Un día aparece una nueva pieza de software de administración de TI, y cuando usted mira a las nubes, se sorprende al descubrir que hay una sombra de TI en toda su organización. Hay docenas de servicios en la nube, creados por otras partes del negocio, que se utilizan en todo, desde teléfonos móviles hasta ordenadores de sobremesa.
¿Acaso pensaba que su servicio en la nube se ocupaba de todo? Bueno, es un error común, y un problema incluso para las organizaciones tecnológicamente más avanzadas.
La NASA es un ejemplo de esto: gastó alrededor de 1.4 mil millones de dólares en inversiones de TI para apoyar sus misiones espaciales durante el año fiscal 2016, incluida la adquisición de servicios de computación en la nube de compañías comerciales.
La Oficina del Inspector General (OIG) de la NASA realizó hace poco una auditoría de la agencia, desenterrando una serie de servicios en la nube no aprobados. Asimismo, la Oficina del Oficial Principal de Información (OCIO) de la NASA identificó ocho servicios que no había aprobado, luego la OIG identificó 20 servicios más que la OCIO no conocía ni había aprobado.
Y más recientemente, uno de mis clientes, quien declaró que su organización no usaba la nube en absoluto, tenía más de 40 servicios diferentes en su configuración de nube, servicios en los que la gente de la empresa se había suscrito directamente.
Y sí es un CIO
Si bien eso puede no parecer preocupante, puede serlo de verdad. No es inusual que las personas crean que sólo usan un servicio en la nube, pues al cabo de algún tiempo descubren que la empresa tiene una herramienta de administración de proyectos que ha estado compartiendo desde la nube, las personas están usando Microsoft OneDrive y se han introducido otros servicios.
Los datos se dirigen a un destino desconocido. Analicé entornos en los que se han producido brechas de seguridad claras, que no se habían detectado previamente, ya que los servicios clave se habían transferido a la nube pública sin ningún compromiso de la administración.
Esto se ve agravado por el hecho de que van apareciendo nuevos vendedores y luego desapareciendo. Las empresas pueden adquirir la funcionalidad de un proveedor, que luego es adquirida por otra persona unas semanas más tarde. Es un entorno que cambia rápidamente: la empresa compró el producto X, y desapareció, por lo que recogió el producto Y.
También es cierto que los proveedores no siempre han sido claros con sus clientes acerca de cómo implementar las capacidades de seguridad de manera efectiva. Han indicado que las ofertas están preparadas para la empresa y son seguras, pero luego su cliente se lleva una desagradable sorpresa.
Las capacidades de seguridad pueden estar ahí, pero los clientes no han entendido lo que deben hacer para que funcionen correctamente. Sin embargo, esto ha sido una gran ayuda para los equipos de seguridad.
Por supuesto, no siempre es culpa del proveedor. Algunas personas a cargo de la compra de servicios en la nube adoptan un enfoque erróneo, funciones de compra como la detección de intrusión de firewall, informes de gobierno o la administración de acceso privilegiado, sin implementar esas funciones ni evaluarlas a fondo.
¿Qué hacer entonces?
Los gerentes y directores de TI desempeñan un papel más importante que nunca al habilitar la seguridad como servicio y volver a tener el control de TI, sin perder impulso comercial.
Es más que gestión de riesgos: es una llamada para decidir de forma proactiva qué tipos de datos van a dónde y comprender qué hay en el entorno actual.
Los CIO pueden abordar esto de dos maneras: primero, asegurando que su modelo tradicional de entrega de TI se vuelva más ágil, ofreciendo un nivel similar de servicio bajo demanda a aquellos en la nube, pero desde un modelo de entrega híbrido. Dos, podrían elegir permitir el acceso a la nube sin restricciones para desarrollo y prueba de concepto, pero aplicar políticas en entornos de producción que administren mejor el riesgo de fuga de datos, considerando potencialmente un modelo de nube híbrida que distribuya su riesgo entre nubes públicas y privadas, por ejemplo.
David Hanrahan, CIO EE.UU.
