptualmente reside en algún lugar entre una nube privada y una nube pública, la
nube comunitaria describe una infraestructura compartida que es empleada y soportada por
múltiples compañías.
Este recurso compartido de nube puede ser utilizado por grupos que tienen preocupaciones
coincidentes sobre un tema en específico, tales como requerimientos de cumplimiento conjunto,
objetivos de negocio no competitivos o una necesidad de poner disponible recursos de seguridad
de alto nivel.
Aunque la existencia fisica de la nube compartida puede residir en cualquiera de los miembros
locales, o a un sitio de terceros, gestionar la nube comunitaria puede llegar a ser complicado,
debido al potencial conflicto de intereses y responsabilidades, por lo que es un desafio técnico
25
hacer frente a las preocupaciones sobre maneJo de los recursos. privacidad, capacidad de
recuperación, latencia y requerimientos de seguridad.
Gerard Briscoe y Alexandros Marinos en su artículo "Ecosistemas Digitales en las nubes: hacia la
comunidad del cómputo en la nube" (2] definieron varios elementos que deben estar presentes
para que una nube sea llamada comunitaria:
• Apertura. La eliminación de la dependencia en los proveedores hace de la nube
comunitaria, el equivalente a proveedores de nubes, y por lo tanto identifica una nueva
dimensión en la batalla abierta en contra de propietaria que ha emergido en códigos,
estándares y datos, pero que hasta ahora no ha sido ·~xpresada en el ámbito de los
servicios alojados.
• Comunidad. La nube comunitaria es tanto una estructura social como un paradigma de la
tecnología, debido a que la comunidad es propietaria de la infraestructura. Esta propiedad
de la comunidad viene con un grado de capacidad de amp.iación económica sin la cual no
habría menor competencia y cumo proveedor de nube~: corría el riesgo de no poder
mnovar.
• Sin propiedad. La nube comunitaria no es propiedad o está controlado por una
organización, y por lo tanto no depende en la duración o fracaso de cualquier
organización. Será robusta y con capacidad de respuesta a fallas, e inmune a los fallos en
cascada de proveedores de nubes, debido a la diversidad de sus nodos de apoyo. Cuando
ocasionalmente falle lo hará no destructivamente y con mínimo tiempo de inactividad,
cuando los nodos no afectados compensen la falla.
• Comodidad y control. La nube comunitaria a diferencia de las nubes de proveedores, no
tiene conflicto inherente entre comodidad y control, decido a que la propiedad de la
comunidad provee control democrático distribuido.
• Sustentabilidad Ambiental. El uso de máquinas de usuario subutilizadas requiere mucho
menos energía que los centros dedicados necesarios para la:; nubes de los proveedores, las
26
granjas de servidores dentro de los centros informáticos tienen una fom1a intensiva de la
provisión de recursos informáticos, mientras que la nube comunitaria es más orgánica.
1.3.3 NUBES PRIVADAS
Mediante el uso de la virtualización algunas compañías están construyendo ambientes de
cómputo de nubes privadas destinados a sus empleados o socio;; de negocio, las nubes privadas
también son conocidas como nubes internas. Las nubes privadé.s pueden ofrecer los beneficios
del cómputo en la nube pública, al tiempo que permite a la organización mantener un mayor
control sobre los datos y procesos.
NIST [1] describe una nube privada como una infraestructura de :rnbe operada solamente por una
organización, administrada por la organización o un tercero ya sea en las instalaciones o fuera
de ellas. La nube privada es típicamente alojada dentro de la frontera de la organización
propietaria.
Hay unas características específicas de una nube privada que la diferencian de la tradicional
infraestructura distribuida de TI.
En primer lugar, las nubes privadas difieren de las nubes públicas en que la infraestructura
asociada con una nube privada esta comúnmente dedicada a una sola empresa y no esta
compartida con alguna otra. La infraestructura puede incluir mudas oficinas corporativas, socios
de negocio, clientes de la intranet/vendedores, distribuidores o cualquier otro grupo que mantiene
una relación de negocio con la empresa.
En segundo lugar, la seguridad se considera prioritaria en una implementación de nube privada
que en una pública, por supuesto que una nube privada no es naturalmente más segura que una
nube pública a menos que las mejores prácticas de seguridad se hayan seguido, pero una empresa
que tiene preocupaciones de seguridad, riesgo o cumplimiento puede querer emplear el control
que una nube privada puede ofrecer, ya que la empresa es duefia de la infraestructura y tiene
control sobre como las aplicaciones son implementadas sobre esta.
27
También una nube privada/híbrida podría ayudar a la empresa para prepararse para el futuro,
mediante el aprovechamiento de la infraestructura existente ,~n una nube. A medida que el
departamento de TI comienza a implementar productos de virtualización dentro de los planes
futuros del centro de datos, una nube privada podría pennitir a una empresa dar un paso en la
arquitectura de la nube sin sacrificar control, gobemabilidad corporativa o confiabilidad.
1.3.4 NUBES HÍBRIDAS
De forn1a simple, una nube híbrida es cualquier combinación de los tres modelos de
implementación previos, específicamente NIST [ 1] la define como "una composición de dos o
más nubes (privada, comunitaria o pública) que continúan siendo entidades únicas pero están
unidas mediante tecnología estandarizada o propietaria de tal forma que permiten portabilidad de
aplicaciones y datos (por ejemplo cloud bursting para balanceo je cargas entre nubes).
Un ejemplo de implementación de nube híbrida podría consistir de una organización usando
aplicaciones de software no críticas en la nube pública mientras conserva las aplicaciones críticas
o sensibles en una nube privada. Las nubes híbridas combinan ambos modelos de nube pública y
privada y puede ser particularmente efectiva cuando ambos tipos de nube están localizadas en la
misma instalación. Una característica de las nubes híbridas que las hace distintivas de las otras
implementaciones de nubes es el compromiso de "cloudbursC Un "cloudburst" generalmente se
refiere al empleo dinámico de una aplicación que, mientras corre predominantemente dentro de la
infraestructura interna de una organización, puede también ser implementada a la nube en el caso
de un repunte de la demanda.
Estos ambientes híbridos pueden emplear múltiples Proveedores de Servicio de Nube (CSPs4)
internos o externos.
~ CSP Cloud Service Providers
28
1.3.5 MODELOS DE IMPLEMENTACIÓN ALTERNA TI VOS
Alrededor del marco SPL hay un par de modelos de implementación alternativos. uno que está
basado en el SPI, el otro es una visión completamente diferente de la arquitectura de la nube.
David Linthicum en su artículo "Definición del marco del cómputo en la nube" [3] propuso un
modelo que aumenta la madurez del marco SPI a través del uso de "stacks", aquí se consideran
1 O categorías mayores o patrones de tecnología de cómputo en J a nube.
1. Almacenamiento como Servicio (Storage as a Service ). La capacidad para aprovechar
almacenamiento que existe físicamente de forma remota, pero es lógicamente un recurso de
almacenamiento local para cualquier aplicación que lo requiere.
2. Base de datos como Servicio (Database as a Service). La capacidad para aprovechar los
servicios de una base de datos alojada remotamente, compartiendo esta con otros usuarios, y
tiene una función lógica como si fuera una base de datos local.
3. Información como un Servicio (lnformation as a Servi::e). La capacidad para consumir
cualquier tipo de infonnación alojada remotamente, a través de una interface bien definida
como una API.
4. Proceso como un Servicio (Process as a Service). Un recurso remoto que es capaz de unir
muchos recursos, ya sea alojados dentro del mismo recurso de cómputo en la nube o remoto.
para crear un proceso de negocio.
5. Aplicación como un Servicio (Application as a Service, también referido como SaaS) es
cualquier aplicación entregada sobre plataforma web a un usuario final, típicamente
aprovechando la aplicación a través de un navegador.
6. Platafonna como un servicio (Platform as a Service). Una plataforma completa, incluyendo
desarrollo de aplicaciones, desarrollo de interfaces, desarrollo de bases de datos,
almacenamiento y pruebas, entregados a través de una pl.itaforma alojada remotamente para
suscriptores.
7. Integración como un Servicio (Integration as a Service). La capacidad para entregar un
conjunto completo de integración desde la nube, incluyendo interfaces con aplicaciones.
control de flujo y diseño de integración.
8. Seguridad como un Servicio (Security as a Service). La capacidad para entregar servicios de
seguridad principales sobre internet.
29
9. Gestión/Gobernabilidad como un Servicio (Management/Govemance as a Service). Cualquier
servicio sobre demanda provee la capacidad para gestionar uno o más servicios de nube,
típicamente cosas simples como topología, utilización de recursos, virtualización y
administración del tiempo de actividad.
1 O. Gestión de Pruebas como un servicio (Testing as a Service ). La capacidad para probar
sistemas locales o entregados en la nube, usando software de pruebas y servicios que están
alojados remotamente.
1.4 RECAPITULACIÓN
El cómputo en la nube es un modelo mediante el cual se accede a un conjunto compartido de
recursos de cómputo bajo demanda los cuales pueden ser aprovisionados de fom1a inmediata,
con poco esfuerzo de gestión del consumidor o interacción con el proveedor de servicio. Sus
características esenciales son: autoservicio bajo demanda, amplio acceso a la red, recursos
disponibles independientes de la ubicación, elasticidad rápida y servicio medido.
Existen tres modelos de servicio ampliamente aceptados: IaaS (Infraestructura como Servicio),
SaaS (software como Servicio) y PaaS (Platafonna como Servicio) y cuatro modelos de
implementación: nube privada, pública, comunitaria e híbrida
•
•
•
•
•
30
c:APITULO 2
, DEFINICION DE ESTRA 1fEGIA PARA
IMPLEMENTAR SERVIClOS DE TIC EN LA NUBE
2. DEFINICIÓN DE ESTRATEGIA PA.RA
IMPLEMENTAR SERVICIOS DE TI EN LA NUBE
2.1 SITUACIÓN ACTUAL DE LA ORGANIZACIÓN
31
La estrategia para trasladar los servicios de TI de un esquema tradicional a la nube, debe de
sustentarse en el plan de negocios de la organización a mediano y largo plazo. El diseño de la
estrategia implica tomar decisiones que comprometen recursos importantes, motivo por el cual es
necesario el patrocinio de la dirección general que favorezca 12. implementación. Adicionalmente,
es necesaria la participación de los líderes de la organización para asegurar que el diseño de los
servicios de la nube cumpla con los requerimientos del negocio y para sensibilizarlos sobre los
futuros cambios que se suscitarán en la entrega de los servicios de TI durante el período de
transición.
Cuando una organización analiza la posibilidad adopción del modelo de cómputo en la nube, se
deben fonnular una serie de preguntas para orientar la decisión por la senda correcta, algunas de
esas preguntas pueden ser:
1. ¿Cuál es la situación actual del Centro de Datos en ténninos de una Arquitectura
Orientada a Servicios?
2. ¿Cuáles son los requerimientos del negocio de la Organización en materia de regulación?
3. La movilización de servicios de TI a la nube ¿Es un proyecto financieramente rentable?
32
4. De los servicios que se entregan en el esquema tradicional. ¿Cuáles se pueden prestar con
la misma o mejor calidad en la nube?
5. El proveedor de nube: ¿Puede entregar los niveles de serv1c10 requeridos por la
organización?
6. ¿Cuál es el nivel de seguridad que ofrece el proveedor de nube a los datos de la
organización?
2.2 ENFOQUES PARA DEFINIR LA ESTRATEGIA
Para contestar estas preguntas podríamos utilizar enfoques mixtos que involucren:
• Intuición y Experiencia
• Conceptos y herramientas
• Personas y Procesos
• Datos y Análisis
Intuición y Experiencia: La intuición guiada por expenencias relevantes, puede ser una
herramienta poderosa para responder a estas preguntas, el problema es que a veces las prácticas
anteriores pudieran ser insuficientes o inapropiadas para tomar de decisiones estratégicas sobre
un futuro vertiginoso.
Conceptos y herramientas: Un concepto es una idea que define la naturaleza de una estrategia
exitosa, nos ayuda a definir qué datos recolectar y como analizarlos. Las herramientas de
estrategia permiten una forma más concreta de estructurar el pensamiento, son útiles para llevar a
cabo discusiones de grupo y para realizar presentaciones sobre la lógica utilizada en la adopción
de la estrategia. Desafortunadamente los conceptos de estrate 5ia y las herramientas por sí solas
rara vez llegan a la respuesta correcta, las decisiones estratégicas son siempre difíciles dado que
requieren experiencia y buen juicio.
Personas y Procesos: Debido a que una estrategia rara vez puede ser diseñada por un solo
individuo, reunir a las personas correctas es un punto crítico. Un aspecto fundamental de la
estrategia es involucrar al grupo de personas directamente relacionadas con la operación de
serv1c10s de TI actuales, con la planeación y diseño de nuevos serv1c10s así como las áreas
usuarias que se verán afectadas.
Datos y análisis: Pueden servir para sustentar objetivamente una decisión, pueden ser de utilidad
en el caso de que las personas involucradas sepan utilizarlos de manera adecuada.
La mercadotecnia alrededor de la nube, promueve la idea que ~;u implementación puede reducir
de forma dramática los costos de gestionar la infraestructura tradicional de tecnologías de
información. La realidad indica que no siempre es así, en algunas situaciones los servicios
basados en nube son la solución correcta en el momento propicio al precio atractivo, sin embargo
en otras circunstancias la nube como plataforma necesita más investigación antes de aplicarla a
un problema de negocio.
Antes de tomar una decisión de ir hacia la nube, se debe contemplar una estrategia y un plan de
implementación sobre cuándo y cómo se van a utilizar los servicios de nube dentro de la
organización.
2.3 EVALUANDO LA SITUACIÓN ACTUAL
2.3.l AMBIENTE DEL CENTRO DE DA TOS EN TÉRMINOS DE UNA
ARQUITECTURA ORIENTADA A SERVICIOS.
El contar con arquitectura orientada a servicios (SOA) debe considerarse como un requisito para
trasladar los servicios a la nube sin sobresaltos. Una manera de empezar sería revisar el grado de
madurez que tienen los servicios del Centros de Datos e identificar que se requiere para transitar
con menores dificultades a la nube. Se podría trabajar inicialmente en simplificar el entorno
informático actual, separando los servicios y procesos de negocio.
Algunas de los cuestionamientos que se podrían realizar son:
• ¿Las aplicaciones cuentan con Arquitectura consistente o cada aplicación cuenta con
su propia arquitectura?
• ¿Hay servicios comunes del negocio utilizados mediante múltiples aplicaciones?
34
• ¿Son esos serv1c1os comunes de negocio autónomos? o ¿dependen de otras
aplicaciones y servicios en tu ambiente?
• ¿ Tu organización tiene implementada gestión de carga de trabajo?
Mientras más servicios estén habilitados e identificados en el entorno informático, meJor
preparada estará la organización para aprovechar los servicios de nube. Es mucho más difícil
mover componentes dentro de la nube si no puedes separar aplicaciones o servicios de negocio de
los servicios de tu centro de datos.
En el Anexo A Planeación de la Capacidad de los servicios del Centro de Datos se mencionan
algunas herramientas que pueden utilizarse en esta planeación.
2.3.2 REQUERIMIENTOS DE NEGOCIO QUE TIENE LA ORGANIZACIÓN EN
MATERIA DE REGULACIÓN
Considera la información que está corriendo en tu centro de datos antes de moverla hacia la nube,
tienes que pensar acerca de:
• Privacidad y cuestiones de cumplimiento regulatorio
• Problemas de seguridad
• Problemas de gestión de datos específicos a tu compañía
Por ejemplo, una compañía multinacional, antes de mover sus datos a la nube para análisis de
mercado debe verificar las leyes relativas al acceso de datos por diferentes gobiernos, flujo de
datos entre países y demás.
El cumplimiento ( externo o interno) puede pensarse también como un costo del nivel de servicio.
Podría ser necesario tener el servicio de nube auditado para ver si cumple con los requerimientos
de cumplimiento, el cual podría relacionar a seguridad TI, procedimientos de recuperación u otra
actividad de TI que debe obedecer el cumplimiento de normas.
Se recomienda evaluar la situación actual de TI y gobernabilidad del negocio a medida que
desarrolles la estrategia de nube. En algunos casos, la gobernabilidad y el cumplimiento prohíben
que cierto tipo de información salga del ambiente interno de la organización.
35
Si estas considerando escoger un proveedor de servicio de nube, necesitas estar seguro que la
compañía puede soportar tus necesidades de seguridad y gobernabilidad con la supervisión y
rendición de cuentas. Examina los reportes y documentación que soporten sus requerimientos de
supervisión. Platica con otros clientes del proveedor para ver que también cumple con los
requerimientos de gobernabilidad de los clientes.
Asegúrate que tu proveedor de nube puede adherirse a cualquier requerimiento de regulación o
cumplimiento que tu compañía tenga que cumplir. Necesitas asegurarte si están dispuestos a
actualizarse en el caso de que algo cambie en tu industria. Evalúa el riesgo y el costo que podría
estar asociado con esto.
En el Anexo B Cumplimientos Regulatorios Requeridos por la Organización, se muestra un
ejemplo que identifica objetivos de control para el cumplimiento regulatorio de una legislación
que afecta a una organización.
2.3.3 RENTABILIDAD DE UN PROYECTO DE NUBE
Una de las más importantes tareas cuando te preparas para la nube consiste en evaluar la
estructura de costo de la organización (por ejemplo, cuánto estas gastando en soportar el
hardware existente, software, servicios de red). ¿Cómo puedes determinar el costo de los ahorros
si no sabes cuánto estas gastando hoy en día?
En algunas situaciones podría ayudarte a ahorrar dinero mover un servicio como correo, pruebas
de software, o almacenamiento para una nube, debido a que los costos de realizar el servicio
internamente son mucho más altos. En otras circunstancias el costo por implementar una
aplicación clave en la nube puede ser mucho más caro que con-erla internamente.
Hay muchos temas en perspectiva cuando estas evaluando la economía de la nube:
• El centro de datos por sí mismo no es estático, si no que cambia constantemente
• No cada carga de trabajo es más económica en la nube
• Las tecnologías emergente hacen algunas decisiones más complicadas
36
Comparar con exactitud la economía de la nube versus un centro de datos es complicado. El
problema para muchas organizaciones estará que no tienen un modelo exacto de los costos del
centro de datos que les permitan considerar proposiciones de nube sobre una base.
Es complejo para muchas organizaciones predecir con exactitud los costos de correr una
aplicación en el centro de datos, un servidor en particular puede ser utilizado para soportar varias
aplicaciones diferentes. ¿Cómo se puede juzgar con precisión la cantidad de recursos de personal
que se dedican a una aplicación? En algunas organizaciones puede haber intentos para atar los
costos de computación a departamentos específicos.
Si quieres tener un enfoque racional para adopción de la nube, es necesario analizar los costos de
TI. El hecho simple es que la nube no necesariamente será menos cara y esta no necesariamente
proveerá el mismo nivel de servicio como tu centro de datos. Tu propio centro de datos podría
tener un acuerdo de nivel de servicio con un porcentaje de di,ponibilidad de 99.999. ¿Podrá el
proveedor de la nube ofrecer el mismo nivel de servicio? Habría que evaluar que nivel de
disponibilidad es el adecuado para tus clientes internos.
Si estas planeando mover algunas de tus aplicaciones a la nube, identifica las aplicaciones que
darán el mayor retorno de la inversión. Realiza tu trabajo para otro tipo de aplicaciones y
recursos. Por ejemplo si hay una aplicación que utiliza un gran porcentaje del personal pero que
tiene que configurarla para sus propósitos, tienes que evaluar si hace sentido mover esta a un
ambiente de nube. Necesitas considerar un rango de costos y si la gente es capaz de realizar sus
trabajos efectivamente bajo este nuevo modelo.
El modelo económico incluye los siguientes pasos:
• Identificar costos para aplicaciones ( o grupos lógicos de aplicaciones) en términos del
TCA05 (Costo total de propiedad de la aplicación)
• Ajustar los costos para reflejar el costo actual de los ahorros que pudieran ser
obtenidos en términos del TCAO
• Factor en el costo de la nube privada
• Factor en nivel de servicio y cumplimiento
5 TCAO. Total Cost Application Ownership
37
• Tomar en cuenta factores estratégicos ( capacidad del centro de datos y agrupamiento
de aplicaciones)
En el Anexo C Modelo Económico para una Aplicación, encon1rarás un modelo económico para
una aplicación que te permitirá identificar el costo de la aplicación, su impacto en la
organización y cuál podría tener un menor riesgo de implantación.
2.3.4 SELECCIÓN DEL MODELO DE NUBE PARA LA ORGANIZACIÓN
Para decidir cuál modelo de costo de nube aplicar, se deben considerar:
• Capacidad del centro de datos: Muchas organizaciones se están quedando sin espacio en
centro de datos, si necesitas espacio comúnmente hay un costo masivo en obtener espacio
extra.
• Agrupamiento de aplicaciones: Debido a la llegada y adopción generalizada de la
arquitectura orientada a servicios SOA la interdependencia de servicios de aplicación se
ha incrementado. Por integración técnica y razones de rendimiento, podría ser impráctico
pensar en aplicaciones como base individual, y en vez de esto agruparlas cuando se
considere la migración a la nube.
En muchos casos, escoger una aplicación y moverla a la nube no es tan simple, comúnmente
primero se hacen trabajos de configuración y pruebas, adicionalmente la aplicación podría no
estar diseñada para la naturaleza altamente distribuida del ambi,~nte de nube y podría necesitar ser
re-escrita, este otro costo necesita tomarse en cuenta. No todas las aplicaciones pueden moverse a
la nube, por ejemplo las aplicaciones legadas que funcionan bajo entornos operativos que la nube
ya no soporta.
Para aquellas aplicaciones y cargas de trabajo que son apropiac.as para la nube, el TCAO es ideal.
Sin embargo, en el mundo real tienes que dividir el análisis económico para que tome en cuenta
las cargas de trabajo que deben permanecer en el centro de datos.
Desde una perspectiva política, las compañías no deberían simJlemente tomar una acción debido
a que parece ser más económica. Necesitan basar la política en que debe permanecer en el centro
38
de datos tradicional y porqué (por ejemplo, privacidad, complejidad y singularidad de la carga de
trabajo). Ellos entonces deben tener una política que decla.re que automatización y auto
aprovisionamiento soportará el negocio y lo habilitará para reaccionar a las oportunidades mucho
más rápido. Necesita también una política que especifique cuando una carga de trabajo puede ser
movida a la nube pública de forma segura.
Basado en las preguntas anteriores, muchas compañías claramente usaran una combinación de
recursos de nube pública y privada, el ambiente privado podría vivir en el centro de datos de la
compañía o podría ser alojado por un proveedor de nube privada. Cada compañía tiene su propia
forma de hacer frente a los gastos de capital en contra de los gastos de operación con ambientes
de nube privada.
Inicia por revisar tu portafolio de servicios para identificar tu primer objetivo. Selecciona un área
específica que demuestra el valor que obtendrías de un modelo ele nube.
Hay algunas áreas que están listas para la nube, por ejemplo:
"Pruebas de aplicaciones a un ambiente de nube", éste es un modelo popular para muchas
compañías. En vez de proveer servidores de prueba en las instalaciones de la empresa, las
pruebas son hechas sobre demanda en la nube. Los beneficios incluyen tanta capacidad como se
necesite y no hay tiempo de aprovisionamiento para los servidores en el ambiente de prueba. En
el Anexo D Servicios Públicos de Nube se presentan algunos servicios, una breve descripción y
referencias que pueden servir como un primer acercamiento a ellos.
2.3.5 NIVELES DE SERVICIO REQUERIDOS POR LA ORGANIZACIÓN
No es común que un servicio de nube provea exactamente el mismo nivel de servicio que el
proporcionado por el centro de datos para una aplicación, existe un costo o beneficio escondido.
Para asignar un valor, se necesita estimar el costo al negocio si la aplicación no llegase a estar
disponible. Ese valor, entonces puede ser añadido ( o substraído) como un costo adicional
involucrado en mover la aplicación a la nube.
39
En el Anexo E Formato de Acuerdo de Nivel de Servicio, se muestra un formato muestra que
podría servimos para establecer el acuerdo de nivel de servicio con un proveedor de la nube.
2.3.6 ¡,CUÁL ES EL NIVEL DE SEGURIDAD QUE OFRECE EL PROVEEDOR DE
NUBE A LOS DA TOS DE LA ORGANIZACIÓN?
Aparte de los problemas de seguridad y privacidad, podrías terer un número de asuntos legales
por considerar, por ejemplo:
• ¿Qué le pasa a tus aplicaciones y datos si el proveedor de nube se sale del negocio?
• ¿Quién es responsable de la perdida de información?
• ¿ Qué tiempo de actividad garantiza el proveedor?
• ¿Qué recurso tienes si el acuerdo de nivel de servicio no se cumple?
• ¿Cuáles son mis preocupaciones de seguridad y privacidad?
• ¿ Qué tan disponible y confiable estarán mis recursos'>
La seguridad en la nube necesita ser enfocada desde una perspectiva de gestión de riesgos. Si tu
organización tiene especialistas de gestión de riesgos involúcralos en la planeación de la
seguridad de la nube.
Cuando administras el centro de datos, disponibilidad y confiabilidad bajo el control de tu
compafiía, tu organización de TI probablemente ha negociado ciertos acuerdos de niveles de
servicio con los departamentos de tu compafiía basados en la criticidad de tus aplicaciones. Con
el movimiento a la nube necesitas preguntarte que niveles de disponibilidad y que riesgo estarías
tomando si tu proveedor de servicio de nube no cumple con bs niveles de servicio acordados.
Habría algunas aplicaciones en las cuales tomarías un riesgo y otras en donde no, pero necesitas
analizar el riesgo.
Si estas pensando mover aplicaciones y datos a la nube necesitas formular una serie de preguntas,
por ejemplo:
• ¿Están seguros mis datos?
40
• ¿Pueden mis datos estar almacenados en donde sea o mi compañía no permite que los
datos crucen la frontera?
• ¿ Qué pasa si se pierden mis datos?
• ¿Puedo recuperarlos?
• ¿Quién es el dueño de mis datos?
En resumidas cuentas necesitas sopesar los riesgos asociados con poner ciertas aplicaciones que
dependen de ciertos tipos de datos en la nube. Podría ser que te sientas cómodo con el riesgo pero
necesitas contemplarlo. Evalúa cuáles son y si será fácil mover tus activos de un proveedor de
nube a otro.
• ¿Es mi proveedor confiable?
• ¿Qué pasa si mi proveedor de nube sale del negocio?
• ¿Será capaz de recuperar sus activos?
• ¿Quién es dueño de la propiedad intelectual?
• ¿Estaré atado a un solo proveedor?
• ¿Cuáles son los riesgos de procesos y personas asociados con una nueva tecnología??
• ¿Cómo podrían mis procesos cambiar en la nube?
• ¿Qué pasa con los recursos tecnológicos?
En el Anexo F Consideraciones de Seguridad en la Nube se muestran las consideraciones de
Seguridad que debería cumplir un proveedor de servicio de Nube.
2.4. DESARROLLANDO UN PLAN DE TRABAJO
Para desarrollar un plan de trabajo es recomendable que se teng:l.Il contestadas las preguntas de la
sección anterior:
En el anexo G Plan de trabajo implementación de nube, se describe un plan básico de traslado de
servicios de TI a la nube. Para completar adecuadamente la red de actividades es necesario tener
bien identificado:
• ¿Cuáles son los servicios que necesitas soportar para el crecimiento del negocio
41
• ¿Cómo se van a implantar?
• ¿Cuándo se van a implantar?
Dentro de la estrategia de reubicación de serv1c1os en la nube, probablemente tenga sentido
implementarlos de forma paulatina, para asegurar su disponibilidad y continuidad en la
operación.
Una vez formulado el plan de trabajo y todos los requerimientos técnicos para el
aprovechamiento de la nube como parte de la estrategia a seguir, se tiene que comunicar el plan
de acción al negocio y a las comunidades de TI. Algunas personas podrían considerar a la nube
una amenaza debido a que esta remueve algunas tareas del de)artamento de TI, por otro lado la
gestión del negocio va a querer saber que tienen el control sobre datos importantes del negocio.
2.4.1 TEMAS CULTURALES A CONSIDERAR EN EL PLAN DE TRABAJO
Cuando algo nuevo viene, podría tomar tiempo para que las personas lo acepten, la realidad es
que el cambio usualmente provoca que las personas reaccionen, en algunas ocasiones pueden
reaccionar positivamente al cambio y a veces no. Debido a que no se sabe lo que podría pasar, es
importante anticipar problemas y planificar en consecuencia.
Generalmente los problemas asociados cuando se introduce una nueva tecnología a una
organización caen en una de las siguientes categorías:
• Las personas no lo entienden: Las personas necesitan ser educadas acerca de como el
modelo trabaja y cuáles son sus beneficios
• Las personas tienen preocupaciones legítimas: Hay por cierto razones legítimas para no
querer adoptar una cierta tecnología. Estas razones son por lo general sobre el riesgo. En
la nube la gente está preocupada acerca de la seguridad, capacidad de gestión y
disponibilidad. Estos son los riesgos de los cuales deben estar conscientes los
consumidores.
• La gente se siente amenazada por la nueva tecnología porque piensa puede afectar su
subsistencia. El personal de TI puede estar preocupado acerca del impacto que la nube
42
puede tener en sus trabajos. Aún y cuando ellos podnan no perder sus trabajos, ellos
todavía quisieran entender cuál será el impacto que tendrá a su situación actual.
• La gente está de acuerdo en un principio con la tecnología pero podría llevarle tiempo
acostumbrarse a ella, torna tiempo confiar en la nueva forma de hacer las cosas.
2.4.2 BÚSQUEDA DE PATROCINADORES PARA ASEGURAR LA ACEPTACIÓN Y
EJECUCIÓN DEL PLAN DE TRABAJO
• Soporte Ejecutivo: El moverse a la nube será más tranquillo si tienes soporte ejecutivo,
mediante este apoyo se enviará el mensaje desde lo más alto y las personas serán más
receptivas.
• Entiende la cultura: Si tu compañía ha estado haciendo las cosas de una manera en los
últimos años, necesitas entender que para la adopción de este modelo habrá resistencia, es
necesario planificar la implantación en consecuencia.
• Comunica el mensaje: Cuando tienes soporte ejecutivo y entiendes la cultura comunica el
mensaje de la nube hacia aquellos que serán impactados.
• Declaración formal: Es también una buena idea tener una declaración formal acerca del
caso de negocio para la nube, en caso de que tengas que convencer a tu personal y en
especial aquellos cuyos trabajos serán significativamente impactados.
• Educa al personal: El personal involucrado necesita entender: ¿Por qué la compañía está
moviendo algunas operaciones al modelo de nube? ¿Cuáles son los beneficios de este
movimiento para la organización? ¿Cómo las personas se verán afectadas por el
movimiento al cómputo en la nube?
• Involucra a la gente: Si la gente siente que ellos son part,~ del cambio, ellos comúnmente
no se resistirán, forma comités de transición y designa personas para liderar el cambio.
43
• Entrena tu personal: El tipo de entrenamiento dependerá de la función del trabajo
(herramientas de monitoreo, nuevas aplicaciones, etc.)
2.5 GUÍA DE ORIENTACIÓN PARA LA ADOPCIÓN DE UN MODELO DE
NUBE
Considerando todo lo referido en este capítulo, se identifican cinco componentes principales que
están presentes en los servicios de tecnologías de información: a) Centro de datos, b)
Aplicaciones, c) Cumplimiento de regulaciones, d) Niveles de Servicio y e) Niveles de
Seguridad.
En este trabajo se plantea la evaluación del grado de madurez de estos componentes como el paso
principal que debe dar una empresa que considera la adopción de servicios de cómputo en la
nube. Una vez que se obtiene la valoración del grado de madurez de los componentes de los
servicios de tecnologías de infom1ación, la empresa tiene un mejor conocimiento de ellos e
identifica cuales necesita mejorar (si desea implementar su nube privada) o bien solicitar su
cumplimiento (si desea contratar servicios de nube pública).
En la evaluación del grado de madurez de los componentes principales se considera:
a) Centro de datos: En este rubro se evalúa el grado de madurez de los serv1c10s de
infraestructura de tecnologías de información (hardware y software de los equipos que
proporcionan capacidad de procesamiento, capacidad de almacenamiento,
comunicaciones LAN (Local Area Network - red de área local) y W AN (Wide Area
Network - red de área amplia), así como el grado de madurez de los equipos que
proporcionan los servicios auxiliares ( energía y aire acondicionado)
b) Aplicaciones: Se evalúa el grado de madurez del ciclo de vida de las aplicaciones, así
como los servicios de bases de datos, aplicaciones comerciales y legacy (aplicación
heredada usada por el usuario y que no puede ser remplazada fácilmente).
c) Cumplimiento de regulaciones: Se evalúa el grado de madurez que se tienen en cuanto a
la implementación de metodologías y mejores prácticas en tecnologías de información, así
44
como la implementación de controles requeridos por la organización por ejemplo SOX
(Sarbanes-Oxley).
d) Niveles de servicio: Se evalúa el grado de madurez de procesos de gestión enfocados en
la entrega y soporte del servicio ( entre otros acuerdos de servicio, procesos de gestión de
problemas, gestión de incidentes y gestión de la capacidad)
e) Niveles de Seguridad: Se evalúa el grado de madurez de procedimientos y protocolos de
seguridad, existencia y difusión de políticas, proceso~: de continuidad del negocio y
recuperación de desastres.
Contando con este punto de partida, la empresa puede continuar con el proceso de adopción del
modelo de cómputo en la nube siguiendo la secuencia que se muestra en la Figura 2-1. Modelo
para adopción de servicios de nube.
En esta figura se identifica una parte de planeación, en donde se considera identificar áreas de
mejora por cada componente y elaborar programa de trabajo para:
• Organizar y fortalecer los servicios de infraestructura de :as aplicaciones.
• Identificar y en su acaso adecuar las aplicaciones que sean factibles de transferir a la nube
• Documentar los requerimientos del negocio en materia de regulación
• Definir de forma conjunta con el negocio, los niveles de servicio esperados con el futuro
proveedor
• Detenninar los niveles de seguridad requerida por la organización para considerarlos en la
contratación de los servicios
Centro de Datos
Figura 2-1 Modelo para adopción de servicio, de Nube
( Inicio )
Proveedor/Cliente
Componentes principales identificados en un Servicio de tecnología de información
Aphcac1ones Requerimientos del negocio en materia
de regulaaón
1 ! Evaluación del grado ¡ I de madurez j
Planeación
f'' v Implementación/ Contratación del
servicio
Niveles de Servicio requendos por la
Or,Janización
Niveles de seguridad requeridos por la
Organización
45
Para la Planeación e Implementación/Contratación del serv1c10 referidos en la Figura
mencionada, dentro de este trabajo se agregaron los siguientes anexos, los cuales mencionan
algunas herramientas, modelos y ejemplos que pudieran servir de apoyo.
• Anexo A. Planeación de la capacidad de los servicios del centro de datos.
• Anexo B. Cumplimientos regulativos requeridos por la organización
• Anexo C. Modelo económico para una aplicación
• Anexo E. Formato de Acuerdo de Nivel de Servicio
• Anexo F. Consideraciones de Seguridad en la nube
• Anexo G. Plan de trabajo de Implementación en la nube
Adicional al Modelo planteado, sería recomendable realizar un análisis de nesgos en la
Organización para que con los resultados obtenidos, se identifiquen que controles serían
necesarios implementar antes de adoptar este modelo de servicios, ya sea como proveedor de
servicios de nube o como consumidor de servicios de nube.
46
Aunado al párrafo anterior, otro tema importante a tratar y que no forma parte del alcance de este
trabajo sería llevar a cabo análisis financieros y de rentabilidad de los servicios en la nube,
considerando como un componente importante la Operación y Disponibilidad de los Servicios en
el Negocio, de tal forma que las organizaciones cuenten con mayores elementos a ponderar en la
adopción de este modelo de servicios.
En el siguiente capítulo, se aborda el Diseño de un instrumento de medición para medir el grado
de madurez de los componentes de un servicio de tecnologías de información.
2.6 RECAPITULACIÓN
El transitar a un modelo de serv1c1os de cómputo en la nube implica tomar decisiones
importantes en la entrega de servicios de TI en la organización, por lo que antes de discernir al
respecto, se debe contemplar una estrategia y un plan de implementación sobre cuándo y cómo se
van a utilizar los servicios de nube dentro de la organización. Se debe evaluar la forma actual de
la entrega de los servicios considerando los componentes que lo integran: Centro de datos,
Requerimientos del negocio en materia de cumplimiento de regulaciones, niveles de servicio,
niveles de seguridad, rentabilidad del proyecto y, como tema cultural, es importante también
comunicar cómo este modelo de servicios beneficia a la organización y a las áreas que prestan el
serv1c10.
47
CAPITULO 3•
-DISENO DE UN INSTRUMENTO DE ,
MEDICION DEL GRADO DE
MADUREZ SERVICIC)S DE TI
3. DISEÑO DE UN INSTRUMENTO DE MEDICIÓN DEL
GRADO DE MADUREZ SERVICIOS DE TI.
48
De acuerdo al modelo planteado en la sección 2.5 Guía de oriemación para la adaptación de un
modelo de Nube, se identifica la valoración del grado de madurez de los servicios de tecnologías
de información como el paso inicial deseado para la adopción del modelo de cómputo en la nube.
En el presente capítulo se aborda el diseño de un instrumento cie medición planteado como un
problema de investigación desde una óptica cualitativa, para lo cual se considerará el marco
teórico siguiente:
• Objetivos de lnvestigación
• Preguntas de Investigación
• Justificación de la lnvestigación
• Viabilidad de la investigación
• Evaluación de las deficiencias en el conocimiento del problema
• Definición inicial del ambiente o contexto.
Una vez establecido el marco teórico se abordará:
a) Metodología para la Evaluación del grado de madurez
b) Diseño del lnstrumento
49
3.1 MARCO TEÓRICO
3.1.1 OBJETIVOS DE INVESTIGACIÓN
• Identificar los componentes que intervienen en un servicio de tecnología de información.
• Evaluar el estado de madurez de los componentes que forman parte de un servicio de
tecnología de información que se pretende transferir a la nube.
• Ponderar el grado de madurez de una empresa respecto a sus servicios de tecnologías de
información.
• Evaluar la preparación de la empresa para utilizar los servicios de cómputo en la nube
(pública o privada), y emitir las recomendaciones procedentes.
3.1.2 PREGUNTAS DE INVESTIGACIÓN
En el capítulo 2, dentro de la sección 2.5 Guía de orientación para la adaptación de un modelo
de Nube, se identifican cinco elementos principales que fonnan parte de los servicios de
tecnología de información, los cuales son: 1) Centro de Datos, 2) Aplicaciones, 3) Cumplimiento
de Regulaciones, 4) Acuerdos de Niveles de Servicio y 5) Niveles de Seguridad, nuestro objetivo
principal sería identificar el grado de madurez de cada uno de e:;tos elementos, para lo cual nos
formulamos las siguientes preguntas:
a) ¿Cuál es el grado de madurez del Centro de Datos?
b) ¿ Cuál es el grado de madurez de las Aplicaciones?
c) ¿Cuál es el grado de madurez en el cumplimiento de Regulaciones requeridas por el
negocio?
d) ¿Cuál es el grado de madurez de los Acuerdos de Niveles de Servicios requeridos por la
Organización?
e) ¿Cuál es el grado de madurez de los Niveles de Seguridad requeridos por la
Organización?
50
3.1.3 JUSTIFICACIÓN DE LA INVESTIGACIÓN
Al identificar el grado de madurez de los elementos que componen un servicio de tecnologías de
infomrnción, nos permite detectar las fortalezas y sobre todo las areas de oportunidad de cada uno
de los elementos que están involucrados en el servicio. La detección de estas áreas de
oportunidad permite emitir recomendaciones basadas en estándares de tecnologías de
Información ITIL/COBIT a fin de elevar el grado de madurez de cada uno de los elementos.
El tener una referencia de como se encuentran sus servicios de tecnologías de información en
cuanto a su grado de madurez, le permitirá a una empresa orientar su estrategia de TI a fin de
dirigir los esfuerzos a las áreas de oportunidad detectadas y mejorar sus servicios.
La adopción de un modelo de cómputo en la nube no es la excepción, si una empresa tiene interés
en adoptar soluciones de nube, de acuerdo a lo planteado en la :;ección 2.5 Guia de orientación
para la adaptación de un modelo de Nube, es deseable que se evalúe inicialmente el grado de
madurez de sus servicios de tecnologías de información y se pueda descubrir si la nube podría
reportarle los beneficios esperados.
3.1.4 VIABILIDAD
Hoy en día, las empresas que requieren obtener servicios eficientes de tecnologías de infonnación
a un menor costo, encuentran como opción al Cómputo en la Nube. Este mercado está en ascenso
y actualmente es una tendencia que está emergiendo con fuerza, de tal forma que existen muchos
proveedores que ofertan este tipo de servicios, y es ante esta alternativa que las compañías se
hacen la pregunta:
¿Es benéfico para el negocio el adoptar los servicios de cómputo en la nube?
KPMG (Consultoría de servicios de Auditoría, Impuestos y Asesoría) en su artículo ·'Modelando
el impacto económico del cómputo en la nube" [5], indica que el surgimiento del cómputo en la
nube trae muchos beneficios que están cambiando la economía de las áreas de TI. La tecnología
de nube estandariza y agrupa los recursos de TI y automatiza muchas de las tareas de
51
mantenimiento actuales. La arquitectura de nube facilita un consumo elástico, auto servicio y
pago según el uso, también permite que los elementos principales de la infraestructura de TI estén
en grandes centros de datos y de esta forma tomen ventajas de las economías de escala.
De acuerdo a lo publicado en el artículo los beneficios económicos de la nube pueden ser
agrupados en tres amplias categorías:
• Ahorros de costo directo ( ocurren en el centro de datos)
• Mejoras en la productividad
• Innovación
Considerando lo anterior, pueden considerarse estos beneficios económicos como impulsores
para implementar este modelo de servicios.
Como se mencionó en la introducción de este trabajo en la descripción de los modelos de
prestación de servicios de nube, los proveedores de servicios de nube pública tienen una oferta
que cada día se hace más amplia, el Anexo D Servicios Públicos de Nube nos refiere algunos de
estos proveedores.
3.1.5 EVALUACIÓN DE LAS DEFICIENCIAS EN EL CONOCIMIENTO DEL
PROBLEMA
Los elementos clave que se identificaron como parte de un serv1c10 de tecnologías de
información y cuyo grado de madurez se evalúa, fueron seleccionados de acuerdo a la
experiencia del investigador. Alguno de estos elementos se desglosaron en uno o vanos
subtemas, los cuales por si solos tienen una mayor complejidad a lo que pudiera evaluarse en este
ejercicio, sin embargo pese a no dominar cada uno de los subtemas, la pretensión es lograr una
aproximación inicial al grado de madurez de una organizaciór en cuanto a sus servicios de
tecnologías de información.
52
3.1.6 DEFINICIÓN INICIAL DEL AMBIENTE O CONTEXTO
El ambiente inicial es la necesidad que tienen las empresas en la actualidad para tornar una
decisión en considerar el cómputo en la nube corno una opción viable, para este caso el
encuestado podrá elegir evaluarse como un proveedor de servicios de nube o como un cliente de
servicios de nube.
Una vez que el usuario se identifica como proveedor o cliente, para calcular el grado de madurez
se considera una ponderación diferente de los componentes del servicio, de tal forma que la
identificación de las áreas de oportunidad pudieran ser diferentes
El modelo para la valoración del grado de madurez se diseñó considerando el escenario de una
empresa que quiere implementar servicios de nube privada. El grado de madurez que se obtiene
mediante la evaluación propuesta se dirige principalmente a usuarios que desean implementar
servicios de nube privada, sin embargo se considera que puede servir de referencia para los
clientes que deseen ser consumidores de servicios de nube pública.
3.2 METODOLOGÍA PARA LA EVALUACIÓN DEL GRADO DE
MADUREZ
De acuerdo a lo planteado en la sección 2.5 Guía de orientación para la adopción de un modelo
de nube, la evaluación del grado de madurez de los componentes que forman parte de los
servicios de tecnologías de información, representa el hito inicial para la adopción de un modelo
de cómputo en la nube, por lo que en esta sección se aborda el método utilizado para la
construcción de la herramienta que nos permitirá conocer este grado de madurez. La Figura 3-1
Metodología para la evaluaóón del grado de madurez nos muestra la secuencia de pasos que se
llevan a cabo.
53
Figura 3-1 Metodología para la evaluación del grado de madurez
3.2.1 REACTIVOS PARA EVALUAR MADUREZ DE COMPONENTES
El instrumento de medición realiza una serie de preguntas al entrevistado con el fin de obtener
una visión general con respecto a los servicios de tecnologías de información en su empresa,
posterionnente formula una serie de enunciados a partir de un banco de reactivos relacionados
con los cinco componentes que se calificarán para obtener el grado de madurez de la empresa. El
perfil del entrevistado debe ser de un miembro de tecnologías de información que tenga
conocimientos acerca de como se brindan los servicios en su organización y conozca de forma
general los elementos de tecnologías de información que componen un servicio.
54
Los bancos de reactivos para identificar el grado de madurez se describen en las siguientes tablas:
• Centro de Datos (Tabla 3-1)
• Aplicaciones (Tabla 3-2)
• Cumplimiento de regulaciones (Tabla 3-3)
• Acuerdos de Servicios (Tabla 3-4)
• Niveles de seguridad de la organización. (Tabla 3-5)
Cada banco de reactivos está compuesto por los siguientes elementos:
• Subtema: La valoración del grado de madurez de cada uno de los elementos, puede
comprender uno o varios subtemas.
• Reactivos: Cada reactivo se formula para contestarse como un elemento de tipo Likert6 en
dónde cinco respuestas son posibles. Un ejemplo de reactivo sería:
La virtualización de servidores es una práctica ampliame11te aceptada e implementada en
mi organización. Ante esta afirmación el entrevistad:) deberá elegir la opción que
considere se apegue más a su realidad. Las posibles respuestas y su ponderación son:
Sin cobertura %
Cobertura marginal 25%
Cobertura moderada 50%
Cobertura amplia
Cobertura total
75 %
100%
• Tipo de cliente: Cada reactivo va dirigido a un tipo de cliente o bien puede aplicar a
ambos
• % Peso Reactivo: El peso de los reactivos es proporcional, considerando el número de
preguntas totales que se le hace al entrevistado. Por ejemplo al revisar la Tabla 3.1 Banco
de reactivos para ident(ficar grado de madurez en Centro de Datos, se observa que si al
entrevistado se le pregunta desde la perspectiva del proveedor serán 8 preguntas cuyo
peso proporcional sería 12.5% cada una, si es desde la perspectiva del cliente serán 5
preguntas y cada una tendrá un peso de 20%
6 Escala de Likcrt. Se construye en runción de una serie de elementos que rcílejan una actitud positiva o negativa acerca de un estímulo o referente.
55
Tabla 3-1 Banco de reactivos para identificar grado de madurez en Centro de Datos
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Procesamiento l. La organización mantiene un estándar en cuanto a Proveedor Proporcional tecnología de virtualización de servidores, el personal del centro de datos está completamente familiarizado con esta tecnología. 2. Los servidores en la organización tienen alta Ambos Proporcional disponibilidad y están configurados para operar en base a servicios. 3. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de procesamiento y con sistemas de monitoreo para garantizar el nivel de serv1c10 de los equipos.
Almacenamiento 4. La organización mantiene un estándar en cuanto a Proveedor Proporcional tecnología de almacenamiento, el personal del centro de datos está completamente familiarizado con esta tecnología (SAN). 5. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de almacenamiento y con sistemas de monitoreo para garantizar el nivel de servicio de los equipos.
-Comwlicaciones
6. Las redes de comunicaciones LAN, WAN están Ambos Proporcional diseñadas para facilitar la colaboración y/o interoperabilidad con proveedores, socios de negocio. 7. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de comunicaciones LAN, WAN y cuentan con sistemas de monitoreo para garantizar el nivel de servicio de los equipos.
Energía y Aire Acondicionado 8. Los sistemas de energía y aire acondicionado que se Proveedor Proporcional encuentran en el centro de datos son suficientes para la demanda de energía eléctrica y capacidad de enfriamiento requerida.
56
Tabla 3-2 Banco de reactivos para identificar grado de madurez en Aplicaciones
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Generales ' 1. Todas las aplicaciones de software y Sistemas están Ambos Proporcional propiamente especificadas, diseñadas, documentadas y en su implementación separan las capas de presentación y bases de datos. 2. La organización mantiene actualizados los planes de Ambos Proporcional licenciamiento y mantenimiento del software que soporta las aplicaciones comerciales, Legacy y de bases de datos.
Bases de Datos 3. La organización cuenta con una plataforma estándar de Ambos Proporcional bases de datos para el soporte de aplicaciones comerciale~. y Legacy. 4. La organización cuenta con personal experimentadc Ambos Proporcional para la administración y soporte de bases de datos.
Sistemas Comerciales ... Uf $
5. La organización mantiene soluciones estándares para Ambos Proporcional requerimientos específicos del negocio (Portales Intranet e Internet, Sistemas de Gestión de Contenido, Sistemas de Inteligencia de Negocios, ERP, etc.) 6. La organización cuenta con personal experimentado Ambos Proporcional para la administración y soporte de sistemas comerciales.
Sistemas Legacy ...
7. La organización utiliza platafomias estándares para el Ambos Proporcional desarrollo de aplicaciones Legacy. 8. La organización cuenta con personal experimentado Ambos Proporcional para la administración y soporte de sistemas Legacy
57
Tabla 3-3 Identificando grado de Madurez referente al cumplimiento de regulaciones
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Generales, SOX, MAAGTIC l. La organi zación uti liza algunas de las siguiente:; Ambos Proporcional metodologías y mejores prácticas lTIL, COBJT, TSO l 7779/2700 l . 2. La organización cuenta con lineamientos, políticas e, Ambos Proporcional reglamentos que apoyan y fomenta la aplicación de so luciones de TIC y son difundidos al interior. 3. La organización ha realizado estudios de evaluación, Ambos Proporcional análisis de inversión y análi sis de impacto al negocio y se tiene un claro entendimiento de los procesos de negoc io )' los procesos de TI que los soportan . 4. La organ ización tiene implementado controles para el Ambos Proporcional cumplimiento de regulaciones nacionales o internacionales, por ejemplo SOX, PCJ-DSS, MAAGTlCC entre otras. 5. La organi zación ha definido y mantenido niveles de Ambos Proporcional seguridad adicionales al acceso general para los sistemas que son materia del proceso de Reportes Financieros. 6. Los sistemas principales del negocio t ienen la capacidad Ambos Proporcional para el seguim iento de actividades vía rastros de auditoría 7. La Gestión de Cambios y el control y di stribución de Ambos Proporcional software, están integrados a un sistema de gestión de configuraciones. 8. La información en la organización se encuentra Ambos Proporcional clasificada y cuenta con mecanismos para garanti zar su confidencialidad e integridad .
58
Tabla 3-4 Identificando grado de Madurez referente a Acuerdos de Servicio
Sub temas Reactivos Tipo de Peso del Cliente reactivo
Generales ,;
1. La organización cuenta con personal con capacidad Ambos Proporcional técnicas adecuadas para evaluar proveedores, realizar análisis costo-beneficio, determinar la viabilidad de los servicios de TIC y verificar el cumplimiento de los nivele!, de servicio contratados. 2. En la operación de los servicios, los métodos )" Ambos Proporcional procedimientos están enfocados en la entrega y soporte del servicio (SLAs y OLAs) 3. En la operación de los
.. tienen Ambos Proporcional serv1c1os, se
implementado procesos para la Gestión de la Demanda de los recursos de Infraestructura.
1 4. Los SLAs en la organización fueron creados a través de Ambos Proporcional
1 un esfuerzo co laborativo, entre el grupo administrativo de TI y el grupo de soporte. 5. La organización tiene implementado procesos de Ambos Proporcional gestión de incidentes que involucre los tres aspectos principales (impacto, urgencia prioridad). 6. La organización tiene implementados procesos de Ambos Proporcional gestión de problemas que identifiquen las causas de incidentes en los servicios y ejecute trabajo correctivo para preven ir recurrencias. 7. Se cuenta con una Gestión del ambiente de Ambos Proporcional virtualización, orientada a la Gestión de los Servicios del Negocio (SLAs, Contabilidad, Catalogo de Servicio, CMDB) y la instrumentación de servicios (procesamiento, redes y almacenamiento). 8. Se establecen contratos de niveles de servicio que debe Ambos Proporcional cumplir el proveedor en el contrato de tercerización (p.ej. reportes de tiempo de atención al servicio, disponibilidad, etc.).
59
Tabla 3-5 Identificando grado de Madurez en cuanto a niveles de Seguridad
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Generales 1. La Organización cuenta con un Gestor de ldentidade:: Ambos Proporcional para permitir la conexión con los proveedores o socios de negocio . 2. En la operación, en la organización se tienen Ambos Proporcional implementados procesos de continuidad del negocio y recuperación de desastres. 3. En la Organización existe una política de seguridad Ambos Proporcional infom1ática y privacidad de la información en la Organización y se comunica eficientemente en la organización. 4. Se cuentan con procedimientos y protocolos de Ambos Proporcional seguridad en la organización los cuales incluyen claves de acceso y políticas de seguridad física. 5. Se realizan revisiones formales que vigilen el Ambos Proporcional cumplimiento de las políticas de seguridad de la organización 6. Se tiene implementado un Sistema de Gestión de Ambos Proporcional Seguridad de los Sistemas de lnfomrnción 7. La organización cuenta con sistemas de seguridad como Ambos Proporcional firewall, detectores de intrusos y software de prevención de malware en servidores y equipos de usuario final.
60
3.2.2 OBTENCIÓN DEL GRADO DE MADUREZ
Para obtener el grado de madurez de los componentes de los serv1c10s de tecnologías de
información, se realizan los siguientes pasos:
• Valoración inicial del grado de madurez de un componente
• Valoración final del grado de madurez de un componente
• Clasificación del grado de madurez
3.2.2.1 Valoración inicial del grado de madurez de un componente
El grado de madurez de cada componente que comprende un servicio de información, se evalúa
de fonna individual como se indica en la Tabla T3-6 Valoración inicial del grado de madurez de
un componente.
Tabla 3-6 Valoración inicial del grado de madurez de un componente
Serie de % Peso del reactivo Valor Ponderado Valor Parcial (VPA) Valor Inicial del
reactivos (VPR) (VPO) Componente (VIC)
Reactivo I Valor Peso = ( 100/n) VPO 1 = O •. 25 .. 50. VPAI= VPR * \!POI El valor que se obtiene de
.75 ó 1 La valoración inicial de
un componente (VIC) es:
Reactivo 2 Valor Peso= ( 100/n) VP02= O .. 25 .. 50. VPA2= VPR * \'P02 VIC = ~ VPAl ... n
.75 ó 1
... ... ... ...
Reactivo n Valor Peso = ( 100/n) VPOn= O .. 25 .. 50. VPAn= YPR * YPOn
.75 ó I
61
En dónde:
• La serie de reactivos se obtienen de las Tablas T3-l, T3-2, T3-3, T3-4 y T3-5 de acuerdo
al componente que se está evaluando.
• VPR es el peso del reactivo, su valor total 100% se divide entre el número de preguntas
realizadas (n). Pueden ser n reactivos, en dónde n es el m'.mero de preguntas de acuerdo a
las Tablas T3-1, T3-2, T3-3, T3-4 y T3-5.
• VPO es el valor ponderado que se obtuvo del reactivo de acuerdo a la escala utilizada (O .
. 25. 50, .75 y 1).
• VPA es el valor parcial de cada reactivo, se calcula mdtiplicando el peso del reactivo
(VPR) en contra del valor ponderado (VPO). Los subíndices del 1 a n se relacionan con
cada pregunta.
• VIC es el valor inicial del grado de madurez de un componente (centro de datos,
aplicaciones, cumplimiento de regulaciones, seguridad y acuerdos de servicio) su valor se
obtiene mediante la suma de las valoraciones parciales VPA 1 ... n.
3.2.2.2 Valoración Final del grado de Madurez de un componente
En la tabla T3-7 Valoración final del grado de madurez de un componente, se muestra como se
obtiene la valoración final del grado de madurez de los componerJes.
62
Tabla 3-7 Valoración final del grado de madurez de un componente
Grado de Madurez Valoración Porcentaje de Valor Madurez Componente Valor Final del de Elementos Inicial (VIC) representatividad (VMC) Grado de Madurez
del componente (VFGM) (PRP)
Centro de Datos VICI VMCl=V!Cl * PRPI PRPI La calificación del
Apl icacioncs y VIC2 PRP2 VMC2=VIC2 * PRP2 grado de madurez Sistemas es VFGM=
IVMCI. .. 5
Cumplimiento de VIC3 PRP3 VMC3=VIC3 * PRP3 Regulaciones
Niveles de Servicio VIC4 VMC4=VIC4 * PRP4 PRP4
Niveles de Seguridad VIC5 PRP5 VMC5=VIC5 * PRP5
En dónde:
• VIC es el Valor Inicial del Componente (véase sección anterior). Los subíndices del 1 al 5
se relacionan con cada elemento (componente) evaluado. Por ejemplo VIC 1 es el valor
inicial de madurez del centro de datos.
• PRP es el Porcentaje de representatividad del componente (al final de la sección se
amplia en el cálculo de este porcentaje)
• VMC es el Valor Final de Madurez del Componente, se :::alcula mediante el producto de
la Valoración Inicial del Componente (VIC) por el porcentaje de representatividad. Los
subíndices del 1 al 5 se relacionan con cada elememo (componente) evaluado. Por
ejemplo VMC 1 es el valor de madurez del centro de datos.
• VFGM es el Valor Final del Grado de Madurez, es la sumatoria de las valoraciones
finales de cada componente,¿= VMTI + VMT2 + VMT3+VMt4+ VMT5
Cálculo del porcentaje de representatividad del componente (PRP)
Desde la perspectiva del tipo de cliente (proveedor de servicios de nube ó consumidor de
servicios de nube), el porcentaje de representatividad que se le asigna al grado de madurez de
63
cada elemento es variable, para calcularlo se realiza un análisis de pares de cada componente
con el fin de identificar las prioridades relativas.
En el análisis de pares, a cada componente no se le asigna directamente un valor, más bien, se
compara con otros componentes para desarrollar una clasificación relativa, de tal forma que cada
componente debe ser comparado con cada uno de los otros para desarrollar una matriz de
priorización. Esta idea de priorización es tomada del concepto de análisis de pares.
En el Anexo H Cálculo del pareen/aje de representatividad en la evaluación se explica lo
referente a este análisis y como se cálculo el porcentaje de repr~sentatividad, desde el punto de
vista del proveedor y del cliente.
3.2.3 CLASIFICACIÓN DEL GRADO DE MADUREZ
Finalmente una vez obtenido el Valor Final de Grado de Madurez (VFGM), daremos una
clasificación de acuerdo a los criterios definidos en las tablas T~,-8a Clas(ficación del Proveedor
de acuerdo a su grado de madurez y T3-8b Clas(ficación del cl.;ente de acuerdo a su grado de
madurez.
64
Tabla 3-8a Clasificación del proveedor de acuerdo a su grado de madurez.
Valor Final de Grado de Diagnóstico Comentarios
Madurez (VFGM)
Mayor o igual al 75% Preparado Preparado en su mayoría para adoptar una solución de nube. No hay recomendaciones.
Entre 50 y < 75% Intermedio Tiene un relativo grado de madurez para adoptar una solución de nube, en general, sin embargo se detectan áreas de oportunidad. Revisar la Tabla 3.9a Tabla de Recomendaciones al Proveedor, para los componentes que ~;e identifican con oportunidade~ de mejora.
Menor del < 50 % No preparado Tiene que replantearse el objetivo si desea convertirse en proveedor de servicios de nube, se detectan áreas de oportunidad en cada uno de los elementos valorados. Revisar la Tabla 3.9a Tabla de Recomendaciones al Proveedor, para los componentes que se identifican con oportu1idades de mejora.
Tabla 3-8b Clasificación del cliente de acuerdo a su grado de madurez.
Valor Final de Grado de Diagnóstico Comentarios Madurez (VFGM) Mayor o igual al 75% Preparado Su grado de madurez es elevado por lo que el tránsito hacia
servicios de nube pública pudiera ser viable, siempre y cuando se cumplan con los requerimiemos del negocio.
Entre 50 y < 75% Intermedio Cuenta con un relativo grado de madurez, para la adopción de una solución de nube pública. se detectan áreas de oportunidad las cuales deberá solicitar que se cumplan por parte del proveedor de servicios de nube pública. Revisar la Tabla T3.9b Tabla de Recomendaciones al Client,~, para los componentes que se identifican con oportunidade~ de mejora.
Menor del < 50 % No preparado La evaluación del grado de madurez es baja, por lo que para adoptar una solución de nube pública, debe considerar las áreas de oportunidad que deberá solicitar que se cumplan por parte del proveedor de servicios de nube pública. Revisar la Tabla T3.9b Tabla de Recomendaciones al Cliente, para los componentes que se identifican con oportunidades de mejora.
Una vez realizadas las clasificaciones, en las Tablas T3-9a Tabla de Recomendaciones al
Proveedor y T3-9b Tabla de Recomendaciones al Cliente, se identifican las recomendaciones
que pueden emitirse de acuerdo a la calificación obtenida en cada uno de los temas evaluados.
Para la emisión de las recomendaciones se consideran dos valoraciones principales:
65
• (a) en la valoración de los reactivos en la mayoría de las respuestas, el valor ponderado
del reactivo VPO estuvo entre O y 25 %. Se considera que necesita implementar acciones
para elevar su grado de madurez en el tema evaluado.
• (b) en la valoración de los reactivos en la mayoría de las respuestas el valor ponderado
del reactivo VPO estuvo entre O y 25 % la valoración se encuentra 50 y 75. Se considera
que necesita incrementar acciones de mejora acciones para elevar su grado de madurez en
el tema evaluado.
• Cuando en la valoración de los reactivos en la mayoría de las respuestas el valor
ponderado del reactivo VPO estuvo en 75 %. No se considera emitir recomendaciones ya
que se considera posee un nivel de madurez adecuado
66
Tabla 3-9a Tabla de Recomendaciones al Proveedor
- .
Recomendación Descripción a pregunta a b p3.1. l Implementar estándares en cuanto a Incrementar estándares en cuanto a
virtualización virtualización Capacitar al personal en tecnologías de Incrementar los conocimientos del personal virtualización con tecnologías de virtualización
p3.1.2 Implementar disponibilidad de los Incrementar disponibilidad de los servidores de procesamiento servidores de procesamiento
p3.1.3 Solicitar que los contratos de servicio Verificar que los contratos de servicio estén estén basados en procesamiento basados en procesamiento Implementar sistemas de monitoreo para Verificar se cuente con sistemas de garantizar niveles de serv1c10 de los monitoreo para garantizar niveles de equipos servicio de los equipos
p3. J .4 Implementar estándares en cuanto a Incrementar estándares en cuanto a tecnologías de Almacenamiento tecnologías ele Almacenamiento Capacitar al personal en tecnologías Incrementar los conocimientos del personal almacenamiento con tecnologías almacenamiento
p3.1.5 Solicitar que los contratos de servicio Verificar que los contratos de servicio estén estén basados en el servicio de basados en el servicio de almacenamiento almacenamiento Verificar se cuente con sistemas de Implementar sistemas de monitoreo para monitoreo para garantizar niveles de garantizar niveles de servicio servicio de los equipos
p3.1.6 Diseñar de implementar redes de Mantener e incrementar facilidades de comunicaciones para que tengan colaboración en las redes de facilidades de colaboración con los comunicaciones proveedores y socios de negocio
p3. 1.7 Solicitar que los contratos de servicio Verificar que los contratos de ..
de serv1c10 estén basados en el servicio de comunicaciones estén basados en el servicio comunicaciones Verificar SI! cuente con sistemas de Implementar sistemas de monitoreo para monitoreo para garantizar niveles de garantizar niveles de servicio de los servicio de los equipos equipos
p3.1.8 Rediseñar completamente el centro de Verificar que adecuaciones son requeridas datos en el centro de datos para cubrir la demanda
de energía eléctrica y capacidad de enfriamiento
p.3.2.1 Implementar en la Organización mejores Verificar que las aplicaciones de software y practicas para el Desarrollo de Sistemas están diseñadas y documentadas, Aplicaciones e Implementación de además de que exista separación en las Sistemas capas de presentación y bases de datos
p3.2.2 Contratar planes de licenciamiento y Verificar que se mantengan actualizados los mantenimiento para el software que planes de licenciamiento y mantenimiento soporta las aplicaciones comerciales, del software que soporta las aplicaciones legacy v de bases de datos comerciales, Legacy y de bases de datos
p3.2.3 Implementar un estándar en bases de Mantener e incrementar el estándar en datos en la organización que soporte las cuanto al sc.ftware de bases de datos que aplicaciones que atienden los soporta las aplicaciones comerciales y requerimientos específicos del negocio Legacy
p3.2.4 Implementar planes de capacitación y Mantener e incrementar el nivel técnico del certificación para el personal que soporta personal que soporta la administración de la administración de la base de datos bases de datos
p3.2.5 Implementar soluciones estándares que Mantener soluciones estándares para atiendan los requerimientos específicos requerimientos específicos del negocio. No del negocio duplicar soluciones
67
T3-9a Tabla de Recomendaciones al Proveedor
Recomendación Descripción a pregunta a b p3.2.6 Implementar planes de capacitación y Mantener e incrementar el nivel técnico del
certificación para el personal que soporta personal que soporta las aplicaciones las aplicaciones comerciales comerciales.
p3.2.7 Implementar plataformas estándares para Mantener y consolidar plataformas el desarrollo de aplicaciones Legacy. estándares p:tra el desarrollo de aplicaciones
Legacy. p3.2.8 Implementar planes de capacitación y Mantener e incrementar el nivel técnico en
certificación en las herramientas de las herramientas de desarrollo del personal desarrollo para el personal que soporta que soporta las aplicaciones legacy. las aplicaciones legacy.
p3.3.1 Implementar el uso de algunas de las Mantener e incrementar nivel de madurez metodologías y mejores prácticas ITIL de algunas de las metodologías y mejores principalmente, COBIT, ISO prácticas que se utilicen y estén adecuadas a 17779/27001 los requerimientos de la organización ITIL
principalmente, COBIT, ISO 17779/27001 P3.3.2 Desarrollar, implementar y difundir en la Verificar SI se cuentan con suficientes
organización los lineamientos, políticas o lineamientoi;, políticas o reglamentos que reglamentos que apoyan la aplicación de apoyan la aplicación de soluciones de TIC y soluciones de TIC que estén difundidos al interior de la
organización p3.3.3 Planear y programar en la organización Continuar realizando en la organización
estudios de evaluación, análisis de estudios de evaluación, análisis de inversión inversión y análisis de impacto al y análisis de impacto al negocio. negocio.
p3.3.4 Implementar controles en la organización Mantener e incrementar los controles en la para el cumplimiento de regulaciones, organización para el cumplimiento de p.ej. SOX, PCI-DSS, MAAGTIC, etc. regulacione1. nacionales o internacionales,
por ejemplo SOX, PCI-DSS, MAAGTICC entre otras.
p3.3.5 Implementar niveles de seguridad al Mantener e incrementar niveles de acceso general para los sistemas que son seguridad :ti acceso general para los materia del proceso de Reportes sistemas que son materia del proceso de Financieros. Reportes Financieros.
p3.3.6 Implementar el segu1m1ento de Mantener e incrementar la capacidad para el actividades vía rastros de auditoría en los seguimiento de actividades vía rastros de sistemas principales del negocio. auditoría en los sistemas principales del
negocio. p3.3.7 Implementar un sistema de gestión de Mantener el Sistema de Gestión de
configuraciones. Configuraciones y verificar que tenga integrado l:1 Gestión de Cambios y el control y di1.tribución de software.
p3.3.8 Implementar mecanismos de seguridad Mantener )' verificar los mecanismos de que garantizan la confidencialidad e seguridad que garantizan la integridad de la información clasificada. confidencialidad e integridad de la
información clasificada.
Recomendación a pregunta p3.4. I
p3.4.2
p3.4.3
p3.4.4
p3.4.5
T3-9a Tabla de Recomendaciones al Proveedor
Descripción a
Desarrollar . personal con capacidades técnicas adecuadas para evaluar proveedores, realizar análisis costobeneficio. y verificar el cumplimiento de los niveles de servicio contratados. Implementar métodos y procedimientos de la operación de los servicios enfocados en la entrega y soporte del mismo (SLAs y OLAs) Implementar procesos para la Gestión de la Demanda de los recursos de Infraestructura en la operación de los
b Mantener e incrementar las capacidades técnicas adecuadas del personal que evaluar proveedores, realiza análisis costobeneficio, y verificar el cumplimiento de los niveles de servicio contratados. Mantener e incrementar los métodos y procedimientos de la operación de los servicios enfocados en la entrega y soporte del mismo (SLAs y OLAs) Mantener y mejorar los procesos para la Gestión de la Demanda de los recursos de Infraestructura en la operación de los
servicios servicios. Establecer que los SLAs creados en la Mantener y continuar con el esfuerzo organización sean producto del esfuerzo colaborativo entre el grupo administrativo colaborativo entre el grupo de TI y el de Soporte en la creación de los administrativo de TI y el de Soporte. SLAS de la crganización Implementar el proceso de gestión de Mantener y mejorar el proceso de gestión
1---------1--in_c_i_de_n_t_e_s_e_n_l_a_o_r..,..0 •• _,an_i_za_ci_ó_n_. -----1--d_e_in_c_i_d_e_nt_e_s en la organización. _ p3.4.6
p3.4.7
p3.4.8
p3.5. l
p3.5.2
p3.5.3
p3.5.4
p3.5.5
p3.5.6
Implementar el proceso de gestión de Mantener y mejorar el proceso de gestión problemas en la organización. de problemas en la organización. Implementar una Gestión del ambiente de Mantener y mejorar la Gestión del ambiente virtualización, orientada a la Gestión de de virtualizac:ión, orientada a la Gestión de los Servicios del Negocio y la los Servicios del Negocio y la instrumentación de servicios instrumentac ón de servicios. Implementar contratos de niveles de Mantener y mejorar continuamente servicio que debe cumplir el proveedor contratos de niveles de servicio que debe en el contrato de tercerización cumplir el proveedor en el contrato de
Implementar un Gestor de Identidades de la organización para permitir la conexión con los proveedores o socios de negocio.
Implementar procesos de continuidad del negocio y recuperación de desastres en la organización.
Implementar procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la Organización. Implementar procedimientos y protocolos de seguridad en la organización, seguridad física y seguridad lógica Establecer revisiones formales que vigilen el cumplimiento de las políticas de seguridad de la organización
Implementar un Sistema de Seguridad de la Organización que auxilie en la gestión para atender incidentes de seguridad
terceri zac i ón Mantener e incrementar la seguridad del Gestor de Identidades de la organización que permite la conexión con los proveedores o socios de negocio. Mantener y mejorar continuamente los procesos de continuidad del negocio y recuperación de desastres en la organización. Mantener y continuar difundiendo los procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la organización Mantener y mejorar los procedimientos y protocolos de seguridad en la organización, seguridad física y seguridad lógica Mantener y formales que las política; organización
continuar con revisiones vigilen el cumplimiento de
de seguridad de la
Mantener e incrementar la eficiencia del Sistema de Seguridad de la Organización que gestiona la atención de incidentes de seguridad
68
69
T3-9a Tabla de Recomendaciones al Proveedor
Recomendación Descripción a pregunta a b p3.5.7 Implementar los sistemas de prevención Mantener e incrementar los sistemas de
de malware, detectores de intrusos, prevención de malware, detectores de firewalls en los servidores y equipos de intrusos, firewalls en los servidores y usuario de la organización equipos de usuario de la organización
Tabla 3-9b Tabla de Recomendaciones al Cliente
~~~~~--~~~~~~~~--~~~--~--~~~~-------~--~~~~~~~~~--~--
Recomendación a pregunta
p3.1.2
p3.1.3
p3. 1.5
p3. l.6
p3. 1.7
p3.2.l
p3.2.2
p3.2.4
Descripción 1--~~~~~~~~~~~~~~~~-,-----1~~~~--~~~~~--~~~-----
a El proveedor de servicio de nube debe garantizar una amplia disponibilidad de los servidores de los servidores de procesamiento que oferta. El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en procesamiento y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en procesamiento y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe proveer redes de comun1cac1ones para que tengan facilidades de colaboración entre empresas y socios de negocio.
El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en comunicaciones y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe tener implementadas mejores practicas para el Desarrollo de Aplicaciones e Implementación de Sistemas
El proveedor de servicios de nube debe contar con planes de licenciamiento y mantenimiento para el software que soporte las aplicaciones comerciales y de bases de datos. En cuanto a las aplicaciones legacy pudiera no satisfacer las necesidades del cliente.
El proveedor de servicios de nube debe ofertar estándares en bases de datos dentro de su catalogo de servicio, de tal fonna que la organización pueda seleccionar aquellas que den que soporte las aplicaciones que atienden los requerimientos específicos del negocio El proveedor de servicios tiene entre su oferta PaaS de bases de datos en donde la administración es parte del servicio ofertado.
b La disponibilidad de los servidores de almacenamiento debe ser incrementada por el proveedor de servicios de nube.
Se cuenta de forma moderada con contratos de servicio basados en procesamiento y de sistemas de monitoreo de este servicio. el proveedor de servicio de nube debe ofertarlos como parte de su servicio.
Se cuenta de forma moderada con contratos de servicio basados en almacenamiento y de sistemas de monitoreo de este servicio, el proveedor de servicio de nube debe ofertarlos como parte de su servicio.
Se cuenta de forma moderada con facilidades de colaboración con proveedores mismas facilidades que deben formar parte del proveedor de servicios de nube Se cuenta de forma moderada con contratos de servicio basados en comunicaciones y de sistemas de monitoreo de este servicio, el proveedor de servicio de nube debe ofertarlos como parte de su servicio.
Se cuenta de fonna moderada con aplicaciones de software y Sistemas diseñadas y documentadas apropiadamente, con separaci:'.rn en las capas de presentación y bases de datos, el proveedor de servicios de nube debe incrementar este servicio. Se cuenta de forma moderada con planes de licenciamiento y mantemm1ento del software que soporta las aplicaciones comerciales, Legacy y de bases de datos, este servicir) debe ser provisto por el proveedor ele servicios de nube aunque algunas aplicaciones legacy pudieran no adaptarse a rn ambiente de nube. Se cuenta de forma moderada de un estándar en ,:uanto al software de bases de datos que soporta las aplicaciones comerciales y Legacy. El proveedor de serv1c1os de nube ofertar estándares de bases de datos.
Se cuenta de, forma moderada con personal técnico que soporta la administración de bases de datos. Este servicio puede ser provisto por el proveedor de servicios de nube mediante un PaaS
70
71
T3-9b Tabla de Recomendaciones al Cliente
! Recomendación Descripción a pregunta a b
p3.2.5 Buscar entre los proveedores de servicios Se cuenta de fonna moderada con de nube, oferta de Soluciones de SaaS soluciones estándares para requerimientos que pudieran adaptarse a las necesidades específicos del negocio. Buscar en la oferta de la organización de los proveedores SaaS de nube soluciones
que pudieran adaptarse a lo que se tiene implementado en la organización.
·-p3.2.6 Buscar entre los proveedores de servicios Se cuenta de forma moderada con personal
de nube soluciones SaaS para técnico que soporta las aplicaciones aplicaciones comerciales y en caso de no comerciales. Este servicio pudiera ser existir considerar ofertas de soluciones ofertado mediante soluciones SaaS por un laaS para este servicio proveedor de servicios de nube y en caso de
no existir pudieran considerarse soluciones laaS para este servicio.
p3.2.7 Buscar proveedores de servicios de nube Se cuenta de forma moderada con PaaS que oferten plataformas estándares plataformas estándares para el desarrollo de para el desarrollo de aplicaciones aplicaciones Legacy. Estas plataformas Legacy. Algunos ejemplos de pueden ser ofertadas mediante soluciones proveedores serían Google AppEngine, PaaS por un proveedor de servicios de nube Windows Azure, Oracle, etc. Google AppEngine, Windows Azure,
Oracle, etc. p3.2.8 La organización no cuenta con personal Se cuenta d·~ forma moderada con personal
con experiencia en herramientas de técnico con experiencia en las herramientas desarrollo por lo que debe considerar de desarrollo del personal que soporta las capacitar nuevo personal ya que el aplicacione5 legacy. El proveedor de proveedor de servicios de nube solo servicios de nube solo oferta la plataforma oferta la plataforma PaaS de Desarrollo de desarrollo por lo que el personal de la
organización deberá continuar capacitándose en la plataforma de desarrollo
p3.3.1 El proveedor de servicios de nube debe Se cuenta de fonna moderada con garantizar que tiene implementadas metodologías y mejores prácticas en la metodologías y mejores prácticas como organización ITIL principalmente, COBIT, ITIL principalmente, COBIT, ISO ISO 17779/27001, el proveedor de servicios 17779/27001 de nube debe garantizar que las tiene
implementa.jas. p3.3.2 Buscar un proveedor de servicios de nube Se cuenta de forma moderada con
que mejor se adapte a los lineamientos, lineamientos, políticas o reglamentos que políticas o reglamentos que apoyan la apoyan la aplicación de soluciones de TIC. aplicación de soluciones de TIC en la El proveedor de servicios de nube que se organización. escoja debe adaptarse a lo anterior.
p.3.3.4 Los servicios ofertados por el proveedor Se cuenta de forma moderada con controles de servicios de nube deben cumplir con en la organización para el cumplimiento de los controles en la organización para el regulaciones nacionales o internacionales, cumplimiento de regulaciones, p.ej. por ejemplo SOX, PCI-DSS, MAAGTICC SOX, PCI-DSS, MAAGTIC, etc. entre otras. Los servicios ofertados por el
proveedor de servicios de nube deben cumplir con estos controles
72
T3-9b Tabla de Recomendaciones al Cliente
Recomendación Descripción a pregunta a b
p3.3.5 Los servicios ofertados por el proveedor Se cuenta de forma moderada con niveles de servicios de nube, deben considerar de seguridad al acceso general para los niveles de seguridad al acceso general sistemas que son materia del proceso de para los sistemas que son materia del Reportes Financieros. Los
.. serv1c1os
proceso de Reportes Financieros. ofertados por el proveedor de servicios de nube deben cumplir con estos niveles de seguridad
p3.3.6 El proveedor de servicios de nube debe Se cuenta de forma moderada con proveer la capacidad para el seguimiento capacidad para el seguimiento de de actividades vía rastros de auditoría en actividades vía rastros de auditoría en los los sistemas principales del negocio. sistemas principales del negocio. El
proveedor de servicios de nube debe proveer esta capacidad.
p3.3.7 El proveedor de servicios de nube debe Se cuenta de forma moderada con el proveer de un sistema de gestión de Sistema de Gestión de Configuraciones con configuraciones. Gestión de Cambios y el control y
distribución de software integrados. Este sistema debe ser provisto por el proveedor de servicios de nube.
p3.3.8 El proveedor de servicios de nube debe Se cuenta de forma moderada con garantizar que tiene implementados mecanismo, de seguridad que garantizan la mecanismos de seguridad que garantizan confidencialidad e integridad de la la confidencialidad e integridad de la información clasificada. Estos mecanismos información clasificada. deben ser garantizados por un proveedor de
servicios de nube p3.4. I No se cuenta con personal que puede Se cuenta ele forma moderada con personal
evaluar proveedores, realizar análisis que puede evaluar proveedores, realizar
1 costo-beneficio, y verificar el análisis costo-beneficio, y verificar el
L cumplimiento de los niveles de servicio cumplimiento de los niveles de servicio contratados. Debe considerarse contratar contratados. Para considerar la contratación consultoría para que auxilie en el proceso de servicios de nube se recomienda ames de establecer la contratación de asesorarse antes de la contratación. servicios de nube.
p3.4.2 El proveedor de servicios de nube debe Se cuenta de forma moderada con métodos tener implementados métodos y y procedimientos de la operación de los procedimientos de la operación de los servicios e1focados en la entrega y soporte servicios enfocados en la entrega y del mismo (SLAs y OLAs). Estos SLAs soporte del mismo (SLAs y OLAs) deben forma parte de la oferta del
proveedor de servicios de nube. p3.4.3 El proveedor de servicios de nube debe Se cuenta de forma moderada con procesos
tener implementados procesos para la para la Gestión de la Demanda de los Gestión de la Demanda de los recursos de recursos de Infraestructura en la operación Infraestructura en la operación de los de los servicios. Estos procesos deben estar servicios implement:1.dos por el proveedor de
servicios de nube. 1--·
p3.4.5 El proveedor de servicios de nube debe Se cuenta de forma moderada con un tener Implementar un proceso de gestión proceso de gestión de incidentes en la de incidentes en la operación de los organización. Este proceso debe formar servicios. estar implementado por el proveedor de
servicios de nube
Recomendación a pregunta
p3.4.6
p3.4.7
p3.4.8
p3.5.1
p3.5.2
p3.5.3
p3.5.4
p3.5.6
p3.5.7
T3-9b Tabla de Recomendaciones al Cliente
Descripción a
El proveedor de servicios de nube debería tener un proceso de gestión de problemas ambiente de virtualización en la operación de los servicios.
El proveedor de servicios de nube debería tener un proceso de gestión del ambiente de virtualización en la operación de los servicios
El proveedor de servicios de nube debe ofertar contratos de niveles de servicio que debe cumplir con el cliente del servicio.
El proveedor de servicios de nube debería de tener implementado un Gestor de Identidades de la organización para permitir la conexión con los proveedores o socios de negocio del cliente.
El proveedor de servicios de nube debe de tener implementados procesos de continuidad del negocio y recuperación de desastres para el cliente del servicio. Buscar un proveedor de servicios que tenga implementados procedimientos y políticas de seguridad informática para asegurar la privacidad de la información del cliente.
El proveedor de servicios de nube debe tener implementados procedimientos y protocolos de seguridad, seguridad fisica y seguridad lógica que garanticen la seguridad de la información del cliente.
El proveedor de servicios de nube proveer de un Sistema de Gestión de Seguridad de los sistemas de información.
El proveedor de servicios de nube debe tener implementados sistemas de prevención de malware, detectores de intrusos. firewalls en su infraestructura de procesamiento, almacenamiento y comunicaciones con el fin de proteger la información de sus clientes.
b Se cuenta de forma moderada con un proceso de gestión de problemas en la organización. Este proceso debe estar implementado por el proveedor de servicios de nube Se cuenta de forma moderada con un proceso de gestión del ambiente de virtualización incidentes en la organización. Este proceso debe estar implementado por el proveedor de servicios de nube Se cuenta de forma moderada con contratos de niveles ce servicio que debe cumplir el proveedor. El proveedor de servicios de nube debe cumplir con ofertar contratos de niveles de servicio. Se cuenta dt forma moderada con un Gestor de ldentid2des de la organización que permite la conexión con los proveedores o socios de negocio. Este gestor de identidades jebería formar parte de la oferta de un proveedor de servicios de nube. Se cuenta d,~ forma moderada con procesos de continuidad del negocio y recuperación de desastres en la organización.
Se cuenta de forma moderada con procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la organización. El proveedor je servicios de nube debería adaptarse a estos procedimientos y políticas que se tiene, en la organización. Se cuenta de forma moderada con procedimientos y protocolos de seguridad en la organización, seguridad fisica y seguridad lógica. Estos procedimientos y protocolos deben considerarse también los tenga implementados el proveedor de servicios de nube. Se cuenta de forma moderada con un Sistema de Gestión de Seguridad de los sistemas de Información. Este sistema debe ser provisto por el proveedor de servicios de nube. Se cuenta de forma moderada con sistemas de prevención de malware, detectores de intrusos, firewalls en los servidores de la organización. El proveedor de servicios de nube debe tener implementados estos servicios como parte de su oferta.
73
•
74
3.3 RECAPITULACIÓN
Para medir el grado de madurez de un serv1c10 de tecnologías de información, se diseñó un
instrumento de medición que considera cinco componentes principales, los cuales componen un
servicio de tecnologías de información: a) centro de datos, b) aplicaciones, c) cumplimiento de
regulaciones, d) niveles de servicio y e) niveles de seguridad. A cada componente se le asigna un
porcentaje de representatividad mediante un análisis de pares y se evalúa su madurez de forma
individual. Posteriormente se obtiene una calificación global respecto al grado de madurez de la
empresa en cuanto a sus servicios de tecnologías de informactón, se emite diagnóstico si esta
preparada para adoptar los servicios de cómputo en la nube servicio y finalmente se emite una
serie de recomendaciones de acuerdo al grado de madurez percibido .
75
CAPITULO,~
CASO DE ESTUDIO
76
4. CASO DE ESTUDIO
Para ilustrar la forma en que podría auxiliamos la '·Guía de orientación para adopción del
modelo de nube" y su paso inicial Evaluación del grado de madurez de los componentes de los
servicios de tecnologías de información, tomaremos el siguiente caso de estudio ficticio.
4.1 SITUACIÓN INICIAL
A continuación se describe un ambiente inicial que nos sirva como marco de referencia.
La empresa Aceros ABC que se dedica a la fabricación. venia y distribución de acero cuenta con
una oficina matriz con sede en la Ciudad de México y cuatro sucursales al interior del país en
las Ciudades de Monterrey. Veracruz. Villahermosa y Guadalajara. cuenta con alrededor de
1000 empleados de los cuales el 30% residen en la matriz y el 70% restante se distribuyen de
forma más o menos proporcional en las sucursales de la empresa.
Con excepción del servicio de correo electrónico y del portal de interne! que se gestiona en
qficinas centrales, cada sucursal de la empresa cuenta con soluciones legacy para
Administración de recursos humanos. recursos materiales. inventarios y facturación. por otro
lado también utilizan diversas soluciones comerciales para Sistemas de Administración de
Proyectos. Gestión de Contenido. Bases de datos. Portales de CJ!aboración.
77
Los servicios de tecnologías de información en la empresa son administrados por cinco áreas de
TI d(ferentes (la oficina matriz y las sucursales tienen su propio equipo de TI), todas estas áreas
reportan a un Gerente de Tecnologías de Información y en promedio existe un equipo de 6
personas de TI en cada área. Las principales actividades que desarrolla el personal son:
a) administración de servidores. b) administración de equipos de comunicaciones, c)
administración de soluciones de almacenamiento y d) respaldo y desarrollo de aplicaciones.
En términos generales la experiencia del personal de TI es aceptable, sin embargo existe muy
poca colaboración entre ellos, debido a que un gran porcentaje de servicios de TI que se of,-ecen
en cada sucursal tienen una arquitectura y tecnología d(ferente.
La empresa cuenta con 5 centros de cómputo, el principal ubicado en la oficina matriz se
encuentra un 80% de su capacidad y en los restantes alcanza entre un 30% y 50%. En lo que
respecta a la in,f,-aestructura de tecnologías de información de la empresa para el soporte de
los servicios tiene las siguientes características: 65 servidores con tres sistemas operativos
diferentes. cinco soluciones de almacenamiento y re5paldo con tres tecnologías d(ferentes. y en
lo que respecta a los equipos de comunicaciones manejan soluciones de dos fabricantes
diferentes.
La il?f,-aestructura existente en el centro de cómputo es en su mayoría fisica ya que la empresa
no esta muy familiarizada con el tema de virtualización. Cada área gestiona sus contratos de
mantenimiento basados en la in,f,-aestructura existente.
La empresa necesita cumplir con regulaciones tanto financieras como gubernamentales. y
aunque tiene ciertos controles, políticas y procedimientos. no se llevan a cabo auditorias para
ver(ficar su cumplimiento.
Las áreas de tecnologías de in,formación no cuentan con acuerdos de servicio con sus clientes de
la empresa. y los procesos de gestión de incidentes y de problemas son dispares tanto en la
o_ficina matriz como en las sucursales. Existen políticas de seguridad en la organización y son
d(fundidas al personal de la empresa, cada área de TI tiene implementada soluciones d(ferentes
de: prevención de malware. detectores de intrusos yfirewalls.
78
4.2 REQUERIMIENTOS DEL NEGOCIO
Continuando con nuestro ejemplo, una vez establecida la situación inicial, se mencionan los
siguientes requerimientos por parte del negocio.
El cuerpo directivo de la Organización se reunió con el Gerente de TI para comunicarle los
problemas que existen en cuanto a los servicios de tecnologías de in.formación que se
proporcionan en la empresa. principalmente mencionan:
• Que existe un costo alto para mantener cinco centros de cómputo en la empresa y en
fechas recientes han existido problemas por disponibilidad de la in.faestructura que
impactado negativamente en el negocio. Por lo que lo instan a que analice la posibilidad
de utilizar un esquema que garantice la disponibilidad plena los servicios de tecnologías
de información
• Que existen sistemas y soluciones d(ferentes para atender un mismo requerimiento de
negocio lo cual produce problemas para integrar reportes globales que la empresa
requiere para tomar decisiones deforma oportuna
• Que los tiempos para la implementación de una nueva aplicación que atienda un nuevo
requerimiento de negocio son prolongados debido a las gestiones para la adquisición de
hardware y sofnrare.
• Que todo lo anterior implica un gasto adicional a la empresa, por lo que le solicitan
reorganizar la entrega de los servicios de TI con un costo menor al que se eroga
actualmente y con beneficios para el negocio. Además le piden considerar el
cumplimiento a las regulaciones a los que la empresa está comprometida y la seguridad
de la información
El cuerpo directivo ha leido y escuchado de que los servicios en nube pueden ser la solución
para las necesidades del negocio, de tal.forma que solicitan al Gerente de T1 les presente un plan
para adoptar los servicios de nube privada en la organizació?Z o bien establecer un contrato de
servicios con un tercero.
Ante esta situación, en nuestro ejemplo consideramos que el Gerente de TI conoce de fonna
general acerca del cómputo en la nube y sus beneficios, sin embargo, no está seguro que necesita
79
considerar para implementar servicios de nube en la organización y decidir si la nube es una
opción para la empresa.
4.3 EVALUANDO EL NIVEL DE MADUREZ DE LOS SERVICIOS DE TI
DE LA EMPRESA.
Continuando con nuestro ejemplo para poder orientar al Gerente de TI podemos utilizar la
herramienta "Guía de orientación para la adopción de un modelo de nube". El instrumento nos
brinda una aproximación inicial para identificar el grado de madurez de los elementos que
participan en la composición de un servicio de tecnología de información. Mientras mayor grado
de madurez se tenga. mejor preparado se estará para adoptar una solución de este tipo. La
secuencia que lleva la herramienta se muestra en nuestros dos casos de ejemplo: Caso A
(Proveedor de servicios de nube) y Caso B (Consumidor de servicios de nube).
4.3.1 EJEMPLO DE EVALUACIÓN CASO A (PROVEEDOR)
Al momento de utilizar la herramienta por parte del Gerente en nuestro ejemplo ficticio se
seguirán los siguientes pasos:
1. La pantalla inicial nos solicitará que se identifique el interés del cliente, si desea
implementar una nube privada (proveedor de nube privada) o consumir servicios de nube
pública (cliente de nube pública). De acuerdo a la selección se calculará el porcentaje de
representatividad, ya sea el PRP (Porcentaje de represcntatividad del proveedor) ó PRC
(Porcentaje de representatividad del cliente). Para este caso vamos a asumir que el cliente
desea implementar un servicio de nube privada. El cálculo del porcentaje está diseñado
para que varíe de acuerdo al análisis de pares que realice el usuario que utilice la
herramienta, de fonna predefinida se obtiene el que se muestra en la Figura 4-1 Porcentaje
de represenlalividad del proveedor
Figura 4-1 Porcentaje de representatividad del proveedor
lc'""º~º""'·~---+~~~~---jA~~n-~ rz~,~~·~~~ -- ·-· __ -.2 =·===~- _1::::_..,.,., •. ,. ~--!'.=··-~~· '~ ¡ ;,.,-~'"""""-------~ ¡:;,:::·· ¡,.~·-·-· .-. ,,,. .......... ~. r,.;;:;;;;:;:;;-----~_Jt;I :='·=·~=-=·-=· ====-i INiYM~Strvieio (Eu·-~,mp,;,,,....... ... !Ei~·--·-· ,.., !rpr,.,._ ... ~ . .,,... lfEP•-r:'ll)(Mi,,ot'
'
¡ ......... , ... !r,, .. _,,..~ "'..,!
1 00 300
G.33 ,.oo 033
jOOl----~~~~~l~OOjf--~~~~~~5400 ;'.;33! 0.33
l 00 LOO
0.33 033
5eiuriclacl 3.00 100
lftl!l!II 1Cfflltod,Dlto5
!Apfic.ac.iones.'Sismnzi 1
C:2J !'.:'::!
C.2J
(;53
'°" ' ,s e:~ o !e
029¡ u; 40.:7¡
col {-,Ji: U91
C2'?! ¡ " 20.3.4j
: 10! ~- r.: 11.76!
e~¡ (·18 20.34i
·-F•i.·I
80
2. La siguiente pantalla nos lleva a la aplicación del cuestionario que se aplicará al usuano
(en este caso el Gerente de TI). El cuestionario com¡:rende la evaluación de los cinco
elementos que componen un servicio de tecnologías de información. El usuario deberá
completar cada sección para pasar a la siguiente. La Figura 4-2 Cuestionario para
determinar nivel de madurez proveedor muestra un ejemplo de pregunta del cuestionario.
Figura 4-2 Cuestionario para determinar nivel de madurez proveedor
j Nivel de madurez para trasladar Servicios de TI a la nube
Pr,::,veedor
¡A 1. Centro de datos 1
• La organización mantiene un estándar un cuanto a tecnología de virtuali:!ación de servidores. el personal del centro de datos está completamente familiarizado con esta \ecnologia.
Respuesta
• Sin éotie~ura
Cobertura Marginal
Cobertura Moderada
Cobertura amplia
Cobertura iota!
81
3. El encuestado contestará cada sección correspondiente a cada componente identificado
para un serv1c10 de tecnología de infom1ación. (Centro de Datos, Aplicaciones,
Cumplimiento de regulaciones, Acuerdos de Servicio, Seguridad). De acuerdo a la
situación planteada en este caso hipotético, en la Tabla 4-1 Ejemplos de respuestas al
cuestionario de evaluación de madurez, se muestran las posibles respuestas que pudieron
haber sido seleccionadas.
82
Tabla 4-1 Ejemplo de respuestas al cuestionario de evaluación de madurez
No. Pregunta Tu respuesta La organización mantiene un estándar un cuanto a tecnolog1a de virtualización de servidores, el personal del centro de datos está
Al.l completamente familiarizado con esta tecnología. Cobertura Marginal Los servidores en la organización tienen alta disponibilidad y están
Al.2 configurados para operar en base a servicios Cobertura Marginal El centro de datos cuenta con contratos de servicio basados en el Cobertura Moderada servicio de procesamiento y con sistemas de monitoreo parn
Al.3 garantizar el nivel de servicio de los equipos Al.4 La organización mantiene un estándar un cuanto a tecnología de Cobertura Marginal
almacenamiento, el personal del centro de datos está completamente familiarizado con esta tecnología (SAN).
·-Al.5 El centro de datos cuenta con contratos de servicio basado~ en el Cobertura Moderada
servicio de almacenamiento y con sistemas de monitoreo para garantizar el nivel de servicio de los equipos
A 1.6 Las redes de comunicaciones están diseñadas para facilitar ia Cobertura Amplia colaboración y/o interoperabilidad con proveedores, socios de negocio
Al.7 El centro de datos cuento con contratos de servicio basados en el Cobertura Moderada servicio de comunicaciones y cuento sistemas de monitoreo para garantizar el nivel de servicio de los equipos
Al.8 Los sistemas de energía y aire acondicionado que se encuentran en Cobertura Moderada el centro de datos son suficientes para la demanda de energía eléctrica y capacidad de enfriamiento requerida.
A2.l Todas las aplicaciones de software y Sistemas están propiamente Cobertura Marginal especificadas, diseñadas , documentadas y en su implementación separan las capas de presentación y bases de datos
A2.2 La organización mantiene actualizados los planes de licenciamiento Cobertura Moderada y mantenimiento de los servidores de aplicaciones comerciales, Legacy y de bases de datos.
A2.3 La organización cuenta con una plataforma estándar de bases de Cobertura Marginal datos para el soporte de aplicaciones comerciales y Legacy.
A2.4 La organización cuenta con personal experimentado para le. Cobertura Moderada administración y soporte de bases de datos.
A2.5 La organización mantiene soluciones estándares para Cobertura Moderada requerimientos específicos del negocio (Portales Intranet e Internet, Sistemas de Gestión de Contenido, Sistemas de Inteligencia de Negocios, ERP, etc.)
A2.6 La organización cuenta con personal experimentado para la Cobertura Moderada administración y soporte de sistemas comerciales.
A2.7 La organización utiliza plataformas estándares para el desarrollo de Cobertura Marginal aplicaciones Legacy.
A2.8 La organización cuenta con personal experimentado para la Cobertura Moderada administración y soporte de sistemas Legacy
A3.1 La organización utiliza algunas de las siguientes metodologías y Cobertura Marginal mejores prácticas ITIL, COBIT, ISO 17779/27001, PMBOOK, CMM/CMMI
A3.2 La organización cuenta con lineamientos, políticas o reglamentos Cobertura Amplia que apoyan y fomenta la aplicación de soluciones de TIC y son difundidos al interior.
83
Tabla 4-1 Ejemplo de respuestas cuestionario evaluación de madurez
No. Pregunta Tu respuesta
A3.3 La organización ha realizado estudios de evaluación, análii:is de Cobertura Moderada inversión y análisis de impacto al negocio y se tiene un claro entendimiento de los procesos de negocio y los procesos de TI que los soportan
A3.4 La organización tiene la obligación del cumplimiento de Cobertura Margin~ regulaciones nacionales o internacionales, por ejemplo SOX, PCI-DSS, MAAGTICC entre otras.
A3.5 La organización ha definido y mantenido niveles de seguridad Cobertura Marginal adicionales al acceso general para los sistemas que son materia del proceso de Reportes Financieros.
A3.6 Los sistemas principales del negocio tienen la capacidad para el Cobertura Marginal seguimiento de actividades vía rastros de auditoría
A3.7 La Gestión de Cambios y el control y distribución de software, Cobertura Marginal están integrados a un sistema de gestión de configuracionei:
A3.8 La información en la organización se encuentra clasificada y cuenta Cobertura Marginal con mecanismos para garantizar su confidencialidad e integridad.
A4.1 La organización cuenta con personal con capacidad técnicas Sin Cobertura ' adecuadas para evaluar proveedores, realizar análisis costo·
beneficio, determinar la viabilidad de los servicios de TIC y verificar el cumplimiento de los niveles de servicio contratados.
A4.2 En la operación de los servicios, los métodos y procedimientos Cobertura Marginal están enfocados en la entrega y soporte del servicio (SLAs y OLAs)
A4.3 En la operación de los servicios, se tienen implementado p~ocesos Sin Cobertura para la Gestión de la Demanda de los recursos de Infraestructura
A4.4 Los SLAs en la organización fueron creados a través de un esfuerzo Cobertura Marginal colaborativo, entre el grupo administrativo de TI y el grupo de soporte
A4.5 La organización tiene implementado procesos de gestión de Cobertura Marginal incidentes que involucre los tres aspectos principales (impacto, urgencia prioridad)
A4.6 La organización tiene implementados procesos de gestión de Cobertura Moderada problemas que identifiquen las causas de incidentes en los servicios y ejecute trabajo correctivo para prevenir recurrencias.
A4.7 Se cuenta con una Gestión del ambiente de virtualización, orientada Cobertura Marginal a la Gestión de los Servicios del Negocio (SLAs, Contabilidad, Catalogo de Servicio. CMDB) y la instrumentación de servicios (procesamiento, redes y almacenamiento)
A4.8 Se establecen contratos de niveles de servicio que debe cunplir el Cobertura Amplia proveedor en el contrato de tercerización (p.ej. reportes de tiempo de atención al servicio, disponibilidad, etc.)
A5.I La Organización cuenta con un Gestor de Identidades para permitir Cobertura Moderada la conexión con los proveedores o socios de negocio.
A5.2 En la operación, en la organización se tienen implementados Cobertura Moderada procesos de continuidad del negocio y recuperación de de:;astres.
A5.3 En la Organización existe una política de seguridad informática y Cobertura Moderada privacidad de la información en la Organización.
A5.4 Se cuentan con procedimientos y protocolos de seguridad en la Cobertura Moderada organización los cuales incluyen claves de acceso y políticas de seguridad física.
84
Tabla 4-1 Ejemplo de respuestas cuestionario evaluación de madurez
No. Pregunta Tu respuesta
A5.5 Se realizan revisiones formales que vigilen el cumplimiento de las políticas de se_guridad de la organización Cobertura Moderada
A.5 .6 Se tiene implementado un Sistema de Gestión de Seguridad de los sistemas de información. Cobertura Moderada
A5.7 La organización cuenta con sistemas de seguridad como firewall , detectores de intrusos y software de prevención de malware en servidores y equipo de usuario final. Cobertura Amplia
4. Una vez completada la encuesta se obtendrá un diagnóstico del nivel de madurez en que
se encuentra el cliente, este se obtiene de forma global y por cada componente. Para este
caso en particular se obtiene el nivel de madurez que refleja la Figura 4-3 Grado de
madurez del cliente hacia nube privada
Figura 4-3 Grado de madurez del cliente hacia nube privada
=:, Obtención del grado de madurez de una empresa para transferi r los servicios de TI hacía la nube
40 +---......-------------------------------'
30 -+------<
2S +----i
Nivel de madurez: - ._:,¿ Ver recomendaciones • No cuentas con el nivel de madurez adecuado
Proveedor Se tiene cierto nivel de ma :lurez, pero es necesano incrementarlo
• Dispones del nivel de madurez adecuado
Lo que se observa en la figura es que el nivel de madurez se encuentra en un 41.4%, por lo que
se considera de acuerdo a nuestra escala de clasificación que no se cuenta con un nivel adecuado
para adoptar una solución de nube, para lo cual se emiten recomendaciones a observar para
incrementar este nivel.
85
Las brechas en orden de importancia detectadas serían:
• Incrementar madurez del centro de datos
• Incrementar madurez del cumplimiento de regulaciones
• Incrementar madurez del cumplimiento de niveles de servicio
En la Figura 4-4 Recomendaciones para implementación de nube privada puede observarse un
fragmento de estas recomendaciones.
Figura 4-4 Recomendaciones para implementació:1 de nube privada
Recomendaciones Proveedor
lmp-i~n1e-ntar Hláf1dares en cuanto a ':.1!1.uailzac16~1 Capac:rta' a! o~rsoncil t:r: ~ecnologías de .. ,rtuahza::fón
Implementar disponibihdad de los seMdo1es de procesamiento
Sol1otar t{'JI:' líJs cor.lralos de se~cio e:,te11 ba~a,fos ~n procesamiento lmpi€'n1ert1ar sis1en1as de rn('lnilorec ;.:ara ganrn ;.;::a1 nr.:~l~s l.l? S':'f\;cio llf:' !os ~r.¡u1p,os
lmp4,a,:nentar estándares en cuanto .a tecnologias d~ Almacenam1ento. Capaci1ar al personal en tecnologías almacenam1~nto
Sol,.::1la! qu,:, los ccnt1atos de ser-,1c10 ezte-n basados en -:!1 ~~rl1c1ei de alrriaccnamtcnto Implementar s1st1:mas Ce moma: Jrto para g.:iran:1za1 ni,;e,1,e$ de Sft\i::o
Manle~er e incremenla1 íacilidades de colaboración en las r~des de comunicacíonE"s
Venf1ca: que los ccr.L:;tos de ser~1c10 de corrn.m1caciorlé'S este:, basados ¿,n el servicio. Veríficar st> cuent':' con srs1~ma; de mo!1:toreo para garantizar nr..:eles de ser,.,.¡c10 de los eqi..rpos
Vierific3r que adiecuaciones son requeridas en e! centro de datos para cutxir la demanda de energía eléctrica y c.apac,daj de enfriamiento
lrn~!c-mcntar c-r ;a OrgJniza~:orc mc1orc-s prJi:lic¿¡s para c-1 De-:.arrolfc ,fo Aphcac1ones e \m¡:>le-mcntac1cn de Srs:ena.s
Contrata, planes de licenciamiento y mantenimiento pat<J el soft'l\'ore que soporta las aplicaciones comerciales. legacy y de bases de dalos
1,1an1ene~ e ,n.::rernem;;r el estáidar ~!l cuanto a! :;oftwari? de bases de datos que soporta las aphcac1cnes co:rerciales ·, L!:!gacy
Mantener e incrementar el 11rJ1!'l tecmco del persona! que soporta la administración de bases de datos
t.-~ar.lel"Jer so\uc1~nes estándares para r~q!J':'.rirr.í~mcs específicos i:lel negocie. fki duphcar soluóones
Mantener e i!"ltrementar el nivel 1écmco del persona! que soporta las aphcaciones comerciales
Mar.1e-ne-1 y ccnsohdar plataícr:i~as es.~ár,dar'!s para ~l de-$arrollo de a~1caciono?S Legacy
Mantener e incrementar el nivel técnico en las. herramientas de desarrollo del personal que soporta las aplicaciol"les legHy
4.3.2 EJEMPLO DE EVALUACIÓN CASO B (CLIENTE)
1. Ahora realizamos el ejercicio con el mismo cliente, solo que en este caso vamos a asumir
que se desea convertirse en un consumidor de servicios provistos por una nube pública,
de forma predefinida observamos en la Figura 4-5 Porcentaje de representatividad del
cliente los valores ante esta nueva situación, y como mencionamos anteriormente pueden
ajustarse de acuerdo a las necesidades del cliente.
86
Figura 4-5 Porcentaje de representatividad del cliente
Centro dt Datos lC-0 0.33 G1i o~ 0.17
A~t0nes'Sistcffl3s 3.:0 1 00 O :S.: ~~~~-+--~~~~~---+~~~~~~-+--~~~~~
1.0C 033 Cumpl d~ R~ubdones ó.O.J J V'J 1.0: 300 100
103 C33
300 1.00
:centro de Oatos c.:. ,i;,l G_Q€~
u,I mi 12 661 ;;;;! C25 34.83: Cumpl de Reg11bcione:s
c,2
c12I ci;¡ ,i s6I 5<9urid>d Uo ,:;si e :i;¡ 34g3¡ . ·-''·'
Dado que ahora se tiene la perspectiva de un cliente que desea adquirir los servicios de
nube pública, el porcentaje de ponderación de cada elemento que compone el servicio
varía presentando una nueva composición. De forma inicial puede observarse que el
porcentaje del centro de datos disminuyó significativamente y este porcentaje se
redistribuyó en los demás componentes, la explicación simple es que desde esta
perspectiva "consumidor de servicios de nube pública", la responsabilidad del centro de
datos queda totalmente por parte del proveedor.
2. Este paso es igual a la información presentada en la sección anterior 4.3.1 Ejemplo de
evaluación caso A (proveedor), ya que se esta considerando que es el mismo cliente que
se esta evaluando pero ahora con una nueva perspectiva.
3. Este paso es igual a la información presentada en la sección anterior 4.3.1 Ejemplo de
evaluación caso A (proveedor).
4. Concluida la encuesta ahora en el punto 4 se obtiene un nuevo diagnóstico del nivel de
madurez en que se encuentra el cliente, la Figura. 4-6 Grado de madurez del cliente hacia
nube pública lo muestra.
•I
87
Figura 4-6 Grado de madurez del cliente hacia nube pública
35 +-----------------~~-----------------
~+---------------_,
1.S +----------------,
20 +--------------,r
1S +-------------.'
Nivel de madurez: - ~ Ver recomendaciones • No cuentas con el nivel de madurez adecuado
Cliente Se tiene cierto nivel de madurez., pero es necesarío incrementarlo
• Dispones del nivel de madu·ez adecuado
Al observar la gráfica, en el resultado obtenido con esta nueva perspectiva se identifica que las
brechas en orden de importancia ahora serían:
• Incrementar madurez del cumplimiento de regulaciones
• Incrementar madurez de las aplicaciones.
• Incrementar madurez del cumplimiento de niveles de servicio
Finalmente en la Figura 4-7 Recomendaciones para implemenración en nube pública se observa
un fragmento de las recomendaciones ahora con esta perspectiva, estas recomendaciones
principalmente van dirigidas para que el potencial consumidor de servicios de nube pública,
solicite de acuerdo a sus necesidades que estas brechas sean cumplidas por el potencial proveedor
de servicios de nube pública.
Figura 4-7 Recomendaciones para implementación en nube pública
T em.a 1~2 hplic.:.icioncs
íO:Homc11d¿,ició11
E! pro·,eedor de servicios de nubE: debe tener 1rnp!ememadas mejores orac11cas para el Desarrollo de Aphc ac:ones e lr1plementat:ón de Sistemas
Se cuenta de forma moderada con planes de ltcenciamtemo y manlen,miento del software que, soporta las. aphcacion1~s comerciales. Legacy y de bases de datos. este servicio debe ser provisto por el prowedor de ser.icios de nube aunque algunas aplicaciones legacy pudieran no adai:- arse a un am!:>ienle de nube
E! pro·.-ee,do, c!e seMc:1os de m. be debe cf'?.1tar estándares en bases de dalos dentro de su catalogo de ser,,,cio. de tal ío1ma que la organización pueda seleccronar aauellas que den que soporte las aplicaciones que ;:ilienCen bs requerimientos ~specificos del nl!lgOC!O
Se cuenta de forma moderada con personal técnico que soporta la administración de bases de datos. Este servicio puede ser provisto por el proveedor de servicios de nube med1anle un P•aS
Se cuenta de forma modi&rada con solucic,n~s estíindar~s para rcquenm1entos espe-cífir.:os del negoc,o Buscar en ia oferta de los prO'ieedores SaaS de nube soluciones que pud1eran adaptarse a lo ql e se llene implementado e,~ la orgamzac:ión
Se cuenta de forma modll!fada cor, parsonaJ lécnico que soporta las aplicstiones comercíales. Este s.eMtio pudiera set ofertado ~ante soluc,ones SaaS por un pro-1eedor de servicios de nube y en caso de no existir pudieran considerarse soluciones laaS para este servicio.
Buscar proveedores de serw'lcios de 11ubE- PaaS que oferten plataformas estándares para el d, .. ¡arrollo de- a;>llcacione~ Lc;acy A!guflos eJ~mpios de proveedores serian Go~;le AppEngme. ViJ1ndows Azure Ora.ele etc
Se cuenta de forma moderada con personal 1éi:nico con expanencia en las herramrenlas de desa1rollo del personal que soporta las aplicaciones legacy El prir-t<!edor de servicios de nube solo oferta la plalaforma de desanollo por lo que el personal de la organización deberá cominuar capa<:itándose en la plataforma de desarrollo
El p,ov~edor de sl:!r.,.¡cios de n1b1;1 d~be garanhzar c¡ue tiene ,mplementadas metodo!ogias y me1ores pricl!cas c!Jmo ITIL p<incipalmente. COB!T ISO 17779/2?001. ?Ml300K CM!J'CMMI
Se cuenta de forma moderada con hneamten1os. polaicas o reglamentos que apoyan la aphcación de soluciones de 11C. El prO".-eedor de ser.ic:1os de nube que se esco.t,a debe adaplarse a lo anlerior.
Lr.:; seMc,os o~enados por lr'I pro,ietdor de seMcms dr. nube deben cumpfü ccn los corilrcle~ en la orgamzac,cin para f:~ CIJ:"('!plim,er:to de regulaciones p ll?J SOX PCIDSS MAAGTIC fü
Los servicios ofertados po, el proveedor de servidos de nube. deben considerar niwles de seguridad al at:ceso general para los sistemas que son materia del proceso de Reportes Financieros.
E pr?":eedor di? ser.1c1os de nube debe provee, la capacidad para e! sl)gu1miento d-e actr.1dades via rastros de audrtora en los. sistemas. princip.?les del negocio
El prO'l'Eedor de servicios de nube debe prcrveer de un sistema de gestión de confi9urac1ones:
E.i 1)(0'.;eedor de ser..1c1os de nube, d~be aaran11::ar oue llene irnolementados mecanismos de seoundad c:ue cara1mn1n la con1idenc1ahdad e mteondad de la intorrm1c10n
88
89
4.4 RECAPITULACIÓN
En este capítulo se mostró la utilidad que puede tener al herramienta para valorar el grado de
madurez de una empresa y emitir el diagnóstico de si esta preparada para transitar a un modelo
de nube. En el caso ficticio, el encuestado que utilizó la herramienta pudo obtener dos
valoraciones de acuerdo al tipo de interés que tienen en abordar el modelo de nube, ya sea un
proveedor de servicios de nube o un cliente de servicios de nube. Se dio la valoración para ambos
casos y se emitieron las recomendaciones correspondientes.
90
CONCLUSIONES
En la industria de las tecnologías de información los provedores de servicios están dando un
fuerte impulso al modelode cómputo en la nube, ofreciendo varios modelos de servicio dirigidos
principalmente satisfacer las necesidades de procesamiento, almacenamiento, comunicaciones,
aplicaciones y desarrollo de aplicaciones que tienen las empresas hoy en día.
La mercadotecnia que gira alrededor del cómputo en la nube suele promoverla como la principal
solución para los requerimientos de servicios de tecnologías ce información de las empresas, lo
cual no es cierto en todos los casos, de tal forma que es necesario analizar con detalles en que
circunstancias puede ser atractiva y en cuáles no satisfacería los requerimientos de la
organización.
La herramienta para adopción del modelo de nube brinda un marco de referencia para que el
candidato a proveedor de servicios de una nube privada, o un eventual consumidor de servicios
de esa tecnología, identifique los elementos que debe considerar para:
• Saber si el modelo de cómputo en la nube cubre con sus requerimientos y no tenga que
incurrir en una inversión estéril.
• Obtener el máximo beneficio de los servicios del cómputo en la nube.
• Identificar si su empresa está preparada para transferir sus aplicaciones al entorno de la
nube. En el caso negativo, para conocer en que aspectos específicos debe trabajar para
organizar sus servicios antes de emigrarlos a la nube.
• Elegir adecuadamente el proveedor de servicios (clien1e)
• Saber promover adecuadamente sus servicios (proveec.or)
91
REFERENCIAS
[1] PETER MELL.; TIMOTHY GRANCE. The NIST Definition of Cloud Computing. NIST Special Publication 800-145. September 2011. [Referencia Febrero 2012]. Disponible en formato pdf en intemet en http://csrc.nisUwv/publications/nistpubs/800-145/SP800-145.pdf
[2] GERARD BRISCOE.; ALEXANDROS MARINOS. Digital ecosystems in the clouds: towards community cloud computing. 2009. [Referencia Febrero 2012]. Disponible en formato pdf en intemet en http://eprints.lse.ac.uk/26664/l/Digital ecosystems (final) (LSERO).pdf
[3] DAVID LINTHICUM . Defining the Cloud Computing Framework. 2009. [ref Febrero 2012]. Publicado en intemet en http://cloudcomputing.sys-con.com/node/811519
[4] Instituto Federal de Acceso a la Información. Ley Federal de Protección de Datos Personales. Julio 2010. [Referencia Marzo 2012]. Publicado en intemet en la página del IFAI http://wv..w.ifai.org.mx
[ 5] KPMG "Modeling the economic impact of cloud computer·'. Abril de 2012 [Referencia Noviembre 2012] .Publicado en intemet en http://wwv.·.kpmg.com/ A U/en/IssuesAndinsi ghts/ ArticlesPublications/Documents/mode 11 ingeconom ic-impact-cloud-computing:.pdf
[ 6] Cloud Security Alliance "Security Guidance for critica] areas of focus in cloud computing V.30".2011. [Referencia Noviembre 2012] . Publicado en internet en http ://c I oudsecuritvalliance .org
[7] Catapult Systems "Portfolio Prioritization Under the Hood: Pairwise Analysis Demystified''. Publicado en intemet en http:i /blogs.catapultsvstems.com/epm/archi ve/201 0/06/01 /port fo) io-priori tization-under-thehood-pairwise-anal vsi s-demystified. aspx
92
BIBLIOGRAFÍA
Venkata Josyula; Malcolm Orr; Greg Page. "Cloud Computing: Automating the Virtualized Data Center". Editorial "Cisco Press" Fecha de publicación: 29 de noviembre de 2011. Referencia Junio 2012
David S. Linthicumn. "Cloud Computing and SOA Convergence in Your Enterprise: A Step-byStep Guide" Editorial Addison-Wesley. Fecha de publicación 29 de septiembre de 2009. Referencia Junio de 2012.
Judith Hurwitz; Robin Bloor; Marcia Kaufman: Fem Halper "Cloud Computing for Dummies" Fecha de publicación: 16 de noviembre de 2009. Referencia Junio 2012
Jo Whitehead "What You Need to Know about Strategy". Fecha de Publicación: 7 de Junio de 2011 ". Referencia Mayo de 2012.
Jothy Rosenberg; Arthur Mateas "The Cloud at Your Service: The when, how, and why of enterprise cloud computing" Editorial: Manning Publications". Fecha de publicación: 28 de Octubre de 2010. Referencia Junio de 2012.
Christian B. Lahti; Roderick Peterson "Sarbanes-Oxley IT Compliance Using Open Source Tools, Second Edition" Editorial: Syngress. Fecha de public1ción: 16 de noviembre de 2007. Referencia Junio de 2012
ANEXO A. PLANEACION DE LA CAPACIDAD DE LOS
SERVICIOS DEL CENTRO DE DA T01S
93
El centro de datos aloja a los eqmpos que proporcionan los serv1c1os de tecnologías de
información (procesamiento, almacenamiento y comunicaciones) y los equipos que proporcionan
los servicios auxiliares ( equipos de energía, aire acondicionado), éstos últimos son qmenes
proporcionan las condiciones óptimas para el funcionamiento de los equipos de TI.
De acuerdo a lo anterior para medir la madurez de un centro de datos debemos considerar el nivel
en que se encuentran ambos servicios.
Servicios de Tecnologías de Información
• Equipos Procesamiento
• Equipos de Almacenamiento
• Equipos de Comunicaciones
Servicios Auxiliares
• Equipos de energía
• Equipos de aire acondicionado
94
A.l SERVICIOS DE TECNOLOGÍAS DE INFORJVIACIÓN
Identificación de la capacidad de los equipos de TI
Para evaluar la capacidad de procesamiento, almacenamiento y comunicaciones que tiene lugar
en el centro de datos, utilizaremos el proceso "Identificación de capacidad en los equipos de rr·.
Este proceso requiere como entradas el conocimiento del per:;;onal acerca de inventarios de la
organización (procesamiento, almacenamiento y comunicaciones) y de contratos de servicios
relacionados.
El proceso para poder identificar la capacidad utilizará las sigu:entes herramientas de trabajo que
se identifican a continuación:
• Hoja de Evaluación de Procesamiento (TA-1)
• Hoja de Evaluación de Almacenamiento (TA-2)
• Hoja de Evaluación de Comunicaciones (T A-3a y TA-3 b)
• Ejecución de herramienta de planeación de la capacidad
La Hoja de Evaluación de Procesamiento (T A-1) nos perm:.te identificar de forma básica la
capacidad de procesamiento que se tiene identificada en la organización.
Tabla T A-1 Hoja de Evaluación de Procesamiento
Nombre Tipo de Arquitectura Procesadores/ Sistema Segmento Disco Memoria Centro Ubicación Año servidor procesador Núcleos Operativo Red de red Duro de
Datos
En donde:
• Nombre: Nombre del Servidor
• Tipo de servidor: Si el servidor es fisico o virtual
• Arquitectura del servidor: Si es Intel x86 32 bits, Intel x86 64 bits, AMO x86 32 bits.
AMD x86 64 bits, Intel Itanium u otro.
• No. de Procesadores: Número de procesadores/núcleos por ejemplo (8/4, 4/2)
95
• Sistema operativo: El sistema instalado en el servidor con el formato Sistema Operativo
versión-actualización, por ejemplo Windows-2003 Enterprise-SP2, Unix-Hpux 11.3-V3,
etc.
• Red: La velocidad de red que tiene el servidor (100 Mb, 1000 Mb, etc.)
• Disco Duro: Capacidad del disco duro local del servidor
• Memoria: Memoria fisica instalada en el servidor
• Centro de Datos: Nombre del centro de datos en donde se encuentra el equipo
• Ubicación: Ubicación física del servidor con formato ciudad-estado-país
• Año: Año de adquisición/arrendamiento
La Hoja de Evaluación de Almacenamiento (T A-2) nos permite identificar de forma básica la
capacidad de almacenamiento que se tiene identificada en la organización.
Tabla T A-2 Hoja de Evaluación de Almacenamiento
Tipo de Fabricante Modelo Año Capacidad Capacidad Capacidad Ubicación almacenamiento Total Utilizada Disponible
En donde:
• Tipo de Almacenamiento: Indicar si es SAN o NAS
• Fabricante: Nombre del fabricante de la solución de almacenamiento
• Modelo: Modelo de la solución
• Año: Año de adquisición/arrendamiento
• Capacidad total: Capacidad total de almacenamiento (Terabytes)
• Capacidad utilizada: Capacidad utilizada de almacenamiento (Terabytes)
• Capacidad disponible: Capacidad disponible de almacenamiento (Terabytes)
• Ubicación: Ubicación física de la solución de almacenamiento
La hoja de Evaluación de Comunicaciones (T A-3a) nos pem1ite identificar de fonna básica los
equipos de comunicaciones de red en el centro de datos, que se tienen identificados en la
organización.
96
Tabla TA-3a Hoja de Evaluación de Comunicaciones 1
I ID Equipo ' I Fabricante -·
Tipo Modelo Año Centro de Ubicación datos
1
En donde:
• ID Equipo: Identificador de equipo
• Tipo: Tipo equipo de comunicación (switch, router, balanceador, etc.)
• Fabricante: Nombre del fabricante del equipo
• Modelo: Modelo del equipo
• Año: Año de adquisición/arrendamiento
• Centro de datos: Nombre del centro de datos en donde ~e encuentra el equipo.
• Ubicación: Ubicación del centro de datos
La hoja de Evaluación de Comunicaciones (TA-3b) nos permite identificar las comunicaciones al
exterior que se tienen en los centros de datos (hacia otros centros de datos y hacia intemet)
Tabla TA-3b Hoja de Evaluación de Comunicaciones 2
Centro de Tipo de Ancho de banda Tipo de Enlace Ancho de banda hacia datos enlace WAN WAN Internet internet
En donde:
• Centro de datos: Nombre del centro de datos en donde se encuentra el equipo
• Tipo de enlace WAN: Tipo de enlace para enlazarse con otros centros de datos
• Ancho de banda W AN: Ancho de banda de los enlaces hacia otros centros de datos
• Tipo de enlace intemet: Tipo de enlace que utiliza para conectarse a intemet
• Ancho de banda intemet: Ancho de banda hacia intemet
Herramientas de planeación de la capacidad
En el mercado hay varias herramientas que nos permiten planear la capacidad aunque
nom1almente tienen un costo, algunos ejemplos son:
VMware Capacity Planner
97
http://wvvw.vmware.com/products/capacity-planner/index.html
Capacity Planning Software
http://www.uptimesoftware.com/capacityplanning.php
De igual forma existen herramientas para planeación de la capacidad que pueden ser provistas
por los vendedores de hardware de procesamiento, almacenamiento y comunicaciones. Una de
las herramientas comunes y que puede ser de utilidad es Microsoft MAP (Microsoft Assessment
and Planning Toolkit), no tiene costo y puede ser descargada en la dirección:
http://www.microsoft.com/download/en/details.aspx?&id=782(~
MAP es una herramienta de inventario, evaluación y reporte de servidores, nos provee de datos y
análisis que pueden auxiliarnos para la virtualización de. La desventaja de esta herramienta es
que esta limitada para infraestructura de Microsoft y va más enfocada para el procesamiento y
virtualización en su tecnología.
MAP tiene varios asistentes, los principales son:
Asistente de inventario y evaluación: Ayuda a obtener infonnación acerca de los servidores
en tu ambiente, para el caso de procesamiento utilizaríamos las siguientes plantillas:
a) Windows Server Role Discovery: Provee información detallada acerca de todas las
computadoras fisicas o máquinas virtuales corriend:> un sistema operativo Windows
Server. Estos sistemas son inventariados y analizados para determinar cuales roles de
servidor están instalados.
b) Windows Server 2008/2008 R2 Readiness: Estos asistentes nos proveen información
detallada acerca de que servidores en el ambiente pueden soportar Windows Server
2008/2008 R2, además de hacer sugerencias acerca de las actualizaciones necesarias para
que los equipos estén listos
Asistente de métricas de rendimiento: Ayuda a juntar in:'ormación de procesador, memoria,
almacenamiento y utilización de red de los servidores en tu ambiente. Es recomendable
utilizar este asistente sobre un largo periodo de tiempo con el fin de poder obtener
98
información más precisa acerca del comportamiento de lo!; equipos. Si se pretenden obtener
métricas de rendimiento de una gran número de equipos se sugiere hacerlo en bloques de no
más de 150 equipos.
Asistente de virtualización de servidores y consolidación. Dada una potencial configuración
de un equipo (host) nos ayuda a identificar equipos candidatos para virtualización
Salida de las herramientas de planeación de capacidad
La información que venía en las hojas de evaluación de la capacidad de procesamiento,
almacenamiento y comunicaciones nos sirvió como insumo para la ejecución de la herramienta
de planeación de la capacidad.
De acuerdo a la herramienta de planeación de la capacid2.d que poseamos, obtendremos la
evaluación del hardware y software de procesamiento, almacenamiento y comunicaciones. A
manera de ejemplo, una salida de evaluación del procesami,:::nto con la herramienta MAP nos
daría como principales datos los que se observan tabla T A-4.
Tabla TA-4 Resultados de Evaluación de Procesamiento
Nombre s.o. Requerimientos º/o º/o Roles Recomendaciones actualiza ble Hardware utilización utilización Servidor migración de
CPU memoria roles
En dónde:
• Nombre: Nombre del servidor
• S.O actualizable: Si el servidor soporta la actualización del sistema operativo
• Requerimientos de hardware: El hardware requerido para que pueda soportar la
actualización
• Roles Servidor: Los roles que se identificaron en el servidor (DNS, Web, etc.)
• Recomendaciones roles: Si es actualizable el sistema operativo se dan recomendaciones
para la migración de los roles identificados
Dependiendo de las capacidades de la empresa que este realizando la planeación de la capacidad,
pueden utilizarse herramientas que tienen un costo para así ·Jbtener un panorama más completo
99
de la capacidad existente de los servicios de tecnologías de infonnación en el centro de datos
(procesamiento, almacenamiento y comunicaciones)
A.2 SERVICIOS AUXILIARES
Evaluación de la capacidad de Servicios Auxiliares
Para evaluar la capacidad de energía y aire acondicionado que tiene lugar en el centro de datos,
debemos considerar:
El consumo de energía de los equipos de TI y servicios auxiliares.
Pronóstico de tendencias de consumo de energía
Demanda de energía que requerirían los nuevos equipos ele TI y servicios auxiliares que se
incorporarían al centro de datos
Calcular la efectividad en el uso de energía PUE (Power Usage Effectiveness) y Eficiencia en la
infraestructura del Centro de Datos DCiE (Data Center Infraestructure Efficiency), tiene valor
cuando el proceso es repetido y constante, podríamos considerar los siguientes pasos:
Desarrollar un plan de pruebas (mediciones semanales, mensuales)
Conocer los componentes de distribución de energía
Encontrar el total de carga de infraestructura
Encontrar el total de carga de IT
Planear objetivos de eficiencia (básica o detallada)
Existen herramientas que nos permite calcular el PUE y DCiE las cuales podemos utilizar para
medir la eficiencia energética que tenemos en el centro de datos. Las herramientas pueden ser
consultadas en:
http ://estimator. thegreengrid .org/puee
http://www.42u.com/measurement/pue-dcie.htrn#How-to-Calculate-PUE-and-DCiE:
Los datos que tendríamos que conocer serían:
Cantidad de Servidores
Cantidad de Mainframes
Total de carga de TI
Cantidad de equipos auxiliares (energía y aire acondicionado)
Cantidad de equipos de comunicaciones
Índice de PUE deseado
100
Los datos referentes al consumo de energía requieren mediciones por equipos especializados, los
conceptos vertidos aquí son de referencia para que el interesado evalúe este punto.
101
ANEXO B. CUMPLIMIENTOS REGULA TORIOS
REQUERIDOS POR LA ORGANIZA(:IÓN.
Las industrias hoy en día tienen que cumplir con varias leyes y regulaciones gubernamentales en
materia de tecnologías de información, en México para las dependencias y entidades del gobierno
federal existe el Manual de Administración de Aplicación General en Materia de Tecnologías de
Inforn1ación y Telecomunicaciones (MAAGTIC) de obser;ancia obligatoria para el sector
público y la Ley Federal de Protección de Datos Personales en Posesión de Particulares que
aplica para el sector público y privado. Por otro lado existen regulaciones internacionales que
provienen del gobierno de los Estados Unidos de América y Europa principalmente, algunas de
estas son; Sarbanes-Oxley (SOX), Ley de Portabilidad y Responsabilidad de Seguros (HIPPA
Health Insurance Portability and Accountability Act), Norn1as de Seguridad de Datos de la
Industria de Tarjetas de Pago (PCT DSS PAyment Card Industry Data Security Standard).
B.1 LEYES Y REGULACIONES
• MAAGTIC
La Secretaría de la Función Pública publicó el 13 de julio de 201 O el acuerdo en donde se
emite este manual, como parte de la estrategia de gobierno digital y que está orientado a
coordinar las políticas y programas en esa materia, a fin de homologar y contar con procesos
uniformes para el aprovechamiento y aplicación eficiente de las tecnologías de la información
y comunicaciones.
En el manual están identificados 30 procesos, que se integran en 11 grupos, estos grupos a su
vez están considerados en los 4 niveles de gestión, que conforman el "Marco rector de
procesos en materia de TIC', cada uno de los procesm. señala acciones básicas para una
gestión ágil y ordenada en las unidades de tecnologías de infonnación y comunicaciones.
• Ley Federal de Protección de Datos Personales en Posesión de Particulares.
102
En la página del Instituto Federal de Acceso a la Infornación IF Al [ 4] dice que "Esta
legislación establece obligaciones muy claras para todas la5 personas físicas o empresas que
cuenten con bases de datos personales para que adopten medidas que garanticen que la
información estará adecuadamente resguardada y que n,J se le dará un uso distinto al
autorizado por el dueño de los datos. Sin importar el tamaño de la empresa, cualquiera que
haya recabado elatos personales deberá respetar esta ley"
El IF Al es el organismo que garantiza el cumplimiento de esta ley y tiene la facultad de
aplicar sanciones en caso necesario. La Ley entró en vigor en 20 l O. Esta ley es de relevancia
para los trámites comerciales y gubernamentales que realizan las personas en su vida
cotidiana, asimismo ofrece una mayor seguridad y certeza jurídica a los documentos y
transacciones que requiera la firma autógrafa de una persona.
• Ley Sarbanes-Oxley (SOX)
Esta ley fue creada para proteger a los inversionistas aumentando la exactitud y confiablidad
de los reportes financieros ele compañías públicas, SOX lo hace cumplir mediante el
endurecimiento de las penalidades existentes y haciende a los funcionarios corporativos
responsables por los reportes. SOX impone castigos más duros y prisión para cualquier
individuo que conscientemente altere o destruya informac:ón con el intento de obstruir una
investigación, el departamento de TI se ve afectado en la L:,rma de políticas de conservación
de documentos y acceso a registros electrónicos como correo electrónico y datos de
contabilidad.
SOX requiere que las políticas de conservación de documentos se sigan estrictamente, por lo
que la organización tiene que implementar controles para que los documentos estén
completos, co1Tectos y accesibles rápidamente, SOX explícitamente también trata con
conservación de documentos de firmas de contabilidad de un tercero, las firmas que auditan
compañías públicas deben conservar todos los documentos auditados por un mínimo de siete
años.
Algunas otras regulaciones de referencia en México serían:
• Ley Federal de Telecomunicaciones
• Ley de Firma Electrónica Avanzada
103
• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental
• Ley Federal de Protección al Consumidor
• Código de Comercio
• Código Civil Federal
• Código Fiscal de la Federación
• Ley Federal del Derecho de Autor
• Ley de la Propiedad Industrial
El entendimiento de cuáles son las regulaciones que afectan a tu negocio es necesario para definir
que procedimientos y políticas son necesarios para cumplir con las mismas.
La Gestión del Cumplimiento es el proceso para asegurar que una organización opera de acuerdo
con las expectativas, las Organizaciones definen políticas para asegurar que los sistemas de TI
están siendo operados de acuerdo a todas las leyes aplicables, regulaciones y estándares éticos.
Los estándares ITIL y COBIT entre otros, plantean objetivos de control para la entrega y soporte
de los servicios de TI de la organización, estos controles una vez implementados nos auxilian en
el cumplimiento de las regulaciones (SOX, MAAGTIC, etc.). Cada organización de TI es libre de
seleccionar cualquier estándar, aunque el estándar más aceptado en obtener el cumplimiento de
Sarbanes-Oxley es COBIT.
COBIT consta de seis componentes principales:
1. Resumen Ejecutivo: Explica los principios y conceptos clave.
2. Framework: Fundamento para el enfoque y elementos de COBIT. Organiza el modelo de
proceso en cuatro dominios
a. Planear y Organizar
b. Adquirir e Implementar
c. Entrega y Soporte
d. Monitorear y Evaluar
3. Objetivo de Control: Fundamento para el enfoque y ,~lementos de COBIT. Organiza el
modelo de proceso en cuatro dominios (mencionados en el segundo elemento)
4. Prácticas de Control: Identifica mejores prácticas y describe requerimientos para controles
específicos.
104
5. Directrices de Gestión: Enlaza los objetivos del Negocio y TI, provee herramientas para
mejorar el rendimiento de TI.
6. Directrices de Auditoria: Provee guías de como evaluar controles, valorar el
cumplimiento y documentar el riesgo con estas características
a. Definir "controles internos" sobre reportes financieros
b. Probar y valorar internamente estos controles
c. Apoyo a las auditorías externas de los controles
d. Documenta esfuerzos de cumplimiento
e. Reportar algunas deficiencias significativas o debilidades
B.2 EJEMPLO DE GUÍAS PARA CUNIPLIMIENTO DE SOX
EMPLEANDO LOS ESTÁNDARES DE ITIL Y COBIT.
El enfoque de Sarbanes-Oxley Sección 404 es en el control ele los Informes Financieros, por lo
tanto a fin de desarrollar una estrategia global TI, se tendrá que observar en las diferentes
funciones de TI para determinar dos cosas.
1) ¿Cuales actividades de TI son relevantes para tu proceso de Reportes Financieros?
2) De estas funciones, ¿Cuáles son significativas en el proceso de Reportes Financieros?
Estas actividades son críticas ya que nos permiten definir las actividades de trabajo y el alcance
de la Auditoría SOX. A fin de contestar estas dos preguntas las principales tareas a realizar son:
a) Desarrollar el proceso de Planes de TI
b) Desarrollar Planes de TI
c) Determinar las actividades de TI en los sistemas de Reportes Financieros
d) Detern1inar la importancia de las actividades de TI en los sistemas de Reportes
Financieros.
En la siguiente Tabla TB 1 "Marco COBIT Entrega y Soporte" se ilustra como se podría obtener
el cumplimiento de SOX considerando el estándar de COBIT y su correlación con ITlL. Dado
que cada organización de TI es diferente, estas guías deben ser tomadas como ejemplos que
auxilien a detenninar los requerimientos específicos de tu organización.
105
Tabla TB-1 Marco COBIT: Entrega y Soporte
DS2 GESTIONAR SERVICIOS DE TERCEROS --
COBIT Correlación ITIL Gobierno
2. 7 Relaciones de Seguridad No hay correlación COBll declara qut los procesos y procedimientos deben estar en su lugar y -evisados para asegurar que prácticas apropiadas de seguridad hayan sido colocadas para gobernar los servicios de ter,;eros
DS4 ASEGURAR LA CONTINUIDAD DEL SERVICIO
COBIT Correlación ITIL Gobierno
4.12 Almacenamiento de Entrega de Servicios COBIT declara que el almacenamiento remoto respaldo remoto 7. Gestión de la para respaldo de documentación crítica debe ser
Continuidad del Servicio establecido para soportar recuperación y planes de continuidad del negocio
DS2 ASEGURAR LA SEGURIDAD DE LOS SISTEMAS
COBIT Correlación ITIL Gobierno
5.2 Identificación, Gestión de Seguridad OBIT declara que procedimientos deben ser Autenticación y Acceso 4. Medidas de Gestión de implementadm y actualizados para asegurar que
Seguridad el acceso lógico y el uso de recursos de cómputo de TI ha sido concedido de acuerdo a una aprobación (LDAP, Directorio Activo)
5.3 Seguridad de acceso en Gestión de Seguridad COBIT declara que políticas y procedimientos línea a los Datos 4. Medidas de Gestión de deben ser desarrollados que controlen la
Seguridad seguridad del :icceso basado en la identidad del usuario, necesaria para ver, añadir, cambiar o eliminar datos
5.4 Gestión de cuentas de Gestión de Seguridad COBIT declara que procedimientos deben ser usuario 4. Medidas de Gestión de implementados para asegurar respuesta oportuna
Seguridad la petición, establecimiento, .. ,
para em1s1on, suspensión y cierre de cuentas de usuario.
5.5 Gestión de revisión de Gestión de Seguridad COBIT declara que un control debe ser cuentas de usuario 4. Medidas de Gestión de establecido gobernar las
.. para rev1s1ones
Seguridad periódicas de derechos de acceso y Un mecanismo de reconciliación.
5.8 Clasificación de Datos Gestión de Seguridad COBIT declara que Todos los datos y accesos 4. Medidas de Gestión de deben ser clasificados en términos de Seguridad sensibilidad vía Un proceso formal con el dueño
de los datos.
106
Tabla TB-1 Marco COBIT: Entrega y Soporte
1
-DS2 ASEGURAR LA SEGURIDAD DE LOS SISTEMAS
1
COBIT Correlación ITIL Gobierno
5.9 Identificación Central y Gestión de Seguridad COBIT declara que la identificación y derechos Gestión de Derechos de 4. Medidas de Gestión de de acceso de usuarios, así como !a identidad del Acceso Seguridad sistema y propiedad de los datos son establecidos
y gestionados desde Un punto centralizado para asegurar eficiencia y consistencia de control de acceso global
5.1 O Violación y Reportes de Gestión de Seguridad COBIT declara que actividad de seguridad y Actividad de Seguridad 4. Medidas de Gestión de cualquier violación es registrada, revisada, y
Seguridad cuando es apropiado escalar para identificar y resolver incidentes que involucran accesos no autorizados.
5.19 Prevención, Detección y Gestión de Seguridad COBIT declan que procesos y procedimientos I Corrección de Software 4. Medidas de Gestión de deben ser establecidos para la prevención,
Malicioso Seguridad detección, corrección y respuesta a malware en computadoras.
5.20 Arquitecturas de Gestión de Seguridad COBIT declara que Firewalls deben estar Firewall y Conexiones con 4. Medidas de Gestión de colocados para proteger en contra de negación de redes públicas Seguridad servicios y acc,~so no autorizados a la red interna. DS7 EDUCAR Y ENTRENAR USUARIOS
COBIT Correlación ITIL Gobierno
7.3 Principios de Seguridad y Gestión de Seguridad El personal d~be ser entrenado y educado en Formación para la 4. Medidas de Gestión de principios de s,~guridad de los sistemas Sensibilización Seguridad DS9 ADMINISTRAR LA CONFIGURACIÓN
COBIT Correlación ITIL Gobierno
9.4 Control de la Soporte al Servicio COBLT declara que deben existir procedimientos Configuración 7. Administración de la para asegurar que la configuración implementada
Configuración permanezca sm cambios y que los cambios aprobados tengan que ir a través del proceso de cambios
9.5 Software No Autorizado Soporte al Servicio COBIT básicamente declara que políticas 9. Gestión de liberaciones prohibiendo el uso de software personal y no
licenciado deben ser desarrolladas e implementadas
DS9 ADMINISTRAR LA CONFIGURACIÓN
COBIT Correlación ITIL Gobierno
9.7 Procedimientos de Soporte al Servicio COBIT declara que los procedimientos deben Administración de la 7. Administración de la estar en su lugar para asegurar que componentes Configuración Configuración críticos hayan sido identificados y son
mantenidos
107
Tabla TB-1 Marco COBIT: Entrega y Soporte
DSIO GESTIÓN DE PROBLEMAS E INCIDENTES
COBJT Correlación ITIL Gobierno
10.1 Sistema de Gestión de Soporte al Servicio COBIT declara que Un Sistema de Gestión de Problemas 4. Centro de Servicios Problemas debe ser implementado para capturar
5. Gestión de Incidentes todos los eventos operacionales los cuales no son 6. Gestión de Problemas parte de la operación estándar (incidentes,
problemas y errores) estén registrados, analizados y resueltos de manera oportuna
10.2 Escalación de Soporte al Servicio COBIT declara que Los procedimientos de Problemas 4. Centro de Servicios escalación de problemas deben estar definidos e
5. Gestión de Incidentes implementados para asegurar que los problemas son resueltos eficientemente y de manera oportuna
DSIO GESTIÓN DE DATOS
COBIT Correlación ITIL Gobierno
1 1.23 Respaldo y ICT Infraestructure COBIT declara que procesos y procedimientos Recuperación Management deben ser desarrollados e implementados para
Anexo 4D asegurar que la estrategia para respaldo y Almacenamiento y restauración satisface los requerimientos del Respaldo negocio y los ¡cropietarios de los procesos.
11.24 Trabajos de Respaldo ICT Infraestructure COBIT declara que Los procesos implementados Management para asegurar que los respaldos son realizados en Anexo 4D acuerdo con la estrategia de respaldos definida y Almacenamiento y restauraciones periódicas son realizadas y Respaldo verificadas
DS12 ADMINISTRACIÓN DE INSTALACIONES
COBIT Correlación ITIL Gobierno
12. l Seguridad Física No hay correlación COBIT dirige la seguridad fisica y control de acceso con asegurar el hardware, sistema y aplicaciones de TI relacionadas.
12.3 Acompañante del No hay correlación Procedimientos deben estar establecidos para Visitante asegurar que todo el personal que no es de TI y/o
empleados no aprobados tengan acceso a las instalaciones de cómputo en compañía de un acompañante
12.5 Protección en contra de No hay correlación Procesos y procedimientos deben ser Factores Ambientales implementados y mantenidos para asegurar que
equipos crítico de cómputo esté protegido de factores ambiwtales
12.6 Alimentación de Entrega de Servicio Medidas deben ser tomadas para proteger equipo Energía ininterrumpida 8. Gestión de de cómputo crítico en contra de fallas y
Disponibilidad fluctuaciones de energía
108
ANEXO c. MODELO ECONÓMCICO PARA UNA
APLICACIÓN.
Para determinar los costos que involucran una aplicación debemos considerar todos los recursos
de TI que están involucrados en la misma. La Tabla TC-1 da una referencia de los recursos de TI
involucrados.
Tabla TC-1 Costo Total de Propiedad de una Aplicación
ID Recursos de TI Descripción Costo A Costo de Procesamiento El costo total anual de propiedad I del servicio de CTA
procesamiento, el cual consiste del sopmte del hardware. Se toma la parte proporcional al procesamiento (hardware) utilizado por la aplicación.
B Costo de Almacenamiento El costo total anual de propiedad del servicio de CTB almacenamiento. Se toma la parte proporcional que corresponde a la aplicación.
c Costo de Comunicaciones El costo total anual de propiedad del servicio de CTC comunicaciones. Se toma la parte proporcional que corresponde a la aplicación.
D Costo de utilización del El costo total anual de propiedad de los servicios auxiliaresH. CTD Centro de Datos Se toma la parte proporcional que corresJonde a la
aplicación. E Costo de Respaldos y Costos actuales que se tengan de acuerdo a la estrategia de CTE
Recuperación de respaldos (frecuencia y vigencia), adicic,nales a los costos Desastres de recuperación
F Costos de Software El costo total anual de propiedad del software del sistema CTF operativo base y el requerido por la aplicación.
G Costos del Centro de El costo por la atención del personal del Centro de Servicios CTG Servicios (personal y y el software de gestión que utilizan. software de gestión)
H Costos de la Operación El costo por el personal que atiende a la operación del CTH (personal y software de servicio y el software de gestión que utiLzan. gestión)
Con los costos identificados de la aplicación podemos calcular mediante una simple fórmula el
Costo Total de Propiedad de una Aplicación (TCAO Total Cost Of Application Ownership)
TCAO= CTA+CTB+CTC+CTD+CTE+CTF+CTG+CTH
'Consiste del soporte del servicio. adicional al costo ue amo11ización por la compra del mismo 'Los servicios de tecnologías de información (procesamiento, almacenamiento y comunicaciones) y servicios auxiliares (energía y aire acondicionado) son ucscritns en el Anexo I
109
Con este dato podemos comparar el costo que tiene la aplicación en la organización con el costo
que tendría si se le trasladara a la nube y así revisar su conveniencia. Sin embargo adicionalmente
se deben considerar los siguientes costos:
Previamente se tendría que hacerse un trabajo de configuración y pruebas
La aplicación no podría estar diseñada para la naturaleza altamente distribuida de la nube
y podría necesitar rediseñarse.
Adicionalmente debemos considerar que:
TCAO no tiene la última palabra en decidir si una aplicación tiene que moverse a la nube,
existen aplicaciones y cargas de trabajo9 que son adecuadas para la nube. sin embargo
existen otras aplicaciones y cargas de trabajo que deben permanecer fuera de ella.
Se requiere una política que diga que debe permanecer en el centro de datos tradicional y
porqué (por ejemplo, privacidad y complejidad una carga de trabajo)
Una política que especifique cuando una aplicación pui~de moverse de forma segura a la
nube
9 Carga de trabajo (workload). Es un servicio independiente o colección de código que puede ser ejecutado. Una carga de trabajo no úcrende de
elementos externos. puede ser una rcqucfü1 o completa aplicación.
11 O
ANEXO D. SERVICIOS PÚBLICOS I»E NUBE
Como se mencionó en el capítulo 1, existen tres modelos para aprovisionar servicios en la nube:
Infraestructura como Servicio (laaS), Software como Servicio (SaaS) y Plataforma como Servicio
(PaaS), en estos modelos las capacidades s de cómputo se alquilan y el consumidor no compra
activos de hardware o software. La Tabla TD-1 Servicios :Públicos de Nube muestra como
referencias algunos de los servicios públicos de nube que existen en el mercado.
Tabla TD-1 Servicios públicos de nube
Modelo Proveedor Descripción
SaaS SalesForce Proporciona soluciones en nube para gcs:ionar las ventas, el servicio (y todo su negocio). Algunos de sus principales servicios son Sales Cloud, Service Cloud y SalesForce Chatter. httn://salesforce.com
SaaS Microsoft Microsoft Online Services proporciona versiones en línea de los productos de comunicación y colaboración. Uno de sus productos más conocidos es Office 365. httD://www.microsoft.com/on 1 ine/es-mx/ defau lt.asox
SaaS Zoho Zoho ofrece soluciones para Colaboración, Aplicaciones de Negocio y Aplicaciones de Productividad. htto://www.zoho.com/
SaaS Netsuite Netsuite ofrece soluciones de ERP (Contabilidad y Finanzas), CRM (Marketing, Monitoreo y Seguimiento de clientes) http://www.netsuite.com
laaS RackSpace Ofrece soluciones en nube para cómputo, almacenamiento y datos, plataforma y redes. htto://www.racksoace.com
laaS Amazon Ofrece soluciones en nube para procesamiento de datos, almacenamiento, bases de datos y redes. Algunos de sus productos son Amazon EC2, Amazon S3, Amazon ROS y Amazon VPC. httn://aws.amazon.cc,m/es/
laaS OpSource Ofrece soluciones para cómputo, almacenamiento y redes. Algunos de sus productos son Cloud Servers, Cloud Files y Cloud Networks. httn://www.onsource.net/Services!Pu b lic-C loud
laaS Hosting Hosting ofrece soluciones de nube para la creación de nubes empresariales y orivadas. htto://www.hostim.1.com/c loud-hosting
PaaS Google Google App Engine te permite correr aplicaciones web en la Infraestructura de Google. httos://develooers.google.com/aoocngine/?hl=es-MX
PaaS Microsoft Windows Azure permite compilar, implementar y administrar aplicaciones en una red de centros de datos administrados por Microsoft. htto://www.windowsazure.com/es-es/
PaaS OpenShift OpenShift es una plataforma como servicio escalable para aplicaciones, OpenShift gestiona el stack para que el De san-o 1 lador se enfoque en el código. httos :// ooen sh i ft. redhat. com/ a nn/
PaaS Oracle Oracle ofrece una plataforma compartida :,1 escalable para la consolidación e las aplicaciones existentes y el desarrollo e im¡-:lementación de nuevas aplicaciones. htto :! /www .orac le .com/us/so l utions/c loud/index. html
ANEXO E. FORMATO DE ACUERD() DE NIVEL DE
SERVICIO.
La página inicial del acuerdo de servicio deberá contener los siguientes elementos:
• Datos del Proveedor e identificador del Acuerdo. ( encabezado del acuerdo)
Identificador de acuerdo SLA-CL!-PRO-
Logo del Proveedor Nombre del Proveedor
Fecha de Inicio Vigencia Propietario del Documento
El motivo del acuerdo de servicio
Acuerdo de Servicio (SLA) para "Cliente"
por parte de "Proveedor
• Versiones del Documento
Versión Fecha Descripción 1.0 l/01/2011 Acuerdo de Nivel de Servicio 2.0 1/04/2011 Revisión del Acuerdo de Nivel de Servicio
• Aprobadores del Documento
Aprobadores Rol Firma Proveedor Proveedor del Servicio
Cliente Cliente
01 1/01/2011
31/12/2011 Proveedor
I Auto,
Fecha de Aprobación
Las siguientes páginas solo deberán incluir el encabezado y el ,:ontenido que se desarrolle.
111
1
.....---------SLA-CLI-PR0::-1 Identificador de acuerdo
01 Logo del Proveedor
Nombre del Proveedor Fecha de Inicio 1/01/2011 ~·
Vigencia 31/12/2011 Propietario del Proveedor Documento
CONTENIDO
1. Introducción
Esta sección comprende detalles respecto al acuerdo del servicio, su origen, propósitos. revisiones, etc.
1.1. Antecedentes del Acuerdo
112
Proporciona información respecto a los antecedentes que dieron origen al Acuerdo de Servicio
1.2. Propósito y Objetivo del Acuerdo Se define con claridad el propósito y objetivo del acuerdo servicio
1.3. Involucrados Se mencionan las áreas que forman parte que se encuer.tran involucradas directamente en el acuerdo del servicio, indicando cuál es su rol en el mismo.
1.4. Revisiones periódicas al acuerdo Se define la vigencia del acuerdo, fecha de revisión, propietario del documento, etc.
2. Acuerdo de Servicio
Los parámetros del servicio definidos por el Proveedor.
2.1. Servicios otorgados Descripción de los servicios que están cubiertos por el acuerdo.
2.2. Requerimientos del Cliente Responsabilidades del cliente para la recepción de los servicios de este acuerdo.
2.3. Requerimientos del Proveedor de Servicio Responsabilidades del Proveedor referente a la entrega ele los servicios de este acuerdo.
2.4. Supuestos del Servicio Indicar consideraciones relacionadas con los servicios
113
Nombre de
l ldeotófieadoN!.;;cuc,do SLA-CLI-PRO-01
I Proveedor Fecha de Inicio 1/01/2011 Vigencia 31/12/2011
Logo del Proveedor
Propietario del Proveedor Documento
3. Gestión del SLA
Proveer detalles acerca de la disponibilidad del servicio, monitoreo delos servicios, etc.
3.1. Disponibilidad de los Servicios Indicar el horario de disponibilidad de los servicios, cobertura de los mismos, calendario de mantenimientos. En esta sección se indica el tiempo de respuesta para la atención una vez recibido el requerimiento o incidente. Prioridades de los Servicios, etc.
3 .2. Centro de Atención al cliente Indicar que es el punto de contacto para la atención, ya sea telefónica, por correo electrónico y en sitio. Mencionar los días y el horario en que se reciben solicitudes de requerimientos e incidentes.
3.3. Monitoreo del Nivel de Servicio Indicar como se va a monitorear la entrega de lo servicios al cliente.
3.4. Informes al cliente Mencionar que reportes se entregan al cumplimiento referente a las condiciones en que se entregan los servicios.
4. Costo de los Servicios Indicar cuál es el costo por los servicios que otorga el Prnveedor.
5. Anexos al SLA Referenciar los anexos que sean necesarios al presente acuerdo de Servicios
114
ANEXO F. CONSIDERACIONES DE SEGURIDAD EN
LA NUBE
De acuerdo a la Guía de Seguridad para áreas críticas enfocadas en el cómputo en la nube V 3.0
[6] publicada por la CSA (Cloud Security Alliance), algunos de los elementos a tomarse en
cuenta para la construcción del modelo de seguridad en la nube pueden observar en la Figura F-1
Medidas de seguridad en un modelo de servicios de cómputo en la nube.
'
Figura F- l Medidas de seguridad en un modelo de servicios de cómputo en la nube.
e " Aplicaciones )
( APls ' /
Datos (--" , Contenido ) Metadatos
r Integración OS y Middleware 1
\'----- - - ---(--------------'\ APls
111,
Conectividad y Entrega
Virtuallzación
Hardware
Instalaciones
l IAAS
PAAS
SAAS
- - - - - - ------· -- ---. . , · Aplicaciones
\ ....
/ ·- -·- -·~·· ---- - ·- - ·-, I Datos/Información ·
Gestión
Red
,/···
Cómputo Confiable ··-- -···--·--- ··· ··-- -- ------ - . --
\ Cómputo y Almacenamiento
. Física '-·--·-·- - - ··--
SDLC, Análisis binario, Escáneres , Firewall de aplicaciones web, Seguridad transaccional
DLP , CMF, Monitoreo y filtrado de contenido , Monitoreo de actividad de bases de datos . Encripción
GRC ,IAM, VA/VM,Gestión de parches.Gestión de la configuración , Moni toreo
NIDS / NIPS ,Firewalls, DPI , Anti·DDoS, QoS , ,DNSSEC ,OAUTH
Hardware y Software Rol ftAPls
Firewalls basados en host,HIDS/HIPS, Gestión de la integridad ,Encripción,Data Masking
Seguridad Física , CCTV
En dónde:
SDLC (System Development Life Cycle). Ciclo de vida en el desarrollo de un sistema.
DLP (Data Loss Prevention). Prevención de pérdida de dctos
CMF (Content Monitoring and Filtering) Monitorco y filt~ado de contenido
GRC (Governance, Risk & Compliance). Gobernabilidad Riesgo y Cumplimiento
115
IAM (Identity and Access Management) Gestión de Identidad y Acceso
V NVM (Vulnerability Assessment and Vulnerability Management). Análisis de
vulnerabilidades y Gestión de vulnerabilidades
NIDS/NIPS (Network Intrusion Prevention System/Network Intrusion Detection
Systems). Sistemas de Prevención de Intrusos/Sistemas de Detección de Intrusos
DPI (Deep Packet Inspection). Inspección profunda de paquetes
Anti-DDoS (Distributed Denial of Service)
QoS (Quality Of Service) Calidad del servicio
DNSSEC (Domain Name Security Extensions)
OAUTH (Authentication & authorization for Mobile Applications). Autenticación y
Autorización para Aplicaciones Móviles
RoT (Root of trust). Confianza en el emisor
HIDS/HIPS (Host Intrusion Detection Systems/Host lntrusion Prevention Systems).
Sistemas de Detección de Intrusos/Sistemas de Prevención de Intrusos
Data Masking (Enmascaramiento de datos)
CCTV (Closed Circuit TV). Circuito Cerrado de Televisión
116
ANEXO G. PLAN DE TRABAJO IMPJLEMENTACIÓN DE
NUBE
En esta sección se muestra como se puede crear una estructura básica de trabajo (WBS - Work
Breakdown Structure) para el proyecto de implementación de nube privada. La WBS debe ser
sencilla pero tener suficiente detalle para la programación de las tareas y su costo. Para
descomponer una WBS empieza con sus fases. continua con los entregables y después las
actividades. Añade hitos y a comenzar.
Paso 1.
Inicia definiendo las fases del proyecto, se proponen las siguientes fases genéricas. Estas fases
son solo de referencia y pueden adaptarse de acuerdo al Proyecto.
l. Planeación
2. Ejecución
3. Seguimiento y Control
4. Cierre
5. Evaluación ExPost
Paso 2.
Añade los entregables, lista los entregables específicos que cada fase entregará. Es importante
mantener esto a entregables tangibles como documentación y 5ervicios. La guía del PMBOOK
define un entregable como "cualquier producto único y verificable, resultado o capacidad para
realizar un servicio que debe producirse para completar un proceso, fase o proyecto. Añadiendo
los entregables a nuestra fase de Planeación, tenemos como ejemplo.
• Planeación
Definir Alcance del Proyecto
Realizar Plan de Desarrollo del Proyecto
Integrar equipo de proyecto
Realizar Plan de Comunicación
Realizar Plan de Calidad
117
Realizar Plan de Riesgos
Paso 3.
Una vez que entregables se encuentran definidos, finalmente afiadimos las actividades requeridas
para producir esos entregables.
• Planeación
Definir Alcance del Proyecto
./ Crear documento de alcance del Proyecto
Paso 4.
Revisa el plan de trabajo con los directivos de la organización y los miembros del equipo que
participan en el proyecto.
118
ANEXO H. CÁLCULO DEL PORCENTAJE DE
REPRESENTATIVIDAD EN LA EV A1LUACIÓN.
Catapult Systems [7] publicó un artículo en donde mostró la descripción del análisis de pares, el
cual es uno de los elementos, de la funcionalidad del análisis de portafolio de Project Server.
Utilizando esa descripción se analizaran los componentes que conforman un servicio de
tecnologías de información.
Porcentaje de representatividad en la evaluación proveedor
a) Análisis de pares
Cumplimiento de
Grado de Madurez Centro de Datos Aplicaciones/ Sistemas Regulaciones Niveles de Servicio Seguridad -
Centro de Datos Es tan importante Es mas importante Es mas importante Es mas importante Es mas importante
Aplicaciones/ Sistemas Es menos importante Es tan importante Es menos importante Es menos importante Es menos importante
Cumplimiento de
Regulaciones Es mer,os importante Es mas importante Es tan importante Es mas importante Es tan importante
Niveles de Servicio Es menos importante Es mas importante Es menos importante Es tan importante Es menos impori.ante
Seguridad Es menos importante Es mas importante Es tan irr.portante Es mas importante Es tan importante
Para etiquetar las relaciones de los elementos utilizamos las siguientes descripciones
Descripción Valor Es extremadamente más importante que 9 Es mucho más importante que 6 Es mas importante que 3 Es tan importante como 1 Es menos importante que 1 /3 Es mucho menos importante que 1/6 Es extremadamente menos importante que 1/9
b) Asignación de valores. Una vez que establecimos la relación inicial sustituimos en la tabla la
descripción por su valor y agregamos un fila en donde se suman los valores de todas las filas.
Grado de Madurez
Centro de Datos
A p I ic.,ciones/Si stema s Cump11m,ento ae
Regulac,ones
Niveles de Servicio
Seguridad
Suma
Centro de Datos
. . . . tumplim,ento de Aplicaciones/Sistemas Regulaciones
0.33
0.33
0.33
0.33
2.33 13
119
- -,- ··- -------------- -- -- - ····-·-·· ---·--·
Nr,eles de S~rvic10 Seguridad
3
0.33 O.H 0.33
0.33 0.33
5.67 10.33 5.66
c) Normalización de resultados. Para normalizar los resultados dividimos cada valor de la columna entre la suma de la columna.
Cumplimiento de
Grado de Madurez Centro de Datos Acli caciones/Sistemas Regulaciones Niv,~les de Servicio Seguridad
Centro de Datos 0.43 0.23 0.53 0.29 0.53
Apl icaci enes/Sistemas 0.14 0.08 0.06 0.03 0.06 Cumplimiento de
Regulaciones 0.14 0.23 0.18 0.29 0.18
Niveles de Servicio 0.14 0.23 0.06 0.10 0.06
Seguridad 0.14 0.23 0.18 0.29 0.18
Suma 1.00 1.00 1.00 1.00 1.00
d) Porcentaje de representatividad. Finalmente obtenemos el porcentaje de representatividad de
cada uno de los componentes realizando la sumatoria de los valores de cada fila y dividiéndolo entre el número de temas (en este caso 5). Para el caso del cliente que desea proporcionar servicios de nube privada se obtuvo el siguiente porcentaje de representatividad.
Grado de Madurez % Recresentatividad
Centro de Datos 40.18
Aplicaciones/Sistemas 7.38 Cumplimiento de
Regulaciones 20.34
Niveles de Servicio 11.76
Seguridad 20.34
Porcentaje en la evaluación punto de vista del cliente ( consumidor)
De fonna similar calculamos el porcentaje ahora con la visión del cliente
a. Análisis de Pares
..
120
Cumplimiento de
Grado de Madurez Centro de Datos Aplicaciones/ Sistemas Regulaciones Niveles de Servicio Se1<uridad Es mucho menos Es mucho menos
Centro de Datos Es tan importante Es menos importante importante És menos importante importante
IAPiicaciones / Sistemas Es mas importante Es tan importante Es menos importante Es tan importante Es menos importante
¡cumplimiento de
~egulaciones Es mucho mas importante Es mas importante Es tan Importante Es mas importante Es tan importante
Niveles de Servicio Es mas importante Es tan importante Es menos importante Es tan importante Es menos importante
Seguridad Es mucho mas importante Es mas importante Es tan importante Es mas importante Es tan importante
b. Asignación de valores
Cumplimiento de
Grado de Madurez Cenuo de Datos Aplicaciones/Sistemas Regulaciones Niveles de Servicio Seguridad
Centro de Datos 1 0.33 0.17 0.33 0.17
Aplicaciones/Sistemas 3 1 O.B 1 0.33 Cumplimiento ae
Regulaciones 6 3 1 3 1
Niveles de Servicio 3 1 O.l3 1 0.33
Seguridad 6.00 3 1 3 1
Suma 19.00 8.33 2.:l3 8.33 2.83
c. Normalización de resultados
Cumplimiento de
Grado de Madurez Centro de Datos Aplicaciones/Sistemas Regulaciones Niveles de Servicio Seguridad
Centro de Datos o.os 0.04 0.()6 0.04 0.06
Aolicaciones/Sistemas 0.16 0.12 0.:2 0.12 0.12 Cumplimiento de
Regulaciones 0.32 0.36 035 0.36 0.35
Niveles de Servicio 0.16 0.12 0.12 0.12 0.12
Seguridad 0.32 0.36 o.~s 0.36 0.35
Suma 1.00 1.00 1.CO 1.00 1.00
d. Porcentaje de representatividad
Grado de Madurez % Representatividad
Centro de Datos 5.01
Aplicaciones/Sistemas 12.66 Cumplimiento de
Regulaciones 34.83
Niveles de Servicio 12.66
Seguridad 34.83
121
Nota. El cálculo del porcentaje de representatividad y la valoración de pares que se le dio a cada
componente fue de acuerdo a criterios establecidos por el investigador, los criterios pueden variar
de acuerdo a las necesidades del cliente. En la solución presentada en este trabajo se le da la
opción al cliente que ejecuta la herramienta pueda ajustar el análisis de pares.