ISACA JOURNAL Vol. 3, 2012

Transcripción

1 CLOUD COMPUTING ISACA JOURNAL Vol. 3, 2012 Cloud Computing como una Parte Integral de una Estrategia de TI Modernizada. Ejemplos y casos de estudio El Cloud Computing ha comenzado a ser rotulado como una nueva tecnología de Internet que provee a las organizaciones una infraestructura eficiente, de bajo costo, flexible y que adicionalmente, entrega aplicaciones para los negocios. Sin embargo, parece existir una brecha entre las posibilidades técnicas y el uso práctico de los servicios en la nube (Cloud). Este artículo describe casos de estudio reales sobre proyectos de Cloud Computing, los que muestran que trasladarse a la nube es una decisión estratégica muy importante para quienes manejan tecnologías de la información al interior de una empresa. Los actuales proyectos Cloud se encuentran rotulados como procesos de prueba que hasta el momento, no han presentado complicaciones. Aun así, los mayores desafíos persisten y se encuentran dentro el área de seguridad de la Información. 1

2 Punto de Partida Existen diferentes definiciones y modelos de Cloud Computing, los cuales son frecuentemente utilizados como punto de partida para evaluaciones. La Figura 1, que fue desarrollada por el Instituto Nacional de Estándares y Tecnología de Estados Unidos, provee una visión general de las típicas características del Cloud, sus modelos de servicios y despliegue. 2

3 La imagen resume las características y las diferencias que existen en los servicios Cloud. La sección: Modelos de Servicios, se refiere al software, a la plataforma e infraestructura basadas en los requerimientos funcionales y estrategia de recursos. La sección de Implementación de Modelos cubre los derechos de acceso y responsabilidades. Una típica opción es la nube privada, que se ejecuta únicamente en una sola organización y es manejada por la misma o por un tercero. Adicionalmente, la nube puede estar localizada en el propio data center de la empresa (en las instalaciones) o en una institución distinta (fuera de las instalaciones). Esquemas como los proporcionados por la Red Europea, la Agencia de Seguridad de la Información (ENISA) o por la Agencia de Seguridad de la Información Alemana (BSI), proveen una descripción de alto nivel, la cual debería ser siempre considerada durante la planificación estratégica del uso de servicios en la nube. No obstante, dichas estructuras o esquemas no pueden sustituir las evaluaciones detalladas de riesgo individuales, el análisis de requisitos legales y de cumplimiento. Seguridad de Datos y Aspectos Legales La mayoría de las discusiones sobre los requisitos para llevar a cabo un proyecto Cloud se refieren a la seguridad de la información y los aspectos legales. La seguridad de datos necesita especialmente de una clara y bien definida responsabilidad del cliente y del proveedor de la nube. En general, el nivel de control y de responsabilidades varía dependiendo del modelo de servicio de nube entregado. Por ejemplo, en el caso de Infraestructura como servicio (IasS), las responsabilidades de un cliente usualmente cubren la configuración de la plataforma de seguridad, 3

4 mantenimiento y su monitoreo. Los modelos de Software como Servicio (SaaS) y la Plataforma proveedor. como Servicio (PaaS) entregan estas responsabilidades al Los requerimientos internos y externos de seguridad tienen que ser considerados dependiendo de la clasificación de la información almacenada, transferida y procesada. Estándares como la ISO usualmente conducen a cambios organizacionales y técnicos, mientras que los requerimientos específicos como los Estándares de Seguridad de Datos de Pago con Tarjeta (PCI DSS), definen requerimientos muy concretos que pueden conducir a mayores esfuerzos en tiempo y costos. Las diferentes leyes de protección de datos definen importantes requerimientos, los cuales pueden llevar a confusas situaciones legales, especialmente para las nubes de organizaciones internacionales. Preguntas como Dónde se encuentra el host? Quién tiene acceso a qué datos? y Cómo reaccionar en caso de posibles incidentes?, están en la primera lista de la agenda. Las soluciones pueden ser frecuentemente encontradas en controles detallados, responsabilidades y derechos de acceso de usuarios, ubicación de los proveedores de servicios, contratos y acuerdos de niveles de servicios. Consideraciones Estratégicas La alineación estratégica entre el negocio y las TIC se ha convertido en un factor clave de éxito para maximizar el valor de la empresa. Para desarrollar y aplicar una estrategia de TI apropiada, se necesitan identificar y evaluar diversas tecnologías y una vez adquiridas- integrarlas a los procesos de negocios. La decisión de implementar el Cloud Computing debe seguir un enfoque estructurado que considere los pros y los contras y que incluya una comparación del costo total de propiedad. 4

5 El Cloud Computing es parte importante de la modernización de las estrategias de abastecimiento. En el caso del outsourcing, la naturaleza, riesgo y beneficio del Cloud Computing requiere de un fuerte modelo de servicio basado en la estructura, para asegurar el control. Las consideraciones descritas pueden ser resumidas en una estrategia de Cloud Computing como parte del conjunto de estrategias TI, que permitirá definir el servicio utilizado, los modelos de despliegue, la integración en los procesos y la infraestructura, así como también, los parámetros operacionales y legales. Adicionalmente a la integración de la estrategia de Cloud Computing con las estrategias de TI, los aspectos organizacionales tienen que ser consideradas. Las TIC no solo permiten nuevos servicios y procesos de negocios, sino que también, pueden ser ejecutadas por las otras unidades de negocio. Por lo tanto, no involucrar al departamento de informática en este proceso, puede llevar a una falta de comunicación entre en negocio la estrategia TI. Caso de Estudio: Estrategia de Cloud Computing El siguiente caso de estudio ilustra una exitosa integración del Cloud Computing dentro de la estrategia de TI. La base para el proyecto era una organización con una amplia iniciativa estratégica, la cual abarcaría a todos los departamentos de la empresa. Inicialmente, la antigua estrategia TI de la organización se analizó e integró a las otras estrategias de negocios, para así asegurar una alineación apropiada entre el negocio y las TIC, aumentando la conciencia sobre las Tecnologías. 5

6 Como punto de partida del proyecto, se desplegaron herramientas de evaluación comparativa, las cuales analizarían el estado actual de la organización frente a sus competidores e ingresos. Además, se llevaron a cabo entrevistas con los principales actores para recoger opiniones y requisitos del negocio, para obtener información sobre la percepción del departamento de TI dentro de la organización. Basándose en los resultados y la información recopilada, los objetivos futuros fueron definidos y utilizados para desarrollar la estrategia para alcanzarlos. Se aplicó un modelo de arriba hacia abajo para romper los enfoques estratégicos generales, paso a paso, en acciones concretas. 6

7 La figura 2 muestra que la Misión Genérica y los Valores fueron desglosados primero en la Visión y la Posición estratégica. Esto incluyó el abastecimiento y las decisiones de Cloud Computing. Luego fueron especificados las Piedras Angulares y Objetivos Estratégicos. Finalmente, proyectos concretos, incluyendo proyectos de Cloud Computing, fueron integrados en los Programas Estratégicos e Iniciativas. Se realizaron acciones a corto plazo, como la identificación de potenciales proveedores de servicios Cloud, para así dar inicio a la implementación de la nueva estrategia. Para el largo plazo, fue adaptado el enfoque de las Seis Disciplinas que garantiza la verificación y actualización de la estrategia TI, incluyendo las correspondientes decisiones de Cloud Computing. La figura 3 entrega una visión general del Círculo de las Seis Disciplinas. 7

8 Este proceso continuo, con una fase de retroceso anual, asegura que la estrategia de TI, los programas y los proyectos sigan la dirección correcta. La evaluación periódica incluye servicios en la nube y los proyectos de Cloud Computing, conduciendo a cambios y actualizaciones cuando sean necesarios. Puesto que el Cloud Computing es un campo relativamente nuevo para proporcionar servicios de TI, la decisión estratégica que resultó de este proyecto fue comenzar a utilizar la nube con aplicaciones relativamente pequeñas en entornos de nube privada. Caso de Estudio: y Nubes de Respaldo El Cloud Computing es un área que ha incrementado la entrega de servicios de TI. Los siguientes casos de estudios de un y de un una copia de respaldo, ilustran la relevancia que tienen la seguridad de datos y los aspectos legales para el Cloud Computing (independiente de la complejidad técnica del servicio). Los dos ejemplos muestran que, además de las consideraciones estratégicas, el manejo del riesgo y del cumplimiento, pueden ser los aspectos más desafiantes para los actuales proyectos de Cloud Computing. La figura 4 muestra un breve resumen de estos. 8

9 Dentro del primer proyecto, el de la empresa fue externalizado a un proveedor de Cloud. Al principio, se realizó una evaluación de riesgo y oportunidad. Reducción de costos, funcionalidad y flexibilidad, emergieron como los conductores del proyecto. No obstante, los aspectos legales tuvieron que ser resueltos primeramente. El proyecto fue realizado por una organización internacional con más de 100 entidades a nivel mundial. Un abogado fue contratado para identificar importantes requerimientos de cumplimiento que eran relevantes en este contexto. Uno de los principales desafíos del proyecto fueron las diferentes leyes laborales y niveles de seguridad de la información a nivel mundial. Fuera de estas consideraciones, la decisión de un proveedor de servicio en la nube fue impulsada por la ubicación de la persona jurídica y la localización del centro de datos. Para minimizar los riesgos de seguridad y cumplimiento, se eligió una nube privada manejada y organizada por un proveedor dentro de Alemania. El proveedor de servicios y del SLAs fue analizado y cambiado según lo requerido. Una cláusula de auditoría se incluyó para permitir la verificación de los controles in situ. El segundo caso de estudio ilustra los problemas de seguridad relacionados con el uso de servicios en la nube para la gestión de copias de seguridad. Como parte de la estrategia de TI, la decisión de remplazar cintas de respaldo de seguridad con una solución automatizada SaaS de respaldo en la nube, fue tomada por la empresa después de considerar los beneficios de gestión y los aspectos de continuidad de negocio. Debido al crecimiento de las ventas y servicios en los últimos años, la antigua solución de cinta de respaldo de seguridad se hizo difícil de manejar. Recursos de personal limitado y el espacio físico hicieron el proceso de copia de seguridad manual menos confiable y de costo ineficiente. 9

10 Como en el primer proyecto de caso descrito, la seguridad y las preocupaciones legales fueron identificadas como la parte más desafiante del uso de la nube. El análisis de los requerimientos legales llevó a la decisión de utilizar una nube privada proveída por una empresa de hosting suizo para asegurar un nivel aceptable de seguridad de los datos. Conclusión El Cloud Computing no es sólo otra tendencia, también es una nueva y flexible forma de entregar servicios TIC. La decisión de mover a la nube datos y aplicaciones, debe ser bien considerada en la gestión de TI para asegurar un razonable y seguro uso de los servicios cloud. Es importante considerar al Cloud Computing como una parte integrada de la estrategia de TI. Los proyectos de casos de estudio descritos muestran que en la práctica, los requerimientos en seguridad y cumplimiento fueron identificados como los aspectos más desafiantes. Como resultado, los proveedores de la nube fueron evaluados no solo por su nivel de servicio y costo, sino que también por su ubicación. El uso de los servicios de la nube SaaS es actualmente una práctica común que permite aproximarse cuidadosamente a la nueva forma de servicios de TI, entregando experiencia para otras iniciativas de externalización en la nube. 10