Cuando hablamos de Cloud Computing en el ámbito empresarial nos referimos a un nuevo modelo de delivery de servicios de TI, apalancado por la meteórica evolución de las Tecnologías de la Información y las Comunicaciones (TIC), y su masiva adopción en la vida cotidiana de la sociedad.
INNOVADORES Y ACCESIBLES
Estos servicios se pueden clasificar en: Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) y Software como servicio (SaaS), y pueden ser ofrecidos desde Clouds privadas, públicas, híbridas o comunitarias dependiendo de quién tenga el control de la gestión y el aprovisionamiento de los mismos (TI o el Cloud Service Provider o ambos).
Las características esenciales de estos productos son su agilidad y elasticidad, autoservicio y pago por uso, recursos compartidos y plena accesibilidad desde cualquier dispositivo en forma ubicua.
Para las distintas unidades de negocio Cloud Computing implica agilidad y velocidad de innovación en el time to market de productos y servicios. A la vez, todo esto es llevado adelante por una significativa reducción en el tiempo de ejecución de requerimientos y proyectos de TI que permiten autoabastecerse de herramientas de bajo costo que hacen el trabajo más eficiente y productivo con inversiones en TI más bajas y transparentes, donde se paga exclusivamente por utilización. Cloud Computing es un sistema democratizado en el que cualquiera puede acceder por sus bajos costos, ya sean usuarios particulares, PyMEs y grandes corporaciones.
Para grandes organizaciones, que cuentan con departamentos de TI, la adopción de servicios en Cloud no es sólo un cambio tecnológico sino también un cambio organizacional y cultural, donde procesos, políticas, estructuras y roles con nuevas skills, deben adaptarse. En la actualidad, en mayor o menor grado, aparece en la agenda de los CEOs con alta prioridad definir una estrategia de adopción de Cloud Computing junto a una transformación de TI orientada al delivery de servicios (ITaaS).
BENEFICIOS LOGÍSTICOS
Más allá de los beneficios generales para todas las líneas de negocio, el paradigma de la Gestión Logística basado en servicios Cloud aporta la posibilidad de analizar grandes cantidades de información en tiempo real con acceso en modalidad SaaS a aplicaciones y datos 7×24 desde cualquier dispositivo y desde cualquier sitio. En la actualidad ya existen ofertas en la nube de aplicaciones de procesos logísticos clave como Gestión de transportes, de inventarios o WMS. En estos casos su adopción puede ser rápida y de bajo costo. Otro aspecto importante de los servicios Cloud es el acceso a «Marketplaces» donde se encuentran proveedores de servicios logísticos y potenciales clientes a nivel global para competir y concretar negocios.
COMENZAR A UTILIZAR SERVICIOS CLOUD
El proceso de adopción de Cloud Computing, o de una eventual transformación del área de TI en un verdadero broker de servicios (ITaaS), debe cumplir en líneas generales con los siguientes pasos:
a) Realizar un assessment (evaluación) para conocer el estado presente y responder a la pregunta: ¿Cuán preparada está mi organización y mi departamento de TI desde el punto de vista tecnológico, organizacional, de procesos y de skills necesarios para migrar al modelo Cloud (Cloud readiness)?
b) Realizar un inventario detallado de aplicaciones y procesos de negocio para definir cuáles de ellos podrían ser early adopters (de rápida adopción) y cuáles no justifican ser migrados. Está claro que Cloud Computing no es para todo. Habrá siempre un legado que por diferentes razones tecnológicas o de retorno de inversión no justifica su migración y deberá ser administrado y operado de una manera más tradicional.
c) Con la información anterior y con el involucramiento del Senior Management, y el patrocinio del CEO, definir un plan estratégico de adopción de Cloud Computing que debería incluir:
– Early adopters. Por ejemplo Desarrollo de aplicaciones en modalidad PaaS o herramientas de automatización de oficinas y colaboración en modalidad SaaS.
– Catálogo de servicios Cloud inicial elaborado en base al negocio.
– Cambios y/o adopción en procesos como Gestión de la demanda, aprovisionamiento de servicios, Operación de TI, Procesos Financieros de TI (costos, pricing, chargeback), Gestión del Riesgo.
– Plan de implementación de una Cloud privada, selección de tecnología de Cloud y definir nuevo modelo de Operación TI, proceso de selección de Cloud Service Providers, tanto para el modelo Privado, si es que se va a tercerizar la gestión y administración, como para los modelos Híbrido y Público.
– Plan de Gestión del Cambio para implementación de nuevos procesos, roles y skills.
GESTIÓN DE LA SEGURIDAD
Temas de seguridad y compliance son claves en cualquier organización y la adopción de Cloud ha abierto el debate sobre el riesgo de perder el control de administración y gestión de la información sensible de la organización. ¿Dónde están mis datos?, ¿quién los gestiona?, ¿estamos cumpliendo con las leyes de privacidad en todos los países donde operamos?, ¿el Cloud Service Provider (proveedores de servicio) está en condiciones de garantizarnos la ejecución de un Disaster Recovery (recuperación en casos de desastre) ante contingencias? Estas son algunas de las preguntas que las organizaciones se han planteado en los últimos años y que, sin dudas, han retrasado el proceso de adopción.
Debemos puntualizar que en los modelos de Clouds privados e híbridos la gestión de la seguridad y compliance sigue estando bajo la responsabilidad de la organización. Tanto los Cloud Service Providers, como los Vendors (vendedores) de Tecnología Cloud son conscientes de esta situación que atenta contra su negocio y han desarrollado e implementado prácticas y tecnologías de seguridad en sus ambientes.
Para las organizaciones es muy importante la evaluación sistemática y permanente de sus proveedores de Cloud a través de auditorías externas que, a su vez, deben incluir el análisis de las propias auditorías externas y/o certificaciones de buenas prácticas presentadas por el proveedor a sus clientes, como por ejemplo:
– UP Time Institute (Data Centers TIER), seguridad física y uptime de un Data Center.
– ISO 27001 (Seguridad de la Información).
– SOC II (Service Organization Controls), SSAE 16 (ex SAS 70).
– ISO 9000 (Gestión de la Calidad).
– STAR (CSA: Cloud Security Alliance) específico para Cloud Service Provider.
Como ejemplo de seguridad lógica, servicios SaaS tan conocidos como Microsoft Office 365, Google Apps y Dropbox, ofrecen a sus clientes Enterprise, cuentas corporativas con encripción en la comunicación y donde se almacenan los datos, doble factor de autenticación, software de Data Loss Prevention, logs de actividad, backups, integración con el sistema de directorio de la organización, entre otros.
UNA PROBLEMÍTICA ACTUAL
Un tema que está preocupando a los CEOs y que está creciendo aceleradamente en las organizaciones es lo que se conoce como TI paralela (Shadow IT), donde los usuarios o directamente las Líneas de Negocio por falta de respuesta de TI adquieren servicios en modalidad SaaS sin el conocimiento de TI y sin ninguna evaluación de riesgos de seguridad y compliance. Es imperativo que el Senior Management esté al tanto e involucrado sobre cómo abordar este tema. Para ello algunas organizaciones están contratando servicios que les permitan hacer un discovery (descubrimiento) de quién usa qué y para qué, de modo que se pueda evaluar qué servicios son de valor al negocio y así implementar un plan de TI con proveedores confiables. Al mismo tiempo TI, Recursos Humanos y Legales definen políticas y procedimientos relacionados con la seguridad, compliance y utilización de estos servicios SaaS de modo de ponerlos bajo control. Auditoría Interna también está involucrada en el control y cumplimiento de estas políticas. Si bien la adopción del Cloud Computing es una tendencia que ha llegado para quedarse, hoy las preguntas a responder son cuándo y cómo.
(*) El autor es Profesor en la Especialización en Planificación y Gestión de las Tecnologías de la Información – Universidad Austral
Marcela Vincenti
