FinOps y Landing Zone, La Dupla que Decide el Éxito o Fracaso de tu Camino a la Nube
La migración a la nube promete agilidad, escalabilidad y reducción de costos. Sin embargo, los datos de la industria cuentan una historia más compleja: tres de cada cuatro empresas exceden su presupuesto durante la migración, los costos de migración son citados como el principal inhibidor de adopción cloud, y solo una fracción pequeña de organizaciones logra completar su migración a tiempo y dentro del presupuesto planificado.
La nube no falló. Fallaron los procesos para gobernarla. En este artículo exploramos dos disciplinas que, implementadas en conjunto desde el inicio, cambian radicalmente esa ecuación: la Landing Zone como fundación técnica y de gobernanza, y FinOps como el sistema nervioso financiero que mantiene el viaje dentro de presupuesto y alineado al negocio.
¿Qué es una Landing Zone y por qué es la base de todo?
Una Landing Zone es el entorno cloud preconfigurado, seguro y gobernado desde el cual una organización opera todos sus workloads en la nube. No es un proyecto puntual ni un script de infraestructura: es una arquitectura de referencia que define cómo se organiza, asegura, conecta, monitorea y costea cada recurso cloud desde el primer día.
Las organizaciones que logran migrar con éxito comparten un patrón claro: diseñan el entorno completo antes de mover el primer workload, en lugar de construir sobre la marcha. El costo de no hacerlo es medible y documentado.
"Outperforming companies are 9 percent more likely to develop the full implementation road map, including the security and compliance framework, up front rather than funding a series of one-off initiatives." — McKinsey & Company, Cloud-migration opportunity: Business value grows, but missteps abound (octubre 2021, p. 7)
Las capas que componen una Landing Zone
Una Landing Zone bien diseñada no es una sola capa sino un conjunto de decisiones de arquitectura que se apilan y se refuerzan mutuamente:
Capa de identidad y acceso (IAM)
Define quién puede hacer qué en cada cuenta o suscripción. Incluye la federación de identidades con el directorio corporativo, el principio de mínimo privilegio, la separación de cuentas por entorno — producción, staging, desarrollo — y la automatización de revisiones de acceso. Una jerarquía de cuentas mal diseñada hace invisible el gasto: recursos mal asignados no tienen dueño claro y nadie tiene incentivos para optimizarlos.
Capa de red y conectividad
Define la topología de red: VPCs o VNets, subnets públicas y privadas, peering entre cuentas, conectividad con el datacenter on-premise, y patrones de resolución DNS. Una red mal diseñada genera costos de red impredecibles — uno de los conceptos que más sorprende a los equipos financieros durante la migración. Flexera identifica los cargos de red como una de las principales fuentes de sobrecosto no planificado.
Capa de seguridad y cumplimiento
Establece los controles de seguridad obligatorios: encriptación en reposo y en tránsito, gestión de secretos, auditoría y logging centralizado, detección de amenazas y las políticas que impiden la creación de recursos fuera de los estándares aprobados. Accenture documenta que el 41% de las organizaciones cita la falta de seguridad y compliance como las principales barreras para obtener valor de sus inversiones cloud — lo que convierte esta capa en un requisito de negocio, no solo técnico.
Capa de observabilidad
Centraliza logs, métricas y trazas de todos los workloads. Sin observabilidad no hay confiabilidad ni visibilidad de costos: es imposible detectar un proceso zombie que lleva semanas consumiendo cómputo si no hay métricas de utilización disponibles. Esta capa debe existir antes de que llegue el primer workload productivo.
Capa de automatización e IaC
Toda la Landing Zone debe estar definida como código — Infrastructure as Code. Esto garantiza que los entornos sean reproducibles, auditables y versionados. Es también la base sobre la que se construyen los pipelines de DevSecOps: el código de infraestructura pasa por los mismos controles de calidad que el código de aplicación.
Capa de gobierno financiero — la más omitida
Incluye la estrategia de tagging, la estructura de cuentas diseñada para facilitar la imputación de costos, los presupuestos y alertas por equipo o producto, y la integración entre ingeniería y finanzas. Esta es la capa que con mayor frecuencia se posterga — y es el corazón de este artículo. Omitirla equivale a construir una autopista sin señalización.
El proceso de implementación
Implementar una Landing Zone no es un evento único sino un proceso iterativo que atraviesa cuatro fases:
- Fase 1 — Diseño y decisiones fundacionales: modelo de cuentas, topología de red, regiones, herramientas de IaC y estrategia de tagging para imputación de costos.
- Fase 2 — Implementación del núcleo: despliegue de cuentas de seguridad, logging, networking y workload. Configuración de IAM, guardrails preventivos y detectivos.
- Fase 3 — Onboarding de workloads: las aplicaciones migran en oleadas, pasando por pipelines de CI/CD que validan el cumplimiento de estándares antes de cada despliegue.
- Fase 4 — Operación y maduración continua: la Landing Zone evoluciona con el negocio. Nuevas regiones, nuevos patrones de workload, refinamiento de guardrails y maduración de las prácticas de FinOps.
Una Landing Zone sin FinOps desde la Fase 1 es como contratar arquitectos de primer nivel sin asignarle presupuesto a la construcción. El plano es impecable; la obra, un desastre financiero.
El problema que nadie presupuesta: el costo real de migrar
Antes de hablar de FinOps como solución, es necesario dimensionar el problema con datos concretos. McKinsey encuestó a casi 450 CIOs y tomadores de decisión IT a nivel global y los resultados son contundentes:
| 75% | de las migraciones cloud excedieron el presupuesto planificado (McKinsey 2021, p. 5) |
|---|---|
| 38% | de las migraciones se retrasaron más de un trimestre respecto al plan original (McKinsey 2021, p. 5) |
| 14% | de sobrecosto promedio anual en proyectos de migración cloud (McKinsey 2021, p. 5) |
| 100K MM | en gasto desperdiciado acumulado globalmente en tres años de migración (McKinsey 2021, p. 2) |
| 15% | de empresas logró migrar más del 60% de su gasto IT a tiempo y dentro de presupuesto (McKinsey 2021, p. 7) |
| 29% | del gasto en IaaS/PaaS es desperdiciado anualmente por las organizaciones (Flexera 2025) |
| 84% | de las organizaciones reporta dificultades para gestionar y controlar el gasto cloud (Flexera 2025) |
| 68% | de empresas considera su journey cloud aún incompleto a pesar de haber migrado (Accenture 2023) |
Lo más revelador de estos números no es su magnitud sino su persistencia. McKinsey estima que los sobrecostos de migración podrían eliminar más de $500K MM en valor para los accionistas en tres años si no se corrigen. La escala del problema convierte a la gobernanza financiera de la nube de una práctica deseable en una necesidad de supervivencia.
De dónde viene el desperdicio
El análisis de McKinsey y Flexera coincide en las causas principales. Las tres áreas con mayor sobrecosto documentado por McKinsey son:
- Gestión del cambio organizacional (45% de las empresas reportó sobrecosto en esta área): la migración no es solo técnica. El cambio de procesos, roles y cultura consume presupuesto que rara vez se planifica con precisión.
- Gasto en partners externos de implementación (37%): muchas empresas subcontrataron su migración a consultoras o integradores externos con contratos basados en tiempo invertido — el partner cobra por hora o por mes de consultor, independientemente de si la migración avanza o no. Ese modelo de incentivos hace que al partner le convenga que el proyecto dure más. McKinsey documenta el caso de una empresa farmacéutica global que entregó su migración casi enteramente a partners externos bajo ese esquema: el proyecto terminó con más de tres trimestres de retraso y un 50% por encima del presupuesto. La solución es estructurar contratos basados en resultados concretos — workloads migrados, disponibilidad post-migración, reducción de costos demostrada — no en horas facturadas.
- Bubble costs (34%): el costo de operar en paralelo la infraestructura antigua y la nueva durante la transición, que frecuentemente se extiende mucho más allá de lo planificado.
A esto se suman patrones estructurales documentados por Flexera: recursos sobreaprovisionados operando al 10-20% de su capacidad, entornos de desarrollo y QA encendidos 24/7, snapshots acumulados sin política de retención, y IP estáticas sin asignar. El 84% de las organizaciones reconoce que gestionar este desperdicio es su principal desafío cloud.
FinOps: el sistema nervioso financiero de tu nube
FinOps — Cloud Financial Operations — es una disciplina de gestión financiera que une a equipos de ingeniería, finanzas y negocio bajo un marco común de responsabilidad compartida sobre el gasto cloud. No es una herramienta de software ni un rol único: es una práctica organizacional con un ciclo continuo de tres fases.
- Inform — visibilidad completa: tagging consistente, dashboards por equipo y producto, alertas de anomalías, forecasting. Sin esta fase, todo lo demás es especulación.
- Optimize — acciones concretas: rightsizing, Reserved Instances o Savings Plans, eliminación de recursos ociosos, revisión de arquitecturas costo-ineficientes, ambientes no productivos operando 24/7, etc..
- Operate — institucionalización: FinOps embebido en los sprints de ingeniería, presupuestos por equipo con chargeback o showback, KPIs de eficiencia cloud ligados a objetivos de negocio, incentivos asociados a optimizacion.
FinOps no es solo reducir costos
Este punto es crítico y suele malentenderse. El objetivo de FinOps no es minimizar el gasto cloud: es maximizar el valor del gasto cloud. Una empresa que gasta $10M en cloud con un ROI claro y medido está en mejor posición que una que gasta $4M sin saber qué retorno obtiene.
Accenture documenta que las organizaciones con mayor adopción cloud — los heavy adopters — logran sus objetivos completamente en un 47% de los casos, frente al 21% de los low adopters. La diferencia no es el volumen de gasto: es la capacidad de gestionarlo con madurez.
"Organizations achieving greater outcomes are the ones further along in their cloud journeys. Heavy adopters continue to fully achieve their outcomes more frequently — 47% on average — than medium (36%) or low adopters (21%)." — Accenture, The race to cloud: Reaching the inflection point to long sought value (enero 2023)
El perfil de las organizaciones que tienen éxito
McKinsey identificó que solo el 15% de las empresas encuestadas logró migrar más del 60% de su gasto IT a la nube dentro del plazo planificado. Ese grupo comparte tres características estadísticamente significativas:
Son 32% más propensas a tener un CEO activamente involucrado como sponsor de la migración.
Son 9% más propensas a haber desarrollado el roadmap completo de implementación — incluyendo el framework de seguridad y compliance — antes de iniciar, en lugar de financiar iniciativas aisladas.
Son 57% más propensas a contratar perfiles con habilidades avanzadas como DevOps y FinOps desde el inicio del proceso, no como reacción tardía a los sobrecostos.
"Outperforming companies are 32 percent more likely than others to have active CEO sponsors. They are 9 percent more likely to develop the full implementation road map, including the security and compliance framework, up front. And they are 57 percent more likely to hire for advanced skill sets (such as DevOps and FinOps)." — McKinsey & Company, Cloud-migration opportunity: Business value grows, but missteps abound (octubre 2021, p. 7)
Cómo FinOps en la Landing Zone previene la repatriación
La repatriación de workloads — mover aplicaciones de vuelta al datacenter on-premise después de haberlas migrado — es costosa en tiempo, dinero, pero por sobre todo en credibilidad organizacional. Sus causas más frecuentes son predecibles y evitables: workloads migrados sin refactorizar que resultan más caros en nube que on-premise, ausencia de monitoreo de performance post-migración, y falta de gestión financiera proactiva.
Flexera documenta que el 21% de los workloads ha sido repatriado. Lo que ese número no captura es el costo de la repatriación en sí: reactivar infraestructura física con ciclos de adquisición de meses, recontratar talento de operaciones de datacenter, y absorber el costo de migración inversa de arquitecturas que ya fueron diseñadas para correr en cloud.
El rol de FinOps en cada fase de la Landing Zone
Durante el diseño (Fase 1)
La estructura de cuentas debe diseñarse pensando en la imputación de costos desde el primer día. Una jerarquía que permite atribuir gasto a producto, equipo y entorno con precisión es la base de cualquier práctica de FinOps madura. La estrategia de tagging — qué etiquetas son obligatorias, cómo se aplican y auditan — también se define aquí. Diseñar esto retroactivamente es entre difícil e imposible.
Durante la implementación (Fase 2)
Los presupuestos por cuenta deben estar configurados antes del primer workload. Las alertas de gasto anómalo deben activarse desde el día uno. Los dashboards de visibilidad deben estar disponibles para ingeniería, no solo para finanzas. La cultura de transparencia financiera se instala en este momento.
Durante el onboarding de workloads (Fase 3)
Cada workload debe evaluarse con un análisis TCO antes y después de la migración. Las métricas de rightsizing deben capturarse durante el período de estabilización. Los patrones de uso horario deben identificarse para determinar oportunidades de Reserved Instances o Savings Plans. Accenture señala que las organizaciones que aún no han realizado modernización real — más allá del lift-and-shift — son las que reportan menor satisfacción con sus resultados cloud y mayor tendencia a considerar la repatriación.
Durante la operación continua (Fase 4)
FinOps se institucionaliza como proceso regular: revisiones mensuales de eficiencia, ciclos de rightsizing trimestrales, renegociación anual de compromisos con el proveedor, y KPIs de unidades económicas por producto. Flexera documenta que el 59% de las organizaciones ya tiene equipos dedicados de FinOps en 2025, una señal clara de que la industria está reconociendo esta necesidad — aunque aún hay un 41% que no lo ha formalizado.
La barrera más costosa: el cambio organizacional
McKinsey documenta que el cambio organizacional es la principal fuente de sobrecosto en migración cloud, citado por el 45% de las empresas encuestadas. Accenture refuerza ese hallazgo: entre los principales obstáculos para obtener valor de la nube, las organizaciones citan "complejidad del cambio de negocio y operacional" al mismo nivel que seguridad y compliance, ambos presentes en el top-3 del 41% de los encuestados.
FinOps es, en gran medida, una respuesta a esa barrera. No porque resuelva el problema técnico, sino porque crea el lenguaje común que permite que ingeniería y finanzas tomen decisiones juntos, en tiempo real, con visibilidad compartida del impacto financiero de cada decisión de arquitectura.
Los números que separan a los líderes de los rezagados
Consolidando los datos verificados de las tres fuentes primarias, el patrón es consistente:
| 15% | de empresas migra exitosamente más del 60% de su gasto IT, a tiempo y en presupuesto (McKinsey 2021) |
|---|---|
| 57% | más probable que los outperformers contraten DevOps y FinOps desde el inicio (McKinsey 2021) |
| 32% | más probable que los outperformers tengan CEO activamente involucrado (McKinsey 2021) |
| 47% | de heavy adopters cloud logra sus objetivos completamente, vs 21% de low adopters (Accenture 2023) |
| 59% | de organizaciones ya tiene equipo dedicado de FinOps en 2025 (Flexera 2025) |
| 29% | del gasto IaaS/PaaS se desperdicia anualmente — cifra estructural, no coyuntural (Flexera 2025) |
El 29% de desperdicio anual documentado por Flexera no es una anomalía: es una constante estructural que se repite año tras año. La conclusión inevitable es que el problema no es técnico. Es de gobernanza, cultura y procesos — exactamente el espacio donde FinOps opera.
Conclusión: la nube no es cara; lo caro es no gobernarla
El argumento para la repatriación suele ser simple: la nube salió más cara de lo esperado. Y ese argumento es frecuentemente válido — pero la causa no es la nube. Es la ausencia de gobernanza financiera desde el inicio.
Una Landing Zone bien diseñada, con FinOps incluido desde la primera decisión de arquitectura, es la diferencia entre una migración que cumple su promesa de negocio y una que termina en un retroceso costoso. No porque garantice que todo saldrá perfecto, sino porque provee la visibilidad, los controles y la cultura para identificar desviaciones a tiempo y corregirlas antes de que sean irreversibles.
McKinsey lo resume con claridad: solo el 15% de las empresas llega a destino dentro del plazo y presupuesto planificados. Ese grupo no tiene acceso a tecnología diferente. Tiene procesos diferentes — y entre ellos, invariablemente, una práctica madura de gobernanza financiera desde el día uno.
Las organizaciones que tratan FinOps como una capacidad fundacional de su Landing Zone — no como un proyecto posterior a la migración — forman parte del 15% que llega a destino. El resto financia el $100 billion en desperdicio global que McKinsey documenta.
Fuentes
McKinsey & Company — Cloud-migration opportunity: Business value grows, but missteps abound
Tara Balakrishnan, Chandra Gnanasambandam, Leandro Santos, Bhargs Srivathsan. Octubre 2021. Encuesta a 443 CIOs y tomadores de decisión IT a nivel global.
mckinsey.com/industries/technology-media-and-telecommunications/our-insights/cloud-migration-opportunity-business-value-grows-but-missteps-abound
Flexera — State of the Cloud Report 2025
15a edición anual. 759 respondentes. Marzo 2025.
flexera.com/about-us/press-center/flexera-2025-state-of-the-cloud-report
Accenture — The race to cloud: Reaching the inflection point to long sought value
Encuesta global a 800 ejecutivos de negocio y tecnología. Enero 2023.
newsroom.accenture.com/news/2023/as-cloud-migrations-soar-realizing-the-full-value-of-cloud-continues-to-be-an-urgent-priority-for-companies-accenture-report-finds
Sobre el autor
Apasionado Arquitecto de soluciones con más de 20 años de experiencia en la industria financiera. Con una vasta experiencia en Infraestructura TI, Cloud computing e IA.