5.

Implantacin y migracin a servicios cloud

5.1.1. Fijacin de Objetivos e Identificacin de Riesgos (I).
A la hora de abordar el proceso de implantacin y migracin a servicios cloud,
debemos establecer qu objetivos nos planteamos alcanzar, tanto desde el punto de
vista de mejora en la gestin empresarial como en la funcionalidad de los
servicios a implantar.
Los de mejora en la gestin empresarial sern funcin de la estrategia de cada
empresa y de sus planteamientos ante las posibilidades ofertadas por los servicios
cloud. Respecto a objetivos sobre la funcionalidad esperada, sta quedar reflejada
principalmente en los acuerdos de nivel de servicio SLAs.
Nos centraremos de manera especial en la identificacin de riesgos inherentes al
proceso de implantacin y migracin a servicios cloud. En primer lugar, recordemos
que para estimar un nivel de riesgo, nos basamos en identificar la probabilidad de un
escenario de incidentes, evaluando el impacto negativo estimado para ese escenario.
La probabilidad de que se produzca un escenario de incidentes se obtiene mediante
una amenaza que explota la vulnerabilidad con una probabilidad concreta.
Bien, pues la probabilidad de cada escenario de incidentes y el impacto sobre el
negocio depende en gran medida del modelo de nube o arquitectura que se est
considerando.
El nivel de riesgo como funcin del impacto sobre el negocio y la probabilidad del
escenario de incidentes se puede visualizar en forma de matriz.
El riesgo se mide en una escala variable que puede evaluarse con respecto a los
criterios de aceptacin del riesgo. Esta escala de riesgo tambin puede compararse
con una sencilla clasificacin general de riesgos: riesgo bajo, medio y alto. Riesgo que
cabe baremarlo segn la probabilidad de que ocurra y su importancia e impacto en el
negocio.
Los riesgos del uso de la computacin en nube deben compararse con los riesgos
derivados de mantener las soluciones tradicionales, como son los habituales modelos
de sobremesa.
En numerosas ocasiones, el nivel de riesgo variar considerablemente en funcin del
tipo de arquitectura de nube que se est considerando.
El cliente en nube puede transferir el riesgo al proveedor en nube, y los riesgos deben
considerarse con respecto a la rentabilidad proporcionada por los servicios.
Sin embargo, no todos los riesgos pueden ser transferidos. Si un riesgo provoca el
fracaso de un negocio, perjuicios graves al renombre del mismo o consecuencias
legales, es muy difcil, y en ocasiones, imposible, que un tercero compense estos
daos.
Vamos ahora a la identificacin de riesgos conceptuales tipo
LA PRDIDA DE GOBERNANZA
Al utilizar las infraestructuras en nube, el cliente necesariamente cede el control de
una serie de cuestiones que pueden influir en la seguridad al proveedor en nube.

Al mismo tiempo, puede ocurrir que los acuerdos de nivel de servicio no incluyan la
prestacin de dichos servicios por parte del proveedor en nube, dejando as una
laguna en las defensas de seguridad.
LA NO PORTABILIDAD
La oferta actual en cuanto a herramientas, procedimientos o formatos de datos
estandarizados o interfaces de servicio que puedan garantizar la portabilidad del
servicio, de las aplicaciones y de los datos, actualmente resulta escasa.
EL FALLO DE AISLAMIENTO
La multiprestacin y los recursos compartidos son caractersticas que definen la
computacin en nube. Por ello una categora de riesgo a evaluar es el posible fallo del
debido aislamiento requerido en el acceso a recursos compartidos o entre los distintos
proveedores.
RIESGOS DE NO CUMPLIMIENTO DE REQUISITOS DESEABLES
La inversin en la obtencin de la certificacin (por ejemplo, requisitos reglamentarios
o normativos del sector) puede verse amenazada por la migracin a la nube.
Este sera el caso en el que el proveedor en nube no pueda demostrar su propio
cumplimiento de los requisitos pertinentes o no permita que el cliente en nube realice
la auditora o tenga acceso a la misma.
En determinados casos, tambin significa que el uso de una infraestructura pblica en
nube implica que no pueden alcanzarse determinados niveles de cumplimiento.

5. Implantacin y migracin a servicios cloud

5.1.2. Fijacin de Objetivos e Identificacin de Riesgos (II).
Continuamos con el anlisis de aspectos que nos ayudan a identificar riesgos, y su
gestin, en el proceso de implantacin y migracin a servicios cloud
COMPROMISO DE CONTROL EN LA INTERFAZ DE GESTIN
Las interfaces de gestin de cliente de un proveedor en nube pblico son accesibles a
travs de Internet, y canalizan el acceso a conjuntos de recursos ms grandes (que los
proveedores tradicionales de alojamiento), por lo que plantean un riesgo mayor,
especialmente cuando son combinados con el acceso remoto y las vulnerabilidades
del navegador de web.
LA PROTECCIN DE DATOS
La computacin en nube plantea varios riesgos relativos a la proteccin de datos tanto
para clientes en nube como para proveedores en nube. En algunos casos, puede
resultar difcil para el cliente en nube comprobar de manera eficaz las prcticas de
gestin de datos del proveedor en nube, y en consecuencia, tener la certeza de que
los datos son gestionados de conformidad con la ley. Este problema se ve exacerbado
en los casos de transferencias mltiples de datos.

Por otra parte, algunos proveedores en nube s proporcionan informacin sobre sus
prcticas de gestin de datos. Otros tambin ofrecen resmenes de certificacin sobre
sus actividades de procesamiento y seguridad de datos y los controles de datos a que
se someten.
SUPRESIN DE DATOS INSEGURA O INCOMPLETA
Cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede
con la mayora de sistemas operativos, en ocasiones el proceso no elimina
definitivamente los datos. En ocasiones, la supresin adecuada o puntual de los datos
tambin resulta imposible (o no deseable, desde la perspectiva del cliente), bien
porque existen copias adicionales de datos almacenadas pero no disponibles o porque
el disco que va a ser destruido tambin incluye datos de otros clientes. La
multiprestacin y la reutilizacin de recursos de hardware representan un riesgo mayor
para el cliente que la opcin del hardware dedicado.
MIEMBRO MALICIOSO
Aunque no suelen producirse habitualmente, los daos causados por miembros
maliciosos son, con frecuencia, mucho ms perjudiciales. Las arquitecturas en nube
necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos
son los administradores de sistemas de proveedores en nube y los proveedores de
servicios de seguridad gestionada.
Los riesgos enumerados anteriormente no siguen un orden de criticidad concreto, sino
que simplemente constituyen algunos de los riesgos ms relevantes de la computacin
en nube. Los riesgos del uso de la computacin en nube deben ser comparados con
los riesgos derivados de mantener las soluciones tradicionales, como los modelos de
sobremesa.
A menudo es posible, y en algunos casos recomendable, que el cliente en nube
transfiera el riesgo al proveedor en nube; sin embargo, no todos los riesgos pueden
ser transferidos.
Si un riesgo provoca el fracaso de un negocio, perjuicios graves al renombre del
mismo o consecuencias legales, es muy difcil, y en ocasiones, imposible, que un
tercero compense estos daos. En ltima instancia, puede subcontratar la
responsabilidad, pero no puede subcontratar la obligacin de rendir cuentas.
Para la gestin de estos riesgos podemos adoptar herramientas o procedimientos
como los siguientes:
AUDITORA Y RECOGIDA DE PRUEBAS
Si estamos en un caso de IaaS, esta permite la clonacin de mquinas virtuales bajo
demanda. En caso de supuesto incumplimiento de la seguridad, el cliente puede tomar
una imagen de una mquina virtual activa o de los componentes virtuales de la
misma para llevar a cabo un anlisis forense fuera de lnea, lo cual reduce el tiempo
de espera para la realizacin el anlisis.
ACTUALIZACIONES Y OPCIONES MS PUNTUALES, EFECTIVAS Y EFICACES
Las imgenes por defecto de las mquinas virtuales y los mdulos de software
utilizados por los clientes pueden ser reforzados y actualizados previamente con los
ltimos parches y configuraciones de seguridad, conforme a procesos ajustados; las
API del servicio en nube de la IaaS tambin permiten tomar imgenes de la
infraestructura virtual de manera frecuente y comparada con un punto inicial

LA AUDITORA Y LOS ACUERDOS DE NIVEL DE SERVICIO OBLIGAN A

GESTIONAR MEJOR EL RIESGO
La frecuencia de las auditoras impuestas a los proveedores en nube tiende a exponer
los riesgos que, de otro modo, no habran sido identificados, con lo que tiene el mismo
efecto positivo.
BENEFICIOS DE LA CONCENTRACIN DE RECURSOS
Aunque sin duda la concentracin de recursos tiene desventajas para la seguridad,
posee el beneficio evidente de abaratar la perimetrizacin y el control de acceso
fsicos y permite una aplicacin ms sencilla y econmica de una poltica de seguridad
exhaustiva y un control sobre la gestin de datos, la administracin de parches, la
gestin de incidentes y los procesos de mantenimiento.

5. Implantacin y migracin a servicios cloud

5.3. La Integracin como parte del Proceso de la Migracin.
En la actualidad el cloud computing est teniendo una amplia difusin en el mercado,
y se espera que esta tendencia contine.
La integracin es una de las principales preocupaciones acerca de la nube, y
desempear un papel clave para que los usuarios la adopten. A medida que
aparezcan nuevas aplicaciones en el mercado de tecnologa nube, los proveedores de
integracin debern proponer nuevas soluciones, conocidas hasta ahora como
Integration as a Service (Integracin como un servicio).
Las organizaciones suelen encargar la gestin de la integracin al departamento de
TI, pero debe tenerse muy presente que por ejemplo, el software como un servicio ha
demostrado que puede desempear funciones crticas en grandes compaas. La
integracin sigue siendo un trabajo que no slo consiste en copiar y pegar.
Veamos retos clave relacionados con la integracin:
Costo y duracin de la integracin. En cualquier implementacin, el presupuesto y
tiempo necesarios para la integracin son relevantes, as como las habilidades
requeridas para llevarla a cabo, debido a la diversidad de las aplicaciones a integrar y
la tecnologa utilizada como base. Simplificar la integracin con el fin de reducir estos
costos representa un verdadero reto.
Integrar el software como un servicio (SaaS) y las aplicaciones tradicionales. La
integracin tiene como objetivo conectar diferentes aplicaciones, con el fin de poder
compartir datos. Con la llegada al mercado del cloud computing y las aplicaciones
ofrecidas en esquemas SaaS, la integracin debe ser una forma de vincular fcilmente
estas aplicaciones.
La gestin y monitorizacin de las interfaces de integracin. Debido al hecho de que
las compaas cada vez estn integrando ms aplicaciones, y cada aplicacin tiene
sus propias especificaciones y tecnologa, no resulta fcil gestionar y monitorizar las
diferentes interfaces. Es fundamental contar con una perspectiva amplia de las
diferentes interfaces de integracin, lo que constituye un desafo para las compaas.
Para responder a los retos clave en torno a la integracin, los proveedores estn
desarrollando y comercializando soluciones de Integracin de SaaS.

Estas soluciones constituyen una forma fcil de integrar los sistemas, en comparacin
con el enfoque tradicional, que utilizaba herramientas de Integracin de Aplicaciones
Empresariales (EAI, Enterprise Application Integration) o cdigos de programacin.
Las soluciones de Integracin de software como un servicio actan como un
coordinador, que gestiona las diferentes interfaces definidas de integracin. Los
elementos clave de tales soluciones son los siguientes:
Ofrecen diferentes opciones de implementacin. Esto permite la implementacin en la
nube pero tambin detrs del firewall de las compaas.
Tienen un enfoque basado en la configuracin: La integracin se implementa a travs
de una interfaz grfica de usuario, evitando los cdigos de programacin en la medida
de lo posible.
Se integran con aplicaciones que se instalan localmente en los servidores del cliente y
tambin con aplicaciones sobre pedido".
Ofrecen un punto central para monitorear y gestionar la integracin.
Al integrar sistemas a travs de las soluciones de Integracin como un servicio, se
facilitar la integracin y se reducirn costos. Sin embargo, en la mayora de los casos
la integracin seguir siendo compleja, y esencial para cualquier implementacin.
Se espera que el mercado de la Integracin como un servicio crezca en los aos
prximos, ofreciendo soluciones an ms avanzadas y sofisticadas para integrar las
aplicaciones del cloud computing.
El mercado de Integracin como un servicio se encuentra en plena expansin, por lo
que podemos esperar un crecimiento significativo en los aos porvenir. El valor
agregado y la significativa reduccin de costos que estos servicios ofrecen ayudarn a
que la integracin pase a otro nivel.

5. Implantacin y migracin a servicios cloud

5.4. Formacin de Operadores y Usuarios de Nuevos Servicios
Cuando hablamos de Cloud Computing (computacin en nube) estamos hablando de
un servicio a travs de una red de telecomunicaciones pblica, generalmente, Internet,
permitiendo la gestin y suministro de aplicaciones, informacin y datos.
En el entorno empresarial, su creciente importancia es indiscutible, ya que permite que
las empresas puedan crecer rpidamente sin necesidad de aadir equipamiento
tecnolgico, software ni recursos humanos.
En lo que respecta a la formacin y capacitacin en las empresas, el Cloud Computing
permite que el aprendizaje se integre en los procesos de trabajo con un costo muy
bajo, teniendo un impacto directo en el desempeo del colaborador as como tambin
en su autonoma para llevar a cabo las distintas tareas que se presenten.
El entorno digital nos permite establecer en las organizaciones formas de aprender
donde la persona se convierte en protagonista decidiendo qu, por qu, dnde, cmo,
a qu coste y con quin aprender, es decir, que las experiencias de aprendizaje sern
nicas.

Existen plataformas de formacin que se adaptan a ese modelo de aprendizaje, donde

es muy importante la interactividad, la comunicacin abierta y transparente, la
continuidad y el acceso, la flexibilidad, y la estimulacin mltiple.
En el caso del Cloud Computing, la plataforma deber dar respuesta a la necesidad de
los usuarios, de poder disponer en todo tiempo y lugar de sus archivos y datos, como
as tambin de las aplicaciones ms utilizadas de formacin y conocimiento.
El usuario tcnico entiende el enfoque no tcnico. Pero a menudo me enfrento a nueva
presentacin donde la audiencia no es tcnica, y es un error muy habitual mezclar al
usuario tcnico y no tcnico en estos cursos.
Despus de mucho tiempo interactuando con distintos agentes del sector se pueden
llegar a una serie de conclusiones genricas segn estn ms en uno u otro de los dos
tipos principales de usuarios: el usuario tcnico y el usuario no tcnico.

USUARIO TCNICO
Este usuario es el principal consumidor de IaaS y de Paas, aunque tambin lo son los
consumidores de SaaS y los responsables de TI con capacidad de decisin.
Estos saben lo que haba antes del cloud computing, si puede o no sustituir alguna
de las piezas que hasta ahora manejan y evidentemente entienden perfectamente la
parte tcnica que hay detrs.
Su motivacin es ms por el hecho de aprovechar la esencia del cloud computing
que los costes. Cuidado, no digo que no importen los costes que es la consecuencia
directa de usar cloud computing, lo que digo es que intentan aprovechar el cloud
computing para solucionar su problema de ajustar los recursos a una demanda
posiblemente impredecible.
Saben lo que es cloud privado y pblico y podran decantarse ms por el cloud
privado que por el cloud pblico. Pesa ms la parte tcnica y la seguridad que la
parte de inversin, mantenimiento, etc. Suelen ser directores, responsables,
coordinadores de IT y consultoras.
USUARIO NO TCNICO
Este usuario es tpicamente consumidor de SaaS. El Iaas y Paas no les interesa,
posiblemente ni lo entiendan y ni lo distingan de lo que es un hosting.
La mayora no sabe que haba y hay soluciones como el asp como sustituto del
SaaS. No saben porqu SaaS es cloud computing, ni falta que les hace. Ellos
desean un software online en vez de un software en local, que les solucione su
necesidad. Tampoco saben qu es el cloud pblico ni del resto de las formas de
despliegue porque estamos hablando de SaaS.
Para este tipo de usuario el multitenancy, elasticidad, escalabilidad, virtualizacin es
chino. Su motivacin principal para la adopcin de SaaS son los costes y focalizarse
en su negocio. La instalacin y el mantenimiento del software, los backups, la
mquina son un engorro.
No preguntan por la seguridad. Este dato es cierto y aunque va cambiando an
todava se pregunta poco: Dnde estn mis datos? Qu procedimientos de
seguridad tiene el proveedor? En esta categora se encuentran, en general, los
particulares, los autnomos, las micropymes y las pymes sin departamento de TI.

5. Implantacin y migracin a servicios cloud

5.5. Implantacin en paralelo a servicios Actuales.
Comparar un cambio empresarial de envergadura con la reparacin de un avin en
pleno vuelo es un paralelo bastante acertado en trminos de complejidad, riesgo e
interrupciones. Mxime si tenemos en cuenta las oportunidades que aparecen con las
arquitecturas orientadas a servicios (SOA), el software como servicio (SaaS) y en
general con el concepto de cloud computing, la comparacin puede comenzar a
parecer una subestimacin grosera.
Veamos porqu decimos esto, primero consideremos las organizaciones, hoy en da la
mayora de las organizaciones experimentan el choque de dos objetivos cruciales, que
a menudo se yuxtaponen.
Conforme las organizaciones maduran, normalmente a travs de una mezcla de
crecimiento y adquisicin orgnicos, los distintos departamentos, divisiones, grupos y
empresas se vuelven ms independientes, como silos, y ello deriva en una enorme
duplicacin de esfuerzos y alimenta la confusin al tratar de explicar todo a los
clientes, asociados y empleados.
Por otro lado, la mayora de las organizaciones hoy en da buscan una mayor
transparencia en su organizacin para presentar un esfuerzo y un mensaje ms
unificado para todo bien sea el explicar su misin, su propuesta de valor a los clientes,
o cmo llevan a cabo sus actividades cotidianas.
Aunque cada da irrumpe tecnologa nueva, cambios de importancia son raros y
muchas personas reconocen que la oportunidad que presenta cloud computing es
uno de esos cambios importantes, as que muchas organizaciones se estn
apresurando a cumplir la promesa de cloud computing por delante de sus
competidores.
Pero como podra esperarse, si una organizacin se divide en silos y carece de
visibilidad entre sus diversos grupos, la maximizacin de oportunidades se hace ms
complicada.
Primero unificar y luego maximizar la oportunidad? En muchos casos, no hay tiempo
para eso. La respuesta correcta en este preciso momento es tratar de alcanzar ambos
objetivos de manera agresiva, pero con los ojos puestos en una priorizacin
inteligente.
Lamentablemente, hoy en da eso es mucho fcil de decir que de hacer. La mayora
de las organizaciones carecen de una mirada a s mismas, una lente que les permita
priorizar de manera eficaz y objetiva los pasos a la unificacin, lo cual casi termina por
condenar los esfuerzos de maximizacin de oportunidades desde el principio.
Por qu sucede esto? Existe una enorme divisin de comunicacin que abarca los
diversos grupos organizacionales, incluido el departamento de tecnologa de la
informacin. En el corazn de esta divisin de comunicacin se halla algo denominado
la trampa del cmo.
Ahora de vuelta a SOA, SaaS y cloud computing. Los problemas y las oportunidades
que rodean a estos tres factores amplifican efectivamente la divisin conversacional
entre negocio y TI, en parte debido a lo nuevo de la arquitectura y la tecnologa.

El negocio va a buscar maneras de ofrecer nuevas capacidades y servicios tanto a los

clientes existentes como a los nuevos que sern excelentes nuevas fuentes de
ingreso, y crearn mayor diferenciacin competitiva.
Al mismo tiempo, muchos considerarn migrar tecnologas heredadas a servicios de
nube para ofrecer a los clientes nuevos y antiguos ms opciones en reas como
seguridad, velocidad, acceso y personalizacin.
Probablemente el negocio proporcione al departamento de TI requisitos detallados
que incluyen personalizaciones importantes para software empaquetado o ya
personalizado.
Si una organizacin an no ha salido de la trampa del cmo, la TI normalmente
crear servicios excesivamente personalizados y ms costosos de lo necesario, lo
cual erosionar la posible rentabilidad de estos nuevos modelos para, en definitiva,
ralentizar los esfuerzos de las organizaciones por conseguir sus objetivos estratgicos.
Sin embargo, tal como existe la necesidad de ser ms claro con una articulacin ms
objetiva de las necesidades y prioridades de la organizacin, tambin hay necesidad
de comprender con claridad cmo estos modelos nuevos (SOA, SaaS y cloud
computing) complementarn las soluciones y arquitecturas de TI heredadas ya
existentes (otra vez reparar el avin en pleno vuelo).
Vincular las oportunidades tcnicas presentadas por estos nuevos modelos con las
necesidades de la organizacin es vital.