Cada vez más organizaciones utilizan soluciones como la informática en la nube (cloud computing) para reducir el
gasto en TI, incrementar la rapidez de las implantaciones y garantizar un enfoque de negocio innovador. No obstante,
también están surgiendo dudas en torno a la seguridad, el cumplimiento y la privacidad.
2. 2 | Orquestando el nuevo paradigma
Contents
1 Prólogo 3
2 Introducción 5
3 Retos actuales en el negocio 6
4 El viejo paradigma deTI 9
5 El cambio hacia la informática en la nube 11
6 En perspectiva 15
7 Consideraciones 18
8 Unpaso adelante: orquestación 25
9 Mensaje principal 33
Anexo 34
3. Orquestando el nuevo paradigma | 3
Tras la crisis financiera las organizaciones
tendrán que hacer frente a importantes
retos. A raíz de la fragilidad económica,
el área deTI se ve a menudo como una
estructura costosa y rígida que no cumple
las expectativas, aunque actualmente
se está produciendo un cambio de
paradigma: la transición de una función
local a la centralización de los servicios
deTI. Cada vez más organizaciones
utilizan soluciones como la informática en
la nube (cloud computing) para reducir el
gasto enTI, incrementar la rapidez de las
implantaciones y garantizar un enfoque
de negocio innovador. No obstante,
también están surgiendo dudas en torno
a la seguridad, el cumplimiento y la
privacidad.
¿Cuáles son los posibles riesgos y
beneficios de este nuevo paradigma de
TI?
A través de este informe, queremos
abordar estas cuestiones desde un punto
de vista estratégico. Creemos que el
principal reto de los directores generales
y deTI reside en coordinar los complejos
ecosistemas deTI unificando sistemas
deTI tradicionales y servicios en la nube
de diversos proveedores.
Este documento permite entender
mejor la actual transición del área de
TI y proporciona directrices desde una
perspectiva de negocio. Queremos
aclarar el proceso desmitificando
las exageraciones e informar a los
encargados de la toma de decisiones
a través de ejemplos que van más allá
de las obvias historias de éxito que
cuentan los proveedores de servicios
de informática en la nube y de la postura
reacia de muchos integradores de
servicios deTI “tradicionales”.
Prólogo
Pablo Montoliu
Socio, KPMG Advisory
KPMG en España
01
5. Orquestando el nuevo paradigma | 5
La informática en la nube es sin duda
el fenómeno actual más importante
en el ámbito de las tecnologías de la
información. Aunque parece que existe
cierta confusión en el sector de laTI
en cuanto a la definición del término,
desde un punto de vista empresarial
la informática en la nube consiste
en obtener servicios deTI desde
Internet sin una infraestructura deTI.
Internet es a menudo descrita por los
técnicos como una “nube”, de ahí el
término informática en la nube. Gmail
y Facebook constituyen dos buenos
ejemplos.
La importancia cada vez mayor de la
informática en la nube queda patente
a través de que un alto número de
organizaciones están adoptando
este modelo de forma lenta pero
firme. Un reciente estudio realizado
por KPMG pone de manifiesto que la
informática en la nube será el modelo
deTI del futuro. Por contra, existen
determinadas personas que todavía
creen que la informática en la nube
acabará diluyéndose. Después de
todo, el sector deTI ha hecho muchas
“promesas” a lo largo de los años que, al
final, no se han materializado.
En pleno debate, las preguntas más
incisivas formuladas por los encargados
de la toma de decisiones quedan a
menudo sin respuesta. No se presta la
atención necesaria a la perspectiva de
negocio de la informática en la nube y a
los posibles desarrollos en el área deTI.
Estamos totalmente convencidos de
que contar con una perspectiva más
amplia es clave para entender de forma
exhaustiva el impacto de la informática
en la nube, dado que la función deTI
es de vital importancia para la mayoría
de las organizaciones. Para ayudarles
a este respecto, hemos entrevistado
a una serie de directores generales y
deTI, así como a los especialistas más
destacados de KPMG, y les hemos
preguntado sobre la informática en
la nube y el futuro de la tecnología
de la información. A través de estas
entrevistas, hemos conseguido
entender con claridad las principales
dificultades y oportunidades de las
organizaciones en lo referente a su
infraestructura deTI. A través de este
informe, vamos a tratar de resolver las
siguientes preguntas:
• Retos actuales en el negocio: ¿cuáles
son los principales retos a los que se
enfrentan las organizaciones tras la
crisis financiera?
• El viejo paradigma deTI: ¿cuál es
la reacción de las funciones deTI
“tradicionales” ante los actuales retos
de negocio?
• El cambio de paradigma: ¿qué
progresos se han producido en el
áreaTI?
• Perspectiva: ¿qué implica en realidad
el nuevo paradigma?
• Consideraciones: ¿cuáles son los
riesgos del nuevo paradigma?
• Medidas de cara al futuro: ¿qué
medidas deben tomar las
organizaciones?
En el Anexo A encontrarán una
definición y las características de la
informática en la nube.
Introducción
Queremos desmitificar las exageraciones e informar a los
encargados de la toma de decisiones.
02
7. Orquestando el nuevo paradigma | 7
3.2 Mayor rapidez en la
comercialización
El periodo de comercialización es sin
duda uno de los factores de éxito más
importante para las organizaciones.
Las exigencias de los consumidores y
empleados son cada vez más volátiles,
lo que obliga a que las organizaciones
adopten enfoques de mercado más
rápidos y flexibles. Además, el ciclo de
vida ha cambiado y los productos
actuales se caracterizan por:
• Se alcanza rápidamente un alto nivel
en el volumen de ventas;
• Se produce una reducción rápida en las
ventas tras alcanzar el máximo nivel;
• Un breve periodo de comercialización.
Por tanto, para satisfacer la
demanda con rapidez y precisión,
las organizaciones deben tener la
capacidad de reaccionar de forma
instantánea para garantizar una rápida
entrega de sus productos. Los retrasos
no sólo provocan una importante
pérdida de oportunidades, sino también
una cuota de mercado (mucho) más
reducida en un entorno caracterizado
por una competencia feroz.
3.3 Innovation
El desarrollo de productos se ha
convertido en un factor importante para
las empresas, sobre todo en Europa
y Estados Unidos, mientras que las
economías emergentes como China,
India y Brasil destacan en el ámbito
de la producción eficiente de muchos
productos genéricos.
Es obvio que la innovación constante
tiene un impacto decisivo en el éxito
de las empresas. La capacidad de
colaborar, intercambiar ideas y acceder
a recursos de información pertinentes
son requisitos fundamentales para
conseguir una innovación eficiente.
Fuente: KPMG, 2011
Ciclo de vida de los productos
— Ciclo de vida actual de los productos
— Ciclo de vida tradicional de los productos
Volumendeventas
Tiempo
9. Orquestando el nuevo paradigma | 9
Tradicionalmente, las estructuras deTI
instaladas y mantenidas localmente
cuentan con varios sistemas
incompatibles, numerosas aplicaciones
y demasiadas interfaces y conexiones.
La tecnología de la información se ha
convertido en un entorno demasiado
complejo para la mayoría de
organizaciones que, además de resultar
excesivamente caro, conlleva altos
riesgos y requiere una mayor inversión
de tiempo y esfuerzo.
Los encargados de la toma de
decisiones consideran que los costes
deTI de su organización son
injustificadamente altos, la estructura
deTI es demasiado rígida y obsoleta, y
que, en lugar de dar soporte al negocio,
se ha convertido en un obstáculo.
4.1 Mayor gasto
Despite the pressure on IT spending A
pesar de la presión que ha
experimentado el gasto enTI durante
los dos últimos años, sigue situándose
en unos niveles excesivamente altos:
hasta un cinco por ciento de los
ingresos para las empresas incluidas en
la lista Fortune500, y muy por encima
de ese cinco por ciento en los
presupuestos públicos de la mayoría de
países de la OCDE.
Además, la mayoría de estos costes,
generalmente en torno al 80 por ciento,
se invierten en el mantenimiento de la
estructura deTI, y no en aplicaciones
nuevas e innovadoras. Por otro lado,
cabe destacar que, aunque la mayoría
de compañías de la UE no han
incrementado drásticamente el gasto
enTI durante los últimos dos años, el
presupuesto operativo en el área deTI
como porcentaje de los ingresos ha
experimentado una tendencia
ascendente. Entre las principales
causas de este incremento se incluye la
inversión en infraestructuras deTI y
unos programas informáticos
excesivamente complicados.
El viejo paradigma deTI
Es realmente sorprendente ver cómo los conceptos de
TI tradicionales no consiguen los tres retos de negocio
mencionados en el apartado anterior: recortar costes, acelerar
la comercialización y aumentar la innovación. Una estructura de
TI no consigue estos objetivos, ni cumple las necesidades y los
requerimientos del negocio contemporáneo, por sí sola.
Presupuesto de explotación deTI como porcentaje
2,6
2,5
2
1,9
2,3
2007 2008 2009 2010 2011
(esperado)
La estructura tradicional deTI no tiene la capacidad
de dar soporte al negocio
04
Fuente: KPMG, 2010
10. 10 | Orquestando el nuevo paradigma
Uno los principales retos para los
directores de IT durante los próximos
años consistirá en reducir el gasto enTI
y, al tiempo, garantizar un nivel de
servicio similar.
Por otro lado, los últimos informes de
KPMG ponen de manifiesto que, en
muchas ocasiones, la inversión enTI no
añade un valor tangible al negocio
(aproximadamente el 30 por ciento) y
muchos proyectos deTI no logran
ajustarse a las limitaciones de tiempo y
presupuestarias. Menos del 40 por
ciento de los proyectos deTI pueden
considerarse exitosos, es decir, que se
han llevado a cabo cumpliendo los
plazos, el presupuesto y los estándares
de calidad.
En resumen, la estructura deTI
tradicional cuesta más y aporta menos.
4.2 Rigidez
Para reducir el periodo de
comercialización de nuevos productos,
las empresas deben contar con
recursos deTI flexibles, escalables y
disponibles de forma inmediata. Sin
embargo, un alto número de
organizaciones dependen
completamente de los recursos locales
deTI que se limitan al hardware, ancho
de banda y personal existentes. En
consecuencia, la estructura deTI
tradicional es rara vez escalable y esta
rigidez contrasta marcadamente con la
agilidad que necesita el negocio.
Además de las limitaciones en la
escalabilidad, la estructura deTI
tradicional no resulta adecuada para
conseguir que las nuevas aplicaciones
estén disponibles de forma instantánea
de acuerdo con las exigencias de
negocio. La instalación de nuevas
aplicaciones a menudo requiere meses
e implica altos riesgos operativos y
financieros.
Los departamentos deTI deben adquirir
hardware y software, crear diferentes
entornos (desarrollo, prueba,
aceptación, producción), implantar
procedimientos, formar a sus
profesionales deTI y nombrar gerentes
de aplicaciones.
En resumen, la estructura deTI
tradicional no es capaz de proporcionar
la flexibilidad y rapidez necesarias para
recortar el periodo de comercialización
de los productos.
4.3 Infraestructura obsoleta
Los productos y servicios deTI de
consumo han experimentado una
enorme evolución durante la pasada
década. La explosión de smartphones,
tabletas, nuevas aplicaciones web y
redes sociales han permitido la
utilización deTI a través de móviles, el
intercambio de información y una
colaboración nunca vista.
La estructura deTI tradicional no parece
adecuada para los cambiantes hábitos
informáticos de los consumidores. En
general, está formada por
componentes estáticos y heredados
que nunca han sido diseñados para
facilitar el uso a través de dispositivos
móviles o para proporcionar
plataformas de colaboración e
intercambio.
Si bien la nueva generación de
empleados está acostumbrada a las
nuevas posibilidades que ofrece el área
deTI en sus vidas privadas, la función de
TI corporativa no cumple expectativas.
En resumen, la estructura deTI
tradicional no se adapta a la innovación
y la forma en que los consumidores
utilizan la tecnología de la información.
11. Orquestando el nuevo paradigma | 11
5.1 Menos costes
Los costes operativos deTI pueden
reducirse en gran medida mediante la
adopción de la informática en la nube,
ya que las inversiones iniciales en este
modelo (desembolsos de capital) son
insignificantes en comparación con
los costes de las implantaciones de
recursos deTI a gran escala que resultan
costosas y arriesgadas. En realidad,
todas las instalaciones se producen en
los servidores del proveedor y es éste
el que asume los costes de gestión y
mantenimiento. Además, se producen
importantes ahorros en términos de
hardware, salas de servidores, aire
acondicionado y electricidad. Los
costes transferidos a los clientes
son relativamente bajos debido a las
economías de escala de la mayoría de
proveedores de servicios en nube, al uso
eficiente de recursos (compartidos) y a la
centralización del conocimiento.
El cambio hacia la
informática en la nube
El viejo paradigma deTI ya no cumple las expectativas, por tanto,
las organizaciones están abriéndose a otros conceptos. La
informática en la nube ofrece la solución ideal a esta situación;
permite que las organizaciones eliminen gradualmente
elementos de su estructura deTI, incluido el hardware y
software, recuperen el poder sobre su actividad principal y
controlen los costes.
La informática en la nube brinda soluciones
05
12. 12 | Orquestando el nuevo paradigma
Con la informática en la nube, los costes
sólo se aplican al uso del servicio de
TI, ya que los recursos deTI siguen en
posesión del proveedor. Aunque el pago
por suscripción es lo más habitual, el
sistema de pago Pay-as-you-go (PAYG
- que se caracteriza por un sistema de
pago según el consumo) es cada vez
más habitual y permite que el cliente
pague cada vez que utiliza el servicio.
La ventaja de este último método es
que sólo se paga por los servicios que
realmente se usan y, por tanto, se evitan
costes indirectos innecesarios.
5.2 Flexibilidad en la implantación
La rápida implantación de los servicios
deTI es un factor extremadamente
importante de la informática en la
nube. La naturaleza “bajo pedido” de la
nube permite que los usuarios puedan
implantar rápidamente las aplicaciones.
La complejidad de la estructura de
TI ya no es un problema para las
empresas, ya que es propiedad de los
proveedores de servicios en nube, que
también se encargan de su gestión
y mantenimiento. En lugar de crear
y gestionar una función deTI interna,
los servicios deTI se prestan a través
de Internet, de un modo parecido
al suministro de electricidad desde
las plantas de energía eléctrica. Los
servicios de correo electrónico en nube
como Gmail y Hotmail son ejemplos muy
conocidos y positivos de esta tendencia.
Además, utilizar Internet como
infraestructura de red básica para los
servicios implica que los usuarios
puedan acceder a aplicaciones y datos
a través de diversos dispositivos desde
multitud de puntos de acceso de todo el
mundo. Este hecho puede potenciar la
productividad, mejorar la colaboración
y enriquecer la experiencia de los
usuarios.
5.3 Escalabilidad instantánea
La informática en la nube también
ofrece la ventaja de poder ajustar el
uso de los recursos deTI en dirección
ascendente o descendente, mejorando
de esta forma la escalabilidad de la
estructura deTI. Esto es posible gracias
a la enorme escala de proveedores
principales de servicios en nube
cuya capacidad deTI supera la de
organizaciones de clientes individuales.
Mediante el uso de las tecnologías,
como los distintos tipos de virtualización
y balanceos de carga, los sistemas de
informática en la nube pueden ampliarse
o reducirse fácilmente. A esto hay que
añadir los modelos de pago habituales
(PAYG o suscripción), mediante los
que los clientes sólo pagan en función
del uso, y la capacidad deTI necesaria
siempre está disponible. En contraste
con la estructura deTI tradicional, la
capacidad de una estructura deTI en la
nube nunca es en teoría escasa ni está
inactiva.
13. Fuente: KPMG, 2010
La escalabilidad de la informática en
la nube
Requerimientodealmacenamiento
Tiempo
On-premise*
Pérdida de
oportunidades
Recursos no
utilizados
Requerimientodealmacenamiento
Tiempo
En nube
* Sistema tradicional mediante el que la empresa se encarga de la
instalación, gestión, actualización y mantenimiento del software
Orquestando el nuevo paradigma | 13
15. Orquestando el nuevo paradigma | 15
En perspectiva
6.1 Carencia de importancia de la
nube
Según la OCDE y las cifras de KPMG,
la cuota actual de la informática en la
nube es insignificante en términos del
gasto total enTI de las organizaciones
(se sitúa entre el dos y el cuatro por
ciento a nivel global). El principal
distribuidor es Estados Unidos (60 por
ciento) y el resto del mundo, incluido
Europa, se sitúan muy por detrás.
Las aplicaciones de informática
en la nube son muy populares en
nuestras vidas privadas, como
Facebook y Gmail, pero la adopción
por parte de las empresas todavía
no se ha producido. En concreto, las
preocupaciones sobre el nivel de
seguridad y cumplimiento normativo
son los principales obstáculos de cara
a la consecución de dicho objetivo.
A pesar del continuo desarrollo
de la informática en la nube, el
catálogo de servicios en nube está
relativamente limitado a servicios
ya consolidados como el correo
electrónico, aplicaciones de oficina,
CRM y almacenamiento de datos.
En la actualidad, la nube ofrece
aplicaciones de negocio integradas
y prácticamente exentas de
complejidades.
A pesar de la popularidad de la informática en la nube, su cuota de
mercado sigue siendo baja. Sólo un pequeño porcentaje de los
presupuestos deTI generales se invierten en servicios en nube.
Mientras tanto, el crecimiento de la informática en la nube es
demasiado grande como para obviarlo y las inversiones realizadas
por los principales agentes tecnológicos son demasiado elevadas
como para ignorarlas.
La importancia de los servicios en la nube en un
entorno deTI híbrido seguirá aumentando durante los
próximos cinco años.
06
Fuente: KPMG, 2011
TI On-premise
Centro de servicios
compartidos
Alojamiento web
Externalización
Informática
la nube
Baja
Alta
AltaComercialización
Centralización
Cambio de paradigma
16. 16 | Orquestando el nuevo paradigma
Los sistemas integrados de gestión
(ERP) y los sistemas de facturación a
medida sólo se realizan en nube en
casos aislados. En general, se instalan de
forma local según el método tradicional,
al menos por el momento.
6.2 Importancia de la nube
No debería subestimarse la informática
en la nube. Según las estimaciones de
mercado de los principales analistas, el
crecimiento de los servicios comerciales
en nube se situará entre el 20 y el 30
por ciento anual durante el periodo
2010 - 2015, pese a (o tal vez gracias a)
la frágil situación económica. A pesar
de que la cuota de mercado actual de la
informática en la nube es insignificante,
en 2015 será considerable.
Por otro lado, el progreso hacia la
centralización y comercialización de
servicios deTI es un proceso constante
desde que cambiamos de milenio.
La centralización mejora la eficiencia
mediante la aplicación de economías
de escala e intercambio de recursos.
La prestación centralizada de servicios
también permite gestionar con mayor
eficacia la volatilidad en la demanda.
La comercialización mediante el uso de
servicios estandarizados en lugar de
soluciones a medida implica menores
costes y menos tiempo, ya que los
sistemas“llave en mano” son más
sencillos de implantar. Partiendo de unas
estructuras deTI instaladas y gestionadas
localmente, las organizaciones
optan por establecer centros de
servicios compartidos a menudo en
combinación con la armonización de
su cartera deTI. Después, empiezan
a utilizar aplicaciones de alojamiento
web en plataformas externas y
empiezan a externalizar/deslocalizar los
departamentos deTI a países de bajo
coste. A este respecto, la informática en
la nube es la siguiente fase del proceso
y parte del cambio de paradigma en el
área deTI, es decir, del cambio de una
estructura tradicional a la prestación
centralizada de servicios y el uso
compartido de recursos deTI.
Los principales agentes del sector de
TI están de acuerdo con esta tendencia.
Si bien los pioneros ya consolidados
de informática en la nube (los más
conocidos son Google, Salesforce.
com y Amazon) están expandiendo
continuamente sus carteras de servicios,
casi todos los principales proveedores de
TI están realizando grandes inversiones
en servicios en nube para satisfacer
una demanda aparentemente en
crecimiento. Incluso los gigantes (o
quizás mastodontes) deTI tradicionales
(como Microsoft, IBM, HP y Oracle)
están ofreciendo servicios en nube,
a veces en colaboración con otros
proveedores de software e integradores
deTI que no quieren“perder el tren”.
Serán necesarios al menos cinco años
para que la informática en la nube se
convierta en la norma de facto para la
mayoría de los servicios deTI, aunque
este proceso ya ha comenzado.
6.3 El entorno híbrido como nuevo
paradigma
La mayoría de las organizaciones se
adaptarán a un entorno híbrido dada la
actual posición secundaria que ocupa
la informática en la nube y la tendencia
hacia la centralización y
comercialización deTI, Sólo un número
relativamente reducido de
organizaciones mantendrá una
infraestructura deTI totalmente
tradicional, ignorando o infravalorando
la informática en la nube. Por otro lado,
no existe ningún argumento
empresarial que sostenga que la gran
mayoría de organizaciones vayan a
adoptar próximamente y a gran escala
la informática en la nube. Durante los
próximos cinco años prevalecerá un
entorno híbrido, una mezcla de
elementos deTI tradicionales y
externalizados caracterizado por el
creciente uso de servicios en nube.
Para la gran mayoría, la estructura deTI
será instalada y gestionada localmente
bien por unidades internas, bien por un
proveedor de servicios deTI.
Sin embargo, una parte cada vez
mayor de la función deTI dependerá
de recursos externos, en concreto de
la informática en la nube.
Este cambio de paradigma no
constituirá una transición repentina del
viejo paradigma deTI local tradicional a
la informática en la nube, y tampoco
supondrá el fin de todas las
deficiencias del viejo paradigma. El
futuro modelo deTI será un entorno
híbrido que ofrecerá un enorme
potencial a las organizaciones, así
como una serie de consideraciones,
que se comentan en el siguiente
capítulo.
17. La informática en la nube comparte determinadas
características con el alojamiento web y la externalización
desde el punto de vista de los encargados de la toma de
decisiones. Los tres modelos implican en cierto grado
de uso de recursos deTI compartidos de proveedores
externos. En realidad, los límites entre el alojamiento web, la
externalización y la informática en la nube son a menudo casi
imperceptibles o coincidentes. A menudo, los proveedores
presentan sus soluciones de alojamiento web a través de
una nube “privada” mientras que la informática en la nube
puede percibirse como una forma radical de externalización.
Si bien la externalización implica desplazar recursos deTI
internos a una parte externa, la informática en la nube implica
la eliminación gradual de los recursos deTI internos y la
utilización de los recursos del proveedor en su lugar.
La definición específica de estos modelos no resulta
importante siempre y cuando se puedan determinar los
siguientes aspectos de negocio de forma adecuada: la
exclusividad de la prestación de servicios deTI, la asignación
de la gestión de recursos deTI y la propiedad del software
y hardware. La medida en que se adopten estos aspectos
determinará los potenciales beneficios y riesgos del sistema.
Prestación del
servicio
Dedicada Compartida
IT On-premise Centro
de servicios
compartidos
Alojamiento
web
Externalización Informática en
la nube
Gestión de
recursos de TI
ExternaInterna
Propiedad de
los activos
ProveedorCliente
Alojamiento web, externalización e informática en la nube
Aspectos de negocio
Orquestando el nuevo paradigma | 17
Fuente: KPMG, 2011
18. 18 | Orquestando el nuevo paradigma
Consideraciones
Dado que toda oportunidad conlleva un riesgo,
las organizaciones deben ser conscientes de los
riesgos que entraña operar en un entorno deTI
híbrido y, en concreto, el uso de la informática en
la nube. La seguridad y el cumplimiento normativo
son factores extremadamente importantes ya
que las normas sobre gestión de riesgos se han
intensificado en gran medida durante los últimos
años y su cumplimiento puede resultar difícil
en un entorno híbrido. Además, dado que las
organizaciones dependen intrínsecamente de los
controles que aplican sus proveedores en materia
de información y supervisión del cumplimiento,
los encargados de la toma de decisiones tendrán
que abordar los distintos contratos, las distintas
cuestiones de integración y un sector deTI en
constante cambio.
La gestión de múltiples conceptos
relacionados con datos, contratos y tecnología
puede constituir una ardua tarea para las
organizaciones.
07
7.1 Dependencia de la nube
Cada vez más componentes deTI se
trasladan a instalaciones externas, de tal
forma que las organizaciones
dependerán cada vez más de sus
proveedores. Muchas entidades creen
que está todo controlado, pero en la
práctica la mayoría tienen algún
problema a este respecto.
19. Orquestando el nuevo paradigma | 19
Por otro lado, el nivel de confianza
entre las organizaciones y sus
proveedores de servicios deTI
sigue situándose en unos niveles
relativamente bajos en comparación,
por ejemplo, con las instituciones
financieras (a pesar de la crisis de
crédito. Una actitud está totalmente
justificada, sobre todo en lo que
respecta a la informática en la nube.
La informática en la nube no está
exenta de peligros, aunque el
número de incidentes importantes
relacionados con servicios en nube
fue relativamente reducido en 2010
si tenemos en cuenta el número
de clientes.Todas las ‘Big Four’ de
proveedores de servicios en nube
(Google, Salesforce.com, Amazon y
Microsoft) han tenido que solucionar
diversas vulnerabilidades de sus
productos en las que comprometían,
hasta cierto punto, los datos de los
clientes. Las consecuencias de la
pérdida, filtración o vulnerabilidad de
datos ubicados en las instalaciones
de los proveedores pueden resultar
desastrosas para el negocio. Es
importante destacar que la protección
de los datos del cliente depende
en gran medida del proveedor de
servicios en nube.
Otro aspecto de dependencia
es el temido cliente cautivo del
proveedor (vendor lock-in). Dado el
limitado, aunque creciente, número
de proveedores de servicios en
nube y a la escasez de estándares
(abiertos, intercambiables) para la
interoperabilidad de proveedores,
puede resultar extremadamente difícil
cambiar de proveedor o migrar de
nuevo a una estructura deTI instalada
localmente. Este problema podría
verse agravado por la incapacidad por
parte del proveedor de dar soporte a
la extracción de datos en formatos
abiertos tras la rescisión del servicio.
Esto implicaría que los datos sólo
son adecuados para una aplicación o
proveedor específico.
Este tipo de dependencia incluye
circunstancias imprevistas como
quiebras, litigios, investigaciones
de los organismos reguladores o
cualquier otro acto de difamación por
parte del proveedor que pudiera dañar
significativamente el negocio de una
organización. Además, la suspensión
de los servicios, los cambios en los
niveles de servicio o en el enfoque
por modificaciones de la estrategia
de fusiones o adquisiciones por parte
del proveedor, también podrían tener
efectos no deseados.
La dependencia de Internet puede
también afectar a la fiabilidad y
funcionamiento del servicio (algo
que está fuera del control del
cliente y del proveedor). Aunque
las líneas dedicadas y las redes
privadas pueden utilizarse para la
informática en la nube, su principal
infraestructura es Internet y, dado
que la propiedad y responsabilidad
de Internet no están claras para la
mayoría, garantizar las obligaciones
contractuales con proveedores
de red y partes responsables que
permitan la conectividad a Internet
es prácticamente imposible y muy
complicado desde el punto de vista
legal.
20. El perfil de riesgo de la nube
Han de tenerse en cuenta los riesgos
de la informática en la nube. Por un
lado, la informática en la nube se
basa principalmente en tecnologías
existentes, como la virtualización,
segregación de datos y servicios
web y dichas tecnologías conllevan
riesgos (a pesar de que los controles y
medidas de mitigación de los riesgos
deTI actuales son en gran medida
responsabilidad del proveedor, ya que
éste posee y gestiona los recursos deTI
en la nube). Por otro lado, la informática
en la nube tiene unas características
que afectan de forma considerable al
perfil de riesgo en comparación con la
estructura deTI local tradicional. Estas
características son:
• Almacenamiento y procesamiento de
datos externos;
• El intercambio de recursos deTI con
otros clientes (Multi-tenancy);
• Dependencia en Internet
Función deTI tradicional Informática en la nube
Ubicación del
almacenamiento de datos y
activos deTI
Dentro del dominio seguro
(interno) de la organización del
cliente
Fuera del dominio de seguridad interno de la
organización del cliente; alojado/ubicado en un
proveedor de servicios en nube o distribuido/repartido
entre múltiples proveedores (externos)
Utilización de recursos (deTI) Exclusiva para el cliente Diversos grados de multi-tenancy
Infraestructura principal para
la transferencia de datos
LAN, líneas dedicadas Internet
Fuente: KPMG, 2011
Almacenamiento y
procesamiento de datos
On-premise Off-premise
TI On-premise Centro de
servicios
compartidos
Alojamiento
web
Externalización Informática
en la nube
Acceso y
autorización
Multi-tenancy (acceso
simultáneo de múltiples
usuarios a una única aplicación)
Single-tenancy (acceso de
un único usuario a una
única aplicación)
Infraestructura
de red principal
Internet
LAN
(Red de área local)
Consideraciones
20 | Orquestando el nuevo paradigma
21. Orquestando el nuevo paradigma | 21
7.2 Complejidad del entorno híbrido
Como indica su nombre, el entorno
híbrido cubre múltiples conceptos
relativos a la gestión de datos,
contratos y tecnología. La gestión de
estos aspectos puede suponer una
ardua tarea para las organizaciones.
La gestión de datos es importante para
evitar interrupciones en el negocio. La
complejidad de la gestión de datos en
entornos híbridos se debe
principalmente al procesamiento y
almacenamiento de datos en
diferentes ubicaciones físicas. Los
datos se distribuyen o reparten entre
diversas ubicaciones de los
proveedores, además de in situ, lo que
conlleva retos en materia de seguridad
y privacidad. Es sumamente
complicado implantar medidas y
procesos de control integrados para la
gestión de datos en diversas
infraestructuras que, a menudo, son
incompatibles.
Una segregación de datos insuficiente
y el aislamiento de los procesos
pueden provocar la contaminación de
datos o el incumplimiento de los
acuerdos en materia de
confidencialidad, si bien la falta de
controles de identidad y acceso puede
causar que se acceda de forma
ilegítima a datos sensibles. En el caso
de grandes empresas que deben
cumplir regulaciones concretas, contar
con medidas inadecuadas en relación
con la gestión de datos también podría
provocar una situación de
incumplimiento regulatorio.
Además, el almacenamiento de datos
fuera del perímetro de la organización
podría provocar problemas de
privacidad. Por ejemplo, en el Espacio
Económico Europeo las normas son
aplicables en lo relativo al
procesamiento de datos personales.
Todo el que manipule datos personales
debe cumplir estas normas,
independientemente de cómo y dónde
se procesan realmente los datos. En
pocas palabras, el cliente que utilice
los servicios en nube seguirá siendo
responsable de sus datos. Esto
supone un riesgo para el cliente, ya
que en los escenarios en nube en
determinadas ocasiones no queda
claro dónde y cuándo se están
procesando los datos, cómo se
transfieren y quién tiene acceso a
dichos datos. Además, este problema
se ve acrecentado por la presencia
internacional de proveedores de
servicios en nube.
Dado el aumento de servicios en nube
que pueden adquirirse y
proporcionarse en todo el planeta, las
organizaciones tendrán además
contratos con proveedores de
diferentes jurisdicciones.
22. 22 | Orquestando el nuevo paradigma
Diferentes jurisdicciones implican
diferentes legislaciones, normas y
procedimientos. Las regulaciones
aplicables a ubicaciones geográficas
concretas no son compatibles con los
servicios de informática en la nube
internacionales. En consecuencia, la
ubicación de los datos en diversas
jurisdicciones puede estar reñida con
las legislaciones locales aplicables al
cliente.
En lo que respecta a la integración
técnica, la integración de controles de
acceso y la autorización constituyen
los mayores retos a los que deben
enfrentarse las organizaciones.
Las distintas ventajas de la
autenticación, sobre todo cuando la
autenticación del servicio en nube es
menos estricta que los requerimientos
del cliente, pueden provocar
deficiencias en el entorno deTI
provocando que se comprometa la
integridad y confidencialidad de los
datos. En la mayoría de organizaciones
grandes, los procesos de autorización
para acceder a recursos deTI internos
son complejos y tienen margen de
mejora. Con frecuencia, las
autorizaciones para cambios de rol/
función dentro de la organización
incluyen nuevos permisos pero sin
eliminar los antiguos, lo que conlleva
que existan demasiados permisos y
un posible incumplimiento de las
obligaciones de segregación de
funciones. Esta complejidad se ve
agravada por los servicios en nube
que utilizan procedimientos distintos y
otras tecnologías para facilitar estos
procesos.
7.3 Seguridad
Los entornos híbridos tienen
consecuencias de gran alcance en el
grado de seguridad, sobre todo en lo
referente a estados financieros. Para
conseguir un entorno seguro, es
fundamental que los proveedores
actúen con transparencia en lo relativo a
datos y gestión de la seguridad física y
lógica. Sin embargo, en la práctica los
marcos de seguridad resultan a menudo
inadecuados.
Este hecho supone principalmente un
problema para la organización del cliente,
ya que la normativa en materia de
protección de datos establece que el
cliente tiene la obligación legal de validar
las medidas implantadas por el
proveedor de servicios. Por tanto,
cuando se utilicen servicios alojados
externamente como informática en la
nube, es responsabilidad del cliente
saber qué se externaliza, a quién y
dónde se procesan y ubican los datos.
La norma SAS70 (ahora ISAE 3402) y
otros certificados parecen ofrecer una
solución a este problema, pero sólo una
minoría de los proveedores contrata a
Compañías independientes para realizar
auditorías externas con regularidad.
23. Además, los controles deTI
seleccionados se basan a menudo en
la estructura de un único usuario y no
en la característica de múltiples
usuarios (multi-tenancy) de los
servicios en nube. Muchos de los
controles necesarios para garantizar la
segregación y la utilización de recursos
de diversos clientes no se seleccionan
y, por tanto, apenas se auditan. Se
están formulando nuevas iniciativas de
control en materia deTI, pero ninguna
termina de implantarse en el mercado.
Además, Internet, que es la principal
infraestructura de la informática en la
nube, es enormemente difícil de
auditar y supervisar, ya que la
responsabilidad en torno al tráfico de
Internet es difícil de asignar y mucho
más de imponer. En consecuencia, la
gestión con múltiples proveedores, la
naturaleza de “caja negra” de la
informática en la nube e Internet no
suelen ser una buena combinación
para los sectores estrictamente
controlados.
Cabe destacar que la norma SAS70,
que se utiliza globalmente para auditar
las actividades que afectan a los
estados financieros, ha sido
reemplazada en junio de 2011 por la
norma ISAE3402. Esta nueva norma
establece una base internacional con
el apoyo de la IFAC (Federación
Internacional de Contadores) y el ASB
(Auditing Standards Board) de Estados
Unidos, además también es aplicable a
los controles externalizados relativos a
los estados financieros.
Orquestando el nuevo paradigma | 23
25. Orquestando el nuevo paradigma | 25
Orquestación
Sistemas de
selección de
argumentos
pempresariales
Gestión de
riesgos
Reducción
de riesgos
Beneficios
de optimizar
la gestión
8.1 Argumento empresarial
Para hacer uso de la informática en la
nube, es fundamental contar con un
argumento empresarial sólido. Las
organizaciones deberían crear un
argumento empresarial basado en
cómo utilizar las distintas tecnologías
y modelos. Determinados elementos
del entorno deTI deberían dejarse tal
como están, mientras que otros podrían
llevarse a cabo en la nube. El ciclo de
vida y la amortización de los activos deTI
existentes también deberían valorarse y
evaluarse.
La idoneidad de la informática en
la nube depende en gran medida
de las necesidades de negocio de
la organización. En la práctica, los
servicios personalizados y complejos
son mucho menos comunes en la nube
que los servicios básicos, como el
correo electrónico y el almacenamiento.
Además, es poco probable que la
información altamente confidencial y
sensible se mueva a la nube en el futuro
próximo.
Se recomienda enérgicamente realizar
una estrecha supervisión del mercado.
Los cambios se producen a un ritmo
vertiginoso y cada uno plantea nuevas
oportunidades e inconvenientes.
Un paso adelante:
orquestación
Orquestación
Para obtener los beneficios del nuevo paradigma deTI, las
organizaciones deberán controlar el entorno híbrido. La
capacidad para definir argumentos empresariales, analizar y
reducir riesgos y gestionar servicios deTI es la clave del éxito. La
combinación de estos elementos es lo que llamamos en este
informe orquestación.
Fuente: KPMG, 2011
Un entorno híbrido es clave para el éxito.
08
26. El gobierno de los Países Bajos encargó
a KPMG un análisis de las posibilidades
de la informática en la nube en su
estrategia. El objetivo de este proyecto
consistía en identificar qué parte de la
función deTI del gobierno de los Países
Bajos podría trasladarse a la nube y qué
tipos de ofertas de informática en la
nube eran viables.
Según la información recabada durante
los talleres y las reuniones de expertos,
KPMG determinó que la informática
en la nube sólo era adecuada para un
subgrupo deTI compuesto por los que
cumplen las siguientes condiciones:
• No poseen datos altamente
confidenciales: este tipo de datos
no puede trasladarse a dominios
externos por razones de seguridad,
privacidad y políticas.
• No forman parte de sistemas
heredados: la migración o
transformación de los sistemas
heredados a gran escala con
funcionalidades específicas requiere
demasiado trabajo e implica un
riesgo demasiado grande.
• No se han adquirido recientemente:
los sistemas que se encuentren en la
fase inicial de su ciclo de vida no son
adecuados desde el punto de vista
financiero dado el largo periodo de
amortización.
• Cuentan con un número limitado
de conexiones con otros sistemas:
dado que es necesario concretar
los estándares necesarios para
interconectar los distintos sistemas
entre la nube y el sistema on-
premise, se pueden excluir los
sistemas complejos.
Asimismo, KPMG determinó que sólo
era viable una nube privada interna
para una parte limitada de los sistemas
deTI porque el resto requerían un alto
nivel de inversión, unos conocimientos
especializados necesarios y apenas
aportaban ningún beneficio.
Aunque el suministro de servicios en
nube se incrementará y se diversificará
con el paso del tiempo, los servicios
probados y maduros del mercado
de informática en la nube externa
se limitan principalmente a correo
electrónico, aplicaciones de oficina,
CRM, colaboración, plataformas
de desarrollo de aplicaciones,
almacenamiento de datos y capacidad
de infraestructuras/servidor.
La estrategia de informática en la nube del gobierno de los
Países Bajos
Servicios en nube
maduros no
disponibles
Datos altamente
confidenciales
- Nube privada externa
-Nube pública
Nube privada interna
Adecuado para
la nube
Sistemas complejos
Sistemas recientemente adquiridos
Sistemas heredados
Informática en la nubeTI del gobierno de los Países Bajos
Método de análisis de nube de KPMG
Fuente: KPMG, 2010
Caso práctico 1:
26 | Orquestando el nuevo paradigma
27. Orquestando el nuevo paradigma | 27
Un banco internacional encargó a
KPMG un análisis de oportunidad con
el objetivo de identificar las áreas del
entorno de aplicaciones de la entidad
bancaria que podrían trasladarse a la
nube.
Dada la naturaleza excepcionalmente
valiosa y confidencial de los datos
bancarios, la entidad bancaria exigió
un alto nivel de seguridad y control en
relación con sus sistemas deTI, por
tanto se requería el cumplimiento
de las regulaciones y normativas
aplicables, tales como las Normas de
Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI DSS)
Durante las dos sesiones, KPMG y los
representantes de la entidad bancaria
(altos representantes de negocio,
directores deTI, arquitectos deTI,
directores de seguridad, y gerentes de
auditoría y riesgos):
• Acordaron la definición factible e
uniforme de la informática en la nube
dentro de la organización.
• Acordaron el alcance de las
aplicaciones del banco.
• Seleccionaron los servicios en nube:
definieron y describieron de forma
escueta los proveedores de servicios
en nube y sus soluciones. Los
requisitos previos fueron:
- Una probada trayectoria en
organizaciones financieras;
- Datos almacenados en la UE;
- El certificado ISO27001.
• Desarrollaron un argumento
empresarial: posibles beneficios de
las soluciones seleccionadas.
• Desarrollaron una valoración de
riesgos: posibles riesgos, medidas
de mitigación y riesgos residuales.
• Analizaron las oportunidades: áreas
adecuadas para la informática en la
nube.
Sólo una parte de las aplicaciones de la
entidad bancaria eran adecuadas para
la nube. Las principales restricciones
fueron el reducido número de
proveedores con una probada
trayectoria, el riesgo de dependencia en
los proveedores y la confidencialidad de
los datos de la entidad bancaria.
Análisis de una oportunidad de informática en la nube para un
banco internacional
Plataforma
de desarrollo
Portales
Oficina
Correo
electrónico
RR.HH.
Finanzas
Inteligencia
de negocio
DMS (sistema de
gestión de documentos)Emisión de
facturas
Intranet
BPM (gestión de
procesos de negocio)
Sólo bajo condiciones
particularmente estrictas
Aplicaciones básicasAplicaciones de procesos primarios
DatosdominiopúblicoDatosconfidenciales
A largo plazo Adecuado
Inadecuado
ESB (bus de servicios
empresariales)
CRM (gestión de
relaciones con clientes)
ERP (planificación de
recursos empresariales)
Orquestando el nuevo paradigma | 27
Fuente: KPMG, 2010
Caso práctico 2:
Análisis de oportunidades de informática en la nube de KPMG
28. 28 | Orquestando el nuevo paradigma
8.2 Gestión de riesgos
La gestión de riesgos es un elemento
esencial del entorno híbrido. Además
de las actividades de gestión de
riesgos “tradicionales”, se debería
prestar especial atención a las medidas
dirigidas a la reducción de los riesgos
derivados de una excesiva dependencia
en los proveedores, la complejidad de
procesos y tecnología y la seguridad.
En cuanto a la dependencia en los
proveedores y sus productos, se
aconseja que se realice una valoración
de riesgos en una fase inicial. Se debe
evaluar y verificar la trayectoria del
proveedor, su integridad y su situación
financiera/de mercado. De cara a la
implantación de la informática en la
nube, los encargados de la toma de
decisiones deben tener en cuenta que
este mercado se encuentra en fase
de desarrollo y que las migraciones a
gran escala a la nube y el conocimiento
relativo a este tema son escasos.
En cualquier caso, el cliente debe
preparar una estrategia de salida/
migración.
En cuanto a la complejidad de los
procesos y la tecnología, se debe
identificar el ecosistema en su totalidad,
incluidas las diversas relaciones
existentes entre los componentes del
entorno híbrido. Los servicios en nube
están frecuentemente formados por
muchas partes ubicadas en diversos
emplazamientos, bajo distintas
condiciones y sujetas a diferentes
legislaciones. Resulta esencial
identificar el ecosistema en su conjunto
y obtener las suficientes garantías.
Se recomienda contar con el derecho
a auditar todos los servicios off-
premise, aunque la realidad es que los
grandes proveedores de servicios en
nube aceptan pocas solicitudes de
auditoría. Además, muchos auditores
no cuentan con el conocimiento
técnico y la experiencia necesaria para
auditar la arquitectura de la nube. En
consecuencia, muchas organizaciones
se ven obligadas a fiarse de la
transparencia del proveedor mediante
informes y certificados. Se aconseja
utilizar esta segunda opción en la
medida de lo posible.
La informática en la nube cuenta con
diversas características concretas que
afectan de forma significativa al perfil
de riesgos, como el almacenamiento
y procesamiento de datos externos, el
intercambio de recursos deTI con otros
clientes (multi-tenancy) y la dependencia
en Internet. Estas características
conllevan importantes riesgos en
muchos ámbitos, como en los propios
datos, la seguridad, la privacidad, el
cumplimiento y las finanzas. Por tanto,
se deberían evaluar los riesgos de todos
estos ámbitos, se deberían definir las
medidas de mitigación y se deberían
asignar responsabilidades.
29. Orquestando el nuevo paradigma | 29
Se encargó a KPMG la evaluación de
los riesgos a los que se enfrentaba una
organización que ya utilizaba servicios
en nube. Las unidades deTI y seguridad
no se incluyeron en el proceso de
compra, lo que complicó las posibles
medidas de mitigación.
En el caso de esta organización,
identificamos las siguientes cuatro
características relevantes de servicios
en nube que implicaban riesgos:
• El almacenamiento de datos externo;
• La arquitectura del tipo multi-tenancy;
• El uso de Internet;
• La integración con el entorno deTI
interno.
Estas cuatro características se
encontraban en diversas dimensiones
de riesgo.
Los principales riesgos relacionados
con la integración del entorno deTI
interno, y más específicamente con la
autenticación y autorización de usuarios
de negocio.
En primer lugar, la autenticación de
la organización del cliente (factor 3)
era más sólida que la autenticación
del proveedor de servicios en nube
(factor 2).
Esta situación provocó unas
deficiencias no deseadas en el
entorno deTI con el resultado de que
la integridad y confidencialidad de los
datos (financieros) podrían resultar
dañadas.
En segundo lugar, los procesos de
gestión (crear, modificar y desactivar/
borrar cuentas) y autorización de
usuarios (quién o qué funciones tienen
qué tipo de permiso para qué tipo de
datos) a los recursos deTI internos no
podrían integrarse con los procesos del
proveedor de servicios en nube. Por
tanto, esta situación de dos dominios
separados incrementa el riesgo de
mayores complejidades, costes
adicionales y gestión.
Caso práctico 3:
KPMG’s risk dimensions model
Orquestando el nuevo paradigma | 29
Financiero
Seguridad y
privacidad
Operativo
Tecnología
Regulatorio y
Cumplimiento
Proveedor
RIESGOS DE
NEGOCIO
Source: KPMG in the US, 2010
Una valoración de riesgos relativos a la informática en la nube
para una organización enmarcada en el sector de mercados
industriales
30. 30 | Orquestando el nuevo paradigma
8.3 Gobierno corporativo
El gobierno corporativo aúna la gestión
de múltiples proveedores de servicios,
control de la demanda/compra y la
integración de procesos y tecnología. Si
se consigue un gobierno corporativo
óptimo del entorno híbrido, aumentará
la eficacia del área deTI del cliente.
La gestión de múltiples proveedores de
servicios incluye elementos similares a
los de una estructura deTI tradicional.
No obstante, se hace mayor hincapié
en la gestión de proveedores, el
soporte legal, la supervisión del
cumplimiento y la integración. Los
principales componentes del gobierno
corporativo se describen a continuación.
Cualquier persona de la organización
puede adquirir bajo pedido los servicios
de la informática en la nube sin el
conocimiento de los departamentos de
riesgo/auditoría y deTI. En
consecuencia, podría producirse un
exceso o una duplicación de
aplicaciones. Para evitarlo, se debería
crear una política sobre la informática
en la nube para controlar la compra de
este tipo de servicios y fomentar el uso
correcto de la nube. Asimismo, esta
política debería incluir condiciones,
compromisos, requerimientos de nivel
de servicio, condiciones entre
proveedor y cliente y procedimientos
relativos al cumplimiento de la política.
Definir la arquitectura para garantizar la
adecuada interoperabilidad entre las
distintas tecnologías y distintos
modelos de servicio es un paso
importante y asegura la alineación con
la estrategia de la organización. En
general, contar con una arquitectura
uniforme supera las ventajas que se
pueden obtener de utilizar diversos
modelos. Entender la arquitectura de
diversos servicios y sus relaciones es
sumamente importante al implantar los
servicios. A este respecto, se
recomienda prestar especial atención a
la Gestión de identidad y acceso (IAM
por sus siglas en inglés) y la integración
de flujos de trabajo, ya que con
frecuencia presentan dificultades
técnicas en la práctica.
Gestión de
proveedores
Gestión de
contraltos
Gestión del
nivel de servicio
Soporte legal
Gestión del riesgo
empresarial
Supervisión
del cumplimento
Gestión de la
demanda
Gestión de
cartera de servicios
Gestión de
Identidad y Acceso
Integración
de servicios
Integración
técnica
Gestión de
la seguridad
Source: KPMG in the Netherlands, 2010
Governance
31. El impacto de la informática en la nube conlleva cuestiones
fiscales en el país del proveedor de servicios y también en el
del cliente. En general, existen tres aspectos fiscales que han
de tenerse en cuenta de forma exhaustiva:
El primero es el hecho de que se puede producir una cuestión
en torno al establecimiento permanente si un proveedor de
servicios de informática en la nube tiene un servidor en otro
país. En tales casos, las autoridades fiscales del otro país
podrían opinar, desde un punto de vista fiscal, que el servidor
crea un establecimiento permanente local y que esa parte de
los beneficios relacionados son gravables en su país.
El segundo guarda relación con el IVA. A efectos de IVA, un
proveedor de servicios de informática en la nube podría estar
obligado a registrarse en los países en los que se ubican sus
clientes y podría estar sujeto al IVA local.
El tercer punto a tener cuenta es el establecimiento de
servicios de informática en la nube. Bajo determinadas
circunstancias, las autoridades fiscales podrían adoptar
la posición de que los servicios de informática en la nube
prestados a un cliente están sujetos a las retenciones locales.
Es de vital importancia que la estructura se establezca
correctamente y que los procesos se supervisen de forma
continua para minimizar las exposiciones y riesgos fiscales.
Para esto se debe contar con un proceso integrado y con un
marco de control.
A través de la planificación y estructuración, existen
oportunidades para diseñar estructuras eficientes desde el
punto de vista fiscal cuando las circunstancias sean propicias.
La informática en la nube y las cuestiones fiscales –
cómo minimizar el riesgo
Orquestando el nuevo paradigma | 31
32. 32 | Orquestando el nuevo paradigma
32 | Orquestando el nuevo paradigma
33. Orquestando el nuevo paradigma | 33
9 Mensaje principal
Las organizaciones han de hacer
frente a importantes retos tras la
crisis financiera. Los principales retos
de los encargados de la toma de
decisiones son recortar costes, acelerar
la comercialización y aumentar la
innovación en un entorno de negocio
cada vez más competitivo. En este
contexto, ¿en qué medida aporta
valor la función deTI? La realidad es
que la función deTI tiene unos costes
demasiado elevados sin añadir el valor
suficiente y, además, en ocasiones,
puede obstaculizar el proceso de
innovación.
En la actualidad se está produciendo un
cambio de paradigma en la función de
TI: la transición de una función local a
aplicaciones en Internet. La informática
en la nube responde a los intereses
de los negocios proporcionándoles
servicios a costes menores,
permitiendo una implantación más
rápida de las aplicaciones y facilitando
la innovación. No obstante, la cuota en
el mercado deTI de la informática en
la nube es insignificante y la cartera
de servicios, limitada.Y aún así, el
crecimiento de la informática en la
nube es sólido, de acuerdo con las altas
expectativas del sector.
Sin embargo, estamos presenciando
un nuevo paradigma y este cambio
constituirá una transición repentina del
viejo paradigma deTI local tradicional
a la informática en la nube pero no
supondrá el fin de todas las deficiencias
del viejo paradigma.
El nuevo paradigma deTI será un
entorno híbrido entre los servicios
tradicionales, los denominados on-
premise y los servicios en la nube, al
menos por el momento (2011 - 2015)
y ofrecerá oportunidades a las
organizaciones, como rentabilidad,
flexibilidad y rapidez, así como otros
puntos concretos a tener en cuenta.
La orquestación del entorno híbrido
será un factor clave de éxito y debe
contar con la capacidad de definir
argumentos empresariales, gestionar
múltiples proveedores de servicios,
controlar la demanda/compras e
integrar los procesos y la tecnología.
La organización óptima de un entorno
híbrido potenciará la eficacia den el
área deTI del cliente y permitirá que
las entidades puedan hacer frente a
los retos del futuro en un mercado en
continuo proceso de cambio.
Las organizaciones se enfrentan a retos como recortar costes,
acelerar la comercialización y aumentar la innovación
La TI tradicional no puede dar el soporte necesario al negocio
Parece que la informática en la nube ofrece soluciones
La informática en la nube está emergiendo pero todavía
es un fenómeno marginal
Para el periodo 2011 – 2015, el modelo predominante será el
entorno híbrido
El entorno híbrido alberga oportunidades y riesgos
La orquestación del entorno híbrido es un factor clave de éxito
Mensaje principal
Fuente: KPMG, 2011
35. Orquestando el nuevo paradigma | 35
Información complementaria
sobre la informática en la nube
Si buscamos el término en un motor
de búsqueda de Internet aparecen
múltiples definiciones, descripciones
y opiniones sobre la informática
en la nube. Algunos hablan de
“aplicaciones en Internet” o “un estilo
computacional en queTI proporciona
capacidades escalables y flexibles
como servicios a clientes externos
a través del uso de tecnología de
Internet’, mientras otros lo califican en
términos tales como “el mismo perro
con distinto collar”. Obviamente, no
hay consenso y sí mucha confusión
en cuanto a lo que realmente es la
informática en la nube.
En términos sencillos, la informática
en la nube es la prestación de
servicios deTI a partir de recursos
compartidos en Internet. A menudo
Internet se describe como una nube,
de ahí la expresión “informática
en la nube”. Entre los ejemplos
más famosos de aplicaciones de
informática en la nube se encuentran
Gmail, Google Apps, Hotmail y Apple
MobileMe.
La razón por la que este concepto en
apariencia sencillo es explicado de
formas tan dispares por proveedores
deTI, analistas y académicos
responde principalmente al hecho
de que la informática en la nube es
una combinación de importantes
elementos tecnológicos y
empresariales.
Anexo A
“La informática en la nube es un conjunto
de aplicaciones y plataformas alojadas en
un servidor, basadas en infraestructuras
compartidas y prestadas través de un
navegador web.” Responsable del sector en Google
Enterprise
TI tradicional on-premise frente a la informática en la nube
Fuente: KPMG, 2010
Local
Customer
Usuarios
Suscripción
PAYG
Hardware, Software + datos
Licencias y costes
de soporte
Informática en la nube
Customer
Usuarios
Hardware, Software + datos
ProveedorProveedor
Internet
Servicios de TI Servicios de TI
36. 36 | Orquestando el nuevo paradigma
Desde el punto de vista tecnológico,
la informática en la nube se basa
en tecnologías ya existentes tales
como virtualización, servicios
web, memorias caché de datos
compartidos y sistemas informáticos
grid. Dado que los proveedores de
servicios de aplicación (ASP por sus
siglas en ingles) han proporcionando
aplicaciones deTI a través de
Internet durante más de una década,
la informática en la nube puede
describirse de hecho como “el mismo
perro con distinto collar”.
No obstante, la prestación comercial
de servicios deTI en Internet a
gran escala a través de grupos
compartidos de recursos deTI es
económicamente viable tras tres
desarrollos relativamente recientes.
En primer lugar, las tecnologías
antes mencionadas, de las cuales
la virtualización y los servicios
web son los más importantes, han
sido mejoradas, estandarizadas y
ampliamente aplicadas durante los
últimos cinco años. En segundo lugar,
las redes de banda ancha pública son
abundantes y fácilmente accesibles
a un coste razonable. En tercer lugar,
determinados proveedores han
ampliado enormemente la magnitud
de sus recursos, convirtiéndolos en
los principales agentes del mercado
de informática en la nube actual.
El principio empresarial de la
informática en la nube se basa en el
hecho de que la posesión/propiedad de
recursos deTI (esto es, aplicaciones,
plataformas o infraestructura) es
independiente del uso de esos
recursos. En la informática en la
nube, los recursos deTI, ya sea una
aplicación o almacenamiento, siguen
siendo propiedad del proveedor de los
servicios en nube y los clientes sólo
pagan por el uso del servicio deTI sin
tener que llevar a cabo instalaciones
de software o hardware locales. En
teoría, la informática en la nube no exige
inversiones iniciales (desembolsos de
capital) a diferencia de laTI tradicional. El
cliente sólo debe tener acceso a Internet.
Los servicios en nube incluyen diversos
niveles deTI. A nivel de software, este
servicio se conoce como Software
como servicio (SaaS). La Plataforma
como servicio (PaaS) proporciona
servicios deTI a nivel de plataforma
(P.ej., sistemas operativos, marcos de
aplicación) y, en este caso, los clientes
después deben desarrollar o instalar
software adicional. La Infraestructura
como servicio (IaaS) proporciona
componentes de infraestructura técnica
(p.ej., almacenamiento, memoria,
CPU, red). El cliente debe instalar
plataformas y software adicionales
o podrá utilizar componentes de
infraestructura concretos para procesos
on-premise (véase el siguiente
diagrama). En general, los proveedores
de servicios en nube se especializan
sólo en uno o dos niveles.
Dependiendo del nivel, la informática
en la nube cuenta con las siguientes
características:
• Almacenamiento y procesamiento
de datos externos. A diferencia de la
TI tradicional, los datos se almacenan y
procesan fuera del dominio del cliente
en la/s ubicación/ubicaciones de los
proveedores de servicios en nube
• Multi-tenancy. En contraposición
a laTI tradicional, los recursos son
compartidos (hasta cierto punto) por
múltiples clientes
• Dependiente de Internet. Aunque
las líneas dedicadas y las redes
privadas pueden utilizarse para la
informática en la nube, su principal
infraestructura es Internet
Niveles de informática en la nube
Fuente: KPMG, 2010
IaaS
PaaS
SaaS
Salesforce.com, Microsoft Office 365, Gmail
Software + Plataforma + Infraestructura
Amazon EC2, Terremark, RackSpace
Infraestructura
App Engine, Force.com, Azure
Plataforma + Infraestructura
37. Orquestando el nuevo paradigma | 37
Diferentes tipos de informática en la nube
• Servicios contratados. Los
clientes pagan por un servicio
(suscripción o PAYG) en lugar de
licencias o hardware
• Servicios bajo pedido. En
contraste con la gran mayoría de la
TI tradicional, los servicios en nube
pueden utilizarse casi de forma
instantánea
• Elasticidad. Los servicios en nube
se pueden ampliar y reducir
La condición de multi-tenancy puede
limitarse a un grupo selecto de
clientes o incluso a un único cliente,
aunque siempre existe cierto grado
de multi-tenancy (p.ej., instalaciones
físicas, área de refrigeración, personal
de soporte) en la informática en la
nube. Esta forma de informática en la
nube privada o dedicada representa
una alternativa a la nube pública con
un alto nivel de multi-tenancy. En
cualquiera de las formas, los datos del
cliente se almacenan en la ubicación
del proveedor.
Determinados proveedores ofrecen
soluciones de informática en la nube
privada en las que un departamento
deTI interno de una organización
utiliza las tecnologías de informática
en la nube para crear una “nube
on-premise”. Dado que esta forma
interna de informática en la nube
depende totalmente de laTI interna,
es altamente discutible si puede
llamarse realmente informática en
la nube. Por tanto, este tipo de nube
interna no se comenta en el presente
documento.
Fuente: KPMG, 2010
Informática en la nube
interna
Cliente A deTI interno
Cliente A
Servicio
Internet
TI
Proveedor
Cliente A Cliente B Cliente C
Informática en la nube privada
TI TI TI
Internet Internet Internet
Servicio Servicio Servicio
Proveedor
Cliente A Cliente B Cliente C
Informática en la nube pública
TI TI TI
Servicio Service
Servicio
Servicio
Internet
38. 38 | Orquestando el nuevo paradigma
Enfoque
Este documento refleja la visión de
KPMG sobre la informática en la nube
aportando una amplia perspectiva. La
base del contenido ha sido facilitada
por un equipo de especialistas
internacionales en esta materia
pertenecientes a la red de firmas
miembro de KPMG International
durante septiembre y octubre de 2010.
Además, también se han utilizado los
informes y publicaciones existentes
de KPMG. La version original de este
documento fue escrita por Mike Chung
con el auspicio de John Hermans (socio
de KPMG en Países Bajos)
Referencias
• From Hype to Future, KPMG’s 2010
Cloud Computing Survey, KPMG,
2010
• Clouds in the Forecast – Canadian
perspectives on the promise of cloud
computing services for businesses,
KPMG, 2010
• IT Attestation in the cloud, KPMG,
2010
• Audit and Compliance in the cloud,
KPMG, 2010
• Executive ConsiderationsWhen
Building and Managing a Successful
Cloud Service, KPMG, 2009
• Audit in the cloud, security audits
versus cloud computing, Mike
Chung, KPMG, 2010
• Assurance in the cloud, impact
of cloud computing on financial
statements, Mike Chung, Compact,
2011.
• OECD InformationTechnology
Outlook 2010, OECD, 2010
Contacto
KPMG en España
Pablo Montoliu
Socio, KPMG en España
T: +34 91 456 3897
pamontoliu@kpmg.es
Enfoque, referencias y contacto
Anexo B