Sep 01 2014

13 Criterios para decidir qué llevar al Cloud (Post 2 de 3)

Continuamos en este post ofreciendo una visión del método pretendidamente objetivo (la realidad siempre es mas compleja) que sugerimos para ayudar a tomar decisiones acerca de qué sistemas o aplicaciones puede una determinada compañía llevar a la nube.

iStock_000020265568Small

Un método objetivo para decidir qué mantenemos y qué podríamos enviar al exterior podría estar basado (como en muchos otros casos) en la clasificación de los sistemas y/o aplicaciones en base a pautas de adecuación siguiendo características que podrían ser cuantificadas de forma objetiva utilizando tablas y pesos que, totalizados, proporcionarían una visión sustancialmente clara de la situación.

Para el caso que nos ocupa, sería muy adecuado emplear criterios que podríamos agrupar en tres ejes claramente diferenciados e independientes y que responden a diferentes necesidades:

a) Valor para el negocio:

¿Significa una mejora en la operativa? ¿Permite incrementar la “top line”? ¿Facilita disminuir la “bottom line”? ¿Proporciona una rentabilidad real? ¿Es suficientemente rápido el Retorno de la Inversión?

b) Exposición a riesgos:

¿Podemos realmente perder el control de la situación? ¿Hay un riesgo cierto de exposición de información estratégica o sensible? En caso de problemas … ¿qué forma tenemos de asegurarnos de que las condiciones habituales se restablezcan?

c) Adecuación tecnológica:

¿Es compatible con los sistemas/arquitecturas que nuestros proveedores pueden poner a nuestra disposición? ¿Podemos estar seguros de que los niveles de respuesta serán rápidos y adecuados? ¿Será sencillo realizar el traspaso de datos y sistemas?¿Será fácilmente reversible o trasladable a otros proveedores?

Los 13 criterios

Entre los criterios (que podríamos, aplicación a aplicación, puntuar en cada caso de 0 a 10, por ejemplo, para luego filtrar a través de los atributos de “peso” (hemos incluido información ficticia) que faciliten la consolidación de los valores en cada uno de los ejes, se hallan los 13 a los que hace referencia el título de los dos posts que componen este artículo:

 

Eje # Criterio Peso Notas para la evaluación Puntos Ponder.
Valor 1 Rapidez de despliegue 10% 10 – Inmediato, 0 – Muy largo
2 Impacto en la Top Line/Ingresos 40% 10 – Alto, 0 – Muy escaso
3 Impacto sobre la Bottom Line/Gastos 20% 10 – Grandes ahorros, 0 – Escaso
4 Ahorros operacionales 20% 10 – Altos, 0 – Nulos
5 Coste de la Migración 10% 10 – Escaso, 0 – Muy alto
Riesgos 6 Pérdida de control 25% 10 – Muy probable, 0 – Prácticamente ninguna
7 Impacto caso de no cumplirse el SLA 40% 10 – Muy Alto, 0 – Ninguno
8 Seguridad de la información 30% 10 – Escasa, 0 – Muy alta o los datos no son sensibles
9 Repercusiones legales/en el negocio en caso de revelación 5% 10 – Muy importantes, 0 – Escasas o la información manejada no es relevante
Adecuación 10 Facilidad de integración/complejidad 10% 10 – Sencilla, 0 – Muy compleja
11 Tamaño 40% 10 – Escaso, 0 – Grande
12 Compatibilidad técnica 40% 10 – Total o muy alta, 0 – Escasa o muy escasa
13 Simplicidad del diseño aplicativo 10% 10 – Muy alta, 0 – Escasa

La cumplimentación de este cuadro nos permitirá hallar un valor comparativo de cada una de las aplicaciones en los diversos ejes que nos servirán (suponiendo que cataloguemos de alto el valor si el resultado ponderado es mayor de 7,5 y así sucesivamente) para objetivar valor, riesgos y adecuación de cada una de las aplicaciones candidatas a externalizar.

Permanent link to this article: http://www.ingelan.com/?p=4426

Aug 26 2014

13 Criterios para decidir qué llevar al Cloud (Post 1 de 3)

Si usted ha oído (como un 88% de los empresarios españoles) hablar de Cloud Computing y está pensando (como cerca de un 40%) avanzar por ese camino, es importante que piense antes de actuar acerca de qué es lo que le conviene (por coste y riesgo) migrar a la nube. En esta serie de tres artículos le vamos a proporcionar algunos elementos de reflexión y criterios para separar el grano de la paja y acertar en el difícil equilibrio (si es eso lo que desea) entre lo que mantengo en casa y lo que saco fuera.

Cloud-Computing-B

Drivers y propuesta de valor de la arquitectura Cloud.

Los evangelistas de la infraestructura en la nube han concretado sus bondades en unas pocas (pero atractivas) promesas

  1. Eficiencia, estandarización y acceso ubícuo a los datos consecuencia de su flexibilidad, de la capacidad de añadir o sustraer capacidad en función de las necesidades de cada momento y del empleo de redes de comunicaciones abiertas con amplias capacidades de transmisión.
  2. Automatización y adaptabilidad que se concretan en un mucho más rápido y eficiente despliegue y que son consecuencia de la estandarización de medios y de la repetitividad de los procedimientos.
  3. Ahorro, debido a una estructura de costes dependientes de la utilización de los sistemas de información que pueden ser contabilizados como gasto.

Facilitadores.

Diversas aportaciones (quizá no novedosas pero sí aplicadas a esta finalidad) han posibilitado avanzar en la línea propuesta. Entre ellas:

  1. Las tecnologías de virtualización aplicadas a los sistemas medios, que facilitan compartir medios y recursos, previenen una utilización ineficiente de los mismos y facilitan combatir un incremento cada vez más irracional e imprevisible de los costes energéticos.
  2. Las mejoras en amplitud, disponibilidad y cobertura de las redes de comunicaciones basadas tanto en tecnología de cable como inalámbricas.
  3. El uso cada vez más imprescindible de dispositivos móviles (smartphones, tablets) para acceder a sistemas e informaciones de la organización.

Inhibidores.

Pese a todo y al muy atractivo planteamiento que todo ello pueda suponer, no ha existido un movimiento unánime hacia la adopción de esta nueva arquitectura. Los motivos son diversos, pero podríamos elaborar una lista no excesivamente exhaustiva apuntando a:

  1. Problemas derivados del escaso margen de personalización admisible, cosa necesaria para mantener una identidad diferenciada en un mercado hipercompetitivo.
  2. Necesidades de integración, interrelación e intercambio de información (junto con las responsabilidades derivadas) con otros sistemas y aplicaciones que pudieran estar alojados en otras nubes o en los sistemas propios de la entidad.
  3. Falta de control sobre los medios por parte de la organización, incluyendo las implicaciones de seguridad y legales que pudiera tener sobre ello la deslocalización de los centros de proceso de datos.
  4. La existencia de garantías necesarias sobre la seguridad física y lógica de la información almacenada, con el impacto – parcialmente fuera del control de la empresa – que posibles carencias en este aspecto podría tener en el cumplimiento de la legislación, de la normativa, en la imagen corporativa y en la confianza de los clientes.
  5. El futuro profesional de los técnicos y la inseguridad laboral que este panorama puede ofrecerles en contraposición con el creciente poder que estará en condiciones de ejercer el proveedor de los servicios, que se incrementará proporcionalmente a la dificultad en migrar o hacer reversibles los sistemas o aplicaciones.
  6. Las dudas acerca de la posibilidad de mantener en el futuro el modelo, una vez el mercado haya alcanzado el techo de uso y se haya estabilizado. Posibles retrocesos en situaciones de crisis podrían forzar a los proveedores a discontinuar la proporcionalidad coste:uso, desvirtuando uno de sus principales atractivos. Muchos observadores también recelan ante el entusiasmo de conversos mostrado por fabricantes hardware y software que vivieron en el pasado de la venta de equipos o licencias y a los que esta arquitectura ha recortado ingresos. ¿Cómo es que apoyan y favorecen una estrategia que ha hecho disminuir sus ventas? ¿Hay alguna estrategia a largo plazo tras de esta – presumiblemente – época de “vacas flacas”?

Permanent link to this article: http://www.ingelan.com/?p=4410

Aug 17 2014

Mejores prácticas de Seguridad: 6 pasos para la Protección de los Datos

¿Estima Vd. que los datos legalmente protegidos o los estratégicos de su compañía están a salvo de intentos de acceso ilícitos o ilegales?

De una forma cada vez mas frecuente, las organizaciones han de enfrentarse a situaciones en las que se intenta realizar – con finalidades diversas – una apropiación indebida de sus datos sensibles, sean éstos a nivel de la propia corporación (financieros, económicos, comerciales,… ) como de las personas que forman parte de ella o se relacionan (empleados, clientes, proveedores, …)

Las bases de datos constituyen el corazón de las organizaciones, almacenando información de clientes, proveedores, empleados y otros tipos de datos confidenciales. Pero… ¿por qué resultan tan vulnerables?. Pues muy posiblemente porque las empresas no protegen suficientemente bien este tipo de activos.

Cuando hackers y empleados deshonestos acceden a datos sensibles, pueden rápidamente obtener beneficios económicos, causar daños o impactar en las operaciones de negocio. Además de las pérdidas financieras que ello puede significar y en el negativo impacto en la opinión pública, es posible que constituyan violaciones de la ley y/o sean merecedoras de sanciones administrativas o económicas. La buena noticia – sin embargo – es que la gran mayoría de incidentes (un 97% según la Online Trust Alliance) podría prevenirse de forma sencilla, siguiendo unas pocas best practices y estableciendo unos mínimos controles internos.

Lea nuestro boletín informativo “6 pasos para la protección de los datos” en el que le ofrecemos unas pocas best practices con las que abordar esa problemática.

Permanent link to this article: http://www.ingelan.com/?p=4386

Aug 08 2014

21CFR11

¿Qué implica atenerse al Code of Federal Regulations Title 21 (Food & Drugs) Part 11 (Electronic Records & Signatures)? Los conceptos son claros, pero sus implicaciones son importantes …

Con la implantación de sistemas de registro y control en las plantas de producción basadas en tecnologías de la información, se ha producido un incremento de las exigencias de detalle por parte de las autoridades reguladoras (al existir esa posibilidad, los datos y las situaciones pueden precisarse mucho más que mediante registros manuales y firmas sobre papel), pero también la necesidad de asegurar que la información recogida es fidedigna y responde con exactitud a los hechos y situaciones reales.

En realidad, la norma mencionada pretende asegurar:

  1. Que existan procedimientos formales y formalizados para desarrollar las actividades
  2. Que dichos procedimientos se apliquen
  3. Que existan medios de control que permitan comprobarlo

Con referencia a:

  • Los procesos de fabricación que garanticen la adecuación y la calidad del producto
  • Las responsabilidades que hayan de asumir las personas con respecto a ellos

Como consecuencia de todo ello, la norma recoge la necesidad y obligatoriedad de que:

  • Los sistemas estén validados de forma permanente: Es decir, se haya comprobado que – en cualquier momento – responden plenamente a las especificaciones y necesidades definidas. Esta comprobación ha de ser documentada y formalizada y debe repetirse tras efectuar cualquier cambio que pueda (potencialmente) alterar su funcionamiento.
  • Sea posible generar copias de la información recogida y almacenada tanto en formatos legibles como electrónicos a fin de ser auditada.
  • Existan medios para garantizar el almacenamiento y protección de los datos a lo largo de los períodos de retención marcados por la ley (que dependen del país y del tipo de producto).
  • Las informaciones recogidas han de ser estampilladas automáticamente con fecha/hora generada por los sistemas informáticos para identificar las acciones de los operadores y las secuencias de hechos. Ningún registro puede ser borrado o alterado (y esa es una cosa que los auditores exigen que se demuestre), ni uno de ellos puede “oscurecer” a los anteriores.
  • Deben existir controles que permitan comprobar que las operaciones se realizan de forma acorde a los procesos diseñados, asegurando la validez de la fuente de información. De la misma forma, hay que arbitrar medios y controles para asegurar que las instrucciones de operación han sido cursadas por las personas autorizadas.

Y en lo referente al empleo de los sistemas de información, debe garantizarse que:

  • Los accesos al sistema han de estar limitados a las personas autorizadas, que deben estar formadas, entrenadas y con la experiencia necesaria para desarrollar de forma adecuada las tareas que les hayan sido encomendadas.
  • Han de existir procedimientos escritos (a los que deben adherirse las personas con permisos de acceso) que determinen las responsabilidades de las actuaciones realizadas bajo su firma (física o electrónica)
  • Deben existir controles para asegurar que únicamente las personas autorizadas realizan las tareas críticas.

En cuanto a éste último punto (cuyo medio denomina la “firma electrónica”), la norma prevee una variedad de tecnologías: Desde la biométrica, pasando por el uso de tokens (como tarjetas magnéticas) hasta la clásica de UserId/contraseña, fijando algunas condiciones para cada una de ellas.

  • Han de ser únicas para cada persona y no pueden ser ni reasignadas ni reutilizadas. Las personas han de ser responsables de las actuaciones que se realicen bajo su identificación.
  • Si no es biométrica, ha de emplear al menos dos componentes identificativos, ser empleada únicamente por su legítimo propietario y variar periódicamente para dificultar la suplantación.
  • Deben establecerse controles para asegurar que dichos medios no sean alterados ni utilizados de forma indebida. Hay que disponer de medios que avisen en caso de que se usen credenciales sospechosas

Permanent link to this article: http://www.ingelan.com/?p=4323

Página 1 de 2912345...1020...Última »