Algunas ‘mejores prácticas’ de TI para el fracaso –y algunas ‘mejores prácticas’ para evitarlo

Así es, una mejor práctica no es una receta de cocina. La preparación que hagamos de un ‘platillo’ y su resultado depende de muchos factores referidos a las herramientas, nosotros mismos como çocineros’, de los ‘comensales’ y su entorno.

Una real mejor práctica es considerar la preparación del ‘platillo’ para garantizar su resultado. Así, intervienen el ecosistema tecnológico en operación –moderno, vigente, legacy, integrado, interconectado- plataforma tecnológica e infraestructura de soporte, la cantidad necesaria de especialistas con el perfil apropiado, la experiencia, competencias (conocimientos, aptitudes, actitudes), orientación técnica o de gestión, requisitos del negocio, apetito de riesgo, intereses personales, los recursos para la producción del servicio (en adición al ecosistema tecnológico y el personal de apoyo, se necesita información, aplicaciones, recursos financieros) y capacidades para asegurar el rendimiento esperado (modelo de gestión, organización implementada, procesos establecidos, conocimiento gestionado), ambos activos de servicio necesarios para entregar el servicio con el valor esperado (con la utilidad y la garantía de rendimiento esperada), aparte claro del presupuesto, coyuntura socio-económica, entorno regulatorio y legal, mercado (cultura, exigencias, demografía, restricciones, gobierno, importación/exportación).

Estamos propensos a decir sí o no a todo y esto varia como buena práctica de acuerdo a la cultura y clima organizacional, buscando no quedar mal –aunque esto es lo que ocurre al no cumplir si accedemos o no entregar si era posible y alguien después nos lo hizo ver.

Una real buena práctica es explicar qué debe hacer para satisfacer las solicitudes, luego de realizar el análisis previo correspondiente. Lo que sigue será una conversación más que una excusa.

Tampoco es una buena práctica blandir que se cumple con el acuerdo de nivel de servicio (SLA) aceptado por el cliente, o con el nivel de servicio organizacional (OLA) requerido y comprometido por las áreas internas de la empresa, cuando es evidente la existencia de reclamaciones al respecto, y tratamos de minimizar el impacto haciendo bromas a costa de clientes, usuarios –o peor, de nuestro soporte- ‘inexperto’. Puede haber un contrato en ambos casos, pero no es bueno mantener las relaciones a distancia.

Una real buena práctica es identificar y enfrentar cambios –incluso sustanciales, investiguemos con transparencia. Recuerde que las relaciones requieren confianza, que la confianza no sucede a menos que reconozca a los colegas y clientes como personas reales que, si les gusta, trabajarán con usted para arreglar lo que falla y que el propósito de los contratos no es definir las relaciones -es definir lo que sucede cuando no hay confianza y algo va seriamente mal.

Tomamos como buena práctica poner nombre a nuestros proyectos, desde hace poco incluso, no siempre ha sido así. Pero esta buena práctica de la dirección de proyectos la utilizamos para nombrar el proyecto como una implementación de software (y nos preocupamos de que el producto software funcione) y no como los resultados esperados por el negocio (no establecemos los requisitos y criterios de validación necesarios para el entregable). El trabajo de TI se realiza cuando el software satisface los requisitos y cumple con las especificaciones –se ha hecho el aseguramiento y control de calidad apropiados al producto software, su verificación. Entonces sabemos quién es culpable de no alcanzar los resultados esperados por el negocio ¿verdad?

Una real buena práctica implica identificar al real sponsor del proyecto. Me refiero no al que ha sido nombrado (otra ‘buena práctica’), sino al que le interesa el éxito del proyecto porque su reputación está en juego y actúa en beneficio del negocio, y no asume el encargo sólo por intereses personales. Otra es designar correctamente a alguien realmente encargado de realizar las validaciones oportunas, correctas y apropiadas.

Insistir en un retorno de inversión de la plataforma actual al instaurar la buena práctica del gobierno de TI es también una perjudicial para los proyectos donde la tecnología puede ayudar a los departamentos de negocios a ofrecer mejores resultados más rápido, o para aquellos proyectos que buscan ayudar a impulsar la satisfacción del cliente.

No podemos discutir que estos proyectos son críticos, por lo que una real buena práctica es que se necesita establecer correctamente los casos de negocio oportunos, necesarios y apropiados, y la organización debe implementar los cambios que sean identificados con prontitud.

El aumento de la eficacia de la misión y la eficiencia operativa son beneficios clave que se pueden lograr con el cloud computing. Recordemos la definición del NIST. Pero aplicar una estrategia al respecto es otra cosa, considerando por supuesto la seguridad en la nube. Tomamos como buena práctica la mera adopción de una solución comercial enfocada en IaaS, PaaS o SaaS. Sí hay orientaciones al respecto, pero dependerá de cada organización su definición y el éxito de su implementación ya que se deberá mantener las evaluaciones tecnológicas y las inversiones alineadas con las estrategias empresariales. Es una buena práctica reutilizar el recurso humano (exigirle más, por decirlo amablemente), pero debemos considerar que, probablemente, se requiera una reorganización de la organización de TI para ofrecer mayor agilidad empresarial y soporte a iniciativas empresariales clave.

Es una real buena práctica recordar que el ser humano es adaptable pero no es una máquina multitarea y tiene dignidad. Entonces conviene planificar –una buena práctica que muchas veces olvidamos por las presiones del mercado. Una buena planificación es muy importante porque en ella establecemos roles, responsabilidades, alcance del modelo de despliegue y servicios a emplear o entregar, controles, aspectos de diseño y de operación (que seguramente será necesario afinar), cumplimiento regulatorio y legal, integración de tecnología legacy con la nueva, cargas de trabajo, procesos establecidos, exposición al riesgo o apetito de riesgo, sponsor (real), ámbito de influencia, gobernabilidad, plazos, presupuestos, valor real para el negocio considerando las inversiones con base en su estrategia de negocio digital, entre otros muchos factores a considerar.  Otra real buena práctica es que todos los proyectos que se lancen deberían estar totalmente equipados, con “personal completo”, lo que significa que el proyecto nunca esperará a que un miembro del equipo esté disponible para trabajar en él.

Una buena práctica es emplear métodos ágiles, pero el pretender combinarla con la premisa de abaratar costos ya no lo es. La combinación es factible pero complicada en su control y gestión, y hasta contraproducente en cuanto a resultados esperados. Esto sólo si hablamos de contar con recursos y capacidades internas al país (on-shore); sin hablar de los recursos y capacidades que podrían verse interesantes fuera del país (off-shore).

Una real buena práctica es realizar una apropiada planificación tras reconocer que están implicados diferentes aspectos, no sólo el costo del recurso humano con el perfil adecuado, sino los costos de la tecnología a emplear y los mecanismos de seguridad necesarios, así como aspectos de locación, demográficos, culturares, idiomáticos, entre muchos otros.

13 fuerzas que dan forma al futuro de la TI

La tecnología siempre nos sorprende, ya sea por sus saltos cuánticos (en China, en cifrado de datos, memoria, nanotecnología) o, al menos, por una constante evolución y socialización (desde las primeras herramientas de la Edad de Piedra, hasta las supercomputadoras de hoy). La fuerza impulsora es variada, desde la supervivencia hasta más allá del mero conocimiento o descubrimiento, pasando por guerras y riquezas.

Con respecto a las tecnologías de la información, las fuerzas son varias. En ese sentido apoyan las nuevas formas del Centro de Datos, el empleo de la computación social (redes sociales), de nuevos dispositivos (smartphones, superficies inteligentes, IP-TV, 3D) o formas de trabajo (BYOD seguras), o de nuevas formas de lugar de trabajo (autenticidad, transparencia, confianza, cultura, cambios demográficos, virtual, entre algunas formas).

Algunas ya son conocidas. Tenemos, por ejemplo, (1) automatización de las tareas comunes (pero controladas), que decanta en (2) velocidad para tomar decisiones y desarrollar estrategias que tengan un impacto directo en el negocio, (3) agilidad entre departamentos estableciendo habilidades blandas y colaboración eficiente, y (4) flexibilidad requerida para hacer frente a la competitividad globalizada  y siempre cambiante de nuestro mundo actual (coyuntura, mercado, gustos, preferencias, servicios, entre otros factores a considerar), que genera una (5) hipercompetición la cual conduce a acuerdos de menor costo en el mercado de compradores de servicios TI, siendo la amenaza real la sostenibilidad de estos acuerdos, la (6) consumerización porque el comportamiento de los consumidores tiene el poder de redefinir el modo en que las empresas de TI trabajan, sin olvidar que todo eso acarrea problemas de (7) seguridad y privacidad, tanto en la identificación de los agujeros en la seguridad como en la búsqueda de talento para hacerles frente, y la necesidad de que el (8) gasto en TI esté más gobernado que antes.

Otras son innovadoras en su planteamiento. Tenemos, por ejemplo, una mayor (9) colaboración entre TI y otras unidades de negocio, además que la nube proporciona más opciones que antes (controlando aspectos de nivel de servicio, seguridad en la transmisión y almacenamiento de datos, localización de datos, entre otros a considerar), siendo su utilización muchas veces resultado de decisiones estratégicas y tácticas para la tecnología impulsadas por las unidades de negocio no-TI, o la creación de una (10) simbiosis entre la automatización, que provee los datos suficientes y patrones repetibles, y la inteligencia artificial para impulsar el proceso, de modo que, considerando (11) la información correcta, en el momento y lugar adecuados (ubicuidad de la información), se podría acelerar el desarrollo y la puesta en marcha de nuevos servicios.

Otras son resultado de la (12) acumulación de datos, y la necesidad inherente de aplicar (13) analítica. No perdamos de vista que los servicios financieros también serán alterados radicalmente –no sólo por el ransomware, lo que acarreará también mayores innovaciones en las TI.

Doxware, una variante del ransomware o del extortionware

Doxware, ¿es una evolución, una variante de malware, una nueva tendencia, o sólo un nuevo nombre? –porque nos gustan los nombres nuevos, sobre todo para lo que resulte amenazante[1].

Según la RAE, secuestrar es “Retener indebidamente a una persona para exigir dinero por su rescate, o para otros fines”; extorsión es “Presión que se ejerce sobre alguien mediante amenazas para obligarlo a actuar de determinada manera y obtener así dinero u otro beneficio”.

Ransomware suele instalarse en un sistema a través de un archivo adjunto de correo electrónico malicioso [usualmente de modalidad phishing], una descarga de software infectado y / o visitando un sitio o enlace malicioso. Cuando el sistema (independiente de la víctima) está infectado con ransomware, se bloquea, se cifran los archivos del usuario o se restringe el acceso del usuario a las funciones clave del equipo[2]. No se necesita mover datos, sólo cifrarlos[3]. Para evitar ataques, no sólo de ransomware, asegúrese de que todos los sistemas y software estén actualizados, proteja su red con tantas capas de seguridad como su presupuesto lo permita, cifre los datos sensibles, trate de no poner todos los huevos en la misma canasta, prevenga, eduque. El Grupo Smartekh nos ofrece un análisis gratuito de riesgo por ransomware.

Haciendo un poco de historia, la palabra doxxing; doxxing o doxing es un derivado de la palabra “docs” [“documentos” en idioma inglés]; el término es una versión abreviada de “dropping dox”, un método de venganza (algo así como dejar datos de alguien en el baño) que se remonta a la cultura hacker (y no tan hacker) de principios de los años 90[4].

Cuando doxxing y ransomware se combinan, esta combinación letal se conoce como Doxware[5]. Doxware entonces es el término usado para la técnica de acoso de encontrar, [secuestrar, extraer] y luego publicar información personal sensible de un usuario, incluyendo direcciones, números de teléfono e incluso números de Seguro Social[6].

Doxware normalmente escanea los archivos buscando frases clave que indican que son comunicación privilegiada, confidenciales o privados; así, el alcance de los archivos que doxware tiene como objetivo es menor que el ransomware ordinario, que se dirige a los discos duros completos[7].

Más preocupante es que los ciber delincuentes pueden tener acceso permanente a los datos personales y pueden exigir un rescate más de una vez. Incluso si se cede al chantaje, no hay ninguna garantía de que los archivos que han exfiltrado se eliminarán (apareció el extortionware). Los ataques basados en extorsión probablemente no aumentarán para el público en general, pero puede ser preocupante para los objetivos de alto valor, conocidos por tener datos valiosos. Con doxware el ataque es más personal, más selectivo, busca los blancos más atractivos, los que rindan más beneficios, los que maximicen el ROI. Es más, doxware puede exponer a las víctimas a acoso y humillación, pero también puede dejarlas vulnerables al robo de identidad[8].

El shadow IT, las redes sociales, el autoservicio de TI, hummmm. De hecho, preocupa a más de uno.

Confiamos en que evitamos la pérdida de los datos con los respaldos que realizamos, y en que recuperamos los servicios desde ahí, pero, en adición al tiempo y esfuerzo relacionados con el retorno real a la operación (dependiendo de la plataforma tecnológica desplegada, las capacidades existentes, y el tamaño del recurso comprometido), y del costo total de propiedad inherente, ¿qué fue de la pérdida de privacidad de los datos, no sólo por en dónde estaban sino, además, de quién son? ¿qué hay de un usufructo no alcanzado u oportunidades perdidas? ¿qué hay de los datos que son publicados y/o de posibles acciones legales por exposición no autorizada? ¿qué hay de la confianza perdida?, entre muchas otras interrogantes.

Recordemos, la ignorancia no es una defensa y el anonimato percibido no es un escape[9].

[1]       Fuente: http://searchdatacenter.techtarget.com/es/cronica/Doxware-Nueva-amenaza-de-ransomware-o-solo-extortionware-renombrado; disponible en marzo/2017

[2]       Fuente: https://www.techopedia.com/definition/4337/ransomware; disponible en marzo/2017

[3]       Fuente: http://www.networkworld.com/article/3174678/security/the-latest-ransomware-threat-doxware.html; disponible en marzo/2017

[4]       Fuente: http://computer.howstuffworks.com/what-is-doxxing.htm; disponible en marzo/2017

[5]       Fuente: https://www.topsec.com/it-security-news-and-info/what-is-doxware-ransomware; disponible en marzo/2017

[6]       Fuente; https://www.merriam-webster.com/dictionary/dox; disponible en marzo/2017

[7]       Fuente: https://www.techopedia.com/definition/32411/doxware; disponible en marzo/2017

[8]       Fuente: https://www.quora.com/What-is-Doxware-Malware; disponible en marzo/2017

[9]       Fuente: http://www.independent.co.uk/life-style/gadgets-and-tech/news/online-abuse-internet-sexting-doxxing-trolling-new-legal-guidelines-crime-prosecution-service-a7353536.html; disponible en marzo/2017

Internet de las cosas -IoT

Según Gartner, el “Internet de las cosas (IoT) es la red de objetos físicos que contienen tecnología incorporada para comunicarse y detectar o interactuar con sus estados internos o con el entorno externo”[1]; y añade que “el valor real del Internet de las cosas va más allá de los dispositivos interconectados”[2][3].

La interacción crea más datos (más complejidad en su tratamiento, más aplicaciones, mejores y más seguras que los traten, mayor necesidad de almacenamiento y procesamiento); la comunicación acarrea más riesgos que deben ser apropiadamente gobernados, una necesidad de mayor y mejor gestión de servicios (decisiones de toda índole más difíciles, para usuarios y operadores); las condiciones actuales y posibilidades futuras requieren recursos y capacidades diferenciados para asegurar que se mantiene el valor de los servicios (que promulga ITIL®) que entregamos –la sostenibilidad operativa.

Todos estamos involucrados y somos responsables del buen o mal uso que hagamos del IoT, en todo nivel. Además, debemos considerar que hay muchas cosas que considerar[4]: capacitación, público objetivo, requisitos de construcción, servicios incorporados, dispositivos (tipos, compromiso de seguridad, manipulación no autorizada[5], otros), disponibilidad, aplicaciones, redes, conectividad, plataforma tecnológica, ecosistema, riesgos directos e indirectos, actualizaciones de firmware o de software, aplicaciones que incorporen la seguridad desde el diseño, la arquitectura de las aplicaciones a este respecto, cifrado de datos, protección de datos personales, categorización de datos, datos sensibles en general, control de acceso, normativas, regulaciones, estándares, metadatos de los dispositivos, sistemas de monitorización y de protección contra intrusiones y ataques, tanto a nivel individual como colectivo[6], monitoreo continuo, localización de los datos porque lo que es delito informático en un país puede no serlo en otro, resiliencia[7], confidencialidad, integridad y disponibilidad, entre muchas otras posibilidades.

IoT no es una cosa; es la integración de varias cosas en una solución de negocio, es el corazón del negocio digital –bueno, cuando ya no sea una buzzword y realmente se de una transformación digital y contemos con tecnología concreta utilizable hasta en nuestros hogares[8] y por todos (refrigeradoras que podrán avisar a sus dueños cuando no haya alimento en ellos[9] es la promesa ¿recuerdan?). Sería bueno saber cuántos y cuáles dispositivos están accediendo a nuestra red local, y algo ‘raro’ como deshabilitar el bluetooth y las funciones que los dispositivos no usan todo el tiempo[10]. No queremos que “alguien” nos haga “gastar” más electricidad de lo habitual. Ya conocemos las deficiencias de seguridad existentes, que no nos pesquen desprevenidos, por ellas al menos[11].

[1]       Fuente: http://www.gartner.com/it-glossary/internet-of-things/; disponible en marzo/2017

[2]       Fuente: http://www.gartner.com/technology/research/internet-of-things/?s=1; disponible en marzo/2017

[3]       Fuente: http://view.ceros.com/gartner/iot/p/1; disponible en marzo/2017

[4]       Fuente: https://ricveal.com/blog/10-retos-seguridad-iot/; disponible en marzo/2017

[5]       Fuente: http://aunclicdelastic.blogthinkbig.com/el-reto-de-la-seguridad-en-iot/; disponible en marzo/2017

[6]       Fuente: http://www.csuc.cat/es/internet-of-things-un-reto-para-la-seguridad; disponible en marzo/2017

[7]       Fuente: http://www.ibm.com/developerworks/ssa/library/iot-trs-secure-iot-solutions1/index.html; disponible en marzo/2017

[8]       Fuente: http://techcetera.co/el-reto-para-la-seguridad-para-el-internet-de-las-cosas/; disponible en marzo/2017

[9]       Fuente: http://www.nacion.com/tecnologia/informatica/Seguridad-principal-reto-Internet-Cosas_0_1571442852.html; disponible en marzo/2017

[10]     Fuente: http://techcetera.co/tiene-el-internet-de-las-cosas-iot-algun-riesgo-para-su-hogar/; disponible en marzo/2017

[11]     Fuente: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/insecurity-in-the-internet-of-things.pdf; disponible en marzo/2017

Seguridad en el marco de la computación en nube -cloudcomputing

Ah!, el factor FUD (miedo, incertidumbre, duda, por sus siglas en inglés).

secure-cloud-computing¿Utilizo la nube para mis datos sensibles o confidenciales? ¿En qué parte de la nube residen mis datos? ¿Qué pasa si el proveedor sufre un desastre? ¿Cómo sus planes de continuidad afectan mis datos [servicios]? ¿Qué tanto control debo ceder[1]? ¿Cómo se alteran mis procedimientos y periodicidad para el respaldo de datos? ¿Puedo migrar fácilmente hacia [y desde] el proveedor de servicios en nube? ¿Cuál es la política de privacidad del proveedor de servicios en nube[2]?

Bueno, estas y más eran algunas de las preguntas que nos hacíamos hace unos cuantos años. Hemos escuchado noticias de alguna brecha de seguridad en alguno de los grandes proveedores de cloud –y frenábamos nuestra decisión. ¿Están las leyes ya optimizadas [existen siquiera] para trabajar en la nube? ¿Cuál es su alcance, global o local, apoyan al proveedor o al consumidor? ¿Está regulada la cesión de datos (a gobiernos extranjeros por ejemplo) por aspectos legales, fraude, terrorismo, o de cumplimiento normativo, qué tan transparentes son las acciones correspondientes de privacidad, qué tanto los proveedores nos dejan solos ante estos casos?

Pero, aún queda pendiente resolver dudas más interesantes como ¿quién es en última instancia el principal responsable de la protección de los datos: el proveedor o el dueño de los datos?[3] ¿Qué acuerdos existen para el almacenamiento de datos en la nube? ¿Qué acuerdos hay vigentes para el respaldo y restauración de datos? ¿Tenemos conocimiento de las medidas de seguridad que los proveedores han puesto en marcha para proteger los datos? ¿Debo preocuparme de la protección de mis datos y uso de autenticación y autorización [la Cloud Security Alliance se preocupa baste por estos temas[4] relacionados con cuentas de usuario] tan igual y con las mismas medidas como en mi centro de datos[5]? ¿Funcionan en la nube las herramientas que actualmente utilizo en mi centro de datos o necesito nuevas versiones de ellas o incluso nuevos y diferentes productos que “hablen” cloud –y todo lo que esto signifique para el costo total de propiedad?

Recordemos que en la nube está centrada en la provisión de servicios; así, los controles de la seguridad seguramente se moverán cada vez más hacia los objetos que se desean proteger[6] (firewall virtual, políticas de control de acceso basadas en roles, derechos de acceso a la red, entre otras opciones). ¿Y estamos seguros que el proveedor ha configurado de forma correcta las bases de datos, sistemas operativos y middleware que ha desplegado[7]? –evaluemos los riesgos, no olvidemos esto.

Hoy en día, rara vez enviamos fotos por correo electrónico, y ya no usamos unidades flash USB para llevar documentos. La nube se ha convertido en un lugar donde todo el mundo se reúne e intercambia información. Por otra parte, la nube se ha convertido en un lugar donde los datos se mantienen de forma permanente[8] -¿un cierto nivel de seguridad o confort? Seguramente no nos preocupamos en estos casos de cifrar los datos personales [porque pensamos que son de propósito general, de distracción o que su contenido y contexto no es tan valioso [interesante] para nosotros –hasta cierto punto claro- pero tenga en cuenta que si tienen un valor por su contenido y contexto para quienes los buscan[9] –y tal vez sus intenciones no son buenas]. Recuerde que si usted no está pagando por un servicio, usted es el producto, no el cliente[10]. Obvio, el nivel de riesgo aumenta lo que exige un nuevo conjunto de mejores prácticas de seguridad[11]. Pero sí deberíamos cifrar los datos corporativos –o asegurar [no confiar] que el proveedor de servicios en nube proporcione tal servicio [asegúrese de que usted controle este aspecto, controlando las llaves de cifrado[12]]. No exagere, mantenga en equilibrio la seguridad requerida y la rapidez del proceso de cifrado.

Los expertos dicen que simplemente no hay manera de alguna vez estar completamente seguros de que sus datos permanecerán a buen recaudo una vez que los haya movido a la nube[13]. Más aún por el usual oscurantismo[14] que envuelve cómo se aseguran los servicios en nube. ¿Muevo mis datos o no los muevo? Antes de decidirse, lo primero que se debe hacer es identificar sus activos de información, definir el nivel de privacidad que éstos necesitan y así planear un nivel de protección adecuado para ellos.

No olvide evaluar sus debilidades y el marco normativo y legal que debe cumplir, y del monitoreo y seguimiento continuos a la actividad de los usuarios[15]. El monitoreo, seguimiento y la gestión son importantes para cualquier centro de datos, ya sea en la nube o no. Estas herramientas reaccionan a los datos en tiempo real [importante la automatización para reducir en la ecuación la implicancia del factor humano[16]] obtenidos de las operaciones del sistema (almacenamiento, computadora, aplicaciones, bases de datos, otros), así como responder a las tendencias en los datos[17]. El mayor beneficio de la supervisión y gestión de la nube es la posibilidad de ver las tendencias. Esto significa reunir muchos puntos de datos a través del tiempo y sacar conclusiones en cuanto a lo que significan –y vaticinan [un poco de analítica aquí no hace daño ¿verdad?]. ¿Estamos considerando todo esto en nuestro modelo de seguridad y en el presupuesto? No se olviden de los volúmenes de datos que deberemos manejar.

Sin embargo, parece que la seguridad en la nube sí está mejorando, se está volviendo más proactiva, ya que hoy por hoy hay más noticias de centros de datos corporativos vulnerados -¿por antigüedad tal vez -legacy? ¿Menos “factor humano” –mejores profesionales o mejor distribución de funciones? ¿Mayor o mejor adopción de tecnología moderna –economía de escala[18]? ¿Mejor enfoque de gestión procesos—tecnología—personas? ¿Deben someterse continuamente a diferentes tests -pentesting?

La seguridad a largo plazo debe ser diseñada y desarrollada especialmente para la nube y realmente ser un pilar para las operaciones de la nube, apoyando la forma en que las aplicaciones en la nube están siendo construidas y entregadas hoy[19]. Los sistemas construidos sin un adecuado rigor en torno a la seguridad no serán tan seguros, estén o no en nube[20]. Sin la cantidad adecuada de planificación y una buena tecnología para controlar el acceso a los datos u adopción de otras medidas preventivas para evitar filtraciones de datos en la nube[21], las plataformas basadas en la nube pueden llegar a ser un riesgo. Por lo tanto, la mejor práctica es centrarse en una estrategia de seguridad bien definida y ejecutada con la correcta tecnología habilitadora (APIs, DevOps[22] [23], otros).

Gartner[24] nos dice que evitar servicios en la nube puede incluso dar lugar a riesgos innecesarios de seguridad, ya que las organizaciones siguen confiando en sistemas internos mal gestionados que a menudo tienen más vulnerabilidades de seguridad que sus equivalentes de nube pública. Además, la renuencia para tomar ventaja de la computación en nube puede dejar a una organización en una situación insegura, inflexible o de incompetencia. Así, es evidente que toda iniciativa en nube debe regirse mediante la planificación, procesos y políticas apropiadas.

OK, un poco de nube puede ser bueno entonces, ¿cuándo moveré mis datos a la nube? podría ser finalmente LA pregunta, y una relacionada, ¿por dónde empiezo, pública o privada? Para responder la pregunta diagnostiquemos el negocio, aterricemos sus necesidades, sinceremos la sensibilidad de nuestros datos, exploremos en nuestra base de datos de conocimientos, agreguemos nuestras lecciones aprendidas, adoptemos mejores prácticas en la industria, incorporemos estándares de gestión de servicios, de seguridad de la información, de riesgos, de gobierno corporativo de TI, identifiquemos e incorporemos el monitoreo y trazabilidad requeridos, no olvidemos incluir políticas sobre la responsabilidad de uso y los procesos de aceptación del riesgo en la nube, y propongamos una alternativa que incorpore en su diseño la seguridad correcta, necesaria y suficiente, y aseguremos que esta alternativa esté alineada con los objetivos del negocio.

[1]      Fuente: http://www.information-age.com/technology/security/123459135/great-it-myth-cloud-really-less-secure-premise; marzo/2016

[2]      Fuente: http://lifehacker.com/the-best-cloud-storage-services-that-protect-your-priva-729639300; marzo/2016

[3]      Fuente: http://www.technewsworld.com/story/76019.html; marzo/2016

[4]      Fuente: http://www.informationweek.com/cloud/infrastructure-as-a-service/9-worst-cloud-security-threats/d/d-id/1114085; marzo/2016

[5]      Fuente: http://computer.howstuffworks.com/cloud-computing/5-ways-to-keep-your-information-secure-in-the-cloud.htm; marzo/2016

[6]      Fuente: http://www.information-age.com/technology/cloud-and-virtualisation/123458895/6-predictions-cloud-security-2015; marzo/2016

[7]      Fuente: http://www.forbes.com/sites/cdw/2014/09/17/how-secure-is-your-cloud-service-provider/#240af4c576db; marzo/2016

[8]      Fuente: http://www.cio.com/article/2380182/cloud-security/5-tips-to-keep-your-data-secure-on-the-cloud.html; marzo/2016

[9]      Fuente: http://lifehacker.com/5904966/why-you-should-care-about-and-defend-your-privacy; marzo/2016

[10]    Fuente: http://lifehacker.com/5887140/everyones-trying-to-track-what-you-do-on-the-web-heres-how-to-stop-them; marzo/2016

[11]    Fuente: http://www.infoworld.com/resources/16334/cloud-security/digital-spotlight-cloud-security#tk.ifw-infsb; marzo/2016

[12]    Fuente: http://www.trendmicro.com/cloud-content/us/pdfs/business/datasheets/ds_securecloud.pdf; marzo/2016

[13]    Fuente: http://www.computerworld.com/article/2483552/cloud-security/no–your-data-isn-t-secure-in-the-cloud.html; marzo/2016

[14]    Fuente: http://www.infoworld.com/article/3010006/data-security/sorry-it-the-public-cloud-is-more-secure-than-your-data-center.html; marzo/2016

[15]    Fuente: http://www.imagineiti.com/the-cloud/is-the-cloud-secure/; marzo/2016

[16]    Fuente: http://www.cio.com/article/3045532/cloud-computing/it-is-getting-cloud-storage-security-all-wrong.html?token=%23tk.CIONLE_nlt_cio_insider_2016-03-18&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Daily%202016-03-18&utm_term=cio_insider#tk.CIO_nlt_cio_insider_2016-03-18; marzo/2016

[17]    Fuente: http://www.infoworld.com/article/3044153/cloud-computing/the-clouds-missing-link-monitoring-and-management.html?token=%23tk.IFWNLE_nlt_infoworld_cloud_computing_2016-03-17&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=Infoworld%20Cloud%20Computing%202016-03-17&utm_term=infoworld_cloud_computing#tk.IFW_nlt_infoworld_cloud_computing_2016-03-17; marzo/2016

[18]    Fuente: http://zapthink.com/2012/02/07/why-public-clouds-are-more-secure-than-private-clouds/; marzo/2016

[19]    Fuente: http://www.information-age.com/technology/cloud-and-virtualisation/123459009/3-dominant-trends-will-drive-cloud-security-coming-years; marzo/2016

[20]    Fuente: http://searchcloudcomputing.techtarget.com/opinion/Clouds-are-more-secure-than-traditional-IT-systems-and-heres-why; marzo/2016

[21]    Fuente: https://pando.com/2013/11/20/if-you-think-the-cloud-isnt-secure-youre-dead-wrong/; marzo/2016

[22]    Fuente: http://blogs.unir.net/4542-devops-el-catalizador-de-los-beneficios-de-la-nube; marzo/2016

[23]    Fuente: http://www.csc.com/es/publications/121877/121953-acelerar_la_actividad_empresarial_con_devops_en_la_nube; marzo/2016

[24]    Fuente: https://www.gartner.com/doc/reprints?id=1-2RNO28T&ct=151106&st=sg; marzo/2016

Más sobre el marco de la computación en nube -cloudcomputing -Parte 2

La computación en nube es un acontecimiento disruptivo en TI[1]no es novedad, así como la movilidad, la seguridad, Big Data y las redes sociales (mayor cobertura con los smartphones y sus cada vez mayores funcionalidades) son factores disruptivos para los actuales modelos de negocio.

Como suele ser el caso, lo que debe hacerse en primer lugar como factor competitivo diferenciador [mayor conocimiento, mejor organización del conocimiento, mejores decisiones, mejor gestión de riesgos, entre otros beneficios], es establecer un fuerte enfoque de liderazgo en el cultivo de una cultura centrada en los datos (articulados claro con los objetivos del negocio) [implica tecnología, herramientas, experiencia, talento, cultura organizacional y, claro, liderazgo –nada nuevo ¿verdad?] pero esto casi siempre sucede en último lugar[2].

Además, [trabajar con, para y en] la nube requiere un conjunto único de habilidades del personal responsable de TI[3] -tampoco es novedad, si está esto bien enfocado.

¿Un ejemplo de enfoque? Como vi en una convocatoria CAS hace unos días, solicitaban un abogado especializado en planes de contingencia, con maestría en gestión pública, y experiencia en el cargo de más de cinco años en empresas extranjeras –por S/.4,500 Nuevos Soles mensuales. Dieron en el clavo los que señalaron que esta convocatoria quedó desierta –y no creo equivocarme que fue por el monto a pagar (nadie se presentó) más que por cumplimiento del perfil. No sería de extrañar que contraten un extranjero que “dice” cumple con los requisitos y pagándole más de lo presupuestado, utilizando alguna argucia legal porque: no se encuentra el profesional “calificado” en Perú [uno al que [podamos baratear exprimiendo su necesidad para] pagarle lo “presupuestado” por realizar las “funciones del cargo” [lo que deberían hacer varios profesionales y no uno] que [no] han pasado apropiadamente por los filtros correspondientes para efectuar la definición funcional correspondiente] –y después nos quejamos de los resultados. ¿O será que se requiere en realidad un servicio de consultoría y no debe entonces canalizarse como CAS? ¿Aspectos presupuestales o Pepe el vivo?

O el caso –que seguramente todos conocen y hasta vivido (yo sí pero fue descubierto a tiempo –de por medio, monitorización y trazabilidad ¿mencioné auditoría?, análisis del entorno económico-político [hacia dónde se dirigen las cosas], conocimiento del ecosistema, ¿ya planteé riesgos?)- de un administrador de sistemas “motivado” para “impactar negativamente” en la organización[4].

Y en el contexto de nube privada, seguramente [espero] los CIO no estarán pensando en [sugiero que no] reducir personal, por lo menos no bajo la ‘perspectiva’ de “verse” más [hum, digamos] eficientes [paraguas usualmente mal utilizado]. Antes seguramente han pensado en cómo proteger [y asegurar claro] la propiedad intelectual empresarial del servicio que se entrega ¿verdad que primero ya implementaron un buen sistema de gestión del conocimiento que funciona en toda la organización [me refiero a que es operado, actualizado, utilizado, optimizado], que está interiorizado y está sujeto a mejora continua con base en procedimientos documentados?

Flexibilidad, agilidad y ahorros económicos son los principales motivos –en adición a “sentirse en” control de la seguridad o justificar la “soberanía” de la información, independiente de su localización geográfica, lo que limita la adopción de este paradigma. Estos son viejos desafíos para las empresas y “bussiness as usual [el día a día]” para los equipos de TI [el proveedor interno]. Viejas historias.

No olvidamos el planeamiento previo, profundo y concienzudo que debemos hacer –para evitar errores [¡hey!, ¿no somos humanos?]. Sí, lo reconocemos [y no hay forma de olvidarlo] y algunos dirán que es mejor pensar conforme avanzamos [haciendo… bueno… depende de -o teniendo que aceptar- lo que resulte…]. Al respecto nuestras experiencias son variadas –por ponerlo amable. El diseño, implementación, gestión y mantenimiento de una nube privada es algo complejo –e intimidante para algunos. Sí, sí, cuento con algunas certificaciones al respecto [por lo que puedo hablar del tema] pero igual me intimido por supuesto, por las expectativas puestas en los proyectos –sobre todo si no contamos [o resulta “difícil” contar] con los recursos suficientes y apropiados, tanto humanos como materiales, pasando por plazos, factores externos, apoyo interno [la organización en su conjunto] y externo [proveedores, otras organizaciones], difusión y comunicación apropiada del proyecto [a TODOS los INTERESADOS], entre otros pero no únicos factores a considerar.

Sí, están las nuevas operaciones –propias del nuevo entorno de servicio entregado [suena bien y estamos ansiosos por trabajar en lo nuevo ¿verdad?]- y las legacy –propias del día a día [claro, las ahora aburridas (pero que no descuidamos ¿verdad? aun cuando somos humanos ¿cierto?) cuando tenemos a la vista algo nuevo], y tan habituales como la función de mesa de ayuda. Hay [hoy] normas y estándares internacionales que deberíamos seguir –y, claro, cada vez estamos más obligados [considerando lo apropiado caso por caso –es decir, con el sustento claro y completo por supuesto]. Cumplamos pero, con y por convicción, no sólo para la foto [¿el Mercado?].

Hace varias semanas estuve conversando con un cliente [una entidad pública] y su requerimiento era más tecnología, nueva tecnología, mejor tecnología. ¿Por qué y para qué? “Para operar mejor” fue prácticamente la respuesta [una horrible y muy lamentable similitud con el cuento de Perrault que escuchamos de niños]. No en balde los proveedores siempre preguntan primero si se cuenta con presupuesto y a cuánto asciende. A pesar de la redundancia y contingencia desplegada de la que hacía gala este cliente (centros de datos en activo-activo, y otras sutilezas), ocurrió un percance y ninguna redundancia o contingencia implementada lo salvó de ver sus servicios desplegados a nivel nacional paralizados –varias horas, en horario laboral. Pasado esto, ante las mismas preguntas de antes, la respuesta seguía siendo la misma.

¿Ya hablé de sostenibilidad [continuidad de operaciones sin menoscabo de la capacidad de desarrollo futuro] y sustentabilidad [las razones por las cuales invertir en la sostenibilidad o en la plataforma tecnológica para el caso]?[5] No olviden a Murphy. ¿Habrán por lo menos considerado la tercerización o externalización [claro, para aprovechar el know-how, alinear capacidades, suplir carencias, facilitar el acceso a especializaciones, economía de escala, acceder a más servicios –o mejor provistos, ampliar la oferta de servicios, optimizar costos, reducir el CAPEX [las inversiones] y optimizar el OPEX [el recurrente], mejorar la competitividad, adoptar el modelo de servicio, proporcionar continuidad al negocio, obtener resultados, entre otros motivos], o el formar un ecosistema bien balanceado con los proveedores? ¿[Aún] no? Pero seguramente ya lo están considerando ¿verdad?

Mucho que pensar ¿verdad? Y eso que falta considerar cumplimiento normativo y legal –ups, olvidé las relacionadas con certificaciones alcanzadas, cargas de trabajo a elegir entre ser procesadas localmente [nube privada] o en la nube [pública], ¿alguien dijo aplicaciones móviles?, el lidiar con la uniformidad de las plataformas en nube, o la complejidad de trabajar con nubes híbridas [qué va en dónde, cómo, cuánto y hasta cuándo], entre otros muchos factores. La mezcla correcta, por supuesto, puede variar de un cliente a otro en función de las necesidades específicas, tales como la disponibilidad, costos, el rendimiento de cada servicio en la cartera de la organización.

Gartner definió en 2012 una plataforma de gestión de nube como las capas superiores de la solución en nube e indica que se debe considerar lo siguiente:

  • Una arquitectura empresarial deservicio en nubetiene cinco nivelesde funcionalidad: gestión de acceso (auto servicio, subscripción, identidad y acceso, entre otros aspectos a considerar), gestión de servicios (proveedores, contratos, catálogo de servicio, modelo de servicio, configuración, provisión, nivel de servicio, disponibilidad, rendimiento, demanda, capacidad, finanzas, mediciones, facturación, entre otros aspectos a considerar), optimización de servicios (gobierno, orquestación, federación, entre otros aspectos a considerar), gestión de recursos (gobierno, estado, rendimiento, seguridad, entre otros aspectos a considerar), yla capasubyacente de recursos (APIs, recursos físicos y virtuales tanto internos como externos, entre otros aspectos a considerar).
  • Idealmente, las capas de servicios en nubedebenser lógicamenteindependientes entre sí, deben maximizar laflexibilidad de implementacióny debenpermitir que elpotencial de sustituciónde variosproveedores –recordemos que la arquitectura de nube no es monolítica.
  • Los servicios en nubepueden haber reducidolos requerimientosparauna capa degestión de servicios-por ejemplo,en pre-producción, donde generalmente se aplican menos procesosformalesde gestión de TI [pero debemos tener cuidado en no “aligerar” demasiado el control necesario].
  • Las empresas tienen la posibilidad de acabarcon muchosconjuntos derecursos de nube que probablemente tengan repartidos entre recursosinternos yexternos, y deberían evitar obstaculizar el desplazamiento eficiente de los recursos [diseñando y aplicando procedimientos apropiados, adecuados y optimizados].
  • Se debe evitar la dependencia de proveedores únicos, pero tener [MUCHO] cuidado de que seleccionar los componentes significa para la organización de TI que debe [asumir los riesgos de] convertirse en su propio integrador de sistemas. Seguramente ya tiene una estrategia de computación en nube a seguir ¿o no?
  • Se debe elegir una plataforma de gestión de nube que permita la gestión de los recursos y servicios híbridos, los que operan tanto a nivel interno como externo.

No olvidemos la tecnología –pero a la inteligencia artificial aún le falta para ser “humana” (para bien o mal) –en un par de siglos tal vez. La aplicación del concepto de “TI debe funcionar como un negocio” será obligatoria en este entorno, ya que las organizaciones de TI tendrán que aprender y perfeccionar áreas tales como el catálogo de productos [ok, ok, servicios], gestión de la capacidad, gestión del rendimiento, gestión de la configuración, gestión de la demanda [ITIL/ISO20000], aseguramiento de la continuidad [ISO27000], la gestión financiera, optimización y gobierno del servicio [COBIT/Kaplan y Norton] y, en general, la orientación al servicio [inherentemente calidad de servicio (conociendo al cliente y su entorno), innovación, ISO9000]. Esto requerirá nuevas habilidades y transformación [inteligencia emocional] porque los diferentes servicios probablemente requerirán diferentes modelos de gestión.

El tema es que hoy por hoy todos los acontecimientos disruptivos han impactado la forma en que se compran y consumen los bienes y servicios, la forma en que las empresas se conectan con sus clientes, la forma en que los gobiernos interactúan con sus ciudadanos [¿podremos finalmente utilizar eficientemente la Plataforma de interoperabilidad del estado -PIDE?], e incluso la forma en que colaboran a diario [la agenda digital peruana[6] [7]]. En consecuencia, las empresas y los gobiernos deben centrarse menos en commodities [hardware y software], y más en la forma en que TI ayuda a resolver problemas de negocios –un poco más de inteligencia en las políticas de empleo de los recursos –incluso a nivel gobierno con el Sistema Nacional de Inversión Pública (SNIP) tenemos ya importantes inclusiones de recomendaciones y mejores prácticas como la gestión de proyectos en el marco del PMI.

[1]      Fuente: http://docs.media.bitpipe.com/io_11x/io_111063/item_741189/HP_Gartner%20Newsletter_Cloud.pdf, febrero/2016

[2]      Fuente: http://resources.idgenterprise.com/original/AST-0143462_EIU_Teradata_The_Virtuous_Circle_of_Data_briefing_paper_1_.PDF, febrero/2016

[3]      Fuente: http://searchcloudcomputing.techtarget.com/answer/Should-I-build-a-dedicated-private-cloud-staff?utm_medium=EM&asrc=EM_NLN_51771055&utm_campaign=20151229_Google%20cloud%20grows%20up%20in%202015,%20but%20work%20remains_kcasey&utm_source=NLN&track=NL-1814&ad=904943&src=904943, diciembre/2015

[4]      Fuente: http://community.spiceworks.com/topic/334270-how-to-fire-a-sys-admin-when-it-pros-go-rogue?utm_campaign=digest&utm_medium=email&utm_source=digest&utme=topic+featured, febrero/2016

[5]      Cáceres Meza, Jack Daniel. Propuesta para la implementación de normas de calidad que apoyen la gestión de clientes en una empresa proveedora de Internet. Lima, 2013. viii, 293 h. : il. ; 30 cm. Tesis (Mg. en Dirección Estratégica de las Telecomunicaciones) -Universidad Nacional Mayor de San Marcos. Facultad de Ingeniería Electrónica y Eléctrica. Escuela de Post-Grado, 2013

[6]      Fuente: http://www.codesi.gob.pe/, febrero/2016

[7]      Fuente: http://www.codesi.gob.pe/docs/AgendaDigital20_28julio_2011.pdf, febrero/2016

Planear un Centro de Datos –parte 2

En lugar de sólo alinearse con el negocio, los CIO pueden llegar a ser fuerzas disruptivas estratégicas que impulsan el cambio y crecimiento del negocio[1]. Ya no se trata sólo de mantener las luces encendidas en un centro de datos; eso ya no agrega valor a la organización –no caigamos en la trampa.

Los proveedores inteligentes de centros de datos y servicios en nube aprenden a usar lo que tienen y aprovechan al máximo todos los recursos[2] -¿trillado verdad? De hecho, casi todas las nuevas tecnologías están desplegando hoy en día requieren un lugar donde residir. Evidentemente la nube vive en el centro de datos. No es de sorprender que al emplear tecnologías avanzadas de centro de datos su organización, literalmente, tendrá una rebanada segura de la nube que gestionar y controlar[3]. Ubicación, componentes, comunicaciones, eficiencia, densidad, soporte, seguridad, riesgos, diversos modelos de confinamiento[4] [5] [6], nos vienen a la mente.

En muchos casos, la creación de una mayor eficiencia y un centro de datos más competitivo gira en torno a la consolidación de los recursos del centro de datos –nada nuevo aún, la variación estaría en la protección medioambiental o los centros de datos verdes[7]. Con esto en mente, nos fijamos en tres áreas clave que los gerentes deben mirar cuando se trata de la consolidación del centro de datos. Esto incluye:

  • El hardware (los diferentes niveles de virtualización, ya conocidos –no olvidemos los agentes y recursos necesarios para la seguridad lo cual seguramente impactará negativamente en el rendimiento[8] -todo un desafío la seguridad[9]),
  • El software (de gestión como BMS o DCIM –ajá, una variación a lo estándar que es contar con una aplicación o sistemas de información preparados para la nube), y
  • Los usuarios (los servicios que entregamos hoy y entregaremos mañana, entre otros, a los nativos digitales [y sus gadgets] –así es, lo veíamos venir).

No es noticia que una gran fuente de derroche de energía es la refrigeración del centro de datos ni es un secreto que un sistema de enfriamiento puede engullir hasta la mitad de todo el consumo energético de un centro de datos. Otra, también importante causa de derroche de energía son los servidores que están encendidos pero ociosos[10]. ¿Seguiremos consumiendo [cada vez más] agua como refrigerante o buscaremos utilizar alguna de las alternativas existentes como evaporación, refrigerantes especiales, aire exterior, entre otras?[11] Dependerá claro de los recursos, presupuestos, metas, objetivos, cumplimientos, y otros más, digamos, incentivos.

La tendencia es todavía el enfriamiento excesivo de los centros de datos –a pesar de que la ASHRAE especifica ciertos rangos de temperatura no tan “fríos” como antes. La tecnología (¿fabricantes comprometidos?) y su obsolescencia (¿el hardware resistirá?) -ellos, y la inadecuada gestión del aire [¿existe una adecuada separación entre aire frío y aire caliente?] al interior del centro de datos [¿cuántos puntos calientes tenemos?] que refleje las necesidades reales de refrigeración –nosotros- tienen mucho que ver en esto.

Y hablamos de centros de datos de diversos tamaños de diversas empresas –no precisamente de los centros de datos de gigantes como Microsoft, Yahoo, Google, entre otros, que sí son controlados -reciben bastante publicidad ¿verdad? Los motivos son varios: presupuesto; recursos; conocimiento. Claro, la carencia de estos.

También debemos tomar en cuenta zonas estratégicas para la provisión de servicios -¿qué modelo deseamos proveer o utilizar? Luxemburgo aloja el Hub de Datos de Europa[12] con su centro de datos categoría TIER IV totalmente subterráneo, con instalaciones independientes del operador de primera calidad y avanzados servicios gestionados por demanda. O, para tal efecto, la interconexión de centros de datos[13] para asegurar la disponibilidad de los servicios –y cumplimiento de los niveles de servicio contratados. Esto permite ofrecer a los clientes un único interlocutor para sus necesidades, desde la infraestructura básica hasta las aplicaciones que utilizan los usuarios. Podría ser un beneficio no depender de los operadores regulares –lo que significa contar con los propios recursos pero nos hacemos de la administración y gestión de un servicio propio, algo que cada empresa debe analizar.

Y no pensemos sólo en construir si podemos adaptar bunkers anti-nucleares, iglesias, castillos y otros[14] [15]. Sí, claro, hay cosas que funcionan para otras latitudes –la geografía aprovechada[16] -¿qué podríamos hacer en nuestra geografía, y con cuánto (dinero y sentido común)?[17] Por tanto, debemos tener en cuenta las regulaciones locales y regionales para la provisión de un servicio como un centro de datos (hasta dónde llega la disponibilidad de tecnología de vanguardia –no para el terrorismo por supuesto), o para utilizar los servicios de un determinado centro de datos (dónde estarán nuestros datos). Démonos cuenta que las preocupaciones de unos [proveedores] son diferentes a los de otros (arquitectura de la solución a proveer, servicios a proveer o utilizar, plataforma tecnológica a desplegar –no olvidemos que, poco a poco, encontramos cada vez más una integración Microsoft-Linux[18] [agua y aceite una vez, ¿hasta cuándo?][19], gestión de la infraestructura y de la plataforma, distancias a cubrir, capacidad de las comunicaciones, espacio físico, entre otros aspectos a considerar).

Podemos adoptar una metodología[20] de cuatro fases para asegurar la disponibilidad en un centro de datos [así es, en algún momento debíamos explicitar en este artículo la seguridad de la información –si es que no se habían dado cuenta que tiene mucho que ver]:

  1. La primera de estas fases es la de valoración y evaluación [preguntas como qué tengo, qué no tengo, porqué lo necesito, entre otras, son interesantes –e importantes de responder], que dará paso a
  2. La fase de planificación y diseño[21] [no olvidemos los cambios –probablemente inevitables durante el proyecto por diversas razones y el apoyo que una herramienta BMS o DCIM podría proporcionar, la gobernabilidad[22] y la seguridad de la información], seguida de
  3. La fase de implementación y pruebas [¿recordamos el commissioning[23] [24] [25][26] [27]?, materia para otro artículo ¿verdad? -aunque la mayoría de las compañías tienen planes de recuperación de desastres (DR) establecidos (al menos para las aplicaciones críticas o de lo contrario invitamos al desastre), estas no tienen absoluta confianza en sus pruebas de recuperación de desastres en caso de emergencia[28]] y, por último,
  4. La fase de administración y mantenimiento [la sostenibilidad, sustentabilidad] –no olvidemos el carácter circular o espiral en el tiempo de esta metodología ya que nunca podemos declarar que hemos terminado o que la disponibilidad es máxima y no hay más que hacer.

No olvidemos considerar los equipos de soporte como UPS[29]:

  • ¿Tendremos que reemplazarlos luego de su vida útil?,
  • ¿Podremos prolongar de alguna manera esta vida útil?,
  • ¿Le damos mantenimiento hasta que ya no se pueda –externalizando incluso el servicio?

Todo dependerá de [cuándo no] los costos en cada caso y los presupuestos disponibles, si la carga se mantiene [o aumentará], la eficiencia energética requerida, si hay posibilidad de reutilizarlos [o cuál será su “nueva” utilización], la criticidad del equipamiento que es [o será] protegido, la arquitectura de la que forma [o formará] parte, su impacto [positivo o negativo] en el ecosistema [o para la protección medioambiental], la estandarización de sus componentes, entre otros factores a considerar.

Una pregunta interesante –recordemos que el UPS brinda energía al servidor físico: si un UPS necesita reiniciar un servidor virtual, ¿qué ocurre en nuestro centro de datos?[30], o mejor dicho, ¿cuántas cargas de trabajo se ven afectadas?; ¿está el hiper visor al tanto del comportamiento o de cómo manejar esta situación?, ¿cuál es la configuración de la plataforma virtualizada para asegurar el menor tiempo sin servicio (espacio, rendimiento, comunicaciones, redundancia, clusters, orden, prioridad, entre otros puntos a considerar)?

Así es, hay riesgos. Para poder identificar de forma adecuada los riesgos de negocio asociados al uso de las TI, las organizaciones necesitan adoptar una visión más amplia del riesgo TI que vaya más allá de los estándares tradicionales y que alinee las TI con la dirección estratégica del negocio[31]. Ya no se trata sólo del impacto financiero sobre los servicios. Con la solución de centro de datos que se proponga, deberíamos considerar los servicios que se proveerán. Entre otros aspectos deberíamos considerar: agilidad e idoneidad [adaptación y transformación con rapidez, eficacia y rentabilidad]; escalabilidad y rendimiento [adaptando la capacidad y el rendimiento TI ante las fluctuaciones de las necesidades del negocio –por ende, del mercado]; seguridad y protección de datos [¿procedimientos documentados?, claro que sí; ¿seguridad de la información?, ciertamente]; exactitud y puntualidad [calidad, criterios, indicadores, oportunidad]; disponibilidad y recuperabilidad [respuesta a incidencias, problemas y cortes de servicio, mejora continua].

Cierto, finalmente dependerá del grado de confiabilidad, resiliencia que deseamos –o requiramos[32].

[1]      Fuente: http://www.cio.com/article/3017195/leadership-management/secrets-of-disruptive-cios-investing-in-tomorrow-has-little-to-do-with-keeping-the-lights-on.html?token=%23tk.CIONLE_nlt_cio_insider_2015-12-29&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Daily%202015-12-29&utm_term=cio_insider#tk.CIO_nlt_cio_insider_2015-12-29, diciembre/2015

[2]      Fuente: http://www.datacenterknowledge.com/archives/2015/09/03/data-center-consolidation-a-managers-checklist/?mkt_tok=3RkMMJWWfF9wsRokuKvLce%2FhmjTEU5z16egtUaWzgIkz2EFye%2BLIHETpodcMTcJmNL3YDBceEJhqyQJxPr3FLNQN2MFvRhXkC33rhbLOWYxceLV9yOhlovnwjQ%3D%3D, setiembre/2015

[3]      Fuente: http://www.datacenterknowledge.com/archives/2015/09/07/how-data-center-providers-have-become-cloud-leaders/?mkt_tok=3RkMMJWWfF9wsRokuKvLce%2FhmjTEU5z16egtUaWzgIkz2EFye%2BLIHETpodcMTcJmNL3YDBceEJhqyQJxPr3FLNQN2MFvRhXkC33rhbLOWYxceLV9yOhlovnwjQ%3D%3D, setiembre/2015

[4]      Fuente: http://www.datacenterknowledge.com/archives/2015/03/10/startup-challenges-concept-of-aisle-for-edge-data-centers/, marzo/2015

[5]      Fuente: http://www.datacenterdynamics.es/focus/archive/2015/02/gz-ingenier%C3%ADa-presenta-un-sistema-de-confinamiento-con-apertura-autom%C3%A1tica, febrero/2015

[6]      Fuente: http://www.emersonnetworkpower.com/es-CALA/Products/RacksAndIntegratedCabinets/Pages/default.aspx, 2015

[7]      Fuente: http://es.slideshare.net/mundocontact/5-b-lmejia, mayo/2011

[8]      Fuente: http://resources.idgenterprise.com/original/AST-0157915_CIOInsight_Executive_Brief.pdf, 2014

[9]      Fuente: http://searchdatacenter.techtarget.com/news/4500260725/Eight-emerging-data-center-trends-to-follow-in-2016?utm_medium=EM&asrc=EM_ERU_51309322&utm_campaign=20151218_ERU%20Transmission%20for%2012/18/2015%20%28UserUniverse:%201891297%[email protected]&utm_source=ERU&src=5462781, diciembre/2015

[10]    Fuente: http://www.datacenterknowledge.com/archives/2015/12/04/the-problem-of-inefficient-cooling-in-smaller-data-centers/?utm_source=feedburner&utm_medium=email&utm_campaign=487&sfvc4enews=42&Issue=DCK-01_20151205_DCK-01_762&utm_rid=CPNET000002790352&elq2=52cfef0c7bf645009d174f9745fac545&cl=article_1_b&NL=DCK-01, diciembre/2015

[11]    Fuente: http://searchdatacenter.techtarget.com/feature/Data-center-water-usage-whets-appetite-for-change?utm_medium=EM&asrc=EM_ERU_51693770&utm_campaign=20151228_ERU%20Transmission%20for%2012/28/2015%20%28UserUniverse:%201893991%[email protected]&utm_source=ERU&src=5465925, setiembre/2015

[12]    Fuente: http://www.europeandatahub.eu/, 2015

[13]    Fuente: http://www.interoute.es/centros-de-datos, 2015

[14]    Fuente: http://www.elconfidencial.com/tecnologia/2013-07-13/carceles-iglesias-bunkers-los-cinco-centros-de-datos-mas-excentricos_766321/, julio/2013

[15]    Fuente: http://listas.20minutos.es/lista/top-10-centros-de-datos-mas-increibles-en-la-tierra-378571/, marzo/2014

[16]    Fuente: http://www.datacenterdynamics.es/focus/archive/2015/08/el-mayor-centro-de-datos-europeo-abrir%C3%A1-sus-puertas-en-noruega, agosto/2015

[17]    Fuente: http://blog.aodbc.es/2013/02/15/cual-es-la-mejor-ubicacion-para-mi-centro-de-datos/, febrero/2013

[18]    Fuente: https://www.linux.com/news/software/applications/795366-what-does-microsofts-love-mean-for-linux/, noviembre/2014

[19]    Fuente: https://azure.microsoft.com/es-es/blog/azures-getting-bigger-faster-and-more-open/, octubre/2014

[20]    Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/11/asset-disponibilidad-continua-ES.pdf?tk=fdd0e39bcbe9cb85526ef41772cf6036&i=1858333,2015,12,29,20,19,39,1&to=1isfJdMdGXCxoOsGhiJA5gauGb9JTjz0egzR9GRyVtle+GW2NRVNG98ZoFk/RcA7qVJAiljKGYFyQeLQI3ry6WW7btWj12lK1vZ+BmlKlBqw==, junio/2015

[21]    Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/11/500-C%C3%B3mo-el-software-de-gesti%C3%B3n-de-la-infraestructura-f%C3%ADsica-de-centros-de-datos-mejora-la-planificaci%C3%B3n-y-reduce-los-costes-operativos.pdf?tk=85f7dd12ac9cb147e450fff73dedd38c&i=1829855,2015,10,26,03,14,08,1&to=gMmG7X5GdUMFP2Elk5KbyQs8iI+BzefwafMO81xmymKRty95Fq9ym6zt3gRdp9GPnpbq2hmhjD42YrvZEjOKB+myBeUhv7tH2vm3ln4iJUnQ==, noviembre/2015

[22]    Fuente: http://www.amperonline.com/biblioteca/novedades.pdf, 2015

[23]    Fuente: http://www.businessdictionary.com/definition/commissioning.html, 2015

[24]    Fuente: http://www.datacenterknowledge.com/archives/2013/05/20/understanding-data-center-commissioning-and-its-many-benefits/, mayo/2015

[25]    Fuente: http://www.primaryintegration.com/services/levels-of-commissioning-integrated-systems-testing/, 2015

[26]    Fuente: http://www.emersonnetworkpower.com/documentation/en-us/brands/liebert/documents/white%20papers/commissioning_your_data_center_sl-25673.pdf, 2015

[27]    Fuente: http://www.datacenterworld.com/spring2013/account/Uploader/uploader_files/show/151, 2015

[28]    Fuente: http://searchdisasterrecovery.techtarget.com/feature/DR-plans-are-common-but-disaster-recovery-tests-remain-uneven?utm_medium=EM&asrc=EM_ERU_51745967&utm_campaign=20151229_ERU%20Transmission%20for%2012/29/2015%20(UserUniverse:%201891632)[email protected]&utm_source=ERU&src=5466407, julio/2015

[29]    Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/11/50-Gu%C3%ADa-sobre-qu%C3%A9-hacer-con-un-UPS-antiguo.pdf?tk=bc4e958da70db63f75bff4ee5b1347d1&i=1829855,2015,10,26,03,14,08,1&to=1bRGt+lvPw3b0/oxUHE1fQOvpoo3hcG2c+wi8Et/JWRf7OvvmrTb8CO46esi6/zy9QXnANJNz0dacE0U1+w2PjJm5ANqCtZCY+LAVMocroXg==, noviembre/2015

[30]    Fuente: http://searchdisasterrecovery.techtarget.com/tip/How-UPS-devices-can-protect-a-virtualization-host?utm_medium=EM&asrc=EM_ERU_51745966&utm_campaign=20151229_ERU%20Transmission%20for%2012/29/2015%20(UserUniverse:%201891632)[email protected]&utm_source=ERU&src=5466407, julio/2015

[31]    Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/11/1.Alineaci%C3%B3n-de-las-TI-con-los-objetivos-estrat%C3%A9gicos-de-negocio.pdf?tk=bf79d0fc835dec23ebddf52fadd076bf&i=1829855,2015,10,26,03,14,08,1&to=mMH7XN9dEnGl0MY/l7/7HgPdtzfD43o6bYI1IP/H0NE3LZdIGwWtAxztXbNDcO549bAP0RbfihjcpdhNwFt1DGKs/MR7I7yoS2O117YLPPoA==, noviembre/2015

[32]    Fuente: http://searchdatacenter.techtarget.com/tip/A-data-center-design-guide-to-get-it-right-the-first-time?utm_medium=EM&asrc=EM_ERU_51309324&utm_campaign=20151218_ERU%20Transmission%20for%2012/18/2015%20%28UserUniverse:%201891297%[email protected]&utm_source=ERU&src=5462781, diciembre/2015

Más sobre el marco de la computación en nube -cloudcomputing -Parte 1

Sabemos que cuando las organizaciones se ven impulsadas a invertir se preguntan primero ¿cuáles son los objetivos de negocio que la organización espera alcanzar?, ¿cómo encajan estos objetivos dentro de la estrategia global de la organización?

Lo anterior funciona bien para tecnología convencional [claro, si queremos mantener la estadística de que días después de que algo entra en funcionamiento, ya está desactualizado, aparecen nuevas soluciones, nuevos parches, nuevas actualizaciones y así, como gerentes de TI, sólo nos mantenemos persiguiendo la curva de valor todo el tiempo –no muy buen porvenir ¿verdad?] pero, en cuanto a la nube, ¿sabemos si nuestra estrategia de negocio está lista para la nube?[1] –claro, y todas las demás preguntas.

¿Nos hemos preguntado si estamos pensando en la nube para ahorrar o para crecer, por un aspecto táctico o por una solución expresa y personalizada, está la infraestructura “completamente” o “en gran medida” optimizada para la estrategia de [nuestro] negocio? ¿Hemos definido los criterios para evaluar lo anterior? ¿No? bueno, deberíamos. Tengamos presente también que cuando existe una relación con uno o más proveedores externos, la transición a la nube [o de la nube] suele complicarse.

Sería bueno encontrar maneras en que las tecnologías de nube se ajusten a las necesidades y capacidades únicas de su organización [sincerando -alineando- la infraestructura de TI con los requerimientos del negocio y asegurando que la estrategia en nube evoluciona en consonancia]. Así, conviene adoptar la tecnología en nube con la misma seriedad que se aplica a los mecanismos de despliegue de TI más tradicionales. Atención, la madurez en la nube no significa abandonar las nubes privadas, sino el uso de la herramienta adecuada para la tarea y, en última instancia, el alineamiento de la estrategia en infraestructura y la gobernanza.

No olvidemos a los “nativos digitales” y su continua ansia por la nueva y menor tecnología que puedan comprar -¿alguien ha explotado todo lo que esta nueva tecnología puede hacer? ¿Recuerdan cuando La gente estaba acostumbrada a tener una mejor tecnología en el trabajo de la que tenía en casa [y estaban menos propensos a cuestionar el hecho]? Claro, BYOD –flexibilidad, agilidad, adaptabilidad, rendimiento, escalabilidad, rapidez[2], libertad… fomentando una cultura que hace uso seguro de la tecnología digital[3] [pero asegúrese de que la seguridad, la privacidad y el cumplimiento legal se abordan desde el principio –no olvide desarrollar las estructuras de gobierno exigidas por la nube, y adaptar o remodelar los procesos de gobierno para implicar más a los líderes]. La leyenda urbana dice que para ampliar el uso de la nube con responsabilidad y cosechar sus beneficios, las empresas deben ser capaces de utilizar la nube de forma segura.

Preparémonos para invertir más tiempo y esfuerzo en evaluar un número creciente de proveedores de nube (IaaS, PaaS, SaaS, XaaS para el caso) y soluciones puntuales –ojo con las soluciones “llave en mano” ya sean propietarias (Amazon y Microsoft entre otras) o de código abierto[4] (OpenStack). El entorno se complica cuando se involucra a otros grupos de interés internos como responsables de la conformidad (la aceptación de la implantación y la migración podría ser complicada por lo que debemos asegurar el cumplimiento legal y normativo), y líderes de negocio –seguramente habrán dudas en cuanto a la seguridad de la información. En última instancia, todos debemos prepararnos para la transición. Acuerde los detalles con sus proveedores actuales –no se olvide de exigir garantías, y aproveche toda su experiencia –hasta puede obtener orientación estratégica, busquemos socios que estén preparados para mantener una relación de colaboración y aprendizaje constantes (sería ideal compartir ideas sobre mejoras en la tecnología y la plataforma –y hasta tener la posibilidad de influir de forma innovadora en la del proveedor).

Apuesto que creían que olvido al integrador. No es así. Debemos elegir un integrador, alguien que se haga cargo de la integración de los servicio de nube, ya sea un empleado o un consultor técnico de confianza[5]. Debemos asegurar que se orqueste adecuadamente nuestra red de [los mejores] proveedores –¿o considera sabio poner todos los huevos en la misma canasta?, sin olvidar el intercambio de datos y las diferencias entre los procesos de los distintos centros de datos. Como somos entendidos en la materia nos habremos dado cuenta que para garantizar el éxito de la adopción de la nube debemos establecer un plan de ruta para esta integración‑migración y que debemos gestionar este plan [apropiadamente] como un proyecto.

Además, en la vida diaria cosas malas suceden, y nos ocurrirán cuando y donde más nos afecte -¿recuerdan a Murphy? Las necesidades del negocio cambian y más vendedores aparecen (con ofertas más atractivas) o los actuales vendedores salen del mercado (local, lo que nos deja sin soporte apropiado, o simplemente quiebran y quedamos desamparados), a veces las relaciones de nube no duran (porque no obtuvimos del proveedor los servicios –funcionalidad y soporte- como nos ofreció, porque ¿la nube no estuvo a la altura de nuestras necesidades? –y no obtuvimos las ganancias financieras esperadas[6] [en parte quizá porque en primer lugar no estuvimos “preparados” para la nube], porque hubo pérdida de datos –improbable dicen algunos pero sin embargo posible, porque el proveedor está atrasado tecnológicamente, porque se impactó negativamente en alguno de los factores CID de la seguridad de la información, porque ocurrieron apagones de la nube y permanecen en la oscuridad la gravedad y el estado exacto de los trabajos de restauración[7] -y este oscurantismo medioeval no nos gusta, entre otros aspectos a considerar).

En fin, a veces tenemos que hacer un cambio, y a veces hay eventos fuera de nuestro control que lo hacen por nosotros; así, no podemos o logramos permanecer en un servicio que es “el más adecuado”. Bien pensado, tampoco queremos vernos “atados” a un proveedor. Cuando eso sucede, tener un plan [¿sería mejor considerar una estrategia de salida?] puede significar la diferencia entre un ligero contratiempo del cual la organización puede recuperarse rápidamente, o enfrentar caos, tiempo de inactividad y una interrupción importante para el negocio.

En otras palabras, la estrategia de salida de nube [“migración en reversa” o “uncloud”[8] o “de-cloud” si nos ponemos al día con la terminología –ajá, ¿cuántos hemos reconocido estos términos?] es la elaboración de un plan de acción para asegurar que cualesquiera sean los servicios de nube que apoyan las actividades actuales del negocio, estos [servicios de nube] se pueden reemplazar [se puede realizar la transición] sin una interrupción grave[9]. El objetivo es realizar la transición en el plazo más breve posible[10] así que, entre otras cosas, no olvidemos considerar herramientas, personal calificado, niveles de servicio acordados con terceros [¿nuestros clientes?], otras responsabilidades adquiridas, mapeo de dependencias, mapeo de aplicaciones con la plataforma tecnológica, las propias aplicaciones, pruebas.

Así, tengamos presente qué servicios en nube reemplazamos e igualmente importante, con qué servicios en nube los reemplazamos –las alternativas tecnológicas pueden ser hasta iguales, pero centrémonos en lo que el negocio requiere (seguramente hemos realizado o deberemos realizar un BIA para un BCP[11] por ejemplo); así también es importante el cómo estamos utilizando los [actuales] servicios en nube (costos, rendimiento, jugadores clave, características del servicio, tratamiento de datos, niveles de servicio, soporte, aspectos legales y de cumplimiento, gobierno, no olvidemos las necesidades de privacidad y trazabilidad[12], entre otros aspectos a considerar –¿ya mencioné los factores CID de la seguridad de la información?).

Un análisis de impacto en el negocio (BIA) es un proceso sistemático mediante el cual una organización reúne y analiza información sobre sus funciones esenciales [y sus prioridades] y procesos (aplicaciones, datos, redes, sistemas de información, instalaciones, etc.). Esta información se utiliza para determinar cómo se vería afectada la organización (impacto potencial y costos en casos de desastre/acontecimiento/suceso) si estas funciones y procesos fueron interrumpidos por un desastre[13]/acontecimiento/suceso. En otras palabras, es fundamental analizar cuál es la tolerancia de su negocio a la no disponibilidad de sus funciones críticas[14]. ITIL®[15] nos dice que el BIA define los requisitos de recuperación de los servicios de TI. Estos requisitos incluyen tiempos de recuperación objetivos, puntos de recuperación objetivos y los objetivos mínimos de nivel de servicio para cada servicio de TI.

En la actualidad garantizar la operación no es una opción. Los clientes, proveedores y accionistas esperan respuesta sin importar lo que suceda en el exterior [sin importar las circunstancias que se presenten en el ecosistema donde se desarrolla la organización, sea ésta del tamaño que sea, pública, privada o entidad gubernamental]. La continuidad del negocio (BC) describe los procesos y procedimientos que una organización pone en marcha para garantizar que las funciones esenciales puedan continuar durante y después de un desastre/acontecimiento/suceso –esto no sólo involucra a TI y su Plan de recuperación ante desastres o DRP (¿alguno lo tiene? Como procedimiento documentado[16] quiero decir). La Planificación de la Continuidad del Negocio (BCP) trata de evitar la interrupción de los servicios de misión crítica (seguramente más de una vez caeremos) y restablecer el pleno funcionamiento de la forma más rápida y fácil que sea posible[17] (lo importante es levantarnos, cada vez). Usualmente los procesos críticos de negocio mantienen una íntima interdependencia con la tecnología; así, no consideremos que esto es un gasto sino más bien una inversión.

No esperamos –o deseamos- que nuestra relación con el o los proveedores de nube se vea interrumpida o falle. Pero prestemos atención al refrán: “cuando el río suena es porque piedras trae”. Otro refrán dice más o menos así: “esperamos lo mejor preparándonos para lo peor” –o que Dios nos coja confesados.

[1]      Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/05/CIOs-Mapping-the-cloud-maturity-curve-The-fundamental-five.pdf, mayo/2015

[2]      Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/02/CIOs-Cloud-Bound.pdf, febrero/2015

[3]      Fuente: http://whitepapers.siliconweek.es/wp-content/uploads/2015/05/CIOs-Mapping-the-Cloud-Maturity-Curve.pdf, mayo/2015

[4]      Fuente: http://www.channelbiz.es/2014/09/25/openstack-un-repaso-esta-alternativa-cloud-en-codigo-abierto/, setiembre/2014

[5]      Término acuñado, a mi mejor entender, por Garcerán Rojas de PQC.es

[6]      Fuente: http://searchcloudprovider.techtarget.com/tip/How-to-uncloud-Best-practices-for-exiting-the-public-cloud, noviembre/2015

[7]      Fuente: http://cioperu.pe/articulo/17264/como-utilizar-openstack/, noviembre/2014

[8]      Fuente: http://searchcloudprovider.techtarget.com/definition/uncloud-de-cloud, setiembre/2015

[9]      Fuente: http://searchcloudsecurity.techtarget.com/tip/Create-a-cloud-exit-strategy-to-prepare-for-the-unknown?utm_medium=EM&asrc=EM_NLN_49188871&utm_campaign=20151028_Dridex%20banking%20Trojan,%20botnets%20wreaking%20havoc%20again%20despite%20DOJ%20takedown_oeckerson&utm_source=NLN&track=NL-1820&ad=903816&src=903816, octubre/2015

[10]    Fuente: http://blogs.gartner.com/kyle-hilgendorf/2013/09/18/cloud-exit-strategies-you-do-need-them/, setiembre/2013

[11]    Fuente: http://searchdisasterrecovery.techtarget.com/essentialguide/Essential-guide-to-business-continuity-and-disaster-recovery-plans, 2015

[12]    Fuente: http://www.bbb.org/blog/2013/08/6-steps-for-de-clouding-yourself/, agosto/2013

[13]    Fuente: http://searchsecurity.techtarget.com/feature/Conducting-an-effective-business-impact-analysis, febrero/2003

[14]    Fuente: http://searchdatacenter.techtarget.com/es/opinion/BCP-y-DRP-El-arte-de-levantar-un-negocio-caido, noviembre/2013

[15]    Fuente: http://wiki.servicenow.com/index.php?title=File:ITIL_2011_Spanish_%28Latin_American%29_Glossary_v1.0.pdf#gsc.tab=0, junio/2012

[16]    Fuente: http://iso9001calidad.com/procedimientos-documentados-exigidos-por-la-norma-151.html, 2013

[17]    Fuente: http://searchdatacenter.techtarget.com/es/definicion/Continuidad-de-negocios-BC, setiembre/2013

Cumplimiento en el marco de la computación en nube -cloudcomputing

Cumplimiento ¿palabra de moda?

En términos generales, el cumplimiento es el proceso de adherirse a un conjunto de reglas que un organismo de la industria o agencia de gobierno piensa que usted necesita cumplir. El negocio tiene que cumplir con X, Y y Z requisitos o de lo contrario[1]… [bueno, ya conocemos los eventos apocalípticos que se desatarían]. El proceso es doloroso opinan algunos incluso sin haberlo intentado –por el status quo y otros considerandos; que hay poca área gris o espacio para la flexibilidad opinan otros. Habría que actualizarnos continuamente con el fin de establecer si aún prevalece lo malo anteriormente expuesto.

Cumplimiento es algo más que un aspecto adicional relacionado con la seguridad[2]; y es que no se puede externalizar la responsabilidad de la seguridad –una alta prioridad sobre todo por la inherente complejidad, siempre creciente[3] -no olvidemos el gobierno en sus diferentes formas y alcances para gestionar apropiadamente los riesgos. Asegurar el cumplimiento y proporcionar seguridad a los datos en la nube son cosas complicadas, no es fácil, pero se puede lograr[4].

De hecho, definir una estrategia de seguridad en la nube debería ser la mayor preocupación, tanto para el negocio como para TI, desde el mismo inicio de cualquier despliegue en la nube[5]; así es, una estrategia de seguridad NO puede esperar –a nadie y por nada- y debe mantenerse viva.

Con respecto a la seguridad, entre otras inquietudes todos tenemos las siguientes[6]:

  • ¿Qué informaciónse almacenaen un sistema? –lo sabe ¿verdad?
  • ¿Dóndese almacenala información? –el asunto en cuestión, y todas las demás interrogantes relacionadas.
  • ¿Quiénpuede acceder al sistema? –y ¿mantenemos vigente la lista como parte de un procedimiento documentado que involucra a todas las partes involucradas (proveedor, cliente, terceros)? –sin olvidar los niveles administrador/usuario, como mínimo.
  • ¿Cuál es el riesgo para los datos? -¿Están los controles en el lugar adecuado para mitigar el riesgo? ¿Cómo se lidia con los criterios de confidencialidad, integridad y disponibilidad (CID)? Recordemos que para asegurar los datos debemos empezar por su identificación, clasificación y tratamiento. No olvidemos la seguridad de nuestros datos cuando son transportados y almacenados, pensando que nuestros datos son menos seguros en la nube [¿utilizamos cifrado de datos?[7] ¿Y validamos que se mantenga su efectividad?[8]] –claro, también cuando son procesados; el tema es nuevamente la responsabilidad compartida. Probar periódicamente la funcionalidad de exportación de datos le ayuda a entender el proceso de exportación en la práctica (no sólo en teoría). Esto da claridad sobre algunos diversos aspectos operativos de esta manera: cuánto tiempo va a tomar, quién tiene que estar involucrado en el lado del proveedor de servicios, los costos adicionales que pueden ser requeridos, en qué formato llegan los datos en última instancia, entre otros aspectos[9] –seguridad de la información/cumplimiento/SLA, o deseamos depender de solo un proveedor de servicios en nube.
  • ¿A quépuedenacceder? –seguramente tenemos un procedimiento documentado para esto, además de las relaciones necesarias en el sistema y a qué partes de la plataforma (hipervisor, aplicación por ejemplo).
  • ¿Es elacceso adecuado? –es decir, ¿sabemos el porqué es adecuado? El acceso debe basarse en roles de trabajo, y debe proporcionarse una descripción clara del nivel de acceso necesario.
  • ¿Operaciones de seguridad? ¿Tenemos o existe disponibilidad para acceder a las trazas de seguridad, detección de anomalías, notificaciones de brechas de seguridad u otras notificaciones, APIs, procedimientos de respuesta a incidentes, derecho a realizar auditorías, otros? ¿Son las medidas de seguridad tradicionales aplicables en la nube? –de hecho hay un alto riesgo, y tampoco cometamos el error deconfiar demasiado enlas capas de seguridaddel proveedor deIaaS (o de ningún otro modelo) ¿Siguen siendo válidos “viejos” paradigmas como prevenir es mejor que curar, los seres humanos son el eslabón más débil, y el acceso debe limitarse a sólo a lo que un empleado necesita para hacer su trabajo[10]?
  • Obviamente no todas las aplicaciones son creadas iguales y la funcionalidad de la aplicación, el tipo de datos que se accede, la criticidad de negocios, los accesos/roles de los usuarios, la autenticación y así sucesivamente todos influyen en el perfil de seguridad de cualquier aplicación -¿ya mencioné que esto debe vigilarse en el tiempo?

Sabremos seguramente lo primero pero, ¿qué hay del resto de las incógnitas? -sobre todo cuando se trata de una nube pública y sobre todo por su naturaleza multi-cliente[11]. El reto es saber dónde están los datos [o dónde deberían estar] y cómo están protegidos -cuán privados permanecen [cuál es nuestro nivel de propiedad de los datos], porque pasar a la nube puede afectar la capacidad de una organización para cumplir con normas, regulaciones y estándares.

Si bien el proveedor podría técnicamente identificar dónde almacena sus [tus] datos, no está obligado a hacerlo. Bueno, parte del negocio es ese, el proveedor distribuye lo mejor que puede los recursos de la plataforma para entregar un servicio razonablemente “apropiado” para las cargas de trabajo que le serán exigidas. Aquí lo usual como clientes es preocuparnos de cuán persistentes son estos almacenamientos.

En buena cuenta, asegúrese de que su proveedor es capaz y está dispuesto a demostrar que utiliza separación de funciones para las funciones administrativas, y que tienen la capacidad de “probar” quién tuvo acceso a un sistema de información y cuándo tuvo este acceso. Tenga en cuenta que este último requisito requeriría desplegar una solución robusta y estado del arte para el registro relacionado con la seguridad. Es importante un cierto nivel de madurez[12] en el cumplimiento de estándares. Gran parte del cumplimiento se trata de garantizar los controles adecuados sobre quién tiene acceso a los bienes, qué nivel de acceso que tienen y cómo se mantienen esos niveles. La manera en que esas cosas suelen garantizarse es a través de la auditoría, en el que hay que decir lo que estamos haciendo y demostrar que lo estamos haciendo.

Mike Chapple de la Universidad de Notre Dame implica la posibilidad de un cambio en nuestro enfoque [de nuestros equipos de trabajo] en la seguridad y el cumplimiento. En los centros de datos convencionales [o legados] un equipo es el que lleva la responsabilidad final por el mantenimiento de un ambiente de TI seguro y conforme.

Este enfoque de extremo a extremo, simplemente no se aplica en un mundo de computación en nube donde las empresas suelen compartir las cargas de cumplimiento con uno o más proveedores de servicios que puedan estar proporcionando infraestructura, plataformas o servicios alojados. En este modelo de responsabilidad compartida, tanto los proveedores de servicios como sus clientes deben precisar lo que se requiere de cada lado, en términos de responsabilidades de cumplimiento.

Así, es crítico identificar quién es responsable de la ejecución de cada objetivo de control en cada etapa del modelo de nube. Entonces deberá trabajar con sus proveedores de servicios en forma regular para revisar y actualizar la división de responsabilidades. A medida que cambian las necesidades del negocio y las capacidades técnicas evolucionan, el peso del cumplimiento puede desplazarse en una dirección u otra. Mantenerse al tanto de estos desplazamientos de responsabilidades es un componente clave de la gestión del cumplimiento.

Muchas regulaciones de cumplimiento de TI contienen una redacción que especifica las ubicaciones geográficas donde entidades financieras o de salud, por ejemplo, pueden almacenar datos. Reglamentos de control de exportaciones de Estados Unidos prohíben el almacenamiento o la transmisión de algunos datos regulados fuera de los Estados Unidos. Del mismo modo, las regulaciones de privacidad de la Unión Europea prohíben la transferencia de información personal fuera de la UE sin la implementación de controles de privacidad adecuadas alrededor de esos datos; no hablemos de los canadienses.

Por esta razón, debemos considerar cuidadosamente los procesos de notificación de incidentes de seguridad antes de contratar los proveedores. Los contratos con los proveedores de servicios deben exigir que el proveedor nos notifique inmediatamente de los incidentes de seguridad conocidos o sospechosos que afectan a los datos en la nube. No olvidemos asegurar estas condiciones.

La adopción de servicios de cloud computing aumenta la complejidad de cuestiones relativas al cumplimiento y la importancia de documentar los controles. Cuanto más fácil nos sea demostrar claramente el cumplimiento de las leyes y reglamentos de TI, más tranquilas irán las cosas cuando los auditores nos visiten. No olvidemos que los contratos deben explicar los detalles del modelo de responsabilidad compartida negociado entre la organización y sus proveedores de servicios –y tampoco olvidemos los acuerdos de nivel de servicio.

También debemos conservar el derecho de auditar –periódicamente- el desempeño de los proveedores contra cualquier normativa de seguridad aplicable –un proveedor de la nube certificado [aunque parezca interesante y liberador que al utilizar sus servicios “heredemos” las certificaciones] no garantiza la protección [continua] así, siempre valide las demandas de cumplimiento que su proveedor le entregue –y asegúrese que se mantienen vigentes porque recordemos que la seguridad no es un acto único. Los vendedores son sin duda responsables de la gestión de sus servicios enfocados en el cumplimiento, pero este cumplimiento no se traduce automáticamente al cumplimiento completo del cliente[13]; alcanzar los estándares cumplimiento y regulatorios es predominantemente responsabilidad del cliente, no del proveedor de la nube[14].

Los proveedores de nube deben ofrecer transparencia de su infraestructura a los clientes. Por ejemplo, aunque Microsoft realiza sus propias pruebas de Azure[15], los usuarios finales tienen la responsabilidad de asegurarse de que sus sistemas cumplen los requisitos de seguridad de la empresa[16]. El cumplimiento de los estándares de seguridad del centro de datos son una cosa, pero fallas de servidores y aplicaciones son otra muy distinta.

Así, es necesario tomar medidas para garantizar que los proveedores de servicios implementan sus servicios en la nube de manera tal que conservan el cumplimiento de todas las regulaciones aplicables a nuestros requerimientos –recordemos, entre otros, aspectos de exportación, requerimientos de privacidad. Nunca debemos depender exclusivamente de nuestro [menos de uno] proveedor de la nube[17] ‑recordemos, la responsabilidad debe ser compartida, y el monitoreo continuo.

No olvidemos los contratos de confidencialidad y seguros contra daños ocasionados por terceros –recordemos que el diablo está en los detalles[18]; la documentación referida a las responsabilidades compartidas; responsabilidades por la seguridad de los datos, como tampoco las categorías de servicio en nube que son ofrecidas o con las que desee trabajar –los requerimientos de cumplimiento en cada caso; los dispositivos móviles[19] que podamos utilizar para el control (según el Barómetro 2013 Riesgo/Recompensa de ISACA, 50% de las empresas ya permiten explícitamente BYOD[20]); los hipervisores y contenedores (dockers como alternativa a los hipervisores[21], que tienen tanto de proceso como de gobierno y tecnología y que los expertos instan a las organizaciones sólo utilizar contenedores de aplicaciones con permisos fuertemente custodiados, y para controlar el sistema operativo subyacente[22]), virtualización; control de los proveedores en nube que contratamos para la empresa –o que nuestros usuarios utilizan [incluso sin nuestro conocimiento o autorización]; entre otros puntos a considerar para un efectivo matrimonio cumplimiento-seguridad.

A estas alturas ya se habrán dado cuenta porqué hemos hablado poco de tecnología. De hecho, la seguridad en la nube no es sólo una pregunta [retórica] de TI[23].

[1]      Fuente: http://searchcompliance.techtarget.com/tip/Cloud-compliance-legal-issues-take-center-stage-as-cloud-use-expands,febrero/2011

[2]      Fuente: https://www.youtube.com/watch?v=1SruE7Tr7iw, enero/2015

[3]      Fuente: http://searchcloudsecurity.techtarget.com/feature/The-ups-and-downs-of-cloud-compliance?utm_medium=EM&asrc=EM_NLN_48466586&utm_campaign=20151009_NEW%20IN%20INFORMATION%20SECURITY%20MAGAZINE:%20Regaining%20control%20of%20cloud%20compliance,%20CISO%27s%20role%20from%20IT%20security%20to%20policy%20wonk,%20Corporate%20investments%20in%20cybersecurity%20startups%20%20_oeckerson&utm_source=NLN&track=NL-1836&ad=903432&src=903432#, octubre/2015

[4]      Fuente: http://searchcloudsecurity.techtarget.com/feature/Securing-data-and-ensuring-compliance-in-cloud-based-services, octubre/2015

[5]      Fuente: http://searchcloudcomputing.techtarget.com/news/4500247879/Four-cloud-security-myths-debunked, junio/2015

[6]      Fuente: http://viewer.media.bitpipe.com/1103740304_372/1280167431_218/CA_sCompliance_SO-O31222-E-Guide_7-22.pdf, octubre/2015

[7]      Fuente: http://searchcompliance.techtarget.com/video/Cloud-compliance-data-protection-top-reasons-for-encryption, abril/2015

[8]      Fuente: http://searchcloudcomputing.techtarget.com/photostory/4500246165/Seven-cloud-security-risks-that-will-ruin-your-day/2/Overlooking-cloud-data-encryption, octubre/2015

[9]      Fuente: http://searchcloudsecurity.techtarget.com/tip/Three-practices-to-prevent-cloud-vendor-lock-in, junio/2013

[10]    Fuente: http://www.cio.com/article/2989206/security/when-it-comes-to-security-trust-but-verify.html?phint=newt%3Dcio_security&phint=idg_eid%3D0f3e0907b81179ebb4f3b209b6424bae#tk.CIONLE_nlt_infosec_2015-10-09, octubre/2015

[11]    Fuente: http://searchcloudcomputing.techtarget.com/photostory/4500246164/Seven-cloud-security-risks-that-will-ruin-your-day/1/The-risky-business-of-securing-data-in-the-cloud, octubre/2015

[12]    Fuente: http://www.bitpipe.com/data/demandEngage.action?resId=1329422213_586, 2012

[13]    Fuente: http://searchcloudsecurity.techtarget.com/tip/Who-does-what-Uncover-the-key-to-cloud-security-compliance, octubre/2015

[14]    Fuente: http://searchcloudprovider.techtarget.com/news/2240149306/Achieving-cloud-compliance-Customer-not-cloud-provider-responsible, abril/2012

[15]    Fuente: https://azure.microsoft.com/en-us/support/trust-center/compliance/, octubre/2015

[16]    Fuente: http://searchwindowsserver.techtarget.com/tip/What-admins-should-know-about-Microsoft-Azure-security, setiembre/2015

[17]    Fuente: http://searchcloudcomputing.techtarget.com/news/4500256467/Cloud-security-requires-shared-responsibility-model, octubre/2015

[18]    Fuente: http://searchcloudsecurity.techtarget.com/news/2240186102/Gartner-Negotiate-cloud-contracts-with-detailed-security-control, junio/2013

[19]    Fuente: http://searchcloudcomputing.techtarget.com/photostory/4500246167/Seven-cloud-security-risks-that-will-ruin-your-day/4/Skipping-the-BYOD-security-policy, octubre/2015

[20]    Fuente: http://searchcloudsecurity.techtarget.com/tip/Cloud-and-BYOD-A-combo-that-can-improve-enterprise-security, abril/2014

[21]    Fuente: http://searchcloudsecurity.techtarget.com/answer/How-can-AWS-EC2-Container-Service-improve-Docker-security, julio/2015

[22]    Fuente: http://searchcloudcomputing.techtarget.com/photostory/4500246169/Seven-cloud-security-risks-that-will-ruin-your-day/5/Rushing-your-Docker-container-security-strategy, octubre/2015

[23]    Fuente: http://docs.media.bitpipe.com/io_11x/io_111063/item_745697/HP_CloudSecurityGuide_Final1%20Approved.pdf, 2015

Algo de seguridad en el marco de la computación en nube

(Artículo preparado para difusión interna en la Red Científica Peruana -RCP)

Con respecto a la seguridad, si se selecciona un proveedor de calidad de servicios en la nube, su seguridad en la nube será tan buena como, o mejor que su seguridad actual, en la mayoría de los casos. Normalmente, el nivel de seguridad que se recibe estará diseñado para satisfacer las necesidades de los clientes de mayor riesgo en la nube. Si las TIC (tecnologías de la información y comunicaciones) no están profundamente arraigadas en el negocio, probablemente la seguridad sea escasa -o limitada cuando mucho- ¿para qué pedir más entonces? Continue reading