La adopción de la nube: una guía práctica para equipos de TI y proveedores de servicios gestionados (MSP)

La adopción de la nube no es una decisión aislada. Se trata de una serie de decisiones que se toman a lo largo de meses o años, y cada una de ellas influye en la arquitectura, la seguridad, los costes y los requisitos de gestión del entorno resultante. Las organizaciones que gestionan bien la adopción de la nube lo entienden perfectamente. Las que tienen dificultades suelen abordarla como un proyecto de migración con una fecha de finalización, en lugar de como una transición operativa continua.

Según el informe «State of the MSP» de Kaseya de 2026, los servicios en la nube y de alojamiento constituyen la tercera fuente de ingresos más importante para los MSP, impulsados por clientes que están adoptando activamente la nube y que necesitan conocimientos especializados en TI para hacerlo de forma segura y rentable. Esta guía explica cómo planificar y llevar a cabo la adopción de la nube de manera que se obtengan los beneficios esperados sin generar una deuda operativa imprevista. La plataforma de Kaseya presta apoyo a los MSP que gestionan entornos híbridos y en la nube en más de 170 países, lo que nos permite observar de cerca dónde tienen éxito los planes de adopción y dónde fracasan.

Por qué fracasan los planes de adopción de la nube

La razón más habitual por la que la adopción de la nube no cumple las expectativas es que la migración tecnológica se considera el proyecto en su totalidad. Las cuestiones operativas, como la seguridad, las copias de seguridad, la gestión de costes y la supervisión, se posponen para «después de la migración».

El modelo operativo de un entorno en la nube es fundamentalmente diferente al de un entorno local. Las responsabilidades en materia de seguridad cambian: el modelo de responsabilidad compartida de la nube las distribuye entre el proveedor y el cliente. Los requisitos de copia de seguridad cambian: la retención de datos predeterminada de los proveedores de la nube no es la misma que la de las copias de seguridad gestionadas. La gestión de costes se convierte en una actividad operativa continua, ya que la facturación de la nube es dinámica y requiere una supervisión constante.

Si se tratan estos problemas como si fueran posteriores a la migración, se obtienen migraciones que, aunque técnicamente se han completado con éxito, suponen un retroceso desde el punto de vista operativo. Un proveedor de servicios de gestión (MSP) que migra la aplicación de negocio de un cliente a Azure, solo para descubrir tres meses después que nadie configuró las copias de seguridad y que un incidente de ransomware ha borrado las instantáneas de la máquina virtual, ha fracasado en la migración, independientemente de lo fluida que fuera la transición.

Los MSP que diseñan el modelo operativo en paralelo a la migración, poniendo en marcha los sistemas de supervisión, seguridad y copias de seguridad para las cargas de trabajo en la nube al mismo tiempo que se lleva a cabo la migración, logran que la adopción de la nube alcance los resultados esperados.

El marco de adopción de la nube

Un enfoque estructurado para la adopción de la nube reduce el riesgo de deuda operativa. Las seis fases siguientes reflejan el enfoque que siguen los MSP bien gestionados que gestionan las transiciones a la nube para clientes de pymes y del mercado medio.

Identificación y evaluación. Documentar el entorno actual: aplicaciones, dependencias, volúmenes de datos y requisitos de cumplimiento normativo. Determinar qué se puede trasladar a la nube, qué no (restricciones normativas, requisitos de latencia, hardware especializado) y qué conviene retirar en lugar de migrar. Herramientas como la de evaluación de redes RapidFire Toolsayudan a los MSP a elaborar este inventario de forma sistemática, en lugar de basarse en las listas de activos facilitadas por los clientes, que casi siempre son incompletas.

Planificación de la migración. Organice las migraciones por orden de riesgo y dependencia. Comience por las cargas de trabajo no críticas, como los recursos compartidos de archivos, los entornos de prueba y las aplicaciones secundarias, antes de migrar los sistemas críticos para el negocio. La experiencia adquirida en las primeras migraciones mejora la ejecución de las posteriores, que son más complejas.

Diseño de la arquitectura de seguridad. Antes de trasladar cualquier carga de trabajo, diseñe la arquitectura de seguridad para el entorno en la nube: gestión de identidades y accesos, segmentación de la red, registro y supervisión, e integración con las herramientas de seguridad existentes. Esto incluye definir qué controles de seguridad son responsabilidad del proveedor de la nube y cuáles son suyas. Kaseya SIEM recopila datos de telemetría de las principales plataformas en la nube, junto con datos de terminales, redes y correo electrónico, lo que proporciona una visibilidad de seguridad unificada en entornos híbridos desde el primer día. El diseño de seguridad que se lleva a cabo tras la migración es casi siempre reactivo y casi siempre incompleto.

Diseño de la arquitectura de copias de seguridad. Las copias de seguridad nativas de la nube (Azure Backup, AWS Backup) ofrecen cierta protección, pero suelen carecer del almacenamiento independiente y la resiliencia entre proveedores que requiere un programa de copias de seguridad completo. Datto Endpoint Backup Disaster Recovery ofrece copias de seguridad gestionadas para entornos locales, SaaS, terminales y cargas de trabajo en la nube, con un almacenamiento independiente e inmutable en Datto Cloud que se encuentra fuera del ecosistema del proveedor. Implemente las copias de seguridad antes de migrar los datos de producción, no después.

Ejecución de la migración. Una vez establecido el modelo operativo, se procede a la migración. Realice pruebas de restauración a partir de la copia de seguridad en la nube antes de migrar los datos de producción. Compruebe que la supervisión de la seguridad funciona correctamente. Mantenga las operaciones en paralelo, asegurando la disponibilidad de los sistemas locales, hasta que se confirme que las operaciones en la nube son estables.

Optimización. Tras la migración, hay que centrarse en la optimización de costes (ajuste de la capacidad, capacidad reservada, eliminación de recursos inactivos), el ajuste del rendimiento y la ampliación del modelo operativo a medida que evoluciona el entorno.

Elegir un modelo de nube: pública, privada o híbrida

La nube pública (AWS, Azure, Google Cloud) ofrece una infraestructura bajo demanda sin costes de capital, con disponibilidad global y capacidad de escalabilidad rápida. Las desventajas: los costes pueden ser impredecibles si no se aplica una gestión adecuada, la soberanía de los datos puede suponer un problema para los sectores regulados y la latencia de las aplicaciones locales que acceden a los recursos de la nube puede afectar al rendimiento.

La nube privada ofrece un aprovisionamiento similar al de la nube dentro de un entorno dedicado, ya sea en hardware local o en una infraestructura de coubicación dedicada. Implica un mayor coste de inversión, pero ofrece un control total sobre la ubicación de los datos y la infraestructura. Es adecuada para organizaciones con requisitos estrictos en materia de soberanía de datos o con necesidades específicas de rendimiento.

La nube híbrida es la opción más habitual entre las pymes. Combina una infraestructura local para cargas de trabajo específicas con la nube pública para otras. La gestión de identidades que abarca ambos entornos, la supervisión unificada y una estrategia de copias de seguridad que cubra todos los entornos son los requisitos operativos que plantea el modelo híbrido. Las organizaciones que optan por la nube híbrida porque les parece más segura suelen subestimar la complejidad de gestión que conlleva si el modelo operativo no está diseñado para adaptarse a ella.

Para la mayoría de los clientes de pymes gestionados actualmente por proveedores de servicios gestionados (MSP), la nube híbrida es una realidad de facto más que una elección de diseño deliberada: Microsoft 365 ya está en la nube, las aplicaciones de negocio siguen estando en las instalaciones, y la cuestión es cómo gestionar ambas de forma coherente desde un único modelo operativo.

Implicaciones de seguridad desde el primer día

El modelo de responsabilidad compartida en la nube es el concepto más importante que los MSP deben comunicar con claridad durante la planificación de la adopción de la nube. Los proveedores de servicios en la nube son responsables de la seguridad de la infraestructura física, el hipervisor y la estructura de red. Los clientes y sus MSP son responsables de todo lo que se implementa dentro del entorno de la nube: sistemas operativos, aplicaciones, datos, gestión de identidades y controles de red.

Esto significa que la carga de trabajo relacionada con la seguridad no disminuye con la adopción de la nube. Lo que cambia es su naturaleza. La gestión de identidades y la configuración de IAM cobran mayor importancia. El registro de eventos y las pistas de auditoría requieren una configuración explícita (CloudTrail en AWS, Azure Monitor en Azure), en lugar de estar integrados en la infraestructura local. La segmentación de la red debe diseñarse, en lugar de heredarse de la topología de la red física.

Tres medidas de seguridad que los proveedores de servicios gestionados (MSP) deben considerar como requisitos mínimos ineludibles para cualquier entorno en la nube:

• Autenticación multifactorial en todas las cuentas con privilegios. La identidad es el perímetro en los entornos en la nube. La autenticación multifactorial en las cuentas de administrador no es opcional.
• El registro está habilitado y se envía a un destino adecuado. Un entorno en la nube sin registro de auditoría es un callejón sin salida para las investigaciones. Configura el registro antes de que se ponga en marcha la primera carga de trabajo.
• Acceso con privilegios mínimos desde el principio. Los roles de IAM con permisos excesivos son el problema de seguridad más habitual que se detecta en las evaluaciones de entornos en la nube. Establecer el principio de privilegios mínimos desde el principio es mucho más fácil que subsanarlo tras 12 meses de desviaciones en la configuración.

Kaseya 365 ofrece las funciones de gestión de identidades y aplicación de la autenticación multifactorial (MFA) que requieren los entornos en la nube en Microsoft 365 y las aplicaciones conectadas.

Copias de seguridad y recuperación en la nube

Las soluciones de copia de seguridad nativas de la nube protegen contra el borrado accidental y algunos casos de fallo, pero presentan limitaciones específicas. Funcionan dentro del ecosistema del proveedor, lo que significa que cualquier incidente del proveedor o vulneración de la cuenta afecta tanto a los datos principales como a la copia de seguridad. No ofrecen portabilidad entre proveedores. Es posible que no cumplan los requisitos de independencia de las pólizas de seguro cibernético, que exigen copias de seguridad inmutables y almacenadas fuera de las instalaciones.

Datto Endpoint Backup Disaster Recovery ofrece copias de seguridad gestionadas para servidores locales, aplicaciones SaaS, dispositivos finales y cargas de trabajo de Azure, con almacenamiento independiente e inmutable en la nube de Datto. Datto Backup for Microsoft Azure es compatible con Azure Files, además de con las máquinas virtuales de Azure, con replicación cada hora a la nube de Datto y una tarifa plana que elimina la imprevisibilidad de los costes de salida y almacenamiento de Azure Backup nativo.

Hay dos principios que se aplican independientemente de la solución de copia de seguridad que se utilice:

Almacenamiento independiente. Las copias de seguridad almacenadas en la misma cuenta en la nube que los datos principales están expuestas a las mismas amenazas. Si se produce una violación de la seguridad de la cuenta que provoque la eliminación de máquinas virtuales de producción, también se borrarán las copias de seguridad de esa misma cuenta. Un almacenamiento independiente e inmutable es el requisito mínimo para una arquitectura de copias de seguridad defendible.

Recuperación probada. Una copia de seguridad que no se ha probado no es una copia de seguridad. La verificación automatizada mediante capturas de pantalla de Datto ofrece una precisión superior al 99 %, pero los proveedores de servicios gestionados (MSP) también deben validar periódicamente los procedimientos de recuperación completa para las cargas de trabajo críticas de cada cliente y documentar los resultados.

Gestión del entorno de nube actual

La adopción de la nube no es un proyecto con una fecha de finalización. Se trata de una transición hacia un modelo operativo continuo que requiere prácticas de gestión diferentes a las de la TI local.

Gestión de costes. La facturación de la nube requiere una gestión continua. Los recursos inactivos, las instancias sobredimensionadas y el almacenamiento no utilizado acumulan costes que los entornos locales no generan. Las revisiones mensuales de los costes frente al presupuesto, las alertas presupuestarias y las revisiones periódicas para ajustar el tamaño son las prácticas operativas que mantienen los costes de la nube alineados con el valor de la misma. Los MSP que incorporan la gestión de costes en su managed services , en lugar de tratarla como un complemento opcional, protegen tanto el presupuesto del cliente como su propio margen.

Gestión de identidades. En los entornos en la nube, la identidad es el perímetro. Una configuración sólida de IAM, el principio de privilegios mínimos, la autenticación multifactorial (MFA) en todas las cuentas con privilegios y las revisiones periódicas de los accesos constituyen la base de seguridad sobre la que se asientan todos los demás controles de seguridad en la nube. Kaseya 365 ofrece las capacidades de gestión de identidades y de aplicación de la autenticación multifactorial (MFA) que requieren los entornos de nube híbrida.

Supervisión continua. Los entornos en la nube cambian más rápido que los locales: se crean y eliminan recursos, las configuraciones cambian y se adoptan nuevos servicios. La supervisión continua a través de Kaseya 365 Kaseya Intelligence actualizada la visión operativa y detecta las desviaciones en la configuración antes de que se conviertan en un incidente de seguridad o de disponibilidad. Kaseya SIEM proporciona la capa de agregación de registros y alertas para los MSP que necesitan una visión unificada de la telemetría de la nube, los terminales y la red en todos los entornos de los clientes.

Descubre las funciones de gestión de la nube y de los dispositivos finales de Kaseya