documento tesina juan carlos orellana final v1€¦ · 8qlyhuvlgdg 7pfqlfd )hghulfr 6dqwd 0dutd...

Universidad Técnica Federico Santa María Departamento de Informática

Magíster en Tecnologías de la Información

1

Propuesta de un Modelo de Gobernabilidad para un entorno de Servicios en Nube

Juan Carlos Orellana Rivera

Asesorías Welukan Duble Almeyda 1730, Santiago, región metropolitana

[email protected]

Resumen: El presente trabajo propone implementar un modelo de gobernabilidad para servicios en la nube en una empresa del retail, que ya ha implantado varias soluciones que se pueden considerar como de estas características y que deben ser administradas y controladas para garantizar el buen funcionamiento del negocio. Esto permitirá a TI definir un modelo arquitectural de los servicios, junto con estándares, políticas y procedimientos que adoptara la empresa de cara a la adquisición modificación e implementación de nuevos servicios en la nube, logrando mejorar los indicadores de calidad a nivel general. Los resultados serán validados con el uso de una arquitectura de referencia, para relacionar los servicios y la medición de los indicadores de calidad de servicio; tiempo de interrupción del servicio (impacto en el negocio), tiempo en tareas de administración y tiempo en resolución de problemas (operaciones y sistemas). Palabras Clave: Nube, Gobernabilidad, Arquitectura de Referencia, Estándares, Ciclo de Vida.

1 Introducción Actualmente muchas empresas están externalizando todo lo referente a TI, debido al alto costo de mantención de aplicaciones on premise sumado a una mirada de negocio que busca implementar soluciones en forma rápida y que sean escalables en el tiempo. La nube viene a ser una solución muy valorada para lograr este objetivo, la cantidad de soluciones y modelos de negocio disponibles tienen a muchas empresas analizando como poder transitar a una arquitectura de servicios en nube que venga a dar buenas soluciones, a bajo costo y sustentables en el tiempo. La implementación de soluciones en nube se ve a menudo como un proyecto individual, que en muchos casos no cuenta con la participación de TI en la etapa de adquisición, esto sumado a la no existencia de un modelo a seguir o cumplir, lleva a que las soluciones se vayan transformando en silos que se administran en forma independiente unos de otros, haciendo que los esfuerzos de las áreas de operación de TI, se vean incrementados de forma no armónica, haciendo poco eficiente su administración. Otro punto muy importante a considerar, viene dado por el cumplimiento que se exige dentro de las empresas, ya sea por reglas internas o externas de entes reguladores sobre todo en aspectos relacionados con seguridad. De acuerdo al estado actual de implementación de servicios y al plan estratégico seguido por la empresa en revisión, que persigue externalizar llevando a la nube todo lo referente a TI, se busca lograr definir una arquitectura que logre dar gobernabilidad a aquellos servicios que son considerados como prestados desde la nube. En primer lugar, se presentarán la hipótesis y los objetivos en los que se basa esta investigación. A continuación, se explicará el fundamento teórico y el estado del arte de las tecnologías de nube y su administración, para luego exponer la situación actual revisando las medidas de los indicadores actuales de calidad de servicio; identificando los sistemas críticos de la compañía, los cuales serán clasificados para determinar cuáles pueden ser considerados como ofrecidos desde la nube. Acto seguido se definirá una arquitectura de referencia que servirá como base, para ordenar y definir todas las componentes que deberán ser abordados por el modelo que definiremos para nuestra compañía. Con todo esto definido y puesto en funcionamiento procederemos a validar que todas las funciones, para poder realizar un buen gobierno de la arquitectura nube, estén presentes y que las métricas de calidad de servicio mejoren con la implementación del modelo.



2

2 Hipótesis y objetivos

2.1 Hipótesis

La definición de un modelo de gobernabilidad definirá los estándares, políticas y procedimientos que adoptará la empresa y que serán exigidos de cara a la adquisición modificación e implementación de nuevos servicios en la nube, y se demostrará el valor de usar una arquitectura de referencia (RA), para relacionar los servicios pudiendo identificar nuevos controles como CASB.

La implementación del modelo de gobernabilidad, permitirá administrar, medir y controlar todos los servicios en nube logrando mejorar los indicadores de calidad a nivel general.

2.2 Objetivos específicos

Los siguientes son los objetivos específicos considerados en el desarrollo del presente trabajo: Demostrar el valor del uso de AR en el relacionamiento de servicios. Identificar todos los elementos necesarios que deben ser considerados para lograr una gobernabilidad de los

servicios en nube. Identificar los elementos de cumplimiento que deben ser cubiertos en cualquier implementación nube. Proponer la articulación que se debe dar entre todas las partes, de acuerdo a la arquitectura definida, para

lograr la gobernabilidad de los servicios en nube. Proponer el modelo de gobernabilidad a ser adoptado por la organización. Mejorar los indicadores de nivel de servicio. Coordinación de servicios, para evitar traslapes e inconsistencias.

2.3 Metodología para validar la hipótesis

La primera hipótesis planteada será validada con el uso de una arquitectura de referencia, para verificar qué funciones están o no presentes actualmente. La segunda hipótesis será validada a partir de los indicadores de calidad de servicio con que se cuenta actualmente; tiempo de interrupción del servicio (impacto en el negocio), tiempo en tareas de administración y resolución de problemas (operaciones y sistemas).

3 Marco Teórico

Lo primero que hay que hacer es definir qué es lo que vamos a entender como computación en la nube y para eso tomaremos la definición y desarrollo del concepto propuesto por la NIST SP 800-145 en el 2011 [1], que fue revalidada por la Publicación Especial NIST 500-322 del 2018 [2]. En esta se proporciona una definición de computación en la nube como "un modelo para permitir el acceso a la red, ubicuo, conveniente y bajo demanda a un grupo de recursos informáticos compartidos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que puede aprovisionarse y entregarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios". Además, la definición de NIST presenta los conceptos de soporte de tres modelos de servicios en la nube, cinco características esenciales y cuatro tipos de implementaciones en la nube. En total, la definición de NIST Cloud Computing se compone de 14 términos interrelacionados y sus definiciones asociadas:

Cinco características esenciales. • Auto servicio a demanda.

La capacidad informática se puede aprovisionar sin interacción humana con el proveedor del servicio. Acceso "según sea necesario" a las capacidades informáticas.



3

• Amplio acceso a la red. La capacidad informática está disponible en una amplia gama de ubicaciones utilizando protocolos estándar. En cualquier momento y en cualquier lugar, el acceso a los recursos informáticos desde cualquier máquina dentro de las políticas y restricciones de seguridad (por ejemplo, teléfonos móviles, tabletas, portátiles y estaciones de trabajo).

• Pool de recursos. La infraestructura informática se comparte entre más de un CSC (cloud service customer). Reduce los costos compartiendo recursos.

• Rápido escalamiento.

Las capacidades se pueden aprovisionar y liberar elásticamente, en algunos casos automáticamente, para escalar rápidamente hacia afuera y hacia adentro en proporción a la demanda. Para el consumidor, las capacidades disponibles para aprovisionamiento a menudo parecen ser ilimitadas y pueden asignarse en cualquier cantidad y en cualquier momento.

• Servicio medido. Los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos al aprovechar una capacidad de medición en algún nivel de abstracción apropiado para el tipo de servicio (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos se puede monitorear, controlar e informar, proporcionando transparencia tanto para el proveedor como para el consumidor del servicio utilizado

Tres modelos de servicio • Software como servicio (SaaS)

La capacidad provista al CSC es usar las aplicaciones del CSP que se ejecutan en una infraestructura en la nube. Se puede acceder a las aplicaciones desde varios dispositivos cliente a través de una interfaz de cliente ligero, como un navegador web (por ejemplo, correo electrónico basado en web) o una interfaz de programa. El CSC no administra ni controla la infraestructura subyacente de la nube, incluidos la red, los servidores, los sistemas operativos, el almacenamiento o incluso las capacidades de aplicaciones individuales, con la posible excepción de las configuraciones limitadas de configuración de aplicaciones específicas del usuario.

• Plataforma como servicio ( PaaS ) La capacidad provista al CSC es implementar en la infraestructura de la nube las aplicaciones creadas o adquiridas por CSC, utilizando lenguajes de programación, bibliotecas, servicios y herramientas compatibles con el proveedor. El CSC no administra ni controla la infraestructura subyacente de la nube, incluida la red, los servidores, los sistemas operativos o el almacenamiento, pero tiene control sobre las aplicaciones implementadas y posiblemente las configuraciones para el entorno de alojamiento de la aplicación.

• Infraestructura como servicio ( IaaS ) La capacidad brindada al CSC para aprovisionar procesamiento, almacenamiento, redes y otros recursos informáticos fundamentales en los que el CSC puede implementar y ejecutar software arbitrario, que puede incluir sistemas operativos y aplicaciones. El CSC no administra ni controla la infraestructura subyacente de la nube, pero tiene control sobre los sistemas operativos, el almacenamiento y las aplicaciones desplegadas, y posiblemente el control limitado de los componentes seleccionados de la red (por ejemplo, firewalls host).

Cuatro modelos de implementación de nube • Pública

La infraestructura de la nube se provisiona para uso abierto del público en general. Puede ser propiedad, administrada y operada por una organización empresarial, académica o gubernamental, o alguna combinación de ellos. Existe en las instalaciones del proveedor de la nube.

• Privada La infraestructura en la nube se provisiona para uso exclusivo de una sola organización que comprende múltiples CSC (por ejemplo, unidades de negocios). Puede ser propiedad, administrada y operada por la organización, un tercero o una combinación de ellos, y puede existir dentro o fuera de las instalaciones.

• Comunidad La infraestructura en la nube se provisiona para uso exclusivo por parte de una comunidad específica de CSC de organizaciones que tienen inquietudes compartidas (p. ej., Misión, requisitos de seguridad, política y consideraciones de cumplimiento). Puede ser propiedad, administrado y operado por una o más de las organizaciones en la comunidad, un tercero o una combinación de ellas, y puede existir dentro o fuera de las instalaciones.



4

• Híbrida La infraestructura de nube es una composición de dos o más infraestructuras de nube distintas (privadas, comunitarias o públicas) que permanecen como entidades únicas, pero están unidas por tecnología estandarizada o patentada que permite la portabilidad de datos y aplicaciones (por ejemplo, ruptura de nubes para equilibrio de carga entre nubes).

También debemos incluir otras declaraciones aclaratorias que componen el mundo de los servicios en nube: Aplicación: en el contexto de la computación en la nube, el término aplicación puede referirse a una aplicación SaaS, web o móvil habilitada para la nube o una aplicación que existe en una máquina virtual (por ejemplo, una aplicación Linux). Por lo tanto, es preferible aclarar ese tipo de aplicación cuando se usa el término para evitar confusiones. Como servicio ( aaS ): el término "como servicio" es un sufijo que describe una capacidad informática que admite las cinco características esenciales de la computación en la nube. El término "como servicio ( aaS )" implica que SaaS, PaaS e IaaS se entregan por medio de software. Infraestructura de nube: la colección de hardware y software que permite las cinco características esenciales de la computación en la nube. El consumidor de un servicio en la nube no administra ni controla la infraestructura subyacente de la nube. Servicio en la nube: una o más capacidades ofrecidas a través del modelo de computación en la nube. Multi–Inquilino (Multi-tenant): una arquitectura en la que se comparte un único recurso informático pero está aislado lógicamente para servir a múltiples consumidores. Modelo de servicio: la categorización de más alto nivel de servicios en la nube según el tipo de capacidad informática que se proporciona. Cualquier servicio en la nube dado puede clasificarse como uno de los tres modelos de servicio, a saber, Software como Servicio (SaaS), Plataforma como Servicio ( PaaS ) o Infraestructura como Servicio ( IaaS ). Los estándares de computación en la nube ya están disponibles en apoyo de muchas de las funciones y requisitos. Los estándares relevantes de computación en nube se han asignado a los requisitos de accesibilidad, interoperabilidad, rendimiento, portabilidad y seguridad. Si bien la tecnología de computación en la nube desafía muchos enfoques tradicionales para el diseño y administración de centros de datos y aplicaciones empresariales, los requisitos de accesibilidad, interoperabilidad, rendimiento, portabilidad y seguridad siguen siendo sumamente importantes para las implementaciones exitosas. Los estándares técnicamente sólidos y oportunos son fundamentales para garantizar que se cumplan los requisitos de interoperabilidad, portabilidad y seguridad. Ahora que tenemos un entendimiento de lo que es la computación en nube, en la propuesta de solución vamos a revisar y organizar las piezas para lograr tener una arquitectura de referencia de gobernabilidad de la computación en nube.

4 Estado Del Arte

Gobernabilidad significa establecer y hacer cumplir, cómo un grupo se compromete a trabajar juntos coordinadamente. Específicamente, la gobernabilidad es el establecimiento de:

• Cadenas de responsabilidad para asignar deberes y derechos a las personas • Medición para estimar la efectividad • Políticas para guiar a la organización a alcanzar sus metas • Mecanismos de control para asegurar el cumplimiento • Comunicación para mantener informadas a todas las partes requeridas [3].



5

La gobernabilidad de la computación en la nube se supone como un sistema de gobierno especializado para gobernar los servicios de TI en el entorno de computación en nube [4], donde el proveedor de servicios es una compañía externa de terceros que ofrece sus servicios al consumidor. La implantación de servicios dados en nube provenientes de distintos proveedores de TI, no tiene un marco teórico bien definido que las empresas puedan usar como guía, para la implementación, o al menos no existe uno que se presente como frecuentemente utilizado. No existe una definición unificada de gobierno de la computación en la nube [5] todo apunta a que cada casa de software grande como Oracle o IBM, trabajan para tener interoperabilidad de sus propios productos y disponibilizan conectores para poder integrarse con otros. Durante la última década, se han desarrollado varios frameworks de gobernabilidad para la tecnología de la información (TI) (Jäntti & Hotti, 2015) [6]. Los frameworks de gobierno de TI que se utilizan comúnmente son COBIT, ITIL, ISO 38500 y la gobernabilidad para arquitectura orientada a servicios (SOA). La mayoría de los frameworks de gobierno de TI no tienen ninguna directriz disponible para su implementación en la empresa (Joukhadar & Rabhi, 2015) [7]. Debido a la excesiva complejidad y el alcance de los frameworks de gobernabilidad de TI, muchas empresas no adoptan ni siquiera parcialmente uno (Pour, 2012) [8]. Karkošková & Feuerlicht, 2016 en “Cloud Computing Governance Life Cycle” se propone el ciclo de vida de la gestión de la computación en nube basado en SOA Governance Framework, adapta los componentes metodológicos y los extiende para gobernar los servicios de cloud computing [9]. E. Marks, 2011 “Designing and Implementing Cloud Governance” presenta un diseño para implementar gobernabilidad en nube en la empresa [10]. K. Brandis, S. Dzombeta y K. Haufe,2014 en “Towards a framework for governance architecture management in cloud environments, a semantic perspective”, presentan un modelo para la gobernabilidad de la nube con un enfoque específico en sus aspectos semánticos. Consideran tres paradigmas dominantes: el paradigma de la alineación empresarial-TI, el paradigma de la gobernabilidad y el paradigma de la nube [4]. E.B.Fernandez, Raul Monge, and Keiko Hashizume, en “Building a security reference architecture for cloud systems”, proponen un método para construir una arquitectura abstracta que describa un modelo conceptual de seguridad en la nube (SRA), definida con modelos UML y patrones, que va más allá de los modelos existentes, suministrando una visión global y una descripción precisa de lo que se requiere [11]. Dereje Yimam and Eduardo B. Fernandez, “A Survey of compliance issues in cloud computing”, plantean que la falta de arquitecturas de referencia y patrones adecuados hace que el cumplimiento sea más difícil de lo que debería ser. También resumen problemas de cumplimiento y dan algunas pautas sobre lo que esta arquitectura y sus correspondientes patrones deben contener [12].

Nigel Cook, Dejan Milojicic , Vanish Talwar, en “Cloud Management”, plantean que las organizaciones de estandarización tradicionales, como DMTF, NIST e IEEE, tienen esfuerzos independientes para estandarizar diferentes aspectos de la administración de la nube, pero todavía están en una etapa temprana del proceso para tener una claridad del impacto de estos esfuerzos. También muestran la complejidad de las diferentes fases y niveles de administración; y cómo interactúan estas fases y niveles. Los servicios en la nube se administran en la parte superior como se muestra en la figura 1, pero su administración depende de la administración de los objetos más bajos en la cadena de dependencia. Debido a que los diferentes objetos se administran de forma independiente, existe la necesidad de integración de los administradores individuales para evitar inconsistencias o comportamientos no deseados. Finalmente a partir de algunos ejemplos de la administración para las nubes privadas, públicas y HPC, Nigel Cook et al enfatizan los desafíos para el futuro de la administración de la nube, relacionando las tendencias de administración de la nube con las tendencias generales de la industria de TI. Basándonos en estas tendencias, se resumen algunos de los requisitos y desafíos de investigación de la futura administración de la nube [13].



6

Figura 1. Niveles de gestión. (Fuente: [13])

Hay que tener presente que la gobernabilidad requiere de un plan, seguido de una transición, una implementación y finalmente mediciones, esto será desarrollado en la propuesta de solución.

5 Análisis de la Situación Actual

5.1 Contexto

La compañía es una empresa nacional que presta servicios de venta de productos al por menor (retail) solo dentro de la República de Chile, tiene 40 sucursales distribuidas de Arica a Punta Arenas y su casa matriz está situada en la ciudad de Santiago. Se compone además de una división financiera que administra una tarjeta de crédito propia. A partir del año 2015 inició un proceso de transformación a todo nivel; el negocio retail se reconvirtió de una tienda por departamentos a una tienda especialista en moda, esto debido a una necesidad de mercado ya que toda la división de venta de productos electro hogar, ya no era rentable. En el ámbito TI la transformación se dio por dos razones, la primera fue la obsolescencia tanto de los sistemas como la infraestructura donde se soportaban, que ya no garantizaba un funcionamiento sobre parámetros mínimos de calidad de servicio. Tanto el negocio como su operación estaban fuertemente condicionados a una incertidumbre constante. La segunda razón fue una definición estratégica que contempló ir a soluciones externas (Externalizar la operación tecnológica – infraestructura), usar servicios en la nube (Aplicaciones SaaS), Opensource e Innovación (Soluciones Redhat, Linux), incorporar un fuerte acento funcional a la estructura interna e inducir el principio de “hacerse cargo” de los temas y resolverlos. Es decir no puede haber temas en ningún ámbito sin un responsable que vele por él en modalidad End-To-End. La composición del mapa de aplicaciones actual de empresa está dado por aplicaciones desarrolladas internamente on premise y aplicaciones como servicios que pudieran ser considerados en nube, parte de este trabajo es poder determinar cuáles son realmente servicios que cumplen condición de ser clasificados como nube. En cuanto a la infraestructura y operación TI, fue traspasada en forma íntegra a IBM. El modelo de arquitectura de infraestructura contempló implementar ambientes de desarrollo y UAT en nube pública y los ambientes productivos en nube privada. Los aplicativos que están definidos en nube como SaaS son WMS (sistema logístico de administración de centros de distribución), E-commerce (sistema de comercio electrónico), ERP (sistema financiero contable), PBCS (planificación y presupuesto), portal autogestión RRHH (sistema para colaboradores), switch transaccional, RRHH, administración de workflow, core retail, administración de tarjeta propia, administración de tarjeta abierta, admisión (ingreso de clientes nuevos), DTE (documento tributario electrónico), portal de seguros, IVR, telefonía IP, planificación de turnos, validación celular, estado de cuenta y marketing.



7

Hay algunos otros servicios que si bien no son aplicativos se prestan por proveedores externos entre otros, scoring de entrada (Equifax), autorización pago tarjetas abiertas de crédito y débito (transbank), firma digital. Para la plataforma de integración con ERP Cloud se tiene en nube como Paas los siguientes productos: OICS (Oracle Integration Cloud Service) y OJCS (Oracle Java Cloud Service) y como IaaS OSCS (oracle storage cloud service), ODCS (oracle data base cloud service). Para infraestructura se tienen dos sitios administrados íntegramente por IBM (en modalidad nube publica/privada), con un dimensionamiento de infraestructura acorde a las necesidades actuales de la empresa y con un servicio complementario de infraestructura en nube pública. Los proveedores de servicios externos tienen sus propias herramientas y modelos de gobernabilidad pero que se circunscriben solo al alcance de su servicios, cuando los servicios se componen e integran con otros para satisfacer una necesidad de negocio específica el control se debe hacer end to end y debe ser administrado por el área TI de la compañía, esto es lo que en la práctica no está sucediendo, se tienen mensualmente informes de servicios con Up Time de 100%, pero la sensación del negocio es que el servicio no tuvo disponibilidad total en el mes. A nivel de regulaciones para el lado del negocio financiero la externalización de servicios está dada por el ente regulador SBIF (super intendencia de bancos e instituciones financieras), quien en su capítulo 20-7, que da cuenta de la externalización de servicios, trata en su sección V (diligencia reforzada para servicios en la nube) específicamente como deben ser tratados los servicios en nube (ref SBIF Ran 20-7) [15]. Adicionalmente la compañía, desde su unidad de seguridad de la información, estableció un modelo de seguridad de computación en nube (solo para usar en la evaluación de SaaS), basado en estándares internacionales como lo son la norma ISO 27017 y NIST 800-145. A partir de la revisión de los estándares mencionados, se reconocieron los controles a adoptar por la compañía a fin de controlar de forma efectiva los servicios nube SaaS con los cuales opera, la resultante fue una guía para la revisión del cumplimiento de controles que se establecieron como una línea base de seguridad exigible a todos los proveedores SaaS, la guía se muestra en el anexo C. Una abstracción de la situación inicial está dada en la figura 2, donde todos los sistemas en verde están catalogados como dados en nube. De acuerdo a los análisis que realizaremos más adelante veremos cuáles de estos según la evaluación de sus servicios clasifican en definitiva realmente como en nube.

Figura 2: Situación inicial. (Fuente: Elaboración propia).



8

5.2 Definición del Problema

La rapidez con que se debían realizar la transformación de la compañía, llevó a evaluar cada uno de las aplicaciones o servicios que se debían reemplazar o adquirir en forma separada, solo tomando en cuenta estándares básicos (usados en on premise), para incorporarlos en las evaluaciones de compra y en los contratos, esto se dio así también porque los conocimientos del personal que evaluó, tanto del negocio como de las áreas TI no tenía entrenamiento en lo que eran los servicios en nube. También hay que convenir que al momento de hacer interrelacionar los distintos componentes que están en la nube con los servicios on premise propios de las empresas, cada solución tendrá características propias de acuerdo a como esté la arquitectura de solución implementada y que será diferente en cada compañía. Si bien es cierto en general, se incorporaron conceptos como Uptime y SLA de servicio, la forma de como esa métrica se obtenía nunca quedó clara, más aun solo se circunscribió a los SaaS (en su parte de aplicativo) y PaaS, dejando de lado las métricas respecto a las integraciones que es donde se radican la mayor cantidad de inconvenientes de operación, dado el grado de interoperabilidad entre los distintos componentes de la arquitectura de solución. Finalmente cada aplicativo y servicio creó su propia arquitectura de integración, modelo de seguridad y SLA’s, que siguen el estándar dado por cada fabricante sin tomar en cuenta las reales necesidades del negocio, esto provoca un alto consumo de recursos, para poder mantener la continuidad operativa, de aquí surge la necesidad de contar con un modelo de gobernabilidad que pueda garantizar la correcta administración de todos los servicios que se están utilizando. La situación a la que se llegó fue tener múltiples sistemas y servicios implementados, sin tener una claridad de cómo gobernar estos servicios prestados desde la nube, de forma simple y coherente. Otra cosa muy importante a tomar en cuenta es que de todos los servicios que están externalizados no necesariamente pueden clasificar como servicios en nube, esto será parte de lo que este trabajo, también se encargará de aclarar. Si bien es cierto la incorporación de la externalización de los servicios ha traído un ahorro en cuanto a los costos de TI (versus on premise) y se ha podido contratar soluciones de clase mundial a precios muy convenientes, los costos de operación tienen una gran oportunidad de mejora. La medición del comportamiento de los procesos de negocio end-to-end no existe y lo único disponible como medidas son los resúmenes salidos desde la mesa de ayuda con las problemáticas que los usuarios reportan. Resumiendo; el problema de la compañía es que a medida que ha ido agregando soluciones tanto de negocio como de TI, no ha sido capaz de poder definir procesos de negocio con trazabilidad de servicios clara, gestionados, con niveles de seguridad estándar y medidos que asegure un buen gobierno. Los dos grandes focos de problemas están en primer lugar en las integraciones y en segundo lugar en la gestión de datos. Esta problemática ya estaba instalada cuando todas las soluciones estaban en modalidad on premise y se vio acrecentada al comenzar a incorporar los conceptos de nube en sus soluciones.

6 Propuesta de Solución

Tenemos que partir explicando que una arquitectura de referencia es un modelo conceptual genérico de alto nivel que es una poderosa herramienta para analizar los requisitos, las estructuras y las operaciones que para nuestro caso será de gobernabilidad de la computación en la nube. El modelo no está vinculado a ningún producto, servicio o implementación de un proveedor específico. El modelo define un conjunto de actores, actividades y funciones que se pueden utilizar en el proceso de desarrollo de una arquitectura de gobernabilidad de computación en la nube. Contiene un conjunto de vistas y descripciones que son la base para discutir las características, usos y estándares para la gobernabilidad de la computación en la nube.



9

5.3 Arquitectura de referencia propuesta

La arquitectura de referencia que vamos a utilizar se centra en los requisitos que se deben cumplir en la nube para gobernar los servicios que ahí conviven, no en un diseño que define una solución y su implementación. Su objetivo es facilitar la comprensión de las complejidades operacionales que tiene montar soluciones de esta naturaleza. La arquitectura de referencia no representa la arquitectura de un sistema específico; es una herramienta para describir, discutir y desarrollar la arquitectura del sistema utilizando un marco de referencia común [16]. La figura 3, muestra la Arquitectura de referencia propuesta.

Figura 3: Arquitectura de Referencia de Gobernabilidad (ARG). (Fuente: Elaboración propia). A continuación se describen las componentes de la arquitectura. 6.1.1 Procesos que sustentan la gobernabilidad de los servicios en nube. En general todos los procesos asociados a servicios en nube son relevantes, para la ARG los que ayudan a dar gobierno son los que se deben identificar. Los procesos propuestos de gobernabilidad de la arquitectura de referencia son:

Procesos generales. Procesos que deben estar presentes:

Administración de la trazabilidad del servicio. El proceso debe ser capaz de administrar la trazabilidad de los servicios.

Administración de las dependencias. Se debe poder entender cuáles son las dependencias de los servicios, para poder tener buenas evaluaciones de impacto cuando ocurra algún evento que afecte la gobernabilidad de los servicios.

Administración del monitoreo. Evaluar y entender las medidas de gobernabilidad, para trabajar el proceso de mejora continua y la proactividad ante anomalías de los sistemas.

Administración de la seguridad. Proceso que se hace cargo de la administración de toda la seguridad de la Gobernabilidad.

Procesos gobernados. Son los procesos que son parte de la gobernabilidad de la computación en nube. Los procesos candidatos son:

Asegurar la configuración y el mantenimiento de la gestión de la computación en nube: el proceso garantiza la definición de políticas, prácticas, principios, directrices, procesos, estructuras organizativas, funciones y responsabilidades para alcanzar los objetivos empresariales y satisfacer las necesidades de los stakeholder.



10

Asegurar los beneficios de los servicios en nube: el proceso garantiza que cualquier servicio de nube aprobado, así como toda la cartera de servicios de nube aprobados, produzca el valor esperado para los stakeholder mientras optimiza el costo y el riesgo.

Asegurar que el sistema de gestión de riesgos es eficaz y eficiente: para los servicios de computación en nube y forma parte integral del sistema de gestión de riesgos.

Asegurar que el sistema de monitoreo e información de la utilización de los servicios en el entorno nube este definido: el proceso asegura el establecimiento de un sistema de control interno para monitorear el desempeño del entorno cloud en términos de cumplimiento con las necesidades empresariales, políticas de gobierno, contratos, leyes y regulaciones.

Asegurar que el sistema de gestión de proveedores de servicios en la nube este definido: el proceso asegura el establecimiento de procedimientos para la selección y evaluación de los proveedores de servicios en la nube.

Procesos de gobernabilidad. Son los procesos que darán gobernabilidad a la computación en nube. Los propuestos son:

Administración del cumplimiento: el proceso garantiza que el proceso controlado cumpla con las políticas de gobierno de la computación en la nube.

Administración de excepciones: el proceso administra las excepciones detectadas y determina si la excepción se acepta o rechaza.

Gestión de la comunicación: el proceso garantiza que la información necesaria y relevante relacionada con la gobernabilidad de la computación en la nube se comunique con los stakeholder relevantes.

6.1.2 Buenas prácticas, logramos identificar de acuerdo a la literatura y la experiencia a partir de los servicios administrados un conjunto de buenas prácticas que deben ser parte de la gobernabilidad.

La gobernabilidad de la computación en nube debe estar alineada con la gobernabilidad empresarial y la gobernabilidad de TI y debe ser apoyada por la administración ejecutiva de la compañía.

La gobernabilidad de la computación en nube debe reconocer los derechos y deberes de los consumidores y proveedores de servicios en nube, quedando estos establecidos por acuerdos contractuales legales, que regirán la relación entre las partes.

La gobernabilidad debe proporcionar el sistema de metadatos de servicios para administrar los datos relacionados con los servicios de computación en nube.

La eficacia y el rendimiento de la implementación de la gobernabilidad de la computación en nube deben ser monitoreados.

El riesgo relacionado con la utilización de los servicios de la computación en nube debe ser revisado continuamente.

Las prácticas de gobernabilidad de la computación en nube deben cumplir con los requisitos legales y regulatorios, tanto internos como externos.

6.1.3 Continuidad operativa. Los servicios en nube cambian continuamente bajo el control de los proveedores del servicio, esto obliga a tener que controlar estos cambios y crear las instancias de pruebas de todas las capas de la nube, definiendo las actividades recurrentes que se deben realizar para asegurar la continuidad operativa, cada vez que una actualización debe ser realizada, cobra mucha relevancia la administración del control del cambio y las pruebas constantes de regresión que deben ser realizadas para asegurar la continuidad operativa. 6.1.4 Estructura organizacional. Los roles y responsabilidades de la estructura organizativa de la gobernabilidad de la computación en la nube deben estar definidos. Esto puede dar lugar a una extensión de las competencias y responsabilidades de los roles existentes en la organización o a la creación de nuevos roles y responsabilidades asociadas con áreas específicas que utilizan los servicios de computación en la nube. Los roles propuestos se muestran en el Anexo E. 6.1.5 Calidad de servicio, QoS. Se hace cargo de los niveles de rendimiento, fiabilidad y disponibilidad que ofrece una aplicación y la plataforma o infraestructura que la aloja. Las políticas y SLA deben estar definidos y controlados, para la gobernabilidad y operación de los servicios en nube. Esto debe trabajarse en conjunto con el negocio y es el quien determina y define las medidas que deben ser usadas finalmente.



11

6.1.6 Gestión de datos. La gobernabilidad de los datos en nube está dada por la administración e interrelación de distintas fuentes que deben sincronizarse y explotarse de acuerdo a las necesidades del negocio, los datos si bien pertenecen a la consumidores de servicios en nube no pueden accederse directamente, por lo que deben ser gestionados de acuerdo a las necesidades del negocio y cada compañía debe definir la forma en que organizará y explotara los datos. 6.1.7 Dependencias de los servicios deben ser identificados, muchos de los servicios son interdependiente, es decir, servicios que llaman a servicios o compuestos (servicios complejos construidos con servicios más básicos). Se debe tener el mapa de servicios y poder entender como el negocio se impacta cuando ocurre algún inconveniente en alguno de ellos y a quien recurrir para el soporte. De hecho, la alteración de un solo servicio sin comprender el impacto que podría tener el cambio, podría derrumbar muchos sistemas de la compañía afectando fuertemente al negocio. El concepto de integración de servicios es relevante y es factor crítico de éxito de las implementaciones de servicios en nube. 6.1.8 Seguridad. Fundamental el administrar la gobernabilidad de la capa de seguridad de los servicios. Los servicios básicos de seguridad, incluido el uso de la administración de identidades, la seguridad basada en roles y el soporte para el registro y la auditoría, deben ser incorporados en la gobernabilidad para ser controlados y medidos. Todo lo referente a normativas, ya sean internas (seguridad de la información o auditorías) o entes reguladores deben ser cumplidas a cabalidad.

6.2 Modelo de ciclo de vida de la gestión de la gobernabilidad de la computación en nube

La solución a implementar se basa en poder lograr identificar todos los componentes necesarios, para poder gobernar los servicios prestados desde la nube, esto lo lograremos tomando como base la ARG que definimos (Fig. 3) y a partir de ella vamos a desarrollar el modelo de ciclo de vida de la gestión de la gobernabilidad de la computación en nube mostrado en la figura 4 el que consta de cuatro etapas: planificación, definición, implementación y monitoreo, y que nos permitirá a través de sucesivas iteraciones ajustar el modelo de gobierno, para satisfacer las necesidades específicas requeridas por la compañía en forma gradual.

Figura 4: Etapas requeridas para la gobernabilidad de servicios en nube. (Fuente: [9]).

Cada una de las etapas mostradas en la figura 4 tiene un objetivo y actividades que deben ser realizadas. El objetivo del Plan es la creación de un roadmap, para lograr dar una gobernabilidad a todos los servicios que se prestan desde los entornos de nube. El objetivo de la transición es la creación de los planes de transición necesarios para lograr la implementación de gobernabilidad. Esto requiere el hacer las definiciones correspondientes en todos los ámbitos que vamos a incorporar como parte de la implementación de la gobernabilidad. El objetivo de la implementación, es llevar a cabo los planes de transición definidos en la etapa de plan y por último el objetivo de las mediciones es recopilar información sobre el rendimiento de la gobernabilidad de la computación en la nube y los procesos gobernados, permitiendo evaluar el nivel de cumplimiento de los objetivos y metas de la gobernabilidad, con el fin de mejorar en forma continua.



12

La solución propuesta requiere que se definan para cada una de las etapas las actividades que deben ser realizadas como parte de la solución.

6.2.1 Planificación

Se proponen las siguientes actividades como parte del plan:

1. Análisis de los modelos de gobierno y procesos de gobernabilidad implementados. Los niveles de madurez de la gobernabilidad de la computación en nube que tomaremos como base para evaluar se muestran en el anexo D.

2. Análisis de los contratos de servicios externos suscritos. Para la evaluación de SaaS utilizaremos la guía de autoevaluación mostrada en el anexo C, además se deben identificar si existen políticas y SLA definidos que cumplan los requerimientos del negocio.

3. Análisis de los servicios en uso, determinaremos cuáles son efectivamente servicios nube y su modelo de servicio (SaaS, IaaS o SaaS), de acuerdo a las hojas de trabajo del Anexo A. También determinaremos las dependencias y tras traslapes de existir (catálogo de servicios y sus dependencias).

4. Visión y estrategia de la gobernabilidad de la computación en nube. Crearemos una visión a largo plazo para la computación en nube y la estrategia para la realización de esta visión. La estrategia debe estar alineada con el negocio y debe contener la inversión en gobernabilidad de la computación en nube, la definición de métricas para medir el valor obtenido de la gobernabilidad y la priorización de las actividades que se definan.

5. Alcance de la gobernabilidad de la computación en nube. Que es lo que vamos a incorporar como gobernabilidad. Debemos identificar las necesidades del negocio, los procesos de gobernabilidad de la computación en nube en base a lo definido en la ARG y los componentes de selección de la gobernabilidad de la computación en nube que gobiernan sólo los objetos de negocio relevantes y necesarios con un costo y en un tiempo aceptable.

6. Revisión del uso de buenas prácticas. De acuerdo a lo definido en la ARG. 7. Análisis Calidad del servicio, QoS que tenemos actualmente. Administración de políticas y SLA. Definición

de las Políticas y los SLA a cumplir. 8. Roadmap de la gobernabilidad de la computación en nube.

6.2.2 Transición

Se proponen las siguientes actividades como parte de la transición:

1. Definición de los procesos de gobierno y los procesos gobernados. Tomando como base la ARG. 2. Definición de estructura organizacional, roles y responsabilidades. Tomando como base la ARG. 3. Definición de capacidades de habilitación y medio ambiente. Definir la tecnología y las herramientas (en

anexo F, se muestra herramientas candidatas) necesarias para la implementación y operación de la gobernabilidad de la computación en nube.

4. Definición checklist de funciones de gestión de gobernabilidad de computación en nube. Identificar las funciones de gobernabilidad, asignación de responsables, para verificar si son cumplidas.

5. Definición de cómo se administrará la gobernabilidad de la seguridad. El área de seguridad de la información junto con TI, serán los responsables de esta actividad. Es necesario revisar a todo nivel como será gobernada la seguridad y determinar que estándares serán los que deberán cumplirse.

6. Definición de la gobernabilidad de la integración en nube. El área de arquitectura es responsable de la definición e implementación del modelo de integración de la compañía. De acuerdo a la situación actual existen tres frentes a satisfacer. a. Integración On Line. Realizada a través de API. b. Integración de Archivos. Realizada a través de un MFT (Manager File Transfer). c. Integración de sistemas legados. Realizados a través de un application server.

7. Definición de la Gobernabilidad de los datos. Cada proveedor de nube administra los datos en forma propia, pero el modelo de explotación de esos datos es de la compañía, es por eso que se requiere poder gobernar como los datos son accedidos y custodiados, para prever que se cumplan todas las necesidades del negocio.

8. Creación de los planes de transición a ser implementados. Planificación de todas las tareas y actividades que deben llevarse a cabo para alcanzar eficientemente el estado final y cerrar las brechas entre las condiciones actuales y el futuro deseado.



13

6.2.3 Implementación

En esta fase se implementan los planes de transición desarrollados en la fase de definición. Para cada uno de los puntos levantados en la etapa de transición se creó un plan que debe ser implementado, no se mostrarán cada uno de estos planes, por dos razones, la primera, es que es demasiado extenso y la segunda, es que aún está en etapa de desarrollo, tal como se ve en la figura 5 donde está el roadmap que se está siguiendo.

6.2.4 Monitoreo

El monitoreo de la gobernabilidad de la computación en nube abarca las siguientes actividades:

Recopilación de datos sobre el funcionamiento de la gobernabilidad de la computación en nube y los procesos gobernados.

Evaluar los valores medidos y compararlos con los valores definidos. Informar sobre los valores medidos y sus desviaciones. Plantear planes de mejora, para lograr llevar los valores medidos a los valores definidos como normales.

Con la evaluación de los valores medidos determinaremos el nivel de cumplimiento de metas y objetivos y utilizaremos la información para realizar las mejoras que se requieran. Para evaluar adecuadamente el nivel de desempeño de la gobernabilidad de la computación en la nube, es necesario monitorear:

Los eventos causados por un cambio en la estrategia comercial. La estrategia de computación en la nube. La estructura organizativa Los cambios en la legislación.

La evaluación constante y los ajustes a los planes estratégicos de la compañía provocara que la gobernabilidad en todo su contexto se vea afectada y se tenga que ir adaptando de acuerdo a los cambios del ecosistema de servicios y funcionamiento del negocio.

6.3 Roadmap

El mapa de ruta general contiene todos los puntos a nivel macro que deben ser abordados para lograr tener un modelo de gobernabilidad de los servicios prestados en la nube.

Figura 5: Roadmap para la gobernabilidad de servicios en nube. (Fuente: Elaboración propia).



14

7 Desarrollo De La solución

Como desarrollo de la solución nos vamos a remitir a revisar la parte de los planes que nos permitan validar las hipótesis y los objetivos específicos que nos planteamos en este trabajo. Pero no podemos dejar de partir el análisis sin abordar la actividad uno del plan (análisis de los modelos de gobierno y procesos de gobernabilidad implementados), donde se evaluó el nivel de madurez actual de la gobernabilidad de servicios en nube de acuerdo al modelo propuesto en el anexo D. El resultado fue que nos encontramos en un nivel 1, “con un gobierno de computación en nube inicial; con prácticas y procesos de gestión de la computación en nube inexistentes o inadecuados, que son inconsistentes y dependen de la experiencia del jefe de departamento de TI que reconoció que la gobernabilidad de la computación en nube debe ser abordada”. Este es nuestro estado inicial y tomando en cuenta que son seis niveles (del 0 al 5), el camino que nos queda por delante es significativo.

7.1 Identificación de los servicios más relevantes de la compañía

Siguiendo el desarrollo de los puntos dos y tres enunciados en la planificación, identificamos los servicios que son más relevantes hoy en día en la empresa. Desde los aplicativos en modalidad SaaS, los servicios que soportan la operación y los puntos donde existen integraciones ya sean on premise, SaaS, PaaS o IaaS. Acá no hacemos distinción si los servicios son de gobernabilidad o de operaciones, solo identificamos que son servicios que son usados diariamente. Esto es parte de lo que debemos hacer, para cumplir el punto 3 de las actividades de planificación. La tabla 1 muestra el levantamiento original de servicios más importantes identificados. Estos los clasificamos en cuatro grupos:

Servicios TI de infraestructura tecnológica. Todos aquellos que son soporte de los sistemas de la compañía, su alcance de acción está dado por la administración y gestión de servidores, Datos (BD), redes, comunicaciones y la seguridad de los ámbitos que administra y gestiona.

Sistemas aplicativos de negocio. Sistemas de la compañía que satisfacen una necesidad de negocio. Servicios continuidad. Todos aquellos que sirven para dar soporte a la operación de los sistemas y aplicativos

que soportan el negocio. Servicios integración. Los que se encargan de que los distintos integrantes del ecosistema de sistemas se

puedan relacionar tanto en forma como en oportunidad, para lograr una continuidad operativa estable.

Tabla 1: Servicios más importantes identificados. (Fuente: Elaboración propia).

Servicios Descripción del servicio

Servicios TI de infraestructura tecnológica

Administración y gestión plataforma crítica

Plataforma tecnológica (servidores, datos, redes, comunicaciones), que contiene todos los sistemas críticos on premise de la compañía. Servicio con contingencia en Sitio secundario.

Administración y gestión plataforma no crítica

Plataforma tecnológica (servidores, datos, redes, comunicaciones), que contiene todos los sistemas no críticos y los ambientes de desarrollo y pruebas. Servicio sin contingencia en sitio secundario.

Administración y control procesos batch (malla procesos masivos)

Ejecución de la malla de procesos batch (procesos de ejecución diaria)

Sistemas aplicativos de negocio

Gestión financiero/contable (ERP) Sistema en la nube que provee toda la funcionalidad financiero contable de la compañía.

Gestión presupuestaria (EPM) Sistema en la nube que provee toda la funcionalidad de planificación de presupuesto de la compañía.

Gestión punto de venta (POS) Sistema de gestión de punto de venta (POS) usado por todas las sucursales.

Gestión e-Commerce Sistema en la nube de comercio electrónico



15

gestión etiquetadora de precios en tienda

Sistema de etiquetado de precios en la tienda.

Control biométrico de asistencia Sistema de control de asistencia que utiliza lector biométrico.

Core retail Sistema de administración de inventarios, reposición de mercaderías y gestión de datos retail.

B2B (portal proveedores) Sistema de interacción con proveedores.

DTE (documento tributario electrónico)

Sistema para generación de documentos tributarios electrónicos (facturas, boletas, notas de crédito, guías de despacho).

Gestión RRHH Sistema que administra las contrataciones y el pago de sueldos de los colaboradores de la compañía.

Administración workflow Sistema para definir y administrar workflow (reclamos, campañas, proyectos inmobiliarios)

Montaje de mercadería en tienda Sistema que permite controlar la estandarización de los montajes en tienda de campañas y cambios de temporada

WMS (administración centros de distribución)

Sistema que permite administrar la logistica de los centros de distribución (bodegas centrales o locales de la compañía)

Admisión clientes Sistema que realiza ingreso de un cliente y el otorgamiento de una tarjeta de crédito propia de la compañía.

Financiamiento venta con tarjeta crédito propia

Autorización financiamiento venta tarjeta crédito propia.

Venta tarjeta abierta Ventas con tarjetas abiertas (debito, crédito), servicio Transbank.

Administración tarjeta Propia Administración y procesamiento de tarjetas de crédito propias, administra la cartera de tarjetas habientes de la compañía.

Pago estado de cuenta en POS Recaudación del pago de los estados de cuenta de la tarjeta propia en el POS.

Autogestión RRHH Portal internet donde los colaboradores pueden realizar las funciones propias de la gestión de RRHH (liquidaciones de sueldo, certificados, vacaciones, etc.)

Portal financiero Portal internet donde los clientes pueden gestionar sus estados de cuenta (revisión y pago), realizar avances en efectivo, recargar móviles.

Servicios continuidad

Verificación de identidad Servicio de autentificación biométrico de clientes y colaboradores disponible en los puntos de venta.

Información previsional Consulta previsional de clientes para asignación de cupos.

Firma electrónica Firma digital de documentos y custodia electrónica de contratos. Scoring clientes Entrega información financiera y scoring de clientes Mensajería SMS Verificación de número de celular por envío SMS.

Switch transaccional Switch que controla todas las transacciones financieras y sirve de concentrador, para efectos de conciliación y cuadratura

Liquidación a comercios asociados Pago de transacciones de venta realizadas con tarjeta de crédito propia en comercios asociados

Conciliación TRX de comercios asociados v/s registro de cargas en cartera del negocio

Cuadraturas de transacciones de venta con tarjeta de crédito propia en comercios asociados v/s lo que se registró por los sistemas de la compañía.

Emisión de estado de cuenta cliente Impresión y envío de estados de cuenta de operaciones realizadas con tarjeta de crédito propia a los clientes de la compañía.

Reclamos directos Gestión de reclamos internos (realizados por los clientes directamente por los canales propios de la compañía).

Reclamos SERNAC Gestión de reclamos externos (respuesta de reclamos realizados por los clientes en SERNAC).

Conciliación TRX de tarjetas abiertas v/s Transbank

Cuadraturas de transacciones de venta con tarjetas de crédito o débito abiertas registradas en los POS v/s lo que se registró en Transbank.



16

Servicios integración Integración plataforma gestión financiero/contable (ERP)

Componentes que permiten integrar el sistema ERP con el resto de los sistemas de la compañía.

Integración plataforma gestión presupuestaria (EPM)

Conjunto de componentes que permiten integrar el sistema EPM con el resto de los sistemas de la compañía.

Integración plataforma WMS Conjunto de componentes que permiten integrar el sistema WMS con el resto de los sistemas de la compañía.

Integración plataforma B2B Conjunto de componentes que permiten integrar el sistema B2B con el resto de los sistemas de la compañía.

Integración DTE (documento tributario electrónico)

Conjunto de Componentes que permiten integrar el sistema DTE con el resto de los sistemas de la compañía.

Integración core retail Conjunto de componentes que permiten integrar el sistema core retail con el resto de los sistemas de la compañía.

Integración control biométrico de asistencia

Conjunto de componentes que permiten integrar el sistema control biométrico con el resto de los sistemas de la compañía.

Integración e-Commerce Conjunto de componentes que permiten integrar el sistema e-Commerce con el resto de los sistemas de la compañía.

Integración etiquetadora de precios en tienda

Conjunto de componentes que permiten integrar el sistema de etiquetado de precios con el resto de los sistemas de la compañía.

Integración switch transaccional Conjunto de componentes que permiten integrar el sistema switch transaccional con el resto de los sistemas de la compañía.

Integración Marketplace Integración con canales de venta internet (Dafiti, mercado libre)

JCS Oracle JCS es una solución que permite crear aplicaciones nativas en la nube: integraciones, flexibilidad, seguridad, alta disponibilidad HA, acceso administrativo.

ICS Oracle ICS es una solución que permite conectar aplicaciones en la nube: conexiones, integraciones, mapeo, enriquecimiento de datos, lookups, packages, agentes.

Cada uno de los servicios identificados no tiene una clasificación específica y no es posible agruparlo bajo ningún concepto que nos indique si son o no dados desde la nube y si son o no servicios de Gobernabilidad o de operación.

7.2 Categorización de los servicios

Según lo visto al principio del marco teórico existen cinco características esenciales que deben estar presentes en los servicios, para poder ser categorizados como servicio en nube: auto servicio a demanda, amplio acceso a la red, pool de recursos, rápido escalamiento y servicio medido.

Para comprender las características esenciales, es importante entender el significado del término “esencial”. En este documento, “esencial” significa que cada proveedor de servicios en la nube (CSP) debe tener la capacidad de proporcionar cada característica esencial para el cliente del servicio en la nube (CSC) para un servicio determinado. El CSC puede o no elegir implementar o usar cada característica esencial en una instancia específica. Además, el CSC debe hacer un juicio subjetivo para determinar si se cumplen sus requisitos y para decidir si la oferta del CSP puede considerarse un servicio en la nube para sus propósitos.

El proceso de categorizar una capacidad informática no siempre es definitivo. Un CSC puede querer interpretar una característica esencial de una manera específica para respaldar sus requisitos. Por lo tanto, este trabajo permite flexibilidad para determinar que una capacidad informática califica como un servicio en la nube al proporcionar opciones para evaluar cada característica esencial.

Lo mencionado en el párrafo anterior lo tomaremos como base para categorizar si un servicio califica como servicio nube, es decir, no es mandatorio que se cumplan todas las características esenciales, pero sí es fundamental que si se requiere se pueda exigir que estén presentes. Si una entidad puede confirmar un criterio específico depende del criterio en sí. Algunos criterios son visibles externamente (como la disponibilidad) y pueden ser confirmados por el CSC u otra entidad externa, mientras que



17

otros criterios (como la agrupación de recursos) son internos al servicio en la nube y deben ser confirmados por el CSP.

Para apoyarnos en la categorización usaremos Las hojas de trabajo definidas en el anexo A.

En la tabla 2 mostramos el resultado de revisar que las características esenciales estén presentes en los servicios, para clasificarlos como servicios nube, para efecto de este estudio descartamos los que no cumplen.

Tabla 2: Servicios que pueden ser considerados nube. (Fuente: Elaboración propia).

Servicios Auto servicio a demanda

Amplio

acceso a la red

Pool de

recursos

Rápido

escalamiento

Servicio

medido

Servicio

NUBE

Administración y gestión plataforma crítica X X X X X SI

Administración y gestión Plataforma no Crítica X X X X X SI

Gestión financiero/contable (ERP) X X X X X SI Gestión presupuestaria (EPM) X X X X X SI

Gestión e-Commerce X X X X X SI

Marketplace X X X X X SI

Control biométrico de asistencia X X X X X SI

B2B (portal proveedores) X X X X X SI

Gestión RRHH X X X X X SI

Administración workflow X X X X X SI

Montaje de mercadería en tienda X X X X X SI WMS (administración centros de distribución) X X X X X SI Financiamiento venta con tarjeta crédito propia X X X X X SI

Venta tarjeta abierta X X X X X SI

Administración tarjeta propia X X X X X SI Autogestión RRHH X X X X X SI Portal financiero X X X X X SI Verificación de identidad X X X X X SI

Información previsional X X X X X SI

Firma electrónica X X X X X SI Scoring X X X X X SI Mensajería SMS X X X X X SI Switch transaccional X X X X X SI

Integración plataforma gestión financiero/contable (ERP) X X X X X SI Integración Plataforma gestión presupuestaria (EPM) X X X X X SI Integración plataforma WMS X X X X X SI Integración plataforma B2B X X X X X SI Integración DTE (documento tributario electrónico) X X X X X SI Integración control biométrico de asistencia X X X X X SI Integración e-Commerce X X X X X SI Integración switch transaccional X X X X X SI

Integración marketplace X X X X X SI

JCS X X X X X SI

ICS X X X X X SI



18

Lo primero que podemos visualizar al categorizar los servicios, es que el % de servicios on premise v/s nube, es de un 36% on premise y un 64% en nube. 7.3 Clasificación según la modalidad de servicio que se presta

Ahora que ya sabemos cuáles son nuestros servicios en la nube, vamos a clasificarlos según la modalidad de servicio en que se prestan. Para eso ocuparemos la Hoja de trabajo 10.2.2 del anexo A que permite ayudar a evaluar cuál es el modelo de servicio en la nube. La tabla 3 muestra el modelo de servicio.

Tabla 3: Servicios que pueden ser considerados nube. (Fuente: Elaboración propia).

Servicios

¿El servicio en la nube es una aplicación de software?

¿El servicio en la nube es una plataforma de desarrollo y / o despliegue de software?

¿El servicio de nube es la infraestructura de TI?

Modelo de servicio en la nube

Administración y gestión plataforma crítica X IaaS Administración y gestión plataforma no crítica X IaaS Gestión financiero/contable (ERP) X SaaS Gestión presupuestaria (EPM) X SaaS Gestión e-Commerce X SaaS Marketplace X SaaS Control biométrico de asistencia X SaaS B2B (portal proveedores) X SaaS Gestión RRHH X SaaS Administración workflow X SaaS Montaje de mercadería en tienda X SaaS

WMS (administración centros de distribución) X SaaS

Financiamiento venta con tarjeta crédito propia X SaaS Venta tarjeta abierta X SaaS Administración tarjeta Propia X SaaS Autogestión RRHH X SaaS Portal financiero X SaaS

Verificación de identidad X SaaS

Información previsional X SaaS Firma electrónica X SaaS Scoring X SaaS Mensajería SMS X SaaS Switch transaccional X SaaS Integración plataforma gestión financiero/contable (ERP)

X

SaaS

Integración plataforma gestión presupuestaria (EPM) X SaaS

Integración plataforma WMS X SaaS Integración plataforma B2B X SaaS

Integración DTE (documento tributario electrónico) X SaaS

Integración control biométrico de asistencia X SaaS Integración e-Commerce X SaaS



19

Integración switch transaccional X

SaaS

Integración marketplace X SaaS JCS X PaaS ICS X PaaS

A pesar que se pueda ver que la modalidad de servicios en nube SaaS mantiene un gran volumen con respecto a PaaS y SaaS, tenemos que convenir que hay que seguir trabajando en estas modalidades, pero, tal como lo manifesté anteriormente, nos vamos a concentrar en los servicios SaaS que son los que se presentan con un mayor grado de dispersión por tener orígenes en distintos proveedores y es por donde tenemos más problemas de operación.

7.4 Estructura organizacional, roles y responsabilidades de la gobernabilidad

La actividad número dos de la transición que consiste en la definición de estructura organizacional, roles y responsabilidades de la gobernabilidad también es muy prioritaria, ya que permitirá poder asignar tareas específicas de gobernabilidad en pos de mejorar la situación actual. Según la ARG los roles de gobernabilidad están dados según lo mostrado en el anexo E, de acuerdo a eso los relacionaremos con los roles existentes en la compañía y crearemos los que no están presentes. Los roles y sus derechos son responsabilidad del área de seguridad, por el momento se utilizará Active Directory (AD) para el acceso general, pero para las aplicaciones en nube no todas se pueden conectar a AD. Por lo que por el momento se hace la asignación de operación dentro del aplicativo. Uno de los objetivos de la actividad cinco de la etapa de transición (definición de cómo se administrara la gobernabilidad de la seguridad en la nube) será el determinar si se usara un RBAC (control de acceso basado en roles); lo que sí está claro es que otro objetivo de esta tarea es poder evaluar una herramienta CSAB (Cloud Access Security Broker) que sirva de nexo para administración de acceso a todos los servicios en nube. El resultado de la asignación de roles se muestra en la tabla 4. Estos roles ya fueron asignados a usuarios que asumieron sus nuevas responsabilidades y están en plena operación.

Tabla 4: Roles que deben ser considerados para la gobernabilidad de servicios en nube. (Fuente: Elaboración propia). Estructura Rol Cargo compañía Responsabilidad

Comité directivo TI/Negocio

Director (gerente) de la nube

Gerente de operaciones y sistemas

Tomar decisiones estratégicas en relación con la gobernabilidad de la computación en nube en conjunto con ejecutivos de negocios.

Coordinación conjunta y planificación de objetivos empresariales y estrategia e inversiones empresariales de la computación en la nube.

Decisiones conjuntas con el negocio sobre la aceptabilidad de los servicios de computación en nube.

Valida y autoriza los contratos con los proveedores de nube.

Computación en nube tablero (Board) de gobernabilidad

Jefe de gobernabilidad de computación en la nube.

Jefe de arquitectura e integración

Definición de alcance de la gobernabilidad de computación en la nube

Velar porque se cumpla la adopción de la gobernabilidad de la computación en nube y la adaptación de los procesos de gobernabilidad, roles y responsabilidades

Responsabilidad por la definición de las políticas de gobierno de la computación en nube, la tecnología y las métricas de los procesos de



20

gobierno.

Definición de mapa de gobierno y planes de transición de la computación en la nube

Equipo de desarrollo de gobernabilidad de computación en nube

Analista de gobernabilidad de computación en la nube

Administrador de proyectos de gobernabilidad de computación en la nube

Desarrollador de gobernabilidad de computación en la nube

Se definen en la compañía tres cargos, para satisfacer estos roles:

Analista de gobernabilidad de computación en la nube

Administrador de proyectos de gobernabilidad de computación en la nube

Desarrollador de gobernabilidad de computación en la nube

Responsabilidad por la propuesta de cambio del modelo de gobierno de computación en la nube

Creación de la hoja de ruta de la gobernabilidad de computación en la nube

Implementación del plan de transición

Operación de la gobernabilidad de la computación en nube

Administrador de operaciones de computación en la nube

Jefe de operaciones y continuidad operativa

Administración de la operación de gobernabilidad de la computación en la nube.

Recopilación y evaluación de los resultados de monitoreo de los procesos de gobierno de la computación en la nube y escalamiento de desviaciones detectadas

7.5 Políticas para controlar cada uno de los servicios en nube.

Lo que sigue es definir las políticas que servirán de base para realizar las mediciones de la calidad de servicio que se está prestando desde los servicios en la nube. La tabla 5 muestra las políticas que se definieron para controlar cada uno de los servicios en nube, con sus respectivos porcentajes de cumplimiento de SLA. Esto fue obtenido del trabajo realizado en la revisión de contratos y con reuniones con el negocio, para determinar sus necesidades. Esta será una primera aproximación, ya que seguiremos trabajando en depurar e incorporar nuevas políticas a controlar, según vaya madurando nuestro modelo de gobernabilidad en el tiempo.

Tabla 5: Políticas definidas, para controlar cada uno de los servicios en nube. (Fuente: Elaboración propia).

Servicios Políticas % SLA Meta

Administración y gestión plataforma crítica

Disponibilidad de la plataforma tecnológica crítica. 7x24.

99,9

Administración y gestión plataforma no crítica

Disponibilidad de la plataforma tecnológica (servidores, datos, redes, comunicaciones) sin contingencia en site secundario. 7x24.

99,0

Gestión financiero/contable (ERP) Uptime 5x8 99,5 Gestión presupuestaria (EPM) Uptime 5x9 99,5



21

Gestión e-Commerce Uptime 7x24 99,5 Marketplace Uptime 7x24 99,5 Control biométrico de asistencia Uptime 7x24 99,5 B2B (portal proveedores) Uptime 7x24 99,5 Gestión RRHH Uptime 5x9 99,0 Administración workflow Uptime 5x9 99,0 Montaje de mercadería en tienda Uptime 7x24 99,5 WMS (administración centros de distribución)

Uptime 7x24 99,5

Financiamiento venta con tarjeta crédito propia

Uptime 7x24 99,5

Venta tarjeta abierta Uptime 7x24 99,5

Administración tarjeta propia Uptime 5x9 99,0 Autogestión RRHH Uptime 7x24 99,5 Portal financiero Uptime 7x24 99,5 Verificación de identidad Uptime 7x24 99,5

Tiempo respuesta promedio menor 0,5 segundo 99,5 Información previsional Uptime 5x9 99,0

Tiempo respuesta promedio menor 0,5 segundo 99,0

Firma electrónica Uptime 5x9 99,0

Tiempo respuesta promedio menor 0,5 segundo 99,0 Scoring Uptime 5x9 99,0

Tiempo respuesta promedio menor 0,5 segundo 99,0 Mensajería SMS Uptime 7x24 99,5

Switch transaccional Uptime 7x24 99,5

Tiempo respuesta promedio menor 0,5 segundo 99,5 Integración plataforma gestión financiero/contable (ERP)

Uptime 7x24 99,5

Tiempo respuesta promedio menor 1 segundo 99,5

Integración plataforma gestión presupuestaria (EPM)

Uptime 7x24 99,5 Tiempo respuesta promedio menor 1 segundo 99,5

Integración plataforma WMS Uptime 7x24 99,5 Tiempo respuesta promedio menor 1 segundo 99,5

Integración plataforma B2B Uptime 7x24 99,5 Tiempo respuesta promedio menor 0,5 segundo 99,5

Integración DTE (documento tributario electrónico)

Uptime 7x24 99,5 Tiempo respuesta promedio 99,5

Integración control biométrico de asistencia

Uptime 7x24 99,5

Tiempo respuesta promedio menor a 1 segundo 99,5 Integración e-Commerce Uptime 7x24 99,5

Tiempo respuesta promedio menor a 1 segundo 99,5 Integración switch transaccional Uptime 7x24 99,5

Tiempo respuesta promedio menor a 1 segundo 99,5

Integración marketplace Uptime 7x24 99,5

JCS Uptime 7x24 99,5

ICS Uptime 7x24 99,5



22

7.6 Métricas obtenidas

Cada una de estas políticas se va implementando y logrando obtener sus métricas a través del tiempo, la primera edición de algunos indicadores partió en enero del 2018 y se fueron incorporando paulatinamente el resto de las medidas en los meses sucesivos, hasta lograr tenerlos todos en Julio del 2018. La tabla 6 muestra los resultados y evolución de las mediciones, hasta agosto del 2018.

Tabla 6: Métricas de políticas definidas. (Fuente: Elaboración propia).

Finalmente, a partir del trabajo que se está realizando, para tener un modelo de gobernabilidad de los servicios logramos administrar, en una primera fase, las métricas de los servicios en nube de la compañía, esto fue fruto de la primera iteración de trabajo del plan de revisión de contratos y levantamiento de SLA y políticas realizadas con el negocio.

Servicios Politicas % SLA Meta ene-18 feb-18 mar-18 abr-18 may-18 jun-18 jul-18 ago-18

Administracion y Gestion Plataforma CriticaDisponibilidad de la plataforma tecnológica Crítica. 7x24.

99,9 98,6 99,5 98,6 99,5 99,9 100,0 100,0 100,0

Administracion y Gestion Plataforma No CriticaDisponibilidad de la plataforma tecnológica (Servidores, Datos, Redes, Comunicaciones) SIN Contingencia en Site secundario. 7x24.

99,0 Sin Datos 100,0 99,5 97,8 99,0 100,0 100,0 100,0

Gestion Financiero/Contable (ERP) Uptime 5x8 99,5 100,0 99,9 99,9 98,6 100,0 99,7 100,0 100,0

Gestion Presupuestaria (EPM) Uptime 5x9 99,5 100,0 99,9 99,9 99,6 100,0 99,7 100,0 100,0

Gestion e-Commerce Uptime 7x24 99,5 99,7 100,0 99,3 99,4 99,6 99,8 99.31 99.31

Marketplace Uptime 7x24 99,5 86,0 84,6 85,8 83,9 83,8 84,9 84,4 84,4

Control Biométrico de asistencia Uptime 7x24 99,5 99,7 100,0 98,3 99,7 99,8 100,0 100,0 100,0

B2B (Portal Proveedores) Uptime 7x24 99,5 99,5 97,4 100,0 98,2 93,1 96,9 97,4 97,4

Gestion RRHH Uptime 5x9 99,0 98,7 99,5 99,9 97,8 95,5 99,9 98,6 98,6

Administración Workflow Uptime 5x9 99,0 99,8 100,0 99,9 99,9 100,0 100,0 99,6 99,8

Montaje de mercadería en tienda Uptime 7x24 99,5 83,8 84,9 100,0 100,0 100,0 100,0 100,0 100,0

WMS (Administración Centros de distribución) Uptime 7x24 99,5 99,9 99,9 99,9 99,9 99,9 99,8 99,8 100,0

Financiamiento venta con Tarjeta Crédito Propia Uptime 7x24 99,5 93,1 96,9 99,7 99,9 99,8 99,8 100,0 100,0

Venta Tarjeta Abierta Uptime 7x24 99,5 100,0 100,0 99,6 99,8 99,7 99,6 95,5 99,9

Administración tarjeta Propia Uptime 5x9 99,0 100,0 100,0 99,8 99,9 99,8 100,0 99,5 99,9

Autogestion RRHH Uptime 7x24 99,5 99,7 99,8 100,0 100,0 100,0 100,0 100,0 99,9

Portal Financiero Uptime 7x24 99,5 98,2 93,1 96,9 97,4 97,4 97,0 100,0 100,0

Uptime 7x24 99,5 100,0 100,0 97,6 97,9 97,1 97,0 99,9 99,9

Tiempo respuesta promedio menor 0,5 segundo 99,5 100,0 98,3 99,7 99,8 100,0 100,0 100,0 99,7

Uptime 5x9 99,0 97,4 100,0 98,2 93,1 96,9 97,4 100,0 99,6

Tiempo respuesta promedio menor 0,5 segundo 99,0 99,5 99,9 97,8 95,5 99,9 98,6 100,0 99,8

Uptime 5x9 99,0 100,0 99,9 99,9 100,0 100,0 99,6 99,9 99,9

Tiempo respuesta promedio menor 0,5 segundo 99,0 Sin Datos 100,0 100,0 99,6 99,8 99,7 99,7 99,9

Uptime 5x9 99,0 Sin Datos 100,0 100,0 99,8 99,9 99,8 99,7 99,8


Mensajería SMS Uptime 7x24 99,5 Sin Datos 100,0 99,7 99,9 100,0 100,0 100,0 99,8

Uptime 7x24 99,5 Sin Datos 100,0 99,6 99,8 96,9 97,4 97,4 93,1


Uptime 7x24 99,5 Sin Datos Sin Datos 97,6 97,9 97,1 97,0 97,4 97,0

Tiempo respuesta promedio menor 1 segundo 99,5 Sin Datos Sin Datos 97,6 97,9 97,1 97,0 97,1 97,0






Tiempo respuesta promedio menor 0,5 segundo 99,5 Sin Datos Sin Datos 99,9 99,8 100,0 100,0 100,0 100,0


Tiempo respuesta promedio 99,5 Sin Datos Sin Datos 95,5 99,9 100,0 100,0 100,0 100,0


Tiempo respuesta promedio menor a 1 segundo 99,5 Sin Datos Sin Datos 97,6 97,9 97,1 97,0 99,9 98,6

Uptime 7x24 99,5 Sin Datos Sin Datos Sin Datos 927,1 97,0 100,0 100,0 100,0

Tiempo respuesta promedio menor a 1 segundo 99,5 Sin Datos Sin Datos Sin Datos 97,1 97,0 100,0 100,0 100,0

Uptime 7x24 99,5 Sin Datos Sin Datos Sin Datos 100,0 100,0 100,0 100,0 100,0

Tiempo respuesta promedio menor a 1 segundo 99,5 Sin Datos Sin Datos Sin Datos 95,9 99,1 99,0 100,0 100,0

Integración Marketplace Uptime 7x24 99,5 Sin Datos Sin Datos Sin Datos 97,9 97,1 97,0 100,0 100,0

JCS Uptime 7x24 99,5 Sin Datos Sin Datos Sin Datos 97,1 97,0 95,5 99,9 100,0

ICS Uptime 7x24 99,5 Sin Datos Sin Datos 99,4 97,1 97,0 97,6 97,9 100,0

Integración Switch transaccional

Integración Plataforma Gestion Presupuestaria (EPM)

Integración Plataforma WMS

Integración Plataforma B2B

Integración DTE (documento Tributario Electrónico)

Integración Control Biométrico de asistencia

Integración e-Commerce

Verificación de Identidad

Información Previsional

Firma electrónica

Scoring

Switch transaccional

Integración Plataforma Gestion Financiero/Contable (ERP)



23

8 Validación de la Propuesta 8.1 Valor de usar una arquitectura de referencia (RA), para relacionar los servicios A partir de una AR (arquitectura de referencia de servicios en nube) logramos poder implementar un plan de trabajo para lograr tener un modelo de gobernabilidad de servicios en nube, dicho plan está actualmente en desarrollo en la compañía, pero con algunas de las actividades ya realizadas, se ha podido ver un beneficio desde el punto de vista del ordenamiento y la relación de los servicios, se pudo evaluar y determinar cuáles eran realmente prestados desde la nube y los clasificamos según la modalidad de servicio que prestaban, para finalmente definir políticas que nos sirven para evaluar cuantitativamente cómo se comportan, adicionalmente definimos los roles que debían estar presentes en la organización, para poder dar un soporte adecuado a la gobernabilidad; con este ejercicio logramos ordenar los servicios más críticos que la compañía maneja actualmente y definimos un estándar que se utilizará para evaluar servicios nuevos que se incorporen a la arquitectura de soluciones de la compañía. A partir del trabajo que se está realizando, logramos identificar las partes y piezas que hacen sentido a un ecosistema en la nube, pudimos identificar los roles que se necesitan y asignarlos dentro del organigrama de la compañía, en aquellos casos en que no existía el cargo donde asignar el rol, este fue creado, en cuanto a la seguridad es un tema que aún se está trabajando, es un tema demasiado importante y se creó un grupo de trabajo aparte por lo que no teníamos datos concluyentes como para presentar en este trabajo, sin embargo definimos que como estándar inicial, se exigirá a todos los servicios dados desde la nube como SaaS las certificaciones que den cuenta que se siguen estándares y normas, de acuerdo al negocio o exigencias de entes regulatorios como (PCI DSS (para administración de operaciones de crédito), SOX (exigida para empresas que operan con empresas de EEUU, o que cotizan en bolsa en ese país) y para SaaS se evaluará con lo mostrado en el anexo C (trabajo que fue realizado dentro de la compañía). 8.2 Administración, medición y control de los servicios en nube logrando mejorar los indicadores de calidad a nivel general Con el trabajo de hacer la implementación de la gobernabilidad de los servicios y la incorporación de políticas con métricas cuantitativas se ha logrado tener mejores aproximaciones y más certeras de donde están los problemas, tomando acciones de corrección o mitigación según sea el caso que han logrado mejorar los indicadores de calidad de servició. Todas las modificaciones de control y métricas fueron comenzadas a implementar a partir de enero del 2018, y se finalizó una primera etapa en marzo del 2018, tal como se muestra en la tabla 6. A continuación se muestra como se han mejorado los indicadores a partir de la implementación de las mediciones y controles de los servicios en nube. 8.2.1 Interrupción del servicio La tabla 7 y su gráfico, figura 6, muestran los datos medidos de interrupción del servicio. Acá se ve claramente que a partir de enero y hasta marzo, se produce una tendencia de disminución del tiempo que mensualmente el servicio está interrumpido, que tiende a estabilizar una baja a partir abril. Con esto damos por demostrado que las acciones tomadas se ven reflejadas en la medición de la indisponibilidad de los sistemas.

Tabla 7: Horas de interrupción del servicio. (Fuente: Elaboración propia).

sep-17 oct-17 nov-17 dic-17 ene-18 feb-18 mar-18 abr-18 may-18 jun-18 jul-18 ago-18

Duración Duración Duración Duración Duración Duración Duración Duración Duración Duración Duración Duración

Negocio Retail 9:43 8:43 8:50 8:43 7:18 6:00 3:32 3:28 3:30 3:40 3:20 2:50

Negocio Financiero 6:40 6:59 6:30 6:50 4:05 3:50 3:02 2:50 2:40 2:55 2:50 2:38

Infraestructura Central

4:20 4:59 4:59 5:59 2:10 1:59 1:30 1:25 1:32 1:20 1:15 1:08

Back Office 5:59 5:20 5:30 5:50 3:05 2:50 2:02 1:50 1:40 1:55 1:50 1:00

Horas Mensuales de Interrupción Del Servicio



24

Figura 6: Interrupción mensual de los servicios (negocio y áreas de apoyo). (Fuente: Elaboración propia).

8.2.2 Días hombre utilizados por TI en tareas administrativas La tabla 8 y su respectivo gráfico figura 7 muestran los datos medidos de días hombre utilizados por TI en tareas administrativas de administración de los servicios. Acá se ve claramente que a partir de enero y hasta marzo, se produce una tendencia de disminución de días, que tiende a estabilizar una baja a partir abril. Con esto damos por demostrado que las acciones tomadas se ven reflejadas en la disminución de horas hombre utilizadas para labores administrativas.

Tabla 8: Esfuerzo usado mensualmente en tareas administrativas. (Fuente: Elaboración propia).

Figura 7: Gráfico de esfuerzo usado mensualmente en tareas administrativas (negocio y áreas de apoyo). (Fuente: Elaboración propia).



Negocio Retail 230 235 232 228 190 150 145 148 152 140 141 139

Negocio Financiero 187 180 191 198 172 154 135 132 127 130 125 127

Infraestructura Central

166 160 169 175 160 164 144 151 148 122 118 120

Back Office 137 130 140 137 120 112 105 99 100 90 85 84

Tiempo en Días Hombre Utilizado en Tareas Administrativas Mensualmente



25

8.2.3 Tiempo utilizado en resolver problemas La tabla 9 y su respectivo gráfico figura 8 muestran los datos medidos de días hombre utilizados por TI en resolver problemas de los servicios. Acá se ve claramente que a partir de enero y hasta marzo, se produce una tendencia de disminución de días, que tiende a estabilizar una baja a partir abril. Con esto, damos por demostrado que las acciones tomadas se ven reflejadas en la disminución de horas hombre utilizadas para labores de resolución de problemas de los sistemas.

Tabla 9: Esfuerzo usado mensualmente en resolver problemas. (Fuente: Elaboración propia).

Figura 8: Gráfico de esfuerzo usado mensualmente en resolución de problemas (negocio y áreas de apoyo). (Fuente: Elaboración propia)

Las mediciones nos demuestran que la hipótesis levantada era cierta con respecto a que los indicadores de calidad de servicio mejoraron considerablemente.

9 Conclusiones y trabajo futuro

El desarrollo del trabajo que llevamos hasta este momento y las validaciones de los datos medidos, nos permiten concluir que vamos bien encaminados para lograr obtener un modelo de gobernabilidad de los servicios en nube, usando una arquitectura de referencia, lo trabajado hasta este momento ya nos ha traído beneficios en cuanto a la detección y corrección de problemas. Permitiendo ordenar y establecer un ecosistema de servicios en nube, robusto y que va encaminado a ser administrado bajo estándares, políticas y aplicación de buenas prácticas, que nos permitirá una continuidad operativa estable, con métricas de calidad de servicio y grandes oportunidades, para mejorar los procesos y sistemas que interactúan para dar solución a las problemáticas de nuestro negocio. A partir de las métricas generales de calidad de servicio que hemos implementado hasta ahora, todos los indicadores han ido mejorando paulatinamente en el tiempo. Esto se debe a que fueron saliendo a la luz dónde se encontraban los problemas y se pudo poner foco y atención en solucionarlos. Pudimos determinar que lo que tenemos como servicios en nube es un 64% del total de servicios críticos. Esto determinado en función del cumplimiento de las características esenciales, para considerar un servicio como dado



Negocio Retail 79 87 90 95 70 53 52 57 52 50 48 50

Negocio Financiero 67 69 66 72 66 61 51 48 47 45 49 42

Infraestructura Central 61 58 63 70 61 65 50 57 50 51 42 35

Back Office 47 48 48 52 42 42 39 40 37 34 38 33

Tiempo en Días Utilizado en Resolver Problemas Mensualmente



26

desde la nube. Tomando en cuenta que la definición estratégica del negocio es llevar todo a la nube, aún nos queda mucho trabajo para lograrlo. Todos los administradores y responsables de las distintas áreas de TI, lograron tener claridad de que rol deben cumplir en la gobernabilidad del ecosistema de servicios en nube. Y de acuerdo a eso, están trabajando para establecer los contratos de servicio de cara a la implementación de nuevos aplicativos con características de nube. Seguimos trabajando en:

Definir e implementar un modelo de administración de seguridad de acuerdo a la realidad de nuestra compañía. Este trabajo deberá estar concluido a fines de diciembre y se espera poder partir su implementación en enero de 2019.

La construcción de la versión 2 de políticas, que busca poder levantar un modelo predictivo de posibles problemas y así poder trabajar proactivamente y neutralizar cualquier riesgo en los servicios antes que se transformen en un problema.

Definir las relaciones de los servicios, de acuerdo al proceso de negocio donde se desempeñan, para tener una métrica y visión end to end de su comportamiento.

Levantamiento de todos los procesos de gobernabilidad de la nube. Definición de capacidades de habilitación y medio ambiente. Definición Checklist de funciones de gestión de gobernabilidad de computación en nube. Definición de la Gobernabilidad de la integración y los datos en la nube.

La versión final de este trabajo puede ser generalizada, para ser adoptada por cualquier compañía que quiera tener un modelo de gobernabilidad que le asegure una continuidad operativa estable y controlada en el tiempo. Finalmente podemos mencionar que nos queda un largo camino para poder tener una gobernabilidad y control de los servicios en nube, pero ya hay algo que tenemos claro; transitar hacia el mundo de servicios prestados desde la nube ya no tiene vuelta atrás y es parte de la gran revolución dada por la transformación digital de las compañías.



27

9 Referencias [1] P. Mell and T. Grance, “The NIST Definition of Cloud Computing Recommendations of the National Institute of

Standards and Technology,” September 2011. Available: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf.

[2] Eric Simmon, “Evaluation of Cloud Computing, Services 27ntegras NIST SP 800-145, NIST Special Publication 500-322”, February 2018. Available: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-322.pdf.

[3] E.B. Fernandez, 2016, “Apuntes curso computación en la nube, MTI 2015”, 2016. [4] K. Brandis, S. Dzombeta & K. Haufe, “Towards a framework for governance architecture management in cloud

environments: A semantic perspective”, Future Generation Computer Systems, 32, 274–281, 2013. Doi: 10.1016/j.future.2013.09.022. [5] A. Saidah & N. Abdelbaki, “A New Cloud Computing Governance Framework”, In Proceedings of the 4th International

Conference on Cloud Computing and Services Science, (pp. 671-678). Setúbal: Science and Technology Publications, 2014.

[6] M. Jäntti & V. Hotti, “Defining the relationships between IT 27ntegra management and IT 27ntegra governance”, Information Technology and Management, 17(2), 141-150, 2015, doi: 10.1007/s10799-015-0239-z.

[7] G. Joukhadar & F. Rabhi, “SOA in practice – a study of governance aspects”, Information Systems Frontiers, 18(3), 499-510, 2015. Doi: 10.1007/s10796-015-9607-9.

[8] J. Pour, “Gestión de las TIC resultados de encuestas”. Systémová 27ntegrase. 19(1), 49–57, 2012. [9] S. Karkošková, G. Feuerlicht, “Cloud Computing Gobernance Lifecycle”, Acta Informatica Pragensia, Vol 5, No 1,

pp 56-71, 2016. [10] E. Marks, “Designing and Implementing cloud governance”, https://www.eiseverywhere.com/file_uploads/8d78b669e86b0120d704469d84fbf680_CLF_2011_Governance_Frameworks_Er

ic_Marks.pdf [11] E.B.Fernandez, Raul Monge, and Keiko Hashizume. “Building a security reference architecture for cloud systems”.

Requirements Engineering. Doi: 10.1007/s00766-014-0218-7, June 2016, Volume 21, Issue 2, pp 225-249. [12] Dereje Yimam and Eduardo B. Fernandez. “A Survey of compliance issues in cloud computing”, Journal of Internet

Services and Applications, 2016, 7:5 (SCOPUS), DOI: 10.1186/s13174-016-0046-8. URL: http://www.jisajournal.com/content/7/1/5. [13] N. Cook, D. Milojicic, and V. Talwar, “Cloud management”, J. Internet Serv. Appl., December 2011. [14] Documento interno compañía, “Metodología de Evaluación de Servicios Cloud Computing en Base a Modelos ISO27017

y NIST 800-145”, Agosto 2017, pp 40-45 [15] [ref SBIF Ran 20-7] Capitulo 20-07 – Recopilación Actualizada de Normas Bancos, Diciembre 2017, https://www.sbif.cl [16] Michael Hogan, Annie Sokol and Working Group, “NIST Cloud Computing Standards Roadmap, Special Publication

500-291, Version 2”, July 2013. Available: https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=913661



28

10 Anexos 10.2 Anexo A Hojas De trabajo 10.2.1 Hoja de trabajo del servicio en la nube

La siguiente hoja de trabajo se puede usar para determinar si un servicio es un servicio con características de nube.

¿Es un servicio en la nube ¿ Auto servicio a demanda ¿Se puede provisionar la capacidad informática sin interacción humana con el CSP? ____ SI ____ NO ___Opción A) Aprovisionamiento de servicios totalmente automatizado ____Opción B) El CSC usa una interfaz automatizada para solicitar y rastrear el servicio, pero el CSP puede usar mano de obra para aprovisionar el servicio.

Amplio acceso a la red ¿La capacidad informática está disponible desde una amplia gama de ubicaciones utilizando protocolos estándar? ____ SI ____ NO ____ Opción A) Disponible a través de Internet utilizando protocolos de Internet ____ Opción B) Disponible a través de una red que está disponible desde todos los puntos de acceso que el CSC requiere Pool de recursos ¿Pueden dos o más CSC usar un solo servicio en la nube donde los recursos se comparten en base a un modelo de múltiples inquilinos? ____ SI ____ NO

¿Se pueden asignar y reasignar los recursos según la demanda de CSC? ____ SI ____ NO

Rápido escalamiento ¿Pueden las capacidades de computación aprovisionarse “rápidamente” y lanzarse a escala? ____ SI ____ NO ____ Opción A) La modificación de asignación de recursos es automática y casi en tiempo real (por ejemplo, en cinco minutos). ____ Opción B) No totalmente automatizado, pero lo suficientemente rápido para cumplir con los requisitos del CSC.

Servicio medido



29

Las características de los servicios en la nube, incluido el uso de los recursos, se miden con suficiente detalle para cumplir los requisitos del CSC. ____ SI ____ NO ____ Opción A) Las características de los servicios en la nube se miden con suficiente detalle para cumplir con los requisitos del CSC.

10.2.2 Hoja de trabajo del modelo de servicio en la nube

La siguiente hoja de trabajo se puede usar para determinar el modelo de servicio.

Es el servicio nube SaaS, PaaS o IaaS ¿ Software como servicio (SaaS) ¿El servicio en la nube es una aplicación de software? ____ SI ____ NO ¿Es el servicio Plataforma como servicio ( PaaS )? ¿El servicio en la nube es una plataforma de desarrollo y / o despliegue de software? ____ SI ____ NO ¿El servicio Infraestructura es un servicio? ( IaaS )? ¿El servicio de nube es la infraestructura de TI? ____ SI ____ NO

10.2.3 Hoja de trabajo del modelo de implementación en la nube

La siguiente hoja de trabajo se puede usar para determinar el modelo de implementación de nube.

¿El servicio en la nube es privado, comunitario, público o híbrido? Despliegue privado ¿La infraestructura del servicio en la nube, incluidos los recursos de hardware, es utilizada solo por un único CSC? ____ SI ____ NO

Despliegue de la comunidad ¿La infraestructura del servicio en la nube, incluidos los recursos de hardware, es utilizada por un conjunto específico y conocido de CSC, pero no está disponible para ningún CSC? ____ SI ____ NO

Despliegue público ¿La infraestructura del servicio en la nube está disponible para el uso de cualquier CSC? ____ SI ____ NO



30

10.2 Anexo B Glosario Este glosario permite tener acceso a la nomenclatura de servicios nube y los usados en el documento, no todos los términos están incluidos en el presente trabajo, pero se consideró importante el describirlos en este anexo. AD Active Directory

ANSDIT American National Standard Dictionary of Information Technology

API Application Programming Interface

ARG Arquitectura de Referencia de Gobernabilidad

B2B Business to Business (portal proveedores)

BOD Business Object Document

CCESC Cloud Computing Executive Steering Committee

CDMI Cloud Data Management Interface

CDN Content Delivery Network

CIMI Cloud Infrastructure Management Interface

CIO Chief Information Officer

CMWG Cloud Management Working Group

COTS Commercial off-the-shelf

CPU Central Processing Unit

CRM Customer Relationship Management

CRUD Create-Read-Update-Delete

CSA Cloud Security Alliance

CSAB Cloud Access Security Broker

CSC Cloud Service Customer

CSIRT Computer Security Incident Response Teams

CSP Cloud Service Provider

CSW Catalog Service for the Web

DCIFed DCI Federation Working Group

DISR Defense IT Standards Registry

DMTF Distributed Management Task Force

DoD Department of Defense (USA)

DTE Documento Tributario Electronico

ebRIM Electronic Business Registry Information Model

ebXML Electronic Business using eXtensible Markup Language

EPM Enterprise Performance Management (gestión presupuestaria)

ERP Enterprise Resource Planning (sistemas financiero contables)

EULA End User License Agreement

FCCI Federal Cloud Computing Initiative

FEA Federal Enterprise Architecture

FIPS Federal Information Processing Standards

GEIA Government Electronics & Information Technology Association



31

GICTF Global Inter-Cloud Technology Forum

GLUE Grid Laboratory Uniform Environment

GOTS Government off-the-shelf

HTML HyperText Markup Language

HTTP Hypertext Transfer Protocol

ID-WSF IDentity Web Service Framework

I/O Input/Output

IaaS Infrastructure as a Service

ICS Integration Cloud Service

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronic Engineers

IETF Internet Engineering Task Force

IODEF Incident Object Description Format

IP Internet Protocol

ISIMC Information Security and Identity Management Committee

ISO International Organization for Standardization

ISO/IEC JTC 1

International Organization for Standardization/International Electrotechnical Commission Joint Technical Committee 1 Information Technology

IT (ICT) Information Technology (Note: it is often referred to as ICT [Information and Communications Technologies])

ITU International Telecommunication Union (The)

ITU-T ITU Telecommunication Standardization Sector

J2EE Java 2 Platform, Enterprise Edition

JCS Java Cloud Service

JSON JavaScript Object Notation

KMIP Key Management Interoperability Protocol

LDAP Lightweight Directory Access Protocol

MFT Manager File Transfer

MID Mobile Internet Devices (USA)

MIL-STDS Military Standards (USA)

NIEM National Information Exchange Model

NIST National Institute of Standards and Technology

NIST SP NIST Special Publication

OAGi Open Applications Group

OAGIS Open Applications Group Integration Specification

OASIS Organization for the Advancement of Structured Information Standards

OAuth Open Authorization Protocol

OCC Open Cloud Consortium

OCCI Open Cloud Computing Interface

OCL The Object Constraint Language [88-1]

ODF Open Document Format



32

OGC Open Geospatial Consortium

OGF Open Grid Forum

OGSA Open Grid Services Architecture

OMG Object Management Group

OOXML Office Open XML

OS Operating System

OVF Open Virtualization Format

P2P Peer-to-Peer

PaaS Platform as a Service

PDA Personal Digital Assistant

PHP PHP: Hypertext Preprocessor

PI Personal Information

PII Personal Identifiable Information

PIV Personal Identity Verification

PKI Public Key Infrastructure

POS Point Of Sale (punto de venta)

QoS Quality of Service

RBAC Role Based Access Control

RDF Resource Description Framework

REST Representational State Transfer

RSS Really Simple Syndication

SaaS Software as a Service

SAJACC Standards Acceleration to Jumpstart Adoption of Cloud Computing

SAML Security Assertion Markup Language

SCAP Security Content Automation Protocol

SDOs Standards Developing Organizations

SLA Service Level Agreement

SNIA Storage Networking Industry Association

SOA Service-Oriented Architecture

SOAP Simple Object Access Protocol

SPML Service Provisioning Markup Language

SSL Secure Sockets Layer

SSO Standard Setting Organization

STANAGS Standardization Agreements

TCG Trusted Computing Group

TCP Transmission Control Protocol

TLS Transport Layer Security

TRX Transaciones

UAT User Acceptance Testing



33

UDDI Universal Description Discovery and Integration

USG United States Government

VM Virtual Machine

W3C World Wide Web Consortium

WG Working Group

WMS Warehouse Management System (administración centros de distribución)

XACML OASIS eXtensible Access Control Markup Language

XML Extensible Markup Language



34

10.3 Anexo C. Guía de Auto-Evaluación [14] Instrumento destinado a medir el grado de cumplimiento de un servicio SaaS, corresponde a una guía de auto-evaluación, la que por medio de criterios, permite establecer el nivel de cumplimiento de un control en particular. Los criterios de evaluación se detallan en la siguiente tabla:



35



36



37



38

10.4 Anexo D Niveles de madurez de gobernabilidad de computación en nube. [10]

Nivel 0: Gobierno de computación en la nube inexistente.

La gobernabilidad de la computación en nube no está implementada. No hay procesos de gobierno. No se reconoce la necesidad de abordar la gobernabilidad de la computación en la nube.

Nivel 1: Gobierno de computación en nube inicial

Prácticas y procesos de gestión de la computación en nube inexistentes o inadecuados, que son inconsistentes y dependen de la experiencia del jefe de departamento de TI que reconoció que la gobernabilidad de la computación en nube debe ser abordada.

Nivel 2: Gobernabilidad de la computación en nube repetible

Las políticas y los procesos de gobierno de la computación en la nube son definidos e implementados por gerentes individuales con participación y supervisión de la alta gerencia. El comité negocios/TI está a punto de formalizarse. Los roles y responsabilidades no están definidos explícitamente. Las políticas de gobierno de la computación en la nube no se comunican correctamente.

Nivel 3: Gobernabilidad de la computación en nube definida

Las políticas de gobierno de la computación en la nube y los procesos gobernados están estandarizados, implementados, documentados y comunicados a través de la capacitación formal. Hay una clara comprensión de los roles y responsabilidades. Los procesos de gobierno no se implementan completamente y, por lo tanto, no se detectan desviaciones del proceso gobernado. El comité de negocios/TI coopera para decidir los objetivos comerciales y de computación en la nube.

Nivel 4: Gobierno de la computación en la nube administrado y medible

Se establece un conjunto de indicadores y métricas de desempeño de la gobernabilidad de la computación en la nube para medir el cumplimiento. Los procesos de gobierno de la computación en la nube se monitorean y evalúan según técnicas estadísticas y cuantitativas. Los procesos de gobierno operan dentro de límites definidos. Mejora de la gobernanza de la computación en la nube en base a medidas cuantitativas. Los objetivos de la computación en la nube se alinean con los objetivos de la empresa, por lo que la gobernabilidad de la computación en la nube apoya la creación de valor comercial a través de la obtención de beneficios del uso de los servicios de computación en la nube.

Nivel 5: Gobierno optimizado de computación en la nube

La gobernabilidad de la computación en la nube es parte de la gobernabilidad de la empresa. La gobernabilidad de la computación en la nube se optimiza, se mejora continuamente y se adapta a los entornos que se van presentando. El comité negocios/TI coordina y planifica los objetivos de negocios y los objetivos de la computación en la nube, así como la estrategia de negocios y la estrategia de computación en la nube y deciden conjuntamente sobre las inversiones.



39

10.6 Anexo E: Estructura, roles y responsabilidades de la gobernabilidad de la computación en la nube

Estructura Rol Responsabilidad

Comité directivo TI/Negocio

Director (Gerente) de la nube

Tomar decisiones estratégicas en relación con la gobernabilidad de la computación en nube en conjunto con ejecutivos de negocios.

Coordinación conjunta y planificación de objetivos empresariales y estrategia e inversiones empresariales de la computación en la nube.

Decisiones conjuntas con el negocio sobre la aceptabilidad de los servicios de computación en nube.

Valida y autoriza los contratos con los proveedores de nube.

Cloud Computing tablero (Board) de Gobernabilidad

Jefe de Gobernabilidad de Computación en la nube.

Definición de alcance de la gobernabilidad de Computación en la nube

Velar porque se cumpla la adopción de la gobernabilidad de la computación en nube y la adaptación de los procesos de gobernabilidad, roles y responsabilidades

Responsabilidad por la definición de las políticas de gobierno de la computación en nube, la tecnología y las métricas de los procesos de gobierno.

Definición de mapa de gobierno y planes de transición de la Computación en la nube

Equipo de desarrollo de gobernabilidad de computación en nube

Analista de Gobernabilidad de Computación en la nube

Administrador de proyectos de Gobernabilidad de Computación en la nube

Desarrollador de Gobernabilidad de Computación en la nube

Responsabilidad por la propuesta de cambio del modelo de gobierno de Computación en la nube

Creación de la hoja de ruta de la gobernabilidad de Computación en la nube

Implementación del plan de transición

Operación de la gobernabilidad de la computación en nube

Administrador de operaciones de Computación en la nube

Administración de la operación de gobernabilidad de la computación en la nube.

Recopilación y evaluación de los resultados de monitoreo de los procesos de gobierno de la computación en la nube y escalamiento de desviaciones detectadas



40

10.6 Anexo F: Herramientas de la gobernabilidad de la nube [11].

Portal y acceso de autoservicio en la nube.

Catálogo de servicios en la nube.

Módulos de facturación y contabilización en la nube.

Herramientas de administración del ciclo de vida de la nube.

Portafolio de servicios en la nube y herramientas de administración de contratos.

Herramientas de administración y monitoreo en la nube.

Diseño y desarrollo de aplicaciones para la nube.

Control de calidad y pruebas para nubes y aplicaciones ofrecidas en la nube.

documento tesina juan carlos orellana final v1€¦ · 8qlyhuvlgdg 7pfqlfd )hghulfr 6dqwd 0dutd...

Documents