Llegamos a ustedes gracias a:



Columnas de opinión

Las mejores prácticas para mover su carga de trabajo a la nube

Por: Pierluigi Paganini, Hacker Ético Certificado

Mejores prácticas cloud

[04/11/2014] La rápida difusión del paradigma para la adopción de la nube y los beneficios prometidos por la adopción de la infraestructura de la nube, están atrayendo un creciente número de negocios y organizaciones.

Es esencial que las organizaciones maximicen los beneficios de la migración a la arquitectura de nube reduciendo costos y minimizando riesgos.

La computación en la nube representa o significa un cambio fundamental en cómo las compañías usan y proporcionan sus servicios. Para muchas pequeñas y medianas empresas, representa una opción para competir en un ambiente de negocio con competidores poderosos.

Los directores de TI hoy en día están inundados con incontables propuestas de negocios. Por esta razón, les ofrecemos algunos insights útiles para mover o migrar las cargas de trabajo a la nube.

Identifique a los que toman las decisiones que se encuentran en los puestos más altos de la empresa y asegúrese que estén comprometidos

La adopción de la arquitectura de nube es un proceso que requiere mucho esfuerzo por parte de toda la empresa. Cada función, aplicación y datos tienen que ser movidos a la nube. Por esta razón, es necesario tener un gran compromiso por parte del directorio.

El alto directorio es responsable del crecimiento armónico de la compañía, y la tecnología representa un factor clave para el desarrollo de negocio hoy en día.

Los directores tienen que establecer metas razonables para o por la adopción del paradigma de computación de la nube. Una migración a la nube requiere el esfuerzo de todo un equipo para planear, diseñar y ejecutar rodas las actividades para mover o migrar las cargas de trabajo a la nueva infraestructura de TI. El proceso de migración puede ser manejado o administrado por tres equipos con amplia experiencia en: Infraestructura, datos y aplicación y ciberseguridad.

Las divisiones tienen que coordinar sus esfuerzos definiendo el plan de transición y enfocándose en aquellas actividades que necesitan un esfuerzo conjunto.

Nube pública o privada, ¿cuál escoger?

Las empresas tienen que elegir la arquitectura de nube apropiada o adecuada. Una de las decisiones más importantes está relacionada a la adopción de la infraestructura de la nube pública o privada.

La elección depende de varios factores, incluyendo el tamaño de la empresa y el presupuesto reservado para los servicios de TI de su compañía. Una nube pública es normalmente ofrecida por compañías especializadas de grandes dimensiones (ej. Amazon, Google y Microsoft) la cual proporciona una infraestructura de nube a un bajo precio, incluyendo los gastos por la administración o gestión ordinaria de la arquitectura y de los datos locales.

Las compañías que eligen una nube pública tienen poco control sobre los datos. Los datos y aplicaciones son compartidos entre muchas empresas con obvias repercusiones en la seguridad y privacidad.

En una nube privada, los datos y aplicaciones de la compañía están localizados en un centro de datos dedicado a un solo negocio, dándole más control en términos de seguridad, privacidad y flexibilidad. Obviamente una nube privada es más cara que una pública.

La tercera opción está representada por una nube llave en mano: un software y/o hardware y nube de almacenamiento probado y certificado que puede ser implementada rápidamente por empresas privadas y proveedores de nube. Las nubes llave en mano son especialmente útiles y convenientes para organizaciones que no tienen recursos de TI. Éstas permiten que las pequeñas empresas adopten aplicaciones de negocios estándar de un gran proveedor de nube a través de Software como Servicio (SaaS) y usar un centro de datos de nube para servicios como correo electrónico.

Escora el proveedor de servicios de nube correcto

La elección de un proveedor requiere la evaluación de una larga lista de opciones, especialmente relacionadas al negocio del usuario. Los principales elementos a considerar por cualquier compañía son:

Niveles de servicio: Esta característica es esencial cuando los negocios tienen necesidades estrictas y bien establecidas en términos de disponibilidad, tiempo de respuesta, capacidad y soporte. Los Cloud Service Level Agreements (SLA) son un importante elemento para elegir al proveedor correcto, y establecer una relación contractual clara entre el cliente del servicio de nube y el proveedor del servicio. Hay que prestarle bastante atención a los requisitos legales para la protección de datos personales alojados en el servicio de nube.

Soporte: El soporte es un parámetro a considerar con mucho cuidado. Puede ser ofrecido online o a través de un call center, y en algunos casos puede ser necesario hacer referencia a un recurso dedicado con restricciones temporales explicitas.

Seguridad: ¿Cuál es el nivel de seguridad ofrecido por los proveedores y qué mecanismos están en su lugar para preservar nuestras aplicaciones o datos? Estas y muchas otras preguntas tiene que ser formuladas al proveedor de nube para evaluar esta característica esencial para la arquitectura general.

Conformidad: Elija la arquitectura de nube de acuerdo a la conformidad con los estándares para la industria especifica. La privacidad, seguridad y calidad son aspectos clave a evaluar en esta fase.

Prepare o haga un plan de negocios detallado para migrar a la nube

Para un plan de negocio, es necesario definir la carga de trabajo para la migración a la infraestructura de nube. El plan tiene de detallar los recursos involucrados en el proceso y los esfuerzos relacionados. Este debe incluir la lista de los servicios que deben migrar, la línea de tiempo de las operaciones y los costos relacionado en una base anual.

Mientras se hace el borrador del documento, es necesario considerar las necesidades de negocio de la compañía y los requisitos para el proveedor de nube que se elegirá. Es necesario considerar los impactos de la migración en cada sector de la empresa -desde los impactos al staff de TI hasta los del equipo legal que va a tener que enfrentarse a los nuevos tipos de contratos tecnológicos- así que es necesario preparar al personal a tiempo.

De servicios de mapas empresariales a servicios de TI en la nube

El modelo de computación en la nube puede ser implementado en diferentes niveles. Puede ser muy útil listar todos los servicios de TI tradicionales usados y proporcionados por el negocio, y mapearlos en los servicios de nube relacionados listados abajo.

* Infraestructura como Servicio (IaaS) es el modelo para la externalización de los equipos usados para apoyar las operaciones de las compañías, incluyendo almacenamiento, hardware, servidores y componentes de redes. Es importante determinar si el servidor de hardware basado en la nube y el sistema operativo son compatibles con la infraestructura de redes y el sistema operativo de la compañía.

* Plataforma como Servicio (PaaS) es el modelo de varios software, incluyendo los servidores web de aplicación de base de datos. Es súper importante verificar que el ambiente PaaS elegido apoye todas las opciones y características de los servidores de aplicaciones usado por la compañía.

* Software como Servicio (SaaS) Aplicaciones proporcionadas como un servicio. Dependiendo del tipo de aplicación usada para migrar, es necesario evaluar la existencia de alternativas basadas en SaaS, las cuales tienen que satisfacer tanto las necesidades técnicas como las de negocio. No subestime la necesidad de migrar datos preexistentes a la nueva aplicación.

* Data como Servicio (DaaS) son datos o información entregada en la nube, ya sea como conjuntos de datos raw, o consumidos a través de una interfaz analítica.

* Procesos de negocios como Servicio (BPaaS) es la entrega de servicios de externalizaciones de procesos de negocio o BPO (business process outsourcing) que se hacen desde la nube.

Evaluar las solicitudes y el flujo de trabajo de la empresa

Una vez que los servicios tradicionales de TI son mapeados en los servicios de nube, es necesario evaluar solicitudes y cargas de trabajo de manera singular. En esta fase, el staff de TI a cargo de la migración, necesita determinar qué aplicaciones y datos pueden ser ya movidos a una infraestructura de nube, qué servicio adoptar y qué modelos de entrega (público, privado o híbrido) satisface o concuerda con las necesidades de la empresa. Es una muy buena práctica comenzar con las aplicaciones menos riesgosas, las cuales tienen un impacto mínimo en la continuidad del negocio de la organización.

Adopte un modelo de interoperabilidad flexible

Casi todas las aplicaciones que migran a un servicio de nube tienen conexiones con diversas aplicaciones y sistemas diferentes. Es crucial o esencial evaluar preventivamente el impacto de la migración en estas conexiones, y prevenir cualquier tipo de interrupción en el flujo de datos.

La comunicación entre aplicaciones está clasificada normalmente en tres categorías:

* Integración de procesos, donde una aplicación invoca a otra para ejecutar una operación especifica.

* Integración de datos, donde las aplicaciones comparten datos comunes.

* Integración de presentación, donde diferentes aplicaciones proporcionan resultados computacionales al mismo tiempo o simultáneamente para la composición del panel de control del usuario.

La migración a una infraestructura de nube debería ser apoyada por un informe bien hecho de la interoperabilidad general del negocio. Toda interacción entre los sistemas dentro de la compañía y con las entidades externas tiene que ser evaluada y mantenida en la nueva infraestructura de nube.

En muchos casos no es fácil mantener el nivel de integración y asegurar la interoperabilidad. Es necesaria la actividad de reintegración de todos los componentes sujetos a la migración.

Evite quedar comprometido, enganchado o atrapado con un proveedor de servicio de nube particular

Una de las principales preocupaciones para los directores de las compañías durante la fase de migración es evitar quedar enganchado a un proveedor de servicios de nube particular. El problema preocupa más en los niveles SaaS y PaaS.

Para los altos mandos y el staff de TI, es importante tener o contar con una estrategia alternativa definida antes de empezar el proceso de migración.

Implemente los requisitos de privacidad y seguridad

La seguridad y privacidad son los problemas más preocupantes para las empresas que deciden adoptar una infraestructura de nube. Abajo nombramos algunas de las preguntas que todo director de seguridad de TI tiene en mente cuando se acerca al paradigma de la computación en la nube.

* ¿Los datos confidenciales están seguros almacenados en la nube?

* ¿Cuáles son los riesgos relacionados a la exposición a ciber amenazas?

* ¿Podemos confiar en el personal del proveedor de servicios en la nube?

* ¿Cuál es el nivel de seguridad ofrecido en el SLA?

* ¿Cuáles son los mecanismos de seguridad que están en su lugar?

* ¿Estamos siendo obedientes con los estándares de seguridad? ¿Con cuáles?

La privacidad está relacionada a la seguridad. Una gran cantidad de datos sensibles o confidenciales e información personal identificable (PII) son almacenados por empresas en las arquitecturas de nube, y hay necesidad de preservarlas y asegurarlas contra los ciber ataques intencionales y los incidentes.

La evolución de la seguridad y privacidad durante el proceso de migración (Asegurando la nube para la empresa).
Mejores prácticas cloud

Es necesario un enfoque eficiente frente a los problemas de privacidad y seguridad, para evitar la pérdida del negocio causada por algunos incidentes y por incumplir o desobedecer las reglas del gobierno.

Las compañías tienen que considerar los temas de seguridad y privacidad de acuerdo a las necesidades de la industria para la que trabajan. Los principales elementos de seguridad que deben analizar son la infraestructura, los datos, la identidad y los dispositivos de usuario final.

Para mejorar la privacidad y seguridad de la arquitectura de nube, las compañías que deciden mover sus cargas de trabajo tienen que:

* Decidir qué datos migrar a la nube y solicitar la implantación de las medidas necesarias para asegurar la integridad de la información y preservar la confidencialidad. Imaginemos el código de fuente de las aplicaciones centrales desarrolladas por una compañía que necesita ser movida a la nube; el repositorio del software necesita ser fortalecido contra los ataques externos y su acceso debe ser regulado para prevenir el filtrado de datos por parte de los trabajadores de la empresa.

* Mapee los datos de la compañía para que pueda solicitar una clasificación de seguridad.

* Revise las medidas de seguridad y privacidad del proveedor de nube (por ejemplo: seguridad física, notificaciones de incidentes) y asegúrese de que estén documentadas en los SLA de la nube.

* Identifique los datos confidenciales o sensibles.

* Defina y revise los procesos de autenticación y autorización.

* Examine las regulaciones aplicables y evalúe con mucha atención y cuidado que es lo que se necesita hacer para cumplir con ella después de una migración a la computación de la nube.

* Maneje o administre los riesgos a violaciones de seguridad o privacidad evaluando el impacto en el negocio de la compañía por cada tarea o actividad movida a la nube.

Es importantísimo entender que el proceso de migración como tal podría exponer datos de la compañía a ciber ataques y causar incidentes. Esa es la razón por la cual el staff de TI tiene que considerar asegurar los datos y las aplicaciones durante la transición.

Administre y maneje la migración como un proyecto

La migración a la arquitectura de nube debe ser formalizada por el staff de TI y compartida con los directores de los diferentes departamentos dentro de la compañía. Toda actividad debe ser definida, planeada y ejecutada; y la transición debe ser manejada o administrada como un proyecto articulado. Como se describió en un punto previo, es necesario definir un plan de proyecto formal aceptado por la alta gerencia. Se debe hacer seguimiento a toda actividad realizada, y los costos y riesgos relacionados deben ser monitoreados durante la migración.

Puede ser útil preparar o realizar una clase de declaración de objetivos (SOO, statement of objectives), el cual describe las metas que cada departamento espera alcanzar con respecto a la migración de sus servicios y aplicaciones a la nube.

Un documento similar, usado con frecuencia en los ambientes del gobierno, tiene la meta de preparar al personal para mover sus actividades a la infraestructura de nube.

El SOO puede incluir información con respecto a las siguientes actividades:

* Conducir un inventario de cada activo y servicio de la compañía.

* Definir las métricas para evaluar la evolución de las actividades durante la migración a la nube.

* El mapeo de las aplicaciones

* Identificar los modelos de servicio apropiados (por ejemplo: SaaS, IaaS) y modelos de implementación (por ejemplo: público, privado)

* Desarrollar el caso de negocio para cuantificar los costos y beneficios.

* Un plan de migración.

Una vez que el proceso de migración esté completo, es necesario verificar la eficiencia de los procedimientos y servicios en el nuevo ambiente, de acuerdo y basándose en la métrica definida en el documento SOO. La fase de prueba tiene que ser conducida limitando el impacto de las funciones estratégicas de la compañía y, si es posible, usar datos no críticos.

Siempre aconsejo que se preste mucha atención a los problemas de privacidad y seguridad, debido a la rápida evolución de la industria de seguridad, los cuales requieren un acercamiento y enfoque dinámico.

Las evaluaciones de seguridad y riesgos deben ser siempre conducidas obedeciendo los estándares internacionales

Pierluigi Paganini, CSO (EE.UU.)

Pierluigi Paganini es un Hacker Ético Certificado y autor con más de 20 años de experiencia en el campo de la seguridad.