Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cloud-Governance WHP Spa 0413
Cloud-Governance WHP Spa 0413
GOBIERNO EN LA
NUBE:
preguntas que los conse-
jos directivos deben formular
ISACA®
Con más de 100 000 miembros en ISACA actualiza y expande 3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
180 países, ISACA (www.isaca.org) es un permanentemente la orientación práctica y
proveedor líder global de conocimiento, la familia de productos basadas en el marco Teléfono: +1.847.253.1545
certificaciones, comunidad profesional, CoBIT . COBIT ayuda a los profesionales
®
Fax: +1.847.253.1443
promoción y educación en materia de de TI y a los líderes empresariales a cumplir
aseguramiento y seguridad de los sistemas con sus responsabilidades de gestión y Correo electrónico: info@isaca.org
de información (information systems, IS), gobierno de TI, particularmente en las áreas Sitio web: www.isaca.org
gobierno de la empresa y gestión de TI, de aseguramiento, seguridad, riesgo y
riesgos relacionados con la TI y cumplimiento control, y a aportar valor al negocio.
de las normas. Fundada en 1969, ISACA,
Envíe sus comentarios:
una organización independiente sin ánimo de Exención de responsabilidad www.isaca.org/cloud-governance
lucro, auspicia conferencias internacionales, ISACA ha diseñado y creado el informe
publica el ISACA® Journal, y desarrolla Participe en el Centro de
Gobierno en la nube: preguntas que Conocimiento de ISACA:
normas internacionales de control y auditoría los consejos directivos deben formular www.isaca.org/knowledge-center
para los IS, lo que ayuda a sus miembros (el “Trabajo”), ante todo como un recurso
a asegurar el valor y la confianza en los educativo para profesionales en el área Siga a ISACA en Twitter:
sistemas de información. También desarrolla de gobierno y aseguramiento. ISACA
https://twitter.com/ISACANews
y certifica habilidades y conocimientos en no garantiza que el uso de cualquier Únase a ISACA en LinkedIn:
TI a través de las siguientes designaciones componente del “Trabajo” asegure un ISACA (Oficial)
mundialmente reconocidas: Certified resultado exitoso. el “Trabajo” no debe
http://linkd.in/ISACAOfficial
Reserva de derechos
© 2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar
en un sistema de recuperación ni transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopiado, grabación u otros) sin la autorización
previa por escrito de ISACA. La reproducción y utilización de toda o parte de esta publicación están permitidas únicamente para el uso académico, interno y
no comercial, y para los compromisos de consultoría y asesoramiento, y deberán incluir la referencia completa de la fuente del material. No se otorga otra clase
de derechos ni permisos en relación con este trabajo.
Gobierno en la nube: preguntas que los consejos directivos deben formular
1
Staten, James; “What are Enterprises Really Doing in the Cloud?”, del blog de Forrester, 25 de octubre
de 2011, http://blogs.forrester.com/james_staten/11-10-25-what_are_enterprises_really_doing_in_the_cloud
Las siguientes preguntas contribuyen a identificar el valor estratégico que los servicios en la nube pueden aportarle a la empresa
y el impacto que ésta podría tener sobre los recursos y los controles de la empresa:
1. ¿Los equipos de gestión tienen un plan para la computación en la nube? ¿Han sopesado el valor y los costos de oportunidad?
El riesgo de la adopción de la nube puede ser irrelevante si se lo compara con la pérdida de la oportunidad de transformar
la empresa, mediante el uso eficaz y estratégico de la computación en la nube. La pérdida puede ser especialmente significativa
cuando las empresas de la competencia adoptan medidas para aprovechar esas mismas oportunidades. Desde una perspectiva
estratégica, la computación en la nube puede ser un vehículo para:
• Obtener una ventaja competitiva
• Alcanzar nuevos mercados
• Mejorar los productos y servicios existentes
• Retener los clientes existentes
• Aumentar la productividad
• Contener los costos
• Desarrollar productos o servicios que no serían posibles sin los servicios de la nube
• Eliminar las barreras geográficas
2. ¿De qué manera los planes actuales en la nube respaldan la misión de la empresa?
Los servicios en la nube deben apoyar los esfuerzos para alcanzar los objetivos de negocio que se derivan de las necesidades de
las partes interesadas (tal como fueron aprobados por el equipo de liderazgo). Las iniciativas en la nube deben tener un vínculo
claro y susceptible de seguimiento con la estrategia de la empresa, de manera que el valor esperado de los servicios en la nube
esté claramente definido, medido y aceptado. Este vínculo también ayuda a determinar la prioridad asignada a las iniciativas en
la nube y respalda el desarrollo de métricas para medir los resultados y compararlos con las expectativas.
El alineamiento entre los objetivos referidos a la nube y los de la empresa es vital para ser eficaz a la hora de gestionar riesgos
y contener costos. Los potenciales beneficios de los servicios en la nube son atractivos, pero con la gratificación viene el riesgo.
La empresa debe decidir si el riesgo potencial se encuentra dentro de límites aceptables.
3. ¿Los equipos ejecutivos evaluaron sistemáticamente la preparación organizacional?
Los puntos de presión surgen:
• cuando la implementación de la computación en la nube es incompatible con la cultura de la empresa;
• cuando no se dispone de las habilidades requeridas para respaldar las soluciones en la nube;
• cuando los procesos relacionados con la nube entran en conflicto con otros procesos establecidos;
• cuando la estructura organizacional no maximiza la eficacia y eficiencia en la nube.
La evaluación de la preparación de la empresa antes de la adopción de servicios en la nube evita la cultura reactiva y los cambios
de procesos y habilidades también reactivos, que serán necesarios para eliminar los puntos de presión no previstos. Una
evaluación sistemática del estado de preparación puede ayudar a la gestión a identificar costos y riesgos adicionales que deben
incluirse en el proceso de decisión. Esta evaluación de la preparación debe incluir los siguientes elementos:
• Políticas y procedimientos: es probable que se necesiten nuevas políticas y procedimientos que guíen la adopción,
la gestión y el uso correcto de la computación en la nube.
• Procesos: los procesos existentes que utilizan servicios de TI tradicionales, posiblemente deban ser rediseñados para
incorporar nuevas actividades relacionadas con el uso de servicios en la nube.
• Estructuras organizacionales: la gestión en la nube puede demandar nuevas capacidades organizacionales o modificaciones
de las ya existentes, en particular en el área de operaciones y respaldo de TI.
• Cultura y comportamiento: la cultura y el comportamiento organizacional pueden ser críticos para la adopción exitosa
de soluciones en la nube.
• Habilidades y competencias: las áreas de compras, legales, cumplimiento y auditoría son algunos ejemplos de funciones que
tal vez deban desarrollar las habilidades necesarias para gestionar servicios en la nube, desde evaluación y
abastecimiento a operaciones y retiros.
4. ¿Los equipos de gestión han considerado en su planificación de la nube, qué inversiones ya existentes podrían perderse?
La computación en la nube tal vez no se ajuste de inmediato y sin fisuras al portafolio de la tecnología existente en la empresa.
La adopción de un servicio en la nube puede, por ejemplo, obviar inversiones en tecnología ya realizadas que aún no han alcanzado
su fecha final programada. La decisión sobre cuándo y cómo llevar a cabo esa pérdida debe considerarse con suma precaución.
Las áreas que se deben considerar son:
• Procesos: la organización de TI tal vez necesite adaptar procesos, como abastecimiento y gestión de cambios.
• Cultura y comportamiento: los servicios en la nube demandarán mayor rapidez de respuesta por parte de la organización
de TI, que probablemente necesite realizar cambios en los procesos internos y en las herramientas.
• Servicios, infraestructuras y aplicaciones: la empresa posiblemente necesite actualizar los centros de datos, las aplicaciones
de software y las infraestructuras de red, lo cual puede dar lugar a cierto nivel de pérdida de inversiones realizadas.
• Habilidades y competencias: la organización de TI necesitará desarrollar o adquirir las habilidades necesarias para respaldar
a los usuarios de servicios en la nube, cuando el personal actual no las posee.
5. ¿Los equipos de gestión tienen estrategias para medir y dar seguimiento al valor del rendimiento de la inversión en la nube
en relación con el riesgo?
Antes de decidir adoptar la computación en la nube, el consejo debe darle a los equipos de gestión la tarea de asegurar que
se implementen los mecanismos correctos de informe para medir el valor y el riesgo alineados con los objetivos de la empresa.
Conclusión
A medida que maduran los servicios en la nube y sus proveedores, más empresas utilizarán
alguna forma de computación en la nube. Los consejos directivos deben proporcionar Comprender el entorno
pautas para ayudar a las empresas a obtener los beneficios, optimizar el riesgo y controlar actual y la relación entre la
el costo. Una buena manera para que los consejos inicien esta orientación es realizar
computación en la nube y
preguntas específicas sobre la nube. Las respuestas a estas preguntas pueden ayudar
a determinar si la empresa está lista para adoptar la computación en la nube y si el valor
los objetivos empresariales
creado tendrá un impacto positivo en las metas y los objetivos de la empresa. ayudará a evitar los puntos
de presión, y a optimizar
Para que un consejo pueda saber si los servicios en la nube responderán a las expectativas, el riesgo y los recursos.
primero deben saber si dichas expectativas están alineadas con la estrategia de la
empresa. El primer paso para el gobierno de la computación en la nube es que el
consejo establezca un entendimiento común sobre los beneficios esperados y los
mecanismos para su seguimiento y medición. COBIT 5 y sus productos relacionados
pueden ser utilizados para dirigir y gestionar complejas inversiones como los servicios
en la nube. El uso de COBIT 5 para implementar prácticas coherentes puede ayudar
a maximizar el valor y el riesgo de control.