¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

En 10 preguntas y respuestas explicamos el modelo cloud computing que, por su naturaleza y características, posee una serie de ventajas que en determinadas situaciones y según como se encuentren gestionadas, pueden suponer un impulso positivo para la estrategia tecnológica que se está realizando en la empresa. Sin embargo, es necesario recordar que una incorrecta gestión del modelo cloud también puede tener implicancias negativas. Este artículo es un decálogo con las principales cuestiones considerar para realizar una migración. Las preguntas están en primera persona, tal como se las formularía el ejecutivo de una empresa.
Con el fin de facilitar a las empresas que tengan interés en alojar sus aplicaciones, infraestructuras o plataformas tecnológicas en el modelo cloud (Iaas, Paas, Saas), se ha desarrollado un decálogo con las principales cuestiones a tener en cuenta para realizar una migración adecuada y una supervisión óptima del servicio contratado.

Adopción del Cloud

1. Cuáles son todas las actividades internas y externas asociadas a mis servicios? ¿Podría ampliar e integrar nuevos servicios?

Resulta fundamental que la empresa tenga identificadas todas las tareas y actividades que son claves para funcionar correctamente y ofrecer servicios adecuados a su comunidad, especialmente clientes externos e internos. Es necesario que exista conocimiento de las tareas que tienen dependencia de la tecnología de información y comunicaciones (TIC) y las que será posible automatizar para conseguir mayor rendimiento y eficacia.

En determinadas ocasiones muchos servicios se encuentran ligados a un recurso (tecnológico o humano) que solo permite aprovechar las ventajas de una actividad concreta. Actualmente la tecnología presenta numerosas cualidades que permiten el aprovechamiento de la información y sinergias entre las distintas actividades. En definitiva, saber si vale la pena utilizar un servicio de cloud computing es la pregunta que se debe responder.

2. Mis actividades tecnológicas, ¿son adecuadas para ser migradas a cloud? ¿Dispongo de todos los medios?

Una vez identificados los servicios que pueden ser migrados al modelo Cloud Computing, la empresa debe analizar si dispone de los medios adecuados para llevar a cabo el proyecto.

  • Factores económicos: existe la posibilidad de que un servicios identificado para migrar a la nube se encuentre asociados a algún período de amortización. En ocasiones los planes estratégicos de sistemas están diseñados para que alcancen su mayor rendimiento en un plazo medio (2-5 años) y hasta que no se cumplen esos período, un cambio de equipo o recursos tecnológicos puede implicar una ineficacia económica.
  • Factores operativos: conocer la interoperabilidad de los sistemas juega un papel clave, así como ser consciente de los medios para realizar la migración. Para ello resulta fundamental conocer las limitaciones del sistema para extraer y/o migrar datos a otro entorno, así como detectar de antemano las incompatibilidades que puedan existir con la futura plataforma.

Considerados los factores económicos y operativos es momento de plantearse las expectativas depositadas en el modelo Cloud.

3. ¿Cuáles son los principales aspectos que debo tener en cuenta para realizar correctamente la migración? Entonces, ¿es viable?

Confirmada internamente la viabilidad económica y operativa, es necesario medir las características del servicio y realizar los análisis de riesgos preliminares que ayuden a identificar las medidas técnicas y de seguridad adecuadas.

Características del servicio

  • Volumen de datos: determinará la cantidad de espacio necesario para albergar la información.
    Especificaciones técnicas: para conocer la compatibilidad entre los sistemas de origen y destino.
  • Volumen de transacciones, operaciones y usuarios: se consideran los máximos que deberá procesar el sistema simultáneamente.
  • Reparto de las tareas de administración con el proveedor: deben tenerse en cuenta los límites que se quieren fijar con el proveedor para el control de la información, tareas y alcance de la delegación de actividades técnicas.

Análisis de riesgos

Es crítico para decidir qué medidas de seguridad se deben adoptar. Se debe realizar un estudio preliminar sobre los riesgos que puedan acontecer al migrar el servicio al entorno Cloud, de su probabilidad de ocurrencia e incidencia y del impacto que generaría en el servicio. Tras el estudio preliminar, la valoración de riesgos tiene que ser periódica.

Los riesgos pueden ser: técnicos, de seguridad, derivados del incumplimiento de un contrato, etcétera. Una vez recabada la información sobre las características del servicio y los riesgos que pueden tener lugar, es necesario listar las medidas de seguridad aplicables.

4. A la hora de elegir proveedor, ¿Qué debo valorar? ¿Cuál es el proveedor más apropiado?

Conocidas las características y medidas de seguridad necesarias, es hora de buscar el proveedor que cumpla con los requerimientos necesarios y que proporcione garantías en la prestación del servicio. El análisis de los diferentes proveedores tendrá en cuenta los siguientes aspectos:

  • Costos del Servicio: cuál es el precio y periodicidad del mismo. En contextos inflacionarios, debe conocerse cuál será el mecanismo de actualización de precios.
  • Cómo cumplirá con las medidas de seguridad necesarias: el proveedor deberá garantizar y detallar los medios con los que dará conformidad al cumplimiento de las medidas de seguridad exigidas por su empresa.
  • Cómo cumplirá con las capacidades de servicio exigidas: en relación con las exigencias técnicas identificables en el servicio, el proveedor deberá garantizar a corto, mediano y largo plazo la infraestructura adecuada y que, en caso que se produzcan incrementos de la demanda puntuales o permanentes, podrá satisfacer las exigencias, sin que el servicio se vea afectado.
  • Cómo se asegurará el servicio en caso de catástrofe: el proveedor deberá contar con un plan de continuidad que permita asegurar el servicio sin interrupción en caso de una contingencia. Es importante solicitar las evidencias y documentación asociada a las pruebas del plan de continuidad del negocio.
  • Recursos humanos: el personal que administre el sistema de información y la plataforma Cloud Computing que soportan el servicio deberá tener la experiencia adecuada.
  • Certificaciones del servicio: hay certificaciones específicas que deberán solicitarse. Por ejemplo si se necesitan garantías del servicio en términos de calidad o seguridad , están las normas ISO 9000 y las ISO 27001 respectivamente.
  • Acuerdos de nivel de servicio y penalizaciones: Este punto será tratado con mayor amplitud.
  • Localización y movilidad de la información: resulta fundamental conocer dónde estarán localizados los datos de su compañía y por cuáles redes se moverán. En relación a la ubicación, serán exigibles unas medidas de seguridad u otras, acordes con la legislación que aplique.

Se recomienda ser gradual en la migración de servicios al entorno de la nube. En primer lugar, alojar un servicio que no sea demasiado crítico, ni de gran volumen, tal que permita conocer y confiar en el desempeño del proveedor.

5. ¿Qué debo considerar a la hora de formalizar el contrato? ¿Qué debo puntualizar al proveedor?

Una vez seleccionado el proveedor, se debe definir el contrato que regule el acuerdo. Dado que la migración al Cloud Computing es una decisión que impacta en la operación del negocio, para que el contrato contemple todas las posibilidades, se debe involucrar a todas las áreas necesarias de la empresa: tecnología, legal, operaciones, administración, producción y, obviamente, la dirección de la compañía.

El contrato de prestación de servicio se lo conoce como SLA, siglas del inglés Service Level Agreement, y debe incluir los siguientes elementos:

  • Disponibilidad
  • Plazos
  • Calidad comprometida
  • Calidad percibida /Satisfacción

Los SLA tienen que ser medibles en base a indicadores que se encuentren soportados por una metodologìa adecuada de medición. Debe establecerse una periodicidad de comprobación y un nivel de servicio objetivo asociado. Antes el incumplimiento de los SLA y las medidas de seguridad, se recomienda que el contrato contemple un proceso de penalización del proveedor e incluso los casos de reincidencia. Se recomienda seguir los siguientes pasos:

  • Analizar las causas de incumplimiento.
  • Valoras las correcciones inmediatamente implementadas.
  • Adoptar acciones correctivas para evitar que el incumplimiento vuelva a ocurrir.

También es imprescindible definir con claridad las medidas de seguridad que el proveedor debe cumplir. Ambas partes deben consensuar los mecanismos de control que se establecerán tal que permitan supervisar el trabajo y la labor realizada por el proveedor. Otros puntos que no deben faltar en el contrato son:

  • Cláusulas de confidencialidad, las que deberán firmar los empleados del proveedor que tengan acceso a la información.
  • Términos y condiciones.
  • Términos y limitaciones de las subcontrataciones que sean necesarias.
  • Procedimientos adecuados a seguir por parte del proveedor en el momento de finalización del contrato.

6. ¿Qué precauciones tomar antes de realizar la migración del servicio?

Luego de formalizar el contrato, es el momento de analizar las consideraciones para migrar el servicio al entorno Cloud Computing.

Aspectos estratégicos

  • Estimación de costos: analizar cómo afectará el cambio de inversión en la gestión económica interna de la empresa.
  • Gestión del cambio: calcular el impacto operativo que tendrá dentro de la organización. Por ejemplo: reasignación de tareas, formación de usuarios, nuevos métodos de comunicación, otro tipo de elementos de gestión.

Aspectos técnicos que garanticen la calidad del servicio

  • Pruebas de estrés: es necesario probar, previamente, el entorno de producción, con datos de prueba, cargas exigentes de operaciones y usuarios concurrentes.
  • Características del servicio: se deberá medir aquellos factores identificados en los SLA y de las especificaciones técnicas exigidas al proveedor.

Aspectos de planificación y alcance

  • Planificación de de migración: debe existir una planificación detallada que recoja los principales factores: ¿Quienes? ¿Cuando? ¿Cómo?
  • Mapa de aplicaciones e identificación de sistemas poco críticos: es aconsejable que en primer lugar se migren los servicios poco críticos para que, en caso que se produzca un problema, no exista un importante impacto en la organización.

Aspectos de respaldo en caso de falla

  • Plan de roll-back: se deben definir los planes de “vuelta arás” que permitan volver a la situación inicial en caso de problemas en el momento de la migración.
  • Mantenimiento del sistema antiguo: es aconsejable mantener un tiempo prudencial el sistema antiguo en producción.

Una vez considerados estos factores, se puede proceder a realizar la migración.

7. ¿Cómo gestionar los aspectos normativos y legislativos? ¿Es realmente importante?

Los aspectos legales constituyen pilares fundamentales para la gestión de la tecnología, por lo que no deben descuidarse. Es importante trasladar al proveedor las legislaciones y normativas que afectan al servicio para que éste considere y aplique las medidas necesarias de manera que no quepa riesgo de un incumplimiento normativo. Si bien cada país tiene sus normativas, en casi todas la legislación de América Latina se pueden encontrar el siguiente cuerpo normativo:

  • Ley de protección de datos
  • Consideraciones relativas a la privacidad
  • Ley de propiedad intelectual
  • Normas que rigen determinadas actividades como bancaria, seguros, televisión por cable, medios de comunicación.

Dado que los incumplimientos a normas y leyes puede derivar en sanciones económicas para la empresa, devaluación de imagen y pérdida de confianza por parte de los consumidores, la empresa contratante deberá asegurarse que el proveedor del servicio está en condiciones de cumplir con la normativa y legislación que afecta al negocio.

Por otra parte, considerando que las leyes no son estáticas y que, en consecuencia. pueden producirse modificaciones locales, estaduales, nacionales e incluso, internacionales, se debe disponer de dispositivos de supervisión para que las medidas que se encuentran implantadas no queden obsoletas.

8. ¿Cómo asegurar que el proveedor cumpla con lo establecido? ¿Cómo supervisar el servicio?

Es necesario consensuar con el proveedor los controles y mecanismos que permitan supervisar y evaluar el desempeño. Deberá cumplir con los puntos especificados en el contrato junto con los acuerdos de nivel de servicios (SLA), las medidas de seguridad definidas y demás cláusulas contempladas. Para la supervisión se recomienda:

  • Definir en el contrato todos aquellos puntos que serán evaluados en la prestación del servicio realizado por el proveedor.
  • Solicitar al proveedor los medios y herramientas de reporte que confirmen el cumplimiento del desempeño acordado.
  • Solicitar informes periódicos de cumplimiento.
  • Estudiar los informes asociados a los indicadores de los acuerdos de nivel de servicio.

En caso de haber incumplimientos, se pueden aplicar las penalizaciones previstas y, si tienen lugar en forma reiterada, se recomienda plantearse la conveniencia de rescindir el contrato.

9. Llega el momento de terminar con el acuerdo ¿qué considerar al finalizar el contrato con el proveedor?

Es importante exigir al proveedor aquellas medidas y planes de acción que permitan la desvinculación del acuerdo de una manera adecuada y con el menor impacto posible en el servicio. uno de los principales puntos que asegurarán la operatividad, será buscar la interoperabilidad con otros sistemas de manera que sea sencillo trasladar el servicio a otro entorno o plataforma. Para ello es recomendable que el proveedor tenga definidos los planes de acción en caso de rescindir el contrato. Además, deberá detallarse el modo en que se entregará toda la información, así como la forma de presentación de los certificados de borrado y destrucción de toda la información y/o dispositivos afectados.

10. Siendo crítico ¿Es el cloud computing adecuado para mis actividades, tareas, sistemas y servicios?

Es importante ser críticos con los resultados obtenidos y preguntarse ¿Es el Cloud Computing adecuado para mis actividades? Es momento de realizar una autoevaluación y comprobar si realmente es rentable y eficiente la solución adoptada.

Fuente: Instituto Nacional de Tecnologías de la Información, Gobierno de España. www.inteco.es
Adaptado por la División consultoría de EvaluandoSoftware.com
Contenido bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons.

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores