1

El dato, la materia prima de la nueva Industria 4.0

descarga

Este tercer y último post, lo voy a enfocar de una manera algo distinta a lo que he venido haciendo en los anteriores post. En este sentido, dada la gran información que he tenido que sintetizar y dado que los diferentes textos que he leído tenían unas temáticas tan diversas, me centraré en destacar los puntos comunes que he ido encontrando y dar mi particular punto de vista acerca de los mismos.

En las diferentes lecturas que he ido analizando, todas ellas tienen una cosa en común: el dato. Desde mi punto de vista, en la sociedad de la información en la que vivimos el dato es el activo más importante de las compañías y muchas veces se desconoce el grandísimo potencial que este tiene.

El dato, se ha convertido en la piedra angular de toda organización y por ende, cualquier organización que se precie, debe contar con unas estrategias de negocios y de IT, que sepan aprovechar, explotar y gestionar los datos para obtener el conocimiento. En pocas palabras, el dato es la materia prima que genera el valor añadido en el mundo empresarial.

La primera problemática en este sentido, viene por la incapacidad de saber explotar estos datos. En la lectura (Las organizaciones sacan poco partido a su información”), hacía referencia a que no se sacaba provecho de los datos, pero en realidad lo que los directivos desconocen es que un dato sin su contexto, indicadores, etc … no tienen ningún potencial. De la misma forma que un diamante en bruto (el dato), hasta que no se consigue pulir, no obtiene el valor final, el conocimiento.

Por eso, es muy importante desde mi punto de vista el rol vital que juega el Data Scientist. El data scientist, es la figura que sabe explotar los datos presentes en las empresas; dotando de indicadores y marcadores a los datos para obtener información y dotando a ésta de un contexto determinado para saber qué conocimiento se puede extraer.

Para poder llevar a buen puerto estas iniciativas, es necesario que el ingeniero de datos tenga unos altos niveles de formación que le permitan usar las herramientas de una forma adecuada.

Es paradigmático el caso de las compañías que intentando sacar provecho de la información, invierten grandes cantidades de dinero y recursos a IT, sin tener una formación adecuada de las herramientas y sin tener un rumbo y estrategia fijados. En este caso, el fracaso no viene por invertir en IT, sino en no haber fijado unos objetivos iniciales para esa inversión.

En resúmen, los ingenieros de datos son importantes pero siempre hay que tener presente que su función es acompañar a los procesos de negocio para mejorarlos. En el caso de que un directivo piense que el Big Data y el data science es la panacea y que gracias a ello conseguirá resolver todos los problemas, verá como su iniciativa está abocada al fracaso desde el inicio.

Una de las tecnologías que más potencial están demostrando tener es el IoT. El IoT, permite recabar datos que antes parecían imposibles de obtener. Esta tecnología junto a una extensa red de comunicaciones y el uso de innovadoras tecnologías como el 5G, hace posible el tener un amplio abanico de fuentes de información heterogéneas.

Siguiendo con este razonamiento, se podría pensar que cuantos más datos se tengan en la empresa, mejores resultados se podrán obtener o que mayor conocimiento se podrá extraer. No obstante, este postulado falla en un principio esencial, el dato debe responder a la  pregunta ¿con qué fin necesitamos este dato?. Por lo tanto, muchos de los datos que recogemos podríamos filtrarlos y quedarnos solo con aquellos datos que realmente puedan tener un potencial futuro.

Para ello, me baso en lo que ya he explicado anteriormente, la clave del éxito radica en tener unas estrategias bien definidas que permitan hacer un uso razonable de los datos. En caso contrario, podríamos tener demasiada información de ciertas áreas de la empresa y demasiado poca de otras. O algo aún peor, si la cantidad de fuentes es muy diversa y no se realiza una gestión adecuada, es posible que se pierda la relación existente de los datos.

En definitiva, las compañías empiezan a entender el potencial que tiene la información en sus procesos organizativos pero aún muchas de ellas carecen del conocimiento y formación necesarias para poder explotar esta información. Además, muchas de ellas al carecer de este conocimiento, no son capaces de definir unos objetivos adecuados y unas estrategias que hagan posible el logro de estos objetivos.




Las claves de la transformación de los SI: servitización y computación en la nube

information-systems-word-cloud-concept-450w-397746262Hoy en día, estamos ante un cambio de paradigma en el mundo actual y la tecnología juega un papel crucial en este tranformación. Como destacó Juan Pedro Moreno, presidente de Accenture España, los clientes ya no solo demandan un producto de calidad sino una experiencia de usuario distinta a la competencia y un servicio excepcional.

Este último punto, el de la servitización resulta crucial para entender este cambio y en el caso de los sistemas de información empresariales, estos no son la excepción. Por lo lo tanto, en la actualidad los SI están sufriendo una transformación integral mediante la adopción de las nuevas tecnologías para ofrecer más y mejores servicios.

Los SI forman parte del núcleo de las compañías y se podrían considerar las venas y arterias que logran comunicar los diferentes procesos del negocio y permiten gestionarlos de una forma centralizada.

Como ejemplo de la transformación que han llevado a cabo los SI, podemos tomar como referencia la que en la actualidad es considerada la empresa referencia de los SI, SAP. Esta compañía, por ejemplo ha pasado de ofrecer sus sistemas de información empresarial como lo venía haciendo hasta ahora (en forma de licencias e integrandolas a los entornos de sus clientes), a distintas e innovadoras formas basadas en el paradigma del As a Service, es decir ofrecer la tecnología como un servicio y no como un producto. [1] [2]

El paradigma CaaS (Computación como servicio), ofrece 3 grandes posibilidades a las empresas en función de la cantidad de recursos que desean tener alojados en la nube: SaaS, PaaS y la IaaS.

El primero de ellos, el Software as a Service se define como una forma de ofrecer las aplicaciones a través de Internet. SAP ha desarrollado la plataforma HANA que permite acceder a los distintos servicios y funcionalidades de un SI convencional pero con el aliciente de que SAP se encarga de gestionarlo.

Por consiguiente,  no es necesario ni instalar el software ni tener que actualizarlo y lo más importante, no es necesario destinar recursos informáticos a tenerlo alojado debido a que este reside en la nube y su acceso se realiza a través de internet.

En el segundo de los casos (PaaS), se permite un mayor grado de gestión para las empresas, al tener el control sobre las aplicaciones pero teniendo las demás capas de servicio alojadas en la nube. De esta forma los SI permiten ser desarrollados, adaptados y gestionados a nivel interno pero teniendo sus sistemas alojados en la nube. En el caso de SAP, contamos con la herramienta SAP Cloud Platform para dar cabida a todas estas funcionalidades

Por último, la IaaS (Infraestructure as a Service), es una plataforma a medio camino entre el PaaS y los sistemas completamente “In house”, es decir las empresas deciden alquilar a un tercero (el proveedor de servicios en la nube, CSP) toda la infraestructura técnica necesaria para poder dar soporte a los SI.

iaas-paas-saas-comparison-1024x759

Por último, SAP también está haciendo grandes avances en diversas áreas novedosas como la inclusión de IA conversacional  para la creación de chatbots (SAP conversational IA), el uso de la plataforma Leonardo para la realización de proyectos basados en el machine learning o el más reciente proyecto de Blockchain (SAP Cloud Platform Blockchain) [3]

Por todo lo que he explicado anteriormente, considero que los sistemas de información está sufriendo una transformación trascendental pero quizás uno de los factores que muchas veces no se tiene en cuenta es la brecha tecnológica que esta transformación puede causar.

Por esta razón, las empresas que decidan cambiar sus procesos de gestión y adoptar una nueva tecnología para apoyarlos debe también tener en cuenta el factor más importante del éxito, ¿los empleados y usuarios serán capaces de explotar la tecnología?.

Con este fin, la formación de los empleados resulta esencial y debe estar enfocada de una perspectiva proactiva, los propios empleados deben ser los promotores y partícipes del cambio y no deben estar forzados a adaptarse. Por ejemplo, en muchas empresas y gracias a los nuevos cambios tecnológicos los empleados son capaces de realizar su trabajo haciendo uso de sus propios dispositivos (lo que comúnmente se conoce como Bring Your Own Device BYOD), reduciendo los niveles de adaptación a sistemas a los que no están habituados.

Otra de las ventajas de estos sistemas radica en su descentralización, al ser necesario únicamente un dispositivo para acceder a estos sistemas los usuarios pueden conectarse donde y cuando quieran, ofreciendo unos niveles de libertad y movilidad mayores.

En resúmen, los SI como ocurre en cualquier entorno empresarial están en la cresta de la ola de la revolución tecnológica y las empresas deben ser conscientes de los nuevos cambios que están por llegar tanto desde la perspectiva del cambio tecnológico pero también desde la visión del cambio de la forma de trabajar de las personas.

[1] «What is Cloud Computing – Datamation.» 27 marzo 2017, https://www.datamation.com/cloud-computing/what-is-cloud-computing.html. Se consultó el 13 diciembre 2018.

[2] «SAP Cloud Platform: PaaS en la nube (cloud) y desarrollo de apps | SAP.» https://www.sap.com/spain/products/cloud-platform.html. Se consultó el 13 diciembre 2018.

[3] «SAP Announces New Products and Choice | Intelligent Enterprise.» 6 junio 2018, https://news.sap.com/2018/06/sapphire-now-sap-intelligent-enterprise-products-choice/. Se consultó el 13 diciembre 2018.




Valoración final y conclusiones del mundo Cloud

83En este quinto y último post, mencionaré brevemente cuáles han sido los puntos más importantes de los últimos 4 posts, continuaré con la explicación de algunas de las cuestiones que me deje en el tintero y finalmente haré una valoración de todo el trabajo realizado y que me ha supuesto la realización de este trabajo.

En primer lugar, debo decir que el mundo del Cloud Computing es tan amplio que la mayor dificultad que he tenido para la redacción de estos Posts ha sido el poder filtrar y mostrar aquella información más relevante. Dicho esto, considero que si bien es cierto que en el tercer y cuarto post hable de los riesgos y controles respectivamente, hubo algunas cuestiones que no trate respecto a la mitigación de riesgos.

Antes de definir algunas técnicas de mitigación, conviene repasar algunos de los riesgos más comunes en Cloud computing [1], como son la pérdida de propiedad intelectual, la confianza y la calidad de los acuerdos firmados con el tercer y seguramente el más importante de todos, la protección de los datos.

En este sentido, según se detalla en la presentación elaborada por Protiviti y publicada en KnowledgeLeader [2], una vez se identifican las áreas de riesgos, se deben implementar controles con un claro objetivo: la mitigación de los riesgos estos riesgos.

Por ejemplo, en el caso de la propiedad intelectual, se propone la instauración de controles de monitorización, un diseño seguro y encriptado de la propia arquitectura y una gestión adecuada de las políticas de copias de seguridad. Las empresas, dependen en gran medida de uno de los activos más valiosos: el conocimiento que poseen y la información que respalda a dicho conocimiento. Por lo tanto, en el caso de tener dicho conocimiento almacenado en un tercero, es realmente importante asegurarse de que se estén implementadas unas buenas políticas de seguridad.

Por otro lado, se menciona como uno de los puntos clave el implantar políticas de control de acceso efectivas y un sistema de autenticación seguro para tener acceso al CSP. Como ya he mencionado anteriormente, el punto central es la protección de los datos y por ende, la forma de mitigar posibles problemas y brechas de seguridad viene por tener sistemas que sean seguros por defecto y por diseño. Para hacer estas dos características efectivas, es necesario definir de antemano la segregación de roles y funciones y después implantar estas políticas.

Por último, con el fin de llevar a cabo controles más exhaustivos es igual de importante la tenencia de unas gestión de logs adecuada. Los logs, son el mejor sistema para comprobar y revisar  el funcionamiento de los sistemas alojados en la nube. Por lo tanto, es necesario que estos logs sean accesibles en todo momento y que mediante una gestión segura se asegure su integridad.

Una vez explicado este breve apartado sobre la mitigación de los riesgos, me gustaría concluir esta serie de Posts con unas valoraciones generales.

Considero que el Cloud Computing es el futuro y debido a sus grandísimos potenciales todas las empresas que cuenten con recursos suficientes adoptarán de una forma u otra la tecnología Cloud. No obstante, antes de adoptar la tecnología es necesario estudiar el sistema que mejor se adapta a las necesidades de cada empresa. No hablo solo de la parte IT sino también a aquellas cuestiones que he enfatizado como son los acuerdos contractuales o el derecho a la realización de auditorías independientes (el estándar SAS 70 entre otros) [3].

Por otra parte, desde mi punto de vista las empresas deben seguir una regla de oro básica: aplica al menos los mismos criterios de seguridad a los sistemas que tienes en la nube, respecto a los sistemas propios. El hecho de externalizar los recursos no implica una externalización de responsabilidades.

Finalmente, creo que esta serie de Posts me ha permitido enriquecer mis conocimientos sobre este campo en particular, y también considero que la parte de auditar estos sistemas en la nube, no difiere mucho a una auditoría IT de los sistemas tradicionales. No obstante, aunque la metodología pueda parecer similar, el impacto que pueden tener estos riesgos y radicalmente diferente.

 

[1] «Risks in Cloud Based Services: A Primer | KnowledgeLeader.» https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/gurisksincloudbasedservicesaprimerguide. Se consultó el 1 diciembre 2018.

[2] «Cloud Computing Training Guide | KnowledgeLeader.» https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/GUCloudComputingTrainingGuide. Se consultó el 1 diciembre 2018.

[3]  «SAS 70 Service Organization Auditing Standards, Public Accounting ….» http://sas70.com/. Se consultó el 1 diciembre 2018.




Caso práctico de Auditoría en el mundo del Cloud

How-to-safeguard-your-business-against-future-audits-846x564Como ya adelanté en el anterior post, este cuarto post lo centraré en exclusiva en analizar un caso práctico de auditoría aplicado al mundo del Cloud Computing [1]. Si que me gustaría destacar, que a pesar de que la resolución del caso es correcta, ISACA ha realizado una serie de cambios importantes en las últimas versiones de COBIT, la quinta en particular. Por lo tanto, este post ha sido elaborado con la información que ISACA ha publicado con fin divulgativo pero es necesario acceder a los manuales más recientes si se desea elaborar una auditoría de sistemas alojados en la nube completa y elaborada mediante los estándares más recientes.

En el caso que analizamos en este post, la compañía A, ofrece una solución de software llamada Business Express mediante un modelo de distribución SaaS, no obstante la compañía no cuenta con la infraestructura propia necesaria para ofrecer esta solución. Por lo tanto, ha decidido hospedar su infraestructura en la nube (IaaS) mediante un acuerdo entre esta empresa y un CSP (Cloud Service Provider).

En resúmen, el CIO de la compañía ha decidido encomendar a un auditor de sistemas la tarea de auditar los dos aspectos que he mencionado anteriormente: la solución que ofrece la compañía en forma de SaaS y los sistemas alojados en la nube(IaaS) del CSP para soportar esa solución.

Una vez el CIO le ha comunicado al auditor cuales son las dos cuestiones a auditar, el auditor ha decidido elaborar un plan de auditoría con el fin de identificar los riesgos existentes en ambos sistemas. Para la realización de dicha auditoría, en la actualidad existen multitud de frameworks distintos de los que hacer uso.

Por una parte se puede hacer uso de frameworks genéricos como el elaborado por COSO (Enterprise Risk Management-Integrated Framework), y por otra parte, se pueden utilizar los frameworks referentes a la parte IT como son el ISO 27001 o el ITIL. Asimismo, diferentes organismos e instituciones como la CSA (Cloud Security Alliance), la ENISA, o el NIST [2] (US National Institute of Standards and Technology), ya han publicado diferentes guías referentes al tema que se trata  en cuestión, las auditorías del cloud computing. Finalmente, COBIT es un estándar que permite la realización de una auditoría holística que permita identificar los riesgos más relevantes de IT.

Por todo lo mencionado anteriormente, el auditor ha decidido hacer uso del framework Risk IT. Este framework se basa en los principios de COBIT pero complementandolo con todos aquellos riesgos no relacionados con IT que COBIT no contempla. Además, también hace uso de las distintas guías específicas sobre Cloud Computing que he mencionado antes para tener en cuenta también los riesgos propios de esta tecnología. Gracias a todo ello, el auditor consigue elaborar un listado de 36 escenarios distintos a analizar donde se relaciona cada riesgo IT con los objetivos de control propuestos por COBIT.

Dado que el documento cuenta con información abundante acerca de la realización de los controles, he decidido centrarme en las conclusiones del informe y destacar aquellas cuestiones más relevantes.

Por ejemplo, el riesgo número 34 hace referencia a la los riesgos relacionados con los acuerdos contractuales, los referentes de los distintos proveedores de servicios en particular. El auditor al analizar el acuerdo percibe la carencia de una auditoría externa al CSP, una cuestión trascendental antes de entablar cualquier tipo de relación con este tercero.

Este ejemplo, demuestra cómo COBIT no solo permite auditar riesgos tecnológicos sino que además, también analiza y estudia un amplio espectro de riesgos que van más lejos de la propia tecnología como es en este caso son los acuerdos contractuales.  Es decir, una análisis holística de los riesgos.

El informe elaborado por el auditor también destaca como la integridad de los datos se ve comprometida por la carencia de un sistema seguro de comunicación entre la empresa A y los sistemas alojados en el CSP (punto 28). Además, en lo referente a los Service Level Agreements (SLA), estos presentan un nivel de detalle escaso y la calidad del servicio (QoS) también se ha visto comprometida.

En resúmen y como demuestra esta infografía teniendo en cuenta los criterios de probabilidad e impacto, hay dos cuestiones a destacar: los aspectos asociados a los acuerdos contractuales y los aspectos referentes a la seguridad en la comunicación entre ambas entidades (Empresa A y los sistemas alojados en el CSP).

Para concluir, el objetivo final de este post ha sido el mostrar un framework metodológico para identificar, clasificar y priorizar los riesgos más relevantes en la implantación de esta tecnología. Al fin y al cabo, la clave del éxito radica en saber destinar los recursos en función de las prioridades de cada riesgo (prioridades alineadas con la estrategia del negocio). Por otra parte, los controles son importantes y resultan cruciales pero siempre se debe tener en cuenta una simple cuestión ¿Este nuevo control me va a suponer un coste superior al riesgo que intento evitar?, de ser así el implantar el control no es una opción viable.

En definitiva, cualquier control que se realice tiene un claro objetivo: identificar el impacto de los riesgos en el negocio. Por consiguiente, toda esta gestión de riesgos IT debe ir alineada con la estrategia de la empresa.

[1]  «SP 800-144, Guidelines on Security and Privacy in … – NIST CSRC.» https://csrc.nist.gov/publications/detail/sp/800-144/final. Se consultó el 29 noviembre 2018.

[2] «Cloud Computing Risk Assessment A Case Study – isaca.» https://m.isaca.org/Journal/archives/2011/Volume-4/Documents/jpdf11v4-Cloud-Computing.pdf. Se consultó el 29 noviembre 2018.




Riesgos en el entorno Cloud. Una perspectiva holística de los riesgos

Cloud-Computing-1El pasado lunes, se celebró en Bilbao uno de los eventos más importantes relacionados con la ciberseguridad (Basque Cybersecurity Day) y como no era de extrañar, en prácticamente todas las conferencias se citó de una forma u otra los posibles riesgos asociados a las tecnologías emergentes (entre las cuales se incluye, el Cloud Computing) . No obstante, el enfoque que se le dio a los riesgos tecnológicos era radicalmente distinto a la opinión que tenía acerca del tema.

Por lo tanto, el post que tenía pensado escribir la semana pasada ha sido totalmente reescrito, y he decidido explicar el framework propuesto por ISACA [1] para abordar los riesgos de la tecnología del Cloud Computing pero enriquecido con todas las aportaciones de relevancia que escuché en el ciclo de conferencias.

Entre todas las conferencias hubo una que me llamó la atención en particular, la realizada por la actual CEO de Siemens España, Rosa García [2]. En esta conferencia se abordó la gestión de los riesgos desde un punto de vista holístico y destacaba como en el punto en el que nos encontramos hoy en día los riesgos IT se deben entender como una parte más de la estrategia empresarial. En pocas palabras, cuando se habla de seguridad en estos términos, no solo nos referimos a la parte de la tecnología o la parte “ciber”, sino a todo el entorno que compone la seguridad (la seguridad de los datos y la información, el plan de gobernanza IT, los modelos de fallo y de contingencia, la gestión del cambio, etc … ).

Por otra parte, otro de los puntos relevantes (especialmente para entender el mundo de los riesgos del Cloud Computing), es el referido al papel de los proveedores. La robustez de la seguridad de una organización, viene marcado por el eslabón más débil de la cadena y muchas veces este eslabón ni siquiera es parte central de la organización como es el caso de los proveedores (en los cuales se incluyen los proveedores de servicios cloud). En este punto, son destacables los datos de la encuesta elaborada por KPMG [3] donde cita como el 44% (12 puntos más que en el año 2017) de los encuestados no posee ningún tipo de instrumento para el control del framework de seguridad con los proveedores. Además el 34% de los encuestados, tampoco poseen ningún tipo de control de ciberseguridad en los contratos de terceros y finalmente, el 59% ni siquiera tienen el derecho contractual a la realización de una auditoría del proveedor.

En definitiva, la adopción del cloud computing muchas veces va ligada a contratos con terceros, los proveedores de servicios. No obstante, muchas de las empresas no realizan ningún tipo de supervisión o control de estos y ello supone un claro riesgo para la seguridad de sus empresas. Para explicarlo mejor, me valdré de la siguiente infografía elaborada por Deloitte.[4]

Captura de pantalla 2018-11-10 a las 21.54.03

La infografía representa el nivel de responsabilidad que debe adquirir una compañía en función de su grado de dependencia de terceros. Es decir, una empresa cuyos sistemas estén totalmente gestionados a nivel interno, es totalmente responsable del sistema pero una empresa cuyo entorno está totalmente alojado en la nube, debe ceder esa responsabilidad al tercero.se 

Pero siempre hay que tener en cuenta un hecho crucial, aunque cedas la responsabilidad de tu sistema a un tercero, la responsabilidad de los datos que se gestionan en él siempre va a seguir siendo tuya. Pongamos como ejemplo la seguridad de un teléfono móvil: la seguridad del terminal es responsabilidad del fabricante. Sin embargo, el usuario sigue siendo responsable de la forma en la que use este terminal y en el mundo Cloud sigue siendo igual.

Por otra parte y siguiendo con lo planteado inicialmente, me gustaría listar cuales son los riesgos más comunes que deben afrontar las empresas en el mundo del Cloud. El próximo listado de riesgos se extrajo de un informe de ISACA donde se mencionaba una encuesta elaborada por la Cloud Security Alliance [5].

En primer lugar, los CSP (Cloud Service Providers) suelen ofrecer APIs públicas para el acceso a los sistemas en la nube, desde la autenticación y gestión de credenciales hasta la monitorización del uso de recursos. No obstante, estas APIs pueden suponer una puerta de entrada a posibles vulnerabilidades.

En segundo lugar, el documento destaca un problema que mi compañero Pablo ya ha tratado en sus respectivos posts con mucho más detalle, los Insiders Threads. En este caso, el problema se extiende no solo al personal propio de la organización sino al personal perteneciente por ejemplo a los CSP. Este elemento resulta crucial para entender la importancia que tienen los controles al personal implicado de la organización, especialmente a las relaciones con terceros.

Por otro lado, en la mayoría de servicios en la nube los recursos computacionales son compartidos por diferentes usuarios y organizaciones. A pesar de poder contar con elementos de seguridad que permiten aislar el acceso a estos recursos, siempre pueden ser un foco de conflicto.

El cuarto y último aspecto a tratar entre los principales riesgos asociados está relacionado con la pérdida de datos e información. En este punto, hay dos riesgos que hay que tener en cuenta con los datos que se alojan en la nube: la posible pérdida de datos y la aún peor posible filtración de los mismos. Actualmente, las organizaciones y sus estrategias de negocio están completamente orientadas a los datos y por ende, este punto debe ser supervisado y auditado con especial atención.

En definitiva, los servicios alojados en la nube suponen un nuevo reto a las organizaciones que lo incorporan. Además, a pesar de que los riesgos relacionados con la tecnología no son nuevos, el paradigma del cloud computing acrecienta estos riesgos de una forma u otra como ya he mencionado anteriormente.

Por último, me gustaría adelantar el contenido del próximo post donde expondré un caso práctico elaborado por ISACA explicando las medidas y controles que se deben tomar en las organizaciones que decidan adoptar esta tecnología.

Fuente consultadas:

[1] «IT Control Objectives for Cloud Computing – Information Security ….» https://www.isaca.org/chapters2/kampala/newsandannouncements/Documents/IT%20contro%20objectives%20for%20Cloud%20computing.pdf. Se consultó el 10 noviembre del 2018.

[2] García, R. (2018). Perspectiva del CEO en la gestión del Riesgo Empresarial. Conferencia realizada en el Basque Cybersecurity Day.

[3] «Clarity on Cyber Security – KPMG.» 25 mayo 2018, https://assets.kpmg.com/content/dam/kpmg/ch/pdf/clarity-on-cyber-security-2018.pdf. Se consultó el 10 noviembre del 2018.

[4] «Cloud Cyber Risk Management – Deloitte.» https://www2.deloitte.com/content/dam/Deloitte/us/Documents/about-deloitte/us-allian-deloitte-cloud-cyber-risk-considerations-amazon-web-services.pdf. Se consultó el 10 nov.. 2018.

[5] «Top Threats Cloud Computing V1.0 – Cloud Security Alliance.» https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf. Se consultó el 10 noviembre del 2018.

[6] «Risk Landscape of Cloud Computing – isaca.» https://www.isaca.org/Journal/archives/2010/Volume-1/Pages/Risk-Landscape-of-Cloud-Computing1.aspx. Se consultó el 10 noviembre del 2018.

 




Tendencias actuales en el mundo del Cloud Computing

0206-Apertura-CloudComputing-BBVAEn esta segunda entrada del Blog, expondré las tendencias más relevantes de la industria mediante una serie de gráficas elaboradas por diversas fuentes como la consultora Bain, empresas dedicadas al mundo del Cloud computing como Salesforce y Vmware  o la prestigiosa IDC (International Data Corporation), esta última dedicada en exclusiva al asesoramiento y la consultoría IT con más de 50 años de experiencia.

En este sentido, puedo citar algunos datos interesantes para visualizar cual está siendo la adopción del Cloud Computing en el mundo empresarial. Por ejemplo, en el informe elaborado por la empresa Salesforce [1], se puede observar como el Cloud Computing crecerá de manera exponencial un 17% en el periodo 2016-2017 mientras que las inversiones totales de IT, únicamente tendrán un crecimiento del 4%.

Crecimiento del mercado Cloud

En esta gráfica elaborada por la consultora Bain[2], podemos observar como el crecimiento de la tecnología Cloud, representa el 60% del total del mercado (la anterior gráfica ya nos dio pistas acerca de este dato observando las grandes diferencias de crecimiento entre el total del mercado y el mercado Cloud). Asimismo, en esta gráfica, hay otro dato que es destacable, la diferencia entre el uso de nubes públicas y privadas y como esta diferenciación puede suponer un dilema a las empresas a la hora de elegir entre una y otra.

En este punto, debemos preguntarnos en qué consiste esta singular taxonomía de términos nube privada, pública, híbrida etc … Para ello me valdré del informe elaborado por el IDC[3] en colaboración con vmWare, para dar respuesta a esta cuestión:

  • Nube pública: Son nubes donde los recursos son compartidos por una gran multitud de empresas o usuarios distintos pero en el cual se comparte un proveedor de servicios común. Es uno de los sistemas de nube más populares dado que la provisión de los recursos computacionales recae en el proveedor de servicios.
  • Nube privada: únicamente una empresa o entidad tiene acceso a los recursos distribuidos y es esta misma la que provee al sistema los recursos a utilizar. Por lo tanto, se puede realizar una asignación mucho más personalizada de los recursos disponibles. Esta gestión puede ser realizada tanto internamente como asignarla a un tercero
  • Nube híbrida: en la nube híbrida se combinan ambos conceptos, y se puede definir como un marco de la gestión TI donde se encuentran tanto sistemas compuestos por nubes públicas con recursos compartidos por terceros, nubes privadas gestionadas internamente o incluso nubes privadas gestionadas por terceros.

Vista las claras diferencias entre las nubes públicas y privadas, la mayoría de empresas optan por una combinación de las dos y hacen uso de un esquema híbrido que les ofrece lo mejor de los dos mundos. Al fin y al cabo el entorno y las necesidades serán las que dicten cual de las arquitecturas satisface mejor sus necesidades.

A pesar de las múltiples ventajas que puede suponer esta tecnología, las empresas suelen adoptar posiciones defensivas respecto a la incorporación de la misma. En los informes citados anteriormente ([2][3]), muestran los resultados de dos encuestas realizadas a las grandes empresas. En dichas encuestas se les preguntó sobre qué barreras les podría suponer el implantar el Cloud Computing y los resultados confirman el miedo que se le tiene a la adopción de esta tecnología:

El factor más importante es la seguridad (el 42 % de los encuestados en caso del informe de Bain y el 52 % en el segundo caso), seguido por la confiabilidad o la disponibilidad de servicios o la incertidumbre asociada con el posible incumplimiento del SLA (Service Level agreement)[4]. Finalmente, muchas empresas también consideran que esta tecnología está aún en una fase temprana y requiere un nivel mayor de madurez para poder ser adoptada.

En este sentido, las empresas suelen tomar diferentes actitudes a la hora de afrontar los nuevos retos. Mientras que unas empresas son mucho más arriesgadas a la hora de adoptar la tecnología e incluyen en sus estrategias de negocio una temprana inclusión de tecnologías como el Cloud Computing, otras adoptan posturas más conservadoras. En este último gráfico se puede observar este fenómeno dentro de las grandes empresas teniendo en cuenta el nivel de riesgo a la hora de adoptar la tecnología desde las más innovadoras y atrevidas (“Transformational”) hasta las más conservadoras (“Slow and Steady”).

Grado de implantación del Cloud Computing

Como se puede observar, las más innovadoras ya cuentan con un 75% de implantación del cloud dentro de sus sistemas y han sido como es lógico las primeras en adoptarla. No obstante, puede parecer anecdótico pero las empresas conservadoras a pesar de ser las últimas en adoptar esta tecnología, suelen ser las que en último término más recursos destinan a implantarla y las que más rápido la adoptan (en prácticamente 2 años han tenido un crecimiento del 800%). La explicación es sencilla, las empresas prefieren esperar a que otras empresas se arriesguen y una vez la tecnología está en su estado de madurez consideran que ya cuentan con la confianza y seguridad necesarias para poder adoptarla.

Finalmente, en el último punto hablaré de las ventajas y desventajas más importantes de esta tecnología con la ayuda del estudio elaborado investigadores de la Universidad de Hradec Kralove [5]. En él se distinguen tanto criterios cuantificables como los no cuantificable:

  • Ventajas
    • Cuantificables
      • La eficiencia de uso de recursos
      • Reducción de costes de personal
      • Mejor aprovechamiento de los recursos disponibles
    • No cuantificables
      • Simplificación de la gestión de los sistemas de información
      • Mayor flexibilidad a la hora de gestionar los recursos
      • Mejora de la disponibilidad de los sistemas
  • Desventajas
    • Cuantificables
      • Coste de adoptar nuevo equipamiento o servicios y de mantenimiento
      • Costes de formación de los empleados
    • No cuantificables
      • La famosa resistencia al cambio por parte de la compañía
      • Riesgos asociados al cambio del sistema (posibles incompatibilidades)
      • Pérdida de datos o de información en los procesos de migración

En definitiva, la tendencia clara que están adoptando las grandes empresas es la nube híbrida. Gracias a ella, pueden crear arquitecturas flexibles con las cuales gestionar todos los recursos sin por ello renunciar a los niveles de seguridad y confiabilidad con los que contaban en los sistemas tradicionales. En los siguientes Posts profundizaré aún en más detalle en los riesgos que pueden suponer este tipo de arquitecturas.

Lista de Referencias:

[1] «The Salesforce Economy Forecast – Salesforce.com.» 1 oct.. 2017, https://www.salesforce.com/content/dam/web/en_us/home/blogsdeusto/public_html/documents/white-papers/idc-study-salesforce-economy.pdf. Se consultó el 19 octubre  2018.

[2] «The Changing Faces of the Cloud – Bain & Company.» http://www.bain.de/Images/BAIN_BRIEF_The_Changing_Faces_of_the_Cloud.pdf. Se consultó el 19 octubre 2018.

[3] «Journey to the Hybrid Cloud – VMware.» 1 sept.. 2015, https://www.vmware.com/files/pdf/idc-hybrid-cloud-defined-white-paper.pdf. Se consultó el 19 octubre  2018.

[4] «Acuerdos de nivel de servicio (SLA) – IBM.» https://www.ibm.com/support/knowledgecenter/es/SSKVFR_7.6.1/com.ibm.spr.doc/sla_spr/c_sla_application.html. Se consultó el 21 octubre 2018.

Fuente obtenida mediante el uso de Oceano Deusto

[5] Maresova, Petra, Vladimir Sobeslav, and Ondrej Krejcar. 2017. “Cost–benefit Analysis – Evaluation Model of Cloud Computing Deployment for Use in Companies.” Applied Economics 49 (6): 521–33. doi:10.1080/00036846.2016.1200188.




El Outsourcing, cada vez más presente en el mundo TIC

outsourcing-4-1024x516En este post, trataré de exponer de una manera amena y sencilla uno de los conceptos que está  en boca de todoS en el sector tecnológico, la externalización, comúnmente conocida como el outsourcing. El término a pesar de ser el causante  de una gran controversia, especialmente por las connotaciones negativas asociadas al mundo TI, parte de su mala fama viene dada por el gran desconocimiento de todo lo que este término supone.

Pero empecemos por lo primero, ¿Qué es el outsourcing?. El outsourcing básicamente se define como el contrato entre una empresa y un tercero ajeno a la empresa para la realización de una parte del negocio de la empresa. Gracias a ellos se consigue liberar personal, recursos y activos para la realización de esta tarea “externalizada” y es posible destinarlos a otros aspectos más importantes del negocio. Por ejemplo, uno de los ejemplos más claros de la externalización, es la gestión de los activos TI de la empresa por parte de un tercero. La base del sistema del outsourcing se centra en delegar las tareas en las que la empresa no es experta o que le resultan demasiado costosas de realizar a un tercero que esté especializado  en ellas y además las pueda realizar a un coste inferior.

Su origen, reside en la dificultad en las empresas de realizar ciertas tareas por los dos principales factores que he mencionado anteriormente: desconocimiento y coste. Es decir, una empresa se basa en el uso más eficiente de una serie de recursos limitados con unos objetivos de negocio dados y por tanto es preferible centrar esos recursos en tareas del core del negocio y ceder a terceros la responsabilidad de realizar aquellas tareas que la empresa no considera cruciales del negocio.

Como ejemplo de lo mencionado anteriormente, tenemos la encuesta elaborada por Deloitte en el año 2016[1][2], en la cual se listan las principales razones para la realización el outsourcing. Es destacable cómo el 59% de las empresas lo realizan con la intención de reducción de costes, el 57% para destinar recursos a las tareas nucleares del negocio y un 47% para solventar posibles incapacidades técnicas para la realización de esas tareas.

El outsourcing se clasificar en dos grandes áreas, una que atañe a todas aquellas tareas y servicios más propios del mundo TIC (desarrollo, gestión y mantenimiento de servidores y redes, etc …) y las propios del negocio (finanzas, contabilidad o RRHH). A modo de ejemplo, en el informe citado anteriormente se menciona como el 72% de la parte IT de las compañías está externalizada, el 63% de la parte legal y un 53% y 42% a la parte tributaria y de finanzas respectivamente.

photo_2018-10-15_21-30-21
Por lo expuesto anteriormente, el outsourcing representa una gran oportunidad tanto para las grandes como pequeñas empresas que los integren en su modelo de negocio y presenta una serie de características únicas que expondré a continuación:

En primer lugar, le permite a una empresa desarrollarse en áreas que no son de su conocimiento gracias al valor añadido que le provee la empresa encargada de la externalización. Además también le permite un gran grado de maniobra y flexibilidad al ser capaz de complementar y ayudar mediante la externalización a las área vitales del negocio. Y finalmente, en el mundo IT permite destinar recursos

No obstante, la externalización solo se debe dar en cuestiones que sean secundarias o de apoyo al negocio y nunca se debe dar en aquellas tareas que sean troncales o áreas críticas. Esto es crucial al poder comprometer objetivos de la empresas, al fin y al cabo una empresa no debería delegar en terceros aquellas cuestiones que se supone que son el ratio essendi de su existencia.

En definitiva, la externalización forma parte de las nuevas tendencias empresariales y de ser usada con conocimiento y con un propósito determinado, provee a las empresas de la capacidad de destinar más recursos a las tareas centrales de las mismas y mejorar sus canales de producción y ofrecer mejores servicios. No obstante, y como ya he citado anteriormente, se debe hacer un uso cautela del mismo y evitar prácticas negativas como son la externalización del core del negocio.[3][4][5][6][7]

[1] «Deloitte’s 2016 Global Outsourcing Survey -.» https://www2.deloitte.com/content/dam/Deloitte/nl/Documents/operations/deloitte-nl-s&o-global-outsourcing-survey.pdf. Se consultó el 10 octubre 2018.

[2] «2018 Global Outsourcing Survey – Deloitte.» https://www2.deloitte.com/us/en/pages/operations/articles/global-outsourcing-survey.html. Se consultó el 10 octubre 2018.

[3] «(PDF) Outsourcing: Definitions and analysis – ResearchGate.» https://www.researchgate.net/publication/263501035_Outsourcing_Definitions_and_analysis. Se consultó el 7 octubre 2018.

[4] «Successful Managed IT Services: Keys to … – CA Technologies.» https://www.ca.com/content/dam/ca/us/files/white-paper/successful-managed-it-services.pdf. Se consultó el 7 octubre 2018.

[5] «Six Key Success Factors for Outsourcing – ITOnews.eu.» http://itonews.eu/files/f1289395538.pdf. Se consultó el 7 octubre 2018.

[6]  «The Outsourcing Handbook A guide to outsourcing – Deloitte.» https://www.deloitte.co.uk/makeconnections/assets/pdf/the-outsourcing-handbook-a-guide-to-outsourcing.pdf. Se consultó el 7 octubre 2018.

[7] «Outsourcing decision support: a survey of benefits, risks, and decision ….» http://ankara.lti.cs.cmu.edu/11780/sites/default/files/Outsourcing-Survey.pdf. Se consultó el 7 octubre 2018.

 

 




Cloud Computing, el nuevo paradigma del mundo de las TIC

photo_2018-10-15_21-30-09En este y en los sucesivos posts, trataré de dar una visión holística de unos de los paradigmas que más fuerza ha cogido en los últimos años, el Cloud Computing. El Cloud Computing o computación en la nube, se encuentra en un momento de madurez después de haber pasado una fase inicial en la cual se ha comprobado el gran potencial y el alto valor añadido que representa para las empresas y los usuarios finales.

En este sentido, las empresas han decidido emprender grandes proyectos para implantar este nuevo paradigma, es destacable el siguiente dato de como los ingresos generados el año pasado por los proveedores de servicios se estimaron en más de 235.000 millones de dólares.[1]

Pero antes de exponer detalladamente los entresijos de esta tecnología, debemos hacernos 3 grandes cuestiones ¿Qué es el cloud computing?, ¿Cúal ha sido el proceso de transformación de los servicios on-premise a servicios on-demand? y la más importante, ¿Cuál es el motivo de principal para que suponga un cambio tan grande en la forma en la que se venía trabajando hasta ahora?

El cloud computing, como se extrae de la definición del Instituto Nacional de Estándares y Tecnología Americano [2], es un modelo computacional que permite el acceso bajo demanda, a través de la red y de manera ubicua a un conjunto compartido de recursos computacionales. Asimismo, estos recursos pueden ser fácilmente configurados, desplegados y provistos mediante la interacción con un proveedor de servicios. No obstante, estas palabras pueden ser difíciles de entender para alguien que no esté familiarizado con los conceptos tecnológicos. En pocas palabras el Cloud Computing, se puede entender como la externalización a través de un proveedor de servicios de los recursos computacionales de tal forma que se pueda proveer en el momento, lugar y de la forma que el cliente lo desee.

Inicialmente, las empresas presentaban el software como un sistema cerrado donde todos los recursos necesario desde el bajo nivel (redes,almacenamiento o servidores), pasando por los sistemas intermedios (sistemas operativos, etc ..), hasta el nivel de aplicación eran proveídos por el propio usuario, lo que comúnmente se conocía como software on-premise. Por lo tanto, esto requería el tener todo un sistema completo para satisfacer las necesidades del entorno y hacía que los sistemas fuesen rígidos y difíciles de adaptarse a los cambios de necesidades.

En contraposición a esta idea, surgió el cloud computing como la forma en la que un tercero, el proveedor de servicios, proveyese al usuario los recursos que considerase necesarios y por tanto las dos palabras clave para entenderlo son la escalabilidad y capacidad de personalización y configuración. Ya no estamos hablando del IT como un producto sino como un servicio adecuado a las necesidades de cada usuario.

En la siguiente infografía obtenida del servicio de cloud computing de Microsoft denominado Azure [3] , se pueden ver los 3 grandes sistemas en la nube en función de los servicios y recursos que el usuario decide gestionar:photo_2018-10-15_21-30-18

  • Infraestructura como servicio (IaaS): este sistema en la nube es el más complejo de gestionar para el usuario debido a que únicamente se derivan al proveedor de servicios todos aquellos aspectos del más bajo nivel (redes, almacenamiento y recursos computacionales). Por lo tanto, requiere de la gestión por parte del usuario de una completa estructura virtualizada en los servidores del proveedor. No obstante, a diferencia de los sistemas tradicionales permite a las empresas tener todos los recursos computacionales de un CPD pero sin la complejidad que requiere tenerlo físicamente. Claros ejemplos de IaaS son plataformas como vmware vSan [4 ] o Amazon Ec2 [5]
  • Plataforma como servicio (PaaS): en este caso, el proveedor de servicios tiene un mayor control de los recursos que gestiona y el usuario solo necesita tener un control sobre las aplicacione y los datos. Un ejemplo de este sistema es la plataforma de Google (Goggle App Engine), en la cual el proveedor proporciona al usuario un sistema completo para el desarrollo de las aplicaciones del usuario.
  • Software como servicio (SaaS): en este último punto, el software pasa de ser un producto gestionado por el usuario a un servicio proporcionado por un tercero, de esta forma los usuarios pueden hacer uso de un sin fín de aplicaciones a través de la red sin necesidad de tener una gestión sobre las mismas. Esto supone un cambio crucial en la forma en la que se venía trabajando hasta ahora.

Ya no se necesita tener unos recursos computacionales para poder hacer uso de las herramientas IT y permite tener acceso a un sin fín de aplicaciones y herramientas que antes sería impensable para un usuario. Los mejores ejemplos de este tipo de sistemas son el Office365 o el entorno google apps, que ofrecen un entorno completo de aplicaciones de ofimática a través de internet.

No obstante, existen otros tipos de nubes a parte de las aquí descritas y en los siguientes posts trataré de exponer en más detalles los conceptos como la nube privada o nube híbrida entre otros

En definitiva, y como expondré en las siguientes publicaciones, el cloud computing representa una auténtica revolución y ha venido para quedarse. Desde mi punto de vista, este nuevo paradigma supone un salto tan grande como el que supuso en los albores de la informática el desarrollo del transistor o el propio surgimiento de internet.

A lo largo del artículo se ha hecho uso de las siguientes fuentes, además del uso de dos informes elaborados por Pwc[6] y Deloitte[7]

[1] “Cloud- Related Spending by Businesses to Triple from … – IHS Markit.” https://news.ihsmarkit.com/press-release/design-supply-chain/cloud-related-spending-businesses-triple-2011-2017. Se consultó el 8 octubre 2018.
[2] “The NIST approach to supporting the development of cloud computing ….” https://www.nist.gov/document-11862. Se consultó el 8 octubre 2018.
[3] “¿Qué es SaaS? Software como servicio | Microsoft Azure.” https://azure.microsoft.com/es-es/overview/what-is-saas/. Se consultó el 8 octubre 2018.
[4] “Soluciones de de infraestructura hiperconvergente | vSAN | VMware.” https://www.vmware.com/es/products/vsan.html. Se consultó el 8 oct.. 2018.
[5] “AWS | Cloud Computing – Servicios de informática en … – Amazon AWS.” https://aws.amazon.com/es/. Se consultó el 8 oct.. 2018.
[6] “Making sense of a complex world: Cloud computing— the … – PwC.” https://www.pwc.com/gx/en/communications/publications/assets/pwc-cloud-computing-and-revenue-recognition-whitepaper.pdf. Se consultó el 8 octubre 2018.
[7] “The cloud is here: embrace the transition – How … – Deloitte.” https://www2.deloitte.com/content/dam/Deloitte/ca/Documents/consulting/ca_cloud_pov_EN_doc.PDF. Se consultó el 8 octubre 2018.