Michael Keithley ha ocupado el cargo más alto de tecnología en Creative Artists Agency, una compañía de talentos en Hollywood, durante casi un cuarto de siglo, así que creo que sabe casi todo lo que sucede, a nivel técnico, en la empresa. Él creía lo mismo.
Keithley imaginó que serían 50 o más servicios de nube los que se ejecutaban en la red global corporativa de Creative Artists Agency, pero decidió asegurarse.
Ejecutó el software de seguridad en la nube Skyhigh, que brinda luz en las tinieblas de las TI, y el reporte arrojó un número sorprendente: más de 1.600 servicios de nube funcionando. Algunos de los sitios más malévolos venían del bloque Este, y estaban claramente tratando de engañar a la gente para obtener datos críticos.
“Una vez que nos sobrepusimos a la impresión, nos fijamos en los perfiles de riesgo de dichos servicios, y eso fue francamente aterrador”, afirma Keithley.
Los CIO se convierten en facilitadores de la nube
Los servicios de nube no oficiales son agujeros producidos en el “tejido” de la seguridad de la mayoría de las empresas, colocando al CIO en una situación difícil. Sin embargo, estos servicios también muestran la necesidad crítica que se tiene de un consultor experto en tecnología -o de un corredor de servicios de nube- para parchar agujeros, mantener el cumplimiento, negociar contratos de nube y hacer cumplir los acuerdos de nivel de servicio, ya que muchos proveedores ofrecen servicios de mala calidad, tal como reporta Research in Action.
Frente a la gran cantidad de servicios de nube no oficiales, la primera reacción de Keithley fue bloquearlos, pero eso no resolvía nada. Después de todo, en la historia de las TI, bloquear tecnología que no es familiar, muy probablemente fue lo que, en primer lugar, dio origen a estos servicios de nube no oficiales. En cambio, Keithley necesitaba cambiar la reputación de su departamento de TI, debía dejar de ser visto como un bloqueador y ser visto más bien como un facilitador.
Para empezar, Keithley contrató a un abogado en jefe para educar a los empleados acerca de por qué los servicios de nube de más alto riesgo debían ser cerrados; dejemos que el abogado sea el malo de la película, no el CIO.
Con los servicios de riesgo medio o bajo, el equipo de Keithley creó una alternativa más atractiva. Unos 60 servicios de nube no oficiales eran del tipo “archivar, sincronizar y compartir”, lo que significaba que éstos traficaban datos corporativos potencialmente sensibles.
Keithley envió una petición de propuesta, se decantó por Box y estableció un acuerdo de licencia corporativo. Luego integró Box con un inicio de sesión único y añadió aprovisionamiento y conectividad al sistema de recursos humanos, de tal manera que a los nuevos empleados se les otorgue una cuenta en Box automáticamente.
Convencer a los gerentes de negocio
Keithley destinó el paquete de Box para los gerentes de línea de negocio y otras personas influyentes clave, y les pidió que lo usaran en lugar del servicio de nube no oficial que tenían. Los administradores lo tomaron y así es como Keithley se convirtió en un facilitador de nube. Los CIO deben reconocer que su rol está cambiando, señala, por lo que deben evolucionar o salir del montón, es decir, del grupo de CIO que opina que “su carrera ha terminado”.
Por supuesto, es más fácil decirlo que hacerlo. Para empeorar las cosas, parece que hay una disparidad en cuanto a la comprensión del negocio por parte de los CIO, lo cual es un requisito indispensable para ser un consultor de nube.
Una encuesta reciente de Red Hat mostró que el 78% de los ejecutivos de tecnología calificaron su conocimiento del negocio como “bueno” o “excelente”, y el 66% calificó su receptividad a nuevas ideas procedentes de las unidades de negocio como “buena” o “excelente”. Sin embargo, la explosión de servicios de nube no oficiales subraya lo que muchos gerentes de línea de negocios piensan acerca de los CIO: que son bloqueadores de los procesos de negocio que deben mantenerse fuera de circuito.
En el corazón de esta encrucijada se encuentra el riesgo de pérdida de datos y las probabilidades de caer en incumplimientos, que se disparan con los servicios de la nube. ¿Qué tan peligrosa es la situación? Solo hay que seguir la lógica.
Las organizaciones usan en promedio 759 servicios de nube, una cifra por encima de los 626 del último trimestre, según datos de Skyhigh, basados en 8,3 millones de usuarios. En general, de los 3.571 servicios de nube que se encuentran en la base de datos de Skyhigh, solo el 7% se considera preparados para la empresa. Lo peor, es que el 5% son considerados de alto riesgo. Contando todo, uno de cada tres servicios de nube, eran vulnerables a Heartbleed.
Y se va a poner peor
Los bárbaros están en la entrada, también. Los creadores de malware han tenido en la mira a los servicios de nube que trafican los datos críticos del negocio: 16% de las empresas mostraban accesos anómalos, a través de la nube, a los servicios de almacenamiento de datos (números de tarjetas de crédito, registros de salud y números de seguro social), lo que significa que el malware era utilizado para acceder subrepticiamente a servicios empresariales como Salesforce o Workday, de acuerdo con Skyhigh.
En la mayoría de casos, los CIO no pueden hacer nada al respecto. Al igual que en el caso de Creative Artists Agency, la gran mayoría de los servicios de nube se encuentra ‘bajo el radar’ del CIO. En promedio, el departamento de TI conoce solo un 5% a 8% de los servicios de nube que se utilizan en la empresa.
“Esto no se trata de una conjetura o una exageración, y no me estoy poniendo sentimental, éstos son datos basados en hechos”, afirma el CEO de Skyhigh, Rajiv Gupta. “Este es el riesgo que está ocurriendo en estos momentos”.
Incluso los servicios de nube conocidos por los directores de TI, no son necesariamente lugares seguros. Un estudio de seguridad de WinMagic encontró que el 35% de quienes toman las decisiones de TI permiten a los empleados usar el almacenamiento de nube personal, en el lugar de trabajo. Solo seis de cada 10 dijeron que su compañía ha hecho cumplir las funciones de cifrado para tabletas y teléfonos móviles.
Al final de este camino, está en juego una enorme cantidad de dinero. El costo promedio de una fuga de datos para una empresa en los Estados Unidos aumentó de 5,4 millones de dólares el año pasado a 5,9 millones de dólares este año, según el Instituto Ponemon.
Tal vez injustamente, los CIO tienen la misión de asegurar la seguridad y el cumplimiento y a la vez se apoyan en servicios de nube inseguros, así como en servicios de nube no oficiales de los que ni siquiera están al tanto. Los CIO no pueden controlar, es decir, bloquear, muchos de los servicios, ellos solo pueden advertir a los gerentes de línea de negocio sobre el riesgo.
Suena como una situación sin salida, ¿no?
Caen juntos o por separado
La agencia Creative Artists de Keithley dice que es importante recordar a los gerentes de línea de negocio que ellos comparten la responsabilidad. Al respecto, señala el reciente caso relacionado con el gigante minorista Target. La fuga de datos ocurrida en diciembre hizo caer a la CIO, Beth Jacob, tres meses después. Aunque es normal que el jefe de tecnología sea despedido como consecuencia de un error muy publicitado, Jacob no estaba sola. Las consecuencias finalmente alcanzaron este mes al ejecutivo de negocios de más alto rango con la renuncia del presidente y CEO, Gregg Steinhafel.
Keithley advierte a los gerentes de línea de negocio que todos pagarán el precio de una fuga de datos. Los riesgos son mayores con los servicios en la nube, especialmente con los servicios de la nube no oficiales que no son examinados por la gente de TI.
Entonces, aquí viene la propuesta directa.
“Los CIO pueden decir a los gerentes de negocio, si usted decide tomar el riesgo, siga adelante”, señala Gupta. “Pero después, si hay una infracción y se comprometen los datos, si no se siguen las normas de cumplimiento, entonces estaremos usted y yo rindiendo cuentas frente al directorio, no solo yo”.
Tom Kaneshige, CIO (EE.UU.)
