Volando a ciegas en la nube: cómo ver el camino

Un día, aparece una nueva pieza de software de administración de TI, y cuando miras a las nubes, te sorprendes al descubrir que hay una sombra de TI en toda tu organización. Hay docenas de servicios en la nube, creados por otras partes del negocio, que se utilizan en todo, desde teléfonos móviles hasta ordenadores de sobremesa.

¡Y pensaste que tu servicio en la nube se ocupaba de todo! Es un error común. Es un problema incluso para las organizaciones tecnológicamente más avanzadas. La NASA gastó alrededor de US $ 1.4 mil millones de dólares en inversiones de TI en apoyo de su misión durante el año fiscal 2016, incluida la adquisición de servicios de computación en la nube de compañías comerciales.

La Oficina del Inspector General (OIG) de la NASA realizó recientemente una auditoría de la agencia, desenterrando una serie de servicios en la nube no aprobados. La Oficina del Oficial Principal de Información (OCIO) de la NASA identificó ocho servicios que no había aprobado, luego la OIG identificó 20 servicios más que la OCIO no conocía ni había aprobado.

Más cerca, uno de mis clientes, que declaró que su organización no usaba la nube en absoluto, tenía más de 40 servicios diferentes en la nube en el entorno, servicios en los que la gente de la empresa se había suscrito directamente.

Y sí es un CIO

Si bien eso puede no parecer preocupante, puede ser. No es inusual que las personas crean que solo usan un servicio en la nube. Luego descubren que la empresa tiene una herramienta de administración de proyectos que han estado compartiendo desde la nube, las personas están usando Microsoft OneDrive y se han introducido otros servicios. Los datos se dirigen a un destino desconocido. Analicé entornos en los que se han producido brechas de seguridad claras, que no se habían detectado previamente, ya que los servicios clave se habían transferido a la nube pública sin ningún compromiso de la administración.

Esto se ve agravado por el hecho de que van apareciendo nuevos vendedores y luego desapareciendo. Las empresas pueden adquirir la funcionalidad de un proveedor, que luego es adquirida por otra persona unas semanas más tarde. Es un entorno que cambia rápidamente: la empresa compró el producto X, y desapareció, por lo que recogió el producto Y.

También es cierto que los proveedores no siempre han sido claros con sus clientes acerca de cómo implementar las capacidades de seguridad de manera efectiva. Han indicado que las ofertas están preparadas para la empresa y son seguras, pero luego su cliente se lleva una desagradable sorpresa.

Las capacidades de seguridad pueden estar ahí, pero los clientes no han entendido lo que deben hacer para que funcionen correctamente. Sin embargo, esto ha sido una gran ayuda para los equipos de seguridad.

Por supuesto, no siempre es culpa del vendedor. Algunas personas a cargo de la compra de servicios en la nube adoptan un enfoque erroneo, funciones de compra como detección de intrusión de firewall, informes de gobierno y administración de acceso privilegiado, sin implementar esas funciones y evaluarlas a fondo.

Los gerentes de TI y los directores de informática desempeñan un papel más importante que nunca al habilitar la seguridad como servicio y volver a tener el control de TI, sin perder impulso comercial. Es más que gestión de riesgos, es una llamada para decidir de forma proactiva qué tipos de datos van a dónde y comprender qué hay en el entorno actual.

Los CIO pueden abordar esto de dos maneras. Primero, asegurando que su modelo tradicional de entrega de TI se vuelva más ágil, ofreciendo un nivel similar de servicio bajo demanda a aquellos en la nube, pero desde un modelo de entrega híbrido. Dos, podrían elegir permitir el acceso a la nube sin restricciones para desarrollo y prueba de concepto, pero aplicar políticas en entornos de producción que administren mejor el riesgo de fuga de datos, considerando potencialmente un modelo de nube híbrida que distribuya su riesgo entre nubes públicas y privadas, por ejemplo.