orquestando el nuevo paradigma (informe cloud computing)

MANAGEMENT CONSULTING

Orquestando el nuevo

paradigmaDirectrices de KPMG sobre informática

en la nube y otras áreas de TI

kpmg.es

2 | Orquestando el nuevo paradigma

Contents

1 Prólogo 3

2 Introducción 5

3 Retos actuales en el negocio 6

4 El viejo paradigma de TI 9

5 El cambio hacia la informática en la nube 11

6 En perspectiva 15

7 Consideraciones 18

8 Unpaso adelante: orquestación 25

9 Mensaje principal 33

Anexo 34

Orquestando el nuevo paradigma | 3

Tras la crisis fi nanciera las organizaciones tendrán que hacer frente a importantes retos. A raíz de la fragilidad económica, el área de TI se ve a menudo como una estructura costosa y rígida que no cumple las expectativas, aunque actualmente se está produciendo un cambio de paradigma: la transición de una función local a la centralización de los servicios de TI. Cada vez más organizaciones utilizan soluciones como la informática en la nube (cloud computing) para reducir el gasto en TI, incrementar la rapidez de las implantaciones y garantizar un enfoque de negocio innovador. No obstante, también están surgiendo dudas en torno a la seguridad, el cumplimiento y la privacidad.

¿Cuáles son los posibles riesgos y benefi cios de este nuevo paradigma de TI?

A través de este informe, queremos abordar estas cuestiones desde un punto de vista estratégico. Creemos que el principal reto de los directores generales y de TI reside en coordinar los complejos ecosistemas de TI unifi cando sistemas de TI tradicionales y servicios en la nube de diversos proveedores.

Este documento permite entender mejor la actual transición del área de TI y proporciona directrices desde una perspectiva de negocio. Queremos aclarar el proceso desmitifi cando las exageraciones e informar a los encargados de la toma de decisiones a través de ejemplos que van más allá de las obvias historias de éxito que cuentan los proveedores de servicios de informática en la nube y de la postura reacia de muchos integradores de servicios de TI “tradicionales”.

Prólogo

Pablo Montoliu

Socio, KPMG Advisory

KPMG en España

01


La informática en la nube es sin duda el fenómeno actual más importante en el ámbito de las tecnologías de la información. Aunque parece que existe cierta confusión en el sector de la TI en cuanto a la defi nición del término, desde un punto de vista empresarial la informática en la nube consiste en obtener servicios de TI desde Internet sin una infraestructura de TI. Internet es a menudo descrita por los técnicos como una “nube”, de ahí el término informática en la nube. Gmail y Facebook constituyen dos buenos ejemplos.

La importancia cada vez mayor de la informática en la nube queda patente a través de que un alto número de organizaciones están adoptando este modelo de forma lenta pero fi rme. Un reciente estudio realizado por KPMG pone de manifi esto que la informática en la nube será el modelo de TI del futuro. Por contra, existen determinadas personas que todavía creen que la informática en la nube acabará diluyéndose. Después de todo, el sector de TI ha hecho muchas

“promesas” a lo largo de los años que, al fi nal, no se han materializado.

En pleno debate, las preguntas más incisivas formuladas por los encargados de la toma de decisiones quedan a menudo sin respuesta. No se presta la atención necesaria a la perspectiva de negocio de la informática en la nube y a los posibles desarrollos en el área de TI.

Estamos totalmente convencidos de que contar con una perspectiva más amplia es clave para entender de forma exhaustiva el impacto de la informática en la nube, dado que la función de TI es de vital importancia para la mayoría de las organizaciones. Para ayudarles a este respecto, hemos entrevistado a una serie de directores generales y de TI, así como a los especialistas más destacados de KPMG, y les hemos preguntado sobre la informática en la nube y el futuro de la tecnología de la información. A través de estas entrevistas, hemos conseguido entender con claridad las principales difi cultades y oportunidades de las organizaciones en lo referente a su infraestructura de TI. A través de este informe, vamos a tratar de resolver las siguientes preguntas:

• Retos actuales en el negocio: ¿cuáles son los principales retos a los que se enfrentan las organizaciones tras la crisis fi nanciera?

• El viejo paradigma de TI: ¿cuál es la reacción de las funciones de TI

“tradicionales” ante los actuales retos de negocio?

• El cambio de paradigma: ¿qué progresos se han producido en el área TI?

• Perspectiva: ¿qué implica en realidad el nuevo paradigma?

• Consideraciones: ¿cuáles son los riesgos del nuevo paradigma?

• Medidas de cara al futuro: ¿qué medidas deben tomar las organizaciones?

En el Anexo A encontrarán una defi nición y las características de la informática en la nube.

IntroducciónQueremos desmitifi car las exageraciones e informar a los encargados de la toma de decisiones.

02


© 2011 KPMG Advisory N.V.

Los encargados de la toma de decisiones de las grandes empresas creen que los principales retos a los que se enfrentan son el recorte de costes, el periodo de comercialización y la innovación.

3.1 Recorte de costesLos recortes de costes pueden ayudar a mantener los márgenes de benefi cios durante un periodo de recesión. A pesar de los signos de recuperación económica, muchas empresas privadas se enfrentan a unas condiciones de mercado inciertas y han intensifi cado sus medidas de recorte de costes. En general, se trata de una tarea abrumadora, sobre todo cuando se trata de estructuras de costes cambiantes.

Retos actuales en el negocio

La crisis fi nanciera ha provocado que las condiciones de

mercado sigan siendo extremadamente volátiles y, aunque

hay margen para el optimismo, un alto número de empresas

se ven presionadas por los márgenes de benefi cios en un

entorno de negocio globalizado, altamente competitivo y en

constante cambio. El incremento de los precios de la energía y

la inestabilidad del ámbito político han contribuido a aumentar la

complejidad.

Principales retos: recortar costes, acelerar la comercialización y aumentar la innovación.

03


3.2 Mayor rapidez en la comercialización

El periodo de comercialización es sin duda uno de los factores de éxito más importante para las organizaciones. Las exigencias de los consumidores y empleados son cada vez más volátiles, lo que obliga a que las organizaciones adopten enfoques de mercado más rápidos y fl exibles. Además, el ciclo de vida ha cambiado y los productos actuales se caracterizan por:

• Se alcanza rápidamente un alto nivel en el volumen de ventas;

• Se produce una reducción rápida en las ventas tras alcanzar el máximo nivel;

• Un breve periodo de comercialización.

Por tanto, para satisfacer la demanda con rapidez y precisión, las organizaciones deben tener la capacidad de reaccionar de forma instantánea para garantizar una rápida entrega de sus productos. Los retrasos no sólo provocan una importante pérdida de oportunidades, sino también una cuota de mercado (mucho) más reducida en un entorno caracterizado por una competencia feroz.

3.3 InnovationEl desarrollo de productos se ha convertido en un factor importante para las empresas, sobre todo en Europa y Estados Unidos, mientras que las economías emergentes como China, India y Brasil destacan en el ámbito de la producción efi ciente de muchos productos genéricos.

Es obvio que la innovación constante tiene un impacto decisivo en el éxito de las empresas. La capacidad de colaborar, intercambiar ideas y acceder a recursos de información pertinentes son requisitos fundamentales para conseguir una innovación efi ciente.

Fuente: KPMG, 2011

Ciclo de vida de los productos

— Ciclo de vida actual de los productos— Ciclo de vida tradicional de los productos

Vo

lum

en d

e ve

nta

s

Tiempo


Tradicionalmente, las estructuras de TI instaladas y mantenidas localmente cuentan con varios sistemas incompatibles, numerosas aplicaciones y demasiadas interfaces y conexiones. La tecnología de la información se ha convertido en un entorno demasiado complejo para la mayoría de organizaciones que, además de resultar excesivamente caro, conlleva altos riesgos y requiere una mayor inversión de tiempo y esfuerzo.

Los encargados de la toma de decisiones consideran que los costes de TI de su organización son injustifi cadamente altos, la estructura de TI es demasiado rígida y obsoleta, y que, en lugar de dar soporte al negocio, se ha convertido en un obstáculo.

4.1 Mayor gasto

Despite the pressure on IT spending A pesar de la presión que ha experimentado el gasto en TI durante los dos últimos años, sigue situándose

en unos niveles excesivamente altos: hasta un cinco por ciento de los ingresos para las empresas incluidas en la lista Fortune500, y muy por encima de ese cinco por ciento en los presupuestos públicos de la mayoría de países de la OCDE.

Además, la mayoría de estos costes, generalmente en torno al 80 por ciento, se invierten en el mantenimiento de la estructura de TI, y no en aplicaciones nuevas e innovadoras. Por otro lado, cabe destacar que, aunque la mayoría de compañías de la UE no han incrementado drásticamente el gasto en TI durante los últimos dos años, el presupuesto operativo en el área de TI como porcentaje de los ingresos ha experimentado una tendencia ascendente. Entre las principales causas de este incremento se incluye la inversión en infraestructuras de TI y unos programas informáticos excesivamente complicados.

El viejo paradigma de TI

Es realmente sorprendente ver cómo los conceptos de

TI tradicionales no consiguen los tres retos de negocio

mencionados en el apartado anterior: recortar costes, acelerar

la comercialización y aumentar la innovación. Una estructura de

TI no consigue estos objetivos, ni cumple las necesidades y los

requerimientos del negocio contemporáneo, por sí sola.

Presupuesto de explotación de TI como porcentaje

2,62,5

21,9

2,3

2007 2008 2009 2010 2011 (esperado)

La estructura tradicional de TI no tiene la capacidad de dar soporte al negocio

04

Fuente: KPMG, 2010


Uno los principales retos para los directores de IT durante los próximos años consistirá en reducir el gasto en TI y, al tiempo, garantizar un nivel de servicio similar.

Por otro lado, los últimos informes de KPMG ponen de manifi esto que, en muchas ocasiones, la inversión en TI no añade un valor tangible al negocio (aproximadamente el 30 por ciento) y muchos proyectos de TI no logran ajustarse a las limitaciones de tiempo y presupuestarias. Menos del 40 por ciento de los proyectos de TI pueden considerarse exitosos, es decir, que se han llevado a cabo cumpliendo los plazos, el presupuesto y los estándares de calidad.

En resumen, la estructura de TI tradicional cuesta más y aporta menos.

4.2 Rigidez

Para reducir el periodo de comercialización de nuevos productos, las empresas deben contar con recursos de TI fl exibles, escalables y disponibles de forma inmediata. Sin embargo, un alto número de organizaciones dependen completamente de los recursos locales de TI que se limitan al hardware, ancho de banda y personal existentes. En consecuencia, la estructura de TI tradicional es rara vez escalable y esta rigidez contrasta marcadamente con la agilidad que necesita el negocio.

Además de las limitaciones en la escalabilidad, la estructura de TI tradicional no resulta adecuada para conseguir que las nuevas aplicaciones estén disponibles de forma instantánea de acuerdo con las exigencias de negocio. La instalación de nuevas aplicaciones a menudo requiere meses e implica altos riesgos operativos y fi nancieros.

Los departamentos de TI deben adquirir hardware y software, crear diferentes entornos (desarrollo, prueba, aceptación, producción), implantar procedimientos, formar a sus profesionales de TI y nombrar gerentes de aplicaciones.

En resumen, la estructura de TI tradicional no es capaz de proporcionar la fl exibilidad y rapidez necesarias para recortar el periodo de comercialización de los productos.

4.3 Infraestructura obsoleta

Los productos y servicios de TI de consumo han experimentado una enorme evolución durante la pasada década. La explosión de smartphones, tabletas, nuevas aplicaciones web y redes sociales han permitido la utilización de TI a través de móviles, el intercambio de información y una colaboración nunca vista.

La estructura de TI tradicional no parece adecuada para los cambiantes hábitos informáticos de los consumidores. En general, está formada por componentes estáticos y heredados que nunca han sido diseñados para facilitar el uso a través de dispositivos móviles o para proporcionar plataformas de colaboración e intercambio.

Si bien la nueva generación de empleados está acostumbrada a las nuevas posibilidades que ofrece el área de TI en sus vidas privadas, la función de TI corporativa no cumple expectativas.

En resumen, la estructura de TI tradicional no se adapta a la innovación y la forma en que los consumidores utilizan la tecnología de la información.


5.1 Menos costesLos costes operativos de TI pueden reducirse en gran medida mediante la adopción de la informática en la nube, ya que las inversiones iniciales en este modelo (desembolsos de capital) son insignifi cantes en comparación con los costes de las implantaciones de recursos de TI a gran escala que resultan costosas y arriesgadas. En realidad, todas las instalaciones se producen en los servidores del proveedor y es éste el que asume los costes de gestión y mantenimiento. Además, se producen importantes ahorros en términos de hardware, salas de servidores, aire acondicionado y electricidad. Los costes transferidos a los clientes son relativamente bajos debido a las economías de escala de la mayoría de proveedores de servicios en nube, al uso efi ciente de recursos (compartidos) y a la centralización del conocimiento.

El cambio hacia la informática en la nube

El viejo paradigma de TI ya no cumple las expectativas, por tanto,

las organizaciones están abriéndose a otros conceptos. La

informática en la nube ofrece la solución ideal a esta situación;

permite que las organizaciones eliminen gradualmente

elementos de su estructura de TI, incluido el hardware y

software, recuperen el poder sobre su actividad principal y

controlen los costes.

La informática en la nube brinda soluciones

05


Con la informática en la nube, los costes sólo se aplican al uso del servicio de TI, ya que los recursos de TI siguen en posesión del proveedor. Aunque el pago por suscripción es lo más habitual, el sistema de pago Pay-as-you-go (PAYG - que se caracteriza por un sistema de pago según el consumo) es cada vez más habitual y permite que el cliente pague cada vez que utiliza el servicio. La ventaja de este último método es que sólo se paga por los servicios que realmente se usan y, por tanto, se evitan costes indirectos innecesarios.

5.2 Flexibilidad en la implantación La rápida implantación de los servicios de TI es un factor extremadamente importante de la informática en la nube. La naturaleza “bajo pedido” de la nube permite que los usuarios puedan implantar rápidamente las aplicaciones.

La complejidad de la estructura de TI ya no es un problema para las empresas, ya que es propiedad de los proveedores de servicios en nube, que también se encargan de su gestión y mantenimiento. En lugar de crear y gestionar una función de TI interna, los servicios de TI se prestan a través de Internet, de un modo parecido al suministro de electricidad desde las plantas de energía eléctrica. Los servicios de correo electrónico en nube como Gmail y Hotmail son ejemplos muy conocidos y positivos de esta tendencia.

Además, utilizar Internet como infraestructura de red básica para los servicios implica que los usuarios puedan acceder a aplicaciones y datos a través de diversos dispositivos desde multitud de puntos de acceso de todo el mundo. Este hecho puede potenciar la productividad, mejorar la colaboración y enriquecer la experiencia de los usuarios.

5.3 Escalabilidad instantáneaLa informática en la nube también ofrece la ventaja de poder ajustar el uso de los recursos de TI en dirección ascendente o descendente, mejorando de esta forma la escalabilidad de la estructura de TI. Esto es posible gracias a la enorme escala de proveedores principales de servicios en nube cuya capacidad de TI supera la de organizaciones de clientes individuales.

Mediante el uso de las tecnologías, como los distintos tipos de virtualización y balanceos de carga, los sistemas de informática en la nube pueden ampliarse o reducirse fácilmente. A esto hay que añadir los modelos de pago habituales (PAYG o suscripción), mediante los que los clientes sólo pagan en función del uso, y la capacidad de TI necesaria siempre está disponible. En contraste con la estructura de TI tradicional, la capacidad de una estructura de TI en la nube nunca es en teoría escasa ni está inactiva.

Fuente: KPMG, 2010

La escalabilidad de la informática en la nube

Req

uer

imie

nto

de

alm

acen

amie

nto

Tiempo

On-premise*Pérdida de oportunidades

Recursos no utilizados

Req

uer

imie

nto

de

alm

acen

amie

nto

Tiempo

En nube

* Sistema tradicional mediante el que la empresa se encarga de la instalación, gestión, actualización y mantenimiento del software



En perspectiva

6.1 Carencia de importancia de la nubeSegún la OCDE y las cifras de KPMG, la cuota actual de la informática en la nube es insignifi cante en términos del gasto total en TI de las organizaciones (se sitúa entre el dos y el cuatro por ciento a nivel global). El principal distribuidor es Estados Unidos (60 por ciento) y el resto del mundo, incluido Europa, se sitúan muy por detrás. Las aplicaciones de informática en la nube son muy populares en nuestras vidas privadas, como Facebook y Gmail, pero la adopción por parte de las empresas todavía no se ha producido. En concreto, las preocupaciones sobre el nivel de seguridad y cumplimiento normativo son los principales obstáculos de cara a la consecución de dicho objetivo.

A pesar del continuo desarrollo de la informática en la nube, el catálogo de servicios en nube está relativamente limitado a servicios ya consolidados como el correo electrónico, aplicaciones de ofi cina, CRM y almacenamiento de datos. En la actualidad, la nube ofrece aplicaciones de negocio integradas y prácticamente exentas de complejidades.

A pesar de la popularidad de la informática en la nube, su cuota de

mercado sigue siendo baja. Sólo un pequeño porcentaje de los

presupuestos de TI generales se invierten en servicios en nube.

Mientras tanto, el crecimiento de la informática en la nube es

demasiado grande como para obviarlo y las inversiones realizadas

por los principales agentes tecnológicos son demasiado elevadas

como para ignorarlas.

La importancia de los servicios en la nube en un entorno de TI híbrido seguirá aumentando durante los próximos cinco años.

06

Fuente: KPMG, 2011

TI On-premise

Centro de servicios compartidos

Alojamiento web

Externalización

Informáticala nube

Baja

Alta

AltaComercialización

Cent

raliz

ació

n

Cambio de paradigma


Los sistemas integrados de gestión (ERP) y los sistemas de facturación a medida sólo se realizan en nube en casos aislados. En general, se instalan de forma local según el método tradicional, al menos por el momento.

6.2 Importancia de la nube No debería subestimarse la informática en la nube. Según las estimaciones de mercado de los principales analistas, el crecimiento de los servicios comerciales en nube se situará entre el 20 y el 30 por ciento anual durante el periodo 2010 - 2015, pese a (o tal vez gracias a) la frágil situación económica. A pesar de que la cuota de mercado actual de la informática en la nube es insignifi cante, en 2015 será considerable.

Por otro lado, el progreso hacia la centralización y comercialización de servicios de TI es un proceso constante desde que cambiamos de milenio. La centralización mejora la efi ciencia mediante la aplicación de economías de escala e intercambio de recursos. La prestación centralizada de servicios también permite gestionar con mayor efi cacia la volatilidad en la demanda.

La comercialización mediante el uso de servicios estandarizados en lugar de soluciones a medida implica menores costes y menos tiempo, ya que los sistemas “llave en mano” son más sencillos de implantar. Partiendo de unas estructuras de TI instaladas y gestionadas localmente, las organizaciones optan por establecer centros de servicios compartidos a menudo en combinación con la armonización de su cartera de TI. Después, empiezan a utilizar aplicaciones de alojamiento web en plataformas externas y empiezan a externalizar/deslocalizar los

departamentos de TI a países de bajo coste. A este respecto, la informática en la nube es la siguiente fase del proceso y parte del cambio de paradigma en el área de TI, es decir, del cambio de una estructura tradicional a la prestación centralizada de servicios y el uso compartido de recursos de TI.

Los principales agentes del sector de TI están de acuerdo con esta tendencia. Si bien los pioneros ya consolidados de informática en la nube (los más conocidos son Google, Salesforce.com y Amazon) están expandiendo continuamente sus carteras de servicios, casi todos los principales proveedores de TI están realizando grandes inversiones en servicios en nube para satisfacer una demanda aparentemente en crecimiento. Incluso los gigantes (o quizás mastodontes) de TI tradicionales (como Microsoft, IBM, HP y Oracle) están ofreciendo servicios en nube, a veces en colaboración con otros proveedores de software e integradores de TI que no quieren “perder el tren”.

Serán necesarios al menos cinco años para que la informática en la nube se convierta en la norma de facto para la mayoría de los servicios de TI, aunque este proceso ya ha comenzado.

6.3 El entorno híbrido como nuevo paradigmaLa mayoría de las organizaciones se adaptarán a un entorno híbrido dada la actual posición secundaria que ocupa la informática en la nube y la tendencia hacia la centralización y comercialización de TI, Sólo un número relativamente reducido de organizaciones mantendrá una infraestructura de TI totalmente tradicional, ignorando o infravalorando la informática en la nube. Por otro lado, no existe ningún argumento empresarial que sostenga que la gran mayoría de organizaciones vayan a adoptar próximamente y a gran escala la informática en la nube. Durante los próximos cinco años prevalecerá un entorno híbrido, una mezcla de elementos de TI tradicionales y externalizados caracterizado por el creciente uso de servicios en nube. Para la gran mayoría, la estructura de TI será instalada y gestionada localmente bien por unidades internas, bien por un proveedor de servicios de TI.

Sin embargo, una parte cada vez mayor de la función de TI dependerá de recursos externos, en concreto de la informática en la nube.

Este cambio de paradigma no constituirá una transición repentina del viejo paradigma de TI local tradicional a la informática en la nube, y tampoco supondrá el fi n de todas las defi ciencias del viejo paradigma. El futuro modelo de TI será un entorno híbrido que ofrecerá un enorme potencial a las organizaciones, así como una serie de consideraciones, que se comentan en el siguiente capítulo.

La informática en la nube comparte determinadas características con el alojamiento web y la externalización desde el punto de vista de los encargados de la toma de decisiones. Los tres modelos implican en cierto grado de uso de recursos de TI compartidos de proveedores externos. En realidad, los límites entre el alojamiento web, la externalización y la informática en la nube son a menudo casi imperceptibles o coincidentes. A menudo, los proveedores presentan sus soluciones de alojamiento web a través de una nube “privada” mientras que la informática en la nube puede percibirse como una forma radical de externalización. Si bien la externalización implica desplazar recursos de TI

internos a una parte externa, la informática en la nube implica la eliminación gradual de los recursos de TI internos y la utilización de los recursos del proveedor en su lugar.

La defi nición específi ca de estos modelos no resulta importante siempre y cuando se puedan determinar los siguientes aspectos de negocio de forma adecuada: la exclusividad de la prestación de servicios de TI, la asignación de la gestión de recursos de TI y la propiedad del software y hardware. La medida en que se adopten estos aspectos determinará los potenciales benefi cios y riesgos del sistema.

Prestación del servicio

Dedicada Compartida

IT On-premise Centrode servicioscompartidos

Alojamientoweb

Externalización Informática enla nube

Gestión derecursos de TI

ExternaInterna

Propiedad de los activos

ProveedorCliente

Alojamiento web, externalización e informática en la nube

Aspectos de negocio


Fuente: KPMG, 2011


Consideraciones

Dado que toda oportunidad conlleva un riesgo,

las organizaciones deben ser conscientes de los

riesgos que entraña operar en un entorno de TI

híbrido y, en concreto, el uso de la informática en

la nube. La seguridad y el cumplimiento normativo

son factores extremadamente importantes ya

que las normas sobre gestión de riesgos se han

intensifi cado en gran medida durante los últimos

años y su cumplimiento puede resultar difícil

en un entorno híbrido. Además, dado que las

organizaciones dependen intrínsecamente de los

controles que aplican sus proveedores en materia

de información y supervisión del cumplimiento,

los encargados de la toma de decisiones tendrán

que abordar los distintos contratos, las distintas

cuestiones de integración y un sector de TI en

constante cambio.

La gestión de múltiples conceptos relacionados con datos, contratos y tecnología puede constituir una ardua tarea para las organizaciones.

07

7.1 Dependencia de la nubeCada vez más componentes de TI se trasladan a instalaciones externas, de tal forma que las organizaciones dependerán cada vez más de sus proveedores. Muchas entidades creen que está todo controlado, pero en la práctica la mayoría tienen algún problema a este respecto.


Por otro lado, el nivel de confi anza entre las organizaciones y sus proveedores de servicios de TI sigue situándose en unos niveles relativamente bajos en comparación, por ejemplo, con las instituciones fi nancieras (a pesar de la crisis de crédito. Una actitud está totalmente justifi cada, sobre todo en lo que respecta a la informática en la nube.

La informática en la nube no está exenta de peligros, aunque el número de incidentes importantes relacionados con servicios en nube fue relativamente reducido en 2010 si tenemos en cuenta el número de clientes. Todas las ‘Big Four’ de proveedores de servicios en nube (Google, Salesforce.com, Amazon y Microsoft) han tenido que solucionar diversas vulnerabilidades de sus productos en las que comprometían, hasta cierto punto, los datos de los clientes. Las consecuencias de la pérdida, fi ltración o vulnerabilidad de datos ubicados en las instalaciones de los proveedores pueden resultar desastrosas para el negocio. Es importante destacar que la protección de los datos del cliente depende en gran medida del proveedor de servicios en nube.

Otro aspecto de dependencia es el temido cliente cautivo del proveedor (vendor lock-in). Dado el limitado, aunque creciente, número de proveedores de servicios en nube y a la escasez de estándares (abiertos, intercambiables) para la interoperabilidad de proveedores, puede resultar extremadamente difícil cambiar de proveedor o migrar de nuevo a una estructura de TI instalada

localmente. Este problema podría verse agravado por la incapacidad por parte del proveedor de dar soporte a la extracción de datos en formatos abiertos tras la rescisión del servicio. Esto implicaría que los datos sólo son adecuados para una aplicación o proveedor específi co.

Este tipo de dependencia incluye circunstancias imprevistas como quiebras, litigios, investigaciones de los organismos reguladores o cualquier otro acto de difamación por parte del proveedor que pudiera dañar signifi cativamente el negocio de una organización. Además, la suspensión de los servicios, los cambios en los niveles de servicio o en el enfoque por modifi caciones de la estrategia de fusiones o adquisiciones por parte

del proveedor, también podrían tener efectos no deseados.

La dependencia de Internet puede también afectar a la fi abilidad y funcionamiento del servicio (algo que está fuera del control del cliente y del proveedor). Aunque las líneas dedicadas y las redes privadas pueden utilizarse para la informática en la nube, su principal infraestructura es Internet y, dado que la propiedad y responsabilidad de Internet no están claras para la mayoría, garantizar las obligaciones contractuales con proveedores de red y partes responsables que permitan la conectividad a Internet es prácticamente imposible y muy complicado desde el punto de vista legal.

El perfi l de riesgo de la nube

Han de tenerse en cuenta los riesgos de la informática en la nube. Por un lado, la informática en la nube se basa principalmente en tecnologías existentes, como la virtualización, segregación de datos y servicios web y dichas tecnologías conllevan riesgos (a pesar de que los controles y medidas de mitigación de los riesgos de TI actuales son en gran medida responsabilidad del proveedor, ya que éste posee y gestiona los recursos de TI en la nube). Por otro lado, la informática en la nube tiene unas características que afectan de forma considerable al perfi l de riesgo en comparación con la estructura de TI local tradicional. Estas características son:

• Almacenamiento y procesamiento de datos externos;

• El intercambio de recursos de TI con otros clientes (Multi-tenancy);

• Dependencia en Internet

Función de TI tradicional Informática en la nube

Ubicación del almacenamiento de datos y activos de TI

Dentro del dominio seguro (interno) de la organización del cliente

Fuera del dominio de seguridad interno de la organización del cliente; alojado/ubicado en un proveedor de servicios en nube o distribuido/repartido entre múltiples proveedores (externos)

Utilización de recursos (de TI) Exclusiva para el cliente Diversos grados de multi-tenancy

Infraestructura principal para la transferencia de datos

LAN, líneas dedicadas Internet

Fuente: KPMG, 2011

Almacenamiento y procesamiento de datos

On-premise Off-premise

TI On-premise Centro de servicioscompartidos

Alojamientoweb

Externalización Informáticaen la nube

Acceso y autorización

Multi-tenancy (acceso simultáneo de múltiples

usuarios a una única aplicación)

Single-tenancy (acceso de un único usuario a una única aplicación)

Infraestructurade red principal

InternetLAN(Red de área local)

Consideraciones



7.2 Complejidad del entorno híbridoComo indica su nombre, el entorno híbrido cubre múltiples conceptos relativos a la gestión de datos, contratos y tecnología. La gestión de estos aspectos puede suponer una ardua tarea para las organizaciones.

La gestión de datos es importante para evitar interrupciones en el negocio. La complejidad de la gestión de datos en entornos híbridos se debe principalmente al procesamiento y almacenamiento de datos en diferentes ubicaciones físicas. Los datos se distribuyen o reparten entre diversas ubicaciones de los proveedores, además de in situ, lo que conlleva retos en materia de seguridad y privacidad. Es sumamente

complicado implantar medidas y procesos de control integrados para la gestión de datos en diversas infraestructuras que, a menudo, son incompatibles.

Una segregación de datos insufi ciente y el aislamiento de los procesos pueden provocar la contaminación de datos o el incumplimiento de los acuerdos en materia de confi dencialidad, si bien la falta de controles de identidad y acceso puede causar que se acceda de forma ilegítima a datos sensibles. En el caso de grandes empresas que deben cumplir regulaciones concretas, contar con medidas inadecuadas en relación con la gestión de datos también podría

provocar una situación de incumplimiento regulatorio.

Además, el almacenamiento de datos fuera del perímetro de la organización podría provocar problemas de privacidad. Por ejemplo, en el Espacio Económico Europeo las normas son aplicables en lo relativo al procesamiento de datos personales. Todo el que manipule datos personales debe cumplir estas normas, independientemente de cómo y dónde se procesan realmente los datos. En pocas palabras, el cliente que utilice los servicios en nube seguirá siendo responsable de sus datos. Esto supone un riesgo para el cliente, ya que en los escenarios en nube en determinadas ocasiones no queda claro dónde y cuándo se están procesando los datos, cómo se transfi eren y quién tiene acceso a dichos datos. Además, este problema se ve acrecentado por la presencia internacional de proveedores de servicios en nube.

Dado el aumento de servicios en nube que pueden adquirirse y proporcionarse en todo el planeta, las organizaciones tendrán además contratos con proveedores de diferentes jurisdicciones.


Diferentes jurisdicciones implican diferentes legislaciones, normas y procedimientos. Las regulaciones aplicables a ubicaciones geográfi cas concretas no son compatibles con los servicios de informática en la nube internacionales. En consecuencia, la ubicación de los datos en diversas jurisdicciones puede estar reñida con las legislaciones locales aplicables al cliente.

En lo que respecta a la integración técnica, la integración de controles de acceso y la autorización constituyen los mayores retos a los que deben enfrentarse las organizaciones.

Las distintas ventajas de la autenticación, sobre todo cuando la autenticación del servicio en nube es menos estricta que los requerimientos del cliente, pueden provocar defi ciencias en el entorno de TI provocando que se comprometa la

integridad y confi dencialidad de los datos. En la mayoría de organizaciones grandes, los procesos de autorización para acceder a recursos de TI internos son complejos y tienen margen de mejora. Con frecuencia, las autorizaciones para cambios de rol/función dentro de la organización incluyen nuevos permisos pero sin eliminar los antiguos, lo que conlleva que existan demasiados permisos y un posible incumplimiento de las obligaciones de segregación de funciones. Esta complejidad se ve agravada por los servicios en nube que utilizan procedimientos distintos y otras tecnologías para facilitar estos procesos.

7.3 SeguridadLos entornos híbridos tienen consecuencias de gran alcance en el grado de seguridad, sobre todo en lo referente a estados fi nancieros. Para conseguir un entorno seguro, es

fundamental que los proveedores actúen con transparencia en lo relativo a datos y gestión de la seguridad física y lógica. Sin embargo, en la práctica los marcos de seguridad resultan a menudo inadecuados.

Este hecho supone principalmente un problema para la organización del cliente, ya que la normativa en materia de protección de datos establece que el cliente tiene la obligación legal de validar las medidas implantadas por el proveedor de servicios. Por tanto, cuando se utilicen servicios alojados externamente como informática en la nube, es responsabilidad del cliente saber qué se externaliza, a quién y dónde se procesan y ubican los datos.

La norma SAS70 (ahora ISAE 3402) y otros certifi cados parecen ofrecer una solución a este problema, pero sólo una minoría de los proveedores contrata a Compañías independientes para realizar auditorías externas con regularidad.

Además, los controles de TI seleccionados se basan a menudo en la estructura de un único usuario y no en la característica de múltiples usuarios (multi-tenancy) de los servicios en nube. Muchos de los controles necesarios para garantizar la segregación y la utilización de recursos de diversos clientes no se seleccionan y, por tanto, apenas se auditan. Se están formulando nuevas iniciativas de control en materia de TI, pero ninguna termina de implantarse en el mercado. Además, Internet, que es la principal infraestructura de la informática en la nube, es enormemente difícil de auditar y supervisar, ya que la responsabilidad en torno al tráfi co de Internet es difícil de asignar y mucho más de imponer. En consecuencia, la gestión con múltiples proveedores, la naturaleza de “caja negra” de la informática en la nube e Internet no suelen ser una buena combinación para los sectores estrictamente controlados.

Cabe destacar que la norma SAS70, que se utiliza globalmente para auditar las actividades que afectan a los estados fi nancieros, ha sido reemplazada en junio de 2011 por la norma ISAE3402. Esta nueva norma establece una base internacional con el apoyo de la IFAC (Federación Internacional de Contadores) y el ASB (Auditing Standards Board) de Estados Unidos, además también es aplicable a los controles externalizados relativos a los estados fi nancieros.



Orquestación

Sistemas de selección deargumentos

pempresariales

Gestión de riesgos

Reducciónde riesgos

Beneficiosde optimizar

la gestión

8.1 Argumento empresarialPara hacer uso de la informática en la nube, es fundamental contar con un argumento empresarial sólido. Las organizaciones deberían crear un argumento empresarial basado en cómo utilizar las distintas tecnologías y modelos. Determinados elementos del entorno de TI deberían dejarse tal como están, mientras que otros podrían llevarse a cabo en la nube. El ciclo de vida y la amortización de los activos de TI existentes también deberían valorarse y evaluarse.

La idoneidad de la informática en la nube depende en gran medida de las necesidades de negocio de la organización. En la práctica, los servicios personalizados y complejos son mucho menos comunes en la nube que los servicios básicos, como el correo electrónico y el almacenamiento. Además, es poco probable que la información altamente confi dencial y sensible se mueva a la nube en el futuro próximo.

Se recomienda enérgicamente realizar una estrecha supervisión del mercado. Los cambios se producen a un ritmo vertiginoso y cada uno plantea nuevas oportunidades e inconvenientes.

Un paso adelante: orquestación

Orquestación

Para obtener los benefi cios del nuevo paradigma de TI, las

organizaciones deberán controlar el entorno híbrido. La

capacidad para defi nir argumentos empresariales, analizar y

reducir riesgos y gestionar servicios de TI es la clave del éxito. La

combinación de estos elementos es lo que llamamos en este

informe orquestación.

Fuente: KPMG, 2011

Un entorno híbrido es clave para el éxito.

08

El gobierno de los Países Bajos encargó a KPMG un análisis de las posibilidades de la informática en la nube en su estrategia. El objetivo de este proyecto consistía en identifi car qué parte de la función de TI del gobierno de los Países Bajos podría trasladarse a la nube y qué tipos de ofertas de informática en la nube eran viables.

Según la información recabada durante los talleres y las reuniones de expertos, KPMG determinó que la informática en la nube sólo era adecuada para un subgrupo de TI compuesto por los que cumplen las siguientes condiciones:

• No poseen datos altamente confi denciales: este tipo de datos no puede trasladarse a dominios externos por razones de seguridad, privacidad y políticas.

• No forman parte de sistemas heredados: la migración o transformación de los sistemas heredados a gran escala con funcionalidades específi cas requiere demasiado trabajo e implica un riesgo demasiado grande.

• No se han adquirido recientemente: los sistemas que se encuentren en la fase inicial de su ciclo de vida no son adecuados desde el punto de vista fi nanciero dado el largo periodo de amortización.

• Cuentan con un número limitado de conexiones con otros sistemas: dado que es necesario concretar los estándares necesarios para interconectar los distintos sistemas entre la nube y el sistema on-

premise, se pueden excluir los sistemas complejos.

Asimismo, KPMG determinó que sólo era viable una nube privada interna para una parte limitada de los sistemas de TI porque el resto requerían un alto nivel de inversión, unos conocimientos especializados necesarios y apenas aportaban ningún benefi cio.

Aunque el suministro de servicios en nube se incrementará y se diversifi cará con el paso del tiempo, los servicios probados y maduros del mercado de informática en la nube externa se limitan principalmente a correo electrónico, aplicaciones de ofi cina, CRM, colaboración, plataformas de desarrollo de aplicaciones, almacenamiento de datos y capacidad de infraestructuras/servidor.

La estrategia de informática en la nube del gobierno de los Países Bajos

Servicios en nube maduros no disponibles

Datos altamente confidenciales

- Nube privada externa-Nube pública

Nube privada interna

Adecuado para la nube

Sistemas complejos

Sistemas recientemente adquiridos

Sistemas heredados

Informática en la nubeTI del gobierno de los Países Bajos

Método de análisis de nube de KPMG

Fuente: KPMG, 2010

Caso práctico 1:



Un banco internacional encargó a KPMG un análisis de oportunidad con el objetivo de identifi car las áreas del entorno de aplicaciones de la entidad bancaria que podrían trasladarse a la nube.

Dada la naturaleza excepcionalmente valiosa y confi dencial de los datos bancarios, la entidad bancaria exigió un alto nivel de seguridad y control en relación con sus sistemas de TI, por tanto se requería el cumplimiento de las regulaciones y normativas aplicables, tales como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)

Durante las dos sesiones, KPMG y los representantes de la entidad bancaria (altos representantes de negocio, directores de TI, arquitectos de TI, directores de seguridad, y gerentes de auditoría y riesgos):

• Acordaron la defi nición factible e uniforme de la informática en la nube dentro de la organización.

• Acordaron el alcance de las aplicaciones del banco.

• Seleccionaron los servicios en nube: defi nieron y describieron de forma escueta los proveedores de servicios en nube y sus soluciones. Los requisitos previos fueron:

- Una probada trayectoria en organizaciones fi nancieras;

- Datos almacenados en la UE;

- El certifi cado ISO27001.

• Desarrollaron un argumento empresarial: posibles benefi cios de las soluciones seleccionadas.

• Desarrollaron una valoración de riesgos: posibles riesgos, medidas de mitigación y riesgos residuales.

• Analizaron las oportunidades: áreas adecuadas para la informática en la nube.

Sólo una parte de las aplicaciones de la entidad bancaria eran adecuadas para la nube. Las principales restricciones fueron el reducido número de proveedores con una probada trayectoria, el riesgo de dependencia en los proveedores y la confi dencialidad de los datos de la entidad bancaria.

Análisis de una oportunidad de informática en la nube para un banco internacional

Plataformade desarrollo

Portales

Oficina

Correoelectrónico

RR.HH.Finanzas

Inteligenciade negocio

DMS (sistema de gestión de documentos)Emisión de

facturas

IntranetBPM (gestión de

procesos de negocio)

Sólo bajo condiciones particularmente estrictas

Aplicaciones básicasAplicaciones de procesos primarios

Dat

os d

omin

io p

úblic

oD

atos

con

fiden

cial

es

A largo plazo Adecuado

Inadecuado

ESB (bus de servicios empresariales)

CRM (gestión de relaciones con clientes)

ERP (planificación de recursos empresariales)


Fuente: KPMG, 2010

Caso práctico 2:

Análisis de oportunidades de informática en la nube de KPMG


8.2 Gestión de riesgosLa gestión de riesgos es un elemento esencial del entorno híbrido. Además de las actividades de gestión de riesgos “tradicionales”, se debería prestar especial atención a las medidas dirigidas a la reducción de los riesgos derivados de una excesiva dependencia en los proveedores, la complejidad de procesos y tecnología y la seguridad.

En cuanto a la dependencia en los proveedores y sus productos, se aconseja que se realice una valoración de riesgos en una fase inicial. Se debe evaluar y verifi car la trayectoria del proveedor, su integridad y su situación fi nanciera/de mercado. De cara a la implantación de la informática en la nube, los encargados de la toma de decisiones deben tener en cuenta que este mercado se encuentra en fase de desarrollo y que las migraciones a gran escala a la nube y el conocimiento relativo a este tema son escasos.

En cualquier caso, el cliente debe preparar una estrategia de salida/migración.

En cuanto a la complejidad de los procesos y la tecnología, se debe identifi car el ecosistema en su totalidad, incluidas las diversas relaciones existentes entre los componentes del entorno híbrido. Los servicios en nube están frecuentemente formados por muchas partes ubicadas en diversos emplazamientos, bajo distintas

condiciones y sujetas a diferentes legislaciones. Resulta esencial identifi car el ecosistema en su conjunto y obtener las sufi cientes garantías.

Se recomienda contar con el derecho a auditar todos los servicios off-premise, aunque la realidad es que los grandes proveedores de servicios en nube aceptan pocas solicitudes de auditoría. Además, muchos auditores no cuentan con el conocimiento técnico y la experiencia necesaria para auditar la arquitectura de la nube. En consecuencia, muchas organizaciones se ven obligadas a fi arse de la transparencia del proveedor mediante informes y certifi cados. Se aconseja utilizar esta segunda opción en la medida de lo posible.

La informática en la nube cuenta con diversas características concretas que afectan de forma signifi cativa al perfi l de riesgos, como el almacenamiento y procesamiento de datos externos, el intercambio de recursos de TI con otros clientes (multi-tenancy) y la dependencia en Internet. Estas características conllevan importantes riesgos en muchos ámbitos, como en los propios datos, la seguridad, la privacidad, el cumplimiento y las fi nanzas. Por tanto, se deberían evaluar los riesgos de todos estos ámbitos, se deberían defi nir las medidas de mitigación y se deberían asignar responsabilidades.


Se encargó a KPMG la evaluación de los riesgos a los que se enfrentaba una organización que ya utilizaba servicios en nube. Las unidades de TI y seguridad no se incluyeron en el proceso de compra, lo que complicó las posibles medidas de mitigación.

En el caso de esta organización, identifi camos las siguientes cuatro características relevantes de servicios en nube que implicaban riesgos:

• El almacenamiento de datos externo;

• La arquitectura del tipo multi-tenancy;

• El uso de Internet;

• La integración con el entorno de TI interno.

Estas cuatro características se encontraban en diversas dimensiones de riesgo.

Los principales riesgos relacionados con la integración del entorno de TI interno, y más específi camente con la autenticación y autorización de usuarios de negocio.

En primer lugar, la autenticación de la organización del cliente (factor 3) era más sólida que la autenticación del proveedor de servicios en nube (factor 2).

Esta situación provocó unas defi ciencias no deseadas en el entorno de TI con el resultado de que la integridad y confi dencialidad de los datos (fi nancieros) podrían resultar dañadas.

En segundo lugar, los procesos de gestión (crear, modifi car y desactivar/borrar cuentas) y autorización de usuarios (quién o qué funciones tienen qué tipo de permiso para qué tipo de datos) a los recursos de TI internos no podrían integrarse con los procesos del proveedor de servicios en nube. Por tanto, esta situación de dos dominios separados incrementa el riesgo de mayores complejidades, costes adicionales y gestión.

Caso práctico 3:

KPMG’s risk dimensions model


Financiero

Seguridad y privacidad

Operativo

Tecnología

Regulatorio y Cumplimiento

Proveedor

RIESGOS DE NEGOCIO

Source: KPMG in the US, 2010

Una valoración de riesgos relativos a la informática en la nube para una organización enmarcada en el sector de mercados industriales


8.3 Gobierno corporativoEl gobierno corporativo aúna la gestión de múltiples proveedores de servicios, control de la demanda/compra y la integración de procesos y tecnología. Si se consigue un gobierno corporativo óptimo del entorno híbrido, aumentará la efi cacia del área de TI del cliente.

La gestión de múltiples proveedores de servicios incluye elementos similares a los de una estructura de TI tradicional. No obstante, se hace mayor hincapié en la gestión de proveedores, el soporte legal, la supervisión del cumplimiento y la integración. Los principales componentes del gobierno corporativo se describen a continuación.

Cualquier persona de la organización puede adquirir bajo pedido los servicios de la informática en la nube sin el conocimiento de los departamentos de riesgo/auditoría y de TI. En consecuencia, podría producirse un exceso o una duplicación de aplicaciones. Para evitarlo, se debería crear una política sobre la informática en la nube para controlar la compra de este tipo de servicios y fomentar el uso

correcto de la nube. Asimismo, esta política debería incluir condiciones, compromisos, requerimientos de nivel de servicio, condiciones entre proveedor y cliente y procedimientos relativos al cumplimiento de la política.

Defi nir la arquitectura para garantizar la adecuada interoperabilidad entre las distintas tecnologías y distintos modelos de servicio es un paso importante y asegura la alineación con la estrategia de la organización. En general, contar con una arquitectura uniforme supera las ventajas que se pueden obtener de utilizar diversos modelos. Entender la arquitectura de diversos servicios y sus relaciones es sumamente importante al implantar los servicios. A este respecto, se recomienda prestar especial atención a la Gestión de identidad y acceso (IAM por sus siglas en inglés) y la integración de fl ujos de trabajo, ya que con frecuencia presentan difi cultades técnicas en la práctica.

Gestión de proveedores

Gestión de contraltos

Gestión del nivel de servicio Soporte legal

Gestión del riesgo empresarial

Supervisióndel cumplimento

Gestión de la demanda

Gestión de cartera de servicios

Gestión de Identidad y Acceso

Integraciónde servicios

Integracióntécnica

Gestión de la seguridad

Source: KPMG in the Netherlands, 2010

Governance

El impacto de la informática en la nube conlleva cuestiones fi scales en el país del proveedor de servicios y también en el del cliente. En general, existen tres aspectos fi scales que han de tenerse en cuenta de forma exhaustiva:

El primero es el hecho de que se puede producir una cuestión en torno al establecimiento permanente si un proveedor de servicios de informática en la nube tiene un servidor en otro país. En tales casos, las autoridades fi scales del otro país podrían opinar, desde un punto de vista fi scal, que el servidor crea un establecimiento permanente local y que esa parte de los benefi cios relacionados son gravables en su país.

El segundo guarda relación con el IVA. A efectos de IVA, un proveedor de servicios de informática en la nube podría estar obligado a registrarse en los países en los que se ubican sus clientes y podría estar sujeto al IVA local.

El tercer punto a tener cuenta es el establecimiento de servicios de informática en la nube. Bajo determinadas circunstancias, las autoridades fi scales podrían adoptar la posición de que los servicios de informática en la nube prestados a un cliente están sujetos a las retenciones locales.

Es de vital importancia que la estructura se establezca correctamente y que los procesos se supervisen de forma continua para minimizar las exposiciones y riesgos fi scales. Para esto se debe contar con un proceso integrado y con un marco de control.

A través de la planifi cación y estructuración, existen oportunidades para diseñar estructuras efi cientes desde el punto de vista fi scal cuando las circunstancias sean propicias.

La informática en la nube y las cuestiones fi scales – cómo minimizar el riesgo


32 | Orquestando el nuevo paradigma 32 | Orquestando el nuevo paradigma


9 Mensaje principalLas organizaciones han de hacer frente a importantes retos tras la crisis fi nanciera. Los principales retos de los encargados de la toma de decisiones son recortar costes, acelerar la comercialización y aumentar la innovación en un entorno de negocio cada vez más competitivo. En este contexto, ¿en qué medida aporta valor la función de TI? La realidad es que la función de TI tiene unos costes demasiado elevados sin añadir el valor sufi ciente y, además, en ocasiones, puede obstaculizar el proceso de innovación.

En la actualidad se está produciendo un cambio de paradigma en la función de TI: la transición de una función local a aplicaciones en Internet. La informática en la nube responde a los intereses de los negocios proporcionándoles servicios a costes menores, permitiendo una implantación más rápida de las aplicaciones y facilitando la innovación. No obstante, la cuota en el mercado de TI de la informática en la nube es insignifi cante y la cartera de servicios, limitada. Y aún así, el crecimiento de la informática en la nube es sólido, de acuerdo con las altas expectativas del sector.

Sin embargo, estamos presenciando un nuevo paradigma y este cambio constituirá una transición repentina del viejo paradigma de TI local tradicional a la informática en la nube pero no supondrá el fi n de todas las defi ciencias del viejo paradigma.

El nuevo paradigma de TI será un entorno híbrido entre los servicios tradicionales, los denominados on-premise y los servicios en la nube, al menos por el momento (2011 - 2015) y ofrecerá oportunidades a las organizaciones, como rentabilidad, fl exibilidad y rapidez, así como otros puntos concretos a tener en cuenta.

La orquestación del entorno híbrido será un factor clave de éxito y debe contar con la capacidad de defi nir argumentos empresariales, gestionar múltiples proveedores de servicios,

controlar la demanda/compras e integrar los procesos y la tecnología.

La organización óptima de un entorno híbrido potenciará la efi cacia den el área de TI del cliente y permitirá que las entidades puedan hacer frente a los retos del futuro en un mercado en continuo proceso de cambio.

Las organizaciones se enfrentan a retos como recortar costes, acelerar la comercialización y aumentar la innovación

La TI tradicional no puede dar el soporte necesario al negocio

Parece que la informática en la nube ofrece soluciones

La informática en la nube está emergiendo pero todavía es un fenómeno marginal

Para el periodo 2011 – 2015, el modelo predominante será el entorno híbrido

El entorno híbrido alberga oportunidades y riesgos

La orquestación del entorno híbrido es un factor clave de éxito

Mensaje principal

Fuente: KPMG, 2011

Appendix



Información complementaria sobre la informática en la nubeSi buscamos el término en un motor de búsqueda de Internet aparecen múltiples defi niciones, descripciones y opiniones sobre la informática en la nube. Algunos hablan de

“aplicaciones en Internet” o “un estilo computacional en que TI proporciona capacidades escalables y fl exibles como servicios a clientes externos a través del uso de tecnología de Internet’, mientras otros lo califi can en términos tales como “el mismo perro con distinto collar”. Obviamente, no hay consenso y sí mucha confusión en cuanto a lo que realmente es la informática en la nube.

En términos sencillos, la informática en la nube es la prestación de servicios de TI a partir de recursos compartidos en Internet. A menudo Internet se describe como una nube, de ahí la expresión “informática en la nube”. Entre los ejemplos más famosos de aplicaciones de informática en la nube se encuentran Gmail, Google Apps, Hotmail y Apple MobileMe.

La razón por la que este concepto en apariencia sencillo es explicado de formas tan dispares por proveedores de TI, analistas y académicos responde principalmente al hecho de que la informática en la nube es una combinación de importantes elementos tecnológicos y empresariales.

Anexo A

“La informática en la nube es un conjunto de aplicaciones y plataformas alojadas en un servidor, basadas en infraestructuras compartidas y prestadas través de un navegador web.” Responsable del sector en Google Enterprise

TI tradicional on-premise frente a la informática en la nube

Fuente: KPMG, 2010

Local

Customer

Usuarios

Suscripción PAYG

Hardware, Software + datos

Licencias y costes de soporte

Informática en la nube

Customer

Usuarios

Hardware, Software + datos

ProveedorProveedor

Internet

Servicios de TI Servicios de TI


Desde el punto de vista tecnológico, la informática en la nube se basa en tecnologías ya existentes tales como virtualización, servicios web, memorias caché de datos compartidos y sistemas informáticos grid. Dado que los proveedores de servicios de aplicación (ASP por sus siglas en ingles) han proporcionando aplicaciones de TI a través de Internet durante más de una década, la informática en la nube puede describirse de hecho como “el mismo perro con distinto collar”.

No obstante, la prestación comercial de servicios de TI en Internet a gran escala a través de grupos compartidos de recursos de TI es económicamente viable tras tres desarrollos relativamente recientes. En primer lugar, las tecnologías antes mencionadas, de las cuales la virtualización y los servicios web son los más importantes, han sido mejoradas, estandarizadas y ampliamente aplicadas durante los últimos cinco años. En segundo lugar, las redes de banda ancha pública son abundantes y fácilmente accesibles a un coste razonable. En tercer lugar, determinados proveedores han ampliado enormemente la magnitud de sus recursos, convirtiéndolos en los principales agentes del mercado de informática en la nube actual.

El principio empresarial de la informática en la nube se basa en el hecho de que la posesión/propiedad de recursos de TI (esto es, aplicaciones, plataformas o infraestructura) es independiente del uso de esos recursos. En la informática en la nube, los recursos de TI, ya sea una aplicación o almacenamiento, siguen

siendo propiedad del proveedor de los servicios en nube y los clientes sólo pagan por el uso del servicio de TI sin tener que llevar a cabo instalaciones de software o hardware locales. En teoría, la informática en la nube no exige inversiones iniciales (desembolsos de capital) a diferencia de la TI tradicional. El cliente sólo debe tener acceso a Internet.

Los servicios en nube incluyen diversos niveles de TI. A nivel de software, este servicio se conoce como Software como servicio (SaaS). La Plataforma como servicio (PaaS) proporciona servicios de TI a nivel de plataforma (P.ej., sistemas operativos, marcos de aplicación) y, en este caso, los clientes después deben desarrollar o instalar software adicional. La Infraestructura como servicio (IaaS) proporciona componentes de infraestructura técnica (p.ej., almacenamiento, memoria, CPU, red). El cliente debe instalar plataformas y software adicionales o podrá utilizar componentes de

infraestructura concretos para procesos on-premise (véase el siguiente diagrama). En general, los proveedores de servicios en nube se especializan sólo en uno o dos niveles.

Dependiendo del nivel, la informática en la nube cuenta con las siguientes características:

• Almacenamiento y procesamiento de datos externos. A diferencia de la TI tradicional, los datos se almacenan y procesan fuera del dominio del cliente en la/s ubicación/ubicaciones de los proveedores de servicios en nube

• Multi-tenancy. En contraposición a la TI tradicional, los recursos son compartidos (hasta cierto punto) por múltiples clientes

• Dependiente de Internet. Aunque las líneas dedicadas y las redes privadas pueden utilizarse para la informática en la nube, su principal infraestructura es Internet

Niveles de informática en la nube

Fuente: KPMG, 2010

IaaS

PaaS

SaaSSalesforce.com, Microsoft Office 365, Gmail Software + Plataforma + Infraestructura

Amazon EC2, Terremark, RackSpaceInfraestructura

App Engine, Force.com, AzurePlataforma + Infraestructura


Diferentes tipos de informática en la nube

• Servicios contratados. Los clientes pagan por un servicio (suscripción o PAYG) en lugar de licencias o hardware

• Servicios bajo pedido. En contraste con la gran mayoría de la TI tradicional, los servicios en nube pueden utilizarse casi de forma instantánea

• Elasticidad. Los servicios en nube se pueden ampliar y reducir

La condición de multi-tenancy puede limitarse a un grupo selecto de clientes o incluso a un único cliente, aunque siempre existe cierto grado de multi-tenancy (p.ej., instalaciones físicas, área de refrigeración, personal de soporte) en la informática en la nube. Esta forma de informática en la nube privada o dedicada representa una alternativa a la nube pública con un alto nivel de multi-tenancy. En cualquiera de las formas, los datos del cliente se almacenan en la ubicación del proveedor.

Determinados proveedores ofrecen soluciones de informática en la nube privada en las que un departamento de TI interno de una organización utiliza las tecnologías de informática en la nube para crear una “nube on-premise”. Dado que esta forma interna de informática en la nube depende totalmente de la TI interna, es altamente discutible si puede

llamarse realmente informática en la nube. Por tanto, este tipo de nube interna no se comenta en el presente documento.

Fuente: KPMG, 2010

Informática en la nube interna

Cliente A de TI interno

Cliente A

Servicio

Internet

TI

Proveedor

Cliente A Cliente B Cliente C

Informática en la nube privada

TI TI TI

Internet Internet Internet

Servicio Servicio Servicio

Proveedor

Cliente A Cliente B Cliente C

Informática en la nube pública

TI TI TI

Servicio Service Servicio

Servicio

Internet


EnfoqueEste documento refl eja la visión de KPMG sobre la informática en la nube aportando una amplia perspectiva. La base del contenido ha sido facilitada por un equipo de especialistas internacionales en esta materia pertenecientes a la red de fi rmas miembro de KPMG International durante septiembre y octubre de 2010. Además, también se han utilizado los informes y publicaciones existentes de KPMG. La version original de este documento fue escrita por Mike Chung con el auspicio de John Hermans (socio de KPMG en Países Bajos)

Referencias• From Hype to Future, KPMG’s 2010

Cloud Computing Survey, KPMG, 2010

• Clouds in the Forecast – Canadian perspectives on the promise of cloud computing services for businesses, KPMG, 2010

• IT Attestation in the cloud, KPMG, 2010

• Audit and Compliance in the cloud, KPMG, 2010

• Executive Considerations When Building and Managing a Successful Cloud Service, KPMG, 2009

• Audit in the cloud, security audits versus cloud computing, Mike Chung, KPMG, 2010

• Assurance in the cloud, impact of cloud computing on fi nancial statements, Mike Chung, Compact, 2011.

• OECD Information Technology Outlook 2010, OECD, 2010

Contacto

KPMG en España

Pablo MontoliuSocio, KPMG en EspañaT: +34 91 456 [email protected]

Enfoque, referencias y contacto

Anexo B

© 2011 KPMG Asesores S.L., sociedad española de responsabilidad limitada, es una fi lial de KPMG Europe LLP y fi rma miembro de la red KPMG de fi rmas independientes afi liadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los derechos reservados.KPMG, el logotipo de KPMG y “cutting through complexity” son marcas registradas o comerciales de KPMG International.

La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar que siga siéndolo en el futuro o en el momento en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verifi cación de su realidad y exactitud, así como del pertinente asesoramiento profesional.

John HermansSocioKPMG en Holanda

T: +31 6 5136 6389

E: [email protected]

Mike ChungManagerKPMG en Holanda

T: +31 6 1455 9916


Frank RizzoSocioKPMG en Sudáfrica

T: +27 11 6477 388


Greg BellSocioKPMG en Estados Unidos

T: +1 404 222 7197


Rick WrightSocioKPMG en Estados Unidos

T: +1 617 988 1163


Tudor AwSocioKPMG en ReinoUnido

T: +44 207 694 1265


Alain BeuchatSocioKPMG en Suiza

T: +41 44 249 2017


Matthias BossardtSenior ManagerKPMG en Suiza

T: +41 44 249 2239


Uwe Bernd-StriebeckSocioKPMG en Alemania

T: +49 201 455 6870


Arne HelmeDirectorKPMG en Noruega

T: +47 40 63 9507


Contactos

orquestando el nuevo paradigma (informe cloud computing)

Business

una nica aplicacin

desembolsos de capital

en segundo lugar

en primer lugar

la norma sas70

hasta cierto punto

acelerar la comercializacin

aplicaciones de ocina