INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SL'PERIORES DE MONTERRJ:<~Y CAMPUS ESTADO DE MÉXICO TECde Monterrey® DEL SISTEMA TECNOLÓGICO DE MONTERREY GUÍA PARA LA ADOPCIÓN DE SERVICIOS DE TECNOLOGÍAS DE INFORMACIÓN EN UN MODELO DE SERVICIOS DE CÓMPUTO EN LA NUBE TESIS QUE PARA OPTAR EL GRADO DE MAESTRO EN CIENCIAS COMPUTACIONALES PRESENTA Asesor: Jurado: JULIO CÉSAR CRUZ ALARCÓN Dr. ROBERTO GÓMEZ CÁRDENAS Dr. JOSÉ DE JESÚS VÁZQU EZ GÓMEZ Dr. EDUARDO GARCÍA GARCÍA Dr. ROBERTO GÓMEZ CÁRDENAS Atizapán de Zaragoza, Edo. México, 5 de Noviembre 2012. Presidente Secretario Vocal
121
Embed
Guía para la adopción de servicios de tecnologías de ...
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SL'PERIORES DE MONTERRJ:<~Y
CAMPUS ESTADO DE MÉXICO
TECde Monterrey® DEL SISTEMA TECNOLÓGICO DE MONTERREY
GUÍA PARA LA ADOPCIÓN DE SERVICIOS DE TECNOLOGÍAS DE INFORMACIÓN EN UN MODELO DE
SERVICIOS DE CÓMPUTO EN LA NUBE
TESIS QUE PARA OPTAR EL GRADO DE MAESTRO EN CIENCIAS COMPUTACIONALES
PRESENTA
Asesor:
Jurado:
JULIO CÉSAR CRUZ ALARCÓN
Dr. ROBERTO GÓMEZ CÁRDENAS
Dr. JOSÉ DE JESÚS VÁZQU EZ GÓMEZ Dr. EDUARDO GARCÍA GARCÍA Dr. ROBERTO GÓMEZ CÁRDENAS
Atizapán de Zaragoza, Edo. México, 5 de Noviembre 2012.
• Educa al personal: El personal involucrado necesita entender: ¿Por qué la compañía está
moviendo algunas operaciones al modelo de nube? ¿Cuáles son los beneficios de este
movimiento para la organización? ¿Cómo las personas se verán afectadas por el
movimiento al cómputo en la nube?
• Involucra a la gente: Si la gente siente que ellos son part,~ del cambio, ellos comúnmente
no se resistirán, forma comités de transición y designa personas para liderar el cambio.
43
• Entrena tu personal: El tipo de entrenamiento dependerá de la función del trabajo
(herramientas de monitoreo, nuevas aplicaciones, etc.)
2.5 GUÍA DE ORIENTACIÓN PARA LA ADOPCIÓN DE UN MODELO DE
NUBE
Considerando todo lo referido en este capítulo, se identifican cinco componentes principales que
están presentes en los servicios de tecnologías de información: a) Centro de datos, b)
Aplicaciones, c) Cumplimiento de regulaciones, d) Niveles de Servicio y e) Niveles de
Seguridad.
En este trabajo se plantea la evaluación del grado de madurez de estos componentes como el paso
principal que debe dar una empresa que considera la adopción de servicios de cómputo en la
nube. Una vez que se obtiene la valoración del grado de madurez de los componentes de los
servicios de tecnologías de infom1ación, la empresa tiene un mejor conocimiento de ellos e
identifica cuales necesita mejorar (si desea implementar su nube privada) o bien solicitar su
cumplimiento (si desea contratar servicios de nube pública).
En la evaluación del grado de madurez de los componentes principales se considera:
a) Centro de datos: En este rubro se evalúa el grado de madurez de los serv1c10s de
infraestructura de tecnologías de información (hardware y software de los equipos que
proporcionan capacidad de procesamiento, capacidad de almacenamiento,
comunicaciones LAN (Local Area Network - red de área local) y W AN (Wide Area
Network - red de área amplia), así como el grado de madurez de los equipos que
proporcionan los servicios auxiliares ( energía y aire acondicionado)
b) Aplicaciones: Se evalúa el grado de madurez del ciclo de vida de las aplicaciones, así
como los servicios de bases de datos, aplicaciones comerciales y legacy (aplicación
heredada usada por el usuario y que no puede ser remplazada fácilmente).
c) Cumplimiento de regulaciones: Se evalúa el grado de madurez que se tienen en cuanto a
la implementación de metodologías y mejores prácticas en tecnologías de información, así
44
como la implementación de controles requeridos por la organización por ejemplo SOX
(Sarbanes-Oxley).
d) Niveles de servicio: Se evalúa el grado de madurez de procesos de gestión enfocados en
la entrega y soporte del servicio ( entre otros acuerdos de servicio, procesos de gestión de
problemas, gestión de incidentes y gestión de la capacidad)
e) Niveles de Seguridad: Se evalúa el grado de madurez de procedimientos y protocolos de
seguridad, existencia y difusión de políticas, proceso~: de continuidad del negocio y
recuperación de desastres.
Contando con este punto de partida, la empresa puede continuar con el proceso de adopción del
modelo de cómputo en la nube siguiendo la secuencia que se muestra en la Figura 2-1. Modelo
para adopción de servicios de nube.
En esta figura se identifica una parte de planeación, en donde se considera identificar áreas de
mejora por cada componente y elaborar programa de trabajo para:
• Organizar y fortalecer los servicios de infraestructura de :as aplicaciones.
• Identificar y en su acaso adecuar las aplicaciones que sean factibles de transferir a la nube
• Documentar los requerimientos del negocio en materia de regulación
• Definir de forma conjunta con el negocio, los niveles de servicio esperados con el futuro
proveedor
• Detenninar los niveles de seguridad requerida por la organización para considerarlos en la
contratación de los servicios
Centro de Datos
Figura 2-1 Modelo para adopción de servicio, de Nube
( Inicio )
Proveedor/Cliente
Componentes principales identificados en un Servicio de tecnología de información
Aphcac1ones Requerimientos del negocio en materia
de regulaaón
1 ! Evaluación del grado ¡ I de madurez j
Planeación
f'' v Implementación/ Contratación del
servicio
Niveles de Servicio requendos por la
Or,Janización
Niveles de seguridad requeridos por la
Organización
45
Para la Planeación e Implementación/Contratación del serv1c10 referidos en la Figura
mencionada, dentro de este trabajo se agregaron los siguientes anexos, los cuales mencionan
algunas herramientas, modelos y ejemplos que pudieran servir de apoyo.
• Anexo A. Planeación de la capacidad de los servicios del centro de datos.
• Anexo B. Cumplimientos regulativos requeridos por la organización
• Anexo C. Modelo económico para una aplicación
• Anexo E. Formato de Acuerdo de Nivel de Servicio
• Anexo F. Consideraciones de Seguridad en la nube
• Anexo G. Plan de trabajo de Implementación en la nube
Adicional al Modelo planteado, sería recomendable realizar un análisis de nesgos en la
Organización para que con los resultados obtenidos, se identifiquen que controles serían
necesarios implementar antes de adoptar este modelo de servicios, ya sea como proveedor de
servicios de nube o como consumidor de servicios de nube.
46
Aunado al párrafo anterior, otro tema importante a tratar y que no forma parte del alcance de este
trabajo sería llevar a cabo análisis financieros y de rentabilidad de los servicios en la nube,
considerando como un componente importante la Operación y Disponibilidad de los Servicios en
el Negocio, de tal forma que las organizaciones cuenten con mayores elementos a ponderar en la
adopción de este modelo de servicios.
En el siguiente capítulo, se aborda el Diseño de un instrumento de medición para medir el grado
de madurez de los componentes de un servicio de tecnologías de información.
2.6 RECAPITULACIÓN
El transitar a un modelo de serv1c1os de cómputo en la nube implica tomar decisiones
importantes en la entrega de servicios de TI en la organización, por lo que antes de discernir al
respecto, se debe contemplar una estrategia y un plan de implementación sobre cuándo y cómo se
van a utilizar los servicios de nube dentro de la organización. Se debe evaluar la forma actual de
la entrega de los servicios considerando los componentes que lo integran: Centro de datos,
Requerimientos del negocio en materia de cumplimiento de regulaciones, niveles de servicio,
niveles de seguridad, rentabilidad del proyecto y, como tema cultural, es importante también
comunicar cómo este modelo de servicios beneficia a la organización y a las áreas que prestan el
serv1c10.
47
CAPITULO 3•
-DISENO DE UN INSTRUMENTO DE ,
MEDICION DEL GRADO DE
MADUREZ SERVICIC)S DE TI
3. DISEÑO DE UN INSTRUMENTO DE MEDICIÓN DEL
GRADO DE MADUREZ SERVICIOS DE TI.
48
De acuerdo al modelo planteado en la sección 2.5 Guía de oriemación para la adaptación de un
modelo de Nube, se identifica la valoración del grado de madurez de los servicios de tecnologías
de información como el paso inicial deseado para la adopción del modelo de cómputo en la nube.
En el presente capítulo se aborda el diseño de un instrumento cie medición planteado como un
problema de investigación desde una óptica cualitativa, para lo cual se considerará el marco
teórico siguiente:
• Objetivos de lnvestigación
• Preguntas de Investigación
• Justificación de la lnvestigación
• Viabilidad de la investigación
• Evaluación de las deficiencias en el conocimiento del problema
• Definición inicial del ambiente o contexto.
Una vez establecido el marco teórico se abordará:
a) Metodología para la Evaluación del grado de madurez
b) Diseño del lnstrumento
49
3.1 MARCO TEÓRICO
3.1.1 OBJETIVOS DE INVESTIGACIÓN
• Identificar los componentes que intervienen en un servicio de tecnología de información.
• Evaluar el estado de madurez de los componentes que forman parte de un servicio de
tecnología de información que se pretende transferir a la nube.
• Ponderar el grado de madurez de una empresa respecto a sus servicios de tecnologías de
información.
• Evaluar la preparación de la empresa para utilizar los servicios de cómputo en la nube
(pública o privada), y emitir las recomendaciones procedentes.
3.1.2 PREGUNTAS DE INVESTIGACIÓN
En el capítulo 2, dentro de la sección 2.5 Guía de orientación para la adaptación de un modelo
de Nube, se identifican cinco elementos principales que fonnan parte de los servicios de
tecnología de información, los cuales son: 1) Centro de Datos, 2) Aplicaciones, 3) Cumplimiento
de Regulaciones, 4) Acuerdos de Niveles de Servicio y 5) Niveles de Seguridad, nuestro objetivo
principal sería identificar el grado de madurez de cada uno de e:;tos elementos, para lo cual nos
formulamos las siguientes preguntas:
a) ¿Cuál es el grado de madurez del Centro de Datos?
b) ¿ Cuál es el grado de madurez de las Aplicaciones?
c) ¿Cuál es el grado de madurez en el cumplimiento de Regulaciones requeridas por el
negocio?
d) ¿Cuál es el grado de madurez de los Acuerdos de Niveles de Servicios requeridos por la
Organización?
e) ¿Cuál es el grado de madurez de los Niveles de Seguridad requeridos por la
Organización?
50
3.1.3 JUSTIFICACIÓN DE LA INVESTIGACIÓN
Al identificar el grado de madurez de los elementos que componen un servicio de tecnologías de
infomrnción, nos permite detectar las fortalezas y sobre todo las areas de oportunidad de cada uno
de los elementos que están involucrados en el servicio. La detección de estas áreas de
oportunidad permite emitir recomendaciones basadas en estándares de tecnologías de
Información ITIL/COBIT a fin de elevar el grado de madurez de cada uno de los elementos.
El tener una referencia de como se encuentran sus servicios de tecnologías de información en
cuanto a su grado de madurez, le permitirá a una empresa orientar su estrategia de TI a fin de
dirigir los esfuerzos a las áreas de oportunidad detectadas y mejorar sus servicios.
La adopción de un modelo de cómputo en la nube no es la excepción, si una empresa tiene interés
en adoptar soluciones de nube, de acuerdo a lo planteado en la :;ección 2.5 Guia de orientación
para la adaptación de un modelo de Nube, es deseable que se evalúe inicialmente el grado de
madurez de sus servicios de tecnologías de información y se pueda descubrir si la nube podría
reportarle los beneficios esperados.
3.1.4 VIABILIDAD
Hoy en día, las empresas que requieren obtener servicios eficientes de tecnologías de infonnación
a un menor costo, encuentran como opción al Cómputo en la Nube. Este mercado está en ascenso
y actualmente es una tendencia que está emergiendo con fuerza, de tal forma que existen muchos
proveedores que ofertan este tipo de servicios, y es ante esta alternativa que las compañías se
hacen la pregunta:
¿Es benéfico para el negocio el adoptar los servicios de cómputo en la nube?
KPMG (Consultoría de servicios de Auditoría, Impuestos y Asesoría) en su artículo ·'Modelando
el impacto económico del cómputo en la nube" [5], indica que el surgimiento del cómputo en la
nube trae muchos beneficios que están cambiando la economía de las áreas de TI. La tecnología
de nube estandariza y agrupa los recursos de TI y automatiza muchas de las tareas de
51
mantenimiento actuales. La arquitectura de nube facilita un consumo elástico, auto servicio y
pago según el uso, también permite que los elementos principales de la infraestructura de TI estén
en grandes centros de datos y de esta forma tomen ventajas de las economías de escala.
De acuerdo a lo publicado en el artículo los beneficios económicos de la nube pueden ser
agrupados en tres amplias categorías:
• Ahorros de costo directo ( ocurren en el centro de datos)
• Mejoras en la productividad
• Innovación
Considerando lo anterior, pueden considerarse estos beneficios económicos como impulsores
para implementar este modelo de servicios.
Como se mencionó en la introducción de este trabajo en la descripción de los modelos de
prestación de servicios de nube, los proveedores de servicios de nube pública tienen una oferta
que cada día se hace más amplia, el Anexo D Servicios Públicos de Nube nos refiere algunos de
estos proveedores.
3.1.5 EVALUACIÓN DE LAS DEFICIENCIAS EN EL CONOCIMIENTO DEL
PROBLEMA
Los elementos clave que se identificaron como parte de un serv1c10 de tecnologías de
información y cuyo grado de madurez se evalúa, fueron seleccionados de acuerdo a la
experiencia del investigador. Alguno de estos elementos se desglosaron en uno o vanos
subtemas, los cuales por si solos tienen una mayor complejidad a lo que pudiera evaluarse en este
ejercicio, sin embargo pese a no dominar cada uno de los subtemas, la pretensión es lograr una
aproximación inicial al grado de madurez de una organizaciór en cuanto a sus servicios de
tecnologías de información.
52
3.1.6 DEFINICIÓN INICIAL DEL AMBIENTE O CONTEXTO
El ambiente inicial es la necesidad que tienen las empresas en la actualidad para tornar una
decisión en considerar el cómputo en la nube corno una opción viable, para este caso el
encuestado podrá elegir evaluarse como un proveedor de servicios de nube o como un cliente de
servicios de nube.
Una vez que el usuario se identifica como proveedor o cliente, para calcular el grado de madurez
se considera una ponderación diferente de los componentes del servicio, de tal forma que la
identificación de las áreas de oportunidad pudieran ser diferentes
El modelo para la valoración del grado de madurez se diseñó considerando el escenario de una
empresa que quiere implementar servicios de nube privada. El grado de madurez que se obtiene
mediante la evaluación propuesta se dirige principalmente a usuarios que desean implementar
servicios de nube privada, sin embargo se considera que puede servir de referencia para los
clientes que deseen ser consumidores de servicios de nube pública.
3.2 METODOLOGÍA PARA LA EVALUACIÓN DEL GRADO DE
MADUREZ
De acuerdo a lo planteado en la sección 2.5 Guía de orientación para la adopción de un modelo
de nube, la evaluación del grado de madurez de los componentes que forman parte de los
servicios de tecnologías de información, representa el hito inicial para la adopción de un modelo
de cómputo en la nube, por lo que en esta sección se aborda el método utilizado para la
construcción de la herramienta que nos permitirá conocer este grado de madurez. La Figura 3-1
Metodología para la evaluaóón del grado de madurez nos muestra la secuencia de pasos que se
llevan a cabo.
53
Figura 3-1 Metodología para la evaluación del grado de madurez
3.2.1 REACTIVOS PARA EVALUAR MADUREZ DE COMPONENTES
El instrumento de medición realiza una serie de preguntas al entrevistado con el fin de obtener
una visión general con respecto a los servicios de tecnologías de información en su empresa,
posterionnente formula una serie de enunciados a partir de un banco de reactivos relacionados
con los cinco componentes que se calificarán para obtener el grado de madurez de la empresa. El
perfil del entrevistado debe ser de un miembro de tecnologías de información que tenga
conocimientos acerca de como se brindan los servicios en su organización y conozca de forma
general los elementos de tecnologías de información que componen un servicio.
54
Los bancos de reactivos para identificar el grado de madurez se describen en las siguientes tablas:
• Centro de Datos (Tabla 3-1)
• Aplicaciones (Tabla 3-2)
• Cumplimiento de regulaciones (Tabla 3-3)
• Acuerdos de Servicios (Tabla 3-4)
• Niveles de seguridad de la organización. (Tabla 3-5)
Cada banco de reactivos está compuesto por los siguientes elementos:
• Subtema: La valoración del grado de madurez de cada uno de los elementos, puede
comprender uno o varios subtemas.
• Reactivos: Cada reactivo se formula para contestarse como un elemento de tipo Likert6 en
dónde cinco respuestas son posibles. Un ejemplo de reactivo sería:
La virtualización de servidores es una práctica ampliame11te aceptada e implementada en
mi organización. Ante esta afirmación el entrevistad:) deberá elegir la opción que
considere se apegue más a su realidad. Las posibles respuestas y su ponderación son:
Sin cobertura %
Cobertura marginal 25%
Cobertura moderada 50%
Cobertura amplia
Cobertura total
75 %
100%
• Tipo de cliente: Cada reactivo va dirigido a un tipo de cliente o bien puede aplicar a
ambos
• % Peso Reactivo: El peso de los reactivos es proporcional, considerando el número de
preguntas totales que se le hace al entrevistado. Por ejemplo al revisar la Tabla 3.1 Banco
de reactivos para ident(ficar grado de madurez en Centro de Datos, se observa que si al
entrevistado se le pregunta desde la perspectiva del proveedor serán 8 preguntas cuyo
peso proporcional sería 12.5% cada una, si es desde la perspectiva del cliente serán 5
preguntas y cada una tendrá un peso de 20%
6 Escala de Likcrt. Se construye en runción de una serie de elementos que rcílejan una actitud positiva o negativa acerca de un estímulo o referente.
55
Tabla 3-1 Banco de reactivos para identificar grado de madurez en Centro de Datos
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Procesamiento l. La organización mantiene un estándar en cuanto a Proveedor Proporcional tecnología de virtualización de servidores, el personal del centro de datos está completamente familiarizado con esta tecnología. 2. Los servidores en la organización tienen alta Ambos Proporcional disponibilidad y están configurados para operar en base a servicios. 3. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de procesamiento y con sistemas de monitoreo para garantizar el nivel de serv1c10 de los equipos.
Almacenamiento 4. La organización mantiene un estándar en cuanto a Proveedor Proporcional tecnología de almacenamiento, el personal del centro de datos está completamente familiarizado con esta tecnología (SAN). 5. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de almacenamiento y con sistemas de monitoreo para garantizar el nivel de servicio de los equipos.
-Comwlicaciones
6. Las redes de comunicaciones LAN, WAN están Ambos Proporcional diseñadas para facilitar la colaboración y/o interoperabilidad con proveedores, socios de negocio. 7. El centro de datos cuenta con contratos de servicio Ambos Proporcional basados en el servicio de comunicaciones LAN, WAN y cuentan con sistemas de monitoreo para garantizar el nivel de servicio de los equipos.
Energía y Aire Acondicionado 8. Los sistemas de energía y aire acondicionado que se Proveedor Proporcional encuentran en el centro de datos son suficientes para la demanda de energía eléctrica y capacidad de enfriamiento requerida.
56
Tabla 3-2 Banco de reactivos para identificar grado de madurez en Aplicaciones
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Generales ' 1. Todas las aplicaciones de software y Sistemas están Ambos Proporcional propiamente especificadas, diseñadas, documentadas y en su implementación separan las capas de presentación y bases de datos. 2. La organización mantiene actualizados los planes de Ambos Proporcional licenciamiento y mantenimiento del software que soporta las aplicaciones comerciales, Legacy y de bases de datos.
Bases de Datos 3. La organización cuenta con una plataforma estándar de Ambos Proporcional bases de datos para el soporte de aplicaciones comerciale~. y Legacy. 4. La organización cuenta con personal experimentadc Ambos Proporcional para la administración y soporte de bases de datos.
Sistemas Comerciales ... Uf $
5. La organización mantiene soluciones estándares para Ambos Proporcional requerimientos específicos del negocio (Portales Intranet e Internet, Sistemas de Gestión de Contenido, Sistemas de Inteligencia de Negocios, ERP, etc.) 6. La organización cuenta con personal experimentado Ambos Proporcional para la administración y soporte de sistemas comerciales.
Sistemas Legacy ...
7. La organización utiliza platafomias estándares para el Ambos Proporcional desarrollo de aplicaciones Legacy. 8. La organización cuenta con personal experimentado Ambos Proporcional para la administración y soporte de sistemas Legacy
57
Tabla 3-3 Identificando grado de Madurez referente al cumplimiento de regulaciones
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Generales, SOX, MAAGTIC l. La organi zación uti liza algunas de las siguiente:; Ambos Proporcional metodologías y mejores prácticas lTIL, COBJT, TSO l 7779/2700 l . 2. La organización cuenta con lineamientos, políticas e, Ambos Proporcional reglamentos que apoyan y fomenta la aplicación de so luciones de TIC y son difundidos al interior. 3. La organización ha realizado estudios de evaluación, Ambos Proporcional análisis de inversión y análi sis de impacto al negocio y se tiene un claro entendimiento de los procesos de negoc io )' los procesos de TI que los soportan . 4. La organ ización tiene implementado controles para el Ambos Proporcional cumplimiento de regulaciones nacionales o internacionales, por ejemplo SOX, PCJ-DSS, MAAGTlCC entre otras. 5. La organi zación ha definido y mantenido niveles de Ambos Proporcional seguridad adicionales al acceso general para los sistemas que son materia del proceso de Reportes Financieros. 6. Los sistemas principales del negocio t ienen la capacidad Ambos Proporcional para el seguim iento de actividades vía rastros de auditoría 7. La Gestión de Cambios y el control y di stribución de Ambos Proporcional software, están integrados a un sistema de gestión de configuraciones. 8. La información en la organización se encuentra Ambos Proporcional clasificada y cuenta con mecanismos para garanti zar su confidencialidad e integridad .
58
Tabla 3-4 Identificando grado de Madurez referente a Acuerdos de Servicio
Sub temas Reactivos Tipo de Peso del Cliente reactivo
Generales ,;
1. La organización cuenta con personal con capacidad Ambos Proporcional técnicas adecuadas para evaluar proveedores, realizar análisis costo-beneficio, determinar la viabilidad de los servicios de TIC y verificar el cumplimiento de los nivele!, de servicio contratados. 2. En la operación de los servicios, los métodos )" Ambos Proporcional procedimientos están enfocados en la entrega y soporte del servicio (SLAs y OLAs) 3. En la operación de los
.. tienen Ambos Proporcional serv1c1os, se
implementado procesos para la Gestión de la Demanda de los recursos de Infraestructura.
1 4. Los SLAs en la organización fueron creados a través de Ambos Proporcional
1 un esfuerzo co laborativo, entre el grupo administrativo de TI y el grupo de soporte. 5. La organización tiene implementado procesos de Ambos Proporcional gestión de incidentes que involucre los tres aspectos principales (impacto, urgencia prioridad). 6. La organización tiene implementados procesos de Ambos Proporcional gestión de problemas que identifiquen las causas de incidentes en los servicios y ejecute trabajo correctivo para preven ir recurrencias. 7. Se cuenta con una Gestión del ambiente de Ambos Proporcional virtualización, orientada a la Gestión de los Servicios del Negocio (SLAs, Contabilidad, Catalogo de Servicio, CMDB) y la instrumentación de servicios (procesamiento, redes y almacenamiento). 8. Se establecen contratos de niveles de servicio que debe Ambos Proporcional cumplir el proveedor en el contrato de tercerización (p.ej. reportes de tiempo de atención al servicio, disponibilidad, etc.).
59
Tabla 3-5 Identificando grado de Madurez en cuanto a niveles de Seguridad
Subtemas Reactivos Tipo de Peso del Cliente reactivo
Generales 1. La Organización cuenta con un Gestor de ldentidade:: Ambos Proporcional para permitir la conexión con los proveedores o socios de negocio . 2. En la operación, en la organización se tienen Ambos Proporcional implementados procesos de continuidad del negocio y recuperación de desastres. 3. En la Organización existe una política de seguridad Ambos Proporcional infom1ática y privacidad de la información en la Organización y se comunica eficientemente en la organización. 4. Se cuentan con procedimientos y protocolos de Ambos Proporcional seguridad en la organización los cuales incluyen claves de acceso y políticas de seguridad física. 5. Se realizan revisiones formales que vigilen el Ambos Proporcional cumplimiento de las políticas de seguridad de la organización 6. Se tiene implementado un Sistema de Gestión de Ambos Proporcional Seguridad de los Sistemas de lnfomrnción 7. La organización cuenta con sistemas de seguridad como Ambos Proporcional firewall, detectores de intrusos y software de prevención de malware en servidores y equipos de usuario final.
60
3.2.2 OBTENCIÓN DEL GRADO DE MADUREZ
Para obtener el grado de madurez de los componentes de los serv1c10s de tecnologías de
información, se realizan los siguientes pasos:
• Valoración inicial del grado de madurez de un componente
• Valoración final del grado de madurez de un componente
• Clasificación del grado de madurez
3.2.2.1 Valoración inicial del grado de madurez de un componente
El grado de madurez de cada componente que comprende un servicio de información, se evalúa
de fonna individual como se indica en la Tabla T3-6 Valoración inicial del grado de madurez de
un componente.
Tabla 3-6 Valoración inicial del grado de madurez de un componente
Serie de % Peso del reactivo Valor Ponderado Valor Parcial (VPA) Valor Inicial del
reactivos (VPR) (VPO) Componente (VIC)
Reactivo I Valor Peso = ( 100/n) VPO 1 = O •. 25 .. 50. VPAI= VPR * \!POI El valor que se obtiene de
.75 ó 1 La valoración inicial de
un componente (VIC) es:
Reactivo 2 Valor Peso= ( 100/n) VP02= O .. 25 .. 50. VPA2= VPR * \'P02 VIC = ~ VPAl ... n
.75 ó 1
... ... ... ...
Reactivo n Valor Peso = ( 100/n) VPOn= O .. 25 .. 50. VPAn= YPR * YPOn
.75 ó I
61
En dónde:
• La serie de reactivos se obtienen de las Tablas T3-l, T3-2, T3-3, T3-4 y T3-5 de acuerdo
al componente que se está evaluando.
• VPR es el peso del reactivo, su valor total 100% se divide entre el número de preguntas
realizadas (n). Pueden ser n reactivos, en dónde n es el m'.mero de preguntas de acuerdo a
las Tablas T3-1, T3-2, T3-3, T3-4 y T3-5.
• VPO es el valor ponderado que se obtuvo del reactivo de acuerdo a la escala utilizada (O .
. 25. 50, .75 y 1).
• VPA es el valor parcial de cada reactivo, se calcula mdtiplicando el peso del reactivo
(VPR) en contra del valor ponderado (VPO). Los subíndices del 1 a n se relacionan con
cada pregunta.
• VIC es el valor inicial del grado de madurez de un componente (centro de datos,
aplicaciones, cumplimiento de regulaciones, seguridad y acuerdos de servicio) su valor se
obtiene mediante la suma de las valoraciones parciales VPA 1 ... n.
3.2.2.2 Valoración Final del grado de Madurez de un componente
En la tabla T3-7 Valoración final del grado de madurez de un componente, se muestra como se
obtiene la valoración final del grado de madurez de los componerJes.
62
Tabla 3-7 Valoración final del grado de madurez de un componente
Grado de Madurez Valoración Porcentaje de Valor Madurez Componente Valor Final del de Elementos Inicial (VIC) representatividad (VMC) Grado de Madurez
del componente (VFGM) (PRP)
Centro de Datos VICI VMCl=V!Cl * PRPI PRPI La calificación del
Apl icacioncs y VIC2 PRP2 VMC2=VIC2 * PRP2 grado de madurez Sistemas es VFGM=
IVMCI. .. 5
Cumplimiento de VIC3 PRP3 VMC3=VIC3 * PRP3 Regulaciones
Niveles de Servicio VIC4 VMC4=VIC4 * PRP4 PRP4
Niveles de Seguridad VIC5 PRP5 VMC5=VIC5 * PRP5
En dónde:
• VIC es el Valor Inicial del Componente (véase sección anterior). Los subíndices del 1 al 5
se relacionan con cada elemento (componente) evaluado. Por ejemplo VIC 1 es el valor
inicial de madurez del centro de datos.
• PRP es el Porcentaje de representatividad del componente (al final de la sección se
amplia en el cálculo de este porcentaje)
• VMC es el Valor Final de Madurez del Componente, se :::alcula mediante el producto de
la Valoración Inicial del Componente (VIC) por el porcentaje de representatividad. Los
subíndices del 1 al 5 se relacionan con cada elememo (componente) evaluado. Por
ejemplo VMC 1 es el valor de madurez del centro de datos.
• VFGM es el Valor Final del Grado de Madurez, es la sumatoria de las valoraciones
finales de cada componente,¿= VMTI + VMT2 + VMT3+VMt4+ VMT5
Cálculo del porcentaje de representatividad del componente (PRP)
Desde la perspectiva del tipo de cliente (proveedor de servicios de nube ó consumidor de
servicios de nube), el porcentaje de representatividad que se le asigna al grado de madurez de
63
cada elemento es variable, para calcularlo se realiza un análisis de pares de cada componente
con el fin de identificar las prioridades relativas.
En el análisis de pares, a cada componente no se le asigna directamente un valor, más bien, se
compara con otros componentes para desarrollar una clasificación relativa, de tal forma que cada
componente debe ser comparado con cada uno de los otros para desarrollar una matriz de
priorización. Esta idea de priorización es tomada del concepto de análisis de pares.
En el Anexo H Cálculo del pareen/aje de representatividad en la evaluación se explica lo
referente a este análisis y como se cálculo el porcentaje de repr~sentatividad, desde el punto de
vista del proveedor y del cliente.
3.2.3 CLASIFICACIÓN DEL GRADO DE MADUREZ
Finalmente una vez obtenido el Valor Final de Grado de Madurez (VFGM), daremos una
clasificación de acuerdo a los criterios definidos en las tablas T~,-8a Clas(ficación del Proveedor
de acuerdo a su grado de madurez y T3-8b Clas(ficación del cl.;ente de acuerdo a su grado de
madurez.
64
Tabla 3-8a Clasificación del proveedor de acuerdo a su grado de madurez.
Valor Final de Grado de Diagnóstico Comentarios
Madurez (VFGM)
Mayor o igual al 75% Preparado Preparado en su mayoría para adoptar una solución de nube. No hay recomendaciones.
Entre 50 y < 75% Intermedio Tiene un relativo grado de madurez para adoptar una solución de nube, en general, sin embargo se detectan áreas de oportunidad. Revisar la Tabla 3.9a Tabla de Recomendaciones al Proveedor, para los componentes que ~;e identifican con oportunidade~ de mejora.
Menor del < 50 % No preparado Tiene que replantearse el objetivo si desea convertirse en proveedor de servicios de nube, se detectan áreas de oportunidad en cada uno de los elementos valorados. Revisar la Tabla 3.9a Tabla de Recomendaciones al Proveedor, para los componentes que se identifican con oportu1idades de mejora.
Tabla 3-8b Clasificación del cliente de acuerdo a su grado de madurez.
Valor Final de Grado de Diagnóstico Comentarios Madurez (VFGM) Mayor o igual al 75% Preparado Su grado de madurez es elevado por lo que el tránsito hacia
servicios de nube pública pudiera ser viable, siempre y cuando se cumplan con los requerimiemos del negocio.
Entre 50 y < 75% Intermedio Cuenta con un relativo grado de madurez, para la adopción de una solución de nube pública. se detectan áreas de oportunidad las cuales deberá solicitar que se cumplan por parte del proveedor de servicios de nube pública. Revisar la Tabla T3.9b Tabla de Recomendaciones al Client,~, para los componentes que se identifican con oportunidade~ de mejora.
Menor del < 50 % No preparado La evaluación del grado de madurez es baja, por lo que para adoptar una solución de nube pública, debe considerar las áreas de oportunidad que deberá solicitar que se cumplan por parte del proveedor de servicios de nube pública. Revisar la Tabla T3.9b Tabla de Recomendaciones al Cliente, para los componentes que se identifican con oportunidades de mejora.
Una vez realizadas las clasificaciones, en las Tablas T3-9a Tabla de Recomendaciones al
Proveedor y T3-9b Tabla de Recomendaciones al Cliente, se identifican las recomendaciones
que pueden emitirse de acuerdo a la calificación obtenida en cada uno de los temas evaluados.
Para la emisión de las recomendaciones se consideran dos valoraciones principales:
65
• (a) en la valoración de los reactivos en la mayoría de las respuestas, el valor ponderado
del reactivo VPO estuvo entre O y 25 %. Se considera que necesita implementar acciones
para elevar su grado de madurez en el tema evaluado.
• (b) en la valoración de los reactivos en la mayoría de las respuestas el valor ponderado
del reactivo VPO estuvo entre O y 25 % la valoración se encuentra 50 y 75. Se considera
que necesita incrementar acciones de mejora acciones para elevar su grado de madurez en
el tema evaluado.
• Cuando en la valoración de los reactivos en la mayoría de las respuestas el valor
ponderado del reactivo VPO estuvo en 75 %. No se considera emitir recomendaciones ya
que se considera posee un nivel de madurez adecuado
66
Tabla 3-9a Tabla de Recomendaciones al Proveedor
- .
Recomendación Descripción a pregunta a b p3.1. l Implementar estándares en cuanto a Incrementar estándares en cuanto a
virtualización virtualización Capacitar al personal en tecnologías de Incrementar los conocimientos del personal virtualización con tecnologías de virtualización
p3.1.2 Implementar disponibilidad de los Incrementar disponibilidad de los servidores de procesamiento servidores de procesamiento
p3.1.3 Solicitar que los contratos de servicio Verificar que los contratos de servicio estén estén basados en procesamiento basados en procesamiento Implementar sistemas de monitoreo para Verificar se cuente con sistemas de garantizar niveles de serv1c10 de los monitoreo para garantizar niveles de equipos servicio de los equipos
p3. J .4 Implementar estándares en cuanto a Incrementar estándares en cuanto a tecnologías de Almacenamiento tecnologías ele Almacenamiento Capacitar al personal en tecnologías Incrementar los conocimientos del personal almacenamiento con tecnologías almacenamiento
p3.1.5 Solicitar que los contratos de servicio Verificar que los contratos de servicio estén estén basados en el servicio de basados en el servicio de almacenamiento almacenamiento Verificar se cuente con sistemas de Implementar sistemas de monitoreo para monitoreo para garantizar niveles de garantizar niveles de servicio servicio de los equipos
p3.1.6 Diseñar de implementar redes de Mantener e incrementar facilidades de comunicaciones para que tengan colaboración en las redes de facilidades de colaboración con los comunicaciones proveedores y socios de negocio
p3. 1.7 Solicitar que los contratos de servicio Verificar que los contratos de ..
de serv1c10 estén basados en el servicio de comunicaciones estén basados en el servicio comunicaciones Verificar SI! cuente con sistemas de Implementar sistemas de monitoreo para monitoreo para garantizar niveles de garantizar niveles de servicio de los servicio de los equipos equipos
p3.1.8 Rediseñar completamente el centro de Verificar que adecuaciones son requeridas datos en el centro de datos para cubrir la demanda
de energía eléctrica y capacidad de enfriamiento
p.3.2.1 Implementar en la Organización mejores Verificar que las aplicaciones de software y practicas para el Desarrollo de Sistemas están diseñadas y documentadas, Aplicaciones e Implementación de además de que exista separación en las Sistemas capas de presentación y bases de datos
p3.2.2 Contratar planes de licenciamiento y Verificar que se mantengan actualizados los mantenimiento para el software que planes de licenciamiento y mantenimiento soporta las aplicaciones comerciales, del software que soporta las aplicaciones legacy v de bases de datos comerciales, Legacy y de bases de datos
p3.2.3 Implementar un estándar en bases de Mantener e incrementar el estándar en datos en la organización que soporte las cuanto al sc.ftware de bases de datos que aplicaciones que atienden los soporta las aplicaciones comerciales y requerimientos específicos del negocio Legacy
p3.2.4 Implementar planes de capacitación y Mantener e incrementar el nivel técnico del certificación para el personal que soporta personal que soporta la administración de la administración de la base de datos bases de datos
p3.2.5 Implementar soluciones estándares que Mantener soluciones estándares para atiendan los requerimientos específicos requerimientos específicos del negocio. No del negocio duplicar soluciones
67
T3-9a Tabla de Recomendaciones al Proveedor
Recomendación Descripción a pregunta a b p3.2.6 Implementar planes de capacitación y Mantener e incrementar el nivel técnico del
certificación para el personal que soporta personal que soporta las aplicaciones las aplicaciones comerciales comerciales.
p3.2.7 Implementar plataformas estándares para Mantener y consolidar plataformas el desarrollo de aplicaciones Legacy. estándares p:tra el desarrollo de aplicaciones
Legacy. p3.2.8 Implementar planes de capacitación y Mantener e incrementar el nivel técnico en
certificación en las herramientas de las herramientas de desarrollo del personal desarrollo para el personal que soporta que soporta las aplicaciones legacy. las aplicaciones legacy.
p3.3.1 Implementar el uso de algunas de las Mantener e incrementar nivel de madurez metodologías y mejores prácticas ITIL de algunas de las metodologías y mejores principalmente, COBIT, ISO prácticas que se utilicen y estén adecuadas a 17779/27001 los requerimientos de la organización ITIL
principalmente, COBIT, ISO 17779/27001 P3.3.2 Desarrollar, implementar y difundir en la Verificar SI se cuentan con suficientes
organización los lineamientos, políticas o lineamientoi;, políticas o reglamentos que reglamentos que apoyan la aplicación de apoyan la aplicación de soluciones de TIC y soluciones de TIC que estén difundidos al interior de la
organización p3.3.3 Planear y programar en la organización Continuar realizando en la organización
estudios de evaluación, análisis de estudios de evaluación, análisis de inversión inversión y análisis de impacto al y análisis de impacto al negocio. negocio.
p3.3.4 Implementar controles en la organización Mantener e incrementar los controles en la para el cumplimiento de regulaciones, organización para el cumplimiento de p.ej. SOX, PCI-DSS, MAAGTIC, etc. regulacione1. nacionales o internacionales,
por ejemplo SOX, PCI-DSS, MAAGTICC entre otras.
p3.3.5 Implementar niveles de seguridad al Mantener e incrementar niveles de acceso general para los sistemas que son seguridad :ti acceso general para los materia del proceso de Reportes sistemas que son materia del proceso de Financieros. Reportes Financieros.
p3.3.6 Implementar el segu1m1ento de Mantener e incrementar la capacidad para el actividades vía rastros de auditoría en los seguimiento de actividades vía rastros de sistemas principales del negocio. auditoría en los sistemas principales del
negocio. p3.3.7 Implementar un sistema de gestión de Mantener el Sistema de Gestión de
configuraciones. Configuraciones y verificar que tenga integrado l:1 Gestión de Cambios y el control y di1.tribución de software.
p3.3.8 Implementar mecanismos de seguridad Mantener )' verificar los mecanismos de que garantizan la confidencialidad e seguridad que garantizan la integridad de la información clasificada. confidencialidad e integridad de la
información clasificada.
Recomendación a pregunta p3.4. I
p3.4.2
p3.4.3
p3.4.4
p3.4.5
T3-9a Tabla de Recomendaciones al Proveedor
Descripción a
Desarrollar . personal con capacidades técnicas adecuadas para evaluar proveedores, realizar análisis costobeneficio. y verificar el cumplimiento de los niveles de servicio contratados. Implementar métodos y procedimientos de la operación de los servicios enfocados en la entrega y soporte del mismo (SLAs y OLAs) Implementar procesos para la Gestión de la Demanda de los recursos de Infraestructura en la operación de los
b Mantener e incrementar las capacidades técnicas adecuadas del personal que evaluar proveedores, realiza análisis costobeneficio, y verificar el cumplimiento de los niveles de servicio contratados. Mantener e incrementar los métodos y procedimientos de la operación de los servicios enfocados en la entrega y soporte del mismo (SLAs y OLAs) Mantener y mejorar los procesos para la Gestión de la Demanda de los recursos de Infraestructura en la operación de los
servicios servicios. Establecer que los SLAs creados en la Mantener y continuar con el esfuerzo organización sean producto del esfuerzo colaborativo entre el grupo administrativo colaborativo entre el grupo de TI y el de Soporte en la creación de los administrativo de TI y el de Soporte. SLAS de la crganización Implementar el proceso de gestión de Mantener y mejorar el proceso de gestión
1---------1--in_c_i_de_n_t_e_s_e_n_l_a_o_r..,..0 •• _,an_i_za_ci_ó_n_. -----1--d_e_in_c_i_d_e_nt_e_s en la organización. _ p3.4.6
p3.4.7
p3.4.8
p3.5. l
p3.5.2
p3.5.3
p3.5.4
p3.5.5
p3.5.6
Implementar el proceso de gestión de Mantener y mejorar el proceso de gestión problemas en la organización. de problemas en la organización. Implementar una Gestión del ambiente de Mantener y mejorar la Gestión del ambiente virtualización, orientada a la Gestión de de virtualizac:ión, orientada a la Gestión de los Servicios del Negocio y la los Servicios del Negocio y la instrumentación de servicios instrumentac ón de servicios. Implementar contratos de niveles de Mantener y mejorar continuamente servicio que debe cumplir el proveedor contratos de niveles de servicio que debe en el contrato de tercerización cumplir el proveedor en el contrato de
Implementar un Gestor de Identidades de la organización para permitir la conexión con los proveedores o socios de negocio.
Implementar procesos de continuidad del negocio y recuperación de desastres en la organización.
Implementar procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la Organización. Implementar procedimientos y protocolos de seguridad en la organización, seguridad física y seguridad lógica Establecer revisiones formales que vigilen el cumplimiento de las políticas de seguridad de la organización
Implementar un Sistema de Seguridad de la Organización que auxilie en la gestión para atender incidentes de seguridad
terceri zac i ón Mantener e incrementar la seguridad del Gestor de Identidades de la organización que permite la conexión con los proveedores o socios de negocio. Mantener y mejorar continuamente los procesos de continuidad del negocio y recuperación de desastres en la organización. Mantener y continuar difundiendo los procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la organización Mantener y mejorar los procedimientos y protocolos de seguridad en la organización, seguridad física y seguridad lógica Mantener y formales que las política; organización
continuar con revisiones vigilen el cumplimiento de
de seguridad de la
Mantener e incrementar la eficiencia del Sistema de Seguridad de la Organización que gestiona la atención de incidentes de seguridad
68
69
T3-9a Tabla de Recomendaciones al Proveedor
Recomendación Descripción a pregunta a b p3.5.7 Implementar los sistemas de prevención Mantener e incrementar los sistemas de
de malware, detectores de intrusos, prevención de malware, detectores de firewalls en los servidores y equipos de intrusos, firewalls en los servidores y usuario de la organización equipos de usuario de la organización
a El proveedor de servicio de nube debe garantizar una amplia disponibilidad de los servidores de los servidores de procesamiento que oferta. El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en procesamiento y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en procesamiento y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe proveer redes de comun1cac1ones para que tengan facilidades de colaboración entre empresas y socios de negocio.
El proveedor de servicios de nube debe ofertar contratos de servicio que estén basados en comunicaciones y debe contar con sistemas de monitoreo para garantizar niveles de servicio de los equipos. El proveedor de servicios de nube debe tener implementadas mejores practicas para el Desarrollo de Aplicaciones e Implementación de Sistemas
El proveedor de servicios de nube debe contar con planes de licenciamiento y mantenimiento para el software que soporte las aplicaciones comerciales y de bases de datos. En cuanto a las aplicaciones legacy pudiera no satisfacer las necesidades del cliente.
El proveedor de servicios de nube debe ofertar estándares en bases de datos dentro de su catalogo de servicio, de tal fonna que la organización pueda seleccionar aquellas que den que soporte las aplicaciones que atienden los requerimientos específicos del negocio El proveedor de servicios tiene entre su oferta PaaS de bases de datos en donde la administración es parte del servicio ofertado.
b La disponibilidad de los servidores de almacenamiento debe ser incrementada por el proveedor de servicios de nube.
Se cuenta de forma moderada con contratos de servicio basados en procesamiento y de sistemas de monitoreo de este servicio. el proveedor de servicio de nube debe ofertarlos como parte de su servicio.
Se cuenta de forma moderada con contratos de servicio basados en almacenamiento y de sistemas de monitoreo de este servicio, el proveedor de servicio de nube debe ofertarlos como parte de su servicio.
Se cuenta de forma moderada con facilidades de colaboración con proveedores mismas facilidades que deben formar parte del proveedor de servicios de nube Se cuenta de forma moderada con contratos de servicio basados en comunicaciones y de sistemas de monitoreo de este servicio, el proveedor de servicio de nube debe ofertarlos como parte de su servicio.
Se cuenta de fonna moderada con aplicaciones de software y Sistemas diseñadas y documentadas apropiadamente, con separaci:'.rn en las capas de presentación y bases de datos, el proveedor de servicios de nube debe incrementar este servicio. Se cuenta de forma moderada con planes de licenciamiento y mantemm1ento del software que soporta las aplicaciones comerciales, Legacy y de bases de datos, este servicir) debe ser provisto por el proveedor ele servicios de nube aunque algunas aplicaciones legacy pudieran no adaptarse a rn ambiente de nube. Se cuenta de forma moderada de un estándar en ,:uanto al software de bases de datos que soporta las aplicaciones comerciales y Legacy. El proveedor de serv1c1os de nube ofertar estándares de bases de datos.
Se cuenta de, forma moderada con personal técnico que soporta la administración de bases de datos. Este servicio puede ser provisto por el proveedor de servicios de nube mediante un PaaS
70
71
T3-9b Tabla de Recomendaciones al Cliente
! Recomendación Descripción a pregunta a b
p3.2.5 Buscar entre los proveedores de servicios Se cuenta de fonna moderada con de nube, oferta de Soluciones de SaaS soluciones estándares para requerimientos que pudieran adaptarse a las necesidades específicos del negocio. Buscar en la oferta de la organización de los proveedores SaaS de nube soluciones
que pudieran adaptarse a lo que se tiene implementado en la organización.
·-p3.2.6 Buscar entre los proveedores de servicios Se cuenta de forma moderada con personal
de nube soluciones SaaS para técnico que soporta las aplicaciones aplicaciones comerciales y en caso de no comerciales. Este servicio pudiera ser existir considerar ofertas de soluciones ofertado mediante soluciones SaaS por un laaS para este servicio proveedor de servicios de nube y en caso de
no existir pudieran considerarse soluciones laaS para este servicio.
p3.2.7 Buscar proveedores de servicios de nube Se cuenta de forma moderada con PaaS que oferten plataformas estándares plataformas estándares para el desarrollo de para el desarrollo de aplicaciones aplicaciones Legacy. Estas plataformas Legacy. Algunos ejemplos de pueden ser ofertadas mediante soluciones proveedores serían Google AppEngine, PaaS por un proveedor de servicios de nube Windows Azure, Oracle, etc. Google AppEngine, Windows Azure,
Oracle, etc. p3.2.8 La organización no cuenta con personal Se cuenta d·~ forma moderada con personal
con experiencia en herramientas de técnico con experiencia en las herramientas desarrollo por lo que debe considerar de desarrollo del personal que soporta las capacitar nuevo personal ya que el aplicacione5 legacy. El proveedor de proveedor de servicios de nube solo servicios de nube solo oferta la plataforma oferta la plataforma PaaS de Desarrollo de desarrollo por lo que el personal de la
organización deberá continuar capacitándose en la plataforma de desarrollo
p3.3.1 El proveedor de servicios de nube debe Se cuenta de fonna moderada con garantizar que tiene implementadas metodologías y mejores prácticas en la metodologías y mejores prácticas como organización ITIL principalmente, COBIT, ITIL principalmente, COBIT, ISO ISO 17779/27001, el proveedor de servicios 17779/27001 de nube debe garantizar que las tiene
implementa.jas. p3.3.2 Buscar un proveedor de servicios de nube Se cuenta de forma moderada con
que mejor se adapte a los lineamientos, lineamientos, políticas o reglamentos que políticas o reglamentos que apoyan la apoyan la aplicación de soluciones de TIC. aplicación de soluciones de TIC en la El proveedor de servicios de nube que se organización. escoja debe adaptarse a lo anterior.
p.3.3.4 Los servicios ofertados por el proveedor Se cuenta de forma moderada con controles de servicios de nube deben cumplir con en la organización para el cumplimiento de los controles en la organización para el regulaciones nacionales o internacionales, cumplimiento de regulaciones, p.ej. por ejemplo SOX, PCI-DSS, MAAGTICC SOX, PCI-DSS, MAAGTIC, etc. entre otras. Los servicios ofertados por el
proveedor de servicios de nube deben cumplir con estos controles
72
T3-9b Tabla de Recomendaciones al Cliente
Recomendación Descripción a pregunta a b
p3.3.5 Los servicios ofertados por el proveedor Se cuenta de forma moderada con niveles de servicios de nube, deben considerar de seguridad al acceso general para los niveles de seguridad al acceso general sistemas que son materia del proceso de para los sistemas que son materia del Reportes Financieros. Los
.. serv1c1os
proceso de Reportes Financieros. ofertados por el proveedor de servicios de nube deben cumplir con estos niveles de seguridad
p3.3.6 El proveedor de servicios de nube debe Se cuenta de forma moderada con proveer la capacidad para el seguimiento capacidad para el seguimiento de de actividades vía rastros de auditoría en actividades vía rastros de auditoría en los los sistemas principales del negocio. sistemas principales del negocio. El
proveedor de servicios de nube debe proveer esta capacidad.
p3.3.7 El proveedor de servicios de nube debe Se cuenta de forma moderada con el proveer de un sistema de gestión de Sistema de Gestión de Configuraciones con configuraciones. Gestión de Cambios y el control y
distribución de software integrados. Este sistema debe ser provisto por el proveedor de servicios de nube.
p3.3.8 El proveedor de servicios de nube debe Se cuenta de forma moderada con garantizar que tiene implementados mecanismo, de seguridad que garantizan la mecanismos de seguridad que garantizan confidencialidad e integridad de la la confidencialidad e integridad de la información clasificada. Estos mecanismos información clasificada. deben ser garantizados por un proveedor de
servicios de nube p3.4. I No se cuenta con personal que puede Se cuenta ele forma moderada con personal
evaluar proveedores, realizar análisis que puede evaluar proveedores, realizar
1 costo-beneficio, y verificar el análisis costo-beneficio, y verificar el
L cumplimiento de los niveles de servicio cumplimiento de los niveles de servicio contratados. Debe considerarse contratar contratados. Para considerar la contratación consultoría para que auxilie en el proceso de servicios de nube se recomienda ames de establecer la contratación de asesorarse antes de la contratación. servicios de nube.
p3.4.2 El proveedor de servicios de nube debe Se cuenta de forma moderada con métodos tener implementados métodos y y procedimientos de la operación de los procedimientos de la operación de los servicios e1focados en la entrega y soporte servicios enfocados en la entrega y del mismo (SLAs y OLAs). Estos SLAs soporte del mismo (SLAs y OLAs) deben forma parte de la oferta del
proveedor de servicios de nube. p3.4.3 El proveedor de servicios de nube debe Se cuenta de forma moderada con procesos
tener implementados procesos para la para la Gestión de la Demanda de los Gestión de la Demanda de los recursos de recursos de Infraestructura en la operación Infraestructura en la operación de los de los servicios. Estos procesos deben estar servicios implement:1.dos por el proveedor de
servicios de nube. 1--·
p3.4.5 El proveedor de servicios de nube debe Se cuenta de forma moderada con un tener Implementar un proceso de gestión proceso de gestión de incidentes en la de incidentes en la operación de los organización. Este proceso debe formar servicios. estar implementado por el proveedor de
servicios de nube
Recomendación a pregunta
p3.4.6
p3.4.7
p3.4.8
p3.5.1
p3.5.2
p3.5.3
p3.5.4
p3.5.6
p3.5.7
T3-9b Tabla de Recomendaciones al Cliente
Descripción a
El proveedor de servicios de nube debería tener un proceso de gestión de problemas ambiente de virtualización en la operación de los servicios.
El proveedor de servicios de nube debería tener un proceso de gestión del ambiente de virtualización en la operación de los servicios
El proveedor de servicios de nube debe ofertar contratos de niveles de servicio que debe cumplir con el cliente del servicio.
El proveedor de servicios de nube debería de tener implementado un Gestor de Identidades de la organización para permitir la conexión con los proveedores o socios de negocio del cliente.
El proveedor de servicios de nube debe de tener implementados procesos de continuidad del negocio y recuperación de desastres para el cliente del servicio. Buscar un proveedor de servicios que tenga implementados procedimientos y políticas de seguridad informática para asegurar la privacidad de la información del cliente.
El proveedor de servicios de nube debe tener implementados procedimientos y protocolos de seguridad, seguridad fisica y seguridad lógica que garanticen la seguridad de la información del cliente.
El proveedor de servicios de nube proveer de un Sistema de Gestión de Seguridad de los sistemas de información.
El proveedor de servicios de nube debe tener implementados sistemas de prevención de malware, detectores de intrusos. firewalls en su infraestructura de procesamiento, almacenamiento y comunicaciones con el fin de proteger la información de sus clientes.
b Se cuenta de forma moderada con un proceso de gestión de problemas en la organización. Este proceso debe estar implementado por el proveedor de servicios de nube Se cuenta de forma moderada con un proceso de gestión del ambiente de virtualización incidentes en la organización. Este proceso debe estar implementado por el proveedor de servicios de nube Se cuenta de forma moderada con contratos de niveles ce servicio que debe cumplir el proveedor. El proveedor de servicios de nube debe cumplir con ofertar contratos de niveles de servicio. Se cuenta dt forma moderada con un Gestor de ldentid2des de la organización que permite la conexión con los proveedores o socios de negocio. Este gestor de identidades jebería formar parte de la oferta de un proveedor de servicios de nube. Se cuenta d,~ forma moderada con procesos de continuidad del negocio y recuperación de desastres en la organización.
Se cuenta de forma moderada con procedimientos y políticas de seguridad informática para asegurar la privacidad de la información en la organización. El proveedor je servicios de nube debería adaptarse a estos procedimientos y políticas que se tiene, en la organización. Se cuenta de forma moderada con procedimientos y protocolos de seguridad en la organización, seguridad fisica y seguridad lógica. Estos procedimientos y protocolos deben considerarse también los tenga implementados el proveedor de servicios de nube. Se cuenta de forma moderada con un Sistema de Gestión de Seguridad de los sistemas de Información. Este sistema debe ser provisto por el proveedor de servicios de nube. Se cuenta de forma moderada con sistemas de prevención de malware, detectores de intrusos, firewalls en los servidores de la organización. El proveedor de servicios de nube debe tener implementados estos servicios como parte de su oferta.
73
•
74
3.3 RECAPITULACIÓN
Para medir el grado de madurez de un serv1c10 de tecnologías de información, se diseñó un
instrumento de medición que considera cinco componentes principales, los cuales componen un
servicio de tecnologías de información: a) centro de datos, b) aplicaciones, c) cumplimiento de
regulaciones, d) niveles de servicio y e) niveles de seguridad. A cada componente se le asigna un
porcentaje de representatividad mediante un análisis de pares y se evalúa su madurez de forma
individual. Posteriormente se obtiene una calificación global respecto al grado de madurez de la
empresa en cuanto a sus servicios de tecnologías de informactón, se emite diagnóstico si esta
preparada para adoptar los servicios de cómputo en la nube servicio y finalmente se emite una
serie de recomendaciones de acuerdo al grado de madurez percibido .
75
CAPITULO,~
CASO DE ESTUDIO
76
4. CASO DE ESTUDIO
Para ilustrar la forma en que podría auxiliamos la '·Guía de orientación para adopción del
modelo de nube" y su paso inicial Evaluación del grado de madurez de los componentes de los
servicios de tecnologías de información, tomaremos el siguiente caso de estudio ficticio.
4.1 SITUACIÓN INICIAL
A continuación se describe un ambiente inicial que nos sirva como marco de referencia.
La empresa Aceros ABC que se dedica a la fabricación. venia y distribución de acero cuenta con
una oficina matriz con sede en la Ciudad de México y cuatro sucursales al interior del país en
las Ciudades de Monterrey. Veracruz. Villahermosa y Guadalajara. cuenta con alrededor de
1000 empleados de los cuales el 30% residen en la matriz y el 70% restante se distribuyen de
forma más o menos proporcional en las sucursales de la empresa.
Con excepción del servicio de correo electrónico y del portal de interne! que se gestiona en
qficinas centrales, cada sucursal de la empresa cuenta con soluciones legacy para
Administración de recursos humanos. recursos materiales. inventarios y facturación. por otro
lado también utilizan diversas soluciones comerciales para Sistemas de Administración de
Proyectos. Gestión de Contenido. Bases de datos. Portales de CJ!aboración.
77
Los servicios de tecnologías de información en la empresa son administrados por cinco áreas de
TI d(ferentes (la oficina matriz y las sucursales tienen su propio equipo de TI), todas estas áreas
reportan a un Gerente de Tecnologías de Información y en promedio existe un equipo de 6
personas de TI en cada área. Las principales actividades que desarrolla el personal son:
a) administración de servidores. b) administración de equipos de comunicaciones, c)
administración de soluciones de almacenamiento y d) respaldo y desarrollo de aplicaciones.
En términos generales la experiencia del personal de TI es aceptable, sin embargo existe muy
poca colaboración entre ellos, debido a que un gran porcentaje de servicios de TI que se of,-ecen
en cada sucursal tienen una arquitectura y tecnología d(ferente.
La empresa cuenta con 5 centros de cómputo, el principal ubicado en la oficina matriz se
encuentra un 80% de su capacidad y en los restantes alcanza entre un 30% y 50%. En lo que
respecta a la in,f,-aestructura de tecnologías de información de la empresa para el soporte de
los servicios tiene las siguientes características: 65 servidores con tres sistemas operativos
diferentes. cinco soluciones de almacenamiento y re5paldo con tres tecnologías d(ferentes. y en
lo que respecta a los equipos de comunicaciones manejan soluciones de dos fabricantes
diferentes.
La il?f,-aestructura existente en el centro de cómputo es en su mayoría fisica ya que la empresa
no esta muy familiarizada con el tema de virtualización. Cada área gestiona sus contratos de
mantenimiento basados en la in,f,-aestructura existente.
La empresa necesita cumplir con regulaciones tanto financieras como gubernamentales. y
aunque tiene ciertos controles, políticas y procedimientos. no se llevan a cabo auditorias para
ver(ficar su cumplimiento.
Las áreas de tecnologías de in,formación no cuentan con acuerdos de servicio con sus clientes de
la empresa. y los procesos de gestión de incidentes y de problemas son dispares tanto en la
o_ficina matriz como en las sucursales. Existen políticas de seguridad en la organización y son
d(fundidas al personal de la empresa, cada área de TI tiene implementada soluciones d(ferentes
de: prevención de malware. detectores de intrusos yfirewalls.
78
4.2 REQUERIMIENTOS DEL NEGOCIO
Continuando con nuestro ejemplo, una vez establecida la situación inicial, se mencionan los
siguientes requerimientos por parte del negocio.
El cuerpo directivo de la Organización se reunió con el Gerente de TI para comunicarle los
problemas que existen en cuanto a los servicios de tecnologías de in.formación que se
proporcionan en la empresa. principalmente mencionan:
• Que existe un costo alto para mantener cinco centros de cómputo en la empresa y en
fechas recientes han existido problemas por disponibilidad de la in.faestructura que
impactado negativamente en el negocio. Por lo que lo instan a que analice la posibilidad
de utilizar un esquema que garantice la disponibilidad plena los servicios de tecnologías
de información
• Que existen sistemas y soluciones d(ferentes para atender un mismo requerimiento de
negocio lo cual produce problemas para integrar reportes globales que la empresa
requiere para tomar decisiones deforma oportuna
• Que los tiempos para la implementación de una nueva aplicación que atienda un nuevo
requerimiento de negocio son prolongados debido a las gestiones para la adquisición de
hardware y sofnrare.
• Que todo lo anterior implica un gasto adicional a la empresa, por lo que le solicitan
reorganizar la entrega de los servicios de TI con un costo menor al que se eroga
actualmente y con beneficios para el negocio. Además le piden considerar el
cumplimiento a las regulaciones a los que la empresa está comprometida y la seguridad
de la información
El cuerpo directivo ha leido y escuchado de que los servicios en nube pueden ser la solución
para las necesidades del negocio, de tal.forma que solicitan al Gerente de T1 les presente un plan
para adoptar los servicios de nube privada en la organizació?Z o bien establecer un contrato de
servicios con un tercero.
Ante esta situación, en nuestro ejemplo consideramos que el Gerente de TI conoce de fonna
general acerca del cómputo en la nube y sus beneficios, sin embargo, no está seguro que necesita
79
considerar para implementar servicios de nube en la organización y decidir si la nube es una
opción para la empresa.
4.3 EVALUANDO EL NIVEL DE MADUREZ DE LOS SERVICIOS DE TI
DE LA EMPRESA.
Continuando con nuestro ejemplo para poder orientar al Gerente de TI podemos utilizar la
herramienta "Guía de orientación para la adopción de un modelo de nube". El instrumento nos
brinda una aproximación inicial para identificar el grado de madurez de los elementos que
participan en la composición de un servicio de tecnología de información. Mientras mayor grado
de madurez se tenga. mejor preparado se estará para adoptar una solución de este tipo. La
secuencia que lleva la herramienta se muestra en nuestros dos casos de ejemplo: Caso A
(Proveedor de servicios de nube) y Caso B (Consumidor de servicios de nube).
4.3.1 EJEMPLO DE EVALUACIÓN CASO A (PROVEEDOR)
Al momento de utilizar la herramienta por parte del Gerente en nuestro ejemplo ficticio se
seguirán los siguientes pasos:
1. La pantalla inicial nos solicitará que se identifique el interés del cliente, si desea
implementar una nube privada (proveedor de nube privada) o consumir servicios de nube
pública (cliente de nube pública). De acuerdo a la selección se calculará el porcentaje de
representatividad, ya sea el PRP (Porcentaje de represcntatividad del proveedor) ó PRC
(Porcentaje de representatividad del cliente). Para este caso vamos a asumir que el cliente
desea implementar un servicio de nube privada. El cálculo del porcentaje está diseñado
para que varíe de acuerdo al análisis de pares que realice el usuario que utilice la
herramienta, de fonna predefinida se obtiene el que se muestra en la Figura 4-1 Porcentaje
de represenlalividad del proveedor
Figura 4-1 Porcentaje de representatividad del proveedor
2. La siguiente pantalla nos lleva a la aplicación del cuestionario que se aplicará al usuano
(en este caso el Gerente de TI). El cuestionario com¡:rende la evaluación de los cinco
elementos que componen un servicio de tecnologías de información. El usuario deberá
completar cada sección para pasar a la siguiente. La Figura 4-2 Cuestionario para
determinar nivel de madurez proveedor muestra un ejemplo de pregunta del cuestionario.
Figura 4-2 Cuestionario para determinar nivel de madurez proveedor
j Nivel de madurez para trasladar Servicios de TI a la nube
Pr,::,veedor
¡A 1. Centro de datos 1
• La organización mantiene un estándar un cuanto a tecnología de virtuali:!ación de servidores. el personal del centro de datos está completamente familiarizado con esta \ecnologia.
Respuesta
• Sin éotie~ura
Cobertura Marginal
Cobertura Moderada
Cobertura amplia
Cobertura iota!
81
3. El encuestado contestará cada sección correspondiente a cada componente identificado
para un serv1c10 de tecnología de infom1ación. (Centro de Datos, Aplicaciones,
Cumplimiento de regulaciones, Acuerdos de Servicio, Seguridad). De acuerdo a la
situación planteada en este caso hipotético, en la Tabla 4-1 Ejemplos de respuestas al
cuestionario de evaluación de madurez, se muestran las posibles respuestas que pudieron
haber sido seleccionadas.
82
Tabla 4-1 Ejemplo de respuestas al cuestionario de evaluación de madurez
No. Pregunta Tu respuesta La organización mantiene un estándar un cuanto a tecnolog1a de virtualización de servidores, el personal del centro de datos está
Al.l completamente familiarizado con esta tecnología. Cobertura Marginal Los servidores en la organización tienen alta disponibilidad y están
Al.2 configurados para operar en base a servicios Cobertura Marginal El centro de datos cuenta con contratos de servicio basados en el Cobertura Moderada servicio de procesamiento y con sistemas de monitoreo parn
Al.3 garantizar el nivel de servicio de los equipos Al.4 La organización mantiene un estándar un cuanto a tecnología de Cobertura Marginal
almacenamiento, el personal del centro de datos está completamente familiarizado con esta tecnología (SAN).
·-Al.5 El centro de datos cuenta con contratos de servicio basado~ en el Cobertura Moderada
servicio de almacenamiento y con sistemas de monitoreo para garantizar el nivel de servicio de los equipos
A 1.6 Las redes de comunicaciones están diseñadas para facilitar ia Cobertura Amplia colaboración y/o interoperabilidad con proveedores, socios de negocio
Al.7 El centro de datos cuento con contratos de servicio basados en el Cobertura Moderada servicio de comunicaciones y cuento sistemas de monitoreo para garantizar el nivel de servicio de los equipos
Al.8 Los sistemas de energía y aire acondicionado que se encuentran en Cobertura Moderada el centro de datos son suficientes para la demanda de energía eléctrica y capacidad de enfriamiento requerida.
A2.l Todas las aplicaciones de software y Sistemas están propiamente Cobertura Marginal especificadas, diseñadas , documentadas y en su implementación separan las capas de presentación y bases de datos
A2.2 La organización mantiene actualizados los planes de licenciamiento Cobertura Moderada y mantenimiento de los servidores de aplicaciones comerciales, Legacy y de bases de datos.
A2.3 La organización cuenta con una plataforma estándar de bases de Cobertura Marginal datos para el soporte de aplicaciones comerciales y Legacy.
A2.4 La organización cuenta con personal experimentado para le. Cobertura Moderada administración y soporte de bases de datos.
A2.5 La organización mantiene soluciones estándares para Cobertura Moderada requerimientos específicos del negocio (Portales Intranet e Internet, Sistemas de Gestión de Contenido, Sistemas de Inteligencia de Negocios, ERP, etc.)
A2.6 La organización cuenta con personal experimentado para la Cobertura Moderada administración y soporte de sistemas comerciales.
A2.7 La organización utiliza plataformas estándares para el desarrollo de Cobertura Marginal aplicaciones Legacy.
A2.8 La organización cuenta con personal experimentado para la Cobertura Moderada administración y soporte de sistemas Legacy
A3.1 La organización utiliza algunas de las siguientes metodologías y Cobertura Marginal mejores prácticas ITIL, COBIT, ISO 17779/27001, PMBOOK, CMM/CMMI
A3.2 La organización cuenta con lineamientos, políticas o reglamentos Cobertura Amplia que apoyan y fomenta la aplicación de soluciones de TIC y son difundidos al interior.
83
Tabla 4-1 Ejemplo de respuestas cuestionario evaluación de madurez
No. Pregunta Tu respuesta
A3.3 La organización ha realizado estudios de evaluación, análii:is de Cobertura Moderada inversión y análisis de impacto al negocio y se tiene un claro entendimiento de los procesos de negocio y los procesos de TI que los soportan
A3.4 La organización tiene la obligación del cumplimiento de Cobertura Margin~ regulaciones nacionales o internacionales, por ejemplo SOX, PCI-DSS, MAAGTICC entre otras.
A3.5 La organización ha definido y mantenido niveles de seguridad Cobertura Marginal adicionales al acceso general para los sistemas que son materia del proceso de Reportes Financieros.
A3.6 Los sistemas principales del negocio tienen la capacidad para el Cobertura Marginal seguimiento de actividades vía rastros de auditoría
A3.7 La Gestión de Cambios y el control y distribución de software, Cobertura Marginal están integrados a un sistema de gestión de configuracionei:
A3.8 La información en la organización se encuentra clasificada y cuenta Cobertura Marginal con mecanismos para garantizar su confidencialidad e integridad.
A4.1 La organización cuenta con personal con capacidad técnicas Sin Cobertura ' adecuadas para evaluar proveedores, realizar análisis costo·
beneficio, determinar la viabilidad de los servicios de TIC y verificar el cumplimiento de los niveles de servicio contratados.
A4.2 En la operación de los servicios, los métodos y procedimientos Cobertura Marginal están enfocados en la entrega y soporte del servicio (SLAs y OLAs)
A4.3 En la operación de los servicios, se tienen implementado p~ocesos Sin Cobertura para la Gestión de la Demanda de los recursos de Infraestructura
A4.4 Los SLAs en la organización fueron creados a través de un esfuerzo Cobertura Marginal colaborativo, entre el grupo administrativo de TI y el grupo de soporte
A4.5 La organización tiene implementado procesos de gestión de Cobertura Marginal incidentes que involucre los tres aspectos principales (impacto, urgencia prioridad)
A4.6 La organización tiene implementados procesos de gestión de Cobertura Moderada problemas que identifiquen las causas de incidentes en los servicios y ejecute trabajo correctivo para prevenir recurrencias.
A4.7 Se cuenta con una Gestión del ambiente de virtualización, orientada Cobertura Marginal a la Gestión de los Servicios del Negocio (SLAs, Contabilidad, Catalogo de Servicio. CMDB) y la instrumentación de servicios (procesamiento, redes y almacenamiento)
A4.8 Se establecen contratos de niveles de servicio que debe cunplir el Cobertura Amplia proveedor en el contrato de tercerización (p.ej. reportes de tiempo de atención al servicio, disponibilidad, etc.)
A5.I La Organización cuenta con un Gestor de Identidades para permitir Cobertura Moderada la conexión con los proveedores o socios de negocio.
A5.2 En la operación, en la organización se tienen implementados Cobertura Moderada procesos de continuidad del negocio y recuperación de de:;astres.
A5.3 En la Organización existe una política de seguridad informática y Cobertura Moderada privacidad de la información en la Organización.
A5.4 Se cuentan con procedimientos y protocolos de seguridad en la Cobertura Moderada organización los cuales incluyen claves de acceso y políticas de seguridad física.
84
Tabla 4-1 Ejemplo de respuestas cuestionario evaluación de madurez
No. Pregunta Tu respuesta
A5.5 Se realizan revisiones formales que vigilen el cumplimiento de las políticas de se_guridad de la organización Cobertura Moderada
A.5 .6 Se tiene implementado un Sistema de Gestión de Seguridad de los sistemas de información. Cobertura Moderada
A5.7 La organización cuenta con sistemas de seguridad como firewall , detectores de intrusos y software de prevención de malware en servidores y equipo de usuario final. Cobertura Amplia
4. Una vez completada la encuesta se obtendrá un diagnóstico del nivel de madurez en que
se encuentra el cliente, este se obtiene de forma global y por cada componente. Para este
caso en particular se obtiene el nivel de madurez que refleja la Figura 4-3 Grado de
madurez del cliente hacia nube privada
Figura 4-3 Grado de madurez del cliente hacia nube privada
=:, Obtención del grado de madurez de una empresa para transferi r los servicios de TI hacía la nube
40 +---......-------------------------------'
30 -+------<
2S +----i
Nivel de madurez: - ._:,¿ Ver recomendaciones • No cuentas con el nivel de madurez adecuado
Proveedor Se tiene cierto nivel de ma :lurez, pero es necesano incrementarlo
• Dispones del nivel de madurez adecuado
Lo que se observa en la figura es que el nivel de madurez se encuentra en un 41.4%, por lo que
se considera de acuerdo a nuestra escala de clasificación que no se cuenta con un nivel adecuado
para adoptar una solución de nube, para lo cual se emiten recomendaciones a observar para
incrementar este nivel.
85
Las brechas en orden de importancia detectadas serían:
• Incrementar madurez del centro de datos
• Incrementar madurez del cumplimiento de regulaciones
• Incrementar madurez del cumplimiento de niveles de servicio
En la Figura 4-4 Recomendaciones para implementación de nube privada puede observarse un
fragmento de estas recomendaciones.
Figura 4-4 Recomendaciones para implementació:1 de nube privada
Recomendaciones Proveedor
lmp-i~n1e-ntar Hláf1dares en cuanto a ':.1!1.uailzac16~1 Capac:rta' a! o~rsoncil t:r: ~ecnologías de .. ,rtuahza::fón
Implementar disponibihdad de los seMdo1es de procesamiento
lmp4,a,:nentar estándares en cuanto .a tecnologias d~ Almacenam1ento. Capaci1ar al personal en tecnologías almacenam1~nto
Sol,.::1la! qu,:, los ccnt1atos de ser-,1c10 ezte-n basados en -:!1 ~~rl1c1ei de alrriaccnamtcnto Implementar s1st1:mas Ce moma: Jrto para g.:iran:1za1 ni,;e,1,e$ de Sft\i::o
Manle~er e incremenla1 íacilidades de colaboración en las r~des de comunicacíonE"s
Venf1ca: que los ccr.L:;tos de ser~1c10 de corrn.m1caciorlé'S este:, basados ¿,n el servicio. Veríficar st> cuent':' con srs1~ma; de mo!1:toreo para garantizar nr..:eles de ser,.,.¡c10 de los eqi..rpos
Vierific3r que adiecuaciones son requeridas en e! centro de datos para cutxir la demanda de energía eléctrica y c.apac,daj de enfriamiento
lrn~!c-mcntar c-r ;a OrgJniza~:orc mc1orc-s prJi:lic¿¡s para c-1 De-:.arrolfc ,fo Aphcac1ones e \m¡:>le-mcntac1cn de Srs:ena.s
Contrata, planes de licenciamiento y mantenimiento pat<J el soft'l\'ore que soporta las aplicaciones comerciales. legacy y de bases de dalos
1,1an1ene~ e ,n.::rernem;;r el estáidar ~!l cuanto a! :;oftwari? de bases de datos que soporta las aphcac1cnes co:rerciales ·, L!:!gacy
Mantener e incrementar el 11rJ1!'l tecmco del persona! que soporta la administración de bases de datos
Dado que ahora se tiene la perspectiva de un cliente que desea adquirir los servicios de
nube pública, el porcentaje de ponderación de cada elemento que compone el servicio
varía presentando una nueva composición. De forma inicial puede observarse que el
porcentaje del centro de datos disminuyó significativamente y este porcentaje se
redistribuyó en los demás componentes, la explicación simple es que desde esta
perspectiva "consumidor de servicios de nube pública", la responsabilidad del centro de
datos queda totalmente por parte del proveedor.
2. Este paso es igual a la información presentada en la sección anterior 4.3.1 Ejemplo de
evaluación caso A (proveedor), ya que se esta considerando que es el mismo cliente que
se esta evaluando pero ahora con una nueva perspectiva.
3. Este paso es igual a la información presentada en la sección anterior 4.3.1 Ejemplo de
evaluación caso A (proveedor).
4. Concluida la encuesta ahora en el punto 4 se obtiene un nuevo diagnóstico del nivel de
madurez en que se encuentra el cliente, la Figura. 4-6 Grado de madurez del cliente hacia
nube pública lo muestra.
•I
87
Figura 4-6 Grado de madurez del cliente hacia nube pública
35 +-----------------~~-----------------
~+---------------_,
1.S +----------------,
20 +--------------,r
1S +-------------.'
Nivel de madurez: - ~ Ver recomendaciones • No cuentas con el nivel de madurez adecuado
Cliente Se tiene cierto nivel de madurez., pero es necesarío incrementarlo
• Dispones del nivel de madu·ez adecuado
Al observar la gráfica, en el resultado obtenido con esta nueva perspectiva se identifica que las
brechas en orden de importancia ahora serían:
• Incrementar madurez del cumplimiento de regulaciones
• Incrementar madurez de las aplicaciones.
• Incrementar madurez del cumplimiento de niveles de servicio
Finalmente en la Figura 4-7 Recomendaciones para implemenración en nube pública se observa
un fragmento de las recomendaciones ahora con esta perspectiva, estas recomendaciones
principalmente van dirigidas para que el potencial consumidor de servicios de nube pública,
solicite de acuerdo a sus necesidades que estas brechas sean cumplidas por el potencial proveedor
de servicios de nube pública.
Figura 4-7 Recomendaciones para implementación en nube pública
T em.a 1~2 hplic.:.icioncs
íO:Homc11d¿,ició11
E! pro·,eedor de servicios de nubE: debe tener 1rnp!ememadas mejores orac11cas para el Desarrollo de Aphc ac:ones e lr1plementat:ón de Sistemas
Se cuenta de forma moderada con planes de ltcenciamtemo y manlen,miento del software que, soporta las. aphcacion1~s comerciales. Legacy y de bases de datos. este servicio debe ser provisto por el prowedor de ser.icios de nube aunque algunas aplicaciones legacy pudieran no adai:- arse a un am!:>ienle de nube
E! pro·.-ee,do, c!e seMc:1os de m. be debe cf'?.1tar estándares en bases de dalos dentro de su catalogo de ser,,,cio. de tal ío1ma que la organización pueda seleccronar aauellas que den que soporte las aplicaciones que ;:ilienCen bs requerimientos ~specificos del nl!lgOC!O
Se cuenta de forma moderada con personal técnico que soporta la administración de bases de datos. Este servicio puede ser provisto por el proveedor de servicios de nube med1anle un P•aS
Se cuenta de forma modi&rada con solucic,n~s estíindar~s para rcquenm1entos espe-cífir.:os del negoc,o Buscar en ia oferta de los prO'ieedores SaaS de nube soluciones que pud1eran adaptarse a lo ql e se llene implementado e,~ la orgamzac:ión
Se cuenta de forma modll!fada cor, parsonaJ lécnico que soporta las aplicstiones comercíales. Este s.eMtio pudiera set ofertado ~ante soluc,ones SaaS por un pro-1eedor de servicios de nube y en caso de no existir pudieran considerarse soluciones laaS para este servicio.
Buscar proveedores de serw'lcios de 11ubE- PaaS que oferten plataformas estándares para el d, .. ¡arrollo de- a;>llcacione~ Lc;acy A!guflos eJ~mpios de proveedores serian Go~;le AppEngme. ViJ1ndows Azure Ora.ele etc
Se cuenta de forma moderada con personal 1éi:nico con expanencia en las herramrenlas de desa1rollo del personal que soporta las aplicaciones legacy El prir-t<!edor de servicios de nube solo oferta la plalaforma de desanollo por lo que el personal de la organización deberá cominuar capa<:itándose en la plataforma de desarrollo
El p,ov~edor de sl:!r.,.¡cios de n1b1;1 d~be garanhzar c¡ue tiene ,mplementadas metodo!ogias y me1ores pricl!cas c!Jmo ITIL p<incipalmente. COB!T ISO 17779/2?001. ?Ml300K CM!J'CMMI
Se cuenta de forma moderada con hneamten1os. polaicas o reglamentos que apoyan la aphcación de soluciones de 11C. El prO".-eedor de ser.ic:1os de nube que se esco.t,a debe adaplarse a lo anlerior.
Lr.:; seMc,os o~enados por lr'I pro,ietdor de seMcms dr. nube deben cumpfü ccn los corilrcle~ en la orgamzac,cin para f:~ CIJ:"('!plim,er:to de regulaciones p ll?J SOX PCIDSS MAAGTIC fü
Los servicios ofertados po, el proveedor de servidos de nube. deben considerar niwles de seguridad al at:ceso general para los sistemas que son materia del proceso de Reportes Financieros.
E pr?":eedor di? ser.1c1os de nube debe provee, la capacidad para e! sl)gu1miento d-e actr.1dades via rastros de audrtora en los. sistemas. princip.?les del negocio
El prO'l'Eedor de servicios de nube debe prcrveer de un sistema de gestión de confi9urac1ones:
E.i 1)(0'.;eedor de ser..1c1os de nube, d~be aaran11::ar oue llene irnolementados mecanismos de seoundad c:ue cara1mn1n la con1idenc1ahdad e mteondad de la intorrm1c10n
88
89
4.4 RECAPITULACIÓN
En este capítulo se mostró la utilidad que puede tener al herramienta para valorar el grado de
madurez de una empresa y emitir el diagnóstico de si esta preparada para transitar a un modelo
de nube. En el caso ficticio, el encuestado que utilizó la herramienta pudo obtener dos
valoraciones de acuerdo al tipo de interés que tienen en abordar el modelo de nube, ya sea un
proveedor de servicios de nube o un cliente de servicios de nube. Se dio la valoración para ambos
casos y se emitieron las recomendaciones correspondientes.
90
CONCLUSIONES
En la industria de las tecnologías de información los provedores de servicios están dando un
fuerte impulso al modelode cómputo en la nube, ofreciendo varios modelos de servicio dirigidos
principalmente satisfacer las necesidades de procesamiento, almacenamiento, comunicaciones,
aplicaciones y desarrollo de aplicaciones que tienen las empresas hoy en día.
La mercadotecnia que gira alrededor del cómputo en la nube suele promoverla como la principal
solución para los requerimientos de servicios de tecnologías ce información de las empresas, lo
cual no es cierto en todos los casos, de tal forma que es necesario analizar con detalles en que
circunstancias puede ser atractiva y en cuáles no satisfacería los requerimientos de la
organización.
La herramienta para adopción del modelo de nube brinda un marco de referencia para que el
candidato a proveedor de servicios de una nube privada, o un eventual consumidor de servicios
de esa tecnología, identifique los elementos que debe considerar para:
• Saber si el modelo de cómputo en la nube cubre con sus requerimientos y no tenga que
incurrir en una inversión estéril.
• Obtener el máximo beneficio de los servicios del cómputo en la nube.
• Identificar si su empresa está preparada para transferir sus aplicaciones al entorno de la
nube. En el caso negativo, para conocer en que aspectos específicos debe trabajar para
organizar sus servicios antes de emigrarlos a la nube.
• Elegir adecuadamente el proveedor de servicios (clien1e)
• Saber promover adecuadamente sus servicios (proveec.or)
91
REFERENCIAS
[1] PETER MELL.; TIMOTHY GRANCE. The NIST Definition of Cloud Computing. NIST Special Publication 800-145. September 2011. [Referencia Febrero 2012]. Disponible en formato pdf en intemet en http://csrc.nisUwv/publications/nistpubs/800-145/SP800-145.pdf
[2] GERARD BRISCOE.; ALEXANDROS MARINOS. Digital ecosystems in the clouds: towards community cloud computing. 2009. [Referencia Febrero 2012]. Disponible en formato pdf en intemet en http://eprints.lse.ac.uk/26664/l/Digital ecosystems (final) (LSERO).pdf
[3] DAVID LINTHICUM . Defining the Cloud Computing Framework. 2009. [ref Febrero 2012]. Publicado en intemet en http://cloudcomputing.sys-con.com/node/811519
[4] Instituto Federal de Acceso a la Información. Ley Federal de Protección de Datos Personales. Julio 2010. [Referencia Marzo 2012]. Publicado en intemet en la página del IFAI http://wv..w.ifai.org.mx
[ 5] KPMG "Modeling the economic impact of cloud computer·'. Abril de 2012 [Referencia Noviembre 2012] .Publicado en intemet en http://wwv.·.kpmg.com/ A U/en/IssuesAndinsi ghts/ ArticlesPublications/Documents/mode 11 ingeconom ic-impact-cloud-computing:.pdf
[ 6] Cloud Security Alliance "Security Guidance for critica] areas of focus in cloud computing V.30".2011. [Referencia Noviembre 2012] . Publicado en internet en http ://c I oudsecuritvalliance .org
[7] Catapult Systems "Portfolio Prioritization Under the Hood: Pairwise Analysis Demystified''. Publicado en intemet en http:i /blogs.catapultsvstems.com/epm/archi ve/201 0/06/01 /port fo) io-priori tization-under-thehood-pairwise-anal vsi s-demystified. aspx
92
BIBLIOGRAFÍA
Venkata Josyula; Malcolm Orr; Greg Page. "Cloud Computing: Automating the Virtualized Data Center". Editorial "Cisco Press" Fecha de publicación: 29 de noviembre de 2011. Referencia Junio 2012
David S. Linthicumn. "Cloud Computing and SOA Convergence in Your Enterprise: A Step-byStep Guide" Editorial Addison-Wesley. Fecha de publicación 29 de septiembre de 2009. Referencia Junio de 2012.
Judith Hurwitz; Robin Bloor; Marcia Kaufman: Fem Halper "Cloud Computing for Dummies" Fecha de publicación: 16 de noviembre de 2009. Referencia Junio 2012
Jo Whitehead "What You Need to Know about Strategy". Fecha de Publicación: 7 de Junio de 2011 ". Referencia Mayo de 2012.
Jothy Rosenberg; Arthur Mateas "The Cloud at Your Service: The when, how, and why of enterprise cloud computing" Editorial: Manning Publications". Fecha de publicación: 28 de Octubre de 2010. Referencia Junio de 2012.
Christian B. Lahti; Roderick Peterson "Sarbanes-Oxley IT Compliance Using Open Source Tools, Second Edition" Editorial: Syngress. Fecha de public1ción: 16 de noviembre de 2007. Referencia Junio de 2012
ANEXO A. PLANEACION DE LA CAPACIDAD DE LOS
SERVICIOS DEL CENTRO DE DA T01S
93
El centro de datos aloja a los eqmpos que proporcionan los serv1c1os de tecnologías de
información (procesamiento, almacenamiento y comunicaciones) y los equipos que proporcionan
los servicios auxiliares ( equipos de energía, aire acondicionado), éstos últimos son qmenes
proporcionan las condiciones óptimas para el funcionamiento de los equipos de TI.
De acuerdo a lo anterior para medir la madurez de un centro de datos debemos considerar el nivel
en que se encuentran ambos servicios.
Servicios de Tecnologías de Información
• Equipos Procesamiento
• Equipos de Almacenamiento
• Equipos de Comunicaciones
Servicios Auxiliares
• Equipos de energía
• Equipos de aire acondicionado
94
A.l SERVICIOS DE TECNOLOGÍAS DE INFORJVIACIÓN
Identificación de la capacidad de los equipos de TI
Para evaluar la capacidad de procesamiento, almacenamiento y comunicaciones que tiene lugar
en el centro de datos, utilizaremos el proceso "Identificación de capacidad en los equipos de rr·.
Este proceso requiere como entradas el conocimiento del per:;;onal acerca de inventarios de la
organización (procesamiento, almacenamiento y comunicaciones) y de contratos de servicios
relacionados.
El proceso para poder identificar la capacidad utilizará las sigu:entes herramientas de trabajo que
se identifican a continuación:
• Hoja de Evaluación de Procesamiento (TA-1)
• Hoja de Evaluación de Almacenamiento (TA-2)
• Hoja de Evaluación de Comunicaciones (T A-3a y TA-3 b)
• Ejecución de herramienta de planeación de la capacidad
La Hoja de Evaluación de Procesamiento (T A-1) nos perm:.te identificar de forma básica la
capacidad de procesamiento que se tiene identificada en la organización.
Tabla T A-1 Hoja de Evaluación de Procesamiento
Nombre Tipo de Arquitectura Procesadores/ Sistema Segmento Disco Memoria Centro Ubicación Año servidor procesador Núcleos Operativo Red de red Duro de
Datos
En donde:
• Nombre: Nombre del Servidor
• Tipo de servidor: Si el servidor es fisico o virtual
• Arquitectura del servidor: Si es Intel x86 32 bits, Intel x86 64 bits, AMO x86 32 bits.
AMD x86 64 bits, Intel Itanium u otro.
• No. de Procesadores: Número de procesadores/núcleos por ejemplo (8/4, 4/2)
95
• Sistema operativo: El sistema instalado en el servidor con el formato Sistema Operativo
versión-actualización, por ejemplo Windows-2003 Enterprise-SP2, Unix-Hpux 11.3-V3,
etc.
• Red: La velocidad de red que tiene el servidor (100 Mb, 1000 Mb, etc.)
• Disco Duro: Capacidad del disco duro local del servidor
• Memoria: Memoria fisica instalada en el servidor
• Centro de Datos: Nombre del centro de datos en donde se encuentra el equipo
• Ubicación: Ubicación física del servidor con formato ciudad-estado-país
• Año: Año de adquisición/arrendamiento
La Hoja de Evaluación de Almacenamiento (T A-2) nos permite identificar de forma básica la
capacidad de almacenamiento que se tiene identificada en la organización.
Tabla T A-2 Hoja de Evaluación de Almacenamiento
Tipo de Fabricante Modelo Año Capacidad Capacidad Capacidad Ubicación almacenamiento Total Utilizada Disponible
En donde:
• Tipo de Almacenamiento: Indicar si es SAN o NAS
• Fabricante: Nombre del fabricante de la solución de almacenamiento
• Modelo: Modelo de la solución
• Año: Año de adquisición/arrendamiento
• Capacidad total: Capacidad total de almacenamiento (Terabytes)
• Capacidad utilizada: Capacidad utilizada de almacenamiento (Terabytes)
• Capacidad disponible: Capacidad disponible de almacenamiento (Terabytes)
• Ubicación: Ubicación física de la solución de almacenamiento
La hoja de Evaluación de Comunicaciones (T A-3a) nos pem1ite identificar de fonna básica los
equipos de comunicaciones de red en el centro de datos, que se tienen identificados en la
organización.
96
Tabla TA-3a Hoja de Evaluación de Comunicaciones 1
I ID Equipo ' I Fabricante -·
Tipo Modelo Año Centro de Ubicación datos
1
En donde:
• ID Equipo: Identificador de equipo
• Tipo: Tipo equipo de comunicación (switch, router, balanceador, etc.)
• Fabricante: Nombre del fabricante del equipo
• Modelo: Modelo del equipo
• Año: Año de adquisición/arrendamiento
• Centro de datos: Nombre del centro de datos en donde ~e encuentra el equipo.
• Ubicación: Ubicación del centro de datos
La hoja de Evaluación de Comunicaciones (TA-3b) nos permite identificar las comunicaciones al
exterior que se tienen en los centros de datos (hacia otros centros de datos y hacia intemet)
Tabla TA-3b Hoja de Evaluación de Comunicaciones 2
Centro de Tipo de Ancho de banda Tipo de Enlace Ancho de banda hacia datos enlace WAN WAN Internet internet
En donde:
• Centro de datos: Nombre del centro de datos en donde se encuentra el equipo
• Tipo de enlace WAN: Tipo de enlace para enlazarse con otros centros de datos
• Ancho de banda W AN: Ancho de banda de los enlaces hacia otros centros de datos
• Tipo de enlace intemet: Tipo de enlace que utiliza para conectarse a intemet
• Ancho de banda intemet: Ancho de banda hacia intemet
Herramientas de planeación de la capacidad
En el mercado hay varias herramientas que nos permiten planear la capacidad aunque
nom1almente tienen un costo, algunos ejemplos son:
Cantidad de equipos auxiliares (energía y aire acondicionado)
Cantidad de equipos de comunicaciones
Índice de PUE deseado
100
Los datos referentes al consumo de energía requieren mediciones por equipos especializados, los
conceptos vertidos aquí son de referencia para que el interesado evalúe este punto.
101
ANEXO B. CUMPLIMIENTOS REGULA TORIOS
REQUERIDOS POR LA ORGANIZA(:IÓN.
Las industrias hoy en día tienen que cumplir con varias leyes y regulaciones gubernamentales en
materia de tecnologías de información, en México para las dependencias y entidades del gobierno
federal existe el Manual de Administración de Aplicación General en Materia de Tecnologías de
Inforn1ación y Telecomunicaciones (MAAGTIC) de obser;ancia obligatoria para el sector
público y la Ley Federal de Protección de Datos Personales en Posesión de Particulares que
aplica para el sector público y privado. Por otro lado existen regulaciones internacionales que
provienen del gobierno de los Estados Unidos de América y Europa principalmente, algunas de
estas son; Sarbanes-Oxley (SOX), Ley de Portabilidad y Responsabilidad de Seguros (HIPPA
Health Insurance Portability and Accountability Act), Norn1as de Seguridad de Datos de la
Industria de Tarjetas de Pago (PCT DSS PAyment Card Industry Data Security Standard).
B.1 LEYES Y REGULACIONES
• MAAGTIC
La Secretaría de la Función Pública publicó el 13 de julio de 201 O el acuerdo en donde se
emite este manual, como parte de la estrategia de gobierno digital y que está orientado a
coordinar las políticas y programas en esa materia, a fin de homologar y contar con procesos
uniformes para el aprovechamiento y aplicación eficiente de las tecnologías de la información
y comunicaciones.
En el manual están identificados 30 procesos, que se integran en 11 grupos, estos grupos a su
vez están considerados en los 4 niveles de gestión, que conforman el "Marco rector de
procesos en materia de TIC', cada uno de los procesm. señala acciones básicas para una
gestión ágil y ordenada en las unidades de tecnologías de infonnación y comunicaciones.
• Ley Federal de Protección de Datos Personales en Posesión de Particulares.
102
En la página del Instituto Federal de Acceso a la Infornación IF Al [ 4] dice que "Esta
legislación establece obligaciones muy claras para todas la5 personas físicas o empresas que
cuenten con bases de datos personales para que adopten medidas que garanticen que la
información estará adecuadamente resguardada y que n,J se le dará un uso distinto al
autorizado por el dueño de los datos. Sin importar el tamaño de la empresa, cualquiera que
haya recabado elatos personales deberá respetar esta ley"
El IF Al es el organismo que garantiza el cumplimiento de esta ley y tiene la facultad de
aplicar sanciones en caso necesario. La Ley entró en vigor en 20 l O. Esta ley es de relevancia
para los trámites comerciales y gubernamentales que realizan las personas en su vida
cotidiana, asimismo ofrece una mayor seguridad y certeza jurídica a los documentos y
transacciones que requiera la firma autógrafa de una persona.
• Ley Sarbanes-Oxley (SOX)
Esta ley fue creada para proteger a los inversionistas aumentando la exactitud y confiablidad
de los reportes financieros ele compañías públicas, SOX lo hace cumplir mediante el
endurecimiento de las penalidades existentes y haciende a los funcionarios corporativos
responsables por los reportes. SOX impone castigos más duros y prisión para cualquier
individuo que conscientemente altere o destruya informac:ón con el intento de obstruir una
investigación, el departamento de TI se ve afectado en la L:,rma de políticas de conservación
de documentos y acceso a registros electrónicos como correo electrónico y datos de
contabilidad.
SOX requiere que las políticas de conservación de documentos se sigan estrictamente, por lo
que la organización tiene que implementar controles para que los documentos estén
completos, co1Tectos y accesibles rápidamente, SOX explícitamente también trata con
conservación de documentos de firmas de contabilidad de un tercero, las firmas que auditan
compañías públicas deben conservar todos los documentos auditados por un mínimo de siete
años.
Algunas otras regulaciones de referencia en México serían:
• Ley Federal de Telecomunicaciones
• Ley de Firma Electrónica Avanzada
103
• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental
• Ley Federal de Protección al Consumidor
• Código de Comercio
• Código Civil Federal
• Código Fiscal de la Federación
• Ley Federal del Derecho de Autor
• Ley de la Propiedad Industrial
El entendimiento de cuáles son las regulaciones que afectan a tu negocio es necesario para definir
que procedimientos y políticas son necesarios para cumplir con las mismas.
La Gestión del Cumplimiento es el proceso para asegurar que una organización opera de acuerdo
con las expectativas, las Organizaciones definen políticas para asegurar que los sistemas de TI
están siendo operados de acuerdo a todas las leyes aplicables, regulaciones y estándares éticos.
Los estándares ITIL y COBIT entre otros, plantean objetivos de control para la entrega y soporte
de los servicios de TI de la organización, estos controles una vez implementados nos auxilian en
el cumplimiento de las regulaciones (SOX, MAAGTIC, etc.). Cada organización de TI es libre de
seleccionar cualquier estándar, aunque el estándar más aceptado en obtener el cumplimiento de
Sarbanes-Oxley es COBIT.
COBIT consta de seis componentes principales:
1. Resumen Ejecutivo: Explica los principios y conceptos clave.
2. Framework: Fundamento para el enfoque y elementos de COBIT. Organiza el modelo de
proceso en cuatro dominios
a. Planear y Organizar
b. Adquirir e Implementar
c. Entrega y Soporte
d. Monitorear y Evaluar
3. Objetivo de Control: Fundamento para el enfoque y ,~lementos de COBIT. Organiza el
modelo de proceso en cuatro dominios (mencionados en el segundo elemento)
4. Prácticas de Control: Identifica mejores prácticas y describe requerimientos para controles
específicos.
104
5. Directrices de Gestión: Enlaza los objetivos del Negocio y TI, provee herramientas para
mejorar el rendimiento de TI.
6. Directrices de Auditoria: Provee guías de como evaluar controles, valorar el
cumplimiento y documentar el riesgo con estas características
a. Definir "controles internos" sobre reportes financieros
b. Probar y valorar internamente estos controles
c. Apoyo a las auditorías externas de los controles
d. Documenta esfuerzos de cumplimiento
e. Reportar algunas deficiencias significativas o debilidades
B.2 EJEMPLO DE GUÍAS PARA CUNIPLIMIENTO DE SOX
EMPLEANDO LOS ESTÁNDARES DE ITIL Y COBIT.
El enfoque de Sarbanes-Oxley Sección 404 es en el control ele los Informes Financieros, por lo
tanto a fin de desarrollar una estrategia global TI, se tendrá que observar en las diferentes
funciones de TI para determinar dos cosas.
1) ¿Cuales actividades de TI son relevantes para tu proceso de Reportes Financieros?
2) De estas funciones, ¿Cuáles son significativas en el proceso de Reportes Financieros?
Estas actividades son críticas ya que nos permiten definir las actividades de trabajo y el alcance
de la Auditoría SOX. A fin de contestar estas dos preguntas las principales tareas a realizar son:
a) Desarrollar el proceso de Planes de TI
b) Desarrollar Planes de TI
c) Determinar las actividades de TI en los sistemas de Reportes Financieros
d) Detern1inar la importancia de las actividades de TI en los sistemas de Reportes
Financieros.
En la siguiente Tabla TB 1 "Marco COBIT Entrega y Soporte" se ilustra como se podría obtener
el cumplimiento de SOX considerando el estándar de COBIT y su correlación con ITlL. Dado
que cada organización de TI es diferente, estas guías deben ser tomadas como ejemplos que
auxilien a detenninar los requerimientos específicos de tu organización.
105
Tabla TB-1 Marco COBIT: Entrega y Soporte
DS2 GESTIONAR SERVICIOS DE TERCEROS --
COBIT Correlación ITIL Gobierno
2. 7 Relaciones de Seguridad No hay correlación COBll declara qut los procesos y procedimientos deben estar en su lugar y -evisados para asegurar que prácticas apropiadas de seguridad hayan sido colocadas para gobernar los servicios de ter,;eros
DS4 ASEGURAR LA CONTINUIDAD DEL SERVICIO
COBIT Correlación ITIL Gobierno
4.12 Almacenamiento de Entrega de Servicios COBIT declara que el almacenamiento remoto respaldo remoto 7. Gestión de la para respaldo de documentación crítica debe ser
Continuidad del Servicio establecido para soportar recuperación y planes de continuidad del negocio
DS2 ASEGURAR LA SEGURIDAD DE LOS SISTEMAS
COBIT Correlación ITIL Gobierno
5.2 Identificación, Gestión de Seguridad OBIT declara que procedimientos deben ser Autenticación y Acceso 4. Medidas de Gestión de implementadm y actualizados para asegurar que
Seguridad el acceso lógico y el uso de recursos de cómputo de TI ha sido concedido de acuerdo a una aprobación (LDAP, Directorio Activo)
5.3 Seguridad de acceso en Gestión de Seguridad COBIT declara que políticas y procedimientos línea a los Datos 4. Medidas de Gestión de deben ser desarrollados que controlen la
Seguridad seguridad del :icceso basado en la identidad del usuario, necesaria para ver, añadir, cambiar o eliminar datos
5.4 Gestión de cuentas de Gestión de Seguridad COBIT declara que procedimientos deben ser usuario 4. Medidas de Gestión de implementados para asegurar respuesta oportuna
Seguridad la petición, establecimiento, .. ,
para em1s1on, suspensión y cierre de cuentas de usuario.
5.5 Gestión de revisión de Gestión de Seguridad COBIT declara que un control debe ser cuentas de usuario 4. Medidas de Gestión de establecido gobernar las
.. para rev1s1ones
Seguridad periódicas de derechos de acceso y Un mecanismo de reconciliación.
5.8 Clasificación de Datos Gestión de Seguridad COBIT declara que Todos los datos y accesos 4. Medidas de Gestión de deben ser clasificados en términos de Seguridad sensibilidad vía Un proceso formal con el dueño
de los datos.
106
Tabla TB-1 Marco COBIT: Entrega y Soporte
1
-DS2 ASEGURAR LA SEGURIDAD DE LOS SISTEMAS
1
COBIT Correlación ITIL Gobierno
5.9 Identificación Central y Gestión de Seguridad COBIT declara que la identificación y derechos Gestión de Derechos de 4. Medidas de Gestión de de acceso de usuarios, así como !a identidad del Acceso Seguridad sistema y propiedad de los datos son establecidos
y gestionados desde Un punto centralizado para asegurar eficiencia y consistencia de control de acceso global
5.1 O Violación y Reportes de Gestión de Seguridad COBIT declara que actividad de seguridad y Actividad de Seguridad 4. Medidas de Gestión de cualquier violación es registrada, revisada, y
Seguridad cuando es apropiado escalar para identificar y resolver incidentes que involucran accesos no autorizados.
5.19 Prevención, Detección y Gestión de Seguridad COBIT declan que procesos y procedimientos I Corrección de Software 4. Medidas de Gestión de deben ser establecidos para la prevención,
Malicioso Seguridad detección, corrección y respuesta a malware en computadoras.
5.20 Arquitecturas de Gestión de Seguridad COBIT declara que Firewalls deben estar Firewall y Conexiones con 4. Medidas de Gestión de colocados para proteger en contra de negación de redes públicas Seguridad servicios y acc,~so no autorizados a la red interna. DS7 EDUCAR Y ENTRENAR USUARIOS
COBIT Correlación ITIL Gobierno
7.3 Principios de Seguridad y Gestión de Seguridad El personal d~be ser entrenado y educado en Formación para la 4. Medidas de Gestión de principios de s,~guridad de los sistemas Sensibilización Seguridad DS9 ADMINISTRAR LA CONFIGURACIÓN
COBIT Correlación ITIL Gobierno
9.4 Control de la Soporte al Servicio COBLT declara que deben existir procedimientos Configuración 7. Administración de la para asegurar que la configuración implementada
Configuración permanezca sm cambios y que los cambios aprobados tengan que ir a través del proceso de cambios
9.5 Software No Autorizado Soporte al Servicio COBIT básicamente declara que políticas 9. Gestión de liberaciones prohibiendo el uso de software personal y no
licenciado deben ser desarrolladas e implementadas
DS9 ADMINISTRAR LA CONFIGURACIÓN
COBIT Correlación ITIL Gobierno
9.7 Procedimientos de Soporte al Servicio COBIT declara que los procedimientos deben Administración de la 7. Administración de la estar en su lugar para asegurar que componentes Configuración Configuración críticos hayan sido identificados y son
mantenidos
107
Tabla TB-1 Marco COBIT: Entrega y Soporte
DSIO GESTIÓN DE PROBLEMAS E INCIDENTES
COBJT Correlación ITIL Gobierno
10.1 Sistema de Gestión de Soporte al Servicio COBIT declara que Un Sistema de Gestión de Problemas 4. Centro de Servicios Problemas debe ser implementado para capturar
5. Gestión de Incidentes todos los eventos operacionales los cuales no son 6. Gestión de Problemas parte de la operación estándar (incidentes,
problemas y errores) estén registrados, analizados y resueltos de manera oportuna
10.2 Escalación de Soporte al Servicio COBIT declara que Los procedimientos de Problemas 4. Centro de Servicios escalación de problemas deben estar definidos e
5. Gestión de Incidentes implementados para asegurar que los problemas son resueltos eficientemente y de manera oportuna
DSIO GESTIÓN DE DATOS
COBIT Correlación ITIL Gobierno
1 1.23 Respaldo y ICT Infraestructure COBIT declara que procesos y procedimientos Recuperación Management deben ser desarrollados e implementados para
Anexo 4D asegurar que la estrategia para respaldo y Almacenamiento y restauración satisface los requerimientos del Respaldo negocio y los ¡cropietarios de los procesos.
11.24 Trabajos de Respaldo ICT Infraestructure COBIT declara que Los procesos implementados Management para asegurar que los respaldos son realizados en Anexo 4D acuerdo con la estrategia de respaldos definida y Almacenamiento y restauraciones periódicas son realizadas y Respaldo verificadas
DS12 ADMINISTRACIÓN DE INSTALACIONES
COBIT Correlación ITIL Gobierno
12. l Seguridad Física No hay correlación COBIT dirige la seguridad fisica y control de acceso con asegurar el hardware, sistema y aplicaciones de TI relacionadas.
12.3 Acompañante del No hay correlación Procedimientos deben estar establecidos para Visitante asegurar que todo el personal que no es de TI y/o
empleados no aprobados tengan acceso a las instalaciones de cómputo en compañía de un acompañante
12.5 Protección en contra de No hay correlación Procesos y procedimientos deben ser Factores Ambientales implementados y mantenidos para asegurar que
equipos crítico de cómputo esté protegido de factores ambiwtales
12.6 Alimentación de Entrega de Servicio Medidas deben ser tomadas para proteger equipo Energía ininterrumpida 8. Gestión de de cómputo crítico en contra de fallas y
Disponibilidad fluctuaciones de energía
108
ANEXO c. MODELO ECONÓMCICO PARA UNA
APLICACIÓN.
Para determinar los costos que involucran una aplicación debemos considerar todos los recursos
de TI que están involucrados en la misma. La Tabla TC-1 da una referencia de los recursos de TI
involucrados.
Tabla TC-1 Costo Total de Propiedad de una Aplicación
ID Recursos de TI Descripción Costo A Costo de Procesamiento El costo total anual de propiedad I del servicio de CTA
procesamiento, el cual consiste del sopmte del hardware. Se toma la parte proporcional al procesamiento (hardware) utilizado por la aplicación.
B Costo de Almacenamiento El costo total anual de propiedad del servicio de CTB almacenamiento. Se toma la parte proporcional que corresponde a la aplicación.
c Costo de Comunicaciones El costo total anual de propiedad del servicio de CTC comunicaciones. Se toma la parte proporcional que corresponde a la aplicación.
D Costo de utilización del El costo total anual de propiedad de los servicios auxiliaresH. CTD Centro de Datos Se toma la parte proporcional que corresJonde a la
aplicación. E Costo de Respaldos y Costos actuales que se tengan de acuerdo a la estrategia de CTE
Recuperación de respaldos (frecuencia y vigencia), adicic,nales a los costos Desastres de recuperación
F Costos de Software El costo total anual de propiedad del software del sistema CTF operativo base y el requerido por la aplicación.
G Costos del Centro de El costo por la atención del personal del Centro de Servicios CTG Servicios (personal y y el software de gestión que utilizan. software de gestión)
H Costos de la Operación El costo por el personal que atiende a la operación del CTH (personal y software de servicio y el software de gestión que utiLzan. gestión)
Con los costos identificados de la aplicación podemos calcular mediante una simple fórmula el
Costo Total de Propiedad de una Aplicación (TCAO Total Cost Of Application Ownership)
TCAO= CTA+CTB+CTC+CTD+CTE+CTF+CTG+CTH
'Consiste del soporte del servicio. adicional al costo ue amo11ización por la compra del mismo 'Los servicios de tecnologías de información (procesamiento, almacenamiento y comunicaciones) y servicios auxiliares (energía y aire acondicionado) son ucscritns en el Anexo I
109
Con este dato podemos comparar el costo que tiene la aplicación en la organización con el costo
que tendría si se le trasladara a la nube y así revisar su conveniencia. Sin embargo adicionalmente
se deben considerar los siguientes costos:
Previamente se tendría que hacerse un trabajo de configuración y pruebas
La aplicación no podría estar diseñada para la naturaleza altamente distribuida de la nube
y podría necesitar rediseñarse.
Adicionalmente debemos considerar que:
TCAO no tiene la última palabra en decidir si una aplicación tiene que moverse a la nube,
existen aplicaciones y cargas de trabajo9 que son adecuadas para la nube. sin embargo
existen otras aplicaciones y cargas de trabajo que deben permanecer fuera de ella.
Se requiere una política que diga que debe permanecer en el centro de datos tradicional y
porqué (por ejemplo, privacidad y complejidad una carga de trabajo)
Una política que especifique cuando una aplicación pui~de moverse de forma segura a la
nube
9 Carga de trabajo (workload). Es un servicio independiente o colección de código que puede ser ejecutado. Una carga de trabajo no úcrende de
elementos externos. puede ser una rcqucfü1 o completa aplicación.
11 O
ANEXO D. SERVICIOS PÚBLICOS I»E NUBE
Como se mencionó en el capítulo 1, existen tres modelos para aprovisionar servicios en la nube:
Infraestructura como Servicio (laaS), Software como Servicio (SaaS) y Plataforma como Servicio
(PaaS), en estos modelos las capacidades s de cómputo se alquilan y el consumidor no compra
activos de hardware o software. La Tabla TD-1 Servicios :Públicos de Nube muestra como
referencias algunos de los servicios públicos de nube que existen en el mercado.
Tabla TD-1 Servicios públicos de nube
Modelo Proveedor Descripción
SaaS SalesForce Proporciona soluciones en nube para gcs:ionar las ventas, el servicio (y todo su negocio). Algunos de sus principales servicios son Sales Cloud, Service Cloud y SalesForce Chatter. httn://salesforce.com
SaaS Microsoft Microsoft Online Services proporciona versiones en línea de los productos de comunicación y colaboración. Uno de sus productos más conocidos es Office 365. httD://www.microsoft.com/on 1 ine/es-mx/ defau lt.asox
SaaS Zoho Zoho ofrece soluciones para Colaboración, Aplicaciones de Negocio y Aplicaciones de Productividad. htto://www.zoho.com/
SaaS Netsuite Netsuite ofrece soluciones de ERP (Contabilidad y Finanzas), CRM (Marketing, Monitoreo y Seguimiento de clientes) http://www.netsuite.com
laaS RackSpace Ofrece soluciones en nube para cómputo, almacenamiento y datos, plataforma y redes. htto://www.racksoace.com
laaS Amazon Ofrece soluciones en nube para procesamiento de datos, almacenamiento, bases de datos y redes. Algunos de sus productos son Amazon EC2, Amazon S3, Amazon ROS y Amazon VPC. httn://aws.amazon.cc,m/es/
laaS OpSource Ofrece soluciones para cómputo, almacenamiento y redes. Algunos de sus productos son Cloud Servers, Cloud Files y Cloud Networks. httn://www.onsource.net/Services!Pu b lic-C loud
laaS Hosting Hosting ofrece soluciones de nube para la creación de nubes empresariales y orivadas. htto://www.hostim.1.com/c loud-hosting
PaaS Google Google App Engine te permite correr aplicaciones web en la Infraestructura de Google. httos://develooers.google.com/aoocngine/?hl=es-MX
PaaS Microsoft Windows Azure permite compilar, implementar y administrar aplicaciones en una red de centros de datos administrados por Microsoft. htto://www.windowsazure.com/es-es/
PaaS OpenShift OpenShift es una plataforma como servicio escalable para aplicaciones, OpenShift gestiona el stack para que el De san-o 1 lador se enfoque en el código. httos :// ooen sh i ft. redhat. com/ a nn/
PaaS Oracle Oracle ofrece una plataforma compartida :,1 escalable para la consolidación e las aplicaciones existentes y el desarrollo e im¡-:lementación de nuevas aplicaciones. htto :! /www .orac le .com/us/so l utions/c loud/index. html
ANEXO E. FORMATO DE ACUERD() DE NIVEL DE
SERVICIO.
La página inicial del acuerdo de servicio deberá contener los siguientes elementos:
• Datos del Proveedor e identificador del Acuerdo. ( encabezado del acuerdo)
Identificador de acuerdo SLA-CL!-PRO-
Logo del Proveedor Nombre del Proveedor
Fecha de Inicio Vigencia Propietario del Documento
El motivo del acuerdo de servicio
Acuerdo de Servicio (SLA) para "Cliente"
por parte de "Proveedor
• Versiones del Documento
Versión Fecha Descripción 1.0 l/01/2011 Acuerdo de Nivel de Servicio 2.0 1/04/2011 Revisión del Acuerdo de Nivel de Servicio
• Aprobadores del Documento
Aprobadores Rol Firma Proveedor Proveedor del Servicio
Cliente Cliente
01 1/01/2011
31/12/2011 Proveedor
I Auto,
Fecha de Aprobación
Las siguientes páginas solo deberán incluir el encabezado y el ,:ontenido que se desarrolle.
111
1
.....---------SLA-CLI-PR0::-1 Identificador de acuerdo
01 Logo del Proveedor
Nombre del Proveedor Fecha de Inicio 1/01/2011 ~·
Vigencia 31/12/2011 Propietario del Proveedor Documento
CONTENIDO
1. Introducción
Esta sección comprende detalles respecto al acuerdo del servicio, su origen, propósitos. revisiones, etc.
1.1. Antecedentes del Acuerdo
112
Proporciona información respecto a los antecedentes que dieron origen al Acuerdo de Servicio
1.2. Propósito y Objetivo del Acuerdo Se define con claridad el propósito y objetivo del acuerdo servicio
1.3. Involucrados Se mencionan las áreas que forman parte que se encuer.tran involucradas directamente en el acuerdo del servicio, indicando cuál es su rol en el mismo.
1.4. Revisiones periódicas al acuerdo Se define la vigencia del acuerdo, fecha de revisión, propietario del documento, etc.
2. Acuerdo de Servicio
Los parámetros del servicio definidos por el Proveedor.
2.1. Servicios otorgados Descripción de los servicios que están cubiertos por el acuerdo.
2.2. Requerimientos del Cliente Responsabilidades del cliente para la recepción de los servicios de este acuerdo.
2.3. Requerimientos del Proveedor de Servicio Responsabilidades del Proveedor referente a la entrega ele los servicios de este acuerdo.
2.4. Supuestos del Servicio Indicar consideraciones relacionadas con los servicios
113
Nombre de
l ldeotófieadoN!.;;cuc,do SLA-CLI-PRO-01
I Proveedor Fecha de Inicio 1/01/2011 Vigencia 31/12/2011
Logo del Proveedor
Propietario del Proveedor Documento
3. Gestión del SLA
Proveer detalles acerca de la disponibilidad del servicio, monitoreo delos servicios, etc.
3.1. Disponibilidad de los Servicios Indicar el horario de disponibilidad de los servicios, cobertura de los mismos, calendario de mantenimientos. En esta sección se indica el tiempo de respuesta para la atención una vez recibido el requerimiento o incidente. Prioridades de los Servicios, etc.
3 .2. Centro de Atención al cliente Indicar que es el punto de contacto para la atención, ya sea telefónica, por correo electrónico y en sitio. Mencionar los días y el horario en que se reciben solicitudes de requerimientos e incidentes.
3.3. Monitoreo del Nivel de Servicio Indicar como se va a monitorear la entrega de lo servicios al cliente.
3.4. Informes al cliente Mencionar que reportes se entregan al cumplimiento referente a las condiciones en que se entregan los servicios.
4. Costo de los Servicios Indicar cuál es el costo por los servicios que otorga el Prnveedor.
5. Anexos al SLA Referenciar los anexos que sean necesarios al presente acuerdo de Servicios
114
ANEXO F. CONSIDERACIONES DE SEGURIDAD EN
LA NUBE
De acuerdo a la Guía de Seguridad para áreas críticas enfocadas en el cómputo en la nube V 3.0
[6] publicada por la CSA (Cloud Security Alliance), algunos de los elementos a tomarse en
cuenta para la construcción del modelo de seguridad en la nube pueden observar en la Figura F-1
Medidas de seguridad en un modelo de servicios de cómputo en la nube.
'
Figura F- l Medidas de seguridad en un modelo de servicios de cómputo en la nube.
Sistemas de Detección de Intrusos/Sistemas de Prevención de Intrusos
Data Masking (Enmascaramiento de datos)
CCTV (Closed Circuit TV). Circuito Cerrado de Televisión
116
ANEXO G. PLAN DE TRABAJO IMPJLEMENTACIÓN DE
NUBE
En esta sección se muestra como se puede crear una estructura básica de trabajo (WBS - Work
Breakdown Structure) para el proyecto de implementación de nube privada. La WBS debe ser
sencilla pero tener suficiente detalle para la programación de las tareas y su costo. Para
descomponer una WBS empieza con sus fases. continua con los entregables y después las
actividades. Añade hitos y a comenzar.
Paso 1.
Inicia definiendo las fases del proyecto, se proponen las siguientes fases genéricas. Estas fases
son solo de referencia y pueden adaptarse de acuerdo al Proyecto.
l. Planeación
2. Ejecución
3. Seguimiento y Control
4. Cierre
5. Evaluación ExPost
Paso 2.
Añade los entregables, lista los entregables específicos que cada fase entregará. Es importante
mantener esto a entregables tangibles como documentación y 5ervicios. La guía del PMBOOK
define un entregable como "cualquier producto único y verificable, resultado o capacidad para
realizar un servicio que debe producirse para completar un proceso, fase o proyecto. Añadiendo
los entregables a nuestra fase de Planeación, tenemos como ejemplo.
• Planeación
Definir Alcance del Proyecto
Realizar Plan de Desarrollo del Proyecto
Integrar equipo de proyecto
Realizar Plan de Comunicación
Realizar Plan de Calidad
117
Realizar Plan de Riesgos
Paso 3.
Una vez que entregables se encuentran definidos, finalmente afiadimos las actividades requeridas
para producir esos entregables.
• Planeación
Definir Alcance del Proyecto
./ Crear documento de alcance del Proyecto
Paso 4.
Revisa el plan de trabajo con los directivos de la organización y los miembros del equipo que
participan en el proyecto.
118
ANEXO H. CÁLCULO DEL PORCENTAJE DE
REPRESENTATIVIDAD EN LA EV A1LUACIÓN.
Catapult Systems [7] publicó un artículo en donde mostró la descripción del análisis de pares, el
cual es uno de los elementos, de la funcionalidad del análisis de portafolio de Project Server.
Utilizando esa descripción se analizaran los componentes que conforman un servicio de
tecnologías de información.
Porcentaje de representatividad en la evaluación proveedor
a) Análisis de pares
Cumplimiento de
Grado de Madurez Centro de Datos Aplicaciones/ Sistemas Regulaciones Niveles de Servicio Seguridad -
Centro de Datos Es tan importante Es mas importante Es mas importante Es mas importante Es mas importante
Aplicaciones/ Sistemas Es menos importante Es tan importante Es menos importante Es menos importante Es menos importante
Cumplimiento de
Regulaciones Es mer,os importante Es mas importante Es tan importante Es mas importante Es tan importante
Niveles de Servicio Es menos importante Es mas importante Es menos importante Es tan importante Es menos impori.ante
Seguridad Es menos importante Es mas importante Es tan irr.portante Es mas importante Es tan importante
Para etiquetar las relaciones de los elementos utilizamos las siguientes descripciones
Descripción Valor Es extremadamente más importante que 9 Es mucho más importante que 6 Es mas importante que 3 Es tan importante como 1 Es menos importante que 1 /3 Es mucho menos importante que 1/6 Es extremadamente menos importante que 1/9
b) Asignación de valores. Una vez que establecimos la relación inicial sustituimos en la tabla la
descripción por su valor y agregamos un fila en donde se suman los valores de todas las filas.
Grado de Madurez
Centro de Datos
A p I ic.,ciones/Si stema s Cump11m,ento ae
Regulac,ones
Niveles de Servicio
Seguridad
Suma
Centro de Datos
. . . . tumplim,ento de Aplicaciones/Sistemas Regulaciones
c) Normalización de resultados. Para normalizar los resultados dividimos cada valor de la columna entre la suma de la columna.
Cumplimiento de
Grado de Madurez Centro de Datos Acli caciones/Sistemas Regulaciones Niv,~les de Servicio Seguridad
Centro de Datos 0.43 0.23 0.53 0.29 0.53
Apl icaci enes/Sistemas 0.14 0.08 0.06 0.03 0.06 Cumplimiento de
Regulaciones 0.14 0.23 0.18 0.29 0.18
Niveles de Servicio 0.14 0.23 0.06 0.10 0.06
Seguridad 0.14 0.23 0.18 0.29 0.18
Suma 1.00 1.00 1.00 1.00 1.00
d) Porcentaje de representatividad. Finalmente obtenemos el porcentaje de representatividad de
cada uno de los componentes realizando la sumatoria de los valores de cada fila y dividiéndolo entre el número de temas (en este caso 5). Para el caso del cliente que desea proporcionar servicios de nube privada se obtuvo el siguiente porcentaje de representatividad.
Grado de Madurez % Recresentatividad
Centro de Datos 40.18
Aplicaciones/Sistemas 7.38 Cumplimiento de
Regulaciones 20.34
Niveles de Servicio 11.76
Seguridad 20.34
Porcentaje en la evaluación punto de vista del cliente ( consumidor)
De fonna similar calculamos el porcentaje ahora con la visión del cliente
a. Análisis de Pares
..
120
Cumplimiento de
Grado de Madurez Centro de Datos Aplicaciones/ Sistemas Regulaciones Niveles de Servicio Se1<uridad Es mucho menos Es mucho menos
Centro de Datos Es tan importante Es menos importante importante És menos importante importante
IAPiicaciones / Sistemas Es mas importante Es tan importante Es menos importante Es tan importante Es menos importante
¡cumplimiento de
~egulaciones Es mucho mas importante Es mas importante Es tan Importante Es mas importante Es tan importante
Niveles de Servicio Es mas importante Es tan importante Es menos importante Es tan importante Es menos importante
Seguridad Es mucho mas importante Es mas importante Es tan importante Es mas importante Es tan importante
b. Asignación de valores
Cumplimiento de
Grado de Madurez Cenuo de Datos Aplicaciones/Sistemas Regulaciones Niveles de Servicio Seguridad