Orquestando el nuevo paradigma (informe cloud computing)
Upcoming SlideShare
Loading in...5
×
 

Orquestando el nuevo paradigma (informe cloud computing)

on

  • 594 views

Cada vez más organizaciones utilizan soluciones como la informática en la nube (cloud computing) para reducir el ...

Cada vez más organizaciones utilizan soluciones como la informática en la nube (cloud computing) para reducir el
gasto en TI, incrementar la rapidez de las implantaciones y garantizar un enfoque de negocio innovador. No obstante,
también están surgiendo dudas en torno a la seguridad, el cumplimiento y la privacidad.

Statistics

Views

Total Views
594
Views on SlideShare
594
Embed Views
0

Actions

Likes
0
Downloads
10
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Orquestando el nuevo paradigma (informe cloud computing) Orquestando el nuevo paradigma (informe cloud computing) Document Transcript

    • MANAGEMENT CONSULTING Orquestando el nuevo paradigma Directrices de KPMG sobre informática en la nube y otras áreas deTI kpmg.es
    • 2 | Orquestando el nuevo paradigma Contents 1 Prólogo 3 2 Introducción 5 3 Retos actuales en el negocio 6 4 El viejo paradigma deTI 9 5 El cambio hacia la informática en la nube 11 6 En perspectiva 15 7 Consideraciones 18 8 Unpaso adelante: orquestación 25 9 Mensaje principal 33 Anexo 34
    • Orquestando el nuevo paradigma | 3 Tras la crisis financiera las organizaciones tendrán que hacer frente a importantes retos. A raíz de la fragilidad económica, el área deTI se ve a menudo como una estructura costosa y rígida que no cumple las expectativas, aunque actualmente se está produciendo un cambio de paradigma: la transición de una función local a la centralización de los servicios deTI. Cada vez más organizaciones utilizan soluciones como la informática en la nube (cloud computing) para reducir el gasto enTI, incrementar la rapidez de las implantaciones y garantizar un enfoque de negocio innovador. No obstante, también están surgiendo dudas en torno a la seguridad, el cumplimiento y la privacidad. ¿Cuáles son los posibles riesgos y beneficios de este nuevo paradigma de TI? A través de este informe, queremos abordar estas cuestiones desde un punto de vista estratégico. Creemos que el principal reto de los directores generales y deTI reside en coordinar los complejos ecosistemas deTI unificando sistemas deTI tradicionales y servicios en la nube de diversos proveedores. Este documento permite entender mejor la actual transición del área de TI y proporciona directrices desde una perspectiva de negocio. Queremos aclarar el proceso desmitificando las exageraciones e informar a los encargados de la toma de decisiones a través de ejemplos que van más allá de las obvias historias de éxito que cuentan los proveedores de servicios de informática en la nube y de la postura reacia de muchos integradores de servicios deTI “tradicionales”. Prólogo Pablo Montoliu Socio, KPMG Advisory KPMG en España 01
    • 4 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 5 La informática en la nube es sin duda el fenómeno actual más importante en el ámbito de las tecnologías de la información. Aunque parece que existe cierta confusión en el sector de laTI en cuanto a la definición del término, desde un punto de vista empresarial la informática en la nube consiste en obtener servicios deTI desde Internet sin una infraestructura deTI. Internet es a menudo descrita por los técnicos como una “nube”, de ahí el término informática en la nube. Gmail y Facebook constituyen dos buenos ejemplos. La importancia cada vez mayor de la informática en la nube queda patente a través de que un alto número de organizaciones están adoptando este modelo de forma lenta pero firme. Un reciente estudio realizado por KPMG pone de manifiesto que la informática en la nube será el modelo deTI del futuro. Por contra, existen determinadas personas que todavía creen que la informática en la nube acabará diluyéndose. Después de todo, el sector deTI ha hecho muchas “promesas” a lo largo de los años que, al final, no se han materializado. En pleno debate, las preguntas más incisivas formuladas por los encargados de la toma de decisiones quedan a menudo sin respuesta. No se presta la atención necesaria a la perspectiva de negocio de la informática en la nube y a los posibles desarrollos en el área deTI. Estamos totalmente convencidos de que contar con una perspectiva más amplia es clave para entender de forma exhaustiva el impacto de la informática en la nube, dado que la función deTI es de vital importancia para la mayoría de las organizaciones. Para ayudarles a este respecto, hemos entrevistado a una serie de directores generales y deTI, así como a los especialistas más destacados de KPMG, y les hemos preguntado sobre la informática en la nube y el futuro de la tecnología de la información. A través de estas entrevistas, hemos conseguido entender con claridad las principales dificultades y oportunidades de las organizaciones en lo referente a su infraestructura deTI. A través de este informe, vamos a tratar de resolver las siguientes preguntas: • Retos actuales en el negocio: ¿cuáles son los principales retos a los que se enfrentan las organizaciones tras la crisis financiera? • El viejo paradigma deTI: ¿cuál es la reacción de las funciones deTI “tradicionales” ante los actuales retos de negocio? • El cambio de paradigma: ¿qué progresos se han producido en el áreaTI? • Perspectiva: ¿qué implica en realidad el nuevo paradigma? • Consideraciones: ¿cuáles son los riesgos del nuevo paradigma? • Medidas de cara al futuro: ¿qué medidas deben tomar las organizaciones? En el Anexo A encontrarán una definición y las características de la informática en la nube. Introducción Queremos desmitificar las exageraciones e informar a los encargados de la toma de decisiones. 02
    • 6 | Orquestando el nuevo paradigma © 2011 KPMG Advisory N.V. Los encargados de la toma de decisiones de las grandes empresas creen que los principales retos a los que se enfrentan son el recorte de costes, el periodo de comercialización y la innovación. 3.1 Recorte de costes Los recortes de costes pueden ayudar a mantener los márgenes de beneficios durante un periodo de recesión. A pesar de los signos de recuperación económica, muchas empresas privadas se enfrentan a unas condiciones de mercado inciertas y han intensificado sus medidas de recorte de costes. En general, se trata de una tarea abrumadora, sobre todo cuando se trata de estructuras de costes cambiantes. Retos actuales en el negocio La crisis financiera ha provocado que las condiciones de mercado sigan siendo extremadamente volátiles y, aunque hay margen para el optimismo, un alto número de empresas se ven presionadas por los márgenes de beneficios en un entorno de negocio globalizado, altamente competitivo y en constante cambio. El incremento de los precios de la energía y la inestabilidad del ámbito político han contribuido a aumentar la complejidad. Principales retos: recortar costes, acelerar la comercialización y aumentar la innovación. 03
    • Orquestando el nuevo paradigma | 7 3.2 Mayor rapidez en la comercialización El periodo de comercialización es sin duda uno de los factores de éxito más importante para las organizaciones. Las exigencias de los consumidores y empleados son cada vez más volátiles, lo que obliga a que las organizaciones adopten enfoques de mercado más rápidos y flexibles. Además, el ciclo de vida ha cambiado y los productos actuales se caracterizan por: • Se alcanza rápidamente un alto nivel en el volumen de ventas; • Se produce una reducción rápida en las ventas tras alcanzar el máximo nivel; • Un breve periodo de comercialización. Por tanto, para satisfacer la demanda con rapidez y precisión, las organizaciones deben tener la capacidad de reaccionar de forma instantánea para garantizar una rápida entrega de sus productos. Los retrasos no sólo provocan una importante pérdida de oportunidades, sino también una cuota de mercado (mucho) más reducida en un entorno caracterizado por una competencia feroz. 3.3 Innovation El desarrollo de productos se ha convertido en un factor importante para las empresas, sobre todo en Europa y Estados Unidos, mientras que las economías emergentes como China, India y Brasil destacan en el ámbito de la producción eficiente de muchos productos genéricos. Es obvio que la innovación constante tiene un impacto decisivo en el éxito de las empresas. La capacidad de colaborar, intercambiar ideas y acceder a recursos de información pertinentes son requisitos fundamentales para conseguir una innovación eficiente. Fuente: KPMG, 2011 Ciclo de vida de los productos — Ciclo de vida actual de los productos — Ciclo de vida tradicional de los productos Volumendeventas Tiempo
    • 8 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 9 Tradicionalmente, las estructuras deTI instaladas y mantenidas localmente cuentan con varios sistemas incompatibles, numerosas aplicaciones y demasiadas interfaces y conexiones. La tecnología de la información se ha convertido en un entorno demasiado complejo para la mayoría de organizaciones que, además de resultar excesivamente caro, conlleva altos riesgos y requiere una mayor inversión de tiempo y esfuerzo. Los encargados de la toma de decisiones consideran que los costes deTI de su organización son injustificadamente altos, la estructura deTI es demasiado rígida y obsoleta, y que, en lugar de dar soporte al negocio, se ha convertido en un obstáculo. 4.1 Mayor gasto Despite the pressure on IT spending A pesar de la presión que ha experimentado el gasto enTI durante los dos últimos años, sigue situándose en unos niveles excesivamente altos: hasta un cinco por ciento de los ingresos para las empresas incluidas en la lista Fortune500, y muy por encima de ese cinco por ciento en los presupuestos públicos de la mayoría de países de la OCDE. Además, la mayoría de estos costes, generalmente en torno al 80 por ciento, se invierten en el mantenimiento de la estructura deTI, y no en aplicaciones nuevas e innovadoras. Por otro lado, cabe destacar que, aunque la mayoría de compañías de la UE no han incrementado drásticamente el gasto enTI durante los últimos dos años, el presupuesto operativo en el área deTI como porcentaje de los ingresos ha experimentado una tendencia ascendente. Entre las principales causas de este incremento se incluye la inversión en infraestructuras deTI y unos programas informáticos excesivamente complicados. El viejo paradigma deTI Es realmente sorprendente ver cómo los conceptos de TI tradicionales no consiguen los tres retos de negocio mencionados en el apartado anterior: recortar costes, acelerar la comercialización y aumentar la innovación. Una estructura de TI no consigue estos objetivos, ni cumple las necesidades y los requerimientos del negocio contemporáneo, por sí sola. Presupuesto de explotación deTI como porcentaje 2,6 2,5 2 1,9 2,3 2007 2008 2009 2010 2011 (esperado) La estructura tradicional deTI no tiene la capacidad de dar soporte al negocio 04 Fuente: KPMG, 2010
    • 10 | Orquestando el nuevo paradigma Uno los principales retos para los directores de IT durante los próximos años consistirá en reducir el gasto enTI y, al tiempo, garantizar un nivel de servicio similar. Por otro lado, los últimos informes de KPMG ponen de manifiesto que, en muchas ocasiones, la inversión enTI no añade un valor tangible al negocio (aproximadamente el 30 por ciento) y muchos proyectos deTI no logran ajustarse a las limitaciones de tiempo y presupuestarias. Menos del 40 por ciento de los proyectos deTI pueden considerarse exitosos, es decir, que se han llevado a cabo cumpliendo los plazos, el presupuesto y los estándares de calidad. En resumen, la estructura deTI tradicional cuesta más y aporta menos. 4.2 Rigidez Para reducir el periodo de comercialización de nuevos productos, las empresas deben contar con recursos deTI flexibles, escalables y disponibles de forma inmediata. Sin embargo, un alto número de organizaciones dependen completamente de los recursos locales deTI que se limitan al hardware, ancho de banda y personal existentes. En consecuencia, la estructura deTI tradicional es rara vez escalable y esta rigidez contrasta marcadamente con la agilidad que necesita el negocio. Además de las limitaciones en la escalabilidad, la estructura deTI tradicional no resulta adecuada para conseguir que las nuevas aplicaciones estén disponibles de forma instantánea de acuerdo con las exigencias de negocio. La instalación de nuevas aplicaciones a menudo requiere meses e implica altos riesgos operativos y financieros. Los departamentos deTI deben adquirir hardware y software, crear diferentes entornos (desarrollo, prueba, aceptación, producción), implantar procedimientos, formar a sus profesionales deTI y nombrar gerentes de aplicaciones. En resumen, la estructura deTI tradicional no es capaz de proporcionar la flexibilidad y rapidez necesarias para recortar el periodo de comercialización de los productos. 4.3 Infraestructura obsoleta Los productos y servicios deTI de consumo han experimentado una enorme evolución durante la pasada década. La explosión de smartphones, tabletas, nuevas aplicaciones web y redes sociales han permitido la utilización deTI a través de móviles, el intercambio de información y una colaboración nunca vista. La estructura deTI tradicional no parece adecuada para los cambiantes hábitos informáticos de los consumidores. En general, está formada por componentes estáticos y heredados que nunca han sido diseñados para facilitar el uso a través de dispositivos móviles o para proporcionar plataformas de colaboración e intercambio. Si bien la nueva generación de empleados está acostumbrada a las nuevas posibilidades que ofrece el área deTI en sus vidas privadas, la función de TI corporativa no cumple expectativas. En resumen, la estructura deTI tradicional no se adapta a la innovación y la forma en que los consumidores utilizan la tecnología de la información.
    • Orquestando el nuevo paradigma | 11 5.1 Menos costes Los costes operativos deTI pueden reducirse en gran medida mediante la adopción de la informática en la nube, ya que las inversiones iniciales en este modelo (desembolsos de capital) son insignificantes en comparación con los costes de las implantaciones de recursos deTI a gran escala que resultan costosas y arriesgadas. En realidad, todas las instalaciones se producen en los servidores del proveedor y es éste el que asume los costes de gestión y mantenimiento. Además, se producen importantes ahorros en términos de hardware, salas de servidores, aire acondicionado y electricidad. Los costes transferidos a los clientes son relativamente bajos debido a las economías de escala de la mayoría de proveedores de servicios en nube, al uso eficiente de recursos (compartidos) y a la centralización del conocimiento. El cambio hacia la informática en la nube El viejo paradigma deTI ya no cumple las expectativas, por tanto, las organizaciones están abriéndose a otros conceptos. La informática en la nube ofrece la solución ideal a esta situación; permite que las organizaciones eliminen gradualmente elementos de su estructura deTI, incluido el hardware y software, recuperen el poder sobre su actividad principal y controlen los costes. La informática en la nube brinda soluciones 05
    • 12 | Orquestando el nuevo paradigma Con la informática en la nube, los costes sólo se aplican al uso del servicio de TI, ya que los recursos deTI siguen en posesión del proveedor. Aunque el pago por suscripción es lo más habitual, el sistema de pago Pay-as-you-go (PAYG - que se caracteriza por un sistema de pago según el consumo) es cada vez más habitual y permite que el cliente pague cada vez que utiliza el servicio. La ventaja de este último método es que sólo se paga por los servicios que realmente se usan y, por tanto, se evitan costes indirectos innecesarios. 5.2 Flexibilidad en la implantación La rápida implantación de los servicios deTI es un factor extremadamente importante de la informática en la nube. La naturaleza “bajo pedido” de la nube permite que los usuarios puedan implantar rápidamente las aplicaciones. La complejidad de la estructura de TI ya no es un problema para las empresas, ya que es propiedad de los proveedores de servicios en nube, que también se encargan de su gestión y mantenimiento. En lugar de crear y gestionar una función deTI interna, los servicios deTI se prestan a través de Internet, de un modo parecido al suministro de electricidad desde las plantas de energía eléctrica. Los servicios de correo electrónico en nube como Gmail y Hotmail son ejemplos muy conocidos y positivos de esta tendencia. Además, utilizar Internet como infraestructura de red básica para los servicios implica que los usuarios puedan acceder a aplicaciones y datos a través de diversos dispositivos desde multitud de puntos de acceso de todo el mundo. Este hecho puede potenciar la productividad, mejorar la colaboración y enriquecer la experiencia de los usuarios. 5.3 Escalabilidad instantánea La informática en la nube también ofrece la ventaja de poder ajustar el uso de los recursos deTI en dirección ascendente o descendente, mejorando de esta forma la escalabilidad de la estructura deTI. Esto es posible gracias a la enorme escala de proveedores principales de servicios en nube cuya capacidad deTI supera la de organizaciones de clientes individuales. Mediante el uso de las tecnologías, como los distintos tipos de virtualización y balanceos de carga, los sistemas de informática en la nube pueden ampliarse o reducirse fácilmente. A esto hay que añadir los modelos de pago habituales (PAYG o suscripción), mediante los que los clientes sólo pagan en función del uso, y la capacidad deTI necesaria siempre está disponible. En contraste con la estructura deTI tradicional, la capacidad de una estructura deTI en la nube nunca es en teoría escasa ni está inactiva.
    • Fuente: KPMG, 2010 La escalabilidad de la informática en la nube Requerimientodealmacenamiento Tiempo On-premise* Pérdida de oportunidades Recursos no utilizados Requerimientodealmacenamiento Tiempo En nube * Sistema tradicional mediante el que la empresa se encarga de la instalación, gestión, actualización y mantenimiento del software Orquestando el nuevo paradigma | 13
    • 14 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 15 En perspectiva 6.1 Carencia de importancia de la nube Según la OCDE y las cifras de KPMG, la cuota actual de la informática en la nube es insignificante en términos del gasto total enTI de las organizaciones (se sitúa entre el dos y el cuatro por ciento a nivel global). El principal distribuidor es Estados Unidos (60 por ciento) y el resto del mundo, incluido Europa, se sitúan muy por detrás. Las aplicaciones de informática en la nube son muy populares en nuestras vidas privadas, como Facebook y Gmail, pero la adopción por parte de las empresas todavía no se ha producido. En concreto, las preocupaciones sobre el nivel de seguridad y cumplimiento normativo son los principales obstáculos de cara a la consecución de dicho objetivo. A pesar del continuo desarrollo de la informática en la nube, el catálogo de servicios en nube está relativamente limitado a servicios ya consolidados como el correo electrónico, aplicaciones de oficina, CRM y almacenamiento de datos. En la actualidad, la nube ofrece aplicaciones de negocio integradas y prácticamente exentas de complejidades. A pesar de la popularidad de la informática en la nube, su cuota de mercado sigue siendo baja. Sólo un pequeño porcentaje de los presupuestos deTI generales se invierten en servicios en nube. Mientras tanto, el crecimiento de la informática en la nube es demasiado grande como para obviarlo y las inversiones realizadas por los principales agentes tecnológicos son demasiado elevadas como para ignorarlas. La importancia de los servicios en la nube en un entorno deTI híbrido seguirá aumentando durante los próximos cinco años. 06 Fuente: KPMG, 2011 TI On-premise Centro de servicios compartidos Alojamiento web Externalización Informática la nube Baja Alta AltaComercialización Centralización Cambio de paradigma
    • 16 | Orquestando el nuevo paradigma Los sistemas integrados de gestión (ERP) y los sistemas de facturación a medida sólo se realizan en nube en casos aislados. En general, se instalan de forma local según el método tradicional, al menos por el momento. 6.2 Importancia de la nube No debería subestimarse la informática en la nube. Según las estimaciones de mercado de los principales analistas, el crecimiento de los servicios comerciales en nube se situará entre el 20 y el 30 por ciento anual durante el periodo 2010 - 2015, pese a (o tal vez gracias a) la frágil situación económica. A pesar de que la cuota de mercado actual de la informática en la nube es insignificante, en 2015 será considerable. Por otro lado, el progreso hacia la centralización y comercialización de servicios deTI es un proceso constante desde que cambiamos de milenio. La centralización mejora la eficiencia mediante la aplicación de economías de escala e intercambio de recursos. La prestación centralizada de servicios también permite gestionar con mayor eficacia la volatilidad en la demanda. La comercialización mediante el uso de servicios estandarizados en lugar de soluciones a medida implica menores costes y menos tiempo, ya que los sistemas“llave en mano” son más sencillos de implantar. Partiendo de unas estructuras deTI instaladas y gestionadas localmente, las organizaciones optan por establecer centros de servicios compartidos a menudo en combinación con la armonización de su cartera deTI. Después, empiezan a utilizar aplicaciones de alojamiento web en plataformas externas y empiezan a externalizar/deslocalizar los departamentos deTI a países de bajo coste. A este respecto, la informática en la nube es la siguiente fase del proceso y parte del cambio de paradigma en el área deTI, es decir, del cambio de una estructura tradicional a la prestación centralizada de servicios y el uso compartido de recursos deTI. Los principales agentes del sector de TI están de acuerdo con esta tendencia. Si bien los pioneros ya consolidados de informática en la nube (los más conocidos son Google, Salesforce. com y Amazon) están expandiendo continuamente sus carteras de servicios, casi todos los principales proveedores de TI están realizando grandes inversiones en servicios en nube para satisfacer una demanda aparentemente en crecimiento. Incluso los gigantes (o quizás mastodontes) deTI tradicionales (como Microsoft, IBM, HP y Oracle) están ofreciendo servicios en nube, a veces en colaboración con otros proveedores de software e integradores deTI que no quieren“perder el tren”. Serán necesarios al menos cinco años para que la informática en la nube se convierta en la norma de facto para la mayoría de los servicios deTI, aunque este proceso ya ha comenzado. 6.3 El entorno híbrido como nuevo paradigma La mayoría de las organizaciones se adaptarán a un entorno híbrido dada la actual posición secundaria que ocupa la informática en la nube y la tendencia hacia la centralización y comercialización deTI, Sólo un número relativamente reducido de organizaciones mantendrá una infraestructura deTI totalmente tradicional, ignorando o infravalorando la informática en la nube. Por otro lado, no existe ningún argumento empresarial que sostenga que la gran mayoría de organizaciones vayan a adoptar próximamente y a gran escala la informática en la nube. Durante los próximos cinco años prevalecerá un entorno híbrido, una mezcla de elementos deTI tradicionales y externalizados caracterizado por el creciente uso de servicios en nube. Para la gran mayoría, la estructura deTI será instalada y gestionada localmente bien por unidades internas, bien por un proveedor de servicios deTI. Sin embargo, una parte cada vez mayor de la función deTI dependerá de recursos externos, en concreto de la informática en la nube. Este cambio de paradigma no constituirá una transición repentina del viejo paradigma deTI local tradicional a la informática en la nube, y tampoco supondrá el fin de todas las deficiencias del viejo paradigma. El futuro modelo deTI será un entorno híbrido que ofrecerá un enorme potencial a las organizaciones, así como una serie de consideraciones, que se comentan en el siguiente capítulo.
    • La informática en la nube comparte determinadas características con el alojamiento web y la externalización desde el punto de vista de los encargados de la toma de decisiones. Los tres modelos implican en cierto grado de uso de recursos deTI compartidos de proveedores externos. En realidad, los límites entre el alojamiento web, la externalización y la informática en la nube son a menudo casi imperceptibles o coincidentes. A menudo, los proveedores presentan sus soluciones de alojamiento web a través de una nube “privada” mientras que la informática en la nube puede percibirse como una forma radical de externalización. Si bien la externalización implica desplazar recursos deTI internos a una parte externa, la informática en la nube implica la eliminación gradual de los recursos deTI internos y la utilización de los recursos del proveedor en su lugar. La definición específica de estos modelos no resulta importante siempre y cuando se puedan determinar los siguientes aspectos de negocio de forma adecuada: la exclusividad de la prestación de servicios deTI, la asignación de la gestión de recursos deTI y la propiedad del software y hardware. La medida en que se adopten estos aspectos determinará los potenciales beneficios y riesgos del sistema. Prestación del servicio Dedicada Compartida IT On-premise Centro de servicios compartidos Alojamiento web Externalización Informática en la nube Gestión de recursos de TI ExternaInterna Propiedad de los activos ProveedorCliente Alojamiento web, externalización e informática en la nube Aspectos de negocio Orquestando el nuevo paradigma | 17 Fuente: KPMG, 2011
    • 18 | Orquestando el nuevo paradigma Consideraciones Dado que toda oportunidad conlleva un riesgo, las organizaciones deben ser conscientes de los riesgos que entraña operar en un entorno deTI híbrido y, en concreto, el uso de la informática en la nube. La seguridad y el cumplimiento normativo son factores extremadamente importantes ya que las normas sobre gestión de riesgos se han intensificado en gran medida durante los últimos años y su cumplimiento puede resultar difícil en un entorno híbrido. Además, dado que las organizaciones dependen intrínsecamente de los controles que aplican sus proveedores en materia de información y supervisión del cumplimiento, los encargados de la toma de decisiones tendrán que abordar los distintos contratos, las distintas cuestiones de integración y un sector deTI en constante cambio. La gestión de múltiples conceptos relacionados con datos, contratos y tecnología puede constituir una ardua tarea para las organizaciones. 07 7.1 Dependencia de la nube Cada vez más componentes deTI se trasladan a instalaciones externas, de tal forma que las organizaciones dependerán cada vez más de sus proveedores. Muchas entidades creen que está todo controlado, pero en la práctica la mayoría tienen algún problema a este respecto.
    • Orquestando el nuevo paradigma | 19 Por otro lado, el nivel de confianza entre las organizaciones y sus proveedores de servicios deTI sigue situándose en unos niveles relativamente bajos en comparación, por ejemplo, con las instituciones financieras (a pesar de la crisis de crédito. Una actitud está totalmente justificada, sobre todo en lo que respecta a la informática en la nube. La informática en la nube no está exenta de peligros, aunque el número de incidentes importantes relacionados con servicios en nube fue relativamente reducido en 2010 si tenemos en cuenta el número de clientes.Todas las ‘Big Four’ de proveedores de servicios en nube (Google, Salesforce.com, Amazon y Microsoft) han tenido que solucionar diversas vulnerabilidades de sus productos en las que comprometían, hasta cierto punto, los datos de los clientes. Las consecuencias de la pérdida, filtración o vulnerabilidad de datos ubicados en las instalaciones de los proveedores pueden resultar desastrosas para el negocio. Es importante destacar que la protección de los datos del cliente depende en gran medida del proveedor de servicios en nube. Otro aspecto de dependencia es el temido cliente cautivo del proveedor (vendor lock-in). Dado el limitado, aunque creciente, número de proveedores de servicios en nube y a la escasez de estándares (abiertos, intercambiables) para la interoperabilidad de proveedores, puede resultar extremadamente difícil cambiar de proveedor o migrar de nuevo a una estructura deTI instalada localmente. Este problema podría verse agravado por la incapacidad por parte del proveedor de dar soporte a la extracción de datos en formatos abiertos tras la rescisión del servicio. Esto implicaría que los datos sólo son adecuados para una aplicación o proveedor específico. Este tipo de dependencia incluye circunstancias imprevistas como quiebras, litigios, investigaciones de los organismos reguladores o cualquier otro acto de difamación por parte del proveedor que pudiera dañar significativamente el negocio de una organización. Además, la suspensión de los servicios, los cambios en los niveles de servicio o en el enfoque por modificaciones de la estrategia de fusiones o adquisiciones por parte del proveedor, también podrían tener efectos no deseados. La dependencia de Internet puede también afectar a la fiabilidad y funcionamiento del servicio (algo que está fuera del control del cliente y del proveedor). Aunque las líneas dedicadas y las redes privadas pueden utilizarse para la informática en la nube, su principal infraestructura es Internet y, dado que la propiedad y responsabilidad de Internet no están claras para la mayoría, garantizar las obligaciones contractuales con proveedores de red y partes responsables que permitan la conectividad a Internet es prácticamente imposible y muy complicado desde el punto de vista legal.
    • El perfil de riesgo de la nube Han de tenerse en cuenta los riesgos de la informática en la nube. Por un lado, la informática en la nube se basa principalmente en tecnologías existentes, como la virtualización, segregación de datos y servicios web y dichas tecnologías conllevan riesgos (a pesar de que los controles y medidas de mitigación de los riesgos deTI actuales son en gran medida responsabilidad del proveedor, ya que éste posee y gestiona los recursos deTI en la nube). Por otro lado, la informática en la nube tiene unas características que afectan de forma considerable al perfil de riesgo en comparación con la estructura deTI local tradicional. Estas características son: • Almacenamiento y procesamiento de datos externos; • El intercambio de recursos deTI con otros clientes (Multi-tenancy); • Dependencia en Internet Función deTI tradicional Informática en la nube Ubicación del almacenamiento de datos y activos deTI Dentro del dominio seguro (interno) de la organización del cliente Fuera del dominio de seguridad interno de la organización del cliente; alojado/ubicado en un proveedor de servicios en nube o distribuido/repartido entre múltiples proveedores (externos) Utilización de recursos (deTI) Exclusiva para el cliente Diversos grados de multi-tenancy Infraestructura principal para la transferencia de datos LAN, líneas dedicadas Internet Fuente: KPMG, 2011 Almacenamiento y procesamiento de datos On-premise Off-premise TI On-premise Centro de servicios compartidos Alojamiento web Externalización Informática en la nube Acceso y autorización Multi-tenancy (acceso simultáneo de múltiples usuarios a una única aplicación) Single-tenancy (acceso de un único usuario a una única aplicación) Infraestructura de red principal Internet LAN (Red de área local) Consideraciones 20 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 21 7.2 Complejidad del entorno híbrido Como indica su nombre, el entorno híbrido cubre múltiples conceptos relativos a la gestión de datos, contratos y tecnología. La gestión de estos aspectos puede suponer una ardua tarea para las organizaciones. La gestión de datos es importante para evitar interrupciones en el negocio. La complejidad de la gestión de datos en entornos híbridos se debe principalmente al procesamiento y almacenamiento de datos en diferentes ubicaciones físicas. Los datos se distribuyen o reparten entre diversas ubicaciones de los proveedores, además de in situ, lo que conlleva retos en materia de seguridad y privacidad. Es sumamente complicado implantar medidas y procesos de control integrados para la gestión de datos en diversas infraestructuras que, a menudo, son incompatibles. Una segregación de datos insuficiente y el aislamiento de los procesos pueden provocar la contaminación de datos o el incumplimiento de los acuerdos en materia de confidencialidad, si bien la falta de controles de identidad y acceso puede causar que se acceda de forma ilegítima a datos sensibles. En el caso de grandes empresas que deben cumplir regulaciones concretas, contar con medidas inadecuadas en relación con la gestión de datos también podría provocar una situación de incumplimiento regulatorio. Además, el almacenamiento de datos fuera del perímetro de la organización podría provocar problemas de privacidad. Por ejemplo, en el Espacio Económico Europeo las normas son aplicables en lo relativo al procesamiento de datos personales. Todo el que manipule datos personales debe cumplir estas normas, independientemente de cómo y dónde se procesan realmente los datos. En pocas palabras, el cliente que utilice los servicios en nube seguirá siendo responsable de sus datos. Esto supone un riesgo para el cliente, ya que en los escenarios en nube en determinadas ocasiones no queda claro dónde y cuándo se están procesando los datos, cómo se transfieren y quién tiene acceso a dichos datos. Además, este problema se ve acrecentado por la presencia internacional de proveedores de servicios en nube. Dado el aumento de servicios en nube que pueden adquirirse y proporcionarse en todo el planeta, las organizaciones tendrán además contratos con proveedores de diferentes jurisdicciones.
    • 22 | Orquestando el nuevo paradigma Diferentes jurisdicciones implican diferentes legislaciones, normas y procedimientos. Las regulaciones aplicables a ubicaciones geográficas concretas no son compatibles con los servicios de informática en la nube internacionales. En consecuencia, la ubicación de los datos en diversas jurisdicciones puede estar reñida con las legislaciones locales aplicables al cliente. En lo que respecta a la integración técnica, la integración de controles de acceso y la autorización constituyen los mayores retos a los que deben enfrentarse las organizaciones. Las distintas ventajas de la autenticación, sobre todo cuando la autenticación del servicio en nube es menos estricta que los requerimientos del cliente, pueden provocar deficiencias en el entorno deTI provocando que se comprometa la integridad y confidencialidad de los datos. En la mayoría de organizaciones grandes, los procesos de autorización para acceder a recursos deTI internos son complejos y tienen margen de mejora. Con frecuencia, las autorizaciones para cambios de rol/ función dentro de la organización incluyen nuevos permisos pero sin eliminar los antiguos, lo que conlleva que existan demasiados permisos y un posible incumplimiento de las obligaciones de segregación de funciones. Esta complejidad se ve agravada por los servicios en nube que utilizan procedimientos distintos y otras tecnologías para facilitar estos procesos. 7.3 Seguridad Los entornos híbridos tienen consecuencias de gran alcance en el grado de seguridad, sobre todo en lo referente a estados financieros. Para conseguir un entorno seguro, es fundamental que los proveedores actúen con transparencia en lo relativo a datos y gestión de la seguridad física y lógica. Sin embargo, en la práctica los marcos de seguridad resultan a menudo inadecuados. Este hecho supone principalmente un problema para la organización del cliente, ya que la normativa en materia de protección de datos establece que el cliente tiene la obligación legal de validar las medidas implantadas por el proveedor de servicios. Por tanto, cuando se utilicen servicios alojados externamente como informática en la nube, es responsabilidad del cliente saber qué se externaliza, a quién y dónde se procesan y ubican los datos. La norma SAS70 (ahora ISAE 3402) y otros certificados parecen ofrecer una solución a este problema, pero sólo una minoría de los proveedores contrata a Compañías independientes para realizar auditorías externas con regularidad.
    • Además, los controles deTI seleccionados se basan a menudo en la estructura de un único usuario y no en la característica de múltiples usuarios (multi-tenancy) de los servicios en nube. Muchos de los controles necesarios para garantizar la segregación y la utilización de recursos de diversos clientes no se seleccionan y, por tanto, apenas se auditan. Se están formulando nuevas iniciativas de control en materia deTI, pero ninguna termina de implantarse en el mercado. Además, Internet, que es la principal infraestructura de la informática en la nube, es enormemente difícil de auditar y supervisar, ya que la responsabilidad en torno al tráfico de Internet es difícil de asignar y mucho más de imponer. En consecuencia, la gestión con múltiples proveedores, la naturaleza de “caja negra” de la informática en la nube e Internet no suelen ser una buena combinación para los sectores estrictamente controlados. Cabe destacar que la norma SAS70, que se utiliza globalmente para auditar las actividades que afectan a los estados financieros, ha sido reemplazada en junio de 2011 por la norma ISAE3402. Esta nueva norma establece una base internacional con el apoyo de la IFAC (Federación Internacional de Contadores) y el ASB (Auditing Standards Board) de Estados Unidos, además también es aplicable a los controles externalizados relativos a los estados financieros. Orquestando el nuevo paradigma | 23
    • 24 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 25 Orquestación Sistemas de selección de argumentos pempresariales Gestión de riesgos Reducción de riesgos Beneficios de optimizar la gestión 8.1 Argumento empresarial Para hacer uso de la informática en la nube, es fundamental contar con un argumento empresarial sólido. Las organizaciones deberían crear un argumento empresarial basado en cómo utilizar las distintas tecnologías y modelos. Determinados elementos del entorno deTI deberían dejarse tal como están, mientras que otros podrían llevarse a cabo en la nube. El ciclo de vida y la amortización de los activos deTI existentes también deberían valorarse y evaluarse. La idoneidad de la informática en la nube depende en gran medida de las necesidades de negocio de la organización. En la práctica, los servicios personalizados y complejos son mucho menos comunes en la nube que los servicios básicos, como el correo electrónico y el almacenamiento. Además, es poco probable que la información altamente confidencial y sensible se mueva a la nube en el futuro próximo. Se recomienda enérgicamente realizar una estrecha supervisión del mercado. Los cambios se producen a un ritmo vertiginoso y cada uno plantea nuevas oportunidades e inconvenientes. Un paso adelante: orquestación Orquestación Para obtener los beneficios del nuevo paradigma deTI, las organizaciones deberán controlar el entorno híbrido. La capacidad para definir argumentos empresariales, analizar y reducir riesgos y gestionar servicios deTI es la clave del éxito. La combinación de estos elementos es lo que llamamos en este informe orquestación. Fuente: KPMG, 2011 Un entorno híbrido es clave para el éxito. 08
    • El gobierno de los Países Bajos encargó a KPMG un análisis de las posibilidades de la informática en la nube en su estrategia. El objetivo de este proyecto consistía en identificar qué parte de la función deTI del gobierno de los Países Bajos podría trasladarse a la nube y qué tipos de ofertas de informática en la nube eran viables. Según la información recabada durante los talleres y las reuniones de expertos, KPMG determinó que la informática en la nube sólo era adecuada para un subgrupo deTI compuesto por los que cumplen las siguientes condiciones: • No poseen datos altamente confidenciales: este tipo de datos no puede trasladarse a dominios externos por razones de seguridad, privacidad y políticas. • No forman parte de sistemas heredados: la migración o transformación de los sistemas heredados a gran escala con funcionalidades específicas requiere demasiado trabajo e implica un riesgo demasiado grande. • No se han adquirido recientemente: los sistemas que se encuentren en la fase inicial de su ciclo de vida no son adecuados desde el punto de vista financiero dado el largo periodo de amortización. • Cuentan con un número limitado de conexiones con otros sistemas: dado que es necesario concretar los estándares necesarios para interconectar los distintos sistemas entre la nube y el sistema on- premise, se pueden excluir los sistemas complejos. Asimismo, KPMG determinó que sólo era viable una nube privada interna para una parte limitada de los sistemas deTI porque el resto requerían un alto nivel de inversión, unos conocimientos especializados necesarios y apenas aportaban ningún beneficio. Aunque el suministro de servicios en nube se incrementará y se diversificará con el paso del tiempo, los servicios probados y maduros del mercado de informática en la nube externa se limitan principalmente a correo electrónico, aplicaciones de oficina, CRM, colaboración, plataformas de desarrollo de aplicaciones, almacenamiento de datos y capacidad de infraestructuras/servidor. La estrategia de informática en la nube del gobierno de los Países Bajos Servicios en nube maduros no disponibles Datos altamente confidenciales - Nube privada externa -Nube pública Nube privada interna Adecuado para la nube Sistemas complejos Sistemas recientemente adquiridos Sistemas heredados Informática en la nubeTI del gobierno de los Países Bajos Método de análisis de nube de KPMG Fuente: KPMG, 2010 Caso práctico 1: 26 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 27 Un banco internacional encargó a KPMG un análisis de oportunidad con el objetivo de identificar las áreas del entorno de aplicaciones de la entidad bancaria que podrían trasladarse a la nube. Dada la naturaleza excepcionalmente valiosa y confidencial de los datos bancarios, la entidad bancaria exigió un alto nivel de seguridad y control en relación con sus sistemas deTI, por tanto se requería el cumplimiento de las regulaciones y normativas aplicables, tales como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Durante las dos sesiones, KPMG y los representantes de la entidad bancaria (altos representantes de negocio, directores deTI, arquitectos deTI, directores de seguridad, y gerentes de auditoría y riesgos): • Acordaron la definición factible e uniforme de la informática en la nube dentro de la organización. • Acordaron el alcance de las aplicaciones del banco. • Seleccionaron los servicios en nube: definieron y describieron de forma escueta los proveedores de servicios en nube y sus soluciones. Los requisitos previos fueron: - Una probada trayectoria en organizaciones financieras; - Datos almacenados en la UE; - El certificado ISO27001. • Desarrollaron un argumento empresarial: posibles beneficios de las soluciones seleccionadas. • Desarrollaron una valoración de riesgos: posibles riesgos, medidas de mitigación y riesgos residuales. • Analizaron las oportunidades: áreas adecuadas para la informática en la nube. Sólo una parte de las aplicaciones de la entidad bancaria eran adecuadas para la nube. Las principales restricciones fueron el reducido número de proveedores con una probada trayectoria, el riesgo de dependencia en los proveedores y la confidencialidad de los datos de la entidad bancaria. Análisis de una oportunidad de informática en la nube para un banco internacional Plataforma de desarrollo Portales Oficina Correo electrónico RR.HH. Finanzas Inteligencia de negocio DMS (sistema de gestión de documentos)Emisión de facturas Intranet BPM (gestión de procesos de negocio) Sólo bajo condiciones particularmente estrictas Aplicaciones básicasAplicaciones de procesos primarios DatosdominiopúblicoDatosconfidenciales A largo plazo Adecuado Inadecuado ESB (bus de servicios empresariales) CRM (gestión de relaciones con clientes) ERP (planificación de recursos empresariales) Orquestando el nuevo paradigma | 27 Fuente: KPMG, 2010 Caso práctico 2: Análisis de oportunidades de informática en la nube de KPMG
    • 28 | Orquestando el nuevo paradigma 8.2 Gestión de riesgos La gestión de riesgos es un elemento esencial del entorno híbrido. Además de las actividades de gestión de riesgos “tradicionales”, se debería prestar especial atención a las medidas dirigidas a la reducción de los riesgos derivados de una excesiva dependencia en los proveedores, la complejidad de procesos y tecnología y la seguridad. En cuanto a la dependencia en los proveedores y sus productos, se aconseja que se realice una valoración de riesgos en una fase inicial. Se debe evaluar y verificar la trayectoria del proveedor, su integridad y su situación financiera/de mercado. De cara a la implantación de la informática en la nube, los encargados de la toma de decisiones deben tener en cuenta que este mercado se encuentra en fase de desarrollo y que las migraciones a gran escala a la nube y el conocimiento relativo a este tema son escasos. En cualquier caso, el cliente debe preparar una estrategia de salida/ migración. En cuanto a la complejidad de los procesos y la tecnología, se debe identificar el ecosistema en su totalidad, incluidas las diversas relaciones existentes entre los componentes del entorno híbrido. Los servicios en nube están frecuentemente formados por muchas partes ubicadas en diversos emplazamientos, bajo distintas condiciones y sujetas a diferentes legislaciones. Resulta esencial identificar el ecosistema en su conjunto y obtener las suficientes garantías. Se recomienda contar con el derecho a auditar todos los servicios off- premise, aunque la realidad es que los grandes proveedores de servicios en nube aceptan pocas solicitudes de auditoría. Además, muchos auditores no cuentan con el conocimiento técnico y la experiencia necesaria para auditar la arquitectura de la nube. En consecuencia, muchas organizaciones se ven obligadas a fiarse de la transparencia del proveedor mediante informes y certificados. Se aconseja utilizar esta segunda opción en la medida de lo posible. La informática en la nube cuenta con diversas características concretas que afectan de forma significativa al perfil de riesgos, como el almacenamiento y procesamiento de datos externos, el intercambio de recursos deTI con otros clientes (multi-tenancy) y la dependencia en Internet. Estas características conllevan importantes riesgos en muchos ámbitos, como en los propios datos, la seguridad, la privacidad, el cumplimiento y las finanzas. Por tanto, se deberían evaluar los riesgos de todos estos ámbitos, se deberían definir las medidas de mitigación y se deberían asignar responsabilidades.
    • Orquestando el nuevo paradigma | 29 Se encargó a KPMG la evaluación de los riesgos a los que se enfrentaba una organización que ya utilizaba servicios en nube. Las unidades deTI y seguridad no se incluyeron en el proceso de compra, lo que complicó las posibles medidas de mitigación. En el caso de esta organización, identificamos las siguientes cuatro características relevantes de servicios en nube que implicaban riesgos: • El almacenamiento de datos externo; • La arquitectura del tipo multi-tenancy; • El uso de Internet; • La integración con el entorno deTI interno. Estas cuatro características se encontraban en diversas dimensiones de riesgo. Los principales riesgos relacionados con la integración del entorno deTI interno, y más específicamente con la autenticación y autorización de usuarios de negocio. En primer lugar, la autenticación de la organización del cliente (factor 3) era más sólida que la autenticación del proveedor de servicios en nube (factor 2). Esta situación provocó unas deficiencias no deseadas en el entorno deTI con el resultado de que la integridad y confidencialidad de los datos (financieros) podrían resultar dañadas. En segundo lugar, los procesos de gestión (crear, modificar y desactivar/ borrar cuentas) y autorización de usuarios (quién o qué funciones tienen qué tipo de permiso para qué tipo de datos) a los recursos deTI internos no podrían integrarse con los procesos del proveedor de servicios en nube. Por tanto, esta situación de dos dominios separados incrementa el riesgo de mayores complejidades, costes adicionales y gestión. Caso práctico 3: KPMG’s risk dimensions model Orquestando el nuevo paradigma | 29 Financiero Seguridad y privacidad Operativo Tecnología Regulatorio y Cumplimiento Proveedor RIESGOS DE NEGOCIO Source: KPMG in the US, 2010 Una valoración de riesgos relativos a la informática en la nube para una organización enmarcada en el sector de mercados industriales
    • 30 | Orquestando el nuevo paradigma 8.3 Gobierno corporativo El gobierno corporativo aúna la gestión de múltiples proveedores de servicios, control de la demanda/compra y la integración de procesos y tecnología. Si se consigue un gobierno corporativo óptimo del entorno híbrido, aumentará la eficacia del área deTI del cliente. La gestión de múltiples proveedores de servicios incluye elementos similares a los de una estructura deTI tradicional. No obstante, se hace mayor hincapié en la gestión de proveedores, el soporte legal, la supervisión del cumplimiento y la integración. Los principales componentes del gobierno corporativo se describen a continuación. Cualquier persona de la organización puede adquirir bajo pedido los servicios de la informática en la nube sin el conocimiento de los departamentos de riesgo/auditoría y deTI. En consecuencia, podría producirse un exceso o una duplicación de aplicaciones. Para evitarlo, se debería crear una política sobre la informática en la nube para controlar la compra de este tipo de servicios y fomentar el uso correcto de la nube. Asimismo, esta política debería incluir condiciones, compromisos, requerimientos de nivel de servicio, condiciones entre proveedor y cliente y procedimientos relativos al cumplimiento de la política. Definir la arquitectura para garantizar la adecuada interoperabilidad entre las distintas tecnologías y distintos modelos de servicio es un paso importante y asegura la alineación con la estrategia de la organización. En general, contar con una arquitectura uniforme supera las ventajas que se pueden obtener de utilizar diversos modelos. Entender la arquitectura de diversos servicios y sus relaciones es sumamente importante al implantar los servicios. A este respecto, se recomienda prestar especial atención a la Gestión de identidad y acceso (IAM por sus siglas en inglés) y la integración de flujos de trabajo, ya que con frecuencia presentan dificultades técnicas en la práctica. Gestión de proveedores Gestión de contraltos Gestión del nivel de servicio Soporte legal Gestión del riesgo empresarial Supervisión del cumplimento Gestión de la demanda Gestión de cartera de servicios Gestión de Identidad y Acceso Integración de servicios Integración técnica Gestión de la seguridad Source: KPMG in the Netherlands, 2010 Governance
    • El impacto de la informática en la nube conlleva cuestiones fiscales en el país del proveedor de servicios y también en el del cliente. En general, existen tres aspectos fiscales que han de tenerse en cuenta de forma exhaustiva: El primero es el hecho de que se puede producir una cuestión en torno al establecimiento permanente si un proveedor de servicios de informática en la nube tiene un servidor en otro país. En tales casos, las autoridades fiscales del otro país podrían opinar, desde un punto de vista fiscal, que el servidor crea un establecimiento permanente local y que esa parte de los beneficios relacionados son gravables en su país. El segundo guarda relación con el IVA. A efectos de IVA, un proveedor de servicios de informática en la nube podría estar obligado a registrarse en los países en los que se ubican sus clientes y podría estar sujeto al IVA local. El tercer punto a tener cuenta es el establecimiento de servicios de informática en la nube. Bajo determinadas circunstancias, las autoridades fiscales podrían adoptar la posición de que los servicios de informática en la nube prestados a un cliente están sujetos a las retenciones locales. Es de vital importancia que la estructura se establezca correctamente y que los procesos se supervisen de forma continua para minimizar las exposiciones y riesgos fiscales. Para esto se debe contar con un proceso integrado y con un marco de control. A través de la planificación y estructuración, existen oportunidades para diseñar estructuras eficientes desde el punto de vista fiscal cuando las circunstancias sean propicias. La informática en la nube y las cuestiones fiscales – cómo minimizar el riesgo Orquestando el nuevo paradigma | 31
    • 32 | Orquestando el nuevo paradigma 32 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 33 9 Mensaje principal Las organizaciones han de hacer frente a importantes retos tras la crisis financiera. Los principales retos de los encargados de la toma de decisiones son recortar costes, acelerar la comercialización y aumentar la innovación en un entorno de negocio cada vez más competitivo. En este contexto, ¿en qué medida aporta valor la función deTI? La realidad es que la función deTI tiene unos costes demasiado elevados sin añadir el valor suficiente y, además, en ocasiones, puede obstaculizar el proceso de innovación. En la actualidad se está produciendo un cambio de paradigma en la función de TI: la transición de una función local a aplicaciones en Internet. La informática en la nube responde a los intereses de los negocios proporcionándoles servicios a costes menores, permitiendo una implantación más rápida de las aplicaciones y facilitando la innovación. No obstante, la cuota en el mercado deTI de la informática en la nube es insignificante y la cartera de servicios, limitada.Y aún así, el crecimiento de la informática en la nube es sólido, de acuerdo con las altas expectativas del sector. Sin embargo, estamos presenciando un nuevo paradigma y este cambio constituirá una transición repentina del viejo paradigma deTI local tradicional a la informática en la nube pero no supondrá el fin de todas las deficiencias del viejo paradigma. El nuevo paradigma deTI será un entorno híbrido entre los servicios tradicionales, los denominados on- premise y los servicios en la nube, al menos por el momento (2011 - 2015) y ofrecerá oportunidades a las organizaciones, como rentabilidad, flexibilidad y rapidez, así como otros puntos concretos a tener en cuenta. La orquestación del entorno híbrido será un factor clave de éxito y debe contar con la capacidad de definir argumentos empresariales, gestionar múltiples proveedores de servicios, controlar la demanda/compras e integrar los procesos y la tecnología. La organización óptima de un entorno híbrido potenciará la eficacia den el área deTI del cliente y permitirá que las entidades puedan hacer frente a los retos del futuro en un mercado en continuo proceso de cambio. Las organizaciones se enfrentan a retos como recortar costes, acelerar la comercialización y aumentar la innovación La TI tradicional no puede dar el soporte necesario al negocio Parece que la informática en la nube ofrece soluciones La informática en la nube está emergiendo pero todavía es un fenómeno marginal Para el periodo 2011 – 2015, el modelo predominante será el entorno híbrido El entorno híbrido alberga oportunidades y riesgos La orquestación del entorno híbrido es un factor clave de éxito Mensaje principal Fuente: KPMG, 2011
    • Appendix 34 | Orquestando el nuevo paradigma
    • Orquestando el nuevo paradigma | 35 Información complementaria sobre la informática en la nube Si buscamos el término en un motor de búsqueda de Internet aparecen múltiples definiciones, descripciones y opiniones sobre la informática en la nube. Algunos hablan de “aplicaciones en Internet” o “un estilo computacional en queTI proporciona capacidades escalables y flexibles como servicios a clientes externos a través del uso de tecnología de Internet’, mientras otros lo califican en términos tales como “el mismo perro con distinto collar”. Obviamente, no hay consenso y sí mucha confusión en cuanto a lo que realmente es la informática en la nube. En términos sencillos, la informática en la nube es la prestación de servicios deTI a partir de recursos compartidos en Internet. A menudo Internet se describe como una nube, de ahí la expresión “informática en la nube”. Entre los ejemplos más famosos de aplicaciones de informática en la nube se encuentran Gmail, Google Apps, Hotmail y Apple MobileMe. La razón por la que este concepto en apariencia sencillo es explicado de formas tan dispares por proveedores deTI, analistas y académicos responde principalmente al hecho de que la informática en la nube es una combinación de importantes elementos tecnológicos y empresariales. Anexo A “La informática en la nube es un conjunto de aplicaciones y plataformas alojadas en un servidor, basadas en infraestructuras compartidas y prestadas través de un navegador web.” Responsable del sector en Google Enterprise TI tradicional on-premise frente a la informática en la nube Fuente: KPMG, 2010 Local Customer Usuarios Suscripción PAYG Hardware, Software + datos Licencias y costes de soporte Informática en la nube Customer Usuarios Hardware, Software + datos ProveedorProveedor Internet Servicios de TI Servicios de TI
    • 36 | Orquestando el nuevo paradigma Desde el punto de vista tecnológico, la informática en la nube se basa en tecnologías ya existentes tales como virtualización, servicios web, memorias caché de datos compartidos y sistemas informáticos grid. Dado que los proveedores de servicios de aplicación (ASP por sus siglas en ingles) han proporcionando aplicaciones deTI a través de Internet durante más de una década, la informática en la nube puede describirse de hecho como “el mismo perro con distinto collar”. No obstante, la prestación comercial de servicios deTI en Internet a gran escala a través de grupos compartidos de recursos deTI es económicamente viable tras tres desarrollos relativamente recientes. En primer lugar, las tecnologías antes mencionadas, de las cuales la virtualización y los servicios web son los más importantes, han sido mejoradas, estandarizadas y ampliamente aplicadas durante los últimos cinco años. En segundo lugar, las redes de banda ancha pública son abundantes y fácilmente accesibles a un coste razonable. En tercer lugar, determinados proveedores han ampliado enormemente la magnitud de sus recursos, convirtiéndolos en los principales agentes del mercado de informática en la nube actual. El principio empresarial de la informática en la nube se basa en el hecho de que la posesión/propiedad de recursos deTI (esto es, aplicaciones, plataformas o infraestructura) es independiente del uso de esos recursos. En la informática en la nube, los recursos deTI, ya sea una aplicación o almacenamiento, siguen siendo propiedad del proveedor de los servicios en nube y los clientes sólo pagan por el uso del servicio deTI sin tener que llevar a cabo instalaciones de software o hardware locales. En teoría, la informática en la nube no exige inversiones iniciales (desembolsos de capital) a diferencia de laTI tradicional. El cliente sólo debe tener acceso a Internet. Los servicios en nube incluyen diversos niveles deTI. A nivel de software, este servicio se conoce como Software como servicio (SaaS). La Plataforma como servicio (PaaS) proporciona servicios deTI a nivel de plataforma (P.ej., sistemas operativos, marcos de aplicación) y, en este caso, los clientes después deben desarrollar o instalar software adicional. La Infraestructura como servicio (IaaS) proporciona componentes de infraestructura técnica (p.ej., almacenamiento, memoria, CPU, red). El cliente debe instalar plataformas y software adicionales o podrá utilizar componentes de infraestructura concretos para procesos on-premise (véase el siguiente diagrama). En general, los proveedores de servicios en nube se especializan sólo en uno o dos niveles. Dependiendo del nivel, la informática en la nube cuenta con las siguientes características: • Almacenamiento y procesamiento de datos externos. A diferencia de la TI tradicional, los datos se almacenan y procesan fuera del dominio del cliente en la/s ubicación/ubicaciones de los proveedores de servicios en nube • Multi-tenancy. En contraposición a laTI tradicional, los recursos son compartidos (hasta cierto punto) por múltiples clientes • Dependiente de Internet. Aunque las líneas dedicadas y las redes privadas pueden utilizarse para la informática en la nube, su principal infraestructura es Internet Niveles de informática en la nube Fuente: KPMG, 2010 IaaS PaaS SaaS Salesforce.com, Microsoft Office 365, Gmail Software + Plataforma + Infraestructura Amazon EC2, Terremark, RackSpace Infraestructura App Engine, Force.com, Azure Plataforma + Infraestructura
    • Orquestando el nuevo paradigma | 37 Diferentes tipos de informática en la nube • Servicios contratados. Los clientes pagan por un servicio (suscripción o PAYG) en lugar de licencias o hardware • Servicios bajo pedido. En contraste con la gran mayoría de la TI tradicional, los servicios en nube pueden utilizarse casi de forma instantánea • Elasticidad. Los servicios en nube se pueden ampliar y reducir La condición de multi-tenancy puede limitarse a un grupo selecto de clientes o incluso a un único cliente, aunque siempre existe cierto grado de multi-tenancy (p.ej., instalaciones físicas, área de refrigeración, personal de soporte) en la informática en la nube. Esta forma de informática en la nube privada o dedicada representa una alternativa a la nube pública con un alto nivel de multi-tenancy. En cualquiera de las formas, los datos del cliente se almacenan en la ubicación del proveedor. Determinados proveedores ofrecen soluciones de informática en la nube privada en las que un departamento deTI interno de una organización utiliza las tecnologías de informática en la nube para crear una “nube on-premise”. Dado que esta forma interna de informática en la nube depende totalmente de laTI interna, es altamente discutible si puede llamarse realmente informática en la nube. Por tanto, este tipo de nube interna no se comenta en el presente documento. Fuente: KPMG, 2010 Informática en la nube interna Cliente A deTI interno Cliente A Servicio Internet TI Proveedor Cliente A Cliente B Cliente C Informática en la nube privada TI TI TI Internet Internet Internet Servicio Servicio Servicio Proveedor Cliente A Cliente B Cliente C Informática en la nube pública TI TI TI Servicio Service Servicio Servicio Internet
    • 38 | Orquestando el nuevo paradigma Enfoque Este documento refleja la visión de KPMG sobre la informática en la nube aportando una amplia perspectiva. La base del contenido ha sido facilitada por un equipo de especialistas internacionales en esta materia pertenecientes a la red de firmas miembro de KPMG International durante septiembre y octubre de 2010. Además, también se han utilizado los informes y publicaciones existentes de KPMG. La version original de este documento fue escrita por Mike Chung con el auspicio de John Hermans (socio de KPMG en Países Bajos) Referencias • From Hype to Future, KPMG’s 2010 Cloud Computing Survey, KPMG, 2010 • Clouds in the Forecast – Canadian perspectives on the promise of cloud computing services for businesses, KPMG, 2010 • IT Attestation in the cloud, KPMG, 2010 • Audit and Compliance in the cloud, KPMG, 2010 • Executive ConsiderationsWhen Building and Managing a Successful Cloud Service, KPMG, 2009 • Audit in the cloud, security audits versus cloud computing, Mike Chung, KPMG, 2010 • Assurance in the cloud, impact of cloud computing on financial statements, Mike Chung, Compact, 2011. • OECD InformationTechnology Outlook 2010, OECD, 2010 Contacto KPMG en España Pablo Montoliu Socio, KPMG en España T: +34 91 456 3897 pamontoliu@kpmg.es Enfoque, referencias y contacto Anexo B
    • © 2011 KPMG Asesores S.L., sociedad española de responsabilidad limitada, es una filial de KPMG Europe LLP y firma miembro de la red KPMG de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza.Todos los derechos reservados. KPMG, el logotipo de KPMG y “cutting through complexity” son marcas registradas o comerciales de KPMG International. La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar que siga siéndolo en el futuro o en el momento en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y exactitud, así como del pertinente asesoramiento profesional. John Hermans Socio KPMG en Holanda T: +31 6 5136 6389 E: hermans.john@kpmg.nl Mike Chung Manager KPMG en Holanda T: +31 6 1455 9916 E: chung.mike@kpmg.nl Frank Rizzo Socio KPMG en Sudáfrica T: +27 11 6477 388 E: rizzo.frank@kpmg.co.za Greg Bell Socio KPMG en Estados Unidos T: +1 404 222 7197 E: rgregbell@kpmg.com RickWright Socio KPMG en Estados Unidos T: +1 617 988 1163 E: richardwright@kpmg.com TudorAw Socio KPMG en ReinoUnido T: +44 207 694 1265 E: aw.tudor@kpmg.co.uk Alain Beuchat Socio KPMG en Suiza T: +41 44 249 2017 E: abeuchat@kpmg.com Matthias Bossardt Senior Manager KPMG en Suiza T: +41 44 249 2239 E: mbossardt@kpmg.com Uwe Bernd-Striebeck Socio KPMG en Alemania T: +49 201 455 6870 E: uberndstriebeck@kpmg.com Arne Helme Director KPMG en Noruega T: +47 40 63 9507 E: arne.helme@kpmg.no Contactos