INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SL'PERIORES DE MONTERRJ:<~Y

CAMPUS ESTADO DE MÉXICO

TECde Monterrey® DEL SISTEMA TECNOLÓGICO DE MONTERREY

GUÍA PARA LA ADOPCIÓN DE SERVICIOS DE TECNOLOGÍAS DE INFORMACIÓN EN UN MODELO DE

SERVICIOS DE CÓMPUTO EN LA NUBE

TESIS QUE PARA OPTAR EL GRADO DE MAESTRO EN CIENCIAS COMPUTACIONALES

PRESENTA

Asesor:

Jurado:

JULIO CÉSAR CRUZ ALARCÓN

Dr. ROBERTO GÓMEZ CÁRDENAS

Dr. JOSÉ DE JESÚS VÁZQU EZ GÓMEZ Dr. EDUARDO GARCÍA GARCÍA Dr. ROBERTO GÓMEZ CÁRDENAS

Atizapán de Zaragoza, Edo. México, 5 de Noviembre 2012.

Presidente Secretario Vocal

2

CONTENIDO

RESUMEN ..................................................................................................................................... 6

LISTA DE FIGURAS ..................................................................................................................... 8

LISTA DE TABLAS ....................................................................................................................... 9

1. CÓMPUTO EN LA NllBE ....................................................................................................... 11

1.1 Fundamentos de Cómputo en la nube .......................................................................... 11

1.1.1 ¿Qué es el cómputo en la nube? ................................................................................ 11

1 .1.2. Orígenes del Cómputo en la nube ............................................................................ 13

1.1.1 Qué no es cómputo en la nube .................................................................................. 15

1.2 Modelos de prestación de servicios en la Nube .......................................................... 16

1.2.1 Software como un Servicio ....................................................................................... 19

1.2.2 Plataforma como servicio ......................................................................................... 20

1.2.3 Infraestructura como servicio ................................................................................... 21

1.3 Modelos de implementación de nube ......................................................................... 22

1.3.1 Nubes Públicas .......................................................................................................... 23

1 .3.2 Nubes c:omunitarias .................................................................................................. 24

1.3.3 Nubes Privadas ......................................................................................................... 26

1.3.4 Nubes l-Iíbridas ......................................................................................................... 27

1.3.5 Modelos de implementación alternativos ................................................................. 28

1.4 Recapitulación ............................................................................................................ 29

2. DEFINICIÓN DE ESTRATEGIA PARA IMPLEMENTAR SERVICIOS DE TI EN LA

NUBE ............................................................................................................................................ 31

2.1 Situación actual de la Organización ............................................................................ 3 1

2.2 Enfoques para definir la estrategia ............................................................................... 32

2.3 Evaluando la situación actual ...................................................................................... 33

,., .)

2.3.1 Ambiente del Centro de Datos en términos de una Arquitectura Orientada a

Servicios ................................................................ ................................................................ 33

2.3.2 Requerimientos de negocio que tiene la Organización en materia de regulación .... 34

2.3.3 Rentabilidad de un proyecto de nube ....................................................................... 35

2.3.4 Selección del modelo de nube para la organización ................................................. 3 7

2 '"' 5 N. 1 d . . ºd 1 . . ' '"'8 .J. 1ve es e serv1c10 requen os por a orgamzac10n .................................................. .)

2.3.6 ¿Cuál es el nivel de seguridad que ofrece el proveedor de nube a los datos de la

organización? .......................................................................................................................... 39

2.4. Desarrollando un plan de trabajo ............................................................................... 40

2.4. l Temas culturales a considerar en el plan de trabajo ................................................. 41

2.4.2 Búsqueda de patrocinadores para asegurar la aceptación y ejecución del plan de

trabajo .................................................................................................................................... 42

2.5 Guía de orientación para la adopción de un modelo de nube ...................................... 43

2.6 Recapitulación ............................................................................................................. 46

3. DISEÑO DE UN INSTRUMENTO DE MEDICIÓN DEL GRADO DE MADUREZ

SERVICIOS DE TI. ...................................................................................................................... 48

3 .1 Marco Teórico ............................................................................................................. 49

3 .1.1 Objetivos de Investigación ....................................................................................... 49

3 .1.2 Preguntas de Investigación ....................................................................................... 49

3.1.3 Justificación de la Investigación ............................................................................... 50

3.1.4 Viabilidad ................................................................................................................. 50

3 .1.5 Evaluación de las deficiencias en el conocimiento del problema ............................. 51

3 .1.6 Definición inicial del ambiente o contexto ............................................................... 52

3.2 Metodología para la Evaluación del grado de madurez ............................................... 52

3.2.1 Reactivos para evaluar madurez de componentes .................................................... 53

3.2.2 Obtención del grado de madurez ............................................................................. 60

3.2.2.1 Valoración inicial del grado de madurez de un componente ................................. 60

4

3 .2.2.2 Valoración Final del grado de Madurez de un componente .................................. 61

3.2.3 Clasificación del grado de madurez .......................................................................... 63

3.3 Recapitulación ............................................................................................................ 74

4. CASO DE ESTUI)IO ................................................................................................................ 76

4.1 Situación inicial ........................................................................................................... 76

4.2 Requerimientos del negocio ........................................................................................ 78

4.3 Evaluando el nivel de madurez de los servicios de TI de la empresa .......................... 79

4.3.1 Ejemplo de evaluación Caso A (Proveedor) ............................................................. 79

4.3.2 Ejemplo de evaluación caso B (Cliente) ................... ................................................ 85

4.4 Recapitulación ............................................................................................................. 89

CONCLUSIONES ......................................................................................................................... 90

REFERENCIAS ............................................................................................................................ 91

BIBLIOGRAFÍA ........................................................................................................................... 92

ANEXO A. PLANEACION DE LA CAPACIDAD DE LOS SERVICIOS DEL CENTRO DE

DATOS .......................................................................................................................................... 93

A.1 Servicios de Tecnologías de Información ................................................................... 94

A.2 Servicios Auxiliares .................................................................................................... 99

ANEXO B. CUMPLIMIENTOS REGULATORIOS REQUERIDOS POR LA

ORGANIZACIÓN ...................................................................................................................... 101

B.1 Leyes y F,egulaciones ................................................................................................ 1 O 1

B.2 Ejemplo de Guías para cumplimiento de SOX empleando los estándares de ITIL y

COBIT ...................................................................................................................... 104

ANEXO C. MODELO ECONÓMICO PARA UNA APLICACIÓN ......................................... 108

ANEXO D. SERVICIOS PÚBLICOS DE NUBE ...................................................................... 110

ANEXO E. FORMATO DE ACUERDO DE NIVEL DE SERVICIO ...................................... 111

ANEXO F. CONSIDERACIONES DE SEGURIDAD EN LA NUBE ...................................... 114

ANEXO G. PLAN DE TRABAJO IMPLEMENTACIÓN DE NUBE ...................................... 116

5

ANEXO H. CÁLCULO DEL PORCENTAJE DE REPRESENTA TIVIDAD EN LA

E.VALUACIÓN ........................................................................................................................... 118

6

RESUMEN

Hoy en día, el cómputo en la nube es un tema de moda en los proveedores de servicios de

tecnologías de infonnación (TI). Un amplio consenso en la industria, ubica al cómputo en la

nube en el más alto nivel de los servicios que puede ofrecer un tercero.

El cómputo en la nube es un modelo que permite el acceso sobre demanda a un conjunto de

recursos de cómputo (redes, servidores. almacenamiento y aplicaciones) configurables, que

pueden ser aprovisionados rápidamente y liberados con un mínimo esfuerzo de gestión o

interacción del proveedor de servicio.

El modelo de entrega de servicios a través de la nube, se percibe generalmente como atractivo,

debido a que el costo es menor que el servicio del centro de dato:; tradicional, principalmente por

las altas erogaciones asociadas a la infraestructura y administración. Sin embargo, pese a las

bondades que ofrecen los servicios a través de la nube, exislen dudas en los tomadores de

decisiones de tecnologías de información para la implementación de estos servicios ya sea de

forma pública o privada. Generalmente, las incertidumbres van asociadas por el desconocimiento

de cómo implementar los servicios en nube y por requerimientos de seguridad, disponibilidad,

políticas, leyes y acuerdos de servicio.

Con la intención de apoyar a los directivos de tecnologías de información en cuanto a la

conveniencia de recurrir a los servicios de la nube, en este trabajo de investigación se propone

una guía para la adopción de un servicio de nube, la cual se explorará a través de un

instrumento de evaluación de madurez de los servicios de TL Dicho instrumento permitirá

conocer la madurez actual de un proveedor servicio que aspira a cfrecer servicios de nube privada

e indicará si se está preparado o necesita incrementar su madurez en algunos de los componentes

del modelo. De igual forma, para el cliente que desea consumcr servicios de nube pública, la

herramienta ofrece recomendaciones que deben considerarse para una transición exitosa al

modelo de nube.

Dentro del alcance de este trabajo, la evaluación de un servicio ce TI a proporcionar o consumir

en la nube, considera una serie de elementos que componen un servicio de tecnologías de

info1mación (centro de datos, aplicaciones, cumplimiento de regulaciones, seguridad y acuerdos

7

de servicio). Cada componente se evalúa de forma individual, no obstante que la evaluación de

cada elemento pudiera llegar ser exhaustiva y con mucha profundidad, el objetivo del trabajo es

dar una perspectiva global del estado en que se encuentran lo:; componentes de un servicio a

consumir o aprovisionar y emitir recomendaciones para increme1tar la madurez del mismo.

El presente trabajo se encuentra organizado de la siguiente forma:

• En el primer capítulo se introducen los fundamentos y orígenes del cómputo en la nube,

los modelos ele prestación de servicio e implementación.

• En el segundo capítulo se plantean las interrogantes que nos ayudarán a construir la

herramienta de evaluación del modelo: situación actual de la organización, requerimientos

del negocio en materia de regulación, seguridad, acuerdos de servicio.

• En el tercer capítulo se diseña y construye la herramienta de evaluación, mediante el

planteamiento del trabajo de investigación desde una óptica cualitativa.

• En el capítulo cuatro se muestra un caso práctico de la aplicación de la herramienta.

8

LISTA DE FIGURAS

Figura 1-1 Orígenes del Cómputo en la nube ................................................................................ 14

Figura 1-2 Diferencias del marco SPI vs modelo tradicional de TI .............................................. 18

Figura 2-1 Modelo para adopción de servicios de Nube ............................................................... 45

Figura 3-1 Metodología para la evaluación del grado de madurez .............................................. 53

Figura 4-I Porcentaje de representatividad del proveedor ............................................................ 80

Figura 4-2 Cuestionario para determinar nivel de madurez proveedor ......................................... 80

Figura 4-3 Grado de madurez del cliente hacia nube privada ....................................................... 84

Figura 4-4 Recomendaciones para implementación de nube privada ........................................... 85

Figura 4-5 Porcentaje de representatividad del cliente .................................................................. 86

Figura 4-6 Grado de madurez del cliente hacia nube pública .............. .. ....................................... 87

Figura 4-7 Recomendaciones para implementación en nube pública ........................................... 88

Figura F-1 Medidas de seguridad en un modelo de servicios de cómputo en la nube ................ 114

9

LISTA DE TABLAS

Tabla 3-1 Banco de reactivos para identificar grado de madurez en Centro de Datos .................. 55

Tabla 3-2 Banco de reactivos para identificar grado de madurez en Aplicaciones ....................... 56

Tabla 3-3 Identificando grado de Madurez referente al cumplimiento de regulaciones ............... 57

Tabla 3-4 Identificando grado de Madurez referente a Acuerdos de Servicio .............................. 58

Tabla 3-5 Identificando grado de Madurez en cuanto a niveles de Seguridad .............................. 59

Tabla 3-6 Valoración inicial del grado de madurez de un componente ........................................ 60

Tabla 3-7 Valoración final del grado de madurez de un compone:1te ........................................... 62

Tabla 3-8a Clasificación del proveedor de acuerdo a su grado de madurez ................................ 64

Tabla 3-8b Clasificación del cliente de acuerdo a su grado de madurez ...................................... 64

Tabla 3-9a Tabla de Recomendaciones al Proveedor.. .................................................................. 66

Tabla 3-9b Tabla de Recomendaciones al Cliente ........................................................................ 70

Tabla 4-1 Ejemplo de respuestas al cuestionario de evaluación de madurez ................................ 82

Tabla T A-1 Hoja de Evaluación de Procesamiento ....................................................................... 94

Tabla TA-2 Hoja de Evaluación de Almacenamiento ................................................................... 95

Tabla TA-3a Hoja de Evaluación de Comunicaciones 1 ............................................................... 96

Tabla TA-3b Hoja de Evaluación de Comunicaciones 2 .............................................................. 96

Tabla TA-4 Resultados de Evaluación de Procesamiento ............................................................. 98

Tabla TB-1 Marco COBIT: Entrega y Soporte ........................................................................... 105

Tabla TC-1 Costo Total de Propiedad de una Aplicación ........................................................... 108

Tabla TD-1. Servicios públicos de nube ..................................................................................... 11 O

10

CAPITULO Jl

, COMPlfTO EN I"'A NUBE

11

l. CÓMPUTO EN LA NUBE

1.1 FUNDAMENTOS DE CÓMPUTO EN LA NUBE

1.1.1 ¿QUÉ ES EL CÓMPUTO EN LA NUBE?

El cómputo en la nube fue definido por Peter Mell y Tim Granee del Instituto Nacional de

Estándares y Tecnología (NIST 1 por sus siglas en inglés) en su publicación especial 800-145 "La

definición de NIST del Cómputo en la Nube" [ 1 ], como un modelo para disponer, mediante un

acceso a la red, a un conjunto compartido de recursos :ie cómputo (redes, servidores,

almacenamiento, aplicaciones, servicios) bajo demanda, configurables y confiables que puedan

ser provisionados y liberados rápidamente con un mínimo esfuerzo de gestión del consumidor o

interacción con el proveedor de servicio.

El cómputo en la nube está definido por cinco características esenciales:

a) Auto-Servicio Bajo Demanda: Los usuarios de cómputo en la nube disponen de recursos

en la medida de sus necesidades, sin que el usuario tenga que interactuar con un operador

del proveedor de servicio. En un esquema bajo demanda, un consumidor puede programar

el uso de servicios de nube como capacidad de cómputo y almacenamiento cuando sea

necesario, así como la gestión y operación de los servicios. El auto-servicio debe poseer

1 NIST. National lnstitute ofStandards Technology. US Department OfCommerce.

12

una Interface con el usuario amigable y proveer medios efectivos para administrar los

servicios requeridos.

b) Amplio Acceso a la red: Para que el cómputo en la nube sea una alternativa efectiva para

los centros de datos de las organizaciones, los enlaces de comunicación de banda ancha

deben estar disponibles para conectarse a los servicios que ofrece la nube. Una de las

principales justificaciones económicas para el cómputo en la nube, es el bajo costo de las

comunicaciones de redes de banda ancha.

c) Recursos Disponibles Independientes de la Ubicación: La nube debe poseer recursos

disponibles amplios y flexibles para adecuarse a las nece~idades del cliente, debe proveer

beneficios de economías de escala y adecuarse a los requerimientos de niveles de servicio

del cliente. Las Aplicaciones requieren recursos para su ejecución y deben estar

asignados eficientemente para un rendimiento óptimo. Los recursos pueden estar

físicamente localizados en ubicaciones geográficas dispersas y asignados como

componentes virtuales de cómputo cuando sea necesario; como se declaró por NIST [ 1]

"Hay un sentido de independencia de la ubicación en donde el cliente generalmente no

tiene el conocimiento y control de la ubicación exacta de los recursos provistos"

d) Elasticidad rápida: Se refiere a la capacidad de la nube para expandir o reducir recursos

asignados de forma rápida y eficaz para adecuarse a los requerimientos de las

características de auto-servicio del cómputo en la nube. La adecuación de los recursos

podría hacerse de forma automática mostrándole al usuario la reserva de recursos que

pueden ser contratados y consumidos cuando sea necesario.

e) Servicio Medido: Debido a las características orientada:; al servicio del cómputo en la

nube, los recursos que utiliza un cliente pueden ser asignados y monitoreados de fonna

dinámica y automática, el cliente paga en función del us~ de los recursos de nube que le

fueron asignados para la sesión particular.

Dentro del cómputo en la nube se tienen identificados principalm;::nte tres modelos de servicio:

13

• Software como Servicio (SaaS por sus siglas en inglés Software as a Service ). Ofrece

aplicaciones del proveedor sobre una red.

• Plataforma como Servicio (PaaS por sus siglas en inglés Platform as a Service). Monta

aplicaciones creadas por el cliente en la nube.

• Infraestructura como servicio (laaS por sus siglas en inglés Infraestructure as a Service).

Renta de capacidad de procesamiento, almacenamiento, de red y otros recursos básicos

de cómputo.

Por otro lado los modelos de implementación, se resumen de la siguiente manera:

• Nube Privada. Utiliza infraestructura propia o rentada para consumo exclusivo de la

empresa.

• Nube Comunitaria. Infraestructura compartida para un grupo de empresas

• Nube Pública. Infraestructura rentada al público, a mega--escala

• Nube híbrida. Compuesta de dos o más modelos de nube

Los principales modelos de servicio e implementación serán vistos con un mayor detalle en las

secciones 1.2 y 1.3.

1.1.2. ORÍGENES DEL CÓMPUTO EN LA NUBE

La computación en la nube se desarrolló a partir de tecnologías y enfoques de negocios que han

surgido a lo largo de varios años. La Figura 1-1 Orígenes del Cómputo en la nube muestra los

principales elementos de construcción que van desde la tecnología de interne! a los proveedores

de servicios de nube.

Arpanet

Oficina de Servicios

Figura 1-1 Orígenes del Cómputo en la nube

Arqui,:ectura

Internet - www l º;;~.~:~o: a

----+ Serv1c1os Web We, 2 O

! Cóm;~~~;;-~ 1

Capacidad d-e--______ .., demanda ,--~-- cómputo en

__ pa-'-~-

Autonomía Informática

,----~ Plataforma de I

Virtualización I

Software de I fuente abierta

Servicios de nube

,_____~ SalesForce.com

Amazon Web Services

Google Apps

,______._ Microsoft Azure

Vmware

Algunos de los elementos importantes en el origen del cómputo en la nube son:

14

Cómputo sobre demanda (Utility Computing): Los recursos se entregan a un cliente

quien paga por ellos cuando los necesite.

Capacidad de cómputo en paralelo (Grid Computing): En Grid Computing, los servidores,

almacenamiento y redes se combinan para formar poderosos nodos de recursos de

cómputo que pueden ser provisionados dinámicamente cuando sea necesario.

Autonomía Informática: Funcionamiento de un sistema informático sin control externo, el

término se basa en el sistema nervioso autónomo del cuerpo humano, quien controla la

respiración, el funcionamiento del corazón y demás sin la participación conciente en el

individuo. Por analogía, el objetivo del sistema informático autónomo es realizar

funciones críticas y complejas sin ninguna intervención mayor por parte de un usuario.

15

Platafonna de Virtualización: La partición lógica de recursos de computación físicos en

múltiples ambientes de ejecución, incluyendo servidores, aplicaciones y sistemas

operativos. La virtualización está basada en el concepto ele una máquina virtual corriendo

en una platafonna de computación física. La virtualización es controlada mediante un

monitor de máquinas virtuales (VMM), conocido como hypervisor. Un hypervisor de

código libre que es ampliamente usado para cómputo en la nube es el Xen.

Software como un Servicio (SaaS): Modelo de distribución de software, en el cual las

aplicaciones son provistas a los clientes. Las aplicaciones pueden correr en los sistemas

de cómputo de los usuarios o en los servidores Web de los proveedores. SaaS ofrece

gestión eficiente de parches y promueve la colaboración.

Arquitectura Orientada al Servicio (SOA): Un conjunto de servicios que se comunican

entre sí, cuyas Interfaces son conocidas y descritas, rns funciones tienen una cierta

relación y su uso puede ser incorporado por varias organizaciones. Las Interfaces del

servicio SOA están especificadas en XML ( eXtensible Markup Language) y los servicios

están expresados en WSDL (Web Services Description Language). Las aplicaciones

pueden acceder a los servicios en un registro del directorto UDDI (Universal Description

Definition and lntegration).

1.1.1 QUÉ NO ES CÓMPUTO EN LA NUBE

Aún y cuando el cómputo en la nube puede incorporar algunos de los paradigmas de cómputo

listados en la sección anterior, no significa que sea sinónimo de ellos. Por ejemplo, el cómputo

en la nube no es lo mismo que Utility Computing. Cómputo en la nube no siempre emplea el

precio de los servicios medidos y puede usar plataformas virtualizadas distribuidas, en vez de

recursos de cómputo centralizados.

En comparación con Grid Computing, ésta emplea máquinas virtuales distribuidas, pero a

diferencia del cómputo en la nube, las máquinas están enfocadas en una sola tarea.

16

Algunas veces el modelo Cliente/Servidor es visto como cómputo en la nube, con la nube

apareciendo en el rol del servidor, sin embargo, en este modelo el servidor es una máquina

específica en una ubicación determinada. En la nube, los cálculos se pueden ejecutar en

computadoras en cualquier lugar, dividirse entre computadoras y usar plataformas virtualizadas.

esos recursos son desconocidos para el usuario. Lo que el usuafi.::i sabe, es que está accediendo a

recursos y usando procesamiento y almacenamiento para obtener resultados, sin tenerse que

preocupar de la administración.

El cómputo en la nube no es Software como Servicio, el cual es un software que una

Organización puede pagar y administrar, éste corre en el hardware del usuario o en máquinas de

alguien más.

No es virtualización, empero, la virtualización es un elemento que se utiliza para implementar la

nube.

Cómputo en la nube no es lo mismo que la Arquitectura Orientada a Servicio la cual soporta el

intercambio de datos entre diferentes aplicaciones dedicadas en un proceso de negocio.

No obstante que estos términos no son sinónimos de la nube, dependiendo de las

implementaciones, puede que sean un componente de la misma.

1.2 MODELOS DE PRESTACIÓN DE SERVICIOS EN LA NUBE

La Arquitectura del cómputo en la nube aún esta evolucionando y continuará haciéndolo por un

largo tiempo. El objetivo de esta sección es describir los conceptos de nube que parecieran ser

capaces de soportar la prueba del tiempo.

La estructura SPI

Desde hace algún tiempo, la clasificación para el cómputo en la nube se ha basado en el modelo

SPI (Software-Plataforma-Infraestructura), éste acrónimo represe:1ta los tres principales servicios

provistos a través de la nube: Software como un Servicio, Plataforma como un Servicio e

Infraestructura como un Servicio

17

Evolución de SPI

Para entender la evolución del SPI, utilizaremos un contexto con el desarrollo de los proveedores

de servicio de intemet (ISPs2). Una fom1a común de observar el desarrollo de los ISPs es a través

de versiones generacionales como se resume en la siguiente lista:

1.0 Cuando los ISPs e comenzaron a ofrecer servicios de internet, los servicios de módem dial-up

para casas y organizaciones proliferaron, haciendo de la intemet un producto comercial.

2.0 Durante un periodo de fusión y consolidación, los ISPs comenzaron a ofrecer otros servicios

como correo electrónico y almacenamiento de datos fuera de sitio.

3.0 El incremento por la demanda de infraestructura para hospedar aplicaciones y datos de sus

clientes llevó a la creación de centros de datos, donde múlti¡:;les clientes pudieron centralizar

sus servidores, almacenamiento y sistemas de comunicación en las instalaciones del ISPs.

4.0 La comercialización de las "collocation facilities" (servicios de hospedaje en centros de

datos) llevó al desarrollo de los proveedores de servicios de aplicaciones (ASPs), para

proporcionar aplicaciones de software a la medida de una organización. Los proveedores

administraban la aplicación y la infraestructura.

5.0 El modelo ASP eventualmente se convirtió en el cómputo en la nube, que reunió a los

modelos de entrega como el marco SPI con los servicios SaaS, PaaS e IaaS y varios modelos

de implementación de nube como privada, comunidad, pública e híbrida.

La Figura 1-2 D(ferencias del marco SPI vs modelo tradicional de TI muestra la evolución del

centro de datos a través de la virtualización básica en un marco completo SPI, incrementando la

flexibilidad y bajando los costos.

" ISP. Internet Service Provider

Flexibilidad Mayor valor

Costo mas bajo

Figura 1-2 Diferencias del marco SPI vs modelo tradicional de TI

[;;-¡ ----- «'11 ( VIRTUALIZACION "--\ ! Servidores '

., Aplicaciones ! \,, Escritorio /'

~ '------·-··---_./

l ! I

LEGACY I Centro de Datos

1 . ::::~~::: ••• .__ 1

Físico/ Legacy Virtualización 1.0 Virtualización 2.0

18

Por lo general, las orgarnzac1ones que emplean el modelo SPI no son propietarias de la

infraestructura que aloja la aplicación y software, en lugar de ello usan la licencia de la aplicación

desde el proveedor de la nube, mediante el empleo de una suscr:.pción o un modelo orientado al

consumo, lo que permite a las compañías pagar por solo los recursos que ellos necesitan y

utilizan.

El proveedor de servicios de nube que entrega uno o todos los ;!lementos del marco SPI a una

organización comparten la infraestructura entre múltiples clientes. Esto ayuda a mejorar la tasa de

utilización mediante la eliminación de una gran cantidad de tiempo desocupado en los servidores.

También el uso compartido de ancho de banda de muy alta velocidad distribuye los costos,

facilita la administración de la carga máxima, frecuentemente mejora los tiempos de respuesta y

aumenta el ritmo de desarrollo de aplicaciones.

Otro beneficio de adoptar el marco SPI para la Organizació:1 es reducir costos de inicio,

eliminando los requerimientos de los recursos que se necesitarían en un modelo de TI tradicional

(centros de datos, hardware, software, etc.)

19

1.2.1 SOFTWARE COMO UN SERVICIO

NIST [ 1] define Sofrware como servicio (SaaS) como la capacidad provista al consumidor para

usar las aplicaciones del proveedor corriendo en una infraestructura de nube. Las aplicaciones

son accesibles desde varios dispositivos de cliente a través de un cliente delgado como un

navegador web (por ejemplo correo electrónico basado en web). El consumidor no administra o

controla la infraestructura de nube subyacente incluyendo servidores de red, sistemas operativos,

almacenamiento o incluso las capacidades de la aplicación individual con la excepción de

limitadas opciones de configuración de la aplicación para el usuario.

Hay diferencias importantes entre el modelo de entrega de Software como Servicio (SaaS) y el

Proveedor de Servicios de Aplicaciones (ASP) puro. A diferencia del método tradicional de pagar

e instalar software, el consumidor SaaS renta el uso del software utilizando un modelo de gastos

operativos (Pago por uso o Acuerdo de subscripción). Este modelo de pago por uso de licencia es

también conocido como licenciamiento sobre demanda, como algunas aplicaciones que son

entregadas a través del modelo SaaS son facturadas en uso medido y en base a un período de

tiempo. en vez de pagar el costo común del licenciamiento tradicional, en el cual el cliente tenía

muchas áreas de preocupación como:

• Compatibilidad con hardware, otro software y sistemas operativos

• Incidentes de licencia y cumplimiento ( copias no autorizadas del software flotando

alrededor de la organización)

• Mantenimiento, soporte y proceso de revisión de parches

El modelo de servicio SaaS provee varios beneficios a través de la estructura organizacional,

algunos de estos son:

• Permite a la organización contratar el alojamiento de aplicaciones a un vendedor

independiente de software u otro proveedor de servicio de software. Esto siempre

reduce el costo de licenciamiento, administración e hardware y otros recursos

requeridos para internamente alojar la aplicación

• SaaS también beneficia al proveedor de la aplicación incrementando el control sobre

el uso de su software limitando a la distribución de copias no licenciadas y

20

permitiendo al vendedor de software mayor control de actualizaciones y

administración de parches.

• Usuarios finales o de oficinas remotas pueden acceder a la aplicación más fácilmente

a través de un navegador. De esa forma, la implementación o actualización de

aplicaciones se simplifica.

1.2.2 PLATAFORMA COMO SERVICIO

NIST [ 1] define Platafonna como servicio (PaaS) como la capacidad provista al consumidor de

desplegar en la infraestructura de nube, aplicaciones adquiridas o creadas por el consumidor

usando lenguajes de programación y herramientas soportadas por el proveedor. El consumidor no

administra o controla la infraestructura de nube subyacente, incluyendo redes, servidores,

sistemas operativos o almacenamiento pero tiene control sobre las aplicaciones desplegadas y

posiblemente de configuraciones del ambiente de hospedaje de la aplicación.

El vendedor de PaaS proporciona varios servicios para desarrolladores de aplicaciones:

• Un ambiente de desarrollo virtual

• Estándares de aplicaciones, usualmente basadas en los requerimientos de los

desarrolladores

• Conjunto de herramientas configuradas para el ambiente de desarrollo virtual

• Un canal de distribución listo para publicar aplicaciones de desarrolladores

El modelo PaaS representa un bajo costo de entrada para los diseñadores de aplicaciones y

distribuidores, mediante el soporte del ciclo de vida completo del desarrollo del software

(SDLC3) de la aplicación web, eliminando de esta forma la necesidad por adquirir recursos de

hardware y software. Una solución PaaS puede comprender una solución completa para el

desarrollo de la aplicación extremo a extremo, desarrollo, pruebas e implementación o puede ser

más pequeña, una oferta más especializada enfocada a un área particular como administración de

contenido. BIBLIOTECt

'SDLC. Software Development Lyfe Cicle

21

Para que una plataforma de desarrollo de software sea con!;iderada una solución de PaaS

verdadera, se debe considerar:

• Un monitoreo de la línea base del uso de la aplicación para llevar a cabo la mejora de

la platafonna de proceso

• La solución debe proveer integración perfecta con otros recursos de nube como bases

de datos basadas en web y otros componentes de infraestructura y servicios basados

en web

• Multitenancia (Una única instancia de software de aplicación sirve a múltiples

clientes) dinámica, debe ser alcanzable y pennitir colaboración vía la nube entre

desarrolladores, clientes y usuarios en todo el SDLC.

• Seguridad, privacidad y confiabilidad deben estar implícitas en los servicios

• La plataforma de desarrollo debe ser basada en web

La lista de proveedores de PaaS no es tan extensa como SaaS, debido en gran parte a que la oferta

de PaaS tiene un mercado más pequeño, son desarrolladores más que usuarios finales, no

obstante algunos vendedores de SaaS han comenzado a crear filial es de ofertas de PaaS como una

extensión lógica de su oferta de SaaS.

Servicios Web de Amazon (A WS por sus siglas en inglés Amazon Web Services) ha instituido

servicios PaaS para desarrolladores, otros ejemplos de PaaS serían Google App Engine y

Microsoft Azure.

1.2.3 INFRAESTRUCTURA COMO SERVICIO

NIST [l] define Infraestructura como servicio (IaaS) como la capacidad provista al consumidor

para procesamiento, almacenamiento, redes y otros recursos básicos de cómputo donde el cliente

es capaz de desplegar y correr software, el cual puede incluir sistemas operativos y aplicaciones.

El consumidor no administra o controla la infraestructura de nube subyacente pero tiene control

sobre sistemas operativos, almacenamiento, aplicaciones desplegadas y posiblemente control

limitado de componentes de red seleccionados (por ejemplo firewalls).

22

El desembolso en la organización para infraestructura de sistemas de cómputo tradicionalmeme

ha sido una parte muy importante del gasto ya sea por la renta o adquisición de hardware y

software dedicado además de consultoría interna o externa, emplear el modelo IaaS

frecuentemente en conjunción con los modelos SaaS y PaaS provee un nivel de escalabilidad que

puede responder rápidamente a la demanda en una forma que la TI tradicional no puede.

A diferencia de PaaS, el espectro de vendedores de IaaS es muy amplio, mientras que algunos

ofrecen una replicación de la infraestructura estilo centro de datos (por ejemplo IBM, Oracle.

Sun, etc.) otros ofrecen servicios centrados en el usuario final como almacenamiento de datos

(Amazon Simple Storage Service S3, Dropbox, etc.).

Una empresa que se ha consolidado en el segmento de IaaS es Amazon, quien ofrece un gran

menú de servicios, algunos ejemplos de estos servicios son:

• Amazon Elastic Compute Cloud (Amazon EC2). Ambiente de cómputo virtual

proveyendo capacidad de cómputo de tamaño variable en la nube

• Amazon Simple DB. Un servicio web que ofrece las flnciones principales de bases de

datos de indexación y consulta en la nube

• Amazon Simple Storage Service (Amazon S3). Una Interface de servicios web que

provee acceso a infraestructura de almacenamiento de datos escalable y de bajo costo.

• Amazon CloudFront. Provee servicio web para entrega de contenido

1.3 Modelos de implementación de nube

Cada uno de los tres modelos descritos anteriormente tienen múltiples modelos de

implementación. Los modelos de implementación y entrega de servicio no están relacionados,

por lo que cualquiera de ellos puede existir en cualquiera de los escenarios de implementación,

sin embargo, un modelo de entrega/implementación puede ser más común que otros (por

ejemplo SaaS/Public).

NIST [ 1] define cuatro modelos de implementación de nube:

23

a) Nube Privada. La infraestructura de nube es operada ~:olamente por una organización.

Esta puede ser administrada por la organización o por un tercero y puede existir en sitio o

fuera de las instalaciones.

b) Nube Comunitaria. La infraestructura de nube es compartida por varias organizaciones y

soporta una comunidad específica que tienen intereses comunes (por ejemplo, misión,

requerimientos de seguridad, políticas y consideraciones de cumplimiento). Puede ser

administrada por la organización o un tercero y puede existir en sitio o fuera de las

instalaciones.

c) Nube Pública. La infraestructura de nube está disponible al público en general o a un

grupo de la industria y es propiedad de una organización que provee servicios de nube.

d) Nube híbrida. Es una composición de dos o más nubes (privada, comunitaria o pública)

que continúan siendo entidades únicas pero están unidas por estándares o tecnología

propietaria que habilita la portabilidad de aplicaciones y datos.

Una organización puede implementar un modelo o varios dependiendo de cual provea la mejor

solución. Por ejemplo una aplicación crítica que tiene cumplimi,::!nto u otras especificaciones de

seguridad puede requerir un modelo de nube privado o híbrido, por el contrario, una aplicación

general que se necesita para un proyecto temporal es adecuada para una nube pública.

1.3.l NUBES PÚBLICAS

Una nube pública es un esquema de implementación de cómputo en la nube que esta

generalmente abierto para el uso público en general (usuarios individuales o corporaciones). La

infraestructura en nube utilizada es propiedad de una organización proveedora de servicios de

nubes; algunos ejemplos de estas implementaciones incluyen Amazon Web Services, Google

App Engine, Salesforce.com y Microsoft Windows Azurc.

Típicamente esta nube es operada y administrada en un cen-:ro de datos que permite dar

alojamiento a múltiples clientes y usa aprovisionamiento dinámico, la implementación de una

plataforma de servicios escalables y licenciamiento pago según el uso (pay-as-you-go) es también

24

un elemento atractivo de la computación en la nube pública, así como las ventajas de

infraestructura de hardware compartida, infraestructura de software, innovación y desarrollo,

mantenimiento y actualizaciones.

Una nube pública (también conocida como nube externa), puede aportar beneficios económicos

inmediatos a una organización, ya que con su implementación en la empresa eliminaría la carga

de mantenimiento que representan las infraestructuras de TI hoy en día.

Dependiendo de las necesidades especificas de una organización, como requerimientos de

configuración propios, seguridad y acuerdos de niveles de servicio (SLAs por sus siglas en

inglés, Service Leve! Agreement), una compañía deberá considerar si mueve aplicaciones críticas

a un proveedor de nube pública.

De las cuatro configuraciones de implementación de nube, la configuración de nube pública

implica que la mayoría de las tareas de gestión del cliente son responsabilidad del proveedor de

servicio de nube, además de las tareas operacionales diarias, esta administración de un tercero

incluye tareas de seguridad, tales como el registro, seguimiento e :mplementación de controles.

1.3.2 NUBES COMUNITARIAS

Un modelo de implementación de nube que está siendo rápidamente implementada es la

comunitaria, conceptualmente reside en algún lugar entre una nube privada y una nube pública, la

nube comunitaria describe una infraestructura compartida que es empleada y soportada por

múltiples compañías.

Este recurso compartido de nube puede ser utilizado por grupos que tienen preocupaciones

coincidentes sobre un tema en específico, tales como requerimientos de cumplimiento conjunto,

objetivos de negocio no competitivos o una necesidad de poner disponible recursos de seguridad

de alto nivel.

Aunque la existencia fisica de la nube compartida puede residir en cualquiera de los miembros

locales, o a un sitio de terceros, gestionar la nube comunitaria puede llegar a ser complicado,

debido al potencial conflicto de intereses y responsabilidades, por lo que es un desafio técnico

25

hacer frente a las preocupaciones sobre maneJo de los recursos. privacidad, capacidad de

recuperación, latencia y requerimientos de seguridad.

Gerard Briscoe y Alexandros Marinos en su artículo "Ecosistemas Digitales en las nubes: hacia la

comunidad del cómputo en la nube" (2] definieron varios elementos que deben estar presentes

para que una nube sea llamada comunitaria:

• Apertura. La eliminación de la dependencia en los proveedores hace de la nube

comunitaria, el equivalente a proveedores de nubes, y por lo tanto identifica una nueva

dimensión en la batalla abierta en contra de propietaria que ha emergido en códigos,

estándares y datos, pero que hasta ahora no ha sido ·~xpresada en el ámbito de los

servicios alojados.

• Comunidad. La nube comunitaria es tanto una estructura social como un paradigma de la

tecnología, debido a que la comunidad es propietaria de la infraestructura. Esta propiedad

de la comunidad viene con un grado de capacidad de amp.iación económica sin la cual no

habría menor competencia y cumo proveedor de nube~: corría el riesgo de no poder

mnovar.

• Sin propiedad. La nube comunitaria no es propiedad o está controlado por una

organización, y por lo tanto no depende en la duración o fracaso de cualquier

organización. Será robusta y con capacidad de respuesta a fallas, e inmune a los fallos en

cascada de proveedores de nubes, debido a la diversidad de sus nodos de apoyo. Cuando

ocasionalmente falle lo hará no destructivamente y con mínimo tiempo de inactividad,

cuando los nodos no afectados compensen la falla.

• Comodidad y control. La nube comunitaria a diferencia de las nubes de proveedores, no

tiene conflicto inherente entre comodidad y control, decido a que la propiedad de la

comunidad provee control democrático distribuido.

• Sustentabilidad Ambiental. El uso de máquinas de usuario subutilizadas requiere mucho

menos energía que los centros dedicados necesarios para la:; nubes de los proveedores, las

26

granjas de servidores dentro de los centros informáticos tienen una fom1a intensiva de la

provisión de recursos informáticos, mientras que la nube comunitaria es más orgánica.

1.3.3 NUBES PRIVADAS

Mediante el uso de la virtualización algunas compañías están construyendo ambientes de

cómputo de nubes privadas destinados a sus empleados o socio;; de negocio, las nubes privadas

también son conocidas como nubes internas. Las nubes privadé.s pueden ofrecer los beneficios

del cómputo en la nube pública, al tiempo que permite a la organización mantener un mayor

control sobre los datos y procesos.

NIST [1] describe una nube privada como una infraestructura de :rnbe operada solamente por una

organización, administrada por la organización o un tercero ya sea en las instalaciones o fuera

de ellas. La nube privada es típicamente alojada dentro de la frontera de la organización

propietaria.

Hay unas características específicas de una nube privada que la diferencian de la tradicional

infraestructura distribuida de TI.

En primer lugar, las nubes privadas difieren de las nubes públicas en que la infraestructura

asociada con una nube privada esta comúnmente dedicada a una sola empresa y no esta

compartida con alguna otra. La infraestructura puede incluir mudas oficinas corporativas, socios

de negocio, clientes de la intranet/vendedores, distribuidores o cualquier otro grupo que mantiene

una relación de negocio con la empresa.

En segundo lugar, la seguridad se considera prioritaria en una implementación de nube privada

que en una pública, por supuesto que una nube privada no es naturalmente más segura que una

nube pública a menos que las mejores prácticas de seguridad se hayan seguido, pero una empresa

que tiene preocupaciones de seguridad, riesgo o cumplimiento puede querer emplear el control

que una nube privada puede ofrecer, ya que la empresa es duefia de la infraestructura y tiene

control sobre como las aplicaciones son implementadas sobre esta.

27

También una nube privada/híbrida podría ayudar a la empresa para prepararse para el futuro,

mediante el aprovechamiento de la infraestructura existente ,~n una nube. A medida que el

departamento de TI comienza a implementar productos de virtualización dentro de los planes

futuros del centro de datos, una nube privada podría pennitir a una empresa dar un paso en la

arquitectura de la nube sin sacrificar control, gobemabilidad corporativa o confiabilidad.

1.3.4 NUBES HÍBRIDAS

De forn1a simple, una nube híbrida es cualquier combinación de los tres modelos de

implementación previos, específicamente NIST [ 1] la define como "una composición de dos o

más nubes (privada, comunitaria o pública) que continúan siendo entidades únicas pero están

unidas mediante tecnología estandarizada o propietaria de tal forma que permiten portabilidad de

aplicaciones y datos (por ejemplo cloud bursting para balanceo je cargas entre nubes).

Un ejemplo de implementación de nube híbrida podría consistir de una organización usando

aplicaciones de software no críticas en la nube pública mientras conserva las aplicaciones críticas

o sensibles en una nube privada. Las nubes híbridas combinan ambos modelos de nube pública y

privada y puede ser particularmente efectiva cuando ambos tipos de nube están localizadas en la

misma instalación. Una característica de las nubes híbridas que las hace distintivas de las otras

implementaciones de nubes es el compromiso de "cloudbursC Un "cloudburst" generalmente se

refiere al empleo dinámico de una aplicación que, mientras corre predominantemente dentro de la

infraestructura interna de una organización, puede también ser implementada a la nube en el caso

de un repunte de la demanda.

Estos ambientes híbridos pueden emplear múltiples Proveedores de Servicio de Nube (CSPs4)

internos o externos.

~ CSP Cloud Service Providers

28

1.3.5 MODELOS DE IMPLEMENTACIÓN ALTERNA TI VOS

Alrededor del marco SPL hay un par de modelos de implementación alternativos. uno que está

basado en el SPI, el otro es una visión completamente diferente de la arquitectura de la nube.

David Linthicum en su artículo "Definición del marco del cómputo en la nube" [3] propuso un

modelo que aumenta la madurez del marco SPI a través del uso de "stacks", aquí se consideran

1 O categorías mayores o patrones de tecnología de cómputo en J a nube.

1. Almacenamiento como Servicio (Storage as a Service ). La capacidad para aprovechar

almacenamiento que existe físicamente de forma remota, pero es lógicamente un recurso de

almacenamiento local para cualquier aplicación que lo requiere.

2. Base de datos como Servicio (Database as a Service). La capacidad para aprovechar los

servicios de una base de datos alojada remotamente, compartiendo esta con otros usuarios, y

tiene una función lógica como si fuera una base de datos local.

3. Información como un Servicio (lnformation as a Servi::e). La capacidad para consumir

cualquier tipo de infonnación alojada remotamente, a través de una interface bien definida

como una API.

4. Proceso como un Servicio (Process as a Service). Un recurso remoto que es capaz de unir

muchos recursos, ya sea alojados dentro del mismo recurso de cómputo en la nube o remoto.

para crear un proceso de negocio.

5. Aplicación como un Servicio (Application as a Service, también referido como SaaS) es

cualquier aplicación entregada sobre plataforma web a un usuario final, típicamente

aprovechando la aplicación a través de un navegador.

6. Platafonna como un servicio (Platform as a Service). Una plataforma completa, incluyendo

desarrollo de aplicaciones, desarrollo de interfaces, desarrollo de bases de datos,

almacenamiento y pruebas, entregados a través de una pl.itaforma alojada remotamente para

suscriptores.

7. Integración como un Servicio (Integration as a Service). La capacidad para entregar un

conjunto completo de integración desde la nube, incluyendo interfaces con aplicaciones.

control de flujo y diseño de integración.

8. Seguridad como un Servicio (Security as a Service). La capacidad para entregar servicios de

seguridad principales sobre internet.

29

9. Gestión/Gobernabilidad como un Servicio (Management/Govemance as a Service). Cualquier

servicio sobre demanda provee la capacidad para gestionar uno o más servicios de nube,

típicamente cosas simples como topología, utilización de recursos, virtualización y

administración del tiempo de actividad.

1 O. Gestión de Pruebas como un servicio (Testing as a Service ). La capacidad para probar

sistemas locales o entregados en la nube, usando software de pruebas y servicios que están

alojados remotamente.

1.4 RECAPITULACIÓN

El cómputo en la nube es un modelo mediante el cual se accede a un conjunto compartido de

recursos de cómputo bajo demanda los cuales pueden ser aprovisionados de fom1a inmediata,

con poco esfuerzo de gestión del consumidor o interacción con el proveedor de servicio. Sus

características esenciales son: autoservicio bajo demanda, amplio acceso a la red, recursos

disponibles independientes de la ubicación, elasticidad rápida y servicio medido.

Existen tres modelos de servicio ampliamente aceptados: IaaS (Infraestructura como Servicio),

SaaS (software como Servicio) y PaaS (Platafonna como Servicio) y cuatro modelos de

implementación: nube privada, pública, comunitaria e híbrida

•

•

•

•

•

30

c:APITULO 2

, DEFINICION DE ESTRA 1fEGIA PARA

IMPLEMENTAR SERVIClOS DE TIC EN LA NUBE

2. DEFINICIÓN DE ESTRATEGIA PA.RA

IMPLEMENTAR SERVICIOS DE TI EN LA NUBE

2.1 SITUACIÓN ACTUAL DE LA ORGANIZACIÓN

31

La estrategia para trasladar los servicios de TI de un esquema tradicional a la nube, debe de

sustentarse en el plan de negocios de la organización a mediano y largo plazo. El diseño de la

estrategia implica tomar decisiones que comprometen recursos importantes, motivo por el cual es

necesario el patrocinio de la dirección general que favorezca 12. implementación. Adicionalmente,

es necesaria la participación de los líderes de la organización para asegurar que el diseño de los

servicios de la nube cumpla con los requerimientos del negocio y para sensibilizarlos sobre los

futuros cambios que se suscitarán en la entrega de los servicios de TI durante el período de

transición.

Cuando una organización analiza la posibilidad adopción del modelo de cómputo en la nube, se

deben fonnular una serie de preguntas para orientar la decisión por la senda correcta, algunas de

esas preguntas pueden ser:

1. ¿Cuál es la situación actual del Centro de Datos en ténninos de una Arquitectura

Orientada a Servicios?

2. ¿Cuáles son los requerimientos del negocio de la Organización en materia de regulación?

3. La movilización de servicios de TI a la nube ¿Es un proyecto financieramente rentable?

32

4. De los servicios que se entregan en el esquema tradicional. ¿Cuáles se pueden prestar con

la misma o mejor calidad en la nube?

5. El proveedor de nube: ¿Puede entregar los niveles de serv1c10 requeridos por la

organización?

6. ¿Cuál es el nivel de seguridad que ofrece el proveedor de nube a los datos de la

organización?

2.2 ENFOQUES PARA DEFINIR LA ESTRATEGIA

Para contestar estas preguntas podríamos utilizar enfoques mixtos que involucren:

• Intuición y Experiencia

• Conceptos y herramientas

• Personas y Procesos

• Datos y Análisis

Intuición y Experiencia: La intuición guiada por expenencias relevantes, puede ser una

herramienta poderosa para responder a estas preguntas, el problema es que a veces las prácticas

anteriores pudieran ser insuficientes o inapropiadas para tomar de decisiones estratégicas sobre

un futuro vertiginoso.

Conceptos y herramientas: Un concepto es una idea que define la naturaleza de una estrategia

exitosa, nos ayuda a definir qué datos recolectar y como analizarlos. Las herramientas de

estrategia permiten una forma más concreta de estructurar el pensamiento, son útiles para llevar a

cabo discusiones de grupo y para realizar presentaciones sobre la lógica utilizada en la adopción

de la estrategia. Desafortunadamente los conceptos de estrate 5ia y las herramientas por sí solas

rara vez llegan a la respuesta correcta, las decisiones estratégicas son siempre difíciles dado que

requieren experiencia y buen juicio.

Personas y Procesos: Debido a que una estrategia rara vez puede ser diseñada por un solo

individuo, reunir a las personas correctas es un punto crítico. Un aspecto fundamental de la

estrategia es involucrar al grupo de personas directamente relacionadas con la operación de

serv1c10s de TI actuales, con la planeación y diseño de nuevos serv1c10s así como las áreas

usuarias que se verán afectadas.

Datos y análisis: Pueden servir para sustentar objetivamente una decisión, pueden ser de utilidad

en el caso de que las personas involucradas sepan utilizarlos de manera adecuada.

La mercadotecnia alrededor de la nube, promueve la idea que ~;u implementación puede reducir

de forma dramática los costos de gestionar la infraestructura tradicional de tecnologías de

información. La realidad indica que no siempre es así, en algunas situaciones los servicios

basados en nube son la solución correcta en el momento propicio al precio atractivo, sin embargo

en otras circunstancias la nube como plataforma necesita más investigación antes de aplicarla a

un problema de negocio.

Antes de tomar una decisión de ir hacia la nube, se debe contemplar una estrategia y un plan de

implementación sobre cuándo y cómo se van a utilizar los servicios de nube dentro de la

organización.

2.3 EVALUANDO LA SITUACIÓN ACTUAL

2.3.l AMBIENTE DEL CENTRO DE DA TOS EN TÉRMINOS DE UNA

ARQUITECTURA ORIENTADA A SERVICIOS.

El contar con arquitectura orientada a servicios (SOA) debe considerarse como un requisito para

trasladar los servicios a la nube sin sobresaltos. Una manera de empezar sería revisar el grado de

madurez que tienen los servicios del Centros de Datos e identificar que se requiere para transitar

con menores dificultades a la nube. Se podría trabajar inicialmente en simplificar el entorno

informático actual, separando los servicios y procesos de negocio.

Algunas de los cuestionamientos que se podrían realizar son:

• ¿Las aplicaciones cuentan con Arquitectura consistente o cada aplicación cuenta con

su propia arquitectura?

• ¿Hay servicios comunes del negocio utilizados mediante múltiples aplicaciones?

34

• ¿Son esos serv1c1os comunes de negocio autónomos? o ¿dependen de otras

aplicaciones y servicios en tu ambiente?

• ¿ Tu organización tiene implementada gestión de carga de trabajo?

Mientras más servicios estén habilitados e identificados en el entorno informático, meJor

preparada estará la organización para aprovechar los servicios de nube. Es mucho más difícil

mover componentes dentro de la nube si no puedes separar aplicaciones o servicios de negocio de

los servicios de tu centro de datos.

En el Anexo A Planeación de la Capacidad de los servicios del Centro de Datos se mencionan

algunas herramientas que pueden utilizarse en esta planeación.

2.3.2 REQUERIMIENTOS DE NEGOCIO QUE TIENE LA ORGANIZACIÓN EN

MATERIA DE REGULACIÓN

Considera la información que está corriendo en tu centro de datos antes de moverla hacia la nube,

tienes que pensar acerca de:

• Privacidad y cuestiones de cumplimiento regulatorio

• Problemas de seguridad

• Problemas de gestión de datos específicos a tu compañía

Por ejemplo, una compañía multinacional, antes de mover sus datos a la nube para análisis de

mercado debe verificar las leyes relativas al acceso de datos por diferentes gobiernos, flujo de

datos entre países y demás.

El cumplimiento ( externo o interno) puede pensarse también como un costo del nivel de servicio.

Podría ser necesario tener el servicio de nube auditado para ver si cumple con los requerimientos

de cumplimiento, el cual podría relacionar a seguridad TI, procedimientos de recuperación u otra

actividad de TI que debe obedecer el cumplimiento de normas.

Se recomienda evaluar la situación actual de TI y gobernabilidad del negocio a medida que

desarrolles la estrategia de nube. En algunos casos, la gobernabilidad y el cumplimiento prohíben

que cierto tipo de información salga del ambiente interno de la organización.

35

Si estas considerando escoger un proveedor de servicio de nube, necesitas estar seguro que la

compañía puede soportar tus necesidades de seguridad y gobernabilidad con la supervisión y

rendición de cuentas. Examina los reportes y documentación que soporten sus requerimientos de

supervisión. Platica con otros clientes del proveedor para ver que también cumple con los

requerimientos de gobernabilidad de los clientes.

Asegúrate que tu proveedor de nube puede adherirse a cualquier requerimiento de regulación o

cumplimiento que tu compañía tenga que cumplir. Necesitas asegurarte si están dispuestos a

actualizarse en el caso de que algo cambie en tu industria. Evalúa el riesgo y el costo que podría

estar asociado con esto.

En el Anexo B Cumplimientos Regulatorios Requeridos por la Organización, se muestra un

ejemplo que identifica objetivos de control para el cumplimiento regulatorio de una legislación

que afecta a una organización.

2.3.3 RENTABILIDAD DE UN PROYECTO DE NUBE

Una de las más importantes tareas cuando te preparas para la nube consiste en evaluar la

estructura de costo de la organización (por ejemplo, cuánto estas gastando en soportar el

hardware existente, software, servicios de red). ¿Cómo puedes determinar el costo de los ahorros

si no sabes cuánto estas gastando hoy en día?

En algunas situaciones podría ayudarte a ahorrar dinero mover un servicio como correo, pruebas

de software, o almacenamiento para una nube, debido a que los costos de realizar el servicio

internamente son mucho más altos. En otras circunstancias el costo por implementar una

aplicación clave en la nube puede ser mucho más caro que con-erla internamente.

Hay muchos temas en perspectiva cuando estas evaluando la economía de la nube:

• El centro de datos por sí mismo no es estático, si no que cambia constantemente

• No cada carga de trabajo es más económica en la nube

• Las tecnologías emergente hacen algunas decisiones más complicadas

36

Comparar con exactitud la economía de la nube versus un centro de datos es complicado. El

problema para muchas organizaciones estará que no tienen un modelo exacto de los costos del

centro de datos que les permitan considerar proposiciones de nube sobre una base.

Es complejo para muchas organizaciones predecir con exactitud los costos de correr una

aplicación en el centro de datos, un servidor en particular puede ser utilizado para soportar varias

aplicaciones diferentes. ¿Cómo se puede juzgar con precisión la cantidad de recursos de personal

que se dedican a una aplicación? En algunas organizaciones puede haber intentos para atar los

costos de computación a departamentos específicos.

Si quieres tener un enfoque racional para adopción de la nube, es necesario analizar los costos de

TI. El hecho simple es que la nube no necesariamente será menos cara y esta no necesariamente

proveerá el mismo nivel de servicio como tu centro de datos. Tu propio centro de datos podría

tener un acuerdo de nivel de servicio con un porcentaje de di,ponibilidad de 99.999. ¿Podrá el

proveedor de la nube ofrecer el mismo nivel de servicio? Habría que evaluar que nivel de

disponibilidad es el adecuado para tus clientes internos.

Si estas planeando mover algunas de tus aplicaciones a la nube, identifica las aplicaciones que

darán el mayor retorno de la inversión. Realiza tu trabajo para otro tipo de aplicaciones y

recursos. Por ejemplo si hay una aplicación que utiliza un gran porcentaje del personal pero que

tiene que configurarla para sus propósitos, tienes que evaluar si hace sentido mover esta a un

ambiente de nube. Necesitas considerar un rango de costos y si la gente es capaz de realizar sus

trabajos efectivamente bajo este nuevo modelo.

El modelo económico incluye los siguientes pasos:

• Identificar costos para aplicaciones ( o grupos lógicos de aplicaciones) en términos del

TCA05 (Costo total de propiedad de la aplicación)

• Ajustar los costos para reflejar el costo actual de los ahorros que pudieran ser

obtenidos en términos del TCAO

• Factor en el costo de la nube privada

• Factor en nivel de servicio y cumplimiento

5 TCAO. Total Cost Application Ownership

37

• Tomar en cuenta factores estratégicos ( capacidad del centro de datos y agrupamiento

de aplicaciones)

En el Anexo C Modelo Económico para una Aplicación, encon1rarás un modelo económico para

una aplicación que te permitirá identificar el costo de la aplicación, su impacto en la

organización y cuál podría tener un menor riesgo de implantación.

2.3.4 SELECCIÓN DEL MODELO DE NUBE PARA LA ORGANIZACIÓN

Para decidir cuál modelo de costo de nube aplicar, se deben considerar:

• Capacidad del centro de datos: Muchas organizaciones se están quedando sin espacio en

centro de datos, si necesitas espacio comúnmente hay un costo masivo en obtener espacio

extra.

• Agrupamiento de aplicaciones: Debido a la llegada y adopción generalizada de la

arquitectura orientada a servicios SOA la interdependencia de servicios de aplicación se

ha incrementado. Por integración técnica y razones de rendimiento, podría ser impráctico

pensar en aplicaciones como base individual, y en vez de esto agruparlas cuando se

considere la migración a la nube.

En muchos casos, escoger una aplicación y moverla a la nube no es tan simple, comúnmente

primero se hacen trabajos de configuración y pruebas, adicionalmente la aplicación podría no

estar diseñada para la naturaleza altamente distribuida del ambi,~nte de nube y podría necesitar ser

re-escrita, este otro costo necesita tomarse en cuenta. No todas las aplicaciones pueden moverse a

la nube, por ejemplo las aplicaciones legadas que funcionan bajo entornos operativos que la nube

ya no soporta.

Para aquellas aplicaciones y cargas de trabajo que son apropiac.as para la nube, el TCAO es ideal.

Sin embargo, en el mundo real tienes que dividir el análisis económico para que tome en cuenta

las cargas de trabajo que deben permanecer en el centro de datos.

Desde una perspectiva política, las compañías no deberían simJlemente tomar una acción debido

a que parece ser más económica. Necesitan basar la política en que debe permanecer en el centro

38

de datos tradicional y porqué (por ejemplo, privacidad, complejidad y singularidad de la carga de

trabajo). Ellos entonces deben tener una política que decla.re que automatización y auto­

aprovisionamiento soportará el negocio y lo habilitará para reaccionar a las oportunidades mucho

más rápido. Necesita también una política que especifique cuando una carga de trabajo puede ser

movida a la nube pública de forma segura.

Basado en las preguntas anteriores, muchas compañías claramente usaran una combinación de

recursos de nube pública y privada, el ambiente privado podría vivir en el centro de datos de la

compañía o podría ser alojado por un proveedor de nube privada. Cada compañía tiene su propia

forma de hacer frente a los gastos de capital en contra de los gastos de operación con ambientes

de nube privada.

Inicia por revisar tu portafolio de servicios para identificar tu primer objetivo. Selecciona un área

específica que demuestra el valor que obtendrías de un modelo ele nube.

Hay algunas áreas que están listas para la nube, por ejemplo:

"Pruebas de aplicaciones a un ambiente de nube", éste es un modelo popular para muchas

compañías. En vez de proveer servidores de prueba en las instalaciones de la empresa, las

pruebas son hechas sobre demanda en la nube. Los beneficios incluyen tanta capacidad como se

necesite y no hay tiempo de aprovisionamiento para los servidores en el ambiente de prueba. En

el Anexo D Servicios Públicos de Nube se presentan algunos servicios, una breve descripción y

referencias que pueden servir como un primer acercamiento a ellos.

2.3.5 NIVELES DE SERVICIO REQUERIDOS POR LA ORGANIZACIÓN

No es común que un servicio de nube provea exactamente el mismo nivel de servicio que el

proporcionado por el centro de datos para una aplicación, existe un costo o beneficio escondido.

Para asignar un valor, se necesita estimar el costo al negocio si la aplicación no llegase a estar

disponible. Ese valor, entonces puede ser añadido ( o substraído) como un costo adicional

involucrado en mover la aplicación a la nube.

39

En el Anexo E Formato de Acuerdo de Nivel de Servicio, se muestra un formato muestra que

podría servimos para establecer el acuerdo de nivel de servicio con un proveedor de la nube.

2.3.6 ¡,CUÁL ES EL NIVEL DE SEGURIDAD QUE OFRECE EL PROVEEDOR DE

NUBE A LOS DA TOS DE LA ORGANIZACIÓN?

Aparte de los problemas de seguridad y privacidad, podrías terer un número de asuntos legales

por considerar, por ejemplo:

• ¿Qué le pasa a tus aplicaciones y datos si el proveedor de nube se sale del negocio?

• ¿Quién es responsable de la perdida de información?

• ¿ Qué tiempo de actividad garantiza el proveedor?

• ¿Qué recurso tienes si el acuerdo de nivel de servicio no se cumple?

• ¿Cuáles son mis preocupaciones de seguridad y privacidad?

• ¿ Qué tan disponible y confiable estarán mis recursos'>

La seguridad en la nube necesita ser enfocada desde una perspectiva de gestión de riesgos. Si tu

organización tiene especialistas de gestión de riesgos involúcralos en la planeación de la

seguridad de la nube.

Cuando administras el centro de datos, disponibilidad y confiabilidad bajo el control de tu

compafiía, tu organización de TI probablemente ha negociado ciertos acuerdos de niveles de

servicio con los departamentos de tu compafiía basados en la criticidad de tus aplicaciones. Con

el movimiento a la nube necesitas preguntarte que niveles de disponibilidad y que riesgo estarías

tomando si tu proveedor de servicio de nube no cumple con bs niveles de servicio acordados.

Habría algunas aplicaciones en las cuales tomarías un riesgo y otras en donde no, pero necesitas

analizar el riesgo.

Si estas pensando mover aplicaciones y datos a la nube necesitas formular una serie de preguntas,

por ejemplo:

• ¿Están seguros mis datos?

40

• ¿Pueden mis datos estar almacenados en donde sea o mi compañía no permite que los

datos crucen la frontera?

• ¿ Qué pasa si se pierden mis datos?

• ¿Puedo recuperarlos?

• ¿Quién es el dueño de mis datos?

En resumidas cuentas necesitas sopesar los riesgos asociados con poner ciertas aplicaciones que

dependen de ciertos tipos de datos en la nube. Podría ser que te sientas cómodo con el riesgo pero

necesitas contemplarlo. Evalúa cuáles son y si será fácil mover tus activos de un proveedor de

nube a otro.

• ¿Es mi proveedor confiable?

• ¿Qué pasa si mi proveedor de nube sale del negocio?

• ¿Será capaz de recuperar sus activos?

• ¿Quién es dueño de la propiedad intelectual?

• ¿Estaré atado a un solo proveedor?

• ¿Cuáles son los riesgos de procesos y personas asociados con una nueva tecnología??

• ¿Cómo podrían mis procesos cambiar en la nube?

• ¿Qué pasa con los recursos tecnológicos?

En el Anexo F Consideraciones de Seguridad en la Nube se muestran las consideraciones de

Seguridad que debería cumplir un proveedor de servicio de Nube.

2.4. DESARROLLANDO UN PLAN DE TRABAJO

Para desarrollar un plan de trabajo es recomendable que se teng:l.Il contestadas las preguntas de la

sección anterior:

En el anexo G Plan de trabajo implementación de nube, se describe un plan básico de traslado de

servicios de TI a la nube. Para completar adecuadamente la red de actividades es necesario tener

bien identificado:

• ¿Cuáles son los servicios que necesitas soportar para el crecimiento del negocio

41

• ¿Cómo se van a implantar?

• ¿Cuándo se van a implantar?

Dentro de la estrategia de reubicación de serv1c1os en la nube, probablemente tenga sentido

implementarlos de forma paulatina, para asegurar su disponibilidad y continuidad en la

operación.

Una vez formulado el plan de trabajo y todos los requerimientos técnicos para el

aprovechamiento de la nube como parte de la estrategia a seguir, se tiene que comunicar el plan

de acción al negocio y a las comunidades de TI. Algunas personas podrían considerar a la nube

una amenaza debido a que esta remueve algunas tareas del de)artamento de TI, por otro lado la

gestión del negocio va a querer saber que tienen el control sobre datos importantes del negocio.

2.4.1 TEMAS CULTURALES A CONSIDERAR EN EL PLAN DE TRABAJO

Cuando algo nuevo viene, podría tomar tiempo para que las personas lo acepten, la realidad es

que el cambio usualmente provoca que las personas reaccionen, en algunas ocasiones pueden

reaccionar positivamente al cambio y a veces no. Debido a que no se sabe lo que podría pasar, es

importante anticipar problemas y planificar en consecuencia.

Generalmente los problemas asociados cuando se introduce una nueva tecnología a una

organización caen en una de las siguientes categorías:

• Las personas no lo entienden: Las personas necesitan ser educadas acerca de como el

modelo trabaja y cuáles son sus beneficios

• Las personas tienen preocupaciones legítimas: Hay por cierto razones legítimas para no

querer adoptar una cierta tecnología. Estas razones son por lo general sobre el riesgo. En

la nube la gente está preocupada acerca de la seguridad, capacidad de gestión y

disponibilidad. Estos son los riesgos de los cuales deben estar conscientes los

consumidores.

• La gente se siente amenazada por la nueva tecnología porque piensa puede afectar su

subsistencia. El personal de TI puede estar preocupado acerca del impacto que la nube

42

puede tener en sus trabajos. Aún y cuando ellos podnan no perder sus trabajos, ellos

todavía quisieran entender cuál será el impacto que tendrá a su situación actual.

• La gente está de acuerdo en un principio con la tecnología pero podría llevarle tiempo

acostumbrarse a ella, torna tiempo confiar en la nueva forma de hacer las cosas.

2.4.2 BÚSQUEDA DE PATROCINADORES PARA ASEGURAR LA ACEPTACIÓN Y

EJECUCIÓN DEL PLAN DE TRABAJO

• Soporte Ejecutivo: El moverse a la nube será más tranquillo si tienes soporte ejecutivo,

mediante este apoyo se enviará el mensaje desde lo más alto y las personas serán más

receptivas.

• Entiende la cultura: Si tu compañía ha estado haciendo las cosas de una manera en los

últimos años, necesitas entender que para la adopción de este modelo habrá resistencia, es

necesario planificar la implantación en consecuencia.

• Comunica el mensaje: Cuando tienes soporte ejecutivo y entiendes la cultura comunica el

mensaje de la nube hacia aquellos que serán impactados.

• Declaración formal: Es también una buena idea tener una declaración formal acerca del

caso de negocio para la nube, en caso de que tengas que convencer a tu personal y en

especial aquellos cuyos trabajos serán significativamente impactados.

• Educa al personal: El personal involucrado necesita entender: ¿Por qué la compañía está

moviendo algunas operaciones al modelo de nube? ¿Cuáles son los beneficios de este

movimiento para la organización? ¿Cómo las personas se verán afectadas por el

movimiento al cómputo en la nube?

• Involucra a la gente: Si la gente siente que ellos son part,~ del cambio, ellos comúnmente

no se resistirán, forma comités de transición y designa personas para liderar el cambio.

43

• Entrena tu personal: El tipo de entrenamiento dependerá de la función del trabajo

(herramientas de monitoreo, nuevas aplicaciones, etc.)

2.5 GUÍA DE ORIENTACIÓN PARA LA ADOPCIÓN DE UN MODELO DE

NUBE

Considerando todo lo referido en este capítulo, se identifican cinco componentes principales que

están presentes en los servicios de tecnologías de información: a) Centro de datos, b)

Aplicaciones, c) Cumplimiento de regulaciones, d) Niveles de Servicio y e) Niveles de

Seguridad.

En este trabajo se plantea la evaluación del grado de madurez de estos componentes como el paso

principal que debe dar una empresa que considera la adopción de servicios de cómputo en la

nube. Una vez que se obtiene la valoración del grado de madurez de los componentes de los

servicios de tecnologías de infom1ación, la empresa tiene un mejor conocimiento de ellos e

identifica cuales necesita mejorar (si desea implementar su nube privada) o bien solicitar su

cumplimiento (si desea contratar servicios de nube pública).

En la evaluación del grado de madurez de los componentes principales se considera:

a) Centro de datos: En este rubro se evalúa el grado de madurez de los serv1c10s de

infraestructura de tecnologías de información (hardware y software de los equipos que

proporcionan capacidad de procesamiento, capacidad de almacenamiento,

comunicaciones LAN (Local Area Network - red de área local) y W AN (Wide Area

Network - red de área amplia), así como el grado de madurez de los equipos que

proporcionan los servicios auxiliares ( energía y aire acondicionado)

b) Aplicaciones: Se evalúa el grado de madurez del ciclo de vida de las aplicaciones, así

como los servicios de bases de datos, aplicaciones comerciales y legacy (aplicación

heredada usada por el usuario y que no puede ser remplazada fácilmente).

c) Cumplimiento de regulaciones: Se evalúa el grado de madurez que se tienen en cuanto a

la implementación de metodologías y mejores prácticas en tecnologías de información, así

44

como la implementación de controles requeridos por la organización por ejemplo SOX

(Sarbanes-Oxley).

d) Niveles de servicio: Se evalúa el grado de madurez de procesos de gestión enfocados en

la entrega y soporte del servicio ( entre otros acuerdos de servicio, procesos de gestión de

problemas, gestión de incidentes y gestión de la capacidad)

e) Niveles de Seguridad: Se evalúa el grado de madurez de procedimientos y protocolos de

seguridad, existencia y difusión de políticas, proceso~: de continuidad del negocio y

recuperación de desastres.

Contando con este punto de partida, la empresa puede continuar con el proceso de adopción del

modelo de cómputo en la nube siguiendo la secuencia que se muestra en la Figura 2-1. Modelo

para adopción de servicios de nube.

En esta figura se identifica una parte de planeación, en donde se considera identificar áreas de

mejora por cada componente y elaborar programa de trabajo para:

• Organizar y fortalecer los servicios de infraestructura de :as aplicaciones.

• Identificar y en su acaso adecuar las aplicaciones que sean factibles de transferir a la nube

• Documentar los requerimientos del negocio en materia de regulación

• Definir de forma conjunta con el negocio, los niveles de servicio esperados con el futuro

proveedor

• Detenninar los niveles de seguridad requerida por la organización para considerarlos en la

contratación de los servicios

Centro de Datos

Figura 2-1 Modelo para adopción de servicio, de Nube

( Inicio )

Proveedor/Cliente

Componentes principales identificados en un Servicio de tecnología de información

Aphcac1ones Requerimientos del negocio en materia

de regulaaón

1 ! Evaluación del grado ¡ I de madurez j

Planeación

f'' v Implementación/ Contratación del

servicio

Niveles de Servicio requendos por la

Or,Janización

Niveles de seguridad requeridos por la

Organización

45

Para la Planeación e Implementación/Contratación del serv1c10 referidos en la Figura

mencionada, dentro de este trabajo se agregaron los siguientes anexos, los cuales mencionan

algunas herramientas, modelos y ejemplos que pudieran servir de apoyo.

• Anexo A. Planeación de la capacidad de los servicios del centro de datos.

• Anexo B. Cumplimientos regulativos requeridos por la organización

• Anexo C. Modelo económico para una aplicación

• Anexo E. Formato de Acuerdo de Nivel de Servicio

• Anexo F. Consideraciones de Seguridad en la nube

• Anexo G. Plan de trabajo de Implementación en la nube

Adicional al Modelo planteado, sería recomendable realizar un análisis de nesgos en la

Organización para que con los resultados obtenidos, se identifiquen que controles serían

necesarios implementar antes de adoptar este modelo de servicios, ya sea como proveedor de

servicios de nube o como consumidor de servicios de nube.

46

Aunado al párrafo anterior, otro tema importante a tratar y que no forma parte del alcance de este

trabajo sería llevar a cabo análisis financieros y de rentabilidad de los servicios en la nube,

considerando como un componente importante la Operación y Disponibilidad de los Servicios en

el Negocio, de tal forma que las organizaciones cuenten con mayores elementos a ponderar en la

adopción de este modelo de servicios.

En el siguiente capítulo, se aborda el Diseño de un instrumento de medición para medir el grado

de madurez de los componentes de un servicio de tecnologías de información.

2.6 RECAPITULACIÓN

El transitar a un modelo de serv1c1os de cómputo en la nube implica tomar decisiones

importantes en la entrega de servicios de TI en la organización, por lo que antes de discernir al

respecto, se debe contemplar una estrategia y un plan de implementación sobre cuándo y cómo se

van a utilizar los servicios de nube dentro de la organización. Se debe evaluar la forma actual de

la entrega de los servicios considerando los componentes que lo integran: Centro de datos,

Requerimientos del negocio en materia de cumplimiento de regulaciones, niveles de servicio,

niveles de seguridad, rentabilidad del proyecto y, como tema cultural, es importante también

comunicar cómo este modelo de servicios beneficia a la organización y a las áreas que prestan el

serv1c10.

47

CAPITULO 3•

-DISENO DE UN INSTRUMENTO DE ,

MEDICION DEL GRADO DE

MADUREZ SERVICIC)S DE TI

3. DISEÑO DE UN INSTRUMENTO DE MEDICIÓN DEL

GRADO DE MADUREZ SERVICIOS DE TI.

48

De acuerdo al modelo planteado en la sección 2.5 Guía de oriemación para la adaptación de un

modelo de Nube, se identifica la valoración del grado de madurez de los servicios de tecnologías

de información como el paso inicial deseado para la adopción del modelo de cómputo en la nube.

En el presente capítulo se aborda el diseño de un instrumento cie medición planteado como un

problema de investigación desde una óptica cualitativa, para lo cual se considerará el marco

teórico siguiente:

• Objetivos de lnvestigación

• Preguntas de Investigación

• Justificación de la lnvestigación

• Viabilidad de la investigación

• Evaluación de las deficiencias en el conocimiento del problema

• Definición inicial del ambiente o contexto.

Una vez establecido el marco teórico se abordará:

a) Metodología para la Evaluación del grado de madurez

b) Diseño del lnstrumento

49

3.1 MARCO TEÓRICO

3.1.1 OBJETIVOS DE INVESTIGACIÓN

• Identificar los componentes que intervienen en un servicio de tecnología de información.

• Evaluar el estado de madurez de los componentes que forman parte de un servicio de

tecnología de información que se pretende transferir a la nube.

• Ponderar el grado de madurez de una empresa respecto a sus servicios de tecnologías de

información.

• Evaluar la preparación de la empresa para utilizar los servicios de cómputo en la nube

(pública o privada), y emitir las recomendaciones procedentes.

3.1.2 PREGUNTAS DE INVESTIGACIÓN

En el capítulo 2, dentro de la sección 2.5 Guía de orientación para la adaptación de un modelo

de Nube, se identifican cinco elementos principales que fonnan parte de los servicios de

tecnología de información, los cuales son: 1) Centro de Datos, 2) Aplicaciones, 3) Cumplimiento

de Regulaciones, 4) Acuerdos de Niveles de Servicio y 5) Niveles de Seguridad, nuestro objetivo

principal sería identificar el grado de madurez de cada uno de e:;tos elementos, para lo cual nos

formulamos las siguientes preguntas:

a) ¿Cuál es el grado de madurez del Centro de Datos?

b) ¿ Cuál es el grado de madurez de las Aplicaciones?

c) ¿Cuál es el grado de madurez en el cumplimiento de Regulaciones requeridas por el

negocio?

d) ¿Cuál es el grado de madurez de los Acuerdos de Niveles de Servicios requeridos por la

Organización?

e) ¿Cuál es el grado de madurez de los Niveles de Seguridad requeridos por la

Organización?

50

3.1.3 JUSTIFICACIÓN DE LA INVESTIGACIÓN

Al identificar el grado de madurez de los elementos que componen un servicio de tecnologías de

infomrnción, nos permite detectar las fortalezas y sobre todo las areas de oportunidad de cada uno

de los elementos que están involucrados en el servicio. La detección de estas áreas de

oportunidad permite emitir recomendaciones basadas en estándares de tecnologías de

Información ITIL/COBIT a fin de elevar el grado de madurez de cada uno de los elementos.

El tener una referencia de como se encuentran sus servicios de tecnologías de información en

cuanto a su grado de madurez, le permitirá a una empresa orientar su estrategia de TI a fin de

dirigir los esfuerzos a las áreas de oportunidad detectadas y mejorar sus servicios.

La adopción de un modelo de cómputo en la nube no es la excepción, si una empresa tiene interés

en adoptar soluciones de nube, de acuerdo a lo planteado en la :;ección 2.5 Guia de orientación

para la adaptación de un modelo de Nube, es deseable que se evalúe inicialmente el grado de

madurez de sus servicios de tecnologías de información y se pueda descubrir si la nube podría

reportarle los beneficios esperados.

3.1.4 VIABILIDAD

Hoy en día, las empresas que requieren obtener servicios eficientes de tecnologías de infonnación

a un menor costo, encuentran como opción al Cómputo en la Nube. Este mercado está en ascenso

y actualmente es una tendencia que está emergiendo con fuerza, de tal forma que existen muchos

proveedores que ofertan este tipo de servicios, y es ante esta alternativa que las compañías se

hacen la pregunta:

¿Es benéfico para el negocio el adoptar los servicios de cómputo en la nube?

KPMG (Consultoría de servicios de Auditoría, Impuestos y Asesoría) en su artículo ·'Modelando

el impacto económico del cómputo en la nube" [5], indica que el surgimiento del cómputo en la

nube trae muchos beneficios que están cambiando la economía de las áreas de TI. La tecnología

de nube estandariza y agrupa los recursos de TI y automatiza muchas de las tareas de

51

mantenimiento actuales. La arquitectura de nube facilita un consumo elástico, auto servicio y

pago según el uso, también permite que los elementos principales de la infraestructura de TI estén

en grandes centros de datos y de esta forma tomen ventajas de las economías de escala.

De acuerdo a lo publicado en el artículo los beneficios económicos de la nube pueden ser

agrupados en tres amplias categorías:

• Ahorros de costo directo ( ocurren en el centro de datos)

• Mejoras en la productividad

• Innovación

Considerando lo anterior, pueden considerarse estos beneficios económicos como impulsores

para implementar este modelo de servicios.

Como se mencionó en la introducción de este trabajo en la descripción de los modelos de

prestación de servicios de nube, los proveedores de servicios de nube pública tienen una oferta

que cada día se hace más amplia, el Anexo D Servicios Públicos de Nube nos refiere algunos de

estos proveedores.

3.1.5 EVALUACIÓN DE LAS DEFICIENCIAS EN EL CONOCIMIENTO DEL

PROBLEMA

Los elementos clave que se identificaron como parte de un serv1c10 de tecnologías de

información y cuyo grado de madurez se evalúa, fueron seleccionados de acuerdo a la

experiencia del investigador. Alguno de estos elementos se desglosaron en uno o vanos

subtemas, los cuales por si solos tienen una mayor complejidad a lo que pudiera evaluarse en este

ejercicio, sin embargo pese a no dominar cada uno de los subtemas, la pretensión es lograr una

aproximación inicial al grado de madurez de una organizaciór en cuanto a sus servicios de

tecnologías de información.

52

3.1.6 DEFINICIÓN INICIAL DEL AMBIENTE O CONTEXTO

El ambiente inicial es la necesidad que tienen las empresas en la actualidad para tornar una

decisión en considerar el cómputo en la nube corno una opción viable, para este caso el

encuestado podrá elegir evaluarse como un proveedor de servicios de nube o como un cliente de

servicios de nube.

Una vez que el usuario se identifica como proveedor o cliente, para calcular el grado de madurez

se considera una ponderación diferente de los componentes del servicio, de tal forma que la

identificación de las áreas de oportunidad pudieran ser diferentes

El modelo para la valoración del grado de madurez se diseñó considerando el escenario de una

empresa que quiere implementar servicios de nube privada. El grado de madurez que se obtiene

mediante la evaluación propuesta se dirige principalmente a usuarios que desean implementar

servicios de nube privada, sin embargo se considera que puede servir de referencia para los

clientes que deseen ser consumidores de servicios de nube pública.

3.2 METODOLOGÍA PARA LA EVALUACIÓN DEL GRADO DE

MADUREZ

De acuerdo a lo planteado en la sección 2.5 Guía de orientación para la adopción de un modelo

de nube, la evaluación del grado de madurez de los componentes que forman parte de los

servicios de tecnologías de información, representa el hito inicial para la adopción de un modelo

de cómputo en la nube, por lo que en esta sección se aborda el método utilizado para la

construcción de la herramienta que nos permitirá conocer este grado de madurez. La Figura 3-1

Metodología para la evaluaóón del grado de madurez nos muestra la secuencia de pasos que se

llevan a cabo.

53

Figura 3-1 Metodología para la evaluación del grado de madurez

3.2.1 REACTIVOS PARA EVALUAR MADUREZ DE COMPONENTES

El instrumento de medición realiza una serie de preguntas al entrevistado con el fin de obtener

una visión general con respecto a los servicios de tecnologías de información en su empresa,

posterionnente formula una serie de enunciados a partir de un banco de reactivos relacionados

con los cinco componentes que se calificarán para obtener el grado de madurez de la empresa. El

perfil del entrevistado debe ser de un miembro de tecnologías de información que tenga

conocimientos acerca de como se brindan los servicios en su organización y conozca de forma

general los elementos de tecnologías de información que componen un servicio.

54

Los bancos de reactivos para identificar el grado de madurez se describen en las siguientes tablas:

• Centro de Datos (Tabla 3-1)

• Aplicaciones (Tabla 3-2)

• Cumplimiento de regulaciones (Tabla 3-3)

• Acuerdos de Servicios (Tabla 3-4)

• Niveles de seguridad de la organización. (Tabla 3-5)

Cada banco de reactivos está compuesto por los siguientes elementos:

• Subtema: La valoración del grado de madurez de cada uno de los elementos, puede

comprender uno o varios subtemas.

• Reactivos: Cada reactivo se formula para contestarse como un elemento de tipo Likert6 en

dónde cinco respuestas son posibles. Un ejemplo de reactivo sería:

La virtualización de servidores es una práctica ampliame11te aceptada e implementada en

mi organización. Ante esta afirmación el entrevistad:) deberá elegir la opción que

considere se apegue más a su realidad. Las posibles respuestas y su ponderación son:

Sin cobertura %

Cobertura marginal 25%

Cobertura moderada 50%

Cobertura amplia

Cobertura total

75 %

100%

• Tipo de cliente: Cada reactivo va dirigido a un tipo de cliente o bien puede aplicar a

ambos

• % Peso Reactivo: El peso de los reactivos es proporcional, considerando el número de

preguntas totales que se le hace al entrevistado. Por ejemplo al revisar la Tabla 3.1 Banco

de reactivos para ident(ficar grado de madurez en Centro de Datos, se observa que si al

entrevistado se le pregunta desde la perspectiva del proveedor serán 8 preguntas cuyo

peso proporcional sería 12.5% cada una, si es desde la perspectiva del cliente serán 5

preguntas y cada una tendrá un peso de 20%

6 Escala de Likcrt. Se construye en runción de una serie de elementos que rcílejan una actitud positiva o negativa acerca de un estímulo o referente.

55

Tabla 3-1 Banco de reactivos para identificar grado de madurez en Centro de Datos

Subtemas Reactivos Tipo de Peso del Cliente reactivo

Procesamiento l. La organización mantiene un estándar en cuanto a Proveedor Proporcional tecnología de virtualización de servidores, el personal del centro de datos está completamente familiarizado con esta tecnología. 2. Los servidores en la organización tienen alta Ambos Proporcional disponibilidad y están configurados para operar en base a servicios. 3. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de procesamiento y con sistemas de monitoreo para garantizar el nivel de serv1c10 de los equipos.

Almacenamiento 4. La organización mantiene un estándar en cuanto a Proveedor Proporcional tecnología de almacenamiento, el personal del centro de datos está completamente familiarizado con esta tecnología (SAN). 5. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de almacenamiento y con sistemas de monitoreo para garantizar el nivel de servicio de los equipos.

-Comwlicaciones

6. Las redes de comunicaciones LAN, WAN están Ambos Proporcional diseñadas para facilitar la colaboración y/o interoperabilidad con proveedores, socios de negocio. 7. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de comunicaciones LAN, WAN y cuentan con sistemas de monitoreo para garantizar el nivel de servicio de los equipos.

Energía y Aire Acondicionado 8. Los sistemas de energía y aire acondicionado que se Proveedor Proporcional encuentran en el centro de datos son suficientes para la demanda de energía eléctrica y capacidad de enfriamiento requerida.

56

Tabla 3-2 Banco de reactivos para identificar grado de madurez en Aplicaciones

Subtemas Reactivos Tipo de Peso del Cliente reactivo

Generales ' 1. Todas las aplicaciones de software y Sistemas están Ambos Proporcional propiamente especificadas, diseñadas, documentadas y en su implementación separan las capas de presentación y bases de datos. 2. La organización mantiene actualizados los planes de Ambos Proporcional licenciamiento y mantenimiento del software que soporta las aplicaciones comerciales, Legacy y de bases de datos.

Bases de Datos 3. La organización cuenta con una plataforma estándar de Ambos Proporcional bases de datos para el soporte de aplicaciones comerciale~. y Legacy. 4. La organización cuenta con personal experimentadc Ambos Proporcional para la administración y soporte de bases de datos.

Sistemas Comerciales ... Uf $

5. La organización mantiene soluciones estándares para Ambos Proporcional requerimientos específicos del negocio (Portales Intranet e Internet, Sistemas de Gestión de Contenido, Sistemas de Inteligencia de Negocios, ERP, etc.) 6. La organización cuenta con personal experimentado Ambos Proporcional para la administración y soporte de sistemas comerciales.

Sistemas Legacy ...

7. La organización utiliza platafomias estándares para el Ambos Proporcional desarrollo de aplicaciones Legacy. 8. La organización cuenta con personal experimentado Ambos Proporcional para la administración y soporte de sistemas Legacy

57

Tabla 3-3 Identificando grado de Madurez referente al cumplimiento de regulaciones

Subtemas Reactivos Tipo de Peso del Cliente reactivo

Generales, SOX, MAAGTIC l. La organi zación uti liza algunas de las siguiente:; Ambos Proporcional metodologías y mejores prácticas lTIL, COBJT, TSO l 7779/2700 l . 2. La organización cuenta con lineamientos, políticas e, Ambos Proporcional reglamentos que apoyan y fomenta la aplicación de so luciones de TIC y son difundidos al interior. 3. La organización ha realizado estudios de evaluación, Ambos Proporcional análisis de inversión y análi sis de impacto al negocio y se tiene un claro entendimiento de los procesos de negoc io )' los procesos de TI que los soportan . 4. La organ ización tiene implementado controles para el Ambos Proporcional cumplimiento de regulaciones nacionales o internacionales, por ejemplo SOX, PCJ-DSS, MAAGTlCC entre otras. 5. La organi zación ha definido y mantenido niveles de Ambos Proporcional seguridad adicionales al acceso general para los sistemas que son materia del proceso de Reportes Financieros. 6. Los sistemas principales del negocio t ienen la capacidad Ambos Proporcional para el seguim iento de actividades vía rastros de auditoría 7. La Gestión de Cambios y el control y di stribución de Ambos Proporcional software, están integrados a un sistema de gestión de configuraciones. 8. La información en la organización se encuentra Ambos Proporcional clasificada y cuenta con mecanismos para garanti zar su confidencialidad e integridad .

58

Tabla 3-4 Identificando grado de Madurez referente a Acuerdos de Servicio

Sub temas Reactivos Tipo de Peso del Cliente reactivo

Generales ,;

1. La organización cuenta con personal con capacidad Ambos Proporcional técnicas adecuadas para evaluar proveedores, realizar análisis costo-beneficio, determinar la viabilidad de los servicios de TIC y verificar el cumplimiento de los nivele!, de servicio contratados. 2. En la operación de los servicios, los métodos )" Ambos Proporcional procedimientos están enfocados en la entrega y soporte del servicio (SLAs y OLAs) 3. En la operación de los

.. tienen Ambos Proporcional serv1c1os, se

implementado procesos para la Gestión de la Demanda de los recursos de Infraestructura.

1 4. Los SLAs en la organización fueron creados a través de Ambos Proporcional

1 un esfuerzo co laborativo, entre el grupo administrativo de TI y el grupo de soporte. 5. La organización tiene implementado procesos de Ambos Proporcional gestión de incidentes que involucre los tres aspectos principales (impacto, urgencia prioridad). 6. La organización tiene implementados procesos de Ambos Proporcional gestión de problemas que identifiquen las causas de incidentes en los servicios y ejecute trabajo correctivo para preven ir recurrencias. 7. Se cuenta con una Gestión del ambiente de Ambos Proporcional virtualización, orientada a la Gestión de los Servicios del Negocio (SLAs, Contabilidad, Catalogo de Servicio, CMDB) y la instrumentación de servicios (procesamiento, redes y almacenamiento). 8. Se establecen contratos de niveles de servicio que debe Ambos Proporcional cumplir el proveedor en el contrato de tercerización (p.ej. reportes de tiempo de atención al servicio, disponibilidad, etc.).

59

Tabla 3-5 Identificando grado de Madurez en cuanto a niveles de Seguridad

Subtemas Reactivos Tipo de Peso del Cliente reactivo

Generales 1. La Organización cuenta con un Gestor de ldentidade:: Ambos Proporcional para permitir la conexión con los proveedores o socios de negocio . 2. En la operación, en la organización se tienen Ambos Proporcional implementados procesos de continuidad del negocio y recuperación de desastres. 3. En la Organización existe una política de seguridad Ambos Proporcional infom1ática y privacidad de la información en la Organización y se comunica eficientemente en la organización. 4. Se cuentan con procedimientos y protocolos de Ambos Proporcional seguridad en la organización los cuales incluyen claves de acceso y políticas de seguridad física. 5. Se realizan revisiones formales que vigilen el Ambos Proporcional cumplimiento de las políticas de seguridad de la organización 6. Se tiene implementado un Sistema de Gestión de Ambos Proporcional Seguridad de los Sistemas de lnfomrnción 7. La organización cuenta con sistemas de seguridad como Ambos Proporcional firewall, detectores de intrusos y software de prevención de malware en servidores y equipos de usuario final.

60

3.2.2 OBTENCIÓN DEL GRADO DE MADUREZ

Para obtener el grado de madurez de los componentes de los serv1c10s de tecnologías de

información, se realizan los siguientes pasos:

• Valoración inicial del grado de madurez de un componente

• Valoración final del grado de madurez de un componente

• Clasificación del grado de madurez

3.2.2.1 Valoración inicial del grado de madurez de un componente

El grado de madurez de cada componente que comprende un servicio de información, se evalúa

de fonna individual como se indica en la Tabla T3-6 Valoración inicial del grado de madurez de

un componente.

Tabla 3-6 Valoración inicial del grado de madurez de un componente

Serie de % Peso del reactivo Valor Ponderado Valor Parcial (VPA) Valor Inicial del

reactivos (VPR) (VPO) Componente (VIC)

Reactivo I Valor Peso = ( 100/n) VPO 1 = O •. 25 .. 50. VPAI= VPR * \!POI El valor que se obtiene de

.75 ó 1 La valoración inicial de

un componente (VIC) es:

Reactivo 2 Valor Peso= ( 100/n) VP02= O .. 25 .. 50. VPA2= VPR * \'P02 VIC = ~ VPAl ... n

.75 ó 1

... ... ... ...

Reactivo n Valor Peso = ( 100/n) VPOn= O .. 25 .. 50. VPAn= YPR * YPOn

.75 ó I

61

En dónde:

• La serie de reactivos se obtienen de las Tablas T3-l, T3-2, T3-3, T3-4 y T3-5 de acuerdo

al componente que se está evaluando.

• VPR es el peso del reactivo, su valor total 100% se divide entre el número de preguntas

realizadas (n). Pueden ser n reactivos, en dónde n es el m'.mero de preguntas de acuerdo a

las Tablas T3-1, T3-2, T3-3, T3-4 y T3-5.

• VPO es el valor ponderado que se obtuvo del reactivo de acuerdo a la escala utilizada (O .

. 25. 50, .75 y 1).

• VPA es el valor parcial de cada reactivo, se calcula mdtiplicando el peso del reactivo

(VPR) en contra del valor ponderado (VPO). Los subíndices del 1 a n se relacionan con

cada pregunta.

• VIC es el valor inicial del grado de madurez de un componente (centro de datos,

aplicaciones, cumplimiento de regulaciones, seguridad y acuerdos de servicio) su valor se

obtiene mediante la suma de las valoraciones parciales VPA 1 ... n.

3.2.2.2 Valoración Final del grado de Madurez de un componente

En la tabla T3-7 Valoración final del grado de madurez de un componente, se muestra como se

obtiene la valoración final del grado de madurez de los componerJes.

62

Tabla 3-7 Valoración final del grado de madurez de un componente

Grado de Madurez Valoración Porcentaje de Valor Madurez Componente Valor Final del de Elementos Inicial (VIC) representatividad (VMC) Grado de Madurez

del componente (VFGM) (PRP)

Centro de Datos VICI VMCl=V!Cl * PRPI PRPI La calificación del

Apl icacioncs y VIC2 PRP2 VMC2=VIC2 * PRP2 grado de madurez Sistemas es VFGM=

IVMCI. .. 5

Cumplimiento de VIC3 PRP3 VMC3=VIC3 * PRP3 Regulaciones

Niveles de Servicio VIC4 VMC4=VIC4 * PRP4 PRP4

Niveles de Seguridad VIC5 PRP5 VMC5=VIC5 * PRP5

En dónde:

• VIC es el Valor Inicial del Componente (véase sección anterior). Los subíndices del 1 al 5

se relacionan con cada elemento (componente) evaluado. Por ejemplo VIC 1 es el valor

inicial de madurez del centro de datos.

• PRP es el Porcentaje de representatividad del componente (al final de la sección se

amplia en el cálculo de este porcentaje)

• VMC es el Valor Final de Madurez del Componente, se :::alcula mediante el producto de

la Valoración Inicial del Componente (VIC) por el porcentaje de representatividad. Los

subíndices del 1 al 5 se relacionan con cada elememo (componente) evaluado. Por

ejemplo VMC 1 es el valor de madurez del centro de datos.

• VFGM es el Valor Final del Grado de Madurez, es la sumatoria de las valoraciones

finales de cada componente,¿= VMTI + VMT2 + VMT3+VMt4+ VMT5

Cálculo del porcentaje de representatividad del componente (PRP)

Desde la perspectiva del tipo de cliente (proveedor de servicios de nube ó consumidor de

servicios de nube), el porcentaje de representatividad que se le asigna al grado de madurez de

63

cada elemento es variable, para calcularlo se realiza un análisis de pares de cada componente

con el fin de identificar las prioridades relativas.

En el análisis de pares, a cada componente no se le asigna directamente un valor, más bien, se

compara con otros componentes para desarrollar una clasificación relativa, de tal forma que cada

componente debe ser comparado con cada uno de los otros para desarrollar una matriz de

priorización. Esta idea de priorización es tomada del concepto de análisis de pares.

En el Anexo H Cálculo del pareen/aje de representatividad en la evaluación se explica lo

referente a este análisis y como se cálculo el porcentaje de repr~sentatividad, desde el punto de

vista del proveedor y del cliente.

3.2.3 CLASIFICACIÓN DEL GRADO DE MADUREZ

Finalmente una vez obtenido el Valor Final de Grado de Madurez (VFGM), daremos una

clasificación de acuerdo a los criterios definidos en las tablas T~,-8a Clas(ficación del Proveedor

de acuerdo a su grado de madurez y T3-8b Clas(ficación del cl.;ente de acuerdo a su grado de

madurez.

64

Tabla 3-8a Clasificación del proveedor de acuerdo a su grado de madurez.

Valor Final de Grado de Diagnóstico Comentarios

Madurez (VFGM)

Mayor o igual al 75% Preparado Preparado en su mayoría para adoptar una solución de nube. No hay recomendaciones.

Entre 50 y < 75% Intermedio Tiene un relativo grado de madurez para adoptar una solución de nube, en general, sin embargo se detectan áreas de oportunidad. Revisar la Tabla 3.9a Tabla de Recomendaciones al Proveedor, para los componentes que ~;e identifican con oportunidade~ de mejora.

Menor del < 50 % No preparado Tiene que replantearse el objetivo si desea convertirse en proveedor de servicios de nube, se detectan áreas de oportunidad en cada uno de los elementos valorados. Revisar la Tabla 3.9a Tabla de Recomendaciones al Proveedor, para los componentes que se identifican con oportu1idades de mejora.

Tabla 3-8b Clasificación del cliente de acuerdo a su grado de madurez.

Valor Final de Grado de Diagnóstico Comentarios Madurez (VFGM) Mayor o igual al 75% Preparado Su grado de madurez es elevado por lo que el tránsito hacia

servicios de nube pública pudiera ser viable, siempre y cuando se cumplan con los requerimiemos del negocio.

Entre 50 y < 75% Intermedio Cuenta con un relativo grado de madurez, para la adopción de una solución de nube pública. se detectan áreas de oportunidad las cuales deberá solicitar que se cumplan por parte del proveedor de servicios de nube pública. Revisar la Tabla T3.9b Tabla de Recomendaciones al Client,~, para los componentes que se identifican con oportunidade~ de mejora.

Menor del < 50 % No preparado La evaluación del grado de madurez es baja, por lo que para adoptar una solución de nube pública, debe considerar las áreas de oportunidad que deberá solicitar que se cumplan por parte del proveedor de servicios de nube pública. Revisar la Tabla T3.9b Tabla de Recomendaciones al Cliente, para los componentes que se identifican con oportunidades de mejora.

Una vez realizadas las clasificaciones, en las Tablas T3-9a Tabla de Recomendaciones al

Proveedor y T3-9b Tabla de Recomendaciones al Cliente, se identifican las recomendaciones

que pueden emitirse de acuerdo a la calificación obtenida en cada uno de los temas evaluados.

Para la emisión de las recomendaciones se consideran dos valoraciones principales:

65

• (a) en la valoración de los reactivos en la mayoría de las respuestas, el valor ponderado

del reactivo VPO estuvo entre O y 25 %. Se considera que necesita implementar acciones

para elevar su grado de madurez en el tema evaluado.

• (b) en la valoración de los reactivos en la mayoría de las respuestas el valor ponderado

del reactivo VPO estuvo entre O y 25 % la valoración se encuentra 50 y 75. Se considera

que necesita incrementar acciones de mejora acciones para elevar su grado de madurez en

el tema evaluado.

• Cuando en la valoración de los reactivos en la mayoría de las respuestas el valor

ponderado del reactivo VPO estuvo en 75 %. No se considera emitir recomendaciones ya

que se considera posee un nivel de madurez adecuado

66

Tabla 3-9a Tabla de Recomendaciones al Proveedor

- .

Recomendación Descripción a pregunta a b p3.1. l Implementar estándares en cuanto a Incrementar estándares en cuanto a

virtualización virtualización Capacitar al personal en tecnologías de Incrementar los conocimientos del personal virtualización con tecnologías de virtualización

p3.1.2 Implementar disponibilidad de los Incrementar disponibilidad de los servidores de procesamiento servidores de procesamiento

p3.1.3 Solicitar que los contratos de servicio Verificar que los contratos de servicio estén estén basados en procesamiento basados en procesamiento Implementar sistemas de monitoreo para Verificar se cuente con sistemas de garantizar niveles de serv1c10 de los monitoreo para garantizar niveles de equipos servicio de los equipos

p3. J .4 Implementar estándares en cuanto a Incrementar estándares en cuanto a tecnologías de Almacenamiento tecnologías ele Almacenamiento Capacitar al personal en tecnologías Incrementar los conocimientos del personal almacenamiento con tecnologías almacenamiento

p3.1.5 Solicitar que los contratos de servicio Verificar que los contratos de servicio estén estén basados en el servicio de basados en el servicio de almacenamiento almacenamiento Verificar se cuente con sistemas de Implementar sistemas de monitoreo para monitoreo para garantizar niveles de garantizar niveles de servicio servicio de los equipos

p3.1.6 Diseñar de implementar redes de Mantener e incrementar facilidades de comunicaciones para que tengan colaboración en las redes de facilidades de colaboración con los comunicaciones proveedores y socios de negocio

p3. 1.7 Solicitar que los contratos de servicio Verificar que los contratos de ..

de serv1c10 estén basados en el servicio de comunicaciones estén basados en el servicio comunicaciones Verificar SI! cuente con sistemas de Implementar sistemas de monitoreo para monitoreo para garantizar niveles de garantizar niveles de servicio de los servicio de los equipos equipos

p3.1.8 Rediseñar completamente el centro de Verificar que adecuaciones son requeridas datos en el centro de datos para cubrir la demanda

de energía eléctrica y capacidad de enfriamiento

p.3.2.1 Implementar en la Organización mejores Verificar que las aplicaciones de software y practicas para el Desarrollo de Sistemas están diseñadas y documentadas, Aplicaciones e Implementación de además de que exista separación en las Sistemas capas de presentación y bases de datos

p3.2.2 Contratar planes de licenciamiento y Verificar que se mantengan actualizados los mantenimiento para el software que planes de licenciamiento y mantenimiento soporta las aplicaciones comerciales, del software que soporta las aplicaciones legacy v de bases de datos comerciales, Legacy y de bases de datos

p3.2.3 Implementar un estándar en bases de Mantener e incrementar el estándar en datos en la organización que soporte las cuanto al sc.ftware de bases de datos que aplicaciones que atienden los soporta las aplicaciones comerciales y requerimientos específicos del negocio Legacy

p3.2.4 Implementar planes de capacitación y Mantener e incrementar el nivel técnico del certificación para el personal que soporta personal que soporta la administración de la administración de la base de datos bases de datos

p3.2.5 Implementar soluciones estándares que Mantener soluciones estándares para atiendan los requerimientos específicos requerimientos específicos del negocio. No del negocio duplicar soluciones

67

T3-9a Tabla de Recomendaciones al Proveedor

Recomendación Descripción a pregunta a b p3.2.6 Implementar planes de capacitación y Mantener e incrementar el nivel técnico del

certificación para el personal que soporta personal que soporta las aplicaciones las aplicaciones comerciales comerciales.

p3.2.7 Implementar plataformas estándares para Mantener y consolidar plataformas el desarrollo de aplicaciones Legacy. estándares p:tra el desarrollo de aplicaciones

Legacy. p3.2.8 Implementar planes de capacitación y Mantener e incrementar el nivel técnico en

certificación en las herramientas de las herramientas de desarrollo del personal desarrollo para el personal que soporta que soporta las aplicaciones legacy. las aplicaciones legacy.

p3.3.1 Implementar el uso de algunas de las Mantener e incrementar nivel de madurez metodologías y mejores prácticas ITIL de algunas de las metodologías y mejores principalmente, COBIT, ISO prácticas que se utilicen y estén adecuadas a 17779/27001 los requerimientos de la organización ITIL

principalmente, COBIT, ISO 17779/27001 P3.3.2 Desarrollar, implementar y difundir en la Verificar SI se cuentan con suficientes

organización los lineamientos, políticas o lineamientoi;, políticas o reglamentos que reglamentos que apoyan la aplicación de apoyan la aplicación de soluciones de TIC y soluciones de TIC que estén difundidos al interior de la

organización p3.3.3 Planear y programar en la organización Continuar realizando en la organización

estudios de evaluación, análisis de estudios de evaluación, análisis de inversión inversión y análisis de impacto al y análisis de impacto al negocio. negocio.

p3.3.4 Implementar controles en la organización Mantener e incrementar los controles en la para el cumplimiento de regulaciones, organización para el cumplimiento de p.ej. SOX, PCI-DSS, MAAGTIC, etc. regulacione1. nacionales o internacionales,

por ejemplo SOX, PCI-DSS, MAAGTICC entre otras.

p3.3.5 Implementar niveles de seguridad al Mantener e incrementar niveles de acceso general para los sistemas que son seguridad :ti acceso general para los materia del proceso de Reportes sistemas que son materia del proceso de Financieros. Reportes Financieros.

p3.3.6 Implementar el segu1m1ento de Mantener e incrementar la capacidad para el actividades vía rastros de auditoría en los seguimiento de actividades vía rastros de sistemas principales del negocio. auditoría en los sistemas principales del

negocio. p3.3.7 Implementar un sistema de gestión de Mantener el Sistema de Gestión de

configuraciones. Configuraciones y verificar que tenga integrado l:1 Gestión de Cambios y el control y di1.tribución de software.

p3.3.8 Implementar mecanismos de seguridad Mantener )' verificar los mecanismos de que garantizan la confidencialidad e seguridad que garantizan la integridad de la información clasificada. confidencialidad e integridad de la

información clasificada.

Recomendación a pregunta p3.4. I

p3.4.2

p3.4.3

p3.4.4

p3.4.5

T3-9a Tabla de Recomendaciones al Proveedor

Descripción a

Desarrollar . personal con capacidades técnicas adecuadas para evaluar proveedores, realizar análisis costo­beneficio. y verificar el cumplimiento de los niveles de servicio contratados. Implementar métodos y procedimientos de la operación de los servicios enfocados en la entrega y soporte del mismo (SLAs y OLAs) Implementar procesos para la Gestión de la Demanda de los recursos de Infraestructura en la operación de los

b Mantener e incrementar las capacidades técnicas adecuadas del personal que evaluar proveedores, realiza análisis costo­beneficio, y verificar el cumplimiento de los niveles de servicio contratados. Mantener e incrementar los métodos y procedimientos de la operación de los servicios enfocados en la entrega y soporte del mismo (SLAs y OLAs) Mantener y mejorar los procesos para la Gestión de la Demanda de los recursos de Infraestructura en la operación de los

servicios servicios. Establecer que los SLAs creados en la Mantener y continuar con el esfuerzo organización sean producto del esfuerzo colaborativo entre el grupo administrativo colaborativo entre el grupo de TI y el de Soporte en la creación de los administrativo de TI y el de Soporte. SLAS de la crganización Implementar el proceso de gestión de Mantener y mejorar el proceso de gestión

1---------1--in_c_i_de_n_t_e_s_e_n_l_a_o_r..,..0 •• _,an_i_za_ci_ó_n_. -----1--d_e_in_c_i_d_e_nt_e_s en la organización. _ p3.4.6

p3.4.7

p3.4.8

p3.5. l

p3.5.2

p3.5.3

p3.5.4

p3.5.5

p3.5.6

Implementar el proceso de gestión de Mantener y mejorar el proceso de gestión problemas en la organización. de problemas en la organización. Implementar una Gestión del ambiente de Mantener y mejorar la Gestión del ambiente virtualización, orientada a la Gestión de de virtualizac:ión, orientada a la Gestión de los Servicios del Negocio y la los Servicios del Negocio y la instrumentación de servicios instrumentac ón de servicios. Implementar contratos de niveles de Mantener y mejorar continuamente servicio que debe cumplir el proveedor contratos de niveles de servicio que debe en el contrato de tercerización cumplir el proveedor en el contrato de

Implementar un Gestor de Identidades de la organización para permitir la conexión con los proveedores o socios de negocio.

Implementar procesos de continuidad del negocio y recuperación de desastres en la organización.

Implementar procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la Organización. Implementar procedimientos y protocolos de seguridad en la organización, seguridad física y seguridad lógica Establecer revisiones formales que vigilen el cumplimiento de las políticas de seguridad de la organización

Implementar un Sistema de Seguridad de la Organización que auxilie en la gestión para atender incidentes de seguridad

terceri zac i ón Mantener e incrementar la seguridad del Gestor de Identidades de la organización que permite la conexión con los proveedores o socios de negocio. Mantener y mejorar continuamente los procesos de continuidad del negocio y recuperación de desastres en la organización. Mantener y continuar difundiendo los procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la organización Mantener y mejorar los procedimientos y protocolos de seguridad en la organización, seguridad física y seguridad lógica Mantener y formales que las política; organización

continuar con revisiones vigilen el cumplimiento de

de seguridad de la

Mantener e incrementar la eficiencia del Sistema de Seguridad de la Organización que gestiona la atención de incidentes de seguridad

68

69

T3-9a Tabla de Recomendaciones al Proveedor

Recomendación Descripción a pregunta a b p3.5.7 Implementar los sistemas de prevención Mantener e incrementar los sistemas de

de malware, detectores de intrusos, prevención de malware, detectores de firewalls en los servidores y equipos de intrusos, firewalls en los servidores y usuario de la organización equipos de usuario de la organización

Tabla 3-9b Tabla de Recomendaciones al Cliente

~~~~~--~~~~~~~~--~~~--~--~~~~-------~--~~~~~~~~~--~--

Recomendación a pregunta

p3.1.2

p3.1.3

p3. 1.5

p3. l.6

p3. 1.7

p3.2.l

p3.2.2

p3.2.4

Descripción 1--~~~~~~~~~~~~~~~~-,-----1~~~~--~~~~~--~~~-----

a El proveedor de servicio de nube debe garantizar una amplia disponibilidad de los servidores de los servidores de procesamiento que oferta. El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en procesamiento y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en procesamiento y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe proveer redes de comun1cac1ones para que tengan facilidades de colaboración entre empresas y socios de negocio.

El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en comunicaciones y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe tener implementadas mejores practicas para el Desarrollo de Aplicaciones e Implementación de Sistemas

El proveedor de servicios de nube debe contar con planes de licenciamiento y mantenimiento para el software que soporte las aplicaciones comerciales y de bases de datos. En cuanto a las aplicaciones legacy pudiera no satisfacer las necesidades del cliente.

El proveedor de servicios de nube debe ofertar estándares en bases de datos dentro de su catalogo de servicio, de tal fonna que la organización pueda seleccionar aquellas que den que soporte las aplicaciones que atienden los requerimientos específicos del negocio El proveedor de servicios tiene entre su oferta PaaS de bases de datos en donde la administración es parte del servicio ofertado.

b La disponibilidad de los servidores de almacenamiento debe ser incrementada por el proveedor de servicios de nube.

Se cuenta de forma moderada con contratos de servicio basados en procesamiento y de sistemas de monitoreo de este servicio. el proveedor de servicio de nube debe ofertarlos como parte de su servicio.

Se cuenta de forma moderada con contratos de servicio basados en almacenamiento y de sistemas de monitoreo de este servicio, el proveedor de servicio de nube debe ofertarlos como parte de su servicio.

Se cuenta de forma moderada con facilidades de colaboración con proveedores mismas facilidades que deben formar parte del proveedor de servicios de nube Se cuenta de forma moderada con contratos de servicio basados en comunicaciones y de sistemas de monitoreo de este servicio, el proveedor de servicio de nube debe ofertarlos como parte de su servicio.

Se cuenta de fonna moderada con aplicaciones de software y Sistemas diseñadas y documentadas apropiadamente, con separaci:'.rn en las capas de presentación y bases de datos, el proveedor de servicios de nube debe incrementar este servicio. Se cuenta de forma moderada con planes de licenciamiento y mantemm1ento del software que soporta las aplicaciones comerciales, Legacy y de bases de datos, este servicir) debe ser provisto por el proveedor ele servicios de nube aunque algunas aplicaciones legacy pudieran no adaptarse a rn ambiente de nube. Se cuenta de forma moderada de un estándar en ,:uanto al software de bases de datos que soporta las aplicaciones comerciales y Legacy. El proveedor de serv1c1os de nube ofertar estándares de bases de datos.

Se cuenta de, forma moderada con personal técnico que soporta la administración de bases de datos. Este servicio puede ser provisto por el proveedor de servicios de nube mediante un PaaS

70

71

T3-9b Tabla de Recomendaciones al Cliente

! Recomendación Descripción a pregunta a b

p3.2.5 Buscar entre los proveedores de servicios Se cuenta de fonna moderada con de nube, oferta de Soluciones de SaaS soluciones estándares para requerimientos que pudieran adaptarse a las necesidades específicos del negocio. Buscar en la oferta de la organización de los proveedores SaaS de nube soluciones

que pudieran adaptarse a lo que se tiene implementado en la organización.

·-p3.2.6 Buscar entre los proveedores de servicios Se cuenta de forma moderada con personal

de nube soluciones SaaS para técnico que soporta las aplicaciones aplicaciones comerciales y en caso de no comerciales. Este servicio pudiera ser existir considerar ofertas de soluciones ofertado mediante soluciones SaaS por un laaS para este servicio proveedor de servicios de nube y en caso de

no existir pudieran considerarse soluciones laaS para este servicio.

p3.2.7 Buscar proveedores de servicios de nube Se cuenta de forma moderada con PaaS que oferten plataformas estándares plataformas estándares para el desarrollo de para el desarrollo de aplicaciones aplicaciones Legacy. Estas plataformas Legacy. Algunos ejemplos de pueden ser ofertadas mediante soluciones proveedores serían Google AppEngine, PaaS por un proveedor de servicios de nube Windows Azure, Oracle, etc. Google AppEngine, Windows Azure,

Oracle, etc. p3.2.8 La organización no cuenta con personal Se cuenta d·~ forma moderada con personal

con experiencia en herramientas de técnico con experiencia en las herramientas desarrollo por lo que debe considerar de desarrollo del personal que soporta las capacitar nuevo personal ya que el aplicacione5 legacy. El proveedor de proveedor de servicios de nube solo servicios de nube solo oferta la plataforma oferta la plataforma PaaS de Desarrollo de desarrollo por lo que el personal de la

organización deberá continuar capacitándose en la plataforma de desarrollo

p3.3.1 El proveedor de servicios de nube debe Se cuenta de fonna moderada con garantizar que tiene implementadas metodologías y mejores prácticas en la metodologías y mejores prácticas como organización ITIL principalmente, COBIT, ITIL principalmente, COBIT, ISO ISO 17779/27001, el proveedor de servicios 17779/27001 de nube debe garantizar que las tiene

implementa.jas. p3.3.2 Buscar un proveedor de servicios de nube Se cuenta de forma moderada con

que mejor se adapte a los lineamientos, lineamientos, políticas o reglamentos que políticas o reglamentos que apoyan la apoyan la aplicación de soluciones de TIC. aplicación de soluciones de TIC en la El proveedor de servicios de nube que se organización. escoja debe adaptarse a lo anterior.

p.3.3.4 Los servicios ofertados por el proveedor Se cuenta de forma moderada con controles de servicios de nube deben cumplir con en la organización para el cumplimiento de los controles en la organización para el regulaciones nacionales o internacionales, cumplimiento de regulaciones, p.ej. por ejemplo SOX, PCI-DSS, MAAGTICC SOX, PCI-DSS, MAAGTIC, etc. entre otras. Los servicios ofertados por el

proveedor de servicios de nube deben cumplir con estos controles

72

T3-9b Tabla de Recomendaciones al Cliente

Recomendación Descripción a pregunta a b

p3.3.5 Los servicios ofertados por el proveedor Se cuenta de forma moderada con niveles de servicios de nube, deben considerar de seguridad al acceso general para los niveles de seguridad al acceso general sistemas que son materia del proceso de para los sistemas que son materia del Reportes Financieros. Los

.. serv1c1os

proceso de Reportes Financieros. ofertados por el proveedor de servicios de nube deben cumplir con estos niveles de seguridad

p3.3.6 El proveedor de servicios de nube debe Se cuenta de forma moderada con proveer la capacidad para el seguimiento capacidad para el seguimiento de de actividades vía rastros de auditoría en actividades vía rastros de auditoría en los los sistemas principales del negocio. sistemas principales del negocio. El

proveedor de servicios de nube debe proveer esta capacidad.

p3.3.7 El proveedor de servicios de nube debe Se cuenta de forma moderada con el proveer de un sistema de gestión de Sistema de Gestión de Configuraciones con configuraciones. Gestión de Cambios y el control y

distribución de software integrados. Este sistema debe ser provisto por el proveedor de servicios de nube.

p3.3.8 El proveedor de servicios de nube debe Se cuenta de forma moderada con garantizar que tiene implementados mecanismo, de seguridad que garantizan la mecanismos de seguridad que garantizan confidencialidad e integridad de la la confidencialidad e integridad de la información clasificada. Estos mecanismos información clasificada. deben ser garantizados por un proveedor de

servicios de nube p3.4. I No se cuenta con personal que puede Se cuenta ele forma moderada con personal

evaluar proveedores, realizar análisis que puede evaluar proveedores, realizar

1 costo-beneficio, y verificar el análisis costo-beneficio, y verificar el

L cumplimiento de los niveles de servicio cumplimiento de los niveles de servicio contratados. Debe considerarse contratar contratados. Para considerar la contratación consultoría para que auxilie en el proceso de servicios de nube se recomienda ames de establecer la contratación de asesorarse antes de la contratación. servicios de nube.

p3.4.2 El proveedor de servicios de nube debe Se cuenta de forma moderada con métodos tener implementados métodos y y procedimientos de la operación de los procedimientos de la operación de los servicios e1focados en la entrega y soporte servicios enfocados en la entrega y del mismo (SLAs y OLAs). Estos SLAs soporte del mismo (SLAs y OLAs) deben forma parte de la oferta del

proveedor de servicios de nube. p3.4.3 El proveedor de servicios de nube debe Se cuenta de forma moderada con procesos

tener implementados procesos para la para la Gestión de la Demanda de los Gestión de la Demanda de los recursos de recursos de Infraestructura en la operación Infraestructura en la operación de los de los servicios. Estos procesos deben estar servicios implement:1.dos por el proveedor de

servicios de nube. 1--·

p3.4.5 El proveedor de servicios de nube debe Se cuenta de forma moderada con un tener Implementar un proceso de gestión proceso de gestión de incidentes en la de incidentes en la operación de los organización. Este proceso debe formar servicios. estar implementado por el proveedor de

servicios de nube

Recomendación a pregunta

p3.4.6

p3.4.7

p3.4.8

p3.5.1

p3.5.2

p3.5.3

p3.5.4

p3.5.6

p3.5.7

T3-9b Tabla de Recomendaciones al Cliente

Descripción a

El proveedor de servicios de nube debería tener un proceso de gestión de problemas ambiente de virtualización en la operación de los servicios.

El proveedor de servicios de nube debería tener un proceso de gestión del ambiente de virtualización en la operación de los servicios

El proveedor de servicios de nube debe ofertar contratos de niveles de servicio que debe cumplir con el cliente del servicio.

El proveedor de servicios de nube debería de tener implementado un Gestor de Identidades de la organización para permitir la conexión con los proveedores o socios de negocio del cliente.

El proveedor de servicios de nube debe de tener implementados procesos de continuidad del negocio y recuperación de desastres para el cliente del servicio. Buscar un proveedor de servicios que tenga implementados procedimientos y políticas de seguridad informática para asegurar la privacidad de la información del cliente.

El proveedor de servicios de nube debe tener implementados procedimientos y protocolos de seguridad, seguridad fisica y seguridad lógica que garanticen la seguridad de la información del cliente.

El proveedor de servicios de nube proveer de un Sistema de Gestión de Seguridad de los sistemas de información.

El proveedor de servicios de nube debe tener implementados sistemas de prevención de malware, detectores de intrusos. firewalls en su infraestructura de procesamiento, almacenamiento y comunicaciones con el fin de proteger la información de sus clientes.

b Se cuenta de forma moderada con un proceso de gestión de problemas en la organización. Este proceso debe estar implementado por el proveedor de servicios de nube Se cuenta de forma moderada con un proceso de gestión del ambiente de virtualización incidentes en la organización. Este proceso debe estar implementado por el proveedor de servicios de nube Se cuenta de forma moderada con contratos de niveles ce servicio que debe cumplir el proveedor. El proveedor de servicios de nube debe cumplir con ofertar contratos de niveles de servicio. Se cuenta dt forma moderada con un Gestor de ldentid2des de la organización que permite la conexión con los proveedores o socios de negocio. Este gestor de identidades jebería formar parte de la oferta de un proveedor de servicios de nube. Se cuenta d,~ forma moderada con procesos de continuidad del negocio y recuperación de desastres en la organización.

Se cuenta de forma moderada con procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la organización. El proveedor je servicios de nube debería adaptarse a estos procedimientos y políticas que se tiene, en la organización. Se cuenta de forma moderada con procedimientos y protocolos de seguridad en la organización, seguridad fisica y seguridad lógica. Estos procedimientos y protocolos deben considerarse también los tenga implementados el proveedor de servicios de nube. Se cuenta de forma moderada con un Sistema de Gestión de Seguridad de los sistemas de Información. Este sistema debe ser provisto por el proveedor de servicios de nube. Se cuenta de forma moderada con sistemas de prevención de malware, detectores de intrusos, firewalls en los servidores de la organización. El proveedor de servicios de nube debe tener implementados estos servicios como parte de su oferta.

73

•

74

3.3 RECAPITULACIÓN

Para medir el grado de madurez de un serv1c10 de tecnologías de información, se diseñó un

instrumento de medición que considera cinco componentes principales, los cuales componen un

servicio de tecnologías de información: a) centro de datos, b) aplicaciones, c) cumplimiento de

regulaciones, d) niveles de servicio y e) niveles de seguridad. A cada componente se le asigna un

porcentaje de representatividad mediante un análisis de pares y se evalúa su madurez de forma

individual. Posteriormente se obtiene una calificación global respecto al grado de madurez de la

empresa en cuanto a sus servicios de tecnologías de informactón, se emite diagnóstico si esta

preparada para adoptar los servicios de cómputo en la nube servicio y finalmente se emite una

serie de recomendaciones de acuerdo al grado de madurez percibido .

75

CAPITULO,~

CASO DE ESTUDIO

76

4. CASO DE ESTUDIO

Para ilustrar la forma en que podría auxiliamos la '·Guía de orientación para adopción del

modelo de nube" y su paso inicial Evaluación del grado de madurez de los componentes de los

servicios de tecnologías de información, tomaremos el siguiente caso de estudio ficticio.

4.1 SITUACIÓN INICIAL

A continuación se describe un ambiente inicial que nos sirva como marco de referencia.

La empresa Aceros ABC que se dedica a la fabricación. venia y distribución de acero cuenta con

una oficina matriz con sede en la Ciudad de México y cuatro sucursales al interior del país en

las Ciudades de Monterrey. Veracruz. Villahermosa y Guadalajara. cuenta con alrededor de

1000 empleados de los cuales el 30% residen en la matriz y el 70% restante se distribuyen de

forma más o menos proporcional en las sucursales de la empresa.

Con excepción del servicio de correo electrónico y del portal de interne! que se gestiona en

qficinas centrales, cada sucursal de la empresa cuenta con soluciones legacy para

Administración de recursos humanos. recursos materiales. inventarios y facturación. por otro

lado también utilizan diversas soluciones comerciales para Sistemas de Administración de

Proyectos. Gestión de Contenido. Bases de datos. Portales de CJ!aboración.

77

Los servicios de tecnologías de información en la empresa son administrados por cinco áreas de

TI d(ferentes (la oficina matriz y las sucursales tienen su propio equipo de TI), todas estas áreas

reportan a un Gerente de Tecnologías de Información y en promedio existe un equipo de 6

personas de TI en cada área. Las principales actividades que desarrolla el personal son:

a) administración de servidores. b) administración de equipos de comunicaciones, c)

administración de soluciones de almacenamiento y d) respaldo y desarrollo de aplicaciones.

En términos generales la experiencia del personal de TI es aceptable, sin embargo existe muy

poca colaboración entre ellos, debido a que un gran porcentaje de servicios de TI que se of,-ecen

en cada sucursal tienen una arquitectura y tecnología d(ferente.

La empresa cuenta con 5 centros de cómputo, el principal ubicado en la oficina matriz se

encuentra un 80% de su capacidad y en los restantes alcanza entre un 30% y 50%. En lo que

respecta a la in,f,-aestructura de tecnologías de información de la empresa para el soporte de

los servicios tiene las siguientes características: 65 servidores con tres sistemas operativos

diferentes. cinco soluciones de almacenamiento y re5paldo con tres tecnologías d(ferentes. y en

lo que respecta a los equipos de comunicaciones manejan soluciones de dos fabricantes

diferentes.

La il?f,-aestructura existente en el centro de cómputo es en su mayoría fisica ya que la empresa

no esta muy familiarizada con el tema de virtualización. Cada área gestiona sus contratos de

mantenimiento basados en la in,f,-aestructura existente.

La empresa necesita cumplir con regulaciones tanto financieras como gubernamentales. y

aunque tiene ciertos controles, políticas y procedimientos. no se llevan a cabo auditorias para

ver(ficar su cumplimiento.

Las áreas de tecnologías de in,formación no cuentan con acuerdos de servicio con sus clientes de

la empresa. y los procesos de gestión de incidentes y de problemas son dispares tanto en la

o_ficina matriz como en las sucursales. Existen políticas de seguridad en la organización y son

d(fundidas al personal de la empresa, cada área de TI tiene implementada soluciones d(ferentes

de: prevención de malware. detectores de intrusos yfirewalls.

78

4.2 REQUERIMIENTOS DEL NEGOCIO

Continuando con nuestro ejemplo, una vez establecida la situación inicial, se mencionan los

siguientes requerimientos por parte del negocio.

El cuerpo directivo de la Organización se reunió con el Gerente de TI para comunicarle los

problemas que existen en cuanto a los servicios de tecnologías de in.formación que se

proporcionan en la empresa. principalmente mencionan:

• Que existe un costo alto para mantener cinco centros de cómputo en la empresa y en

fechas recientes han existido problemas por disponibilidad de la in.faestructura que

impactado negativamente en el negocio. Por lo que lo instan a que analice la posibilidad

de utilizar un esquema que garantice la disponibilidad plena los servicios de tecnologías

de información

• Que existen sistemas y soluciones d(ferentes para atender un mismo requerimiento de

negocio lo cual produce problemas para integrar reportes globales que la empresa

requiere para tomar decisiones deforma oportuna

• Que los tiempos para la implementación de una nueva aplicación que atienda un nuevo

requerimiento de negocio son prolongados debido a las gestiones para la adquisición de

hardware y sofnrare.

• Que todo lo anterior implica un gasto adicional a la empresa, por lo que le solicitan

reorganizar la entrega de los servicios de TI con un costo menor al que se eroga

actualmente y con beneficios para el negocio. Además le piden considerar el

cumplimiento a las regulaciones a los que la empresa está comprometida y la seguridad

de la información

El cuerpo directivo ha leido y escuchado de que los servicios en nube pueden ser la solución

para las necesidades del negocio, de tal.forma que solicitan al Gerente de T1 les presente un plan

para adoptar los servicios de nube privada en la organizació?Z o bien establecer un contrato de

servicios con un tercero.

Ante esta situación, en nuestro ejemplo consideramos que el Gerente de TI conoce de fonna

general acerca del cómputo en la nube y sus beneficios, sin embargo, no está seguro que necesita

79

considerar para implementar servicios de nube en la organización y decidir si la nube es una

opción para la empresa.

4.3 EVALUANDO EL NIVEL DE MADUREZ DE LOS SERVICIOS DE TI

DE LA EMPRESA.

Continuando con nuestro ejemplo para poder orientar al Gerente de TI podemos utilizar la

herramienta "Guía de orientación para la adopción de un modelo de nube". El instrumento nos

brinda una aproximación inicial para identificar el grado de madurez de los elementos que

participan en la composición de un servicio de tecnología de información. Mientras mayor grado

de madurez se tenga. mejor preparado se estará para adoptar una solución de este tipo. La

secuencia que lleva la herramienta se muestra en nuestros dos casos de ejemplo: Caso A

(Proveedor de servicios de nube) y Caso B (Consumidor de servicios de nube).

4.3.1 EJEMPLO DE EVALUACIÓN CASO A (PROVEEDOR)

Al momento de utilizar la herramienta por parte del Gerente en nuestro ejemplo ficticio se

seguirán los siguientes pasos:

1. La pantalla inicial nos solicitará que se identifique el interés del cliente, si desea

implementar una nube privada (proveedor de nube privada) o consumir servicios de nube

pública (cliente de nube pública). De acuerdo a la selección se calculará el porcentaje de

representatividad, ya sea el PRP (Porcentaje de represcntatividad del proveedor) ó PRC

(Porcentaje de representatividad del cliente). Para este caso vamos a asumir que el cliente

desea implementar un servicio de nube privada. El cálculo del porcentaje está diseñado

para que varíe de acuerdo al análisis de pares que realice el usuario que utilice la

herramienta, de fonna predefinida se obtiene el que se muestra en la Figura 4-1 Porcentaje

de represenlalividad del proveedor

Figura 4-1 Porcentaje de representatividad del proveedor

lc'""º~º""'·~---+~~~~---jA~~n-~ rz~,~~·~~~ -- ·-· __ -.2 =·===~- _1::::_..,.,., •. ,. ~--!'.=··-~~· '~ ¡ ;,.,-~'"""""-------~ ¡:;,:::·· ¡,.~·-·-· .-. ,,,. .......... ~. r,.;;:;;;;:;:;;-----~_Jt;I :='·=·~=-=·-=· ====-i INiYM~Strvieio (Eu·-~,mp,;,,,....... ... !Ei~·--·-· ,.., !rpr,.,._ ... ~ . .,,... lfEP•-r:'ll)(Mi,,ot'

'

¡ ......... , ... !r,, .. _,,..~ "'..,!

1 00 300

G.33 ,.oo 033

jOOl----~~~~~l~OOjf--~~~~~~5400 ;'.;33! 0.33

l 00 LOO

0.33 033

5eiuriclacl 3.00 100

lftl!l!II 1Cfflltod,Dlto5

!Apfic.ac.iones.'Sismnzi 1

C:2J !'.:'::!

C.2J

(;53

'°" ' ,s e:~ o !e

029¡ u; 40.:7¡

col {-,Ji: U91

C2'?! ¡ " 20.3.4j

: 10! ~- r.: 11.76!

e~¡ (·18 20.34i

·-F•i.·I

80

2. La siguiente pantalla nos lleva a la aplicación del cuestionario que se aplicará al usuano

(en este caso el Gerente de TI). El cuestionario com¡:rende la evaluación de los cinco

elementos que componen un servicio de tecnologías de información. El usuario deberá

completar cada sección para pasar a la siguiente. La Figura 4-2 Cuestionario para

determinar nivel de madurez proveedor muestra un ejemplo de pregunta del cuestionario.

Figura 4-2 Cuestionario para determinar nivel de madurez proveedor

j Nivel de madurez para trasladar Servicios de TI a la nube

Pr,::,veedor

¡A 1. Centro de datos 1

• La organización mantiene un estándar un cuanto a tecnología de virtuali:!ación de servidores. el personal del centro de datos está completamente familiarizado con esta \ecnologia.

Respuesta

• Sin éotie~ura

Cobertura Marginal

Cobertura Moderada

Cobertura amplia

Cobertura iota!

81

3. El encuestado contestará cada sección correspondiente a cada componente identificado

para un serv1c10 de tecnología de infom1ación. (Centro de Datos, Aplicaciones,

Cumplimiento de regulaciones, Acuerdos de Servicio, Seguridad). De acuerdo a la

situación planteada en este caso hipotético, en la Tabla 4-1 Ejemplos de respuestas al

cuestionario de evaluación de madurez, se muestran las posibles respuestas que pudieron

haber sido seleccionadas.

82

Tabla 4-1 Ejemplo de respuestas al cuestionario de evaluación de madurez

No. Pregunta Tu respuesta La organización mantiene un estándar un cuanto a tecnolog1a de virtualización de servidores, el personal del centro de datos está

Al.l completamente familiarizado con esta tecnología. Cobertura Marginal Los servidores en la organización tienen alta disponibilidad y están

Al.2 configurados para operar en base a servicios Cobertura Marginal El centro de datos cuenta con contratos de servicio basados en el Cobertura Moderada servicio de procesamiento y con sistemas de monitoreo parn

Al.3 garantizar el nivel de servicio de los equipos Al.4 La organización mantiene un estándar un cuanto a tecnología de Cobertura Marginal

almacenamiento, el personal del centro de datos está completamente familiarizado con esta tecnología (SAN).

·-Al.5 El centro de datos cuenta con contratos de servicio basado~ en el Cobertura Moderada

servicio de almacenamiento y con sistemas de monitoreo para garantizar el nivel de servicio de los equipos

A 1.6 Las redes de comunicaciones están diseñadas para facilitar ia Cobertura Amplia colaboración y/o interoperabilidad con proveedores, socios de negocio

Al.7 El centro de datos cuento con contratos de servicio basados en el Cobertura Moderada servicio de comunicaciones y cuento sistemas de monitoreo para garantizar el nivel de servicio de los equipos

Al.8 Los sistemas de energía y aire acondicionado que se encuentran en Cobertura Moderada el centro de datos son suficientes para la demanda de energía eléctrica y capacidad de enfriamiento requerida.

A2.l Todas las aplicaciones de software y Sistemas están propiamente Cobertura Marginal especificadas, diseñadas , documentadas y en su implementación separan las capas de presentación y bases de datos

A2.2 La organización mantiene actualizados los planes de licenciamiento Cobertura Moderada y mantenimiento de los servidores de aplicaciones comerciales, Legacy y de bases de datos.

A2.3 La organización cuenta con una plataforma estándar de bases de Cobertura Marginal datos para el soporte de aplicaciones comerciales y Legacy.

A2.4 La organización cuenta con personal experimentado para le. Cobertura Moderada administración y soporte de bases de datos.

A2.5 La organización mantiene soluciones estándares para Cobertura Moderada requerimientos específicos del negocio (Portales Intranet e Internet, Sistemas de Gestión de Contenido, Sistemas de Inteligencia de Negocios, ERP, etc.)

A2.6 La organización cuenta con personal experimentado para la Cobertura Moderada administración y soporte de sistemas comerciales.

A2.7 La organización utiliza plataformas estándares para el desarrollo de Cobertura Marginal aplicaciones Legacy.

A2.8 La organización cuenta con personal experimentado para la Cobertura Moderada administración y soporte de sistemas Legacy

A3.1 La organización utiliza algunas de las siguientes metodologías y Cobertura Marginal mejores prácticas ITIL, COBIT, ISO 17779/27001, PMBOOK, CMM/CMMI

A3.2 La organización cuenta con lineamientos, políticas o reglamentos Cobertura Amplia que apoyan y fomenta la aplicación de soluciones de TIC y son difundidos al interior.

83

Tabla 4-1 Ejemplo de respuestas cuestionario evaluación de madurez

No. Pregunta Tu respuesta

A3.3 La organización ha realizado estudios de evaluación, análii:is de Cobertura Moderada inversión y análisis de impacto al negocio y se tiene un claro entendimiento de los procesos de negocio y los procesos de TI que los soportan

A3.4 La organización tiene la obligación del cumplimiento de Cobertura Margin~ regulaciones nacionales o internacionales, por ejemplo SOX, PCI-DSS, MAAGTICC entre otras.

A3.5 La organización ha definido y mantenido niveles de seguridad Cobertura Marginal adicionales al acceso general para los sistemas que son materia del proceso de Reportes Financieros.

A3.6 Los sistemas principales del negocio tienen la capacidad para el Cobertura Marginal seguimiento de actividades vía rastros de auditoría

A3.7 La Gestión de Cambios y el control y distribución de software, Cobertura Marginal están integrados a un sistema de gestión de configuracionei:

A3.8 La información en la organización se encuentra clasificada y cuenta Cobertura Marginal con mecanismos para garantizar su confidencialidad e integridad.

A4.1 La organización cuenta con personal con capacidad técnicas Sin Cobertura ' adecuadas para evaluar proveedores, realizar análisis costo·

beneficio, determinar la viabilidad de los servicios de TIC y verificar el cumplimiento de los niveles de servicio contratados.

A4.2 En la operación de los servicios, los métodos y procedimientos Cobertura Marginal están enfocados en la entrega y soporte del servicio (SLAs y OLAs)

A4.3 En la operación de los servicios, se tienen implementado p~ocesos Sin Cobertura para la Gestión de la Demanda de los recursos de Infraestructura

A4.4 Los SLAs en la organización fueron creados a través de un esfuerzo Cobertura Marginal colaborativo, entre el grupo administrativo de TI y el grupo de soporte

A4.5 La organización tiene implementado procesos de gestión de Cobertura Marginal incidentes que involucre los tres aspectos principales (impacto, urgencia prioridad)

A4.6 La organización tiene implementados procesos de gestión de Cobertura Moderada problemas que identifiquen las causas de incidentes en los servicios y ejecute trabajo correctivo para prevenir recurrencias.

A4.7 Se cuenta con una Gestión del ambiente de virtualización, orientada Cobertura Marginal a la Gestión de los Servicios del Negocio (SLAs, Contabilidad, Catalogo de Servicio. CMDB) y la instrumentación de servicios (procesamiento, redes y almacenamiento)

A4.8 Se establecen contratos de niveles de servicio que debe cunplir el Cobertura Amplia proveedor en el contrato de tercerización (p.ej. reportes de tiempo de atención al servicio, disponibilidad, etc.)

A5.I La Organización cuenta con un Gestor de Identidades para permitir Cobertura Moderada la conexión con los proveedores o socios de negocio.

A5.2 En la operación, en la organización se tienen implementados Cobertura Moderada procesos de continuidad del negocio y recuperación de de:;astres.

A5.3 En la Organización existe una política de seguridad informática y Cobertura Moderada privacidad de la información en la Organización.

A5.4 Se cuentan con procedimientos y protocolos de seguridad en la Cobertura Moderada organización los cuales incluyen claves de acceso y políticas de seguridad física.

84

Tabla 4-1 Ejemplo de respuestas cuestionario evaluación de madurez

No. Pregunta Tu respuesta

A5.5 Se realizan revisiones formales que vigilen el cumplimiento de las políticas de se_guridad de la organización Cobertura Moderada

A.5 .6 Se tiene implementado un Sistema de Gestión de Seguridad de los sistemas de información. Cobertura Moderada

A5.7 La organización cuenta con sistemas de seguridad como firewall , detectores de intrusos y software de prevención de malware en servidores y equipo de usuario final. Cobertura Amplia

4. Una vez completada la encuesta se obtendrá un diagnóstico del nivel de madurez en que

se encuentra el cliente, este se obtiene de forma global y por cada componente. Para este

caso en particular se obtiene el nivel de madurez que refleja la Figura 4-3 Grado de

madurez del cliente hacia nube privada

Figura 4-3 Grado de madurez del cliente hacia nube privada

=:, Obtención del grado de madurez de una empresa para transferi r los servicios de TI hacía la nube

40 +---......-------------------------------'

30 -+------<

2S +----i

Nivel de madurez: - ._:,¿ Ver recomendaciones • No cuentas con el nivel de madurez adecuado

Proveedor Se tiene cierto nivel de ma :lurez, pero es necesano incrementarlo

• Dispones del nivel de madurez adecuado

Lo que se observa en la figura es que el nivel de madurez se encuentra en un 41.4%, por lo que

se considera de acuerdo a nuestra escala de clasificación que no se cuenta con un nivel adecuado

para adoptar una solución de nube, para lo cual se emiten recomendaciones a observar para

incrementar este nivel.

85

Las brechas en orden de importancia detectadas serían:

• Incrementar madurez del centro de datos

• Incrementar madurez del cumplimiento de regulaciones

• Incrementar madurez del cumplimiento de niveles de servicio

En la Figura 4-4 Recomendaciones para implementación de nube privada puede observarse un

fragmento de estas recomendaciones.

Figura 4-4 Recomendaciones para implementació:1 de nube privada

Recomendaciones Proveedor

lmp-i~n1e-ntar Hláf1dares en cuanto a ':.1!1.uailzac16~1 Capac:rta' a! o~rsoncil t:r: ~ecnologías de .. ,rtuahza::fón

Implementar disponibihdad de los seMdo1es de procesamiento

Sol1otar t{'JI:' líJs cor.lralos de se~cio e:,te11 ba~a,fos ~n procesamiento lmpi€'n1ert1ar sis1en1as de rn('lnilorec ;.:ara ganrn ;.;::a1 nr.:~l~s l.l? S':'f\;cio llf:' !os ~r.¡u1p,os

lmp4,a,:nentar estándares en cuanto .a tecnologias d~ Almacenam1ento. Capaci1ar al personal en tecnologías almacenam1~nto

Sol,.::1la! qu,:, los ccnt1atos de ser-,1c10 ezte-n basados en -:!1 ~~rl1c1ei de alrriaccnamtcnto Implementar s1st1:mas Ce moma: Jrto para g.:iran:1za1 ni,;e,1,e$ de Sft\i::o

Manle~er e incremenla1 íacilidades de colaboración en las r~des de comunicacíonE"s

Venf1ca: que los ccr.L:;tos de ser~1c10 de corrn.m1caciorlé'S este:, basados ¿,n el servicio. Veríficar st> cuent':' con srs1~ma; de mo!1:toreo para garantizar nr..:eles de ser,.,.¡c10 de los eqi..rpos

Vierific3r que adiecuaciones son requeridas en e! centro de datos para cutxir la demanda de energía eléctrica y c.apac,daj de enfriamiento

lrn~!c-mcntar c-r ;a OrgJniza~:orc mc1orc-s prJi:lic¿¡s para c-1 De-:.arrolfc ,fo Aphcac1ones e \m¡:>le-mcntac1cn de Srs:ena.s

Contrata, planes de licenciamiento y mantenimiento pat<J el soft'l\'ore que soporta las aplicaciones comerciales. legacy y de bases de dalos

1,1an1ene~ e ,n.::rernem;;r el estáidar ~!l cuanto a! :;oftwari? de bases de datos que soporta las aphcac1cnes co:rerciales ·, L!:!gacy

Mantener e incrementar el 11rJ1!'l tecmco del persona! que soporta la administración de bases de datos

t.-~ar.lel"Jer so\uc1~nes estándares para r~q!J':'.rirr.í~mcs específicos i:lel negocie. fki duphcar soluóones

Mantener e i!"ltrementar el nivel 1écmco del persona! que soporta las aphcaciones comerciales

Mar.1e-ne-1 y ccnsohdar plataícr:i~as es.~ár,dar'!s para ~l de-$arrollo de a~1caciono?S Legacy

Mantener e incrementar el nivel técnico en las. herramientas de desarrollo del personal que soporta las aplicaciol"les legHy

4.3.2 EJEMPLO DE EVALUACIÓN CASO B (CLIENTE)

1. Ahora realizamos el ejercicio con el mismo cliente, solo que en este caso vamos a asumir

que se desea convertirse en un consumidor de servicios provistos por una nube pública,

de forma predefinida observamos en la Figura 4-5 Porcentaje de representatividad del

cliente los valores ante esta nueva situación, y como mencionamos anteriormente pueden

ajustarse de acuerdo a las necesidades del cliente.

86

Figura 4-5 Porcentaje de representatividad del cliente

Centro dt Datos lC-0 0.33 G1i o~ 0.17

A~t0nes'Sistcffl3s 3.:0 1 00 O :S.: ~~~~-+--~~~~~---+~~~~~~-+--~~~~~

1.0C 033 Cumpl d~ R~ubdones ó.O.J J V'J 1.0: 300 100

103 C33

300 1.00

:centro de Oatos c.:. ,i;,l G_Q€~

u,I mi 12 661 ;;;;! C25 34.83: Cumpl de Reg11bcione:s

c,2

c12I ci;¡ ,i s6I 5<9urid>d Uo ,:;si e :i;¡ 34g3¡ . ·-''·'

Dado que ahora se tiene la perspectiva de un cliente que desea adquirir los servicios de

nube pública, el porcentaje de ponderación de cada elemento que compone el servicio

varía presentando una nueva composición. De forma inicial puede observarse que el

porcentaje del centro de datos disminuyó significativamente y este porcentaje se

redistribuyó en los demás componentes, la explicación simple es que desde esta

perspectiva "consumidor de servicios de nube pública", la responsabilidad del centro de

datos queda totalmente por parte del proveedor.

2. Este paso es igual a la información presentada en la sección anterior 4.3.1 Ejemplo de

evaluación caso A (proveedor), ya que se esta considerando que es el mismo cliente que

se esta evaluando pero ahora con una nueva perspectiva.

3. Este paso es igual a la información presentada en la sección anterior 4.3.1 Ejemplo de

evaluación caso A (proveedor).

4. Concluida la encuesta ahora en el punto 4 se obtiene un nuevo diagnóstico del nivel de

madurez en que se encuentra el cliente, la Figura. 4-6 Grado de madurez del cliente hacia

nube pública lo muestra.

•I

87

Figura 4-6 Grado de madurez del cliente hacia nube pública

35 +-----------------~~-----------------

~+---------------_,

1.S +----------------,

20 +--------------,r

1S +-------------.'

Nivel de madurez: - ~ Ver recomendaciones • No cuentas con el nivel de madurez adecuado

Cliente Se tiene cierto nivel de madurez., pero es necesarío incrementarlo

• Dispones del nivel de madu·ez adecuado

Al observar la gráfica, en el resultado obtenido con esta nueva perspectiva se identifica que las

brechas en orden de importancia ahora serían:

• Incrementar madurez del cumplimiento de regulaciones

• Incrementar madurez de las aplicaciones.

• Incrementar madurez del cumplimiento de niveles de servicio

Finalmente en la Figura 4-7 Recomendaciones para implemenración en nube pública se observa

un fragmento de las recomendaciones ahora con esta perspectiva, estas recomendaciones

principalmente van dirigidas para que el potencial consumidor de servicios de nube pública,

solicite de acuerdo a sus necesidades que estas brechas sean cumplidas por el potencial proveedor

de servicios de nube pública.

Figura 4-7 Recomendaciones para implementación en nube pública

T em.a 1~2 hplic.:.icioncs

íO:Homc11d¿,ició11

E! pro·,eedor de servicios de nubE: debe tener 1rnp!ememadas mejores orac11cas para el Desarrollo de Aphc ac:ones e lr1plementat:ón de Sistemas

Se cuenta de forma moderada con planes de ltcenciamtemo y manlen,miento del software que, soporta las. aphcacion1~s comerciales. Legacy y de bases de datos. este servicio debe ser provisto por el prowedor de ser.icios de nube aunque algunas aplicaciones legacy pudieran no adai:- arse a un am!:>ienle de nube

E! pro·.-ee,do, c!e seMc:1os de m. be debe cf'?.1tar estándares en bases de dalos dentro de su catalogo de ser,,,cio. de tal ío1ma que la organización pueda seleccronar aauellas que den que soporte las aplicaciones que ;:ilienCen bs requerimientos ~specificos del nl!lgOC!O

Se cuenta de forma moderada con personal técnico que soporta la administración de bases de datos. Este servicio puede ser provisto por el proveedor de servicios de nube med1anle un P•aS

Se cuenta de forma modi&rada con solucic,n~s estíindar~s para rcquenm1entos espe-cífir.:os del negoc,o Buscar en ia oferta de los prO'ieedores SaaS de nube soluciones que pud1eran adaptarse a lo ql e se llene implementado e,~ la orgamzac:ión

Se cuenta de forma modll!fada cor, parsonaJ lécnico que soporta las aplicstiones comercíales. Este s.eMtio pudiera set ofertado ~ante soluc,ones SaaS por un pro-1eedor de servicios de nube y en caso de no existir pudieran considerarse soluciones laaS para este servicio.

Buscar proveedores de serw'lcios de 11ubE- PaaS que oferten plataformas estándares para el d, .. ¡arrollo de- a;>llcacione~ Lc;acy A!guflos eJ~mpios de proveedores serian Go~;le AppEngme. ViJ1ndows Azure Ora.ele etc

Se cuenta de forma moderada con personal 1éi:nico con expanencia en las herramrenlas de desa1rollo del personal que soporta las aplicaciones legacy El prir-t<!edor de servicios de nube solo oferta la plalaforma de desanollo por lo que el personal de la organización deberá cominuar capa<:itándose en la plataforma de desarrollo

El p,ov~edor de sl:!r.,.¡cios de n1b1;1 d~be garanhzar c¡ue tiene ,mplementadas metodo!ogias y me1ores pricl!cas c!Jmo ITIL p<incipalmente. COB!T ISO 17779/2?001. ?Ml300K CM!J'CMMI

Se cuenta de forma moderada con hneamten1os. polaicas o reglamentos que apoyan la aphcación de soluciones de 11C. El prO".-eedor de ser.ic:1os de nube que se esco.t,a debe adaplarse a lo anlerior.

Lr.:; seMc,os o~enados por lr'I pro,ietdor de seMcms dr. nube deben cumpfü ccn los corilrcle~ en la orgamzac,cin para f:~ CIJ:"('!plim,er:to de regulaciones p ll?J SOX PCI­DSS MAAGTIC fü

Los servicios ofertados po, el proveedor de servidos de nube. deben considerar niwles de seguridad al at:ceso general para los sistemas que son materia del proceso de Reportes Financieros.

E pr?":eedor di? ser.1c1os de nube debe provee, la capacidad para e! sl)gu1miento d-e actr.1dades via rastros de audrtora en los. sistemas. princip.?les del negocio

El prO'l'Eedor de servicios de nube debe prcrveer de un sistema de gestión de confi9urac1ones:

E.i 1)(0'.;eedor de ser..1c1os de nube, d~be aaran11::ar oue llene irnolementados mecanismos de seoundad c:ue cara1mn1n la con1idenc1ahdad e mteondad de la intorrm1c10n

88

89

4.4 RECAPITULACIÓN

En este capítulo se mostró la utilidad que puede tener al herramienta para valorar el grado de

madurez de una empresa y emitir el diagnóstico de si esta preparada para transitar a un modelo

de nube. En el caso ficticio, el encuestado que utilizó la herramienta pudo obtener dos

valoraciones de acuerdo al tipo de interés que tienen en abordar el modelo de nube, ya sea un

proveedor de servicios de nube o un cliente de servicios de nube. Se dio la valoración para ambos

casos y se emitieron las recomendaciones correspondientes.

90

CONCLUSIONES

En la industria de las tecnologías de información los provedores de servicios están dando un

fuerte impulso al modelode cómputo en la nube, ofreciendo varios modelos de servicio dirigidos

principalmente satisfacer las necesidades de procesamiento, almacenamiento, comunicaciones,

aplicaciones y desarrollo de aplicaciones que tienen las empresas hoy en día.

La mercadotecnia que gira alrededor del cómputo en la nube suele promoverla como la principal

solución para los requerimientos de servicios de tecnologías ce información de las empresas, lo

cual no es cierto en todos los casos, de tal forma que es necesario analizar con detalles en que

circunstancias puede ser atractiva y en cuáles no satisfacería los requerimientos de la

organización.

La herramienta para adopción del modelo de nube brinda un marco de referencia para que el

candidato a proveedor de servicios de una nube privada, o un eventual consumidor de servicios

de esa tecnología, identifique los elementos que debe considerar para:

• Saber si el modelo de cómputo en la nube cubre con sus requerimientos y no tenga que

incurrir en una inversión estéril.

• Obtener el máximo beneficio de los servicios del cómputo en la nube.

• Identificar si su empresa está preparada para transferir sus aplicaciones al entorno de la

nube. En el caso negativo, para conocer en que aspectos específicos debe trabajar para

organizar sus servicios antes de emigrarlos a la nube.

• Elegir adecuadamente el proveedor de servicios (clien1e)

• Saber promover adecuadamente sus servicios (proveec.or)

91

REFERENCIAS

[1] PETER MELL.; TIMOTHY GRANCE. The NIST Definition of Cloud Computing. NIST Special Publication 800-145. September 2011. [Referencia Febrero 2012]. Disponible en formato pdf en intemet en http://csrc.nisUwv/publications/nistpubs/800-145/SP800-145.pdf

[2] GERARD BRISCOE.; ALEXANDROS MARINOS. Digital ecosystems in the clouds: towards community cloud computing. 2009. [Referencia Febrero 2012]. Disponible en formato pdf en intemet en http://eprints.lse.ac.uk/26664/l/Digital ecosystems (final) (LSERO).pdf

[3] DAVID LINTHICUM . Defining the Cloud Computing Framework. 2009. [ref Febrero 2012]. Publicado en intemet en http://cloudcomputing.sys-con.com/node/811519

[4] Instituto Federal de Acceso a la Información. Ley Federal de Protección de Datos Personales. Julio 2010. [Referencia Marzo 2012]. Publicado en intemet en la página del IFAI http://wv..w.ifai.org.mx

[ 5] KPMG "Modeling the economic impact of cloud computer·'. Abril de 2012 [Referencia Noviembre 2012] .Publicado en intemet en http://wwv.·.kpmg.com/ A U/en/IssuesAndinsi ghts/ ArticlesPublications/Documents/mode 11 ing­econom ic-impact-cloud-computing:.pdf

[ 6] Cloud Security Alliance "Security Guidance for critica] areas of focus in cloud computing V.30".2011. [Referencia Noviembre 2012] . Publicado en internet en http ://c I oudsecuritvalliance .org

[7] Catapult Systems "Portfolio Prioritization Under the Hood: Pairwise Analysis Demystified''. Publicado en intemet en http:i /blogs.catapultsvstems.com/epm/archi ve/201 0/06/01 /port fo) io-priori tization-under-the­hood-pairwise-anal vsi s-demystified. aspx

92

BIBLIOGRAFÍA

Venkata Josyula; Malcolm Orr; Greg Page. "Cloud Computing: Automating the Virtualized Data Center". Editorial "Cisco Press" Fecha de publicación: 29 de noviembre de 2011. Referencia Junio 2012

David S. Linthicumn. "Cloud Computing and SOA Convergence in Your Enterprise: A Step-by­Step Guide" Editorial Addison-Wesley. Fecha de publicación 29 de septiembre de 2009. Referencia Junio de 2012.

Judith Hurwitz; Robin Bloor; Marcia Kaufman: Fem Halper "Cloud Computing for Dummies" Fecha de publicación: 16 de noviembre de 2009. Referencia Junio 2012

Jo Whitehead "What You Need to Know about Strategy". Fecha de Publicación: 7 de Junio de 2011 ". Referencia Mayo de 2012.

Jothy Rosenberg; Arthur Mateas "The Cloud at Your Service: The when, how, and why of enterprise cloud computing" Editorial: Manning Publications". Fecha de publicación: 28 de Octubre de 2010. Referencia Junio de 2012.

Christian B. Lahti; Roderick Peterson "Sarbanes-Oxley IT Compliance Using Open Source Tools, Second Edition" Editorial: Syngress. Fecha de public1ción: 16 de noviembre de 2007. Referencia Junio de 2012

ANEXO A. PLANEACION DE LA CAPACIDAD DE LOS

SERVICIOS DEL CENTRO DE DA T01S

93

El centro de datos aloja a los eqmpos que proporcionan los serv1c1os de tecnologías de

información (procesamiento, almacenamiento y comunicaciones) y los equipos que proporcionan

los servicios auxiliares ( equipos de energía, aire acondicionado), éstos últimos son qmenes

proporcionan las condiciones óptimas para el funcionamiento de los equipos de TI.

De acuerdo a lo anterior para medir la madurez de un centro de datos debemos considerar el nivel

en que se encuentran ambos servicios.

Servicios de Tecnologías de Información

• Equipos Procesamiento

• Equipos de Almacenamiento

• Equipos de Comunicaciones

Servicios Auxiliares

• Equipos de energía

• Equipos de aire acondicionado

94

A.l SERVICIOS DE TECNOLOGÍAS DE INFORJVIACIÓN

Identificación de la capacidad de los equipos de TI

Para evaluar la capacidad de procesamiento, almacenamiento y comunicaciones que tiene lugar

en el centro de datos, utilizaremos el proceso "Identificación de capacidad en los equipos de rr·.

Este proceso requiere como entradas el conocimiento del per:;;onal acerca de inventarios de la

organización (procesamiento, almacenamiento y comunicaciones) y de contratos de servicios

relacionados.

El proceso para poder identificar la capacidad utilizará las sigu:entes herramientas de trabajo que

se identifican a continuación:

• Hoja de Evaluación de Procesamiento (TA-1)

• Hoja de Evaluación de Almacenamiento (TA-2)

• Hoja de Evaluación de Comunicaciones (T A-3a y TA-3 b)

• Ejecución de herramienta de planeación de la capacidad

La Hoja de Evaluación de Procesamiento (T A-1) nos perm:.te identificar de forma básica la

capacidad de procesamiento que se tiene identificada en la organización.

Tabla T A-1 Hoja de Evaluación de Procesamiento

Nombre Tipo de Arquitectura Procesadores/ Sistema Segmento Disco Memoria Centro Ubicación Año servidor procesador Núcleos Operativo Red de red Duro de

Datos

En donde:

• Nombre: Nombre del Servidor

• Tipo de servidor: Si el servidor es fisico o virtual

• Arquitectura del servidor: Si es Intel x86 32 bits, Intel x86 64 bits, AMO x86 32 bits.

AMD x86 64 bits, Intel Itanium u otro.

• No. de Procesadores: Número de procesadores/núcleos por ejemplo (8/4, 4/2)

95

• Sistema operativo: El sistema instalado en el servidor con el formato Sistema Operativo­

versión-actualización, por ejemplo Windows-2003 Enterprise-SP2, Unix-Hpux 11.3-V3,

etc.

• Red: La velocidad de red que tiene el servidor (100 Mb, 1000 Mb, etc.)

• Disco Duro: Capacidad del disco duro local del servidor

• Memoria: Memoria fisica instalada en el servidor

• Centro de Datos: Nombre del centro de datos en donde se encuentra el equipo

• Ubicación: Ubicación física del servidor con formato ciudad-estado-país

• Año: Año de adquisición/arrendamiento

La Hoja de Evaluación de Almacenamiento (T A-2) nos permite identificar de forma básica la

capacidad de almacenamiento que se tiene identificada en la organización.

Tabla T A-2 Hoja de Evaluación de Almacenamiento

Tipo de Fabricante Modelo Año Capacidad Capacidad Capacidad Ubicación almacenamiento Total Utilizada Disponible

En donde:

• Tipo de Almacenamiento: Indicar si es SAN o NAS

• Fabricante: Nombre del fabricante de la solución de almacenamiento

• Modelo: Modelo de la solución

• Año: Año de adquisición/arrendamiento

• Capacidad total: Capacidad total de almacenamiento (Terabytes)

• Capacidad utilizada: Capacidad utilizada de almacenamiento (Terabytes)

• Capacidad disponible: Capacidad disponible de almacenamiento (Terabytes)

• Ubicación: Ubicación física de la solución de almacenamiento

La hoja de Evaluación de Comunicaciones (T A-3a) nos pem1ite identificar de fonna básica los

equipos de comunicaciones de red en el centro de datos, que se tienen identificados en la

organización.

96

Tabla TA-3a Hoja de Evaluación de Comunicaciones 1

I ID Equipo ' I Fabricante -·

Tipo Modelo Año Centro de Ubicación datos

1

En donde:

• ID Equipo: Identificador de equipo

• Tipo: Tipo equipo de comunicación (switch, router, balanceador, etc.)

• Fabricante: Nombre del fabricante del equipo

• Modelo: Modelo del equipo

• Año: Año de adquisición/arrendamiento

• Centro de datos: Nombre del centro de datos en donde ~e encuentra el equipo.

• Ubicación: Ubicación del centro de datos

La hoja de Evaluación de Comunicaciones (TA-3b) nos permite identificar las comunicaciones al

exterior que se tienen en los centros de datos (hacia otros centros de datos y hacia intemet)

Tabla TA-3b Hoja de Evaluación de Comunicaciones 2

Centro de Tipo de Ancho de banda Tipo de Enlace Ancho de banda hacia datos enlace WAN WAN Internet internet

En donde:

• Centro de datos: Nombre del centro de datos en donde se encuentra el equipo

• Tipo de enlace WAN: Tipo de enlace para enlazarse con otros centros de datos

• Ancho de banda W AN: Ancho de banda de los enlaces hacia otros centros de datos

• Tipo de enlace intemet: Tipo de enlace que utiliza para conectarse a intemet

• Ancho de banda intemet: Ancho de banda hacia intemet

Herramientas de planeación de la capacidad

En el mercado hay varias herramientas que nos permiten planear la capacidad aunque

nom1almente tienen un costo, algunos ejemplos son:

VMware Capacity Planner

97

http://wvvw.vmware.com/products/capacity-planner/index.html

Capacity Planning Software

http://www.uptimesoftware.com/capacityplanning.php

De igual forma existen herramientas para planeación de la capacidad que pueden ser provistas

por los vendedores de hardware de procesamiento, almacenamiento y comunicaciones. Una de

las herramientas comunes y que puede ser de utilidad es Microsoft MAP (Microsoft Assessment

and Planning Toolkit), no tiene costo y puede ser descargada en la dirección:

http://www.microsoft.com/download/en/details.aspx?&id=782(~

MAP es una herramienta de inventario, evaluación y reporte de servidores, nos provee de datos y

análisis que pueden auxiliarnos para la virtualización de. La desventaja de esta herramienta es

que esta limitada para infraestructura de Microsoft y va más enfocada para el procesamiento y

virtualización en su tecnología.

MAP tiene varios asistentes, los principales son:

Asistente de inventario y evaluación: Ayuda a obtener infonnación acerca de los servidores

en tu ambiente, para el caso de procesamiento utilizaríamos las siguientes plantillas:

a) Windows Server Role Discovery: Provee información detallada acerca de todas las

computadoras fisicas o máquinas virtuales corriend:> un sistema operativo Windows

Server. Estos sistemas son inventariados y analizados para determinar cuales roles de

servidor están instalados.

b) Windows Server 2008/2008 R2 Readiness: Estos asistentes nos proveen información

detallada acerca de que servidores en el ambiente pueden soportar Windows Server

2008/2008 R2, además de hacer sugerencias acerca de las actualizaciones necesarias para

que los equipos estén listos

Asistente de métricas de rendimiento: Ayuda a juntar in:'ormación de procesador, memoria,

almacenamiento y utilización de red de los servidores en tu ambiente. Es recomendable

utilizar este asistente sobre un largo periodo de tiempo con el fin de poder obtener

98

información más precisa acerca del comportamiento de lo!; equipos. Si se pretenden obtener

métricas de rendimiento de una gran número de equipos se sugiere hacerlo en bloques de no

más de 150 equipos.

Asistente de virtualización de servidores y consolidación. Dada una potencial configuración

de un equipo (host) nos ayuda a identificar equipos candidatos para virtualización

Salida de las herramientas de planeación de capacidad

La información que venía en las hojas de evaluación de la capacidad de procesamiento,

almacenamiento y comunicaciones nos sirvió como insumo para la ejecución de la herramienta

de planeación de la capacidad.

De acuerdo a la herramienta de planeación de la capacid2.d que poseamos, obtendremos la

evaluación del hardware y software de procesamiento, almacenamiento y comunicaciones. A

manera de ejemplo, una salida de evaluación del procesami,:::nto con la herramienta MAP nos

daría como principales datos los que se observan tabla T A-4.

Tabla TA-4 Resultados de Evaluación de Procesamiento

Nombre s.o. Requerimientos º/o º/o Roles Recomendaciones actualiza ble Hardware utilización utilización Servidor migración de

CPU memoria roles

En dónde:

• Nombre: Nombre del servidor

• S.O actualizable: Si el servidor soporta la actualización del sistema operativo

• Requerimientos de hardware: El hardware requerido para que pueda soportar la

actualización

• Roles Servidor: Los roles que se identificaron en el servidor (DNS, Web, etc.)

• Recomendaciones roles: Si es actualizable el sistema operativo se dan recomendaciones

para la migración de los roles identificados

Dependiendo de las capacidades de la empresa que este realizando la planeación de la capacidad,

pueden utilizarse herramientas que tienen un costo para así ·Jbtener un panorama más completo

99

de la capacidad existente de los servicios de tecnologías de infonnación en el centro de datos

(procesamiento, almacenamiento y comunicaciones)

A.2 SERVICIOS AUXILIARES

Evaluación de la capacidad de Servicios Auxiliares

Para evaluar la capacidad de energía y aire acondicionado que tiene lugar en el centro de datos,

debemos considerar:

El consumo de energía de los equipos de TI y servicios auxiliares.

Pronóstico de tendencias de consumo de energía

Demanda de energía que requerirían los nuevos equipos ele TI y servicios auxiliares que se

incorporarían al centro de datos

Calcular la efectividad en el uso de energía PUE (Power Usage Effectiveness) y Eficiencia en la

infraestructura del Centro de Datos DCiE (Data Center Infraestructure Efficiency), tiene valor

cuando el proceso es repetido y constante, podríamos considerar los siguientes pasos:

Desarrollar un plan de pruebas (mediciones semanales, mensuales)

Conocer los componentes de distribución de energía

Encontrar el total de carga de infraestructura

Encontrar el total de carga de IT

Planear objetivos de eficiencia (básica o detallada)

Existen herramientas que nos permite calcular el PUE y DCiE las cuales podemos utilizar para

medir la eficiencia energética que tenemos en el centro de datos. Las herramientas pueden ser

consultadas en:

http ://estimator. thegreengrid .org/puee

http://www.42u.com/measurement/pue-dcie.htrn#How-to-Calculate-PUE-and-DCiE:

Los datos que tendríamos que conocer serían:

Cantidad de Servidores

Cantidad de Mainframes

Total de carga de TI

Cantidad de equipos auxiliares (energía y aire acondicionado)

Cantidad de equipos de comunicaciones

Índice de PUE deseado

100

Los datos referentes al consumo de energía requieren mediciones por equipos especializados, los

conceptos vertidos aquí son de referencia para que el interesado evalúe este punto.

101

ANEXO B. CUMPLIMIENTOS REGULA TORIOS

REQUERIDOS POR LA ORGANIZA(:IÓN.

Las industrias hoy en día tienen que cumplir con varias leyes y regulaciones gubernamentales en

materia de tecnologías de información, en México para las dependencias y entidades del gobierno

federal existe el Manual de Administración de Aplicación General en Materia de Tecnologías de

Inforn1ación y Telecomunicaciones (MAAGTIC) de obser;ancia obligatoria para el sector

público y la Ley Federal de Protección de Datos Personales en Posesión de Particulares que

aplica para el sector público y privado. Por otro lado existen regulaciones internacionales que

provienen del gobierno de los Estados Unidos de América y Europa principalmente, algunas de

estas son; Sarbanes-Oxley (SOX), Ley de Portabilidad y Responsabilidad de Seguros (HIPPA­

Health Insurance Portability and Accountability Act), Norn1as de Seguridad de Datos de la

Industria de Tarjetas de Pago (PCT DSS PAyment Card Industry Data Security Standard).

B.1 LEYES Y REGULACIONES

• MAAGTIC

La Secretaría de la Función Pública publicó el 13 de julio de 201 O el acuerdo en donde se

emite este manual, como parte de la estrategia de gobierno digital y que está orientado a

coordinar las políticas y programas en esa materia, a fin de homologar y contar con procesos

uniformes para el aprovechamiento y aplicación eficiente de las tecnologías de la información

y comunicaciones.

En el manual están identificados 30 procesos, que se integran en 11 grupos, estos grupos a su

vez están considerados en los 4 niveles de gestión, que conforman el "Marco rector de

procesos en materia de TIC', cada uno de los procesm. señala acciones básicas para una

gestión ágil y ordenada en las unidades de tecnologías de infonnación y comunicaciones.

• Ley Federal de Protección de Datos Personales en Posesión de Particulares.

102

En la página del Instituto Federal de Acceso a la Infornación IF Al [ 4] dice que "Esta

legislación establece obligaciones muy claras para todas la5 personas físicas o empresas que

cuenten con bases de datos personales para que adopten medidas que garanticen que la

información estará adecuadamente resguardada y que n,J se le dará un uso distinto al

autorizado por el dueño de los datos. Sin importar el tamaño de la empresa, cualquiera que

haya recabado elatos personales deberá respetar esta ley"

El IF Al es el organismo que garantiza el cumplimiento de esta ley y tiene la facultad de

aplicar sanciones en caso necesario. La Ley entró en vigor en 20 l O. Esta ley es de relevancia

para los trámites comerciales y gubernamentales que realizan las personas en su vida

cotidiana, asimismo ofrece una mayor seguridad y certeza jurídica a los documentos y

transacciones que requiera la firma autógrafa de una persona.

• Ley Sarbanes-Oxley (SOX)

Esta ley fue creada para proteger a los inversionistas aumentando la exactitud y confiablidad

de los reportes financieros ele compañías públicas, SOX lo hace cumplir mediante el

endurecimiento de las penalidades existentes y haciende a los funcionarios corporativos

responsables por los reportes. SOX impone castigos más duros y prisión para cualquier

individuo que conscientemente altere o destruya informac:ón con el intento de obstruir una

investigación, el departamento de TI se ve afectado en la L:,rma de políticas de conservación

de documentos y acceso a registros electrónicos como correo electrónico y datos de

contabilidad.

SOX requiere que las políticas de conservación de documentos se sigan estrictamente, por lo

que la organización tiene que implementar controles para que los documentos estén

completos, co1Tectos y accesibles rápidamente, SOX explícitamente también trata con

conservación de documentos de firmas de contabilidad de un tercero, las firmas que auditan

compañías públicas deben conservar todos los documentos auditados por un mínimo de siete

años.

Algunas otras regulaciones de referencia en México serían:

• Ley Federal de Telecomunicaciones

• Ley de Firma Electrónica Avanzada

103

• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental

• Ley Federal de Protección al Consumidor

• Código de Comercio

• Código Civil Federal

• Código Fiscal de la Federación

• Ley Federal del Derecho de Autor

• Ley de la Propiedad Industrial

El entendimiento de cuáles son las regulaciones que afectan a tu negocio es necesario para definir

que procedimientos y políticas son necesarios para cumplir con las mismas.

La Gestión del Cumplimiento es el proceso para asegurar que una organización opera de acuerdo

con las expectativas, las Organizaciones definen políticas para asegurar que los sistemas de TI

están siendo operados de acuerdo a todas las leyes aplicables, regulaciones y estándares éticos.

Los estándares ITIL y COBIT entre otros, plantean objetivos de control para la entrega y soporte

de los servicios de TI de la organización, estos controles una vez implementados nos auxilian en

el cumplimiento de las regulaciones (SOX, MAAGTIC, etc.). Cada organización de TI es libre de

seleccionar cualquier estándar, aunque el estándar más aceptado en obtener el cumplimiento de

Sarbanes-Oxley es COBIT.

COBIT consta de seis componentes principales:

1. Resumen Ejecutivo: Explica los principios y conceptos clave.

2. Framework: Fundamento para el enfoque y elementos de COBIT. Organiza el modelo de

proceso en cuatro dominios

a. Planear y Organizar

b. Adquirir e Implementar

c. Entrega y Soporte

d. Monitorear y Evaluar

3. Objetivo de Control: Fundamento para el enfoque y ,~lementos de COBIT. Organiza el

modelo de proceso en cuatro dominios (mencionados en el segundo elemento)

4. Prácticas de Control: Identifica mejores prácticas y describe requerimientos para controles

específicos.

104

5. Directrices de Gestión: Enlaza los objetivos del Negocio y TI, provee herramientas para

mejorar el rendimiento de TI.

6. Directrices de Auditoria: Provee guías de como evaluar controles, valorar el

cumplimiento y documentar el riesgo con estas características

a. Definir "controles internos" sobre reportes financieros

b. Probar y valorar internamente estos controles

c. Apoyo a las auditorías externas de los controles

d. Documenta esfuerzos de cumplimiento

e. Reportar algunas deficiencias significativas o debilidades

B.2 EJEMPLO DE GUÍAS PARA CUNIPLIMIENTO DE SOX

EMPLEANDO LOS ESTÁNDARES DE ITIL Y COBIT.

El enfoque de Sarbanes-Oxley Sección 404 es en el control ele los Informes Financieros, por lo

tanto a fin de desarrollar una estrategia global TI, se tendrá que observar en las diferentes

funciones de TI para determinar dos cosas.

1) ¿Cuales actividades de TI son relevantes para tu proceso de Reportes Financieros?

2) De estas funciones, ¿Cuáles son significativas en el proceso de Reportes Financieros?

Estas actividades son críticas ya que nos permiten definir las actividades de trabajo y el alcance

de la Auditoría SOX. A fin de contestar estas dos preguntas las principales tareas a realizar son:

a) Desarrollar el proceso de Planes de TI

b) Desarrollar Planes de TI

c) Determinar las actividades de TI en los sistemas de Reportes Financieros

d) Detern1inar la importancia de las actividades de TI en los sistemas de Reportes

Financieros.

En la siguiente Tabla TB 1 "Marco COBIT Entrega y Soporte" se ilustra como se podría obtener

el cumplimiento de SOX considerando el estándar de COBIT y su correlación con ITlL. Dado

que cada organización de TI es diferente, estas guías deben ser tomadas como ejemplos que

auxilien a detenninar los requerimientos específicos de tu organización.

105

Tabla TB-1 Marco COBIT: Entrega y Soporte

DS2 GESTIONAR SERVICIOS DE TERCEROS --

COBIT Correlación ITIL Gobierno

2. 7 Relaciones de Seguridad No hay correlación COBll declara qut los procesos y procedimientos deben estar en su lugar y -evisados para asegurar que prácticas apropiadas de seguridad hayan sido colocadas para gobernar los servicios de ter,;eros

DS4 ASEGURAR LA CONTINUIDAD DEL SERVICIO

COBIT Correlación ITIL Gobierno

4.12 Almacenamiento de Entrega de Servicios COBIT declara que el almacenamiento remoto respaldo remoto 7. Gestión de la para respaldo de documentación crítica debe ser

Continuidad del Servicio establecido para soportar recuperación y planes de continuidad del negocio

DS2 ASEGURAR LA SEGURIDAD DE LOS SISTEMAS

COBIT Correlación ITIL Gobierno

5.2 Identificación, Gestión de Seguridad OBIT declara que procedimientos deben ser Autenticación y Acceso 4. Medidas de Gestión de implementadm y actualizados para asegurar que

Seguridad el acceso lógico y el uso de recursos de cómputo de TI ha sido concedido de acuerdo a una aprobación (LDAP, Directorio Activo)

5.3 Seguridad de acceso en Gestión de Seguridad COBIT declara que políticas y procedimientos línea a los Datos 4. Medidas de Gestión de deben ser desarrollados que controlen la

Seguridad seguridad del :icceso basado en la identidad del usuario, necesaria para ver, añadir, cambiar o eliminar datos

5.4 Gestión de cuentas de Gestión de Seguridad COBIT declara que procedimientos deben ser usuario 4. Medidas de Gestión de implementados para asegurar respuesta oportuna

Seguridad la petición, establecimiento, .. ,

para em1s1on, suspensión y cierre de cuentas de usuario.

5.5 Gestión de revisión de Gestión de Seguridad COBIT declara que un control debe ser cuentas de usuario 4. Medidas de Gestión de establecido gobernar las

.. para rev1s1ones

Seguridad periódicas de derechos de acceso y Un mecanismo de reconciliación.

5.8 Clasificación de Datos Gestión de Seguridad COBIT declara que Todos los datos y accesos 4. Medidas de Gestión de deben ser clasificados en términos de Seguridad sensibilidad vía Un proceso formal con el dueño

de los datos.

106

Tabla TB-1 Marco COBIT: Entrega y Soporte

1

-DS2 ASEGURAR LA SEGURIDAD DE LOS SISTEMAS

1

COBIT Correlación ITIL Gobierno

5.9 Identificación Central y Gestión de Seguridad COBIT declara que la identificación y derechos Gestión de Derechos de 4. Medidas de Gestión de de acceso de usuarios, así como !a identidad del Acceso Seguridad sistema y propiedad de los datos son establecidos

y gestionados desde Un punto centralizado para asegurar eficiencia y consistencia de control de acceso global

5.1 O Violación y Reportes de Gestión de Seguridad COBIT declara que actividad de seguridad y Actividad de Seguridad 4. Medidas de Gestión de cualquier violación es registrada, revisada, y

Seguridad cuando es apropiado escalar para identificar y resolver incidentes que involucran accesos no autorizados.

5.19 Prevención, Detección y Gestión de Seguridad COBIT declan que procesos y procedimientos I Corrección de Software 4. Medidas de Gestión de deben ser establecidos para la prevención,

Malicioso Seguridad detección, corrección y respuesta a malware en computadoras.

5.20 Arquitecturas de Gestión de Seguridad COBIT declara que Firewalls deben estar Firewall y Conexiones con 4. Medidas de Gestión de colocados para proteger en contra de negación de redes públicas Seguridad servicios y acc,~so no autorizados a la red interna. DS7 EDUCAR Y ENTRENAR USUARIOS

COBIT Correlación ITIL Gobierno

7.3 Principios de Seguridad y Gestión de Seguridad El personal d~be ser entrenado y educado en Formación para la 4. Medidas de Gestión de principios de s,~guridad de los sistemas Sensibilización Seguridad DS9 ADMINISTRAR LA CONFIGURACIÓN

COBIT Correlación ITIL Gobierno

9.4 Control de la Soporte al Servicio COBLT declara que deben existir procedimientos Configuración 7. Administración de la para asegurar que la configuración implementada

Configuración permanezca sm cambios y que los cambios aprobados tengan que ir a través del proceso de cambios

9.5 Software No Autorizado Soporte al Servicio COBIT básicamente declara que políticas 9. Gestión de liberaciones prohibiendo el uso de software personal y no

licenciado deben ser desarrolladas e implementadas

DS9 ADMINISTRAR LA CONFIGURACIÓN

COBIT Correlación ITIL Gobierno

9.7 Procedimientos de Soporte al Servicio COBIT declara que los procedimientos deben Administración de la 7. Administración de la estar en su lugar para asegurar que componentes Configuración Configuración críticos hayan sido identificados y son

mantenidos

107

Tabla TB-1 Marco COBIT: Entrega y Soporte

DSIO GESTIÓN DE PROBLEMAS E INCIDENTES

COBJT Correlación ITIL Gobierno

10.1 Sistema de Gestión de Soporte al Servicio COBIT declara que Un Sistema de Gestión de Problemas 4. Centro de Servicios Problemas debe ser implementado para capturar

5. Gestión de Incidentes todos los eventos operacionales los cuales no son 6. Gestión de Problemas parte de la operación estándar (incidentes,

problemas y errores) estén registrados, analizados y resueltos de manera oportuna

10.2 Escalación de Soporte al Servicio COBIT declara que Los procedimientos de Problemas 4. Centro de Servicios escalación de problemas deben estar definidos e

5. Gestión de Incidentes implementados para asegurar que los problemas son resueltos eficientemente y de manera oportuna

DSIO GESTIÓN DE DATOS

COBIT Correlación ITIL Gobierno

1 1.23 Respaldo y ICT Infraestructure COBIT declara que procesos y procedimientos Recuperación Management deben ser desarrollados e implementados para

Anexo 4D asegurar que la estrategia para respaldo y Almacenamiento y restauración satisface los requerimientos del Respaldo negocio y los ¡cropietarios de los procesos.

11.24 Trabajos de Respaldo ICT Infraestructure COBIT declara que Los procesos implementados Management para asegurar que los respaldos son realizados en Anexo 4D acuerdo con la estrategia de respaldos definida y Almacenamiento y restauraciones periódicas son realizadas y Respaldo verificadas

DS12 ADMINISTRACIÓN DE INSTALACIONES

COBIT Correlación ITIL Gobierno

12. l Seguridad Física No hay correlación COBIT dirige la seguridad fisica y control de acceso con asegurar el hardware, sistema y aplicaciones de TI relacionadas.

12.3 Acompañante del No hay correlación Procedimientos deben estar establecidos para Visitante asegurar que todo el personal que no es de TI y/o

empleados no aprobados tengan acceso a las instalaciones de cómputo en compañía de un acompañante

12.5 Protección en contra de No hay correlación Procesos y procedimientos deben ser Factores Ambientales implementados y mantenidos para asegurar que

equipos crítico de cómputo esté protegido de factores ambiwtales

12.6 Alimentación de Entrega de Servicio Medidas deben ser tomadas para proteger equipo Energía ininterrumpida 8. Gestión de de cómputo crítico en contra de fallas y

Disponibilidad fluctuaciones de energía

108

ANEXO c. MODELO ECONÓMCICO PARA UNA

APLICACIÓN.

Para determinar los costos que involucran una aplicación debemos considerar todos los recursos

de TI que están involucrados en la misma. La Tabla TC-1 da una referencia de los recursos de TI

involucrados.

Tabla TC-1 Costo Total de Propiedad de una Aplicación

ID Recursos de TI Descripción Costo A Costo de Procesamiento El costo total anual de propiedad I del servicio de CTA

procesamiento, el cual consiste del sopmte del hardware. Se toma la parte proporcional al procesamiento (hardware) utilizado por la aplicación.

B Costo de Almacenamiento El costo total anual de propiedad del servicio de CTB almacenamiento. Se toma la parte proporcional que corresponde a la aplicación.

c Costo de Comunicaciones El costo total anual de propiedad del servicio de CTC comunicaciones. Se toma la parte proporcional que corresponde a la aplicación.

D Costo de utilización del El costo total anual de propiedad de los servicios auxiliaresH. CTD Centro de Datos Se toma la parte proporcional que corresJonde a la

aplicación. E Costo de Respaldos y Costos actuales que se tengan de acuerdo a la estrategia de CTE

Recuperación de respaldos (frecuencia y vigencia), adicic,nales a los costos Desastres de recuperación

F Costos de Software El costo total anual de propiedad del software del sistema CTF operativo base y el requerido por la aplicación.

G Costos del Centro de El costo por la atención del personal del Centro de Servicios CTG Servicios (personal y y el software de gestión que utilizan. software de gestión)

H Costos de la Operación El costo por el personal que atiende a la operación del CTH (personal y software de servicio y el software de gestión que utiLzan. gestión)

Con los costos identificados de la aplicación podemos calcular mediante una simple fórmula el

Costo Total de Propiedad de una Aplicación (TCAO Total Cost Of Application Ownership)

TCAO= CTA+CTB+CTC+CTD+CTE+CTF+CTG+CTH

'Consiste del soporte del servicio. adicional al costo ue amo11ización por la compra del mismo 'Los servicios de tecnologías de información (procesamiento, almacenamiento y comunicaciones) y servicios auxiliares (energía y aire acondicionado) son ucscritns en el Anexo I

109

Con este dato podemos comparar el costo que tiene la aplicación en la organización con el costo

que tendría si se le trasladara a la nube y así revisar su conveniencia. Sin embargo adicionalmente

se deben considerar los siguientes costos:

Previamente se tendría que hacerse un trabajo de configuración y pruebas

La aplicación no podría estar diseñada para la naturaleza altamente distribuida de la nube

y podría necesitar rediseñarse.

Adicionalmente debemos considerar que:

TCAO no tiene la última palabra en decidir si una aplicación tiene que moverse a la nube,

existen aplicaciones y cargas de trabajo9 que son adecuadas para la nube. sin embargo

existen otras aplicaciones y cargas de trabajo que deben permanecer fuera de ella.

Se requiere una política que diga que debe permanecer en el centro de datos tradicional y

porqué (por ejemplo, privacidad y complejidad una carga de trabajo)

Una política que especifique cuando una aplicación pui~de moverse de forma segura a la

nube

9 Carga de trabajo (workload). Es un servicio independiente o colección de código que puede ser ejecutado. Una carga de trabajo no úcrende de

elementos externos. puede ser una rcqucfü1 o completa aplicación.

11 O

ANEXO D. SERVICIOS PÚBLICOS I»E NUBE

Como se mencionó en el capítulo 1, existen tres modelos para aprovisionar servicios en la nube:

Infraestructura como Servicio (laaS), Software como Servicio (SaaS) y Plataforma como Servicio

(PaaS), en estos modelos las capacidades s de cómputo se alquilan y el consumidor no compra

activos de hardware o software. La Tabla TD-1 Servicios :Públicos de Nube muestra como

referencias algunos de los servicios públicos de nube que existen en el mercado.

Tabla TD-1 Servicios públicos de nube

Modelo Proveedor Descripción

SaaS SalesForce Proporciona soluciones en nube para gcs:ionar las ventas, el servicio (y todo su negocio). Algunos de sus principales servicios son Sales Cloud, Service Cloud y SalesForce Chatter. httn://salesforce.com

SaaS Microsoft Microsoft Online Services proporciona versiones en línea de los productos de comunicación y colaboración. Uno de sus productos más conocidos es Office 365. httD://www.microsoft.com/on 1 ine/es-mx/ defau lt.asox

SaaS Zoho Zoho ofrece soluciones para Colaboración, Aplicaciones de Negocio y Aplicaciones de Productividad. htto://www.zoho.com/

SaaS Netsuite Netsuite ofrece soluciones de ERP (Contabilidad y Finanzas), CRM (Marketing, Monitoreo y Seguimiento de clientes) http://www.netsuite.com

laaS RackSpace Ofrece soluciones en nube para cómputo, almacenamiento y datos, plataforma y redes. htto://www.racksoace.com

laaS Amazon Ofrece soluciones en nube para procesamiento de datos, almacenamiento, bases de datos y redes. Algunos de sus productos son Amazon EC2, Amazon S3, Amazon ROS y Amazon VPC. httn://aws.amazon.cc,m/es/

laaS OpSource Ofrece soluciones para cómputo, almacenamiento y redes. Algunos de sus productos son Cloud Servers, Cloud Files y Cloud Networks. httn://www.onsource.net/Services!Pu b lic-C loud

laaS Hosting Hosting ofrece soluciones de nube para la creación de nubes empresariales y orivadas. htto://www.hostim.1.com/c loud-hosting

PaaS Google Google App Engine te permite correr aplicaciones web en la Infraestructura de Google. httos://develooers.google.com/aoocngine/?hl=es-MX

PaaS Microsoft Windows Azure permite compilar, implementar y administrar aplicaciones en una red de centros de datos administrados por Microsoft. htto://www.windowsazure.com/es-es/

PaaS OpenShift OpenShift es una plataforma como servicio escalable para aplicaciones, OpenShift gestiona el stack para que el De san-o 1 lador se enfoque en el código. httos :// ooen sh i ft. redhat. com/ a nn/

PaaS Oracle Oracle ofrece una plataforma compartida :,1 escalable para la consolidación e las aplicaciones existentes y el desarrollo e im¡-:lementación de nuevas aplicaciones. htto :! /www .orac le .com/us/so l utions/c loud/index. html

ANEXO E. FORMATO DE ACUERD() DE NIVEL DE

SERVICIO.

La página inicial del acuerdo de servicio deberá contener los siguientes elementos:

• Datos del Proveedor e identificador del Acuerdo. ( encabezado del acuerdo)

Identificador de acuerdo SLA-CL!-PRO-

Logo del Proveedor Nombre del Proveedor

Fecha de Inicio Vigencia Propietario del Documento

El motivo del acuerdo de servicio

Acuerdo de Servicio (SLA) para "Cliente"

por parte de "Proveedor

• Versiones del Documento

Versión Fecha Descripción 1.0 l/01/2011 Acuerdo de Nivel de Servicio 2.0 1/04/2011 Revisión del Acuerdo de Nivel de Servicio

• Aprobadores del Documento

Aprobadores Rol Firma Proveedor Proveedor del Servicio

Cliente Cliente

01 1/01/2011

31/12/2011 Proveedor

I Auto,

Fecha de Aprobación

Las siguientes páginas solo deberán incluir el encabezado y el ,:ontenido que se desarrolle.

111

1

.....---------SLA-CLI-PR0::-1 Identificador de acuerdo

01 Logo del Proveedor

Nombre del Proveedor Fecha de Inicio 1/01/2011 ~·

Vigencia 31/12/2011 Propietario del Proveedor Documento

CONTENIDO

1. Introducción

Esta sección comprende detalles respecto al acuerdo del servicio, su origen, propósitos. revisiones, etc.

1.1. Antecedentes del Acuerdo

112

Proporciona información respecto a los antecedentes que dieron origen al Acuerdo de Servicio

1.2. Propósito y Objetivo del Acuerdo Se define con claridad el propósito y objetivo del acuerdo servicio

1.3. Involucrados Se mencionan las áreas que forman parte que se encuer.tran involucradas directamente en el acuerdo del servicio, indicando cuál es su rol en el mismo.

1.4. Revisiones periódicas al acuerdo Se define la vigencia del acuerdo, fecha de revisión, propietario del documento, etc.

2. Acuerdo de Servicio

Los parámetros del servicio definidos por el Proveedor.

2.1. Servicios otorgados Descripción de los servicios que están cubiertos por el acuerdo.

2.2. Requerimientos del Cliente Responsabilidades del cliente para la recepción de los servicios de este acuerdo.

2.3. Requerimientos del Proveedor de Servicio Responsabilidades del Proveedor referente a la entrega ele los servicios de este acuerdo.

2.4. Supuestos del Servicio Indicar consideraciones relacionadas con los servicios

113

Nombre de

l ldeotófieadoN!.;;cuc,do SLA-CLI-PRO-01

I Proveedor Fecha de Inicio 1/01/2011 Vigencia 31/12/2011

Logo del Proveedor

Propietario del Proveedor Documento

3. Gestión del SLA

Proveer detalles acerca de la disponibilidad del servicio, monitoreo delos servicios, etc.

3.1. Disponibilidad de los Servicios Indicar el horario de disponibilidad de los servicios, cobertura de los mismos, calendario de mantenimientos. En esta sección se indica el tiempo de respuesta para la atención una vez recibido el requerimiento o incidente. Prioridades de los Servicios, etc.

3 .2. Centro de Atención al cliente Indicar que es el punto de contacto para la atención, ya sea telefónica, por correo electrónico y en sitio. Mencionar los días y el horario en que se reciben solicitudes de requerimientos e incidentes.

3.3. Monitoreo del Nivel de Servicio Indicar como se va a monitorear la entrega de lo servicios al cliente.

3.4. Informes al cliente Mencionar que reportes se entregan al cumplimiento referente a las condiciones en que se entregan los servicios.

4. Costo de los Servicios Indicar cuál es el costo por los servicios que otorga el Prnveedor.

5. Anexos al SLA Referenciar los anexos que sean necesarios al presente acuerdo de Servicios

114

ANEXO F. CONSIDERACIONES DE SEGURIDAD EN

LA NUBE

De acuerdo a la Guía de Seguridad para áreas críticas enfocadas en el cómputo en la nube V 3.0

[6] publicada por la CSA (Cloud Security Alliance), algunos de los elementos a tomarse en

cuenta para la construcción del modelo de seguridad en la nube pueden observar en la Figura F-1

Medidas de seguridad en un modelo de servicios de cómputo en la nube.

'

Figura F- l Medidas de seguridad en un modelo de servicios de cómputo en la nube.

e " Aplicaciones )

( APls ' /

Datos (--" , Contenido ) Metadatos

r Integración OS y Middleware 1

\'----- - - ---(--------------'\ APls

111,

Conectividad y Entrega

Virtuallzación

Hardware

Instalaciones

l IAAS

PAAS

SAAS

- - - - - - ------· -- ---. . , · Aplicaciones

\ ....

/ ·- -·- -·~·· ---- - ·- - ·-, I Datos/Información ·

Gestión

Red

,/···

Cómputo Confiable ··-- -···--·--- ··· ··-- -- ------ - . --

\ Cómputo y Almacenamiento

. Física '-·--·-·- - - ··--

SDLC, Análisis binario, Escáneres , Firewall de aplicaciones web, Seguridad transaccional

DLP , CMF, Monitoreo y filtrado de contenido , Monitoreo de actividad de bases de datos . Encripción

GRC ,IAM, VA/VM,Gestión de parches.Gestión de la configuración , Moni toreo

NIDS / NIPS ,Firewalls, DPI , Anti·DDoS, QoS , ,DNSSEC ,OAUTH

Hardware y Software Rol ftAPls

Firewalls basados en host,HIDS/HIPS, Gestión de la integridad ,Encripción,Data Masking

Seguridad Física , CCTV

En dónde:

SDLC (System Development Life Cycle). Ciclo de vida en el desarrollo de un sistema.

DLP (Data Loss Prevention). Prevención de pérdida de dctos

CMF (Content Monitoring and Filtering) Monitorco y filt~ado de contenido

GRC (Governance, Risk & Compliance). Gobernabilidad Riesgo y Cumplimiento

115

IAM (Identity and Access Management) Gestión de Identidad y Acceso

V NVM (Vulnerability Assessment and Vulnerability Management). Análisis de

vulnerabilidades y Gestión de vulnerabilidades

NIDS/NIPS (Network Intrusion Prevention System/Network Intrusion Detection

Systems). Sistemas de Prevención de Intrusos/Sistemas de Detección de Intrusos

DPI (Deep Packet Inspection). Inspección profunda de paquetes

Anti-DDoS (Distributed Denial of Service)

QoS (Quality Of Service) Calidad del servicio

DNSSEC (Domain Name Security Extensions)

OAUTH (Authentication & authorization for Mobile Applications). Autenticación y

Autorización para Aplicaciones Móviles

RoT (Root of trust). Confianza en el emisor

HIDS/HIPS (Host Intrusion Detection Systems/Host lntrusion Prevention Systems).

Sistemas de Detección de Intrusos/Sistemas de Prevención de Intrusos

Data Masking (Enmascaramiento de datos)

CCTV (Closed Circuit TV). Circuito Cerrado de Televisión

116

ANEXO G. PLAN DE TRABAJO IMPJLEMENTACIÓN DE

NUBE

En esta sección se muestra como se puede crear una estructura básica de trabajo (WBS - Work

Breakdown Structure) para el proyecto de implementación de nube privada. La WBS debe ser

sencilla pero tener suficiente detalle para la programación de las tareas y su costo. Para

descomponer una WBS empieza con sus fases. continua con los entregables y después las

actividades. Añade hitos y a comenzar.

Paso 1.

Inicia definiendo las fases del proyecto, se proponen las siguientes fases genéricas. Estas fases

son solo de referencia y pueden adaptarse de acuerdo al Proyecto.

l. Planeación

2. Ejecución

3. Seguimiento y Control

4. Cierre

5. Evaluación ExPost

Paso 2.

Añade los entregables, lista los entregables específicos que cada fase entregará. Es importante

mantener esto a entregables tangibles como documentación y 5ervicios. La guía del PMBOOK

define un entregable como "cualquier producto único y verificable, resultado o capacidad para

realizar un servicio que debe producirse para completar un proceso, fase o proyecto. Añadiendo

los entregables a nuestra fase de Planeación, tenemos como ejemplo.

• Planeación

Definir Alcance del Proyecto

Realizar Plan de Desarrollo del Proyecto

Integrar equipo de proyecto

Realizar Plan de Comunicación

Realizar Plan de Calidad

117

Realizar Plan de Riesgos

Paso 3.

Una vez que entregables se encuentran definidos, finalmente afiadimos las actividades requeridas

para producir esos entregables.

• Planeación

Definir Alcance del Proyecto

./ Crear documento de alcance del Proyecto

Paso 4.

Revisa el plan de trabajo con los directivos de la organización y los miembros del equipo que

participan en el proyecto.

118

ANEXO H. CÁLCULO DEL PORCENTAJE DE

REPRESENTATIVIDAD EN LA EV A1LUACIÓN.

Catapult Systems [7] publicó un artículo en donde mostró la descripción del análisis de pares, el

cual es uno de los elementos, de la funcionalidad del análisis de portafolio de Project Server.

Utilizando esa descripción se analizaran los componentes que conforman un servicio de

tecnologías de información.

Porcentaje de representatividad en la evaluación proveedor

a) Análisis de pares

Cumplimiento de

Grado de Madurez Centro de Datos Aplicaciones/ Sistemas Regulaciones Niveles de Servicio Seguridad -

Centro de Datos Es tan importante Es mas importante Es mas importante Es mas importante Es mas importante

Aplicaciones/ Sistemas Es menos importante Es tan importante Es menos importante Es menos importante Es menos importante

Cumplimiento de

Regulaciones Es mer,os importante Es mas importante Es tan importante Es mas importante Es tan importante

Niveles de Servicio Es menos importante Es mas importante Es menos importante Es tan importante Es menos impori.ante

Seguridad Es menos importante Es mas importante Es tan irr.portante Es mas importante Es tan importante

Para etiquetar las relaciones de los elementos utilizamos las siguientes descripciones

Descripción Valor Es extremadamente más importante que 9 Es mucho más importante que 6 Es mas importante que 3 Es tan importante como 1 Es menos importante que 1 /3 Es mucho menos importante que 1/6 Es extremadamente menos importante que 1/9

b) Asignación de valores. Una vez que establecimos la relación inicial sustituimos en la tabla la

descripción por su valor y agregamos un fila en donde se suman los valores de todas las filas.

Grado de Madurez

Centro de Datos

A p I ic.,ciones/Si stema s Cump11m,ento ae

Regulac,ones

Niveles de Servicio

Seguridad

Suma

Centro de Datos

. . . . tumplim,ento de Aplicaciones/Sistemas Regulaciones

0.33

0.33

0.33

0.33

2.33 13

119

- -,- ··- -------------- -- -- - ····-·-·· ---·--·

Nr,eles de S~rvic10 Seguridad

3

0.33 O.H 0.33

0.33 0.33

5.67 10.33 5.66

c) Normalización de resultados. Para normalizar los resultados dividimos cada valor de la columna entre la suma de la columna.

Cumplimiento de

Grado de Madurez Centro de Datos Acli caciones/Sistemas Regulaciones Niv,~les de Servicio Seguridad

Centro de Datos 0.43 0.23 0.53 0.29 0.53

Apl icaci enes/Sistemas 0.14 0.08 0.06 0.03 0.06 Cumplimiento de

Regulaciones 0.14 0.23 0.18 0.29 0.18

Niveles de Servicio 0.14 0.23 0.06 0.10 0.06

Seguridad 0.14 0.23 0.18 0.29 0.18

Suma 1.00 1.00 1.00 1.00 1.00

d) Porcentaje de representatividad. Finalmente obtenemos el porcentaje de representatividad de

cada uno de los componentes realizando la sumatoria de los valores de cada fila y dividiéndolo entre el número de temas (en este caso 5). Para el caso del cliente que desea proporcionar servicios de nube privada se obtuvo el siguiente porcentaje de representatividad.

Grado de Madurez % Recresentatividad

Centro de Datos 40.18

Aplicaciones/Sistemas 7.38 Cumplimiento de

Regulaciones 20.34

Niveles de Servicio 11.76

Seguridad 20.34

Porcentaje en la evaluación punto de vista del cliente ( consumidor)

De fonna similar calculamos el porcentaje ahora con la visión del cliente

a. Análisis de Pares

..

120

Cumplimiento de

Grado de Madurez Centro de Datos Aplicaciones/ Sistemas Regulaciones Niveles de Servicio Se1<uridad Es mucho menos Es mucho menos

Centro de Datos Es tan importante Es menos importante importante És menos importante importante

IAPiicaciones / Sistemas Es mas importante Es tan importante Es menos importante Es tan importante Es menos importante

¡cumplimiento de

~egulaciones Es mucho mas importante Es mas importante Es tan Importante Es mas importante Es tan importante

Niveles de Servicio Es mas importante Es tan importante Es menos importante Es tan importante Es menos importante

Seguridad Es mucho mas importante Es mas importante Es tan importante Es mas importante Es tan importante

b. Asignación de valores

Cumplimiento de

Grado de Madurez Cenuo de Datos Aplicaciones/Sistemas Regulaciones Niveles de Servicio Seguridad

Centro de Datos 1 0.33 0.17 0.33 0.17

Aplicaciones/Sistemas 3 1 O.B 1 0.33 Cumplimiento ae

Regulaciones 6 3 1 3 1

Niveles de Servicio 3 1 O.l3 1 0.33

Seguridad 6.00 3 1 3 1

Suma 19.00 8.33 2.:l3 8.33 2.83

c. Normalización de resultados

Cumplimiento de

Grado de Madurez Centro de Datos Aplicaciones/Sistemas Regulaciones Niveles de Servicio Seguridad

Centro de Datos o.os 0.04 0.()6 0.04 0.06

Aolicaciones/Sistemas 0.16 0.12 0.:2 0.12 0.12 Cumplimiento de

Regulaciones 0.32 0.36 035 0.36 0.35

Niveles de Servicio 0.16 0.12 0.12 0.12 0.12

Seguridad 0.32 0.36 o.~s 0.36 0.35

Suma 1.00 1.00 1.CO 1.00 1.00

d. Porcentaje de representatividad

Grado de Madurez % Representatividad

Centro de Datos 5.01

Aplicaciones/Sistemas 12.66 Cumplimiento de

Regulaciones 34.83

Niveles de Servicio 12.66

Seguridad 34.83

121

Nota. El cálculo del porcentaje de representatividad y la valoración de pares que se le dio a cada

componente fue de acuerdo a criterios establecidos por el investigador, los criterios pueden variar

de acuerdo a las necesidades del cliente. En la solución presentada en este trabajo se le da la

opción al cliente que ejecuta la herramienta pueda ajustar el análisis de pares.