Cuatro riesgos ocultos de su estrategia empresarial en la nube

A medida que los CIO buscan encontrar el equilibrio ideal entre la nube y las instalaciones locales para sus cargas de trabajo de TI, es posible que se encuentren enfrentando sorpresas que no anticiparon. En concreto, aquellas en las que la promesa de la nube y los proveedores se quedan cortos frente a la realidad.

Si bien el análisis de riesgos de la nube no debería ser diferente de cualquier otro análisis de riesgos de terceros, muchas empresas tratan la nube con más cuidado y adoptan un enfoque menos exhaustivo. Gran parte de esto se debe a que las empresas tienden a utilizar las plataformas en la nube más grandes disponibles, con ASWS, Microsoft Azure y Google Cloud Platform encabezando esa lista. Y esas plataformas masivas limitan drásticamente hasta dónde permitirán llegar la debida diligencia de TI de una empresa.

A veces se hacen excepciones para las empresas más grandes, pero normalmente no para muchas otras. Además, la mayoría de las estrategias empresariales de nube involucran a una variedad de proveedores de nube, incluidos proveedores de soluciones puntuales SaaS que operan en la nube. Las interrelaciones entre estos diversos socios complican aún más la ecuación del riesgo.

El riesgo más obvio al que puede estar sujeto su estado de nube involucra los ajustes y configuraciones de la nube. Muchos equipos de TI dedican grandes esfuerzos a ajustar la configuración de sus instancias, arquitecturas y entornos de nube para que coincidan con precisión con las necesidades de su empresa, solo para descubrir más tarde que un miembro del personal de su proveedor de nube ha realizado algunos cambios universales para todas las áreas corporativas del proveedor, anulando de hecho la configuración laboriosamente diseñada por el equipo de TI.

Pero existen otros desafíos inesperados que los CIO pueden enfrentar en la nube y que deben conocer. A continuación, se presentan algunos de estos riesgos ocultos, con consejos sobre cómo mitigarlos. 

 

Cambiando las posturas de riesgo de los proveedores

Los propios proveedores de nube pueden encontrar una serie de problemas relacionados con el negocio que pueden desafiar su capacidad de brindar servicios a los CIO empresariales estándar con los que se comprometieron cuando se firmó el contrato, incluida la introducción de nuevos riesgos.

Al realizar cualquier diligencia debida mínima que permita la plataforma en la nube (informes SOC, cumplimiento de GDPR, PCI ROC, etc.), es fundamental recordar que es solo una instantánea en ese momento de evaluación. Ahí es donde entra en juego el contrato. Si hay algún cambio que afecte a la postura de riesgo de su proveedor, como despidos que afecten sus operaciones o recortes presupuestarios relacionados con recursos no humanos, debe haber una cláusula contractual explícita que obligue al proveedor de la nube a alertar a su equipo e, idealmente, darle una opción, incluyendo la devolución del dinero no gastado por adelantado.

"No veo ningún inconveniente en pedir eso", afirma Brian Levine, director general de Ciberseguridad de Ernst & Young. “¿Lo cumplirá [el proveedor de la nube]? Probablemente no. Probablemente no tengan un proceso implementado para hacer eso. Siempre es mejor tener un término expreso en lugar de un término implícito para fines de litigio”.

Rex Booth, CISO de Sailpoint, está de acuerdo en que una cláusula de este tipo no hace daño, pero está sujeta a muchas interpretaciones. Un mejor enfoque contractual, dice, sería incluir algo como "Si cae en picada según lo determine un auditor independiente, tenemos derecho a retirarnos". Booth añade, sin embargo, que los despidos no implican necesariamente una reducción de los esfuerzos organizativos.

 

Nuevos dolores de cabeza por la soberanía de los datos

La soberanía de los datos ha sido una cuestión crítica de TI durante bastante tiempo, pero ahora existen problemas de soberanía de datos específicos de la nube que muchas empresas tal vez no estén esperando. El Departamento de Comercio de EE. UU., por ejemplo, propuso en enero una norma que prohibía a las empresas chinas entrenar sus modelos LLM en entornos de nube estadounidenses. Aunque inicialmente esto parecía ser algo que sólo afectaría a las empresas chinas, el analista principal de Forrester, Lee Sustar, sostiene que esto podría fácilmente enredar a las empresas estadounidenses, no sólo a las empresas de la nube, sino a los conglomerados que tienen una división que realiza trabajos de análisis para sus clientes.

Por ejemplo, ¿qué pasa si una empresa china contrata a una empresa estadounidense de inteligencia artificial y le paga para que capacite a varios LLM en el entorno de nube de esa empresa estadounidense con sede en EE. UU.? ¿Eso violaría la regla de Comercio? Aún más complicado, ¿qué pasa si el cliente de esta empresa estadounidense tiene su sede en Bélgica o Australia? ¿Y si el cliente de esa empresa belga fuera una empresa china? Si una empresa china quisiera eludir esta regla, probablemente procesaría la solicitud a través de varias empresas no chinas.

"Ahora tendrás que planificar tus cargas de trabajo en la nube, tratando de tener en cuenta no sólo el riesgo de terceros sino también el de los cuartos", afirma.

Levine de EY sugiere otras consideraciones para los CIO al negociar nuevos acuerdos de nube. Algunas operaciones en la nube cobran más por registrar lo que sucede en sus entornos. Eso no sería un gran problema si los inquilinos de la nube pudieran rastrear la actividad directamente, pero no pueden y, por lo tanto, deben confiar en los registros de la plataforma de la nube. 

“Esto es básico y si una empresa va a ser responsable [de todo lo que sucede en la nube], debe tener registros . ¿Cuánto tiempo conservan estos registros?”, dice Levine. 

 

Escalabilidad en caso de emergencia generalizada

Muchos ejecutivos de TI empresariales consideran que la nube ofrece una escalabilidad casi infinita, algo que no es matemáticamente cierto. A esto no ayuda el marketing en la nube, que implica firmemente (si no promesas absolutas) una escalabilidad ilimitada. 

La mayoría de las veces, la elasticidad de la nube ofrece grandes niveles de escalabilidad para sus principios. Sin embargo, cuando ocurre una emergencia, todas las apuestas están canceladas, dice Charles Blauner, socio operativo y CISO residente de la firma de inversión en ciberseguridad Team8, y ex CISO de Citigroup, Deutsche Bank y JP Morgan Chase.

Blauner señala los numerosos intentos fallidos de subcontratar datos durante el ataque del 11 de septiembre, que volvió a ver durante el huracán Sandy en 2012 y nuevamente en las primeras semanas de COVID en Estados Unidos. “Sólo funcionará para las primeras empresas” que den el paso de llevar más datos a la nube. 

Las empresas esperan poder “recuperarse en un entorno de nube durante una crisis. Y luego ocurrió el 11 de septiembre y todos declararon una emergencia al mismo tiempo. Si no fuera uno de los primeros en declararlo, [el proveedor de la nube] diría: 'Estamos llenos'”, dice Blauner.

La solución a esto, dice Blauner, es que los CIO establezcan su posición de producto mínimo viable (MVP) de emergencia. Con esto quiere decir que las empresas identifiquen sus servicios más esenciales, aquellos “sin los cuales sus clientes no pueden sobrevivir”, de modo que, cuando ocurra una emergencia, solo esos servicios emergentes se trasladen a la nube. Si todas las empresas hicieran esto, la industria podría sobrevivir a la próxima crisis.

Cuando Blauner trabajaba en Citi, por ejemplo, ese MVP eran las transferencias internacionales de fondos. “Si no hubiéramos protegido eso, podríamos haber tenido una crisis económica global. No se pueden realizar transferencias de dinero en Corea del Sur sin Citi”, afirma Blauner. "Para todas las empresas del mundo existe algo así".

 

Riesgos e ineficiencias de seguridad autoinfligidos

Charlie Winckless, analista director senior del equipo de seguridad en la nube de Gartner, está de acuerdo en que la escalabilidad en caso de crisis es una preocupación, pero ve que se está formando un problema diferente a la solución típica de los líderes de TI: cubrir sus apuestas en la nube con acuerdos con una gran número de entornos de nube a nivel mundial.  

“Los CIO creen que al utilizar múltiples proveedores de nube, piensan que mejoran la disponibilidad, pero no es así. Lo único que está haciendo es aumentar la complejidad, y la complejidad siempre ha sido enemiga de la seguridad”, afirma Winckless. "Es mucho más rentable utilizar las zonas del proveedor de la nube".

Las empresas también suelen no alcanzar los beneficios financieros y de eficiencia prometidos por la nube porque no están dispuestas a confiar lo suficiente en los mecanismos del entorno de la nube, o eso argumenta Rich Isenberg, socio de la firma consultora McKinsey que supervisa su práctica de estrategia de ciberseguridad.

El “rechazo” de TI empresarial es que no confían en la automatización y la tecnología de la nube. Quieren que su propio equipo gestione todo. Las nubes incluyen herramientas nativas de la nube y automatización, pero [los CIO] todavía están gravitando hacia el enfoque de la vieja escuela de utilizar su equipo”, dice Isenberg. Estos ejecutivos "dependen de sus equipos de seguridad y acceso y obtienen sus herramientas preferidas de sus proveedores preferidos". 

Eso significa que muchas tareas en la nube se están realizando dos veces y es por eso que los beneficios de eficiencia a veces no se materializan. La mayoría de los ejecutivos de TI “piensan que serán las grandes infracciones las que amenazarán sus puestos de trabajo, pero la realidad es que la amenaza es que [los ejecutivos] no estén avanzados en tecnología digital”, continúa Isenberg. Si los ejecutivos “no adoptan las [herramientas] nativas de la nube y la automatización, entonces sí, se convertirá en el trabajo de otra persona”.

La nube también está tan integrada en todos los sistemas empresariales actuales (ya sea IaaS, PaaS y SaaS) que una estrategia de nube debe ser la suposición predeterminada. Isenberg dice: "Estás en esto cuando lo sabes o no, lo quieres o no".